BAB S 1

Pendahuluan: Enterprise Risk

ATU

manajemen Hari ini

W governance perusahaan yang efektif dan manajemen. Sesuai dengan standar ini memungkinkan
ELLp-DeIrAuKsUahI aOaRnsutanntduakr mdieamnuannjautkkaknanpemnetirnegkaunmtuekngikuti terbaik
praktek dan mematuhi aturan regulasi. Misalnya, laporan keuangan perusahaan itu diaudit oleh audit fi rm eksternal
untuk menentukan apakah mereka konsisten dengan prinsip akuntansi yang berlaku umum (GAAP) di Amerika
Serikat atau disajikan secara wajar mengikuti standar pelaporan keuangan internasional (IFRS). proses audit
keuangan ini berlaku untuk hampir semua perusahaan di seluruh dunia, nomatter struktur ukuran atau perusahaan
mereka. Investor dan pemberi pinjaman ingin pihak-eksternal yang independen auditor-untuk memeriksa catatan
keuangan dan atestasi apakah mereka disajikan secara wajar. Dalam rangka untuk atestasi atas laporan keuangan
tersebut, bahwa auditor yang sama memiliki untuk menentukan bahwa ada yang baik mendukung pengendalian
internal sekitarnya semua signifikan fi transaksi keuangan.

pengendalian internal mencakup berbagai bidang dalam operasi perusahaan. Contoh di sini adalah pemisahan
tugas kontrol di mana orang yang mempersiapkan cek masalah untuk pihak luar tidak harus orang yang sama yang
menyetujui bahwa cek untuk pembayaran. Dua orang independen harus involvedwith rilis cek yang mengambil uang
tunai dari perusahaan. Ini adalah umum dan yang diakui pengendalian internal, dan banyak lainnya berhubungan
dengan situasi yang sama di mana satu orang atau proses harus selalu berada dalam posisi untuk memeriksa secara
independen karya pihak lain. Baik proses pengendalian internal sangat penting untuk sistem manajemen risiko yang
efektif dalam suatu perusahaan.

Ini pengantar bab secara singkat terlihat pada standar pedoman penting bagi de fi pengendalian internal
ning, Committee of Sponsoring Organizations' (COSO) kerangka pengendalian internal. bimbingan COSO ini
telah menjadi standar yang diterima di seluruh dunia

1
 Pendahuluan: Enterprise Risk Management Hari
2 &
ini

untuk de fi kontrol ning internal perusahaan saat ini. Dari kerangka pengendalian internal ini bab ini kemudian
memperkenalkan serupa mencari dalam penampilan, tapi sangat berbeda, COSO manajemen risiko perusahaan
(ERM) framework, topik utama dari banyak bab dalam buku ini.

Bab ini juga akan memperkenalkan kita kepada sebuah perusahaan contoh, global Produk Komputer, yang
akan dirujuk dalam banyak contoh di seluruh bab lainnya. Global Computer Products hipotetis perusahaan adalah
US-bermarkas perangkat keras komputer dan produk perangkat lunak produsen dengan fasilitas pengembangan
dan distribusi di seluruh dunia. Meskipun tidak ada contoh bisa lengkap atau lengkap, kami akan mencoba untuk
menggunakan contoh global Produk Komputer ini sebagai wahana untuk lebih memahami dan menerapkan
COSO ERM dan pemerintahan, risiko dan kepatuhan (GRC) isu-isu dalam suatu perusahaan saat ini serta
menggunakannya untuk menerapkan praktek-praktek perusahaan yang efektif.

THE COSO INTERNAL KONTROL KERANGKA: bagaimana kita sampai

di sini?

Serupa dengan banyak singkatan untuk produk dan teknik yang umum di bidang teknologi informasi (TI), produk
dan proses namanya dengan cepat berubah menjadi akronim dalam dunia auditing, akuntansi, dan manajemen
perusahaan. Dalam dunia IT, kita cepat lupa nama, kata, atau bahkan konsep-konsep yang menciptakan akronim
dan hanya menggunakan akronim beberapa huruf. Sebagai contoh, International Business Machines Corporation
(IBM) meluncurkan produk perangkat lunak kustom untuk hanya satu pelanggan disebut Customer Information
Control System (CICS), kembali tua mainframe atau komputer warisan systemdays dari awal 1970-an ketika
IBMneeded untuk mengembangkan perangkat lunak untuk mengakses fi les di dasar secara online. pesaing
manufaktur komputer lain pada waktu itu telah online, software realtime, namun IBM tidak. produk CICS IBM
ditingkatkan dan umum selama bertahun-tahun. Hal ini masih sekitar hari ini untuk sistem warisan, dan pengguna
saat ini menyebutnya '' Kicks '' sebagai ucapan mereka dari CICS. The Definisi atau arti dari singkatan ini telah
dasarnya dilupakan dan CICS sekarang telah menjadi IT '' kata. ''

Pengendalian internal bimbingan-pengaturan organisasi, COSO, adalah contoh yang serupa dengan
nama disingkat berdiri untuk COSO. Tentu saja, penjelasan tentang nama COSO tidak menawarkan banyak
bantuan-yang komite ini, apa yang mereka mensponsori, dan apa adalah Komisi Treadway? Untuk memahami
bagaimana standar pengendalian internal ini muncul, perlu untuk kembali ke 1970-an dan awal 1980-an,
periode ketika ada banyak kegagalan perusahaan keuangan besar di Amerika Serikat karena kondisi
termasuk sangat tinggi di asi fl, tingginya minat dihasilkan tingkat, dan beberapa pendekatan akuntansi
perusahaan yang agresif. Ruang lingkup kegagalan ini tampaknya kecil saat ini bila dibandingkan dengan
kebocoran keuangan tahun 2009 dan 2010 atau penipuan keuangan pada awal abad ini yang menyebabkan
UU Sarbanes-Oxley (SOX). krisis keuangan akan selalu bersama kita, dan kembali perhatian pada 1970-an
adalah bahwa beberapa perusahaan besar menderita keuangan runtuh meskipun baru-baru ini menerbitkan
laporan keuangan yang telah diaudit mereka, ditandatangani
oleh auditor eksternal mereka, menunjukkan baik pendapatan yang memadai dan kesehatan keuangan yang baik. Beberapa

kegagalan ini disebabkan oleh penipuan pelaporan keuangan, tetapi sebagian besar ternyata menjadi korban tinggi dalam asi fl

dan suku bunga tinggi yang dihasilkan selama periode itu. Itu tidak biasa bagi banyak perusahaan yang gagal telah menerbitkan

laporan tahunan cukup positif meskipun berita buruk akan datang. Ini juga adalah periode lain aktivitas regulasi yang tinggi di

Amerika Serikat dan beberapa anggota Kongres menyusun undang-undang untuk '' benar '' kegagalan bisnis atau audit tersebut.

dengar pendapat kongres diadakan, tetapi tidak ada undang-undang yang pernah berlalu. Sebaliknya, kelompok profesional

swasta, yang disebut Komisi Nasional Pelaporan Keuangan Penipuan, dibentuk untuk mempelajari masalah ini. organisasi

keuangan profesional fi lima US disponsori Komisi Nasional ini: American Institute of Certi fi ed Akuntan Publik (AICPA), Institute

of Internal Auditor (IIA), Eksekutif Institute Keuangan (FEI), Asosiasi Akuntansi Amerika (AAA), dan Institut Akuntan Manajemen

(IMA). Dinamakan setelah ketuanya, Komisaris SEC James C. Treadway, otoritas diadopsi sebagai yang dari Pejabat nama The

COSO. Hari ini, kelompok yang telah menjadi dikenal dengan nama singkatan, COSO. kewenangan diadopsi sebagai yang dari

Pejabat nama The COSO. Hari ini, kelompok yang telah menjadi dikenal dengan nama singkatan, COSO. kewenangan diadopsi

sebagai yang dari Pejabat nama The COSO. Hari ini, kelompok yang telah menjadi dikenal dengan nama singkatan, COSO.

Fokus asli dari COSO tidak pada manajemen risiko perusahaan tetapi pada alasan di balik masalah
kontrol internal yang telah memberikan kontribusi kepada mereka keuangan melaporkan kegagalan bertahun-
tahun lalu. fi COSO ini pertama laporan, dirilis pada tahun 1987, 1 menyerukan manajemen laporan tentang
efektivitas sistem pengendalian internal mereka. Disebut Laporan Komisi Treadway, itu menekankan elemen
kunci dari suatu sistem yang efektif pengendalian internal, termasuk lingkungan yang kuat kontrol, kode etik,
sebuah komite audit kompeten dan terlibat, dan fungsi manajemen yang kuat. manajemen risiko perusahaan
itu bukan topik utama pada waktu itu. Laporan Treadway menekankan perlunya untuk konsisten definisi dari
pengendalian internal dan kemudian diterbitkan apa yang sekarang dikenal sebagai COSO definisi dari
pengendalian internal, sekarang umumnya diakui di seluruh dunia pedoman pengendalian akuntansi internal
atau kerangka kerja.

Bahwa laporan COSO pengendalian internal dirilis pada tahun 1992 dengan dari Pejabat judul

Control-Integrated internal Kerangka. 2 Sepanjang buku ini, ini disebut sebagai Kontrol laporan COSO internal
atau kerangka kerja untuk membedakannya dari COSO Enterprise Risk Management atau kerangka COSO
ERM, topik utama kita. Kontrol COSO internal laporan mengusulkan kerangka kerja umum untuk definisi de
pengendalian internal, serta prosedur untuk mengevaluasi mereka kontrol. 3 Untuk hampir semua orang yang
terlibat dalam bisnis modern saat ini, pemahaman tentang yang COSO definisi dari pengendalian internal
sangat penting.

THE COSO INTERNAL KONTROL KERANGKA

Syarat pengendalian internal telah menjadi bagian dari kosakata bisnis selama bertahun-tahun, tetapi secara historis
tidak pernah telah memiliki tepat, konsisten definisi. COSO dikembangkan sekarang hampir diterima secara universal
definisi atau deskripsi pengendalian internal, sebagai berikut:
 pengendalian internal adalah suatu proses, dipengaruhi oleh dewan entitas direksi, manajemen, dan
personel lain, yang dirancang untuk memberikan keyakinan memadai tentang pencapaian tujuan
dalam kategori berikut:

& Efektivitas dan efisiensi operasi

& Keandalan dari fi pelaporan keuangan

& Kepatuhan terhadap hukum dan peraturan yang berlaku

The COSO Definisi pengendalian internal menggunakan model tiga dimensi untuk menggambarkan suatu sistem
pengendalian internal dalam suatu perusahaan. model, seperti yang ditunjukkan dalam pameran 1.1, terdiri dari lima
tingkat horizontal atau lapisan, tiga komponen vertikal, dan beberapa sektor yang mencakup dimensi ketiga. Model ini,
seperti yang ditunjukkan dalam pameran itu, mungkin dilihat dari segi 5-nya 3 3 atau 45 sel-sel individual atau
komponen. Namun, ini bukan komponen individual dan terpisah tapi semuanya saling berhubungan dengan

Un
it
Bis
nis
Ke
gia
tan
Pemantauan Pengendalian Intern Un
it
Bis
nis
Ke
gia
tan
Ko
Informasi dan Komunikasi ntr
ol
Pengawasan internal Ba
da
n
Us
ah
a
Tin
gk
at
Kegiatan Pengendalian Internal

Pengendalian Intern Penilaian Risiko

Pengendalian Internal Lingkungan

EXHIBIT 1.1 COSO Pengendalian Internal Kerangka

kontrol internal di masing-masing tergantung pada orang lain. Sementara setiap tingkat dan komponen
kerangka pengendalian internal COSO adalah penting untuk memahami pengendalian internal dalam suatu
perusahaan, kita akan fokus di sini pada dua tingkat horisontal: tingkat dasar lingkungan pengendalian dan
tingkat risiko lingkungan. Ini adalah komponen penting untuk memahami bagaimana COSO framework
pengendalian internal berkaitan dengan model COSO ERM diperkenalkan di akhir Bab 4 dan diilustrasikan
dalam Exhibit 4.1.

COSO Pengendalian Internal Elements: The Control Environment

Sama seperti bangunan apapun kebutuhan dasar yang kuat, yang COSO framework pengendalian internal memiliki
berdirinya pada apa yang COSO panggilan lingkungan pengendalian internal, dasar awal untuk semua kontrol internal
dalam suatu entitas. lingkungan pengendalian suatu perusahaan pengaruh-pengaruh bagaimana kegiatan usaha
yang terstruktur dan risiko dinilai dalam suatu perusahaan. Ini berfungsi sebagai dasar untuk semua komponen lain
dari pengendalian internal dan memiliki di memengaruhi pada masing-masing tiga tujuan pengendalian internal dan
semua kegiatan. Kontrol lingkungan re fl ECTS keseluruhan sikap, kesadaran, dan tindakan oleh dewan direksi,
manajemen, dan lain-lain tentang pentingnya kontrol internal di perusahaan.

sejarah dan budaya suatu perusahaan memainkan peran utama dalam membentuk lingkungan
pengendalian nya. Sebagai contoh, ketika suatu perusahaan dan tempat-tempat manajemen penekanan kuat
pada menghasilkan produk bebas dari kesalahan, ketika manajemen senior terus menekankan pentingnya produk
bebas dari kesalahan, dan jika pesan ini telah dikomunikasikan kepada semua tingkatan, ini menjadi kontrol
penting faktor lingkungan bagi perusahaan. Kata-kata kepala eksekutif perwira (CEO) dan anggota lain dari
manajemen senior berkomunikasi pesan yang kuat kepada karyawan, pelanggan, dan stakeholder lainnya. Ini set
yang sangat penting dari pesan ini dikenal sebagai nada di bagian atas.

Namun, jika manajemen senior telah memiliki reputasi '' mencari jalan lain '' di pelanggaran kebijakan dan hal-
hal lain, ini pesan-bahwa manajemen tidak benar-benar peduli-akan dengan cepat dikomunikasikan kepada
orang lain juga. Sebuah nada positif di bagian atas set pesan dari manajemen senior akan membentuk tema
ini dalam lingkungan kontrol untuk seluruh perusahaan.

The COSO komponen lingkungan pengendalian memiliki unsur-unsur utama yang manajer dan auditor
harus selalu memahami dan diingat ketika menerapkan perubahan perusahaan atau melakukan review dari
kegiatan atau unit bisnis. Ini membentuk yayasan atau dasar untuk pengendalian internal yang baik. Manajer
harus mencoba untuk mengembangkan kesadaran umum faktor lingkungan pengendalian ini meliputi operasi
perusahaan mereka secara keseluruhan dan harus mempertimbangkan mereka sebagai komponen penting
dari kerangka pengendalian internal. Lingkungan pengendalian, serta unsur-unsur lain dari COSO Model
pengendalian internal, dibagi lagi menjadi faktor kontrol beberapa. Definisi fi de standar ini dapat
membingungkan dengan kerangka pengendalian internal memiliki komponen kontrol lingkungan yang terdiri
dari faktor kontrol beberapa.
lingkungan pengendalian. Ini juga harus membantu untuk memberikan pemahaman tentang bagaimana kerangka COSO pengendalian

internal secara keseluruhan didefinisikan:

1. Pengendalian Lingkungan Faktor: Integritas dan Nilai Etika. Suatu perusahaan yang
integritas keseluruhan dan nilai-nilai etika merupakan elemen penting dari lingkungan kontrol yang sering
didefinisikan dan dikomunikasikan melalui manajemen senior '' nada di bagian atas '' pesan. Jika suatu
perusahaan telah mengembangkan kode yang kuat dari perilaku bisnis yang menekankan integritas dan
etika nilai-nilai, dan jika para pemangku kepentingan muncul untuk mengikuti kode itu, ini adalah pesan
kuat bahwa perusahaan memiliki baik set nilai-nilai etika. Sebuah kode etik saat ini merupakan
komponen penting dari tata kelola organisasi. Namun, prinsip-prinsipnya dapat dilanggar melalui
ketidaktahuan kode itu serta yang disengaja penyimpangan karyawan. Inmany contoh, karyawan
mungkin tidak tahu bahwa mereka melakukan sesuatu yang salah atau mungkin keliru percaya bahwa
tindakan mereka dalam kepentingan terbaik perusahaan. Ketidaktahuan ini sering disebabkan oleh
bimbingan moral yang buruk oleh manajemen senior daripada dengan niat karyawan secara keseluruhan
untuk menipu. Sering tertanam dalam kode etik, kebijakan dan nilai-nilai ini harus dikomunikasikan
kepada semua tingkat perusahaan.
Meskipun ada selalu bisa menjadi '' apel buruk '' di setiap perusahaan, kebijakan yang kuat dan
menunjukkan tindakan yang tepat akan mendorong semua orang untuk bertindak dengan benar. Akan
kembali ke pemisahan penerbitan kami cek tugas kontrol misalnya intern, nilai-nilai etika perusahaan
harus cukup kuat bahwa pihak menyetujui wajib meninjau permintaan cek bukan hanya '' karet stamping
'' persetujuan tanda tangan tanpa pengawasan atau ulasan. Ketika melakukan tinjauan independen di
daerah tertentu,

Semua manajer dan stakeholder lainnya harus memiliki pemahaman yang baik tentang kode perusahaan
mereka perilaku dan bagaimana itu diterapkan dan dikomunikasikan. Jika kode ini out-of-date, jika tidak muncul
ke alamat masalah etika penting yang dihadapi suatu perusahaan, atau tidak dikomunikasikan kepada semua
pemangku kepentingan secara berulang, kegagalan ini mungkin merupakan fi kan perusahaan pengendalian
internal signi defisiensi. Apa jenis masalah yang termasuk dalam kode etik? Pameran 1.2 adalah contoh dari
kode tersebut etik daftar isi. Topik akan bervariasi dengan area bisnis perusahaan itu, tapi setiap bagian di sini
harus berisi pernyataan bimbingan yang kuat.

Sementara kode etik menjelaskan aturan untuk perilaku etis dalam suatu perusahaan dan
sementara anggota senior manajemen mungkin teratur berkomunikasi pesan etika yang tepat, insentif
lainnya dan godaan dapat mengikis lingkungan pengendalian internal secara keseluruhan ini. Individu
dapat terlibat dalam tidak jujur, atau tindakan tidak etis ilegal jika perusahaan mereka memberi mereka
insentif yang kuat atau godaan untuk melakukannya. Sebagai contoh, perusahaan dapat membentuk
sangat tinggi, target kinerja yang tidak realistis untuk penjualan atau kuota produksi. Jika ada imbalan
yang kuat untuk pencapaian tujuan-atau kinerja ini lebih buruk, ancaman kuat untuk melewatkan target-
karyawan dapat didorong untuk terlibat dalam praktek-praktek curang atau dipertanyakan atau untuk
merekam fi transaksi rekening ctitious untuk mencapai tujuan tersebut.
 Perusahaan Kode Khas Topik Area Conduct

I. PENDAHULUAN

A. Tujuan Kode Etik: Sebuah pernyataan umum tentang Kode latar belakang Perilaku ini.

B. Komitmen untuk Kuat Standar Etika: Sebuah pernyataan kembali dari perusahaan Pernyataan Misi dan surat pendukung dari

CEO.
C. Dimana untuk Mencari Bimbingan: Sebuah deskripsi bantuan perusahaan dan proses konseling.

