DEFINISI RISIKO
COSO : kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan
Risiko bisnis
Risiko yang secara khusus terkait dengan organisasi didalam melakukan bisnis, berupa
ketidakpastian mengenai adanya ancaman terhadap pencapaian tujuan bisnis.
Setelah kita tahu bahwa banyak sekali risiko yang dihadapi organisasi ketika mereka mencoba
menjalankan strategi dan mencapai tujuan mereka, maka terdapat kebutuhan yang sangat besar
terhadap suatu hal yang dapat secara efektif mengelola risiko di dalam organisasi. Dan kebutuhan ini
terjawab dengan adanya Enterprise Risk Management (ERM) yang pertama kali diperkenalkan COSO
pada tahun 2004.
COSO mengidentifikasi adanya kebutuhan akan kerangka kerja yang kuat untuk membantu
perusahaan secara efektif mengidentifikasi, menilai, dan mengelola risiko. Kerangka kerja yang
dihasilkan merupakan perluasan dari kerangka kerja sebelumnya “Internal Control – Integrated
Framework”, menggabungkan semua aspek kunci dalam kerangka kerja tersebut ke dalam kerangka
kerja ERM yang lebih luas.
Pengertian ERM secara singkat “proses yang dilakukan oleh manajemen untuk memahami dan
mengatasi ketidakpastian yang dapat mempengaruhi kemampuan organisasi untuk mencapai
tujuannya”
Definisi ERM menurut COSO “suatu proses, yang dipengaruhi oleh dewan komisaris, manajemen dan
pegawai lainnya, diterapkan dalam penyusunan strategi dan di segenap perusahaan, dirancang
untuk mengidentifikasi peristiwa-peristiwa potensial yang dapat mempengaruhi entitas, dan untuk
mengelola risiko sampai dalam batas hasrat risiko entitas, untuk menyajikan keyakinan memadai
sehubungan dengan pencapaian tujuan entitas“
Kerangka kerja ERM digambarkan dalam kubus tiga dimensi yang mencerminkan hubungan antara
jenis tujuan, komponen ERM, dan struktur bisnis perusahaan.
Jenis Tujuan
Di dalam konteks penetapan visi atau misi, manajemen menetapkan tujuan stratejik, memilih
strategi dan menetapkan tujuan-tujuan lain secara menurun ke segenap perusahaan dan
diselaraskan dengan serta dihubungkan kepada strategi. Kerangka ini memandang tujuan-tujuan
entitas dalam konteks empat kategori:
− Stratejik – berhubungan dengan sasaran tingkat tinggi, diselaraskan dengan dan mendukung
misi entitas.
− Operasional – berhubungan dengan penggunaan sumberdaya entitas secara efektif dan
efisien.
− Pelaporan – berhubungan dengan keandalan pelaporan entitas.
− Ketaatan – berhubungan dengan ketaatan entitas kepada hukum dan peraturan yang
berlaku
Komponen ERM
Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Komponen-
komponen ini diperoleh dari cara manajemen menjalankan suatu bisnis, dan dipadukan dengan
proses manajemen. Komponen-komponen tersebut adalah:
Lingkungan intern entitas merupakan fondasi bagi seluruh komponen lain dari manajemen risiko
perusahaan, yang menyajikan disiplin dan struktur. Lingkungan intern mempengaruhi bagaimana
strategi dan tujuan-tujuan ditetapkan, aktivitas bisnis distrukturkan, dan risiko-risiko diidentifikasi,
ditaksir dan diperlakukan. Lingkungan intern mempengaruhi rancangan dan pelaksanaan aktivitas
pengendalian intern, sistem informasi dan komunikasi, dan aktivitas pemantauan.
Lingkungan internal dipengaruhi oleh sejarah dan budaya organisasi. Yang terdiri dari banyak unsur
antara lain:
Tujuan ditetapkan pada tingkat strategis, meletakkan dasar untuk operasi, pelaporan, dan tujuan
kepatuhan. Setiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal, dan
sebuah prasyarat yang efektif untuk untuk identifikasi peristiwa, penilaian risiko, dan penanganan
risiko adalah pemantapan tujuan.
