BAB 4 MANAJEMEN RISIKO Tujuan Pembelajaran

• Menentukan risiko dan manajemen risiko perusahaan. Diskusikan dimensi yang berbeda dari
Komite Organisasi Sponsoring dari Enterprise Risk Management Komisi Treadway - Kerangka Kerja
Terintegrasi.

• Diskusikan berbagai dimensi ISO 31000: 2009 (E): Manajemen risiko - Prinsip dan panduan.

• Mengartikulasikan hubungan antara tata kelola dan manajemen risiko perusahaan.

• Jelaskan peran yang berbeda yang dapat dimainkan fungsi audit internal dalam manajemen risiko
perusahaan.

• Mengevaluasi dampak manajemen risiko perusahaan pada kegiatan audit internal. Hidup ini
penuh dengan ketidakpastian. Jika Anda berhenti memikirkannya, ada banyak kegiatan sehari-hari
yang tidak Anda ketahui hasilnya akan terjadi di muka. Bagaimana Anda menghadapi ketidakpastian
itu menentukan kesuksesan apa yang akan Anda miliki dalam hidup. Mengoperasikan bisnis tidak
berbeda. Organisasi menghadapi ketidakpastian dalam semua aspek dalam menjalankan bisnis, dan
keberhasilan mereka bergantung pada seberapa baik mereka mengelola ketidakpastian tersebut.
Audit internal dapat menjadi pendorong utama keberhasilan itu. Lihat kembali pameran 3-2 di bab
3, "Tata Kelola." Manajemen risiko digambarkan sebagai lapisan tengah dalam struktur tata kelola.
Manajemen risiko dimaksudkan untuk (1) mengidentifikasi dan memitigasi risiko yang dapat
mempengaruhi keberhasilan organisasi, dan (2) memanfaatkan peluang yang memungkinkan
keberhasilan itu. Manajemen mengembangkan strategi mengenai cara terbaik mengelola risiko dan
peluang utama. Kegiatan manajemen risiko harus beroperasi dalam arah keseluruhan struktur tata
kelola. Serupa dengan pembahasan tata kelola di bab 3, bab ini menjelaskan manajemen risiko
secara terperinci, membahas elemen-elemen dan prinsip-prinsip manajemen risiko utama, serta
berbagai peran dan tanggung jawab. Ilustrasi lain akan diberikan untuk menggambarkan, secara
lebih rinci, bagaimana seseorang dapat membayangkan elemen-elemen kunci manajemen risiko.
Bab ini diakhiri dengan diskusi tentang bagaimana fungsi audit internal dapat memainkan peran
integral dalam manajemen risiko. Peran spesifik dari internal

PAMERAN 4-1 PANDUAN IPPF RELEVAN KE BAB 4 Standar 2010 - Standar Perencanaan 2100 - Sifat
Standar Kerja 2120 Penasihat Praktik Manajemen Risiko 2010-1: Menghubungkan Rencana Audit
dengan Risiko dan Praktik Kerja Penasihat Penasihat 2120-1: Menilai Kecukupan Manajemen Risiko
Prpo Practice Advisory 2210.A1-1: Penilaian Risiko dalam Panduan Praktik Perencanaan
Perencanaan: Menilai Kecukupan Panduan Praktik Manajemen Risiko: Mengkoordinasikan
Manajemen Risiko dan Jaminan

Fungsi audit dibahas, seperti dampak manajemen risiko terhadap rencana audit internal. Sebelum
memulai diskusi tentang manajemen risiko, penting untuk memahami mengapa bidang ini sering
menjadi topik diskusi di dunia bisnis. Banyak organisasi telah menemukan bahwa menerapkan
manajemen risiko yang efektif lebih sulit daripada yang dipikirkan sebelumnya. Namun, ada
peningkatan jumlah alasan selain peran manajemen risiko dalam memungkinkan keberhasilan,
lembaga pemeringkat di Amerika Serikat sekarang lebih banyak berfokus pada manajemen risiko
dalam kemampuan mereka yang kuat di bidang ini. bagi organisasi untuk menetapkan evaluasi
peringkat. Layanan Investor Moody menggabungkan tata kelola ke dalam peringkatnya dan
mempertimbangkan manajemen risiko juga. Standard & Poor's mengevaluasi komponen
manajemen risiko tertentu dengan maksud untuk memasukkannya secara formal ke dalam
peringkatnya di masa depan. Ini adalah contoh mengapa sangat penting bagi organisasi untuk
menerapkan struktur manajemen risiko yang tepat.
GAMBARAN UMUM MANAJEMEN RISIKO

Sejarah Singkat Risiko Manajemen risiko bukanlah fenomena baru atau cara baru dalam mendekati
manajemen bisnis. Peter L. Bernstein memberikan sejarah risiko yang luas dalam Against the Gods:
The Remarkable Story of Risk, bukunya menguraikan penerimaan dan pemahaman risiko yang
berkembang selama berabad-abad. Misalnya

• Perjudian telah didokumentasikan beberapa abad yang lalu ke peradaban Yunani dan Mesir awal
serta dalam Alkitab (misalnya, tentara Pontius Pilatus membuang undi untuk jubah Kristus ketika ia
menderita di kayu salib). Putih kebetulan telah umum sepanjang sejarah, teori probabilitas tidak
ditemukan sampai periode Renaissance pada pertengahan abad ketujuh belas. Setelah penemuan
itu, teori probabilitas berkembang dari latihan matematika untuk menjelaskan hasil dalam
permainan kesempatan menjadi alat utama yang digunakan dalam dunia bisnis untuk mendukung
pengambilan keputusan.

• Pedagang Cina dan Babilonia memindahkan praktik-praktik transfer dan distribusi risiko paling
cepat pada abad ketiga dan kedua SM. Orang-orang Yunani dan Romawi memperkenalkan bentuk-
bentuk awal asuransi kesehatan dan jiwa sekitar tahun 600 M., Menjelang akhir abad ketujuh belas,
semakin pentingnya London sebagai pusat perdagangan menyebabkan meningkatnya permintaan
untuk asuransi laut. Pada akhir 1680-an, Edward Lloyd membuka sebuah coffechouse yang menjadi
tempat populer para pemilik kapal, pedagang, dan kapten kapal, dan dengan demikian menjadi
sumber yang dapat diandalkan dari berita pengiriman terbaru. Itu menjadi tempat pertemuan bagi
pihak-pihak yang ingin mengasuransikan kargo dan kapal, dan mereka yang bersedia untuk
menanggung risiko tersebut. Saat ini, Lloyd's of London tetap menjadi salah satu perusahaan
asuransi khusus terkemuka di dunia.