D. Pelaporan Ketidakpatuhan: Pedoman Pelapor-Bagaimana untuk melaporkan.

E. Tanggung Jawab ke Akui Kode: Sebuah deskripsi dari proses kode pengakuan.

II. PRAKTEK MENGHADAPI ENTERPRISE FAIR

A. Praktek Jual: Pedoman untuk berurusan dengan pelanggan.

B. Membeli Praktek: Bimbingan dan kebijakan untuk menangani dengan vendor.

AKU AKU AKU. TEMPAT KERJA PERILAKU DALAM

A. Standar Equal Employment Opportunity: Sebuah pernyataan komitmen yang kuat.

B. Kerja dan Pelecehan Seksual: Sebuah pernyataan komitmen yang sama kuat.

C. Alkohol dan Penyalahgunaan Zat: Sebuah pernyataan kebijakan di daerah ini.

IV. KONFLIK KEPENTINGAN

A. Pekerjaan Sampingan: Pembatasan menerima pekerjaan dari pesaing.

B. Personal Investasi: Aturan tentang menggunakan data perusahaan untuk membuat keputusan investasi pribadi.

C. Hadiah dan lain Bene ts fi: Aturan tentang menerima suap dan hadiah yang tidak tepat.

D. Mantan Karyawan: Aturan yang melarang memberi nikmat untuk mantan karyawan dalam bisnis.

E. Anggota Keluarga: Aturan tentang memberi bisnis kepada anggota keluarga, menciptakan potensi konflik kepentingan.

PROPERTY COMPANY V. DAN CATATAN

Aset A. Perusahaan: Sebuah pernyataan yang kuat pada tanggung jawab seorang karyawan untuk melindungi semua aset perusahaan.

B. Sistem Komputer Sumber Daya: Sebuah pernyataan di tanggung jawab pemangku kepentingan untuk melindungi dan sistem komputer

dan jaringan tidak penyalahgunaan sumber daya.

C. Penggunaan Nama Perusahaan: Sebuah aturan bahwa nama perusahaan seharusnya hanya digunakan untuk urusan bisnis normal.

D. Perusahaan Rekaman: Aturan mengenai tanggung jawab karyawan untuk integritas catatan.

E. Con fi Informasi bersifat rahasia: Aturan tentang pentingnya menjaga semua informasi perusahaan bersifat rahasia dan tidak

memberitahukannya kepada orang luar.

Privasi F. Karyawan: Sebuah pernyataan yang kuat tentang pentingnya informasi pribadi menjaga karyawan bersifat rahasia kepada

orang luar dan karyawan lainnya.

G. Perusahaan Bene fi ts: Karyawan tidak harus mengambil perusahaan bene ts fi di mana mereka tidak berhak.

VI. PEMENUHAN HUKUM

A. Di dalam Informasi dan Perdagangan Orang Dalam: Aturan yang melarang insider trading atau manfaat ting dari informasi dalam.

B. Politik Kontribusi dan Aktivitas: Sebuah pernyataan yang kuat pada aturan kegiatan politik.

C. Suap dan Suap: Sebuah aturan fi rm pada tidak menggunakan suap atau menerima suap.

Hubungan D. Usaha Asing: Aturan mengenai berurusan dengan agen-agen asing sejalan dengan Foreign Corrupt Practices Act.

E. Keselamatan Kerja: Sebuah pernyataan pada kebijakan perusahaan untuk mematuhi peraturan OSHA.

F. Keamanan Produk: Sebuah pernyataan pada komitmen perusahaan untuk keamanan produk.

G. Perlindungan Lingkungan: Sebuah aturan mengenai komitmen perusahaan untuk mematuhi hukum lingkungan yang berlaku.

EXHIBIT 1.2 Kode Etik Topik Contoh

 & Tidak ada atau tidak efektif kontrol, seperti pemisahan miskin tugas di sensitif

daerah, yang menawarkan godaan untuk mencuri atau menyembunyikan kinerja yang buruk

& desentralisasi yang tinggi bahwa daun atas manajemen tidak menyadari tindakan yang dilakukan di

menurunkan kadar perusahaan, mengurangi kemungkinan tertangkap

& Sebuah fungsi manajemen yang lemah yang memiliki kemampuan baik maupun kewenangan untuk

mendeteksi dan melaporkan perilaku yang tidak tepat

& Hukuman untuk perilaku yang tidak tepat yang tidak signifikan atau tidak dipublikasikan, kehilangan

nilai mereka sebagai pencegah

Ada pesan yang kuat di sini baik bagi manajer yang bertanggung jawab dan untuk perusahaan secara total.

Pertama, seorang manajer harus selalu mempertimbangkan faktor-faktor lingkungan pengendalian ini ketika
menilai kinerja perusahaan, dan harus skeptis dan melakukan tes yang tepat ketika meninjau operasi. Ketika
hal-hal terlihat '' terlalu bagus, '' seorang manajer mungkin ingin terlihat sedikit lebih keras. penilaian ini lebih
detail operasi seharusnya tidak hanya mendapati sesuatu yang salah dalam melaporkan ''

terlalu-goodto-be-benar '' nomor tapi untuk menilai apakah ketidakefisienan fi de di lingkungan pengendalian
dapat menyebabkan kemungkinan kegiatan penipuan. Faktor integritas dan etika nilai-nilai harus selalu menjadi
komponen utama dari lingkungan pengendalian COSO. standar integritas yang kuat dan nilai-nilai etika yang
tinggi yang penting untuk kontrol internal yang baik perusahaan.

2. Pengendalian Lingkungan Faktor: Komitmen toCompetence. Suatu perusahaan yang

lingkungan pengendalian dapat terkikis serius jika fi sejumlah signifikan dari posisi yang diisi oleh orang kurang

keterampilan kerja yang dibutuhkan. Manajer akan menghadapi situasi ini dari waktu ke waktu ketika seseorang telah

ditetapkan untuk pekerjaan tertentu tetapi tampaknya tidak memiliki sesuai keterampilan, pelatihan, atau kecerdasan untuk

melakukan pekerjaan itu. Karena semua manusia memiliki berbagai tingkat keterampilan dan kemampuan, pengawasan

dan pelatihan yang memadai harus tersedia untuk membantu karyawan sampai keterampilan yang tepat diperoleh.

Suatu perusahaan harus menentukan tingkat kompetensi yang dibutuhkan untuk tugas-tugas tugasnya dan
menerjemahkan kebutuhan ke tingkat yang diperlukan pengetahuan dan keterampilan. Dengan menempatkan orang
yang tepat dalam pekerjaan yang tepat dan memberi mereka pelatihan yang memadai bila diperlukan, suatu
perusahaan adalah membuat keseluruhan komitmen untuk kompetensi, unsur penting dalam lingkungan pengendalian
perusahaan secara keseluruhan. Manajer sering fi nd berharga untuk menilai apakah deskripsi posisi yang memadai
telah dibuat, apakah prosedur yang beroperasi untuk menempatkan orang yang tepat di posisi tersebut, dan apakah
pelatihan dan pengawasan yang memadai.

Porsi penting dari lingkungan pengendalian, penilaian kompetensi staf bisa sulit. Sementara fungsi banyak sumber

daya manusia sering memiliki rumit gradasi dan evaluasi skema, ini juga sering menjadi latihan di mana setiap orang

dalam suatu unit usaha di semua tingkatan berperingkat '' atas rata-rata. '' Dengan cara yang subjektif tingkat tinggi,

manajemen harus menilai apakah staf mereka di semua tingkatan adalah '' kompeten '' berkaitan dengan tugas

pekerjaan yang ditugaskan dan dengan upaya untuk memenuhi tujuan perusahaan secara keseluruhan. Jika seorang

manajer atau kunjungan audit internal anak perusahaan operasi remote dan nds fi bahwa tidak ada satu di departemen

akuntansi tampaknya memiliki pengetahuan tentang bagaimana untuk merekam dan transaksi keuangan laporan fi, dan

juga bahwa tidak ada program pelatihan ada untuk membantu ini '' akuntan,' 'isu-isu lingkungan pengendalian dapat

mengangkat kedua untuk

 ini unit operasi dan untuk unit yang lebih besar dari perusahaan. jenis masalah harus didiskusikan dengan
manajer lini pertama pada unit yang serta dengan manajemen yang lebih senior dan fungsi sumber daya
manusia.
Sebuah kasus khusus dari pentingnya komitmen untuk kompetensi terjadi ketika CEO menunjuk putra
atau putri ke posisi eksekutif tingkat tinggi di perusahaan meskipun tidak ada bukti bahwa anak memiliki
pengalaman atau keterampilan untuk menangani pekerjaan. Pengaturan ini bekerja dengan baik ketika anak
sebelumnya telah menghabiskan beberapa waktu '' di parit '' sebelum pengangkatan ke posisi yang lebih
senior. Penataan rambut atau pelatihan dari putra atau putri mengatakan banyak tentang komitmen
perusahaan untuk kompetensi.

3. Faktor Lingkungan Pengendalian: Direksi dan Committee Audit

tee. Lingkungan pengendalian sangat banyak dipengaruhi oleh tindakan dewan perusahaan direksi dan
komite audit. Dalam beberapa tahun terakhir, dan tentu sebelum SOx, papan dan komite audit mereka
sering didominasi oleh manajemen senior perusahaan dengan hanya terbatas, perwakilan minoritas dari
pemegang saham luar. Hal ini menciptakan situasi di mana papan tidak benar-benar independen dari
manajemen. Perusahaan perwira duduk di papan dan, pada dasarnya, mengelola sendiri sering dengan
kurang perhatian bagi pemegang saham luar daripada untuk bisnis atau pribadi kepentingan mereka
sendiri. SOx kini telah mengubah semua itu, dan papan saat ini memiliki peran tata kelola perusahaan yang
lebih besar, dan komite audit mereka diwajibkan untuk terdiri dari independen, direktur luar.

Selain persyaratan hukum SOx, papan aktif dan independen merupakan komponen penting dari lingkungan
pengendalian suatu perusahaan. anggota dewan harus mengajukan pertanyaan yang tepat untuk manajemen
puncak dan memberikan semua aspek dari perusahaan rinci pengawasan. Dengan menetapkan kebijakan tingkat
tinggi dan meninjau perilaku perusahaan secara keseluruhan, dewan dan komite audit memiliki tanggung jawab
utama untuk pengaturan ini '' nada di bagian atas. ''

4. Pengendalian Lingkungan Faktor: Filsafat Manajemen dan Operasi

Gaya. Faktor-faktor manajemen senior memiliki cukup besar dalam memengaruhi atas lingkungan
pengendalian suatu perusahaan. Sebagaimana dibahas dalam Bab 5 pada pelaksanaan program
manajemen risiko yang efektif, beberapa manajer tingkat atas sering mengambil risiko fi kan
perusahaan signifikan dalam bisnis atau produk usaha baru mereka sementara yang lain sangat hati-
hati dan konservatif. Beberapa orang tampaknya beroperasi dengan '' kursi dari celana '' sementara
yang lain bersikeras bahwa segala sesuatu harus benar disetujui dan didokumentasikan. Sebagai
contoh, givenmanager mungkin mengambil pendekatan yang sangat agresif dalam interpretasi pajak
dan fi aturan keuangan-laporan sementara yang lain dapat memilih untuk pergi ketat oleh buku.
Komentar ini tidak berarti bahwa salah satu pendekatan selalu baik dan yang lain konsisten buruk atau
salah. Kecil,

Filosofi Thesemanagement dan gaya operasional pertimbangan adalah bagian dari lingkungan
pengendalian perusahaan. Manajer dan orang lain yang bertanggung jawab untuk menilai pengendalian
internal harus memahami faktor-faktor ini dan membawa mereka ke dalam pertimbangan ketika menginstal
dan membangun sistem yang efektif internal
 kontrol. Sementara tidak ada satu set gaya dan filosofi adalah yang terbaik untuk semua, faktor ini penting ketika

mempertimbangkan komponen lain dari pengendalian internal dalam suatu perusahaan. Sementara dibahas sebagai

bagian dari lingkungan pengendalian internal di sini, kebutuhan untuk lebih memahami faktor-faktor lingkungan

pengendalian terkait risiko adalah salah satu alasan untuk COSO ERM.

5. Pengendalian Lingkungan Faktor: Struktur Organisasi. komponen-komponen ini

menyediakan kerangka kerja untuk perencanaan, pelaksanaan, pengendalian, dan pemantauan untuk mencapai
tujuan secara keseluruhan. Aspek lingkungan pengendalian berkaitan dengan cara berbagai fungsi aremanaged
dan terorganisir, menyusul grafik perusahaan klasik. Beberapa perusahaan sangat terpusat sementara yang lain
didesentralisasikan oleh produk atau geografi. Yang lain diatur dengan cara matriks dengan tidak ada garis
langsung tunggal pelaporan. Struktur organisasi adalah aspek yang sangat penting dari lingkungan pengendalian
perusahaan itu, tetapi tidak ada satu struktur menyediakan lingkungan yang lebih disukai untuk kontrol internal.

Ada banyak cara di mana berbagai komponen suatu perusahaan dapat dirakit. Kontrol organisasi
adalah bagian dari proses kontrol yang lebih besar. Syarat
perusahaan sering digunakan bergantian dengan istilah pengorganisasian dan sarana tentang hal yang sama kepada banyak

orang. Perusahaan kadang-kadang mengacu pada hubungan hirarkis antara orang-orang tetapi juga digunakan secara luas

untuk mencakup semua aspek manajemen. Kita umumnya akan menggunakan istilah perusahaan untuk merujuk pada entitas

organisasi, seperti perusahaan, sebuah fi t asosiasi tidak-untuk-pro, atau kelompok yang terorganisasi. Suatu perusahaan

adalah seperangkat pengaturan organisasi dikembangkan sebagai hasil dari proses pengorganisasian.

Suatu perusahaan dapat digambarkan sebagai cara kumpulan usaha kerja dan keduanya
ditugaskan dan kemudian terintegrasi untuk pencapaian tujuan secara keseluruhan. Sementara konsep
ini dapat diterapkan untuk cara di mana satu individu menyelenggarakan upaya individu, itu lebih berlaku
untuk usaha kelompok. Sebuah rencana yang kuat dari kontrol perusahaan merupakan komponen
penting dari sistem pengendalian internal. Individu dan subkelompok harus memiliki pemahaman dari
total tujuan dan sasaran kelompok atau badan yang mereka bagian. Tanpa pemahaman seperti itu, bisa
ada signi fi kelemahan pengendalian tidak bisa.

Setiap perusahaan-apakah unit bisnis, pemerintah, kelompok filantropis, atau unit lain-membutuhkan
rencana yang efektif dari organisasi. Amanager bertanggung jawab atas fungsi atau kebutuhan satuan untuk
memiliki pemahaman yang baik tentang struktur organisasi dan hubungan pelaporan yang dihasilkan, apakah,
desentralisasi, atau matriks struktur organisasi fungsional. Seringkali, kelemahan dalam kontrol organisasi dapat
memiliki efek yang luas di seluruh lingkungan total kontrol. Meskipun garis wewenang yang jelas, perusahaan
kadang-kadang memiliki built-in ketidakefisienan fi tidak e yang menjadi lebih besar sebagai ukuran
mengembang perusahaan. Ini ketidakefisienan fi tidak e sering menyebabkan prosedur pengendalian untuk
memecah, andmanagement harus menyadari dari mereka ketika mengevaluasi lingkungan pengendalian
organisasi dalam perusahaan.

struktur perusahaan yang kompleks atau kurang terorganisir dapat menyebabkan beberapa tantangan
utama. Dalam perekonomian saat ini, perusahaan divisi atau unit kadang-kadang berputar off sebagai
perusahaan independen oleh mantan perusahaan induk. Karyawan perusahaan ini baru berputar-off akan
mengikuti sistem dan prosedur
 orang tua sebelumnya tapi sekarang memiliki tanggung jawab untuk membangun kontrol struktur organisasi
mereka sendiri. garis struktur organisasi otoritas dapat menjadi membingungkan bagi para pemangku
kepentingan di lingkungan merger perusahaan, usaha patungan, dan akuisisi. Semua terlalu sering struktur
pengendalian internal diabaikan ketika bisnis berdiri bebas dibuat dan rincian struktur keuangan ditetapkan.

6. Pengendalian Lingkungan Faktor: Penugasan Otoritas andResponsibility.

fi daerah ned COSO-de ini dari lingkungan pengendalian mirip dengan faktor struktur perusahaan yang telah
dibahas sebelumnya. Struktur suatu perusahaan mendefinisikan tugas dan integrasi dari total usaha kerja. Tugas
wewenang pada dasarnya adalah cara tanggung jawab secara de didefinisikan dalam hal deskripsi pekerjaan dan
terstruktur dalam hal grafik perusahaan. Meskipun tugas pekerjaan tidak pernah dapat sepenuhnya melarikan diri
beberapa tanggung jawab yang tumpang tindih atau bersama, lebih tepatnya tanggung jawab tersebut dapat
dinyatakan, semakin baik. Keputusan tentang bagaimana tanggung jawab akan ditugaskan akan sering
menghindari kebingungan dan konflik antara upaya kerja individu dan kelompok.

Banyak perusahaan dari semua jenis dan ukuran saat ini telah merampingkan operasi mereka dan
mendorong otoritas pengambilan keputusan mereka ke bawah dan lebih dekat ke personil lini depan. Idenya
adalah bahwa karyawan garis depan ini harus memiliki pengetahuan dan kekuatan untuk membuat keputusan
penting di daerah mereka sendiri operasi daripada diperlukan untuk lulus permintaan untuk keputusan melalui
saluran departemen organisasi. Tantangan penting yang terjadi dengan delegasi ini atau pemberdayaan
adalah bahwa meskipun dapat mendelegasikan beberapa otoritas untuk mencapai beberapa tujuan
organisasi, manajemen senior akhirnya bertanggung jawab untuk setiap keputusan yang dibuat oleh orang-
orang bawahan.

Suatu perusahaan dapat menempatkan diri pada risiko jika terlalu banyak keputusan yang melibatkan
tujuan-tingkat yang lebih tinggi ditugaskan pada tingkat tidak tepat lebih rendah tanpa tinjauan manajemen yang
memadai. Selain itu, setiap orang dalam perusahaan harus memiliki yang baik memahami tujuan keseluruhan
perusahaan serta bagaimana tindakan individu saling berhubungan untuk mencapai tujuan tersebut. Bagian
kerangka COSO laporan pengendalian internal yang sebelumnya direferensikan menggambarkan daerah ini
sangat penting dari lingkungan pengendalian sebagai berikut:

Lingkungan pengendalian adalah sangat dipengaruhi oleh sejauh mana individu mengenali
mereka akan dimintai pertanggungjawaban. Ini berlaku sampai ke kepala eksekutif, yang memiliki
tanggung jawab utama untuk semua kegiatan dalam suatu entitas, termasuk sistem pengendalian
internal.

7. Faktor Lingkungan Pengendalian: Sumber Daya Manusia Kebijakan dan Praktek.

praktek sumber daya manusia meliputi bidang-bidang seperti perekrutan, orientasi, pelatihan, valuasi, konseling,
mempromosikan, kompensasi, dan mengambil tindakan perbaikan yang tepat. Sedangkan fungsi sumber daya
manusia harus memiliki kebijakan yang diterbitkan memadai di daerah-daerah, bidang praktek yang sebenarnya
mereka mengirim pesan yang kuat kepada karyawan mengenai tingkat diharapkan mereka perilaku etis dan
kompetensi. Karyawan tingkat tinggi yang secara terbuka pelanggaran kebijakan sumber daya manusia, seperti
mengabaikan larangan tanaman merokok, cepat mengirim pesan ke orang lain dalam perusahaan. Pesan yang
tumbuh bahkan lebih keras ketika seorang karyawan tingkat rendah yang disiplin untuk
 rokok yang tidak sah yang sama sementara semua orang terlihat seperti yang lain pada pelanggar-tingkat yang lebih

tinggi.

Area dimana kebijakan dan praktik sumber daya manusia ini sangat penting meliputi:

& Rekrutmen dan Mempekerjakan. perusahaan harus mengambil langkah-langkah untuk menyewa yang terbaik, paling

menyebutkan statusnya fi ed kandidat. latar belakang karyawan yang potensial harus diperiksa untuk
memverifikasi hal-hal seperti latar belakang pendidikan dan pengalaman kerja sebelumnya. Wawancara
harus terorganisasi dengan baik dan mendalam. Mereka juga harus mengirimkan pesan kepada bakal calon
tentang nilai-nilai perusahaan, budaya, dan gaya operasi.