Manajemen harus mengidentifikisasi peristiwa potensial yang akan berdampak pada perusahaan,
baik dalam arti positif maupun negatif. Peristiwa yang berdampak buruk dan menghambat tujuan
organisasi di sebut sebagai risiko dimana manajemen harus melakukan penilaian dan penanganan.
Sedangkan peristiwa yang berdampak positif pada organisasi disebut sebagai peluang dimana
manajemen harus memanfaatkannya didalam proses perumusan strategi dan penentuan tujuan.
Ketika mengidentifikasi risiko, manajemen harus mempertimbangkan berbagai faktor internal
maupun eksternal yang dapat menjadi risiko ataupun peluang pada perusahaan.
− Economic events, seperti pergeseran harga, ketersediaan modal, dan persaingan usaha yang
ketat.
− Natural environment events, seperti banjir, kebakaran, gempa bumi maupun peristiwa alam
lainnya.
− Political events, seperti pemilihan umum terhadap pemimpin negara dengan agenda politik
yang baru maupun pemberlakukan hukum dan regulasi yang baru.
− Social events, seperti perubahan demografi, adat istiadat, struktur keluarga maupun
prioritas hidup/pekerjaan.
− Technological events, seperti penggunaan sarana baru didalam perdagangan, penyimpanan
dan pemrosesan
Setelah mengetahui risiko mana saja yang berdampak pada perusahaan, manajemen harus
menentukan penanganan risiko yang cocok terhadap risiko-risiko tersebut. Ada empat macan
penanganan risiko menurut COSO
Kegiatan pengendalian adalah kebijakan dan prosedur yang membantu untuk meyakinkan
manajemen bahwa risiko telah ditangani dengan baik. Beberapa contoh kegiatan pengendalian
manajemen antara lain:
− Top-level reviews
− Direct functional or activity management
− Information processing controls
− Physical controls
− Performance indicators
− segregation
Sistem informasi digunakan untuk mengolah data yang dibutuhkan terkait manajemen risiko yang
berasal dari internal maupun eksternal menjadi informasi yang berguna bagi manajemen didalam
mengambil keputusan. Kemudian hal itu dikomunikasikan kepada setiap orang/personnel agar
mereka melakukan tanggungjawabnya sesuai fungsi masing-masing. COSO mendefinisikan sebuah
informasi harus:
ERM harus selalu dimonitoring, untuk menjamin keberadaan dan fungsi setiap komponen berjalan
dengan baik setiap waktu. Auditor internal biasanya banyak berperan didalam hal ini karena mereka
melakukan penilaian apakah kegiatan manajemen risiko perusahaan telah dilaksanakan dengan
efektif.
Dewan Komisaris, pihak manajemen, pegawai bidang pengelolaan risiko, pegawai bidang keuangan,
auditor internal, dan tentu saja, seluruh pihak yang ada di dalam organisasi memiliki peran untuk
mewujudkan ERM yang efektif. Peran dan tanggung jawab dari masing-masing pihak tersebut
sebagaimana telah dijelaskan pada Bab.3 tentang “Tata Kelola”.
● Dewan Komisaris. Pihak dewan komisaris mengawasi dan memberikan arahan kepada pihak
manajemen organisasi. Dewan komisaris berperan dalam menentukan strategi organisasi,
merumuskan tujuan stratejik, mengalokasikan sumber-sumber daya organisasi dalam lingkup
yang luas, dan mencontohkan/mewujudkan perilaku etis di lingkungan organisasi. Terkait
dengan pengelolaan ERM, COSO menyebutkan bahwa dewan komisaris melakukan
pemantauan melalui:
− Pemahaman terkait sampai sejauh mana pihak manajemen telah mengelola ERM
dengan efektif.
− Mengetahui dan menyepakati selera risiko organisasi.
− Meninjau portofolio risiko organisasi dan menyesuaikannya dengan selera risiko
organisasi.
− Menerima info terkait risiko organisasi yang paling signifikan dan apakah pihak
manajemen telah menangani risiko tersebut secara memadai.