• Mirip dengan bisnis asuransi, bank dan lembaga keuangan lainnya telah menghadapi risiko dalam
semua aspek bisnis mereka selama bertahun-tahun. Tepian pertama mungkin adalah kuil
keagamaan dunia kuno. Ada catatan pinjaman dari abad kedelapan belas SM. di Babel yang dibuat
oleh imam kuil untuk pedagang. Kerajaan Yunani dan Romawi membantu mengembangkan praktik
perbankan di sekitar pinjaman, deposito, dan pertukaran mata uang. Bank menggunakan konsep
risiko untuk menentukan tingkat yang dapat mereka bebankan untuk pinjaman berdasarkan biaya
dana mereka sendiri dan probabilitas gagal bayar. Lembaga keuangan juga telah mengembangkan
instrumen keuangan, seperti opsi, swap, dan instrumen derivatif, yang menciptakan nilai
berdasarkan probabilitas kejadian di masa depan yang tidak pasti.

Definisi Risiko Kata risiko bahasa Inggris berasal dari kata Iralia "risicare," yang berarti "berani:
pilihan dalam kondisi yang tidak pasti (daripada nasib)." Kunci dari definisi ini adalah gagasan
tentang ketidakpastian. Memperluas definisi itu, Komite Organisasi Sponsoring dari Komisi
Treadway (COSO) mendefinisikan risiko sebagai "... kemungkinan bahwa suatu peristiwa akan terjadi
dan berdampak buruk pada pencapaian suatu tujuan." Dan Organisasi Internasional untuk
Standardisasi (berbasis di Swiss dan disingkat ISO berdasarkan terjemahan Prancis) dengan sangat
sederhana mendefinisikan risiko sebagai "efek dari ketidakpastian pada tujuan.

Tertanam dalam definisi risiko COSO dan IS0 adalah kunci tertentu, poin mendasar yang harus
dipahami sebelum melanjutkan ke konsep manajemen

 risiko dimulai dengan perumusan strategi dan penetapan tujuan.sebuah organisasi dalam
bisnis dan risiko merupakan hambatan untuk berhasil mencapai tujuan tersebut.Oleh karena
itu, karena setiap organisasi memiliki strategi dan tujuan yang agak berbeda, mereka juga
akan menghadapi berbagai jenis risiko.
• Risiko tidak mewakili estimasi titik tunggal (misalnya, hasil kami yang paling mungkin). Sebaliknya,
itu mewakili berbagai hasil yang mungkin. Karena banyak hasil yang berbeda dimungkinkan, konsep
rentang adalah apa yang menciptakan ketidakpastian ketika memahami dan mengevaluasi risiko.

• Risiko dapat terkait dengan mencegah hal-hal buruk terjadi (mitigasi risiko), atau gagal
memastikan hal-hal baik terjadi (yaitu, mengeksploitasi atau mengejar peluang). Kebanyakan orang
fokus pada pencegahan hasil yang buruk-misalnya, bahaya yang perlu dikurangi atau dihilangkan.
Sementara banyak risiko, pada kenyataannya, menghadirkan ancaman bagi organisasi, kegagalan
untuk mencapai hasil positif juga dapat menciptakan penghalang untuk pencapaian tujuan dan juga
risiko.

• Risiko melekat dalam semua aspek kehidupan - yaitu, di mana pun ketidakpastian ada, satu risiko
atau lebih ada. Contoh-contoh yang diberikan di sebelumnya bagian tentang sejarah risiko
menggambarkan bagaimana pemahaman rik berkembang. Risiko-risiko yang secara khusus terkait
dengan organisasi yang melakukan suatu bentuk bisnis biasanya disebut sebagai risiko bisnis. Ini
dipikirkan dalam istilah yang cukup sederhana: ketidakpastian mengenai ancaman terhadap
pencapaian tujuan bisnis dianggap sebagai risiko bisnis,

Menggunakan deskripsi risiko ini, menjadi jelas bahwa ada sejumlah risiko yang dihadapi organisasi
ketika mereka mencoba untuk mengeksekusi strategi mereka dan mencapai tujuan mereka.
Extensiveness ini bisa agak luar biasa, yang membawa apresiasi yang lebih besar untuk kebutuhan
untuk memiliki proses untuk secara efektif memahami dan mengelola risiko di seluruh organisasi.
Kebutuhan ini dapat diatasi melalui manajemen risiko perusahaan (ERM).

KERANGKA KERJA COSO ERM Di Amerika Serikat, COSO menerbitkan Kerangka Kerja Terpadu
Manajemen Risiko Perusahaan (COSO ERM, atau kerangka kerja ERM) pada tahun 2004, COSO
mengidentifikasi kebutuhan akan kerangka kerja yang kuat untuk membantu perusahaan secara
efektif mengidentifikasi penilaian, dan mengelola risiko. Kerangka kerja yang dihasilkan diperluas
pada Kerangka Kerja Kontrol-Terpadu Internal yang dikeluarkan, menggabungkan semua kunci dari
kerangka kerja tersebut dalam kerangka kerja ERM yang lebih luas.

COSO mendefinisikan ERM sebagai: Sebuah proses, yang dilakukan oleh dewan direksi, manajemen,
dan personel entitas lainnya, diterapkan dalam penetapan strategi dan di seluruh perusahaan, yang
dirancang untuk mengidentifikasi peristiwa potensial yang dapat memengaruhi entitas, dan
mengelola risiko agar sesuai dengan selera risiko. , untuk memberikan kepastian yang masuk akal
mengenai pencapaian entitas kata sifat.

COSO menjelaskan bahwa definisi ini mencerminkan konsep dasar tertentu. ERM adalah:

• Suatu proses yang sedang berlangsung dan mengalir di seluruh organisasi.

• Dipengaruhi oleh orang-orang (yaitu, karyawan) di setiap tingkat organisasi.

• Diterapkan saat menetapkan strategi organisasi.

• Diterapkan di seluruh organisasi, di setiap level dan unit.

• Berfokus pada pandangan risiko portofolio tingkat entitas.

• Dirancang untuk mengidentifikasi peristiwa potensial yang, jika terjadi, akan memengaruhi
organisasi.

• Sarana untuk memungkinkan manajemen risiko dalam selera risiko organisasi.

• Mampu memberikan jaminan yang wajar kepada manajemen dan dewan direksi organisasi.