& Orientasi Karyawan baru. Sebuah sinyal yang jelas harus diberikan kepada karyawan baru

mengenai sistem nilai perusahaan dan konsekuensi dari tidak sesuai dengan nilai-nilai. Hal ini sering
terjadi ketika karyawan baru diperkenalkan dengan kode etik dan diminta untuk secara resmi mengakui
penerimaan mereka dari kode tersebut. Tanpa pesan-pesan ini, karyawan baru dapat bergabung dengan
perusahaan kurang memiliki pemahaman yang tepat dari nilai-nilainya.

& Evaluasi, Promosi, dan Kompensasi. Harus ada adil kinerja-

evaluasi program di tempat yang tidak tunduk pada jumlah yang berlebihan dari kebijaksanaan
manajerial. Karena isu-isu seperti evaluasi dan kompensasi dapat melanggar karyawan kerahasiaan,
sistem secara keseluruhan harus ditetapkan dengan cara yang muncul untuk bersikap adil terhadap
semua anggota perusahaan. program insentif bonus sering alat yang berguna untuk memotivasi dan
memperkuat kinerja yang luar biasa oleh semua karyawan, tapi harus ada persepsi bahwa bonus ini
diberikan secara adil dan cara yang adil.

& Tindakan disiplin. kebijakan yang konsisten dan dipahami dengan baik untuk disiplin

tindakan harus di tempat. Semua karyawan harus tahu bahwa jika mereka melanggar aturan-aturan tertentu,
mereka akan dikenakan perkembangan tindakan disipliner yang mengarah ke setidaknya pemecatan. perusahaan
harus berhati-hati untuk memastikan bahwa tidak ada standar ganda ada untuk disiplin tindakan-atau, jika ada
standar ganda seperti tidak ada, bahwa karyawan-tingkat yang lebih tinggi tergantung pada tindakan disipliner
bahkan lebih parah. kebijakan dan prosedur sumber daya manusia yang efektif merupakan komponen penting
dalam lingkungan kontrol secara keseluruhan ini. Pesan dari atas struktur perusahaan yang kuat akan mencapai
sedikit jika perusahaan tidak memiliki kebijakan sumber daya manusia yang kuat dan prosedur di tempat.

Manajemen harus selalu mempertimbangkan unsur ini dari lingkungan pengendalian saat melakukan review dari
unsur-unsur lain dari kerangka pengendalian internal.

Pameran 1.1 menunjukkan komponen dari kerangka pengendalian internal COSO sebagai sebuah kubus,
dengan lingkungan pengendalian sebagai yang terendah atau yayasan komponen. Konsep lingkungan pengendalian
bertindak sebagai yayasan adalah sangat tepat. The COSO lingkungan pengendalian internal dan tujuh hanya dibahas
faktor lingkungan pengendalian memberikan dasar untuk komponen lain dari kerangka pengendalian COSO internal.

Perusahaan yang dapat membangun struktur pengendalian internal yang kuat harus memberikan perhatian khusus
untuk menempatkan batu bata dasar yang kuat ini dalam struktur lingkungan kendali mereka.
COSO Pengendalian Internal Elemen: Penilaian Risiko

Lagi dengan kembali mengacu pada pameran 1.1 COSO pengendalian internal framework, tingkat berikutnya atau lapisan atas dasar kontrol

disebut penilaian risiko. kemampuan suatu perusahaan untuk mencapai tujuannya dapat berisiko karena berbagai faktor internal dan eksternal.

Sebagai bagian dari struktur pengendalian internal secara keseluruhan, perusahaan harus memiliki proses di tempat untuk mengevaluasi potensi

risiko yang dapat mempengaruhi pencapaian berbagai tujuan pengendalian internal. Sedangkan jenis proses penilaian risiko dapat berupa proses

penilaian risiko formal yang kuantitatif atau kurang formal pendekatan, yang akan diperkenalkan dalam Bab 3, harus ada setidaknya minimal

memahami proses penilaian risiko. Suatu perusahaan yang memiliki tujuan informal '' tidak ada perubahan '' dalam rencana pemasaran mungkin

ingin menilai risiko tidak mencapai bahwa karena tujuan masuknya pesaing baru yang dapat menempatkan tekanan pada tujuan dari melakukan hal

yang sama seperti pada tahun sebelumnya. Penilaian risiko harus menjadi proses ke depan. Artinya, banyak perusahaan telah menemukan bahwa

waktu terbaik dan tempat untuk menilai berbagai tingkat mereka dari risiko adalah selama proses perencanaan tahunan atau periodik. Proses

penilaian risiko ini harus dilakukan di semua tingkat dan untuk hampir semua kegiatan dalam perusahaan. The COSO pengendalian internal

kerangka menggambarkan penilaian risiko sebagai proses tiga langkah: Penilaian risiko harus menjadi proses ke depan. Artinya, banyak

perusahaan telah menemukan bahwa waktu terbaik dan tempat untuk menilai berbagai tingkat mereka dari risiko adalah selama proses

perencanaan tahunan atau periodik. Proses penilaian risiko ini harus dilakukan di semua tingkat dan untuk hampir semua kegiatan dalam

perusahaan. The COSO pengendalian internal kerangka menggambarkan penilaian risiko sebagai proses tiga langkah: Penilaian risiko harus

menjadi proses ke depan. Artinya, banyak perusahaan telah menemukan bahwa waktu terbaik dan tempat untuk menilai berbagai tingkat mereka

dari risiko adalah selama proses perencanaan tahunan atau periodik. Proses

penilaian risiko ini harus dilakukan di semua tingkat dan untuk hampir semua kegiatan dalam perusahaan. The COSO pengendalian internal kerangka menggambarkan penilaian risiko sebagai
pros

1. Memperkirakan fi signifikansi dari risiko.

2. Menilai kemungkinan atau frekuensi risiko yang terjadi.

3. Pertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa yang harus diambil.

Kerangka COSO ERM, seperti yang diperkenalkan mulai pada Bab 4, mempertahankan faktor-faktor yang sama tetapi

memperlakukan konsep secara muchmore menyeluruh dan hampir elegan. The COSO pengendalian internal proses penilaian risiko

menempatkan tanggung jawab onmanagement untuk pergi melalui langkah-langkah untuk menilai apakah risiko adalah signifikan dan

kemudian, jika demikian, untuk mengambil tindakan yang tepat. COSO ERM, seperti yang akan dibahas dalam banyak bab yang

mengikuti, mengarah ke yang jauh lebih komprehensif, pendekatan terpadu untuk memahami risiko suatu perusahaan sebagai bagian

dari lingkungan pengendalian internal mereka.

The COSO pengendalian internal kerangka dirilis lebih dari 10 tahun sebelum COSO ERM-menekankan bahwa analisis risiko

bukanlah proses teoritis, tetapi sering dapat menjadi penting untuk keberhasilan suatu entitas secara keseluruhan. Sebagai bagian

dari penilaian keseluruhan pengendalian internal, manajemen harus mengambil langkah-langkah untuk menilai risiko yang dapat

mempengaruhi perusahaan serta risiko atas berbagai kegiatan perusahaan atau badan. Berbagai risiko, disebabkan oleh salah satu

sumber internal atau eksternal, dapat mempengaruhi perusahaan secara keseluruhan. COSO ERM memiliki didefinisikan beberapa

komponen penting, menyarankan bahasa yang sama, dan telah memperkenalkan bahasa yang umum untuk memungkinkan

perusahaan untuk lebih baik mengelola risiko perusahaan-level.

Komponen Pengendalian lainnya COSO Internal Kegiatan

Lingkungan pengendalian serta penilaian risiko hanya dua komponen dari kerangka kontrol COSO internal.
Sementara kedua mengatur panggung baik untuk pengendalian internal COSO dan ERM, unsur-unsur internal
lainnya dari kegiatan pengendalian, informasi dan komunikasi, dan pemantauan juga sangat penting untuk
memahami keseluruhan
COSO framework pengendalian internal. Pemahaman tentang kerangka pengendalian internal COSO adalah penting
bagi manajer hari ini di semua tingkatan dan komponen dari suatu perusahaan. Jika tidak ada alasan lain,
pemahaman yang diperlukan untuk suatu perusahaan untuk mencapai SOx Bagian 404 persyaratan kontrol
kepatuhan internal mereka, seperti yang akan dirangkum dalam Bab 10. Namun, tujuan dari buku ini bukan untuk
memberikan penjelasan rinci tentang seluruh COSO intern kerangka kontrol melainkan untuk memperkenalkan
sebagai pendahulu untuk COSO ERM.

pengendalian internal dan manajemen risiko perusahaan masing-masing mengambil perspektif yang
berbeda untuk memahami dan mengevaluasi kegiatan dalam suatu perusahaan. Sementara COSO
pengendalian internal fokus pada kegiatan sehari-hari suatu perusahaan, manajemen risiko perusahaan
berfokus pada kegiatan yang perusahaan dan manajer yang mungkin atau mungkin tidak. Seorang manajer
yang tertarik, misalnya, dalam kontrol yang diperlukan untuk mengumpulkan transaksi akuntansi, untuk
meringkas mereka dengan cara yang terkendali dengan baik, dan untuk mempublikasikan mereka sebagai
hasil keuangan perusahaan. Namun, manajer yang sama mungkin khawatir tentang risiko perusahaan seperti
dampak keuangan pada perusahaan karena peluncuran produk baru, reaksi dan tindakan pesaing, dan kondisi
pasar secara keseluruhan untuk itu peluncuran produk baru.

COSO INTERNAL KONTROL: THE PRINCIPAL DIAKUI INTERNAL KONTROL

STANDARD

The COSO pengendalian internal kerangka dirilis pada tahun 1992 sebagai publikasi tiga volume
menggambarkan standar pengendalian internal ini. Meskipun ada awalnya pengakuan kerangka COSO luar
komentar di AICPA dan IIA publikasi terbatas, akuntan publik fi rms kemudian utama dan lain-lain segera
mulai melihat nilainya. Selama bertahun-tahun, para COSO pengendalian internal framework telah menjadi
standar pedoman seluruh dunia untuk mendefinisikan, menjelaskan, dan menilai pengendalian internal.

standar auditing akuntansi publik dulunya tanggung jawab AICPA Standar Audit Board (ASB), tapi
karena aktivasi SOx pada tahun 2002, Perusahaan Publik Akuntansi Dewan Pengawas (PCAOB) telah
dibentuk untuk mengawasi semua rms audit fi independen dan mengambil tanggung jawab untuk pelepasan
standar auditing. PCAOB telah mengeluarkan standar auditing yang mengakui dan menerima COSO
pengendalian internal framework. 4

AN INTRODUCTION TO COSO ERM

Rilis dari COSO pengendalian internal framework dengan definisi fi de nya menunjuk ke bidang terkait lainnya
di mana konsisten definisi de fi kurang. Salah satunya adalah manajemen risiko, sebuah konsep yang telah
menerima beberapa definisi fi de dan interpretasi oleh berbagai kelompok industri. Ini adalah era sebelum era
2002 SOx aturan, ketika beberapa perusahaan akuntan publik mulai menyebut diri mereka manajemen risiko
profesional,
 Tata Kelola, Risiko, dan Kepatuhan
&
1

meskipun banyak tampaknya tidak memiliki pemahaman yang jelas tentang apa yang dimaksud dengan manajemen risiko.
Untuk mencoba mengembangkan suatu manajemen risiko yang konsisten definisi, COSO dikontrak dengan
PricewaterhouseCoopers fi rm publik akuntansi (PwC) pada tahun 2001 untuk mengembangkan umum yang konsisten
definisi untuk manajemen risiko. Hasilnya adalah COSO Enterprise Risk Management atau kerangka kerja COSO ERM,
topik utama kita. COSO ERM akan lebih teliti diperkenalkan dan dibahas dalam bab-bab selanjutnya dari buku ini.

Sementara kita akan membahas banyak aspek COSO ERM dan bagaimana menggunakan kerangka kerja ini,
profesional bisnis juga harus memiliki pemahaman yang rinci tentang COSO pengendalian internal framework baru
saja diperkenalkan. Kami hanya memberikan pengantar singkat untuk pengendalian internal COSO, tetapi
penjelasan lebih rinci kerangka ini dapat ditemukan di banyak referensi Web dan dalam buku kami, Brink Modern
Audit Internal. 5 Untuk hampir semua orang yang terlibat bisnis inmodern hari ini, pemahaman tentang yang COSO
definisi dari pengendalian internal sangat penting.

TATA KELOLA, RISIKO, DAN KEPATUHAN

Perusahaan riskmanagement andCOSOERMare onlyone dari threemajor masalah yang sangat banyak
mempengaruhi semua perusahaan di seluruh dunia saat ini. Dua lainnya adalah pentingnya proses tata kelola
perusahaan yang baik, dan kebutuhan untuk program kepatuhan perusahaan-lebar efektif. Secara bersama-sama
bersama dengan manajemen risiko, tiga isu ini biasanya direferensikan oleh inisial mereka, GRC.Whilemuch
penekanan kami akan berada di pentingnya mengelola dan memahami semua aspek risiko perusahaan melalui
COSO ERM, bab-bab lain akan membahas isu-isu tata kelola dan kepatuhan penting di perusahaan.

Perusahaan atau perusahaan pemerintahan adalah serangkaian proses, kebiasaan, kebijakan, hukum, dan
lembaga-lembaga yang mempengaruhi cara suatu perusahaan atau korporasi diarahkan, diberikan, atau
dikendalikan. Hal ini muchmore dari pernyataan kebijakan yang diterbitkan dalam laporan tahunan atau public
relations ketik iklan di Wall Street Journal. tata kelola perusahaan meliputi cara hubungan di antara banyak
pemangku kepentingan yang terlibat dalam perusahaan dan tujuan yang perusahaan diatur. Para pemangku
kepentingan
utama adalah pemegang saham, dewan direksi, karyawan, pelanggan, kreditur, pemasok, dan masyarakat pada
umumnya.

governance perusahaan adalah subjek multifaset, dengan tema penting untuk memastikan akuntabilitas individu
tertentu dalam suatu perusahaan melalui mekanisme yang mencoba untuk mengurangi atau menghilangkan konflik
yang akan ada di antara tujuan-tujuan mereka dan pemangku kepentingan individu kepentingan. Dalam banyak
kegiatan perusahaan, ada kebutuhan terus fokus sistem pemerintahan di ef ekonomi fi siensi bersama dengan
penekanan kuat pada pemegang saham dan pemangku kepentingan kesejahteraan.

Telah ada minat baru dalam praktek tata kelola perusahaan atau perusahaan dalam perusahaan modern
sejak tahun 2001, terutama karena tinggi-pro fi le runtuh dari sejumlah besar perusahaan AS seperti Enron
Korporasi pada waktu itu dan kegagalan banyak lembaga keuangan di tahun-tahun mulai sekitar 2008. Ketika
Enron gagal, pemerintah federal AS lulus Sarbanes-Oxley Act (SOX) pada tahun 2002 dengan tujuan untuk
mengembalikan publik percaya diri di perusahaan atau perusahaan pemerintahan.
Runtuhnya bank dan lembaga keuangan lainnya pada tahun 2008 dan seterusnya di Amerika Serikat menyebabkan dana talangan

wajib pajak besar-besaran dan peningkatan aturan hukum. Sebuah kebutuhan saat ini perusahaan untuk menetapkan kebijakan untuk

secara efektif menangani isu-isu pemerintahan serta budaya untuk memungkinkan untuk membangun sistem yang efektif

pemerintahan.

Setelah pemerintahan, masalah risiko, dan manajemen, komponen kunci ketiga GRC adalah perusahaan

kepatuhan. Kepatuhan adalah salah suatu keadaan sesuai dengan beberapa pedoman yang ditetapkan,
spesifikasi-spesifikasi, atau undang-undang atau proses menjadi begitu. audit internal, misalnya, harus dikembangkan
sesuai dengan Standar Internasional untuk Praktik Profesional Audit Internal, seperti yang akan dibahas dalam Bab
14. Software, sebagai contoh lain, dapat dikembangkan sesuai dengan spesifikasi-spesifikasi yang dibuat oleh
beberapa badan standar dan harus dipasang dan digunakan sesuai dengan perjanjian lisensi vendor. Dalam sistem
hukum, kepatuhan biasanya mengacu pada perilaku sesuai dengan undang-undang, seperti Undang-Undang
Sarbanes-Oxley (SOX) atau salah satu dari tubuh besar dan berkembang dari undang-undang dan peraturan lainnya.

Suatu perusahaan harus mengembangkan sistem untuk memantau dan mengelola tingkat mereka compliancewith berbagai aturan

dan peraturan juga sebagai untuk mengambil tindakan yang tepat untuk mendeteksi dan bertindak atas setiap pelanggaran. Dengan

penekanan pada COSO ERM, bab-bab berikut akan memperkenalkan dan membahas bagaimana suatu perusahaan saat ini harus

mengembangkan proses GRC yang tepat.

GLOBAL COMPUTER PRODUK: KAMI CONTOH PERUSAHAAN

Bab-bab berikut akan mencakup beberapa contoh bentuk dan prosedur serta diskusi dari COSO ERM dan
proses GRC lain yang dapat secara efektif diluncurkan dan diterapkan di suatu perusahaan. Mulai di sini dan
seluruh diskusi kita dari komponen COSO ERM serta dalam bahan GRC lainnya saat yang tepat, kita akan
mengacu pada produsen hipotetis produk komputer disebut Global Computer Products. Pameran 1.3
memberikan gambaran dan latar belakang dari contoh perusahaan ini sementara pameran 1,4 merangkum
beberapa dari berbagai risiko yang mungkin berdampak seperti perusahaan sampel. Pemahaman tentang
risiko ini akan memungkinkan perusahaan sampel untuk mengembangkan pendekatan penilaian risiko yang
efektif.

Setelah diskusi dalam Bab 2 tentang pentingnya pernyataan misi perusahaan umum dan dengan
pengenalan contoh perusahaan ini, Bukti 1,5 menunjukkan sebuah pernyataan misi contoh Global Produk
Komputer dengan keterkaitan dengan tujuan terkait strategis dan spesifik. Diskusi kita di sini-dan tentu saja tidak
tujuan COSO ERM dan GRC prinsip-tidak menyarankan pendekatan untuk mengembangkan pernyataan misi
organisasi dan tujuan strategis formal. Sebaliknya, pesan di sini adalah bahwa setiap dan setiap perusahaan
harus mengembangkan pernyataan misi dan kemudian memiliki beberapa tujuan formal untuk mencapai misi itu.
Selain itu, perusahaan harus mengembangkan beberapa unit ukuran untuk memungkinkan mereka untuk menilai
apakah mereka mencapai tujuan-tujuan manajemen risiko.

Kami akan mereferensikan contoh perusahaan ini dalam bab-bab untuk mengikuti karena kami memperkenalkan berbagai

elemen COSO ERM dan prinsip-prinsip GRC keseluruhan. Ini adalah setidaknya sama pentingnya dengan kebutuhan untuk

mematuhi COSO pengendalian internal framework.

 Produk Komputer global: Our Contoh Perusahaan
&
1

Lobal Computer Products adalah $ 2,4 miliar produsen penjualan hipotetis dan distributor produk keamanan komputer hardware dan

software berbasis. Kami akan referensi global Produk Komputer di bab-bab lain dari buku ini sebagai contoh bagaimana suatu
perusahaan dapat menilai risiko dan mengembangkan baik ERM yang efektif dan strategi GRC. Deskripsi ini merupakan jenis organisasi

mediumsized hari yang beroperasi secara internasional dalam teknologi yang lebih maju tapi daerah salesdriven.

Beberapa karakteristik kunci dari global Produk Komputer meliputi:

& Lokasi dan Operasi. Perusahaan ini memiliki kantor pusat kantor di daerah Chicago dengan

fasilitas keamanan komputer pembangunan di San Jose, CA, dan empat pusat distribusi produk di lokasi AS yang lebih kecil serta
distribusi kantor di Belgia. Selain itu, perusahaan memiliki dua fasilitas manufaktur hardware di Cina dan fasilitas produksi perangkat

lunak dan distribusi di India. Semua fasilitas disewakan atau berlisensi, dan fungsi layanan pelanggan telah outsourcing.