● Manajemen. Pihak manajemen bertanggung jawab atas segala aktivitas yang ada di organisasi,
termasuk kegiatan ERM. Tanggung jawab pihak manajemen sangat beragam, tergantung
tingkatannya dan karakteristiknya dalam organisasi.
CEO memiliki tanggung jawab puncak atas efektifitas dan kesuksesan program ERM. Salah satu
aspek penting terkait dengan tanggung jawab CEO adalah memastikan keberadaan lingkungan
internal yang positif. CEO memberikan contoh, mempengaruhi susunan dan perilaku dewan
pimpinan, memimpin dan mengarahkan manajer senior, dan memonitor kegiatan pengelolaan
organisasi dalam kaitannya dengan penentuan selera risiko dan kriterianya, seperti kapasitas
risiko dan tingkat toleransi risiko. Keadaan terus mengalami perubahan, pemunculan risiko yang
berbeda, perlu penerapan strategi, tindakan yang mengantisipasi kemungkinan yang tidak
berkesusaian dengan kriteria risiko, maka CEO akan mengambil suatu tindakan agar organisasi
tidak “keluar-jalur”.
Manajer senior yang memimpin berbagai jenis unit di organisasi, memiliki tanggung jawab
pengelolaan risiko terkait dengan tujuan dari masing-masing unit yang dipimpinnya. Pihak
manajer senior mengejawantahkan strategi organisasi yang bersifat umum menjadi berbagai
kegiatan operasi, identifikasi kejadian risiko yang mungkin terjadi, mengukur risiko-risiko yang
terkait, dan menerapkan penanganan yang memadai atas risiko-risiko tersebut. Pihak manajer
membimbing kegiatan ERM organisasi sesuai dengan lingkup bidang tanggung jawabnya,
memastikan bahwa penerapan komponen-komponen ERM tersebut sesuai dengan toleransi
risiko yang telah ditetapkan. Mereka bertanggung jawab atas prosedur khusus ERM yang
diperuntukan bagi para manajer fungsional. Dapat disimpulkan bahwa para manajer lebih
berperan aktif dalam menggunakan dan melaksanakan prosedur khusus penanganan risiko
yang terkait dengan tujuan suatu unit tertentu di organisasi, seperti teknik pengidentifikasian
dan pengukuran risiko dan penentuan penanganan khusus risiko ( yang adalah strategi
manajemen risiko, sebagai contoh kebijakan pengembangan dan prosedur pembelian barang
atau melayani pelanggan baru
Staf fungsional, seperti bidang akuntansi, SDM, kepatuhan, atau hukum juga memiliki peran
yang penting dalam mewujudkan perancangan dan pelaksanaan praktik-praktik ERM yang
efektif. Fungsi-fungsi ini dimungkinkan untuk merancang dan menerapkan suatu program yang
dapat mendukung pengelolaan risiko lintas unit dalam organisasi.
● Petugas pengelola risiko. Beberapa organisasi telah memiliki dan menunjuk seseorang untuk
menempati posisi manajer senior yang bertugas/berperan sebagai pusat koordinasi dalam
pengelolaan ERM. Seorang petugas pengelola risiko--biasanya disebut Chief Risk Officer (CRO)--
umumnya beroperasi dalam lingkup staff fungsional, bekerja bersama dengan pihak manajer
lain dalam mewujudkan ERM pada unitnya masing-masing, Petugas pengelola risiko memiliki
sumber daya untuk mempengaruhi pengelolaan ERM lintas anak perusahaan, proses bisnis,
departemen, fungsi dan kegiatan. Mereka bertanggung jawab atas pemantauan kemajuan
pengelolaan risiko dan mendampingi manajer lain melaporkan informasi yang relevan dengan
risiko dalam organisasi.
COSO mengidentifikasi prinsip-prinsip dalam pengelolaan ERM yang dapat menjadi faktor
pendorong:
− Menyesuaikan selera risiko dan strategi
− Meningkatkan pengambilan keputusan untuk merespon risiko
− Mengurangi kemungkinan-kemungkinan buruk dalam proses operasi
− Mengidentifikasi dan mengelola risiko antar-usaha
− Menyiapkan respon terpadu atas berbagai risiko
− Menangkap peluang
− Meningkatkan penempatan modal
− Menyusun konteks. Berfokus pada pemahaman dan persetujuan atas faktor-faktor internal
dan eksternal yang dapat mempengaruhi pengelolaan risiko.