• Ditujukan untuk pencapaian tujuan dalam satu atau lebih kategori yang terpisah namun tumpang
tindih.

Kerangka kerja ERM secara grafis digambarkan sebagai matriks tiga dimensi, dalam bentuk kubus,
dibuat ulang dalam pameran 4-2. Penggambaran ini menunjukkan hubungan inter antara jenis
tujuan (kolom vertikal di bagian atas kubus), komponen ERM (baris horizontal), dan struktur bisnis
organisasi (sisi kubus), Ini menggambarkan kemampuan untuk fokus pada keseluruhan ERM
organisasi, atau berdasarkan jenis objektif, komponen, unit organisasi, atau bagian apa pun
daripadanya.

Jenis-Jenis Tujuan Ketika suatu organisasi menetapkan misi dan visinya, manajemen juga
menetapkan berbagai tujuan yang mendukung misi tersebut dan diselaraskan dan mengalir di
seluruh organisasi. Sebagaimana dibahas dalam bab 1, "Pengantar Audit Internal," kerangka kerja
ERM diarahkan untuk mencapai tujuan organisasi dalam empat kategori berikut:

• Tujuan strategis. Sasaran tingkat tinggi yang selaras dan mendukung misi organisasi.

• Tujuan operasi. Tujuan luas yang mempromosikan penggunaan sumber daya secara efektif dan
efisien. Tujuan pelaporan. Sasaran yang berfokus pada keandalan pelaporan (baik eksternal
maupun internal).

• Tujuan kepatuhan. Tujuan menegakkan kepatuhan dengan hukum dan peraturan yang berlaku.

Kategorisasi tujuan organisasi ini mendukung fokus pada aspek ERM yang terpisah tetapi sama
pentingnya. Berbagai kategori sasaran yang tumpang tindih yang berbeda ini - tujuan tertentu dapat
jatuh ke dalam lebih dari satu kategori - memenuhi kebutuhan organisasi yang berbeda dan mungkin
berada di bawah tanggung jawab langsung dari anggota manajemen senior yang berbeda.

COSO menyatakan hal berikut tentang pencapaian tujuan: "Karena tujuan yang berkaitan dengan
keandalan pelaporan dan kepatuhan terhadap hukum dan peraturan berada dalam kendali entitas,
manajemen risiko perusahaan dapat diharapkan untuk memberikan jaminan yang wajar untuk
mencapai tujuan tersebut. Pencapaian tujuan strategis dan Namun, sasaran operasi bergantung
pada peristiwa eksternal yang tidak selalu berada dalam kendali entitas, sehingga untuk tujuan ini,
(ERM) dapat memberikan jaminan yang wajar bahwa manajemen, dan dewan pengawas dalam
peran pengawasannya, disadarkan, pada waktu yang tepat. cara, sejauh mana entitas bergerak
menuju pencapaian tujuan.

Komponen ERM COSO ERM terdiri dari komponen yang saling terkait, yang berasal dari cara
manajemen menjalankan perusahaan dan diintegrasikan dengan proses manajemen. :

• Lingkungan internal. "Manajemen menetapkan filosofi mengenai risiko dan menetapkan selera
risiko. Int Lingkungan abadi mencakup nada organisasi, dan menetapkan dasar untuk bagaimana
risiko dan kontrol dilihat dan ditangani oleh orang-orang entitas. Inti dari bisnis apa pun orangnya —
atribut individualnya, termasuk integritas, nilai-nilai etika, dan kompetensi — dan lingkungan tempat
mereka beroperasi. "COSO selanjutnya menyatakan bahwa" Lingkungan internal adalah dasar untuk
semua komponen ERM lainnya. , memberikan disiplin dan struktur. Ini memengaruhi bagaimana
strategi dan sasaran ditetapkan, kegiatan bisnis disusun, dan risiko diidentifikasi, dinilai, dan
ditindaklanjuti. Ini juga mempengaruhi desain dan fungsi kegiatan kontrol, sistem informasi dan
komunikasi, dan kegiatan pemantauan. "Lingkungan internal dipengaruhi oleh sejarah dan budaya
organisasi. Ini terdiri dari banyak elemen, termasuk yang berikut, yang dibahas COSO secara lebih
rinci:

 Filosofi manajemen risiko, yang mewakili seperangkat keyakinan dan sikap bersama yang
menjadi ciri bagaimana organisasi menganggap risiko dalam segala hal yang dilakukannya.
 Risk appetite, yang mewakili jumlah risiko, pada tingkat yang luas, organisasi bersedia
menerima.
 Dewan direksi, yang menyediakan struktur, pengalaman, independensi, dan peran
pengawasan yang dimainkan oleh badan pengatur utama organisasi.
 NilaiNilai integritas dan etika, yang mencerminkan preferensi, standar perilaku, dan gaya.
 KomitmenKomitmen terhadap kompetensi, termasuk pengetahuan dan keterampilan yang
dibutuhkan untuk melakukan tugas yang ditugaskan.
 Struktur organisasi, sebagaimana dicirikan oleh kerangka kerja untuk merencanakan,
melaksanakan, mengendalikan, dan memantau kegiatan.
 Penugasan wewenang dan tanggung jawab, yang mencerminkan tingkat di mana individu
dan tim diberi wewenang dan didorong untuk menggunakan inisiatif untuk mengatasi
masalah dan menyelesaikan masalah, serta batasan untuk otoritas mereka
 Standar sumber daya manusia, terdiri dari praktik-praktik yang berkaitan dengan
perekrutan, orientasi, pelatihan, evaluasi, konseling, promosi, kompensasi, dan mengambil
tindakan perbaikan.
 Pengaturan obyektif. "Tujuan ditetapkan pada tingkat strategis, menetapkan dasar untuk
tujuan operasi, pelaporan, dan kepatuhan. Setiap entitas menghadapi berbagai risiko dari
sumber eksternal dan internal, dan prasyarat untuk identifikasi peristiwa, penilaian risiko,
dan respons risiko yang efektif telah ditetapkan. tujuan,

Tujuan harus diselaraskan dengan selera risiko organisasi, yang mendorong tingkat toleransi
risiko bagi organisasi. Toleransi risiko adalah tingkat ukuran dan variasi yang dapat diterima
relatif terhadap pencapaian tujuan, dan harus selaras dengan selera risiko organisasi.