& Tim manajemen. CEOwas perusahaan awalnya pendiri perusahaan. Dia dan tiga

insinyur senior adalah satu-satunya karyawan yang tersisa dari hari-hari awal dan awal penawaran saham publik (IPO). Karena omset

sering khas di industri, sebagian besar karyawan memiliki tenor yang cukup singkat. CFO cukup baru sebagai sebelum perwira diminta
untuk mengundurkan diri karena perselisihan terkait Sarbanes-Oxley dengan komite audit. Perusahaan ini membuat ekstensif

menggunakan karyawan kontrak non karyawan. Pelaporan ke eksekutif pemeriksaan kepala (CAE), Global memiliki departemen audit
internal yang relatif kecil serta penasihat umum tunggal.

& Deskripsi Produk. Global yang telah mengembangkan produk keamanan komputer yang terdiri dari kedua

perangkat keras dicolokkan ke laptop atau desktop standar komputer bersama dengan driver perangkat lunak. Perangkat keras plug-in
kartu terutama didasarkan pada chip hardware standar bersama dengan beberapa pemrograman tertanam. Perangkat lunak ini

didasarkan pada algoritma kepemilikan. Elemen desain produk dilindungi oleh hak paten, meskipun hak-hak ini telah baik ditantang di
pengadilan dan juga telah agak disalin oleh beberapa pesaing.

& Pemasaran. produk global ini dipasarkan oleh deskripsi dalam publikasi profesional sebagai

serta melalui tim perwakilan penjualan. Pada dasar di seluruh dunia, 80 persen dari penjualan untuk individu dengan keseimbangan
untuk usaha kecil. Amerika Serikat menyumbang sekitar 75 persen dari penjualan produk dengan keseimbangan di Eropa. Ada juga

segmen kecil namun tumbuh dari penjualan di Brazil di mana agen independen mendistribusikan produk. kapal global produk dari
pusat-pusat distribusi langsung ke pengecer peralatan komputer serta pengiriman ke pelanggan individual, berdasarkan perintah

Internet, email, atau telepon mereka.

& Penjualan dan Keuangan. Global $ 2,4 miliar dalam penjualan dibagi dalam kategori berikut:

penjualan tunai konsumen melalui pembelian kartu kredit. ..... 41,0%

Penjualan ke distributor grosir ..... 23,4%

penjualan ekspor ke agen ..... 12,7%

Perizinan biaya dan royalti ..... 4,9%

Global adalah perusahaan publik, diperdagangkan di NASDAQ. Dengan sahamnya didistribusikan secara luas, ekuitas swasta

kapitalis ventura memegang 12 persen saham dan manajemen memegang 3 persen. utang jangka panjang totalnya mencapai $
450,000,000 dengan mayoritas bahwa berdasarkan surat utang dijual ke investor modal ventura. Bahwa masalah surat utang termasuk

waran yang dapat dikonversi ke dalam blok besar saham biasa.

EXHIBIT 1.3 Contoh Latar Belakang Perusahaan: global Produk Komputer

 Berikut ini adalah beberapa-tetapi tentu tidak semua-risiko kunci yang bisa berdampak contoh perusahaan direferensikan seluruh pasal-

pasal ini, global Produk Komputer. Risiko ini dapat diperluas atau modi fi ed dari waktu ke waktu sebagai contoh organisasi ini
meningkatkan dan menyempurnakan lingkungan risiko. Risiko ini tidak tercantum dalam urutan kepentingan, dan setiap bisa lebih kritis

daripada yang lain.

Sifat dari berbagai risiko menunjukkan pada kesulitan untuk mengklasifikasikan risiko sebagai operasional dibandingkan keuangan
atau menentukan apakah itu milik unit bisnis atau operasi divisi. Risiko ini sering menyeberangi garis kubus COSO ERM diperkenalkan

dalam Bab 4. Mereka harus dipertimbangkan hanya risiko yang berdampak contoh perusahaan ini.

& Organisasi Strategis Risiko yang dapat mempengaruhi efektivitas produk atau operasi:
& Perubahan teknologi yang efektivitas dampak dari produk perusahaan.

& Sebuah tren jauh dari aplikasi berbasis komputer dan pindah ke Internet berbasis Software-as-a-

Service (SaaS) aplikasi.

& Sebuah krisis mata uang di satu atau lain dari negara-negara operasi internasional menyebabkan utama

operasi masalah.
& Peningkatan tarif atau peraturan impor / ekspor.
& Sebuah gangguan cuaca besar, seperti gempa bumi, atau tindakan militer.

& pesaing baru yang menawarkan produk alternatif yang menarik.

& Bunga kenaikan tarif atau faktor-faktor lain kemampuan untuk ekspansi fi nance membatasi.

& Kegagalan pelanggan kunci utama atau vendor.

& Perusahaan Operasi Risiko

& Sebuah sistem server komputer atau jaringan kegagalan pada satu atau beberapa lokasi.

& Tak terduga pengunduran diri dari orang manajemen kunci atau senior manajer teknis.

& kerusuhan buruh atau masalah terkait di satu atau fasilitas lain.

& Kegagalan untuk lengkap beberapa sistem informasi kunci direncanakan upgrade.

& Produk lisensi perselisihan dan mengakibatkan litigasi.

& Kegagalan ISO atau beberapa pemeriksaan standar lainnya.

& Sebuah fi kerugian signifikan dalam nilai kapitalisasi pasar saham karena kerugian operasi dilaporkan.

& Risiko Pelaporan Keuangan dan Operasional

& Signifikan pengendalian internal kelemahan diidentifikasi melalui SOx Pasal 404 ulasan.
& Kegagalan dari satu atau lebih unit anak perusahaan untuk mengamankan '' opini audit eksternal 'bersih'.

& Keuangan atau operasi kesalahan dalam unit individu yang tidak mudah terdeteksi di kantor pusat.

& Layanan kelemahan dukungan pelaporan.

& Risiko kepatuhan
& melaporkan kesalahan atau laporan terjawab keuangan.

& Kepatuhan pelaporan kegagalan pada setiap tingkat operasi lokal atau nasional.

& Kegagalan untuk membangun sesuai etika dan keuangan kepatuhan pelaporan seluruh perusahaan

standar.
& Kegagalan untuk mempertahankan ISO kation serti fi di bidang utama.

& Kegagalan untuk standar kualitas produk bertemu.

EXHIBIT 1.4 Global Produk Komputer Perusahaan Risiko Ringkasan

 Catatan & 19

CATATAN

1. Laporkan Komisi Nasional Pelaporan Keuangan Penipuan ( Commis- nasional

sion Pelaporan Penipuan Keuangan, 1987), The Treadway Report, AICPA,
1987.
2. Committee of Sponsoring Usaha Komisi Treadway, diterbitkan oleh AICPA, Jersey City, NJ, 1992.

3. Penjelasan lebih rinci dari Kontrol framework COSO internal dapat ditemukan dalam Robert Moeller,
Brink Modern Audit Internal: A Common Body of Knowledge, 7 ed, Hoboken, NJ:. John Wiley & Sons,
2009.

4. PCAOB, Peraturan 3100, Kepatuhan dengan Akuntan Publik dan Standar Terkait Praktek Profesional
15 Februari 2005, www.pcaobus.org.
5. Robert Moeller, Brink Modern Audit Internal: A Common Body of Knowledge, 7
ed., Hoboken, NJ: John Wiley & Sons, 2009.
Pentingnya Pemeri
dan Prinsip
BAGIA 2
ntahan, Risiko,
N DUA

Kepatuhan

E isu-isu pemerintahan berwajah sejak hari-hari awal mereka. Seseorang atau sekelompok bertanggung jawab dan

memimNptinerdparilsaemOmReGneAtNapISkaAnSaI tDuAaNn uPnEtuRkUkSaAryHaAwAaNn

,dkkahnusstauksenhyoald,emmr laeimnniyliakiuntuk mengikuti. Sementara ini bekerja dengan kepemilikan tunggal yang lebih
kecil atau di perusahaan-perusahaan erat terpusat dari era masa lalu, saat ini

perusahaan-perusahaan yang lebih besar dan sering Multiunit perlu unit berbasis luas atau fungsi untuk menetapkan aturan

dan prosedur-yang mereka butuhkan yang efisien dan proses pemerintahan yang efektif.

Hidup akan lebih mudah bagi perusahaan-perusahaan yang sama jika mereka hanya harus bergantung pada
kepemimpinan pusat untuk menetapkan aturan-aturan pemerintahan. Namun, perusahaan saat ini dari setiap lokasi atau
ukuran dihadapkan dengan semakin meningkat set aturan dan prosedur mulai dari polisi dan keamanan publik lokal
peraturan hukum internasional nasional dan kadang-kadang dan pada aturan profesional yang luas dan standar. Pada
seluruh rangkaian tingkat, suatu perusahaan harus mematuhi hukum dan peraturan tersebut. Kegagalan untuk melakukannya
dapat mengakibatkan berbagai hukuman, dan suatu perusahaan perlu proses untuk memastikan bahwa mereka beroperasi
sesuai dengan hukum dan peraturan yang sesuai.

Suatu perusahaan selalu menghadapi risiko bahwa hal itu akan ditemukan melanggar satu atau lain dari ini beberapa

undang-undang dan peraturan. Ada juga risiko bahwa aturan tata kelola sendiri didirikan tidak akan mencapai hasil yang

diinginkan atau bahwa mereka mungkin menghadapi beberapa event di luar di luar kendali mereka, seperti peristiwa cuaca

utama atau kebakaran di fasilitas utama. Ada kebutuhan untuk mengelola risiko tersebut pada tingkat perusahaan secara

keseluruhan.

Sementara perusahaan selalu prihatin dengan berbagai pemerintahan, risiko, dan masalah kepatuhan,
pengenalan COSO ERM, atau manajemen risiko perusahaan, tema utama buku ini, telah membawa ketiga
pemerintahan, risiko, dan masalah kepatuhan ini bersama-sama ke dalam apa telah disebut prinsip GRC.
sementara lainnya

21
 Pentingnya Pemerintahan, Risiko, dan Prinsip
2 &
Kepatuhan

bab berikut membahas isu-isu seperti pentingnya tata kelola perusahaan, fundamental manajemen risiko,
dan praktik-praktik tata kelola perusahaan, bab ini terlihat pada pentingnya membangun satu set kuat atau
program GRC prinsip-prinsip perusahaan, alat penting untuk manajemen perusahaan.

PRINSIP ROAD TO EFEKTIF GRC

Bisnis profesional bahkan tidak mendengar tentang akronim kini semakin akrab GRC sampai beberapa tahun setelah SOx.
Seperti disebutkan dalam pendahuluan bab ini, G singkatan dari pemerintahan. Singkatnya, ini berarti mengurus bisnis,
memastikan bahwa hal-hal yang dilakukan sesuai dengan suatu perusahaan standar, peraturan, dan dewan keputusan
direksi. Hal ini juga berarti menetapkan harapan pemangku kepentingan sebagainya yang jelas tentang apa yang harus
dilakukan agar semua orang pada halaman yang sama berkaitan dengan bagaimana perusahaan dijalankan. R adalah
risiko. Segala sesuatu yang kita lakukan melibatkan beberapa unsur risiko. Ketika datang untuk menjalankan seluruh jalan
raya atau bermain korek api, itu cukup jelas bahwa risiko tertentu tidak akan diambil. Ketika datang ke bisnis,
bagaimanapun, resiko menjadi cara untuk membantu baik melindungi nilai aset yang ada dan menciptakan nilai dengan
strategis memperluas suatu perusahaan atau menambahkan newproducts dan jasa. Konsep risiko evenmore penting
daripada hanya COSO ERM kita akan mengeksplorasi secara lebih rinci dalam bab-bab untuk mengikuti.

C merupakan kepatuhan dengan banyak hukum dan peraturan yang mempengaruhi bisnis dan warga saat ini.
Kadang-kadang, orang juga akan memperluas bahwa C untuk menyertakan kontrol, yang berarti bahwa itu adalah penting
untuk menempatkan kontrol tertentu di tempat untuk memastikan bahwa kepatuhan yang terjadi. Ini mungkin berarti
pemantauan emisi pabrik atau memastikan bahwa impor dan ekspor kertas yang berada di urutan. Atau mungkin hanya
berarti membangun pengendalian akuntansi internal yang efektif, dan efektif menerapkan persyaratan legislatif seperti
Sarbanes-Oxley (SOX) Aturan dibahas dalam Bab 9 dari buku ini. Masukkan semua bersama-sama, GRC bukan hanya apa
yang harus Anda lakukan untuk mengurus suatu perusahaan, tetapi paradigma untuk bantuan tumbuh perusahaan yang
dalam cara terbaik mungkin.

Seperti yang kita dinyatakan dalam paragraf kami pengantar, semua perusahaan, dan perusahaan pada
khususnya, secara historis tidak berpikir dari GRC sebagai seperangkat gabungan dari prinsip-prinsip.
Sebanyak suatu perusahaan yang dikelola atau peduli tentang salah satu bidang ini, mereka sering dikelola
sebagai daerah atau masalah terpisah. Manajemen risiko adalah kasus klasik di sini. Usaha pikir manajemen
risiko dalam hal cakupan asuransi dan sering dikelola risiko mereka melalui departemen asuransi yang
memiliki sedikit hubungannya dengan operasi perusahaan lainnya. Demikian pula, kita selalu memiliki
kebutuhan untuk mematuhi semua tingkat aturan yang ditetapkan, termasuk aturan-aturan yang didirikan untuk
membantu mengatur perusahaan, tapi kami belum historis dikombinasikan untuk membentuk konsep GRC.
Tata Kelola, risiko, dan kepatuhan, atau GRC,

Melampaui hanya singkatan GRC, penting untuk diingat ini mewakili disiplin inti dari tata kelola,
manajemen risiko, dan kepatuhan. Masing-masing disiplin terdiri dari empat komponen GRC dasar: strategi,
proses, teknologi, dan orang-orang.
EXHIBIT 2.1 Konsep GRC

Exhibit 2.1 mengilustrasikan konsep GRC ini. Tata kelola, manajemen risiko, dan kepatuhan prinsip-prinsip
yang erat terikat untuk mengikat prinsip-prinsip ini bersama-sama. Diagram juga menunjukkan bahwa kebijakan
internal adalah faktor kunci yang mendukung pemerintahan, bahwa peraturan eksternal mendorong prinsip-prinsip
kepatuhan, dan bahwa risk appetite suatu perusahaan merupakan elemen kunci dari manajemen risiko. Dalam
segitiga ini, kita memiliki komponen strategi, proses yang efektif, teknologi, termasuk IT, dan orang-orang di
perusahaan untuk membuat semua pekerjaan ini. Ke sisi kiri, menunjukkan pameran yang suatu perusahaan
memerlukan perhatian manajemen dan dukungan, dan perilaku etis yang benar, organisasi efisiensi, dan
peningkatan efektivitas adalah kunci. Bagian berikut akan membahas masing-masing komponen GRC lebih lanjut
dan menunjukkan di mana mereka dibahas dalam bab-bab lain.

PENTINGNYA GRC PEMERINTAHAN

Tiga prinsip GRC harus dianggap dalam hal satu terus-menerus dan interkoneksi aliran konsep dan dengan
tidak G, R, atau C lebih penting atau signifikan dari yang lain. Sementara dominan bab-bab untuk mengikuti
manajemen risiko cover dan COSO ERM, kita mulai diskusi GRC kami di sini dengan pemerintahan.

perusahaan atau governance perusahaan adalah istilah yang mengacu secara luas pada aturan, proses, atau
hukum-hukum yang bisnis dioperasikan, diatur, dan dikendalikan. Istilah ini dapat mengacu pada faktor internal
didefinisikan oleh perwira, pemegang saham, atau piagam dan tujuan dasar dari suatu perusahaan, serta kekuatan
eksternal seperti kelompok konsumen, klien, dan peraturan pemerintah.

Bergerak turun dari tingkat korporat senior dan ke dalam operasi perusahaan, kita dapat de fi pemerintahan
ne perusahaan sebagai tanggung jawab dan praktek dilaksanakan oleh dewan, manajemen eksekutif, dan semua
tingkat manajemen fungsional dengan tujuan
memberikan arahan strategis, memastikan bahwa tujuan tercapai, memastikan bahwa risiko dikelola secara tepat,
dan memverifikasi bahwa sumber daya perusahaan itu digunakan secara bertanggung jawab. Tata Kelola
benar-benar mengacu pada proses pembentukan peraturan dan prosedur dalam semua tingkat perusahaan,
berkomunikasi aturan-aturan untuk tepat tingkat pemangku kepentingan, pemantauan kinerja terhadap
aturan-aturan, dan mengelola imbalan dan hukuman berdasarkan kinerja relatif atau sesuai dengan aturan-aturan.

Sebuah fi baik-de didefinisikan dan diberlakukan mengatur prinsip-prinsip tata kelola perusahaan yang menyediakan

struktur yang, setidaknya dalam teori, bekerja untuk memperoleh manfaat dari semua orang prihatin dengan memastikan bahwa

mematuhi perusahaan untuk standar etika yang berlaku dan praktik terbaik serta hukum formal. Dalam beberapa tahun terakhir,

tata kelola perusahaan telah menerima peningkatan perhatian karena tinggi-pro fi le skandal yang melibatkan penyalahgunaan

kekuasaan korporasi dan, dalam beberapa kasus, dugaan kegiatan kriminal oleh perusahaan perwira. Merupakan bagian integral

dari rezim tata kelola perusahaan yang efektif mencakup ketentuan untuk penuntutan perdata atau pidana individu yang

melakukan tindakan tidak etis atau ilegal atas nama perusahaan.

Meskipun sulit untuk menggambarkan semua konsep corporate atau perusahaan pemerintahan dalam
beberapa paragraf pendek atau satu gambar, Bukti 2.2 konsep governance menunjukkan perusahaan
dengan kelompok eksekutif di pusat dan saling mereka dan

EXHIBIT 2.2 Konsep Tata Kelola GRC

 Komponen Manajemen Risiko GRC 25
&

tanggung jawab terkait untuk membangun kontrol, kerangka kerja strategis, kinerja, dan akuntabilitas.
Pemerintahan, bagian kunci dari prinsip-prinsip GRC, tertanam dalam banyak bab maju tetapi secara khusus
dalam Bab 6 tentang praktek tata kelola perusahaan yang efektif dan Bab 10 tentang tata kelola dan
manajemen risiko portofolio.

MANAJEMEN RISIKO KOMPONEN GRC

Tujuan utama dari buku ini adalah untuk memperkenalkan dan menjelaskan pentingnya manajemen risiko COSO
perusahaan (ERM) kerangka kerja dan untuk menggambarkan bagaimana COSO ERM adalah komponen kunci dari
prinsip-prinsip perusahaan GRC. Bab 3 membahas risiko fundamental manajemen secara lebih detail, namun manajemen
risiko harus menjadi bagian dari budaya perusahaan secara keseluruhan dari dewan direksi dan sangat senior perwira
bawah melalui perusahaan. Bab-bab berikut menekankan bahwa ada empat langkah yang saling berhubungan dalam
proses GRC efektif dan manajemen risiko perusahaan seperti yang ditunjukkan pada pameran 2.3 dan sebagai berikut:

1. penilaian risiko dan perencanaan. Suatu perusahaan menghadapi semua tingkat risiko, apakah
isu-isu global berdasarkan cuaca atau mata uang ancaman terhadap ancaman yang berhubungan dengan cuaca di operasi

lokal. Kita tidak dapat merencanakan atau mengidentifikasi setiap jenis risiko yang mungkin berdampak perusahaan, tetapi

harus ada analisis yang berkelanjutan dari berbagai potensi risiko yang mungkin dihadapi perusahaan. Hal-hal ini dibahas

dalam Bab 3.