− Menilai risiko, yang meliputi kegiatan pengidentifikasian risiko, menganalisa risiko dan
penyebabnya, sumber, dan tipe hasil yang diharapkan, dan mengevaluasi risiko untuk
memperoleh informasi dalam memprioritaskan penanganan risiko.
− Penanganan risiko, meliputi kegiatan pengambilan keputusan atas informasi risiko yang ada.
− Memonitor risiko, mengidentifikasi kejadian risiko di lapangan dan mengevaluasi apakah
penanganan risiko telah sesuai dengan tujuan.
− Membangun proses komunikasi dan konsultasi.
Pengelolaan Enterprise Risk Management membutuhkan peran akuntan perusahaan baik peran dari
akuntan manajemen maupun peran Auditor Internal. Adapun Auditor Internal bertugas meneliti dan
mengevaluasi berfungsinya sistem akuntansi di samping menilai seberapa jauh kebijakan dan
program kerja manajemen dijalankan memiliki peran yang penting dalam perusahaan, termasuk
pengelolaan risiko.
Dalam Position Paper berjudul The Role Internal Auditing in Enterprise-Wide Risk Management yang
dikeluarkan oleh IIA, dikemukakan bahwa terdapat beberapa aktivitas yang dapat diperankan oleh
internal auditor. Internal auditor diharuskan untuk memelihara objektivitas dan indepedensi yang
diwajibkan oleh kode etik profesi dan standar profesi auditor internal. Saat internal auditor tidak
memiliki kompetensi dan kemahiran yang memadai atas area manajemen risiko maka menurut IIA
auditor internal harus menolak penugasan. Berikut ini aktivitas utama yang dapat diperankan oleh
internal auditor:
Aktivitas yang tidak dapat diperankan oleh internal audit antara lain :
− Setting risk apatite
− Imposing risk management process
− Management assurance on risk
− Taking decisions on risk responses
− Implementing risk responses on management’s behalf
− Accountability for risk management.
Dari gambaran di atas terlihat bahwa banyak aktivitas yang dapat diperankan oleh internal auditor
dengan berpegang pada standar profesi audit internal untuk mendorong efektivitas ERM
danmanajemen tetap bertanggung jawab untuk manajemen risiko.
COSO menyatakan bahwa Enterprise Risk Management ditetapkan untuk membantu manajemen
dalam hal menyelaraskan selera risiko (risk appatite) dengan strategi perusahaan, meningkatkan
keputusan respon risiko, menekankan atau mengurangi lonjakan atau kerugian akibat operasional,
mengidentifikasi dan mengelola cross enterprise risk, menyiapkan respon atas berbagai risiko secara
terintegrasi, serta meraih kesempatan dan mengembangkan pemodalan.
Penerapan Enterprise Risk Management dalam organisasi dapat mendorong terciptanya Good
Corporate Governance. Enterprise Risk Management memiliki fokus pada pengelolaan risiko yang
timbul dari setiap aktivitas organisasi untuk kemudian organisasi tersebut akan diarahkan dan
dikendalikan sesuai dengan prinsip-prinsip Good Corporate Governance untuk dapat mencapai
tujuan organisasi yang ditetapkan.
DAMPAK DARI ERM ATAS JASA ASSURANCE YANG DIJALANKAN OLEH INTERNAL AUDIT
Mengaitkan antara perencanaan audit dan pengelolaan atas risiko:
− Sebelum mengembangkan rencana audit internal, menurut CAE akan sangat membantu
apabila pertama-tama membangun dan meng-update audit universe.
− Audit universe bisa terdiri dari beberapa komponen yang ada pada strategi perusahaan.
− Penyiapan rencana audit internal berdasarkan audit universe tersebut.
− Audit universe terkait dengan rencana audit yang sudah update menggambarkan
perubahan-perubahan yang telah terjadi.
− Perencanaan audit, didasarkan, bersama dengan faktor-faktor lainnya, penilaian atas risiko.