• Identifikasi acara. "Manajemen mengidentifikasi peristiwa potensial yang, jika terjadi, akan
mempengaruhi entitas, dan menentukan apakah peristiwa ini mewakili peluang atau apakah
mereka dapat mempengaruhi kemampuan entitas untuk berhasil menerapkan strategi dan
mencapai tujuan. Acara dengan dampak negatif mewakili risiko, yang memerlukan manajemen
penilaian dan respons. Acara dengan dampak positif mewakili peluang, yang disalurkan
manajemen kembali ke strategi dan proses penetapan tujuan. Ketika mengidentifikasi peristiwa,
manajemen mempertimbangkan berbagai faktor internal dan eksternal yang dapat
menimbulkan risiko dan peluang, dalam konteks ruang lingkup risiko penuh organisasi. "10

COSO mengutip faktor-faktor eksternal, bersama dengan contoh peristiwa terkait, termtermasu

 Peristiwa ekonomi, seperti pergerakan harga, ketersediaan modal, atau hambatan yang
lebih rendah untuk memasuki persaingan.
 Kejadian lingkungan alami, seperti banjir, kebakaran, gempa bumi, atau peristiwa terkait
cuaca.
 Acara politik, seperti pemilihan pejabat pemerintah dengan agenda politik baru,
diberlakukannya undang-undang dan peraturan baru.
 Peristiwa sosial, seperti perubahan demografi, adat istiadat sosial, struktur keluarga,
atau prioritas pekerjaan / kehidupan,
  Peristiwa teknologi, seperti cara baru perdagangan elektronik, penyimpanan, atau
pemrosesan.

"COSO juga mengutip faktor-faktor internal, bersama dengan contoh-contoh terkait

peristiwa, termasuk:

 Faktor infrastruktur, seperti peningkatan alokasi modal untuk pemeliharaan

preventif atau dukungan call center.
 Faktor personalia, seperti kecelakaan di tempat kerja, kegiatan penipuan, atau
kedaluwarsa perjanjian kerja.
 Faktor proses, seperti modifikasi proses, kesalahan proses eksekusi, atau keputusan
outsourcing
 Faktor teknologi, seperti meningkatnya sumber daya terhadap volatilitas,
pelanggaran keamanan, atau downtime sistem.

Penilaian risiko. "Penilaian risiko memungkinkan entitas untuk mempertimbangkan sejauh mana
peristiwa potensial berdampak pada pencapaian tujuan. Manajemen menilai peristiwa dari dua
perspektif - kemungkinan dan dampak - dan biasanya menggunakan kombinasi kualitatif dan
kuantitatif metode. Dampak positif dan negatif dari peristiwa potensial harus diperiksa, secara
individu atau berdasarkan kategori, di seluruh entitas. Risiko dinilai baik secara inheren maupun
residual, "

Dalam istilah yang paling sederhana, risiko inheren mewakili risiko "kotor" sementara risiko residual
adalah risiko "bersih". Risiko yang melekat adalah risiko bagi suatu organisasi tanpa adanya tindakan
yang mungkin diambil manajemen untuk mengubah kemungkinan atau dampak risiko tersebut.
Risiko-risiko ini mungkin melekat dalam model bisnis organisasi atau keterlambatan pengambilan
keputusan yang dibuat manajemen tentang cara mengoperasikan dan menjalankan model bisnis itu.
Risiko residual adalah risiko yang tetap ada setelah respons manajemen terhadap risiko (misalnya,
untuk mengurangi atau mentransfer risiko). Penilaian risiko harus diterapkan terlebih dahulu ke
risiko yang melekat. Setelah respons risiko dikembangkan, manajemen kemudian
mempertimbangkan risiko residual.

Ada banyak cara berbeda untuk menilai dampak dan kemungkinan risiko, mulai dari memperoleh
penilaian dan perspektif individu secara keseluruhan, hingga membuat tolok ukur terhadap
perusahaan lain, hingga menjalankan model probababel yang canggih. Terlepas dari opsi mana, atau
kombinasi opsi yang digunakan, penting bahwa penilaian mempertimbangkan hubungan antara
risiko. Artinya, dampak kasus terburuk yang realistis dan kemungkinan peristiwa risiko mungkin
tergantung pada bagaimana kombinasi risiko saling terkait. Menilai setiap risiko dengan
mengabaikan skenario terburuk yang realistis yang perlu dipertimbangkan oleh organisasi.

Respon risiko. "Setelah menilai risiko yang relevan, manajemen menentukan bagaimana hal itu akan
merespons. Tanggapan mencakup penghindaran risiko, pengurangan, pembagian, dan penerimaan.
Dalam mempertimbangkan tanggapannya, manajemen menilai dampak pada kemungkinan dan
dampak risiko, serta biaya dan manfaat, memilih respons yang membawa risiko residual dalam
toleransi risiko yang diinginkan. Manajemen mengidentifikasi setiap peluang yang mungkin tersedia,
dan mengambil pandangan seluruh entitas, atau portofolio, risiko, menentukan apakah risiko
residual secara keseluruhan berada dalam selera risiko entitas.

" Sebagaimana ditunjukkan, respons risiko berada dalam empat kategori, yang didefinisikan COSO
sebagai:
  Penghindaran. Keluar atau mendivestasikan kegiatan yang memberikan risiko terhadap
risiko. Penghindaran risiko dapat melibatkan keluar dari lini produk, penurunan ekspansi ke
pasar geografis baru, atau penjualan divisi.
 Pengurangan. Tindakan diambil untuk mengurangi kemungkinan risiko atau dampak, atau
keduanya. Ini biasanya melibatkan banyak sekali keputusan bisnis sehari-hari [seperti
menerapkan kontrol].
 Berbagi. Mengurangi kemungkinan risiko atau dampak dengan mentransfer atau membagi
sebagian risiko. Teknik umum termasuk membeli produk asuransi, terlibat dalam transaksi
lindung nilai, atau outsourcing aktivitas,
 Penerimaan. Tidak ada tindakan yang diambil untuk memengaruhi kemungkinan atau
dampak risiko. [Dalam pengaruh, rumah sakit bersedia menerima risiko pada tingkat saat
ini daripada menghabiskan sumber daya berharga untuk menggunakan salah satu opsi
respons risiko lain.]

Penting untuk mempertimbangkan portofolio, atau agregat, efek dari respons risiko. Dalam
beberapa kasus, respons risiko tertentu mungkin tidak tampak sebagai respons terbaik atau paling
hemat biaya untuk risiko tertentu. Namun, jika respons risiko itu membantu mengelola risiko lain,
manfaat bagi organisasi dapat membenarkan pemilihan opsi tertentu itu. Dengan melihat risiko dari
perspektif portofolio, manajemen dapat memastikan bahwa risiko dikelola secara optimal dalam
selera risiko yang ditetapkan organisasi.