2. Risiko identifikasi dan analisis. Bukan hanya perencanaan untuk kemungkinan

beberapa peristiwa risiko yang terjadi, ada kebutuhan untuk analisis yang lebih rinci tentang kemungkinan
risiko tersebut mulai membuahkan hasil serta dampak potensial mereka. Ada kebutuhan untuk mengukur
dampak dari risiko fi ed mengidentifikasi dan menentukan mitigasi strategi di ajang kejadian risiko terjadi.
Mitigasi mengacu menilai cara tomanage terbaik atau menghilangkan risiko fi ed identifikasi. The fi faktor nal
terkait dengan ini

EXHIBIT 2.3 Proses GRC Manajemen Risiko

 risiko juga harus diidentifikasi. Sebuah risiko fi ed identifikasi akan jauh lebih signifikan jika kita dapat mengidentifikasi
total biaya untuk perusahaan jika risiko fi ed diidentifikasi terjadi.

3. Mengeksploitasi dan mengembangkan strategi respon risiko. Pada dasarnya konsep yang seharusnya
dipertimbangkan secara paralel dengan identifikasi risiko fi kasi, perusahaan harus mengembangkan rencana dan
strategi untuk kembali ke operasi normal dan kemudian pulih dari kejadian risiko. Ini mungkin termasuk analisis
peluang terkait risiko. Artinya, jika ada risiko fi ed mengidentifikasi bahwa beberapa lebih tua peralatan produksi
mungkin gagal, kesempatan mungkin untuk meninggalkan bahwa lini produksi dan memasang peralatan baru
menyusul teknologi yang lebih baru dan bahkan mungkin di lokasi yang lebih ramah yang lebih baru.

4. pemantauan risiko. Alat dan fasilitas harus di tempat ke monitor untuk

diidentifikasi risiko mungkin terjadi. Sebuah detektor asap kebakaran alarm adalah contoh di sini, pemantauan
terkait risiko-althoughmost memerlukan serangkaian luas laporan khusus, didirikan dan terukur standar, dan
fungsi sumber daya manusia rajin. Idenya adalah untuk terus maju dan untuk masuk kembali langkah-langkah
manajemen risiko sebelum diperlukan.

manajemen risiko harus menciptakan nilai dan menjadi bagian integral dari proses organisasi. Ini harus
menjadi bagian dari proses pengambilan keputusan dan disesuaikan secara sistematis dan terstruktur
secara eksplisit mengatasi ketidakpastian suatu perusahaan menghadapi berdasarkan informasi terbaik
yang tersedia. Selain itu, proses manajemen risiko harus dinamis, berulang, dan responsif terhadap
perubahan dengan kemampuan perbaikan secara terus menerus dan perangkat tambahan. bab yang COSO
ERM terkait berikut lihat banyak aspek lain dari manajemen risiko, bagian yang sangat penting dari prinsip-
prinsip GRC.

GRC DAN ENTERPRISE KEPATUHAN

Kepatuhan adalah proses mengikuti seperangkat pedoman atau aturan yang ditetapkan oleh instansi
pemerintah, kelompok standar, atau kebijakan internal perusahaan. Mengikuti persyaratan terkait kepatuhan ini
merupakan tantangan bagi perusahaan karena masalah berikut:

& Seringnya pengenalan peraturan baru. Menggunakan Amerika Serikat sebagai

Misalnya, petak yang luas dari instansi, seperti Badan Perlindungan Lingkungan (EPA), secara teratur
mengeluarkan aturan baru yang mungkin berdampak luas pada banyak perusahaan, meskipun tujuan bisnis utama
mereka. Perusahaan memiliki tantangan tomonitor aturan-aturan ini dan menentukan berlaku untuk mereka.

& Samar-samar tertulis peraturan yang memerlukan penafsiran. Lagi menggunakan

Amerika Serikat sebagai contoh, pada tahun 2010 Kongres meloloskan RUU reorganisasi perawatan
kesehatan besar, yang dicetak ribuan onmany halaman, yang meliputi isu-isu dan aturan bahwa legislator
yang lulus tagihan bahkan tidak pernah membaca, apalagi dipahami. Bahkan saat ini, kita masih melihat
aturan-aturan ini dan menginterpretasikan apa yang mereka maksud. Kepatuhan dengan jenis-jenis aturan
bisa sulit.
 GRC dan Enterprise Kepatuhan 27
&

& Tidak ada konsensus tentang praktik terbaik yang digunakan untuk kepatuhan. Aturan fi diisi dengan

peraturan yang menyatakan hal-hal seperti '' Semua transaksi harus didukung oleh tanda terima. '' Apakah aturan
seperti ini membutuhkan tanda terima untuk transaksi kurang dari $ 1,00, kurang dari $ 25,00, atau nilai lain? Ada
sering tidak ada pedoman sini dan semua orang tampaknya memiliki interpretasi mereka sendiri.

& Beberapa peraturan sering tumpang tindih. negara bagian AS dan unit pemerintah lokal dari berbagai wilayah geografis yang dapat

mengeluarkan aturan yang mencakup area yang sama tetapi mungkin memiliki kebutuhan yang berbeda. Perbedaan-perbedaan

ini akan akhirnya diselesaikan di pengadilan, tetapi kepatuhan sampai hal-hal yang diselesaikan bisa menjadi suatu tantangan.

& Terus berubah peraturan. badan hukum di tertentu sering

terus berubah atau menafsirkan kembali aturan mereka, membuat kepatuhan yang ketat tantangan.

Oleh karena itu, kepatuhan menjadi proses yang berkesinambungan, bukan proyek satu kali, dan
terus mendorong agenda bisnis organisasi sedang bertanggung jawab untuk memenuhi segudang mandat
spesifik untuk pasar vertikal mereka.
Selain itu, perusahaan mungkin juga diperlukan untuk undang-undang alamat lintas-industri, seperti
Sarbanes-Oxley (SOX), dibahas dalam Bab 9, dan proses pengendalian internal lainnya, seperti ISO 9000 atau Six
Sigma. Secara sederhana, luas dan kompleksitas hukum dan peraturan tersebut telah menyebabkan tantangan bagi
banyak perusahaan selama bertahun-tahun. Usaha perlu pendekatan prinsip-prinsip kepatuhan GRC mereka dari
perspektif yang lebih strategis yang bisa membantu mereka bergerak lebih dari sekedar memenuhi mandat kepatuhan
individu untuk mewujudkan ts bisnis manfaat nyata dari investasi infrastruktur mereka secara keseluruhan.

Ruang lingkup kepatuhan juga menembus aspek lain dari suatu perusahaan. Exhibit 2.4 menggambarkan beberapa

masalah suatu perusahaan harus mempertimbangkan karena upaya untuk membangun ruang lingkup dan pendekatan untuk

kepatuhan. Sebuah pendekatan yang konsisten pada penggunaan kemampuan compliancedriven dan teknologi pendukung di

suatu perusahaan dapat memberikan ini ts potensi manfaat:

& Mengurangi total biaya kepemilikan. Investasi dapat dimanfaatkan di beberapa

peraturan. Sebagai contoh, banyak peraturan menentukan persyaratan penyimpanan dokumen, yang dapat
dipenuhi oleh investasi tunggal dalam sistem manajemen konten dan catatan.

& Fleksibilitas. Salah satu kesulitan-kesulitan dengan kepatuhan adalah bahwa peraturan baru

diperkenalkan dan peraturan yang ada berubah secara sering. Dengan mengelola pusat inisiatif kepatuhan
melalui arsitektur kepatuhan organisasi-lebar, sebuah perusahaan dapat dengan cepat beradaptasi dengan
perubahan ini.
& Keunggulan kompetitif. Sebuah luas dan kepatuhan yang konsisten arsitektur kaleng

memungkinkan perusahaan untuk lebih memahami dan mengendalikan proses bisnis mereka, yang
memungkinkan mereka untuk merespon lebih cepat dan akurat untuk tekanan eksternal atau internal.
Selanjutnya, peraturan tertentu mungkin berisi ts bisnis manfaat nyata melalui persyaratan modal minimum
berkurang, yang bisa diaktifkan oleh arsitektur kepatuhan perusahaan-lebar.
 Lingkup Kepatuhan Daerah untuk Pertimbangan

Strategi & Sebagai organisasi mengembangkan strategi, ia harus menentukan

peraturan yang relevan.

& keberlanjutan kepatuhan perlu menjadi bagian integral dari setiap

strategi kepatuhan.

Organisasi & Struktur organisasi harus didirikan untuk memenuhi spesifik

persyaratan (atau maksud) dari setiap peraturan (misalnya, Sarbanes-Oxley merekomendasikan Chief

Executive Officer dan Presiden menjadi dua orang yang berbeda).

proses & proses kunci harus didokumentasikan dan dipraktekkan.

& Audit atau ulasan harus dilakukan untuk memastikan proses didokumentasikan

secara efektif digunakan untuk alamat persyaratan kepatuhan / peraturan.

Aplikasi dan data & Aplikasi harus dirancang, dilaksanakan dan terus menerus

diuji untuk mendukung kebutuhan masing-masing peraturan.

& Data harus benar dilindungi dan ditangani sesuai dengan masing-masing

peraturan.

Fasilitas & Fasilitas harus dirancang dan tersedia untuk memenuhi kebutuhan masing-masing

regulasi (yaitu, beberapa peraturan mungkin memerlukan catatan yang akan tersedia di lokasi

off-site).

EXHIBIT 2.4 Lingkup Kepatuhan Arsitektur Pertimbangan

proses kepatuhan GRC efektif membantu perusahaan untuk mengubah operasi bisnis mereka dan
mendapatkan wawasan yang lebih dalam dan prediktabilitas dari proses bisnis mereka karena mereka mengatasi
persyaratan peraturan-driven. driver bisnis utama di sini termasuk kemampuan untuk mengelola aset informasi,
menunjukkan kepatuhan dengan kewajiban peraturan dan hukum, mengurangi risiko litigasi, mengurangi biaya
penyimpanan dan penemuan, dan menunjukkan akuntabilitas perusahaan.

PENTINGNYA EFEKTIF GRC PRAKTEK DAN PRINSIP

Selain manajemen risiko yang efektif dan proses COSO ERM, perusahaan perlu mengadopsi proses tata
kelola dan kepatuhan yang kuat juga, dengan tujuan membangun program GRC yang efektif. Sementara
banyak dari bab ke depan fokus pada COSO ERM dan elemen-elemen kunci dari program manajemen risiko
yang efektif, kita tidak boleh melupakan pentingnya kuat proses risiko dan tata kelola. praktek GRC dan
prinsip-prinsip akan dilipat ke semua bab-bab berikut, dengan beberapa dikhususkan untuk spesifik risiko
dan tata kelola masalah.

Bab 6 membahas pentingnya praktik pemerintahan yang efektif. Ini membahas peran dan tanggung jawab bagi
masyarakat dan fungsi yang dibutuhkan untuk pemerintahan yang efektif
 Pentingnya Praktek GRC Efektif dan Prinsip 29
&

dan garis besar pendekatan untuk berkomunikasi berbagai tingkat aturan pemerintahan. Demikian pula, Bab 7 terlihat
di masalah kepatuhan untuk perusahaan hari ini. Bab ini menguraikan pendekatan kerangka kerja bagi perusahaan
untuk mengidentifikasi masalah kepatuhan fi paling signifikan, untuk berkomunikasi aturan-aturan kepatuhan, dan
kemudian untuk memantau kinerja kepatuhan yang sebenarnya. Bab ini membahas bagaimana audit hukum dan
internal dapat membantu untuk mencapai kepatuhan.

Sementara manajemen risiko perusahaan dan COSO ERM sangat penting untuk suatu
perusahaan, program yang kuat dari pemerintahan dan kepatuhan juga penting. Suatu perusahaan
harus fokus banyak kegiatan pada prinsip-prinsip berikut GRC yang kuat.
 Dasar-dasar Mana

jemen Risiko
BAB TIG 3 A

R Konsep selama bertahun-tahun. Berdasarkan konsep yang luas ini, seorang individu atau perusahaan akan membayangkan

beberapa jenis ancamaISn,KseMpAerNti AbaJhEaMyaEdNariHpAerDumTaEhRanUkTeAbaMkaAradnipataaundkoarbnagn

skeehbilaanggaani ,adsaun raaknansimtteemrkutausitkan untuk membeli asuransi menggunakan pendekatan berbasis risiko untuk
menentukan jenis dan berapa banyak asuransi cakupan untuk pembelian. faktor keputusan kunci di sini adalah risiko yang dirasakan dari

ancaman ini dan biaya asuransi untuk menutupi risiko itu; ini selalu masuk ke dalam keputusan untuk membeli asuransi, dan resiko dan biaya

asuransi juga berubah dari waktu ke waktu. Api asuransi untuk menutupi rumah individu adalah contoh. Kembali pada hari-hari lentera minyak

digunakan untuk jerami ringan dan disimpan di sebuah kandang terdekat, selalu ada risiko tinggi kebakaran. Kita hanya perlu memikirkan besar

Chicago kebakaran tahun 1871 ketika, sebagai legenda menyarankan, sapi menendang lentera dan menyebabkan kebakaran yang

menghancurkan kota. Risiko jenis kebakaran tidak sebesar saat ini, dan kebakaran asuransi tidak lagi mahal, dalam arti relatif. Namun, selalu ada

kemungkinan sambaran petir atau kerusakan listrik untuk menyebabkan kebakaran di rumah hari ini, dan perusahaan hipotek fi nance umumnya

memerlukan cakupan fi re asuransi. Bahkan jika tidak ada hipotek, semua orang bijaksana hari ini akan membeli seperti kebakaran asuransi

bahkan jika tidak diperlukan. Sebuah destruktif kebakaran untuk seseorang hadiah rumah tingkat rendah tetapi risiko yang konsisten. Sedangkan

biaya pemilik rumah kebakaran asuransi relatif rendah, seorang pemilik rumah individu mungkin menilai risiko potensial lainnya, seperti gempa

bumi, dan tidak membeli asuransi. dan kebakaran asuransi tidak lagi mahal, dalam arti relatif. Namun, selalu ada kemungkinan sambaran petir

atau kerusakan listrik untuk menyebabkan kebakaran di rumah hari ini, dan perusahaan hipotek fi nance umumnya memerlukan cakupan fi re

asuransi. Bahkan jika tidak ada hipotek, semua orang bijaksana hari ini akan membeli seperti kebakaran asuransi bahkan jika tidak diperlukan.

Sebuah destruktif kebakaran untuk seseorang hadiah rumah tingkat rendah tetapi risiko yang konsisten. Sedangkan biaya pemilik rumah

kebakaran asuransi relatif rendah, seorang pemilik rumah individu mungkin menilai risiko potensial lainnya, seperti gempa bumi, dan tidak

membeli asuransi. dan kebakaran

asuransi tidak lagi mahal, dalam arti relatif. Namun, selalu ada kemungkinan sambaran petir atau kerusakan listrik untuk menyebabkan kebakaran di rumah hari ini, dan perusahaan hipotek fi
nanc

Mengingat risiko lain, kemungkinan gempa inmany wilayah geografis mungkin muncul begitu rendah sehingga
pemilik sering tidak akan membeli asuransi gempa meskipun biaya rendah dari kebijakan tersebut. Dalam situasi lain,
seorang individu mungkin hidup dengan tubuh air di mana terdapat merusak oods fl setiap beberapa tahun. Bahkan
jika seseorang dapat membeli banjir fl asuransi-dan beberapa perusahaan asuransi tidak akan bahkan menawarkan
itu-itu

31
 Dasar-dasar Manajemen
3 &
Risiko

pertanggungan asuransi akan sangat mahal. Beberapa mungkin memutuskan untuk menerima risiko dari banjir fl di
masa depan tahun dan akan pergi tanpa asuransi. Dalam semua kasus ini, telah ada keputusan manajemen risiko.

Dimulai dengan dasar-dasar asuransi membeli ini, manajemen risiko, seperti yang dipraktekkan saat ini, pada
dasarnya adalah sebuah fenomena pasca-1960. Bergerak di luar kekhawatiran tentang peristiwa cuaca yang
berhubungan alam, pengelolaan risiko mulai menekankan melindungi perusahaan terhadap bencana besar, seperti
risiko yang mengelilingi sebuah sistem komputer dimana semua aset sistem informasi yang sekali umumnya
disimpan dalam satu fasilitas terpusat. Kekhawatiran tentang pengelolaan risiko sekitarnya bahwa satu sistem
komputer terpusat pindah ke keprihatinan umum tentang mengelola berbagai risiko usaha lainnya.

Perusahaan dan individu hari ini wajah berbagai risiko dan membutuhkan bantuan dan alat-alat untuk membantu
menyortir semua ini untuk membuat beberapa keputusan biaya dan risiko terkait lebih rasional. Ini adalah proses
manajemen risiko. Sementara banyak dalam bisnis saat ini hanya informal menilai suatu daerah sebagai tinggi, sedang,
atau risiko rendah dan kemudian membuat asuransi atau perlindungan risiko cepat keputusan berdasarkan orang-orang
pilihan, yang lain menggunakan kualitatif lebih canggih atau alat kuantitatif untuk membantu mereka memahami dan
mengevaluasi risiko. Bab ini akan secara singkat y survei fl beberapa manajemen risiko modern mendasar pendekatan
dengan tujuan membantu untuk menetapkan proses manajemen risiko yang lebih efektif dalam suatu perusahaan.
Konsep-konsep yang dibahas dalam bab ini harus digunakan dalam pelaksanaan yang efektif dari COSO ERM, seperti
yang dibahas dalam bab-bab lain dari buku ini.

DASAR: TAHAPAN MANAJEMEN RISIKO

Manajemen risiko harus dianggap sebagai proses empat langkah: (1) risiko identifikasi, (2) penilaian kuantitatif atau
kualitatif dari risiko didokumentasikan, (3) prioritas risiko dan respon perencanaan, dan pengawasan (4) risiko.
Apakah menggunakan COSO ERM atau lebih tua, proses penilaian risiko tradisional, selalu ada kebutuhan untuk
mengidentifikasi dan memahami berbagai risiko yang dihadapi perusahaan, untuk menilai risiko tersebut dalam hal
biaya atau dampak dan probabilitas, untuk mengembangkan respon dalam hal terjadi terjadinya risiko, dan untuk
mengembangkan prosedur dokumentasi untuk menggambarkan apa yang terjadi serta tindakan koreksi yang tepat
ke depan.

Proses manajemen risiko ini harus perusahaan-lebar, melibatkan orang-orang di semua tingkatan dan di
semua unit perusahaan. Sementara perusahaan besar mungkin ingin mengatur tim khusus dari profesional
manajemen risiko, seperti dibahas dalam Bab 5 pada pelaksanaan ERM di perusahaan, perusahaan kecil juga
harus menunjuk orang untuk bertanggung jawab untuk mengelola proses penilaian risiko perusahaan-lebar
mereka. Apakah fungsi manajemen risiko formal atau upaya manajemen risiko ad hoc, manajemen risiko
perusahaan harus melibatkan berbagai orang di berbagai tingkatan organisasi. Seorang eksekutif keuangan
akan memiliki perspektif yang berbeda pada teknologi informasi tertentu (IT) sistem -terkait risiko daripada
akan informasi kepala perwira (CIO) atau anggota staf operasi TI. Setiap melihat dan terlihat di risiko dari
perspektif yang berbeda.
 proses manajemen risiko empat langkah ini harus dilaksanakan pada semua tingkat perusahaan dan
dengan partisipasi banyak orang yang berbeda. Apakah sebuah perusahaan kecil dengan beberapa fasilitas
dalam wilayah geografis yang terbatas atau perusahaan global besar, pendekatan manajemen risiko umum harus
dikembangkan. Hal ini sangat penting untuk perusahaan-perusahaan di seluruh dunia sangat umum hari ini.
Mereka mungkin memiliki beberapa unit operasi terlibat dalam operasi bisnis yang berbeda dan fasilitas di
berbagai negara. Beberapa risiko dalam satu unit dapat berdampak langsung atau terkait dengan risiko di tempat
lain, tapi pertimbangan risiko lain mungkin efektif independen dari seluruh. Risiko umum ini dapat terjadi karena
berbagai keadaan mulai dari keputusan keuangan miskin untuk perubahan selera konsumen dengan peraturan
pemerintah yang baru.

Risiko Identi fi kasi

Manajemen harus berusaha untuk mengidentifikasi semua risiko yang mungkin berdampak pada keberhasilan perusahaan
mereka, mulai dari yang lebih besar atau lebih signifikan risiko ke bawah bisnis secara keseluruhan risiko kurang utama yang
terkait dengan proyek-proyek individu atau unit bisnis yang lebih kecil. Proses fi kasi risiko identifikasi membutuhkan belajar,
pendekatan yang disengaja untuk melihat potensi risiko di setiap daerah operasi dan kemudian mengidentifikasi area risiko fi
kan lebih signifikan yang dapat mempengaruhi setiap operasi dalam jangka waktu yang wajar. Idenya adalah untuk tidak
hanya daftar setiap risiko yang mungkin tetapi untuk mengidentifikasi orang-orang yang operasi dampak kekuatan, dengan
beberapa tingkat probabilitas, dalam jangka waktu yang wajar. Ini bisa menjadi latihan fi kultus dif karena kita sering tidak tahu
kemungkinan risiko yang terjadi atau sifat konsekuensi jika perusahaan tidak harus menghadapi risiko.

Proses kation fi risiko ini diidentifikasi harus terjadi pada beberapa tingkat dalam suatu perusahaan. Sebuah risiko yang
berdampak unit bisnis individu atau proyek mungkin tidak memiliki yang besar berdampak pada seluruh perusahaan atau di
luar. Sebaliknya, risiko utama yang berdampak pada seluruh perekonomian akan fl ow ke perusahaan individu dan unit bisnis
yang terpisah. Beberapa risiko utama begitu jarang tapi masih bisa begitu dahsyat bahwa itu adalah sulit untuk
mengidentifikasi mereka sebagai mungkin peristiwa di masa depan.

Cara yang baik untuk memulai sebuah identifikasi risiko proses fi kasi perusahaan-lebar adalah mulai
dengan grafik perusahaan-tingkat tinggi bahwa fasilitas daftar perusahaan-tingkat serta unit operasi.
Masing-masing unit dapat memiliki fasilitas di beberapa lokasi global dan juga dapat terdiri dari beberapa dan
berbagai jenis operasi. Setiap fasilitas yang terpisah maka akan memiliki departemen atau fungsi sendiri.
Beberapa dari fasilitas terpisah dapat dihubungkan erat satu sama lain sementara yang lain mewakili sedikit
lebih dari investasi perusahaan. Sebuah sulit dan tugas kadang-kadang rumit, sebuah inisiatif perusahaan-
lebar harus diluncurkan untuk mengidentifikasi semua risiko fi kan berpotensi signifikan di berbagai daerah
masing-masing. Jenis latihan ini dapat memperoleh hasil yang menarik dan / atau bahkan mengganggu.
Sebagai contoh, perusahaan-tingkat mungkin menyadari beberapa risiko kewajiban produk,

Anggota dari perusahaan pada tingkat yang berbeda akan melihat beberapa dari risiko yang sama dari sudut
pandang yang berbeda. Seorang manajer pemasaran mungkin khawatir tentang strategi harga pesaing atau risiko pricing
kegiatan yang akan menempatkan perusahaan melanggar menahan diri dari hukum perdagangan. Seorang manajer TI
mungkin khawatir tentang risiko dari
komputer serangan virus pada sistem aplikasi, tetapi akan memiliki sedikit pengetahuan tentang risiko masalah harga yang
sama. manajemen yang lebih senior biasanya akan menyadari tingkat yang berbeda dan mengatur risiko daripada yang
berada di benak para staf operasi berorientasi. Namun, semua risiko tersebut setidaknya harus diidentifikasi dan
dipertimbangkan pada operasi unit dasar-oleh unit dan di seluruh perusahaan.

Agar efektif, proses fi kasi risiko identifikasi ini membutuhkan lebih dari sekedar mengirimkan e-mail ke
manajer senior di seluruh unit operasi dengan permintaan untuk daftar risiko utama dalam unit operasi mereka.
Jenis permintaan biasanya akan menghasilkan berbagai jawaban yang tidak konsisten dengan tidak ada
pendekatan umum. Pendekatan yang lebih baik adalah untuk mengidentifikasi orang-orang di semua tingkatan dari
perusahaan yang akan diminta untuk melayani sebagai penilai risiko. Dalam setiap unit operasi yang signifikan,
orang-orang kunci harus diidentifikasi dari operasi, keuangan / akuntansi, IT, dan manajemen satuan. Tujuan
mereka adalah untuk mengidentifikasi dan kemudian membantu menilai risiko di unit mereka dibangun di sekitar
risiko identifikasi kerangka fi Model kasi. Ini adalah jenis inisiatif yang dapat dipimpin oleh kelompok manajemen
risiko
perusahaan-lebar, jika ada,

Pendekatan yang efektif di sini adalah untuk menguraikan beberapa tingkat tinggi '' strawman '' daerah
berisiko yang dapat mempengaruhi berbagai unit operasi. orang-orang berpengetahuan kemudian dapat
melihat ini risiko hipotetis dan memperluas atau memodifikasi mereka sesuai. Bukti 3.1 acara seperti
kerangka model risiko perusahaan sampel. Ini daftar daerah risiko utama yang dapat mempengaruhi suatu
perusahaan seperti strategis, operasi, dan risiko fi nance. Ini adalah jenis daftar tingkat tinggi bahwa
CEOmight menuliskan dalam menanggapi pertanyaan, '' Yang mengkhawatirkan Anda pada akhir hari? ''
Tentu saja tidak daftar semua risiko yang dihadapi perusahaan, ini adalah jenis fi rst- lulus daftar itu suatu
perusahaan dapat digunakan untuk memulai rinci identifikasi risiko.

, Model risiko tingkat tinggi ini sangat umum dapat berfungsi sebagai dasar untuk lebih mendefinisikan yang spesifik risiko

menghadapi berbagai unit perusahaan. Misalnya, kelangsungan daftar model bisnis risiko di bawah risiko teknologi. Seorang

manajer TI harus dapat memperluas ini untuk daftar panjang yang berhubungan dengan teknologi risiko rinci terkait dengan

pemulihan bencana dan kontinuitas usaha. Seorang manajer operasi yang merupakan pengguna sumber daya TI mungkin

melihat risiko kelangsungan bisnis dari perspektif yang sangat berbeda dan memperkenalkan risiko baru lainnya yang terkait

dengan apa yang terjadi jika layanan TI tidak tersedia. Dalam rangka untuk memiliki pemahaman yang lebih baik tentang risiko

yang dihadapi perusahaan, sering terbaik untuk memperluas daftar ini untuk membangun satu set yang lebih lengkap dari risiko.

Teknik yang efektif untuk agak cepat mengidentifikasi risiko tanpa banyak penelitian rinci adalah untuk merakit
tim yang dipilih dari perusahaan untuk melibatkan mereka dalam teknik yang disebut brainstorming untuk lebih
mengidentifikasi semua risiko yang terkait. Ide brainstorming adalah untuk membawa tim bersama-sama dari berbagai
tingkatan atau unit di perusahaan dengan tantangan untuk nama potensi risiko dalam tipe cepat respon format. Saran
di sini bukan untuk tim ERM untuk merakit sebuah pertemuan perusahaan-lebar, fl ying pada orang untuk pertemuan
pengidentifikasian risiko. Sebaliknya, sejumlah sesi ini harus bersidang untuk dipilih,-pro lebih tinggi fi le kelompok
perusahaan. Hasil karya mereka dapat digunakan sebagai dasar untuk unit lain untuk mengidentifikasi risiko daerah
mereka sendiri, seperti yang dibahas.
 Risiko strategis

Faktor eksternal Risiko

Faktor Internal Risiko
& Risiko industri
& ekonomi Risiko & Risiko reputasi

& Risiko pesaing & Strategis Fokus Risiko

& Hukum dan Regulasi Perubahan Risiko & Induk Risiko Dukungan Perusahaan

& Kebutuhan Pelanggan dan Ingin Risiko & Paten / Merek Perlindungan Risiko

operasi Risiko

Risiko proses
Risiko kepatuhan orang Risiko
& Supply Chain Risiko

& Risiko Kepuasan Pelanggan & Risiko lingkungan & Risiko Sumber Daya Manusia

& Waktu Siklus Risiko & Peraturan dan pemerintah tentang & Risiko Perputaran Karyawan

& Risiko Proses Eksekusi ernment Risiko Kepatuhan & Risiko kinerja Insentif
& Risiko pelatihan Kegagalan

& Kebijakan dan Prosedur

Risiko

& Risiko litigasi

Risiko Keuangan

Risiko Treasury
Risiko kredit Risiko perdagangan
& Suku Bunga Risiko
& Risiko Valuta Asing & Risiko kapasitas & Komoditas Risiko Harga

& Risiko Ketersediaan Modal & Risiko agunan & Risiko durasi

& Risiko konsentrasi & Risiko pengukuran

& Resiko awal

& Risiko settlement

Risiko Informasi dan Teknologi

Risiko keuangan
Risiko operasional Risiko teknologi
& Akuntansi Standar Risiko

& Risiko penganggaran & Risiko harga & Informasi Risiko Akses

& Risiko Pelaporan Keuangan & prestasi & Business Continuity Risiko

& perpajakan Risiko Risiko pengukuran & Virus dan Sistem yang tidak benar

& Risiko Pelaporan peraturan & Risiko Keselamatan Karyawan akses Risiko
& Risiko Ketersediaan

& Risiko infrastruktur

EXHIBIT 3.1 Jenis sampel Risiko Badan Usaha

Brainstorming adalah latihan kelompok cepat-respon mana orang berpengetahuan diminta untuk datang dengan yang
pertama hal-hal yang datang ke pikiran dalam menanggapi ide umum. Seorang moderator mungkin bertanya sekelompok
kecil, '' Apa fi nance terkait risiko terbesar kita? '' Dan akan mengarah ke setiap anggota kelompok untuk membuang pikiran
mereka, dengan tanggapan berturut-turut membangun satu demi satu. Ini bukan analisis dan pembahasan latihan rinci, tetapi
pikiran cepat setiap orang atau komentar yang digunakan untuk membangun pada orang lain.

Sesi biasanya dipimpin oleh seorang moderator yang akan menggunakan grafik kuda-kuda papan tulis untuk
meminta peserta untuk memikirkan tayangan mereka atau pikiran untuk topik. Sebuah contoh akan meminta peserta
apa yang mereka rasakan adalah risiko terbesar terkait dengan perencanaan kesinambungan TI mereka. Dengan cara
mudah-mudahan konfrontatif, peserta akan menawarkan pengalaman mereka dan keprihatinan-biasanya hanya
beberapa kata-untuk
 1. Pemimpin / juru tulis menampilkan daftar lengkap n item (misalnya, 50) untuk semua orang dalam kelompok.

Setiap teammember akan diberikan daftar pemungutan suara ini dipilih n item.

2. Setiap orang akan menerima beberapa orang (dibulatkan ke seluruh nomor terendah berikutnya).

SUARA ¼ V ¼ n
2þ1

Dalam contoh ini 50 item, setiap orang memiliki 26 orang dan dapat memilih hingga maksimal 26 untuk setiap item yang

tersisa.

3. Setiap orang dalam kelompok scan daftar dan memutuskan bagaimana mengalokasikan orang itu ditugaskan

jumlah orang.

4. pemimpin akan pergi melalui item satu per satu dan baik surat suara mengumpulkan atau, jika ada
sejumlah kecil item dan penilaian, meminta mengacungkan tangan. Suara dicatat untuk setiap item sebagai pemain.

5. Menghilangkan itemnot menerima dukungan fromat sedikitnya 25 persen suara cor. dengan kurang
dari 25 persen dukungan, item harus turun dari daftar.

6. Ulangi proses ini sampai kelompok ini puas bahwa daftar ini cukup kecil untuk menangani

efektif (biasanya 3-7 item, atau setiap kali tujuan tercapai).

EXHIBIT 3.2 Risiko Identi fi kasi Brainstorming Pendekatan

moderator untuk merekam di papan dan bagi orang lain untuk digunakan. Orang-orang dari perusahaan IT mungkin memiliki

berbagai masalah yang terkait risiko yang lebih berorientasi teknologi sementara orang-orang dari fi nance atau pengiriman mungkin

memiliki orang lain. Kemudian, melalui tinjauan singkat dari daftar ini dari kemungkinan resiko dan dengan suara anggota, daftar ini

risiko dapat dikurangi ke tingkat yang lebih masuk akal.

Brainstorming sering merupakan pendekatan yang baik untuk mendapatkan kelompok dengan latar belakang yang

berbeda untuk fokus pada beberapa subjek. Tidak ada analisis rinci nyata di sini tapi hanya pendapat dari berbagai ahli di

bidang Ulasan. Bukti 3.2 garis besar curah pendapat pendekatan ini serta pendekatan voting untuk mengurangi daftar.

Dimulai dengan model risiko bisnis yang diperluas melalui sesi brainstorming, sebuah unit dari perusahaan
harus memiliki yang baik memahami dari beberapa risiko highlevel menghadapi itu. Berikutnya, ada kebutuhan
untuk mengambil daftar ini dan menggali sedikit lebih dalam untuk memahami karakteristik dari risiko fi ed
identifikasi. Selain itu, daftar tersebut perlu lebih diperluas di seluruh perusahaan. Tim ERM harus menganalisis
masing-masing brainstorming-sesi identifikasi ed risiko sedikit lebih rinci mengajukan pertanyaan seperti:

& Adalah umum risiko di perusahaan secara keseluruhan atau itu unik untuk hanya satu bisnis

kelompok?

& Akan perusahaan menghadapi risiko ini karena kejadian internal dalam perusahaan atau

melalui peristiwa eksternal?

& Adalah risiko yang terkait? Artinya, akan satu risiko penyebab lain terjadi?

Diskusi ini dapat diperluas. Idenya adalah untuk mendapatkan pemahaman yang kuat tentang sifat risiko
yang diidentifikasi dalam sesi brainstorming dan kemudian untuk menyoroti risiko-risiko yang dapat dianggap
sebagai risiko inti. Sebuah risiko inti juga bisa disebut
risiko utama, termasuk topik-topik seperti risiko signifikan penurunan peringkat kepuasan pelanggan, risiko pesaing baru dan

sangat besar memasuki pasar, atau risiko yang diidentifikasi signifikan kelemahan pengendalian sebagai bagian dari keuangan

pernyataan dekat. Setiap risiko inti ini bisa menyajikan tantangan yang signifikan untuk perusahaan. Contoh lain adalah risiko

bahwa auditor eksternal akan melaporkan satu atau lebih signifikan kelemahan pengendalian fi kan yang bisa menarik

perhatian peraturan, mungkin memaksa penurunan yang signifikan dalam harga saham, dan akan mengalihkan perhatian

sumber daya perusahaan dari tugas-tugas yang lebih inti lainnya karena mereka memperbaiki kelemahan.

Tim ERM harus meninjau semua risiko diidentifikasi dari sesi kelompok brainstorming dan kemudian
kemudian ditunjuk sebagai risiko inti. Karena pembahasan dan analisis yang terkait dengan proses ini
berlangsung, mungkin ada beberapa perubahan set asli dari risiko sebagai diidentifikasi. Ini fi set nal
perusahaan fi ed mengidentifikasi risiko oleh perusahaan secara keseluruhan dan dengan spesifik unit operasi
c harus dibagi dengan manajemen keuangan operasi dan fi bertanggung jawab serta dengan tim yang
berpartisipasi dalam sesi brainstorming. Koreksi harus dibuat sebelum tepat untuk menilai mereka.

Hasil sesi fi kasi sumbang identifikasi risiko harus kemudian dibagi dengan unit lain yang tidak memiliki
kesempatan untuk berpartisipasi dalam sesi asli. Hasil risiko fi ed identifikasi harus diperluas di seluruh
perusahaan. Potensi risiko yang dikembangkan di kami global Produk Komputer contoh perusahaan dengan
amarketing kelompok di Thailand, misalnya, bisa dibagi dengan teamwho sebuah tidak berpartisipasi dalam
sesi ini seperti dengan kelompok serupa di Singapura. Mereka akan bertanya, '' Risiko ini telah diidentifikasi
oleh anggota tim Anda di Thailand. Apakah Anda setuju, tidak setuju, atau ingin menambahkan orang lain? ''

Menggunakan sesi brainstorming, survei dengan anggota manajemen, atau pendekatan lain, langkah
pertama untuk ERM atau proses manajemen risiko adalah untuk mengidentifikasi populasi risiko yang
mengancam suatu perusahaan, baik pada tingkat unit individu atau total secara korporasi. Ini tidak akan
menjadi fi set nal risiko tetapi titik awal untuk penilaian risiko seperti yang dibahas dalam paragraf berikut.

Key Penilaian Risiko

Memiliki diidentifikasi yang signifikan risiko yang berdampak perusahaan di berbagai tingkatan, langkah
berikutnya adalah untuk menilai mereka untuk kemungkinan mereka dan relatif signifikansi. Hal ini sangat
penting untuk risiko diidentifikasi melalui teknik brainstorming yang cepat respon. Apa yang terdengar baik dalam
sesi kelompok
cepat-respon mungkin tidak muncul sebagai serius ketika dikurangi menjadi signifikan jenis fi cance relatif analisis.
Berbagai pendekatan dapat digunakan di sini mulai dari yang relatif cepat terbaik-kira penilaian kualitatif beberapa rinci,
kuantitatif sangat matematis pendekatan. Seluruh ide di sini adalah untuk membantu manajemen untuk lebih
menentukan dari serangkaian acara berpotensi berisiko harus memberikan paling untuk khawatir tentang.

Sebuah sederhana namun sering efektif pendekatan di sini adalah untuk mengambil daftar risiko fi ed identifikasi dan mengedarkan

mereka kembali ke semua peserta sesi brainstorming atau orang lain dengan kuesioner meminta setiap risiko:
 & Apa kemungkinan risiko ini terjadi selama periode satu tahun ke depan? Menggunakan sebuah

skor dari 1 sampai 9, menetapkan terbaik-kira skor satu digit sebagai berikut:
& Skor 1 jika Anda melihat hampir tidak ada kesempatan itu terjadi resiko selama periode tersebut.

& Skor 9 jika Anda merasa acara hampir pasti akan terjadi selama periode tersebut.
& Skor 2 sampai 8 tergantung pada bagaimana Anda merasa kemungkinan akan jatuh antara

dua rentang tersebut.

& Apa signifikansi dari risiko, dalam hal biaya untuk perusahaan? Sekali lagi menggunakan

1-to-9 skala, rentang scoring harus ditetapkan tergantung pada keuangan signifikansi dari risiko perusahaan.
Sebuah risiko yang biaya bisa menurunkan laba perusahaan per saham dengan mungkin satu sen mungkin
memenuhi syarat untuk skor maksimum 9.

Kuesioner untuk pendekatan ed fi penyederhanaan ini harus independen diedarkan kepada orang-orang
berpengetahuan untuk menilai atau mencetak masing-masing diidentifikasi risiko per twomeasures ini. Sebagai contoh,
asumsikan bahwa suatu perusahaan telah diidentifikasi enam risiko, R-1 melalui R-6. Untuk masing-masing risiko ini, tim
empat orang bisa diminta untuk secara terpisah mengevaluasi setiap risiko dalam hal kemungkinan dan signifikansi. Skor
ini kemudian rata-rata oleh kedua faktor dan diplot pada grafik analisis penilaian risiko seperti yang ditunjukkan pada
Exhibit 3.3. R-1 memiliki skor kemungkinan rata-rata sekitar 3,75 dan nilai fi signifikansi 7,00, dan nilai ini diplot di kuadran
I dari pameran. menunjukkan ini R-1 tingkat risiko sebagai relatif signifikan tapi tidak mungkin terjadi.