 Mengontrol kegiatan. "Kegiatan pengendalian adalah kebijakan dan prosedur yang

membantu memastikan bahwa respons risiko manajemen dilakukan. Kegiatan pengendalian
terjadi di seluruh organisasi, di semua tingkatan dan dalam semua fungsi.

Sementara kegiatan kontrol paling sering dikaitkan dengan strategi pengurangan risiko, kegiatan
kontrol tertentu juga mungkin diperlukan ketika mengeksekusi salah satu respons risiko lainnya.
Mereka diklasifikasikan dalam berbagai cara dan mencakup serangkaian kegiatan yang dapat
bersifat preventif atau detektif, manual atau otomatis, dan pada tingkat proses atau tingkat
manajemen. Lihat bab 6, "Kontrol Internal," untuk diskusi lebih lanjut tentang berbagai jenis
kontrol. Berikut ini adalah beberapa contoh kegiatan kontrol yang biasa digunakan yang
disediakan oleh COSO:

 Tinjauan tingkat atas adalah kontrol yang biasanya dijalankan pada tingkat entitas, seperti
kinerja terhadap tinjauan anggaran, perkiraan terbaru, pemantauan tindakan pesaing, atau
inisiatif penahanan biaya. Manajemen fungsional atau aktivitas langsung adalah kontrol
yang dijalankan oleh manajer yang menjalankan fungsi atau aktivitas tertentu, seperti
meninjau laporan kinerja untuk area tersebut atau mengawasi pelaksanaan kontrol level
terperinci (misalnya, rekonsiliasi).
 Kontrol pemrosesan informasi dirancang untuk memeriksa keakuratan, kelengkapan, dan
otorisasi transaksi. Selain itu, area ini mencakup kontrol infrastruktur umum, seperti
keamanan fisik dan logis; kontrol atas implementasi sistem, peningkatan, atau modifikasi;
pemulihan bencana; dan kontrol operasi sistem.
 Kontrol fisik meliputi (1) penghitungan fisik uang tunai, sekuritas, inventaris, peralatan, atau
aset tetap lainnya, dan membandingkan penghitungan tersebut dengan jumlah yang dicatat
dalam pembukuan dan catatan, dan (2) penghalang atau pembatasan fisik seperti pagar dan
kunci.
 Indikator kinerja melibatkan analisis penyimpangan dari norma kinerja yang diharapkan
atau ditargetkan.
  Pemisahan tugas melibatkan pemisahan tugas orang yang berbeda untuk mengurangi risiko
kroris atau penipuan. Misalnya, individu yang membentuk vendor baru dalam sistem tidak
boleh dapat mengotorisasi transaksi untuk membayar vendor itu.

"• Informasi dan komunikasi." Informasi yang bersangkutan diidentifikasi, ditangkap, dan
dikomunikasikan dalam bentuk dan kerangka waktu yang memungkinkan orang untuk
melaksanakan tanggung jawab mereka. "I Informasi harus dalam kedalaman yang cukup konsisten
dengan kebutuhan organisasi untuk mengidentifikasi, menilai, dan merespons risiko, dan tetap
berada dalam berbagai tingkat toleransi risiko. Sistem informasi memproses data yang dihasilkan
secara internal dan eksternal menjadi informasi yang berkualitas cukup untuk mendukung
keputusan pembuatan COSO mencatat bahwa informasi harus:

 Sesuai dan pada tingkat detail yang tepat.

 Tepat waktu dan tersedia saat dibutuhkan.
 Saat ini, mencerminkan informasi keuangan atau operasional terbaru.
 AkuratAkurat dan andal.
 Dapat diakses oleh mereka yang membutuhkannya.

COSO selanjutnya menyatakan, "Komunikasi yang efektif juga terjadi, mengalir turun, melintasi,
dan naik ke organisasi. Semua personil menerima pesan yang jelas dari manajemen puncak
bahwa tanggung jawab [ERM] harus ditanggapi dengan serius. Mereka memahami peran mereka
sendiri dalam [ERM] , serta bagaimana aktivitas individu terkait dengan pekerjaan orang lain.
Mereka harus memiliki sarana untuk mengkomunikasikan informasi penting di hulu. Ada juga
komunikasi yang efektif dengan pihak eksternal, seperti pelanggan, pemasok, regulator, dan
pemegang saham.

Ada banyak bentuk komunikasi yang berbeda, seperti manual kebijakan, memorandum, email,
situs internet dan intranet, pemberitahuan papan pengumuman, dan pesan video. Ketika pesan
dikirim secara lisan, nada suara dan bahasa tubuh dapat memengaruhi bagaimana pesan
diinterpretasikan.

• Pemantauan. "Manajemen risiko perusahaan dimonitor-menilai keberadaan dan fungsi

komponen-komponennya dari waktu ke waktu. Jenis kontrol hilir ini dapat dicapai melalui
kegiatan pemantauan yang sedang berlangsung, evaluasi terpisah, atau kombinasi dari
keduanya. Pemantauan yang sedang berlangsung umumnya akan terjadi dalam jalur normal
kegiatan manajemen Sifat, ruang lingkup, dan evaluasi frekuensi akan tergantung terutama pada
penilaian manajemen terhadap risiko yang mendasari dan efektivitas prosedur pemantauan
yang sedang berlangsung saat ini.Kekurangan yang dicatat dari kegiatan pemantauan ini
dilaporkan di hulu, dengan hal-hal yang paling serius dilaporkan kepada senior sehari-hari dari
manajemen dan dewan yang terpisah

Selain kegiatan pemantauan manajemen yang sedang berlangsung, individu lain mungkin
terlibat dalam proses pemantauan. Misalnya, individu yang bertanggung jawab atas kinerja
kegiatan utama dapat melakukan penilaian sendiri untuk mengevaluasi efektivitas kegiatan
manajemen risiko mereka. Auditor internal biasanya merupakan bagian dari sistem pemantauan
keseluruhan, di mana hasil audit individu membantu menilai efektivitas kegiatan manajemen
risiko terkait. Dalam keadaan tertentu, pekerjaan yang dilakukan oleh auditor luar independen
juga dapat mempengaruhi penilaian manajemen terhadap efektivitas manajemen risiko yang
berkelanjutan.
 Pada dasarnya, komponen ERM menyediakan konteks untuk menjawab beberapa pertanyaan
umum sehari-hari yang merangkum pemikiran manajemen risiko (terkait dengan kerangka kerja
ERM):

1. Apa yang ingin kita capai (apa tujuan kita)?

2. Apa yang bisa menghentikan kita dari mencapainya (apa risikonya, seburuk apa mereka, dan
seberapa besar kemungkinan itu terjadi)?