Semua risiko fi ed identifikasi harus diplot dengan cara ini. Kemungkinan tinggi dan lebih signifikan risiko end
yang di kuadran II harus mendapat perhatian manajemen segera. Rentang sini dari 1 sampai 9 yang sangat
sewenang-wenang; perusahaan harus menetapkan beberapa panduan relatif, tapi anggota staf hanya harus
menilai hal-hal dalam hal bagaimana mereka melihat kemungkinan relatif dan signifikansi dari identifikasi ed risiko.
grafik analisis penilaian risiko ini memberikan ukuran kualitatif yang baik untuk memahami signifikan risiko
sekitarnya suatu perusahaan.

Proses penilaian risiko tinggi yang baru saja dijelaskan karya cukup baik ketika suatu perusahaan telah diidentifikasi
jumlah yang relatif kecil dari risiko. Hal ini cukup mudah untuk melihat risiko

9
R-6
8 R-3

7 R-1

6 R.2
saya II
5
R-4
4 R-5

2
AKU AKU AKU IV
1

1 2 3 4 5 6 7 8 9
Kemungkinan
Makna

EXHIBIT 3.3 Risiko Analisis Penilaian Bagan

penilaian analisis grafik mirip dengan Bukti 3.3 dan untuk fokus pada kemungkinan tinggi dan signifikan risiko di atas-kanan

kuadran II dan perencanaan perbaikan untuk risiko tersebut. Seringkali, bagaimanapun, suatu perusahaan akan memiliki

identifikasi ed satu set jauh lebih besar dari identifikasi ed risiko, dan rentang dari 1 sampai 9 serta plot pada grafik tidak akan

memberikan mencukupi rinci. Pendekatan yang lebih baik di sini adalah untuk mengungkapkan ini signifikansi dan dampak

perkiraan dari segi angka dua digit yang mewakili persentase perkiraan (misalnya, 72 persen) mencapai beberapa risiko atau

sebagai probabilitas (misalnya, 0,72).

Peningkatan jumlah digit dari hanya 7 sampai 72 persen penuh tidak meningkatkan akurasi penilaian,
tetapi tidak menunjukkan bahwa tim ERM dan kelompok penilaian harus mencurahkan lebih banyak perhatian
perkiraan akurat. Hal ini juga membantu tim penilai untuk lebih memahami hubungan antara probabilitas
meliput peristiwa independen dan terkait.

Probabilitas dan Ketidakpastian

Terutama ketika sejumlah besar risiko telah diidentifikasi, tim penilaian harus memikirkan likelihood risiko individu
dan kejadian dalam hal probabilitas dua digit mulai fromalmost 0,00-0,99. Sekali lagi, risiko dasarnya tidak pernah
memiliki kesempatan nol atau 100 persen kemungkinan terjadi. Aturan dasar lain dari probabilitas adalah bahwa
kita tidak dapat menambahkan hingga perkiraan probabilitas independen untuk menghasilkan perkiraan bersama.
Jika probabilitas risiko A yang terjadi adalah 60 persen dan kemungkinan B terjadi juga 60 persen, kami tidak bisa mengatakan
bahwa kemungkinan kedua yang terjadi adalah 0,60 þ 0.60 ¼

1,20. Ini 120 persen tidak masuk akal!

Probabilitas gabungan dari dua peristiwa independen adalah produk dari dua probabilitas terpisah. Itu
adalah:

Pr ð Event # 1 Þ? Pr ð Event # 2 Þ ¼ Pr ð kedua Acara Þ

Artinya, jika Event 1 adalah 0,60 dan Event 2 juga 0,60, probabilitas gabungan dari kedua peristiwa yang terjadi

adalah (0.60) (0.60) ¼ 0,36.

Dalam hal penilaian, ini mengatakan bahwa jika risiko memiliki 60 persen signifikan perkiraan fi cance atau yang
kita 60 persen yakin bahwa risiko akan terjadi dan jika dampaknya telah dinilai pada 60 persen, ada kemungkinan 36
persen bahwa kami akan mencapai kedua dari risiko tersebut. Kami juga dapat menyebutnya skor risiko untuk risiko
individu.

Sebuah proses penilaian risiko yang akurat, bagaimanapun, membutuhkan lebih dari sekedar '' atas
kepala '' perkiraan, apakah dinyatakan dalam satu rentang 1-to-9 atau sebagai penuh, persentase dua digit.
Tim ERM dan orang lain yang tertarik harus melihat keras pada risiko yang diidentifikasi selama risiko
identifikasi brainstorming dan harus mengumpulkan informasi lebih lanjut, jika diperlukan. Sebagai contoh,
selama risiko proses kation fi identifikasi, salah satu manajer mungkin memiliki identifikasi ed konsekuensi
hukum tarif baru sebagai risiko serius. Lainnya di sesi brainstorming yang sama mungkin telah diperluas pada
yang seharusnya hukum yang akan datang sebagai risiko yang signifikan. Namun, sebelum peringkat risiko
dari segi signifikansi dan dampaknya, tim ERM atau manajer yang bertanggung jawab lainnya mungkin ingin
melakukan sedikit penelitian lebih lanjut untuk menentukan konsekuensi yang sebenarnya.
tahun di masa depan. Intinya di sini adalah bahwa semua risiko fi kasi mengidentifikasi mungkin perlu beberapa informasi tambahan

sebelum mereka dapat secara akurat dinilai.

Periode Analisis

Ketika memperkirakan kejadian dan likelihood, tim ERM harus berhati-hati untuk memastikan bahwa semua
perkiraan yang dibuat selama periode waktu yang sama. Biasanya, interval satu tahun atau setidaknya sampai akhir
fiskal tahun depan adalah interval waktu yang wajar. Ada biasanya tidak cukup informasi untuk membuat perkiraan
yang cukup akurat lebih jauh periode tersebut.

Saling Ketergantungan risiko

Kita telah membahas risiko pada tingkat perusahaan-unit individu, tetapi independensi risiko harus selalu dipertimbangkan.
Bukti 3.4 menunjukkan pengaturan perusahaan sederhana dengan Kegiatan A, B, C, dan D semua operasi secara paralel
dan pelaporan kegiatan atau unit G dan kemudian saya berakhir di J. Satu dapat menganggap ini sebagai entitas operasi
terpisah di suatu perusahaan secara keseluruhan atau sebagai operasi departemen dengan tanaman tunggal atau fasilitas.
Dalam arti ERM, risiko harus diidentifikasi dan dinilai pada masing-masing tingkat. Masing-masing A, B, risiko C, dan D akan
sering menjadi independen satu sama lain meskipun beberapa akan sering menjadi umum. Artinya, masing-masing unit
dapat berbagi risiko yang sama tetapi dengan likelihood berpotensi berbeda dan cances fi signifikan. Namun, pelaporan Unit
Gmust mempertimbangkan dampak dari

Markas besar
Unit J

Divisi Unit I

Departemen operasi
G

risiko A risiko B risiko C risiko D

nsi Hierarchy
EXHIBIT 3.4 Risiko interdepende
risiko terpisah di masing-masing unit. Risiko ini terpisah akan berdampak J tetapi unit yang harus mengevaluasi
sifat dari risiko-risiko unit individu.
Perhatian di sini adalah bahwa independensi risiko harus dipertimbangkan dan dievaluasi di seluruh struktur
perusahaan. Setiap entitas harus peduli tentang risiko di semua tingkat perusahaan tetapi hanya benar-benar
memiliki kontrol atas risiko dalam lingkup sendiri. sekarang lama tahun 2002 contoh dari jatuhnya kemudian utama
akuntan publik fi rm, Arthur Andersen, di bangun dari runtuhnya Enron akan menjadi contoh. Setiap unit
kota-by-kota dan negara-oleh-negara yang thenmuch terhormat akuntan publik fi rm memiliki prosedur penilaian
risiko sendiri, mengikuti standar rm-lebar fi. Namun, acara risiko di salah satu operasi mereka dari kantor-kantor,
Houston, dan mungkin saat latihan nasional departemen urusan hukum mereka, menyebabkan seluruh fi rm runtuh.
Sebuah operasi kantor di daerah lain, seperti Toronto, mungkin tidak memiliki risiko tersebut bahkan sepenuhnya
diantisipasi dalam jauh Houston. Intinya di sini adalah bahwa risiko seringkali sangat saling bergantung dalam suatu
perusahaan. Setiap unit operasi bertanggung jawab untuk mengelola risiko sendiri tetapi dapat dikenakan
konsekuensi dari kejadian risiko pada unit di atas atau di bawah dalam struktur perusahaan. Setiap unit operasi dari
suatu perusahaan harus menyadari bahwa apapun risiko unit lokal menerima dapat mempengaruhi unit lain dalam
perusahaan.

risiko Ranking

Sedangkan contoh yang digunakan dalam bab ini telah memiliki daftar yang relatif singkat risiko fi ed mengidentifikasi,
sebuah perusahaan yang khas yang melewati peringkat risiko dan proses penilaian akan berakhir dengan daftar yang sangat
panjang dari potensi risiko. Langkah berikutnya adalah untuk mengambil didirikan signifikansi dan perkiraan kemungkinan,
peringkat risiko menghitung, dan mengidentifikasi paling signifikan risiko di seluruh entitas Ulasan. Pameran 3.5 adalah
contoh dari jenis analisis ini. Skor kemungkinan dan signifikansi menunjukkan di mana risiko ini akan diplot pada grafik
analisis penilaian risiko, seperti yang ditunjukkan dalam pameran 3.3, dan produk dari kedua memberikan risiko relatif
peringkat untuk mereka. Risiko C dan G memiliki tertinggi skor peringkat risiko

Risiko ed Signifikansi Kemungkinan risk Score

identifikasi Probability (P) Probabilitas (L) (P L) Pangkat

SEBUAH 0,55 0,30 0,17 8

B 0.88 0,24 0,21 7

C 0.79 0.66 0,52 1

D 0,77 0,45 0,35 4

E 0,35 0.88 0,31 5

F 0,54 0,49 0,26 6

G 0.62 0.72 0,45 2

H 0.66 0,20 0,13 9

saya 0,90 0,45 0,41 3

J 0,12 0.88 0.11 10

EXHIBIT 3,5 Risiko-Ranking Bagan Contoh

dan akan diplot di kuadran kanan atas tangan sebagai yang paling signifikan risiko dalam sampel ini. dua ini
sering disebut driver risiko atau risiko utama untuk ini set identifikasi ed risiko. Suatu perusahaan maka harus
fokus perhatiannya maju pada jenis risiko utama.

jadwal risiko-peringkat tersebut harus diatur secara unit dengan unit dan disesuaikan untuk
mengakomodasi semua risiko yang terkait secara paralel dengan, serta atas atau di bawah, entitas makhluk
peringkat atau dievaluasi. Suatu entitas, A, mungkin menghadapi risiko bahwa penurunan kualitas
produksinya akan menurunkan penjualan unit dan profitabilitas. Unit paralel lain, B, memiliki risiko kualitas
produksi mereka sendiri tetapi mungkin kehilangan bisnis dalam operasi mereka sendiri karena masalah
produksi A. Unit markas, C, akan dikenakan risiko kualitas produksi di unit anak perusahaannya. C dibutuhkan
untuk mengenali dan mengidentifikasi satuan A dan B risiko, tetapi aturan probabilitas sederhana hanya
dibahas seringkali jauh lebih kompleks. Tambahan,

Tidak ada jawaban yang sederhana atau solusi di sini. Tim ERM harus mengidentifikasi satuan ini dengan Unit
diidentifikasi dan dinilai risiko untuk memastikan bahwa risiko di semua tingkat telah dinilai dan kemungkinan dan
estimasi fi signifikansi sesuai di seluruh perusahaan. Semua terlalu sering, kejadian risiko yang jauh dari kantor pusat
perusahaan dapat menyebabkan masalah besar bagi suatu perusahaan. Sebuah contoh dapat diambil dari peristiwa
risiko di sekali perusahaan besar AS Union Carbide frommany tahun yang lalu. Pada malam tanggal 2 Desember
1984, lebih dari 40 ton gas beracun bocor dari Union Carbide yang dimiliki atau pabrik pestisida dikendalikan di
Bhopal, India, menewaskan lebih dari 20.000 penduduk. 1

Setelah tindakan korektif banyak dan perselisihan hukum, Union Carbide, yang dibangun pabrik pada tahun
1969, menetap gugatan perdata yang diajukan oleh pemerintah India dengan menyetujui untuk membayar $
470 juta untuk kerugian yang diderita oleh setengah juta orang yang terkena gas. Perusahaan ini menyatakan
bahwa pembayaran terbuat dari rasa '' moral '' daripada '' jawab 'hukum', karena pabrik itu dioperasikan oleh
anak perusahaan India yang terpisah, Union Carbide India Limited (Ucil). Mereka proses pengadilan
mengungkapkan langkah-langkah pemotongan biaya yang manajemen memiliki prosedur keselamatan secara
efektif dinonaktifkan penting untuk mencegah atau karyawan peringatan tentang bencana tersebut. Dow
Chemical sejak mengambil alih Union Carbide dan menyangkal bertanggung jawab atas bencana ini. Namun,

Bhopal kebocoran gas adalah contoh bagaimana peristiwa risiko di unit jauh dan relatif kecil dapat memiliki
konsekuensi bencana bagi sebuah perusahaan besar. Sementara risiko identifikasi dan penilaian aturan yang
digariskan dalam bab ini tidak akan menyumbang bencana sebesar ini, konsep di sini adalah bahwa setiap unit
dalam kebutuhan perusahaan untuk mengenali kemungkinan dan konsekuensi dari risiko pada setiap tingkat unit
individu. manajemen risiko di semua tingkatan sekarang harus mengakui bahwa bencana bisa terjadi. Bhopal
muncul bencana telah menjadi kasus di mana langkah-langkah pencegahan yang lebih baik harus sudah terpasang
lama. Kita tidak pernah bisa memprediksi risiko konsekuensi utama ini, tetapi perusahaan harus selalu menyadari
bahwa bencana bisa terjadi.
Nilai yang diharapkan dan Perencanaan Respon: Kuantitatif
Analisis Risiko

Ada nilai yang kecil dalam menerbitkan daftar rinci dari signifikan risiko kecuali jika perusahaan itu telah setidaknya mengambil
beberapa langkah-langkah tindakan awal ketika mereka dikenakan risiko. Idenya adalah untuk memperkirakan dampak biaya
menimbulkan beberapa risiko fi ed identifikasi dan kemudian menerapkan biaya yang dengan probabilitas faktor risiko risiko
untuk mendapatkan nilai yang diharapkan dari risiko. Ini juga merupakan waktu yang penting untuk mengidentifikasi
masing-masing pemilik risiko, orang atau badan yang bertanggung jawab untuk mengenali dan pemantauan status spesifik
risiko. Hal ini sering latihan yang tidak memerlukan studi biaya rinci dengan banyak pendukung tren historis dan perkiraan.
Dalam contoh yang digunakan sebelumnya, risiko yang diidentifikasi melalui pendekatan brainstorming yang cepat-respon
tetapi tanpa analisis rinci atau kemungkinan dan perkiraan fi signifikansi. Ini harus dibuat oleh orang-orang berpengetahuan
dengan pemahaman umum dari daerah berisiko. biaya yang diharapkan juga harus dilakukan oleh lini depan terlibat orang
pada berbagai tingkat perusahaan yang akan diharapkan untuk memiliki tingkat pengetahuan yang baik dari daerah atau risiko
implikasi.

Idenya adalah untuk pergi melalui masing-masing identifikasi ed risiko-atau jika waktu terbatas, hanya
risiko-dan kunci memperkirakan biaya menimbulkan risiko yang ditunjuk. Karena jenis risiko yang dibahas melibatkan
hal-hal seperti kegagalan TI atau produksi komponen perangkat keras, penurunan pangsa pasar, atau dampak dari
peraturan pemerintah yang baru, ini biasanya bukan jenis biaya yang satu hanya dapat melihat di katalog penjual
saat ini. Beberapa risiko yang khas dan cara-cara untuk berpikir tentang biaya penggantian meliputi:

& Risiko A: Kehilangan hingga x persen pangsa pasar karena perubahan selera konsumen.

& Apa yang akan menjadi penurunan penjualan dan hilangnya laba fi karena x penurunan persen?

& Berapa banyak biaya untuk mulai mengembalikan posisi pasar?

& B resiko: hilangnya Sementara fasilitas manufaktur besar yang berbasis di Florida hingga x

hari karena badai.

& Apa terbaik dan terburuk kasus perkiraan untuk mendapatkan tanaman sementara diperbaiki

dan kembali beroperasi dalam x hari?

& Apa yang akan menjadi tenaga kerja ekstra dan biaya material yang timbul selama interim?
& Risiko C: Rugi total sistem informasi selama dua hari karena komputer merusak

virus sistem.
& Berapa banyak bisnis dan profitabilitas akan hilang selama periode bawah?
& Apa yang akan menjadi biaya untuk operasi transfer ke situs kelangsungan bisnis lebih

periode?

Pertanyaan-pertanyaan ini tentu tidak tepat, tetapi menggambarkan jenis pemikiran yang diperlukan untuk memperkirakan

biaya pulih dari beberapa peristiwa bencana. Hal ini sering mudah untuk mengidentifikasi beberapa peristiwa risiko tetapi jauh

lebih sulit untuk menentukan apa yang akan biaya untuk pulih dari risiko itu. Seperti yang disarankan dalam bab ini, ada sering

tidak perlu performdetailed, orang-orang berpengetahuan memakan waktu analisis di sini tapi untuk bertanya yang memahami

area risiko untuk memberikan beberapa perkiraan. Tim di entitas yang bisa dikenakan risiko diidentifikasi tersebut harus

membuat perkiraan biaya mereka atas dasar jawaban untuk pertanyaan-pertanyaan berikut:
 & Berapa biaya kasus terbaik perkiraan jika perlu menanggung risiko? Ini adalah sebuah

asumsi bahwa akan ada hanya berdampak terbatas jika risiko terjadi.
& Apa yang akan sampel orang berpengetahuan memperkirakan untuk biaya? Untuk Risiko A sebagai

diuraikan di atas, direktur pemasaran mungkin akan diminta untuk menyediakan perkiraan.
& Berapa nilai yang diharapkan atau biaya menimbulkan risiko? Ini adalah jenis risiko yang

mungkin mencakup beberapa biaya dasar serta faktor-faktor lain seperti kebutuhan tenaga kerja tambahan.

& Berapa biaya terburuk dari menimbulkan risiko? Ini adalah '' apa jika semuanya berjalan

salah '' jenis perkiraan.

Tim ERM harus bekerja dengan orang lain dalam perusahaan untuk mengembangkan estimasi risiko tersebut. Kami
telah menyarankan menggunakan empat perkiraan sebagai titik awal untuk mendapatkan beberapa ide dari rentang biaya
dalam pemikiran berbagai orang. Namun, satu estimasi terbaik-tebakan harus dipilih dari empat perkiraan-biasanya sesuatu
antara perkiraan 2 dan 3. Perkiraan ini dan bekerja mendukung harus didokumentasikan, dan perkiraan biaya yang dipilih
harus dimasukkan sebagai biaya dampak pada perencanaan risiko-respon misalnya ditampilkan di pameran 3.6. Ini adalah
risiko yang sama bahwa kita identifikasi ed di pameran 3.5, tapi di sini mereka diperintahkan oleh peringkat risiko. penataan
kembali ini penting ketika suatu perusahaan memiliki daftar panjang risiko fi ed identifikasi.

The '' nilai yang diharapkan dari biaya '' sel hanya produk-produk dari dampak biaya dan skor risiko. Perkiraan ini
memprediksi apa yang akan biaya suatu perusahaan untuk menanggung beberapa risiko. Meskipun angka yang dipilih untuk
sampel ini sewenang-wenang, mereka menunjukkan bagaimana manajer atau ERM spesialis harus menafsirkan atau
bertindak atas jenis analisis.

Risiko C, misalnya, memiliki kemungkinan tinggi dan signifikansi serta cukup diharapkan tinggi biaya
yang benar. Ini adalah jenis risiko bahwa manajemen harus mengidentifikasi sebagai calon tindakan korektif.
Namun, risiko berikutnya pada jadwal, Risiko G, juga termasuk dalam tangan-kanan atas kuadran tetapi
dengan biaya yang relatif tinggi untuk

Risk diharapkan Risiko

Risiko ed Signifikansi kemungkinan Score (P Dampak Nilai Perencanaan

identifikasi Probabilitas Probabilitas x L) Tingkatan biaya Biaya Respon?

C 0.79 0.66 0,52 1 $ 120.600 $ 62.881 Iya

G 0.62 0.72 0,45 2 $ 785.000 $ 350.424 Tidak

saya 0,90 0,45 0,41 3 $ 15.000 $ 6075 Iya

D 0,77 0,45 0,35 4 $ 27.250 $ 9442 Iya

E 0,35 0.88 0,31 5 $ 52.350 $ 16.124 Iya

F 0,54 0,49 0,26 6 $ 1.200 $ 318 Iya

B 0.88 0,24 0,21 7 $ 12.650 $ 2.672 Iya

SEBUAH 0,55 0,30 0,17 8 $ 98.660 $ 16.279 Iya

H 0.66 0,20 0,13 9 $ 1.200.980 $ 158.529 Tidak

J 0,12 0.88 0.11 10 $ 88.600 $ 9356 Iya

EXHIBIT 3.6 Risiko-Ranking Response-Perencanaan Contoh

 Teknik Penilaian Risiko lainnya
&
4

melaksanakan. Ini mungkin jenis risiko di mana manajemen memutuskan untuk menerima risiko atau untuk mengembangkan beberapa

bentuk lain dari rencana remediasi, seperti dibahas di bawah.

Risiko H adalah lain dengan biaya tinggi untuk melaksanakan. Di sini, signifikansi dari risiko cukup tinggi tetapi

kemungkinan terjadinya cukup rendah. Ini adalah jenis nomor di mana manajemen sering akan memutuskan untuk '' berharap

untuk yang terbaik '' dan hidup dengan risiko. Untuk risiko ini, itu akan menjadi mahal jika manajemen menimbulkan risiko tetapi

juga mahal untuk memasang fasilitas tindakan korektif. Dengan asumsi tim ERM telah melakukan pekerjaan yang baik dalam

mempersiapkan perkiraan ini risiko fi ed identifikasi, ini dapat menjadi pendekatan yang berguna untuk membuat keputusan

remediasi risiko yang sedang berlangsung.

LAIN TEKNIK PENILAIAN RISIKO

Dengan deskripsi kami brainstorming, kami telah dijelaskan metode yang sangat informal dan mudah-touse untuk
mengidentifikasi risiko dan membuat beberapa perkiraan probabilitas kasar. Beberapa manajer keberatan dengan
informalitas cepat-respon dari metode ini dan mencari proses kualitatif yang lebih formal. Pada bagian ini, kita akan secara
singkat y memperkenalkan tiga analisis risiko dan keputusan teknik yang lebih kualitatif lainnya: metode Delphi, simulasi
Monte Carlo, dan analisis pohon keputusan. Kami menyajikan gambaran tingkat tinggi masing-masing. Tujuan kami adalah
untuk tidak menjadi primer pada matematika berbasis probabilitas tetapi untuk memperkenalkan beberapa metode penilaian
risiko populer tetapi lebih matematis yang tepat lainnya.

Metode brainstorming dijelaskan sebelumnya untuk mengidentifikasi perusahaan risiko mudah untuk
digunakan, tetapi kadang-kadang dapat menyebabkan tim untuk pergi ke arah yang salah. Brainstorming
mengasumsikan bahwa semua anggota tim memiliki sekitar tingkat yang sama di memengaruhi dan minat dalam
subjek. Masing-masing harus memberikan kontribusi untuk diskusi terbuka dengan melemparkan ide-ide individu
berdasarkan pemikiran dan lainnya berkontribusi. Kadang-kadang, bagaimanapun, kepribadian yang kuat dapat
menggagalkan sesi curah pendapat dengan mendorong agenda pribadi mereka, apakah benar atau salah. Seorang
moderator yang baik bisa mendapatkan sekitar orang-orang seperti, tapi kadang-kadang lebih baik untuk membuat
keputusan berbasis risiko melalui pendekatan yang lebih menyeluruh dan berorientasi penelitian. Sementara
brainstorming dan pendekatan informal lainnya memberikan informasi yang cepat dan umumnya akurat,

Metode Delphi

Pendekatan, atau setidaknya nama, dari proses keputusan ini akan kembali ke Yunani kuno sekitar 500 SM atau
sebelumnya. Sebuah kuil telah didirikan di kota Yunani Delphi dan diisi dengan sekelompok pendeta, yang
disebut firman. Mereka menanggapi pertanyaan orang-orang dan memberikan jawaban dalam tingkat tinggi, rasa
hampir sakral. Selama seribu tahun sejarah mencatat, orang-orang Yunani dan orang lain datang ke Delphi untuk
berkonsultasi ramalan tersebut, yang kata-katanya diambil untuk mengungkapkan aturan para dewa. Kuil Delphi
adalah pusat pengetahuan di dunia Yunani kuno dan pusat penting untuk pengambilan keputusan di seluruh
dunia.

Meskipun Delphi firman pergi milenium lalu, sebuah pengambilan keputusan pendekatan prediktif yang
sama, disebut metode Delphi, dikembangkan pada tahun 1950 oleh
RAND Corporation Santa Monica, California. Ide dari pendekatan Delphi kuno adalah bahwa pertanyaan
yang diajukan ke oracle balik layar tertutup. Setelah beberapa waktu untuk berpikir dan musyawarah,
jawaban akan disampaikan oleh pihak yang tidak dikenal yang mewakili oracle balik layar tertutup. Dalam
pendekatan RAND lebih modern, keputusan datang dari hasil survei yang dilakukan lebih dari dua atau lebih
putaran, memberikan para peserta di putaran kedua atau berikutnya dengan hasil fi rst sehingga mereka
dapat mengubah penilaian asli jika mereka ingin ke- atau tongkat pendapat mereka sebelumnya. Sesi
brainstorming, seperti yang dibahas sebelumnya, sering sesi kuat dalam dinamika kelompok mana satu atau
orang lain dalam sesi ini dapat hal mendominasi melalui pendapat pribadi yang kuat. Metode Delphi mirip
dengan fi lling keluar putaran survei pendapat. Tidak ada yang '' kehilangan muka '' karena survei dilakukan
secara anonim dengan menggunakan kuesioner.

Untuk proses fi kasi risiko identifikasi dijelaskan sebelumnya, metode Delphi akan mengambil tempat dari sesi
brainstorming dijelaskan sebelumnya sebagai berikut:

& Tim ERM atau beberapa kelompok lain, seperti audit internal, akan ditunjuk

sebagai yang '' firman '' untuk mengelola proses penilaian.

& Sekelompok manajer akan dipilih untuk mengidentifikasi risiko yang tepat.
& Setelah beberapa brie fi ng pada tujuan proyek, masing-masing teammember dipilih akan

diminta untuk mengidentifikasi risiko utama di bidang bunga. Orang-orang akan secara independen memasuki survei ini pada

formulir dikirim ke ERM '' nubuat. ''

& ERM '' firman '' kemudian akan meninjau hasil survei, fi nd umum benang ini,

dan mengembangkan kuesioner survei putaran kedua, daftar apa yang muncul untuk menjadi daerah risiko utama

keprihatinan.
& Para peserta survei asli akan menerima daftar terbaru ini dan akan diminta

setuju, tidak setuju, atau mengusulkan spesifikasi-modi. Hasil ini akan kembali ke ERM '' nubuat. ''

& Hasil putaran kedua ini mungkin lagi menjadi dimodifikasi untuk membuat putaran ketiga.

Seringkali, bagaimanapun, pendapat konsensus sering dapat dicapai setelah hanya dua putaran.

Proses pengiriman survei ke koordinator anonim dengan semua orang yang bekerja secara independen sering
bekerja dengan baik. Tidak ada individu menyelesaikan survei yang tahu siapa lagi yang secara khusus mengirimkan hasil
survei. Dilakukan dengan benar, pendapat setiap survei responden adalah sebagai berharga dan penting seperti semua
orang lain. Aspek negatif dari teknik Delphi adalah bahwa ini bisa menjadi proses yang cukup memakan waktu.

Metode Delphi sangat berguna untuk risiko lebih lama jarak identifikasi peramalan fi kasi, sebagai pendapat ahli adalah

satu-satunya sumber informasi yang tersedia. Sebuah negatif utama dengan metode ini adalah bahwa hal itu membutuhkan waktu.

Individu diminta untuk daftar apa yang mereka rasakan adalah risiko utama di daerah mereka. Setelah mengirimkan ini ke ERM

tim-oracle-mereka akan mendapatkan hasil kembali dengan ringkasan apa yang semua orang berpikir adalah risiko utama

bersama dengan permintaan untuk informasi lebih lanjut. Mereka sekarang memiliki kesempatan untuk meninjau apa yang

orang lain pikirkan tentang daerah risiko yang sama dan, berdasarkan masukan tersebut, dapat mengubah pendapat mereka.

Dilakukan dengan benar, tidak ada peserta yang tahu sumber pendapat lain, dan
hasilnya bisa menjadi sangat kolaboratif. Proses ini biasanya melewati dua atau tiga putaran dalam rangka
membangun risiko utama di daerah.
Metode Delphi pernah proses yang sangat memakan waktu dalam hari kertas dan pensil, tetapi hal-hal biasanya
pergi lebih cepat di era saat ini Internet dan e-mail. Sebuah tim dapat menilai risiko identifikasi input fi kasi dan cepat
meringkas fi tanggapan ini pertama untuk meminta pendapat dan update. Proses ini dapat bergerak sepanjang cukup
cepat dan secara efisien. Dengan kembali yang sedang berlangsung dan sebagainya pertukaran e-mail, tim ERM pusat
bertindak sebagai oracle dapat meringkas tanggapan dan mempublikasikan fi nal hasil diringkas. Meski tentu saja tidak
proses termudah untuk mengelola, pendekatan mengembangkan pendapat konsensus tentang isu-isu risiko yang
kompleks dan pertanyaan cukup cepat. Ini adalah alat yang baik untuk ditambahkan ke toolbox manajer risiko ini!

Simulasi Monte Carlo

Sementara deskripsi Delphi metode referensi orang-orang Yunani kuno 400 SM atau sebelumnya, simulasi
Monte Carlo mengacu pada era masa lalu yang lebih baru. Kembali sebelum era saat ini lotere pemerintah
meresap dan perjudian sanksi lainnya, banyak kegiatan taruhan berlangsung di besar, kasino perjudian formal.
Sementara warga AS berpikir Las Vegas, Nevada, adalah pusat dari semua ini, grand Monte Carlo kasino
inMonaco telah mewakili perjudian atau gulungan dadu banyak selama beberapa generasi. Karena risiko
selalu tidak pasti, dalam hal hasil dan probabilitas mereka, simulasi Monte Carlo adalah teknik yang digunakan
untuk memahami dan mengevaluasi risiko pasti.

Ide keseluruhan adalah untuk melampaui perkiraan tinggi, sedang, atau rendah sangat umum yang sering digunakan dalam estimasi

risiko dan untuk mengembangkan beberapa langkah-langkah yang lebih baik. Menggunakan penilaian mereka, seorang manajer dapat

menerapkan aturan probabilitas untuk mendapatkan pemahaman yang lebih baik dari set identifikasi ed risiko. Sementara ruang tidak

memungkinkan penjelasan rinci tentang metode Monte Carlo, bagian berikut menggambarkan pendekatan secara keseluruhan dan sangat

berguna ini.

Kami sebelumnya telah menyarankan bahwa setiap fi risiko ed identifikasi harus dinilai dalam hal
kemungkinan dan dampak potensial, di mana seorang manajer harus memusatkan perhatian pada
highlikelihood dan berdampak tinggi risiko. Hal ini relatif mudah untuk pergi melalui analisis ini karena ada
jumlah yang relatif kecil dari risiko fi ed identifikasi. Ada banyak tantangan yang lebih besar ketika sejumlah
besar risiko ini telah diidentifikasi. Sebagai contoh, sebuah organisasi mungkin telah melalui penilaian risiko
yang rinci selama mungkin 500 risiko yang diidentifikasi dan menemukan 150 dari risiko-risiko yang sama
untuk diperkirakan sebagai memiliki tentang kemungkinan tinggi yang sama dari terjadinya. Karena kita tidak
bisa mengambil semua 150 sebagai kelompok pertama fi ke alamat, pengukuran ketat dan lebih tepat
diperlukan. Tambahan,

Menggunakan serangkaian orang yang akrab dengan setiap risiko fi ed identifikasi, masing-masing harus diminta untuk

memperkirakan serangkaian faktor sekitarnya risiko, seperti kemungkinan risiko yang terjadi atau jumlah kerugian yang

diharapkan, jika itu adalah sifat dari risiko. Asumsikan bahwa perusahaan menghadapi risiko garansi produk hasil lebih dari satu

tahun tertentu. Meskipun dimungkinkan bahwa mereka mungkin memiliki nol kembali dalam suatu periode tertentu, bahkan

yang paling optimis manajer tahu bahwa akan ada beberapa, minimal, atau nomor optimistis pengembalian garansi.
EXHIBIT 3.7 Simulasi Monte Carlo Risiko Proses Bagan

Di sisi lain, setiap produk yang dijual bisa saja kembali untuk garansi, tetapi pandangan yang lebih masuk akal tapi pesimis
akan memberikan perkiraan di sini juga. Selain itu, manajer berpengalaman atau statistik operasional masa lalu dapat
memprediksi tentang berapa atau kemungkinan besar diperkirakan nilai untuk pengembalian.

tiga nilai ini dapat diplot dalam grafik yang sederhana, seperti yang ditunjukkan pada Exhibit 3.7. Karena proses

pengembalian garansi ini, seperti yang dijelaskan dalam contoh ini, terjadi secara terus menerus, tidak akan ada hanya satu

grafik titik untuk menggambarkan risiko tetapi lebih dari distribusi toples dari waktu ke waktu.

Seluruh ide simulasi Monte Carlo adalah untuk membangun serangkaian model yang menggambarkan
berbagai risiko fi ed mengidentifikasi dan menilai risiko-risiko menggunakan simulasi komputer. Melihat setiap
distribusi probabilitas, yang beberapa risiko dan hasil potensial dapat dikombinasikan untuk mengembangkan
serangkaian terbaik dan terburuk kasus perkiraan. Kami telah menyebutkan kesulitan untuk menilai daerah
150 berisiko tinggi dari 500 diidentifikasi risiko bahwa suatu organisasi mungkin menghadapi. Sebuah
simulationmodel akan melihat berbagai kombinasi risiko dan mengembangkan beberapa perkiraan
probabilitas gabungan untuk semua dari beberapa kombinasi. Kita tahu bahwa jelas tidak setiap salah satu
dari individu 150 identifikasi ed risiko tinggi akan berakhir dalam situasi terburuk juga tidak bisa kita ambil
yang paling optimis untuk mereka semua di beberapa titik waktu.

Ini bukan teknik di mana seorang individu dengan keterampilan matematika terbatas bisa pergi ke toko buku
lokal dan mengambil Teknik Monte Carlo Estimasi untuk jenis Dummies buku, jika seperti judul publikasi yang
ada. bantuan ahli akan diperlukan. Namun, titik kita di sini adalah bahwa ada beberapa teknik yang agak canggih
yang tersedia untuk membantu menilai dampak dari beberapa risiko. Bahkan dengan contoh hipotesis kami 150
dari 500 identifikasi ed risiko tinggi, semua ini akan menjadi nilai kecil jika salah satu atau risiko yang signifikan
lain telah terjawab di salah satu proses pengidentifikasian risiko.
Analisis Keputusan Pohon

Probabilitas dan dampak dari berbagai kombinasi beberapa risiko yang terjadi sering perhatian utama. analisis pohon
keputusan adalah sederhana dan teknik yang sering grafis untuk melihat beberapa kombinasi risiko untuk datang dengan
beberapa perkiraan dari hasil. Sebuah teknik yang secara historis digunakan dalam perencanaan proyek grafik jalur kritis,
dapat menjadi teknik yang efektif untuk melihat probabilitas meliputi satu set terbatas risiko. Proses ini sangat berguna
untuk melihat risiko terkait. Artinya, kita mungkin memiliki satu risiko yang mungkin atau mungkin tidak terjadi, tetapi akan
ada risiko yang terkait dengan probabilitas kemungkinan mereka sendiri. Dengan menggunakan analisis pohon keputusan
dan aturan probabilitas gabungan, kita dapat menilai kemungkinan beberapa kejadian risiko.

Bukti 3.8 menunjukkan konsep ini. Asumsikan bahwa kita memiliki identifikasi risiko A fi kasi dengan kemungkinan 5
persen dari terjadinya. Grafik menunjukkan dua cabang untuk risiko A ini, masing-masing dengan probabilitas 50 persen itu
baik terjadi atau tidak. Mungkin ada beberapa risiko terkait, A dan B, yang terkait dengan setiap hasil risiko tersebut.
Artinya, jika risiko A terjadi kita pasti akan menghadapi resiko B dengan kemungkinan 5 persen dari terjadinya. pohon
keputusan tersebut ditunjukkan secara grafik dalam pameran 3.8 menunjukkan bahwa jika kita berisiko dikenakan, ada
(0.50) (0.05) ¼ 0,025 atau kesempatan 2,5 persen kita akan dikenakan pertama risiko B. Pameran menunjukkan hasil yang
sama untuk B2 risiko yang akan dihadapi jika kita dikenakan atau tidak berisiko dikenakan diikuti oleh resiko B. Ini adalah
contoh yang agak sederhana yang tidak perlu disajikan dalam format grafis seperti yang ditunjukkan. Namun, deskripsi
grafis berguna ketika ada sejumlah besar risiko saling terkait dan saling berhubungan.

Kekuatan yang nyata dari pendekatan grafis pohon keputusan ini adalah untuk menggambarkan dampak bahwa risiko

tertentu mungkin memiliki mengenai hal-hal berbasis risiko berikutnya. Sebuah peristiwa risiko di unit kecil mungkin memiliki

dampak pada unsur-unsur lain dari operasi ketika semua risiko tersebut dirangkai. Pohon keputusan dapat menjadi alat

analisis risiko yang berguna.

Bab ini menggambarkan beberapa konsep klasik dan mendasar terkait dengan manajemen risiko. Ada
beberapa pendekatan lain, seperti teori keputusan atau analisis probabilitas Bayesian, yang dapat berguna
tetapi berada di luar cakupan buku ini. Manajer khas tidak perlu gelar sarjana dalam probabilitas atau
matematika

Pohon Keputusan Analisis Contoh

EXHIBIT 3.8
untuk memahami penilaian risiko atau analisis. Ada juga beberapa referensi teknis yang sangat baik pada
analisis risiko yang akan memberikan informasi yang berharga. Namun, dari perspektif penulis ini yang
memiliki gelar sarjana di bidang teknik, dengan onmathematics penekanan berat, terlalu banyak waktu dapat
dihabiskan di sulit dan analisis matematika teoritis.

cut-down dan disederhanakan alat dan teknik yang dijelaskan dalam bab ini juga akan dirujuk dalam bab-bab lain.
Hal-hal seperti mengidentifikasi potensi risiko dan kemudian memperkirakan probabilitas mereka dari terjadinya adalah
sama apakah menggunakan penilaian risiko tradisional klasik pendekatan atau lingkup perusahaan-lebar dari COSO
ERM. pendekatan manajemen risiko ini seharusnya tidak mengubah cara di mana kita melihat teknik penilaian risiko
individu tetapi bagaimana kita harus mempertimbangkan tampilan gambar besar dari risiko yang dihadapi suatu
perusahaan.

CATATAN

1. '' Bhopal Wajah Risiko Keracunan, '' November 14, 2004, http://news.bbc.co.uk/2/hi/ south_asia / 4010511.stm. catatan: Ini
adalah salah satu dari banyak referensi Web tentang masalah ini. Sebuah pencarian untuk Bhopal, India, dan Dow Chemical akan
menghasilkan sejumlah besar informasi.