3. Pilihan apa yang kita miliki untuk memastikan hal-hal itu tidak terjadi (apa strategi
manajemen risiko, yaitu, tanggapan)?

4. Apakah kita memiliki kemampuan untuk mengeksekusi opsi-opsi tersebut (sudahkah kita
merancang dan melaksanakan kegiatan kontrol untuk melaksanakan strategi manajemen risiko)?
5. Bagaimana kita tahu bahwa kita telah mencapai apa yang ingin kita capai (apakah informasi
ada untuk membuktikan keberhasilan, dan dapatkah kita memantau kinerja untuk memverifikasi
keberhasilan itu)?

Lima pertanyaan ini berlaku untuk lebih dari sekedar manajemen risiko di dunia bisnis. Mereka
dapat berlaku untuk hampir semua tujuan atau keputusan dalam hidup. Menjawab pertanyaan-
pertanyaan ini menanamkan jenis pemikiran dan disiplin berbasis manajemen risiko yang selaras
dengan COSO ERM dan kerangka kerja manajemen risiko lainnya.

Peran dan Tanggung Jawab ERM Dewan direksi, manajemen, petugas risiko, petugas keuangan,
auditor internal, dan, tentu saja, setiap individu dalam suatu organisasi berkontribusi terhadap
ERM yang efektif. Peran dan tanggung jawab masing-masing kelompok ini selaras dengan yang
dibahas dalam Bab 3, "Tata Kelola."

• Jajaran direktur. Dewan memberikan pengawasan dan arahan kepada manajemen organisasi,
Dewan dapat memainkan peran dalam penetapan strategi, merumuskan tujuan tingkat tinggi,
alokasi sumber daya berbasis luas, dan membentuk lingkungan etis. COSO menunjukkan bahwa
dewan memberikan pengawasan terkait ERM dengan:

 Mengetahui sejauh mana manajemen telah menetapkan ERM yang efektif dalam suatu
organisasi.
 Menyadari dan menyetujui selera risiko organisasi.
 Meninjau pandangan portofolio organisasi tentang risiko dan mempertimbangkannya
terhadap selera risiko organisasi.
 Menjadi mengetahui risiko yang paling signifikan dan apakah manajemen merespons
dengan tepat.

Dewan juga merupakan bagian dari komponen lingkungan internal ERM dan harus memiliki
komposisi yang diperlukan dan fokus agar ERM menjadi efektif. Ini membantu untuk
menentukan konteks ERM dan memberikan saran dan menyetujui kriteria risiko utama
untuk organisasi. Biasanya, dewan akan melaksanakan tanggung jawabnya melalui berbagai
komite, seperti komite audit dan komite nominasi dan pemerintahan.

 Manajemen. Manajemen bertanggung jawab atas semua kegiatan sebuah organisasi,

termasuk ERM, namun tanggung jawab ini akan bervariasi, tergantung pada level dalam
organisasi dan karakteristik organisasi.

CEO pada akhirnya bertanggung jawab atas efektivitas dan keberhasilan ERM. Salah satu aspek
terpenting dari tanggung jawab ini adalah memastikan adanya lingkungan internal yang positif. CEO
menetapkan nada di atas, memengaruhi komposisi dan perilaku dewan, memberikan kepemimpinan
dan arahan kepada manajer senior, dan memantapkan aktivitas risiko keseluruhan organisasi terkait
dengan selera risiko dan eriteria risiko lainnya, seperti kapasitas dan risiko risiko. tingkat toleransi,
Ketika keadaan yang berkembang, risiko yang muncul, implementasi strategi, atau tindakan yang
diantisipasi menunjukkan potensi ketidakselarasan dengan kriteria risiko, CEO mengambil tindakan
yang diperlukan untuk membangun kembali keselarasan.

Manajer senior yang bertanggung jawab atas berbagai unit organisasi memiliki tanggung jawab
untuk mengelola risiko yang terkait dengan tujuan unit spesifik mereka. Mereka mengubah strategi
keseluruhan organisasi menjadi kegiatan operasi yang sedang berlangsung, mengidentifikasi
peristiwa risiko potensial, menilai risiko terkait, dan menerapkan perawatan untuk mengelola risiko
tersebut. Manajer memandu penerapan komponen ERM organisasi relatif terhadap dan dalam
lingkup tanggung jawab mereka, memastikan penerapan komponen tersebut konsisten dengan
toleransi risiko terkait. Mereka menugaskan tanggung jawab untuk prosedur ERM spesifik untuk
manajer dari proses fungsional. Akibatnya, para manajer ini biasanya memainkan peran yang lebih
aktif dalam merancang dan melaksanakan prosedur risiko tertentu yang membahas tujuan unit,
seperti teknik untuk identifikasi peristiwa dan penilaian risiko, dan dalam menentukan perawatan
risiko tertentu (yaitu, strategi manajemen risiko), misalnya, mengembangkan kebijakan dan
prosedur untuk membeli barang atau menerima pelanggan baru.

Fungsi staf, seperti akuntansi, sumber daya manusia, kepatuhan, atau hukum, juga memiliki peran
pendukung penting dalam merancang dan melaksanakan praktik ERM yang efektif. Fungsi-fungsi ini
dapat merancang dan mengimplementasikan program yang membantu mengelola risiko utama
tertentu di seluruh organisasi.

Petugas risiko. Beberapa organisasi telah menetapkan posisi manajemen senior yang terpisah untuk
bertindak sebagai titik koordinasi terpusat untuk memfasilitasi ERM. Seorang petugas risiko -
disebut dalam banyak organisasi sebagai chief risk officer (CRO) - biasanya beroperasi dalam fungsi
staf, bekerja dengan manajer lain dalam membangun ERM di bidang tanggung jawab mereka.
Petugas risiko memiliki sumber daya untuk membantu mempengaruhi ERM di seluruh anak
perusahaan, bisnis, departemen, fungsi, dan aktivitas. Individu ini mungkin memiliki tanggung jawab
untuk memantau kemajuan manajemen risiko dan membantu manajer lain dalam melaporkan
informasi risiko yang relevan ke atas, ke bawah, dan di seluruh organisasi.

COSO menguraikan tanggung jawab spesifik CRO berikut ini:

 Menetapkan kebijakan [ERM], termasuk mendefinisikan peran dan tanggung jawab dan
berpartisipasi dalam menetapkan tujuan untuk implementasi.
 Membingkai wewenang dan akuntabilitas untuk (ERM) di unit bisnis
 Mempromosikan kompetensi [ERM] di seluruh entitas, termasuk memfasilitasi
pengembangan keahlian teknis (ERM) dan membantu manajer menyelaraskan respons
risiko dengan toleransi risiko entitas dan mengembangkan kontrol yang tepat.
 integrasi (ERM) dengan perencanaan bisnis dan kegiatan manajemen lainnya
 Menetapkan bahasa manajemen risiko umum yang mencakup langkah-langkah seputar
kemungkinan dan dampak, dan kategori risiko umum
 Memfasilitasi pengembangan protokol pelaporan oleh manajer, termasuk ambang
kuantitatif dan kualitatif, serta pemantauan proses
 pelaporan ... Melaporkan kepada kepala eksekutif tentang kemajuan dan outlier dan
merekomendasikan tindakan yang diperlukan. "
• Eksekutif keuangan. Eksekutif keuangan dan akuntansi dan staf mereka bertanggung
jawab atas kegiatan yang melintasi organisasi. Para eksekutif ini sering terlibat dalam
pengembangan anggaran dan rencana di seluruh organisasi, serta melacak dan menganalisis
kinerja dari perspektif operasi, kepatuhan, dan pelaporan. Mereka memainkan peran
penting dalam mencegah dan mendeteksi pelaporan penipuan, dan memengaruhi desain,
implementasi, dan pemantauan kontrol internal organisasi atas pelaporan keuangan dan
sistem pendukung.

• Auditor internal. Fungsi audit internal berperan penting dalam mengevaluasi keefektifan -
dan merekomendasikan peningkatan ke - ERM. Standar Internasional IIA untuk Praktik
Profesional Audit Internal (Standar) menetapkan bahwa ruang lingkup fungsi audit internal
harus mencakup tata kelola, manajemen risiko, dan sistem kontrol. Ini termasuk
mengevaluasi keandalan pelaporan, efektivitas dan efisiensi operasi, dan kepatuhan
terhadap undang-undang dan peraturan. Dalam melaksanakan tanggung jawab ini, fungsi
audit internal membantu manajemen dan dewan dengan memeriksa, mengevaluasi,
melaporkan, dan merekomendasikan peningkatan kecukupan dan efektivitas ERM
organisasi.

• Individu lain dalam organisasi. Pada kenyataannya, ERM adalah tanggung jawab setiap
orang dalam suatu organisasi dan karenanya harus menjadi bagian integral dari uraian tugas
setiap orang, baik secara eksplisit maupun implisit. Ini penting karena:

- Meskipun tidak setiap individu dapat dianggap sebagai pemilik risiko sendiri, hampir semua
individu memainkan peran dalam mempengaruhi ERM, mulai dari menghasilkan informasi
yang digunakan dalam mengidentifikasi atau menilai risiko, hingga menerapkan strategi dan
tindakan yang diperlukan untuk mengelola risiko-risiko itu.

-Semua individu bertanggung jawab untuk mendukung arus informasi dan komunikasi yang
merupakan bagian integral dan melekat dalam ERM.

• Auditor luar independen. Auditor luar independen suatu organisasi dapat memberikan
perspektif manajemen risiko yang terinformasikan, independen, dan objektif kepada
manajemen dan dewan direksi yang dapat berkontribusi pada pencapaian pelaporan
keuangan eksternal dan tujuan lain organisasi. Temuan dari audit mereka mungkin terkait
dengan kekurangan manajemen risiko, informasi analitis, dan rekomendasi lain untuk
perbaikan yang dapat memberikan informasi berharga kepada manajemen untuk
meningkatkan program manajemen risikonya.

• Legislator dan regulator. Legislator dan regulator dapat mempengaruhi pendekatan ERM
dari banyak organisasi, baik melalui persyaratan untuk menetapkan mekanisme manajemen
risiko atau sistem kontrol internal (misalnya, US Sarbanes-Oxley Act 2002) atau melalui
pemeriksaan entitas tertentu (misalnya, oleh pemerintah federal). dan pemeriksa bank
negara). Legislator dan regulator dapat menetapkan aturan yang memberikan dorongan
bagi manajemen untuk memastikan bahwa manajemen risiko dan sistem kontrol memenuhi
persyaratan minimum perundang-undangan dan peraturan tertentu. Selain itu, mereka
dapat melakukan pemeriksaan peraturan yang memberikan informasi yang berguna bagi
organisasi dalam menerapkan ERM, dan rekomendasi kepada manajemen mengenai
perbaikan yang diperlukan.

• Pihak eksternal lainnya. Akhirnya, pemangku kepentingan luar lainnya dapat

memengaruhi aktivitas ERM organisasi:
  Pelanggan, vendor, mitra bisnis, dan orang lain yang melakukan bisnis dengan
organisasi adalah sumber informasi penting yang digunakan dalam ERM.
 Kreditor dapat memberikan pengawasan atau arahan yang memengaruhi cara
organisasi mencapai tujuan mereka. Misalnya, perjanjian utang mungkin
mengharuskan organisasi memantau dan melaporkan informasi secara berbeda dari
yang seharusnya.
 Analis keuangan, lembaga pemeringkat, media berita, dan pihak eksternal lainnya
dapat memengaruhi aktivitas manajemen risiko. Investigasi mereka dan kegiatan
pemantauan dapat memberikan wawasan tentang bagaimana orang lain
memandang kinerja organisasi, risiko industri dan ekonomi, strategi operasi atau
pembiayaan yang inovatif, dan tren industri. Manajemen harus mempertimbangkan
wawasan dan pengamatan pihak-pihak ini dan, jika perlu, menyesuaikan kegiatan
manajemen risiko yang sesuai.
 Penyedia layanan outsourcing menjadi cara yang lebih lazim bagi organisasi untuk
mendelegasikan manajemen harian mereka untuk fungsi-fungsi non-inti tertentu.
Pihak eksternal yang dibahas di atas dapat secara langsung memengaruhi aktivitas
ERM organisasi; Namun, menggunakan penyedia layanan luar dapat menghasilkan
serangkaian risiko yang berbeda daripada jika organisasi tidak melakukan
outsourcing fungsi. Meskipun pihak eksternal dapat melakukan kegiatan atas nama
organisasi, manajemen tidak dapat melepaskan tanggung jawabnya untuk
mengelola risiko terkait dan harus membuat program untuk memantau kegiatan
outsourcing. Lihat bab 5, "Proses dan Risiko Bisnis," di mana outsourcing proses
bisnis dibahas secara lebih rinci.

ERM formal belum tertanam dalam praktik bisnis di sebagian besar organisasi, tetapi ada tren yang
berkembang untuk menerapkan ERM atau setidaknya mempraktikkan banyak prinsip utamanya.
COSO mengidentifikasi potensi pendorong nilai ERM berikut:

• Menyelaraskan selera dan strategi risiko.

• Meningkatkan keputusan respons risiko.

• Mengurangi kejutan dan kerugian operasional.

• Mengidentifikasi dan mengelola risiko lintas-perusahaan.

• Memberikan respons terintegrasi untuk berbagai risiko.

• Merebut peluang.

• Meningkatkan penyebaran modal.

ISO 31000: 2009 MANAJEMEN RISIKO

PRINSIP DAN PANDUAN

Pada tahun 2009, Organisasi Internasional untuk Standardisasi mengeluarkan standar ISO 31000:
2009 (ISO 31000), untuk manajemen risiko. ISO 31000 dikembangkan untuk menyediakan cara yang
diterima secara global untuk melihat manajemen risiko, dengan mempertimbangkan prinsip-prinsip
pertimbangan, kerangka kerja, model, dan praktik yang berkembang di seluruh dunia.ISO 31000
mencakup tiga bagian-prinsip, kerangka kerja, dan proses, yang masing-masing dijelaskan lebih
lanjut. standar pertama yang diakui secara global terkait
ISO 31000 Principles

ISO 31000 memberikan 11 prinsip yang menurut ISO diperlukan untuk meningkatkan risiko agar
efektif. Prinsip-prinsip ini menyatakan bahwa manajemen risiko:

• Menciptakan dan melindungi nilai,

• Merupakan bagian integral dari semua proses organisasi.

• Merupakan bagian dari pengambilan keputusan.

• Secara eksplisit membahas ketidakpastian.

• Apakah sistematis, terstruktur, dan tepat waktu.

• Didasarkan pada informasi terbaik yang tersedia.

• Disesuaikan.

• Mempertimbangkan faktor manusia dan budaya.

• Transparan dan inklusif.

• Dinamis, berulang, dan responsif terhadap perubahan.

• Memfasilitasi peningkatan berkelanjutan dari organisasi.

Kegagalan untuk mematuhi salah satu dari prinsip-prinsip itu membuatnya lebih menantang untuk
menerapkan manajemen risiko yang efektif dan berkelanjutan, yang, pencapaian tujuan lebih sulit.

giliran, membuat Kerangka ISO 31000 ISO

percaya bahwa keberhasilan manajemen risiko tergantung pada kerangka kerja yang memberikan
dasar untuk manajemen risiko di seluruh organisasi. Kerangka kerja ini terdiri dari komponen-
komponen berikut:

• Mandat dan komitmen dari dewan dan manajemen senior untuk memastikan keselarasan dengan
tujuan organisasi dan komitmen sumber daya yang memadai untuk memungkinkan keberhasilan.

• Desain kerangka kerja untuk mengelola risiko, yang memastikan fondasi ditetapkan untuk proses
manajemen risiko yang efektif. Ini melibatkan:

 Memahami orgen risiko.

 Mendelegasikan akuntabilitas dan wewenang.
 Mengintegrasikan manajemen risiko ke dalam proses organisasi.
 Mengalokasikan sumber daya yang diperlukan. .
 Membangun mekanisme komunikasi dan pelaporan internal dan eksternal.
 Menerapkan kerangka kerja dan proses manajemen risiko untuk membantu organisasi
mencapai tujuannya.
 Memantau kerangka kerja untuk menentukan efektivitasnya yang berkelanjutan.
 Terus meningkatkan kerangka kerja untuk memastikan keberlanjutannya.

Sementara komponen spesifik dari kerangka kerja manajemen risiko dapat disesuaikan untuk
memenuhi kebutuhan organisasi, kegagalan untuk memperkenalkan beberapa bentuk struktur
kemungkinan akan menghasilkan manajemen risiko yang kurang efisien dan efektif.
Proses ISO 31000 Akhirnya, suatu proses harus ada di seluruh organisasi yang memungkinkan
manajemen risiko untuk beroperasi secara konsisten.Proses manajemen risiko ISO terdiri dari
kegiatan berikut:

 Membangun konteks, yang berfokus pada pemahaman dan menyepakati kedua faktor
eksternal dan internal yang akan memengaruhi manajemen risiko. Kegiatan ini juga
mencakup definisi kriteria risiko, yang didefinisikan sebagai "kerangka acuan untuk menilai
signifikansi risiko. "Istilah tersebut dapat mencakup selera risiko organisasi, tingkat toleransi
risiko, dan kriteria yang dengannya risiko dapat dinilai (seperti dampak dan kemungkinan).
 Kaji risiko, yang melibatkan identifikasi risiko, analisis risiko dengan mempertimbangkan
penyebab, sumber , dan jenis hasil, dan mengevaluasi Risiko untuk membantu
memprioritaskan mana yang harus ditangani terlebih dahulu.
 Obati risiko, yang melibatkan pengambilan keputusan yang serupa dengan yang dijelaskan
dalam diskusi respons risiko COSO sebelumnya dalam bab ini.
 Pantau risiko untuk mengidentifikasi timbulnya suatu peristiwa risiko dan mengevaluasi
apakah perawatan risiko memiliki efek yang diinginkan. Karena itu, penting juga untuk
memastikan kegiatan manajemen risiko dicatat dengan benar untuk membantu pemantauan
ini.
 Membangun proses komunikasi dan konsultasi untuk memastikan arus informasi naik, turun,
dan lintas organisasi untuk memungkinkan proses manajemen risiko.

"Proses manajemen risiko beroperasi terus menerus dan tertanam dalam semua kegiatan
pengambilan keputusan. Proses yang efektif akan membantu memungkinkan keberhasilan
manajemen risiko yang berkelanjutan.

Kerangka Kerja Lainnya

Sementara COSO ERM diakui secara luas di Amerika Serikat, dan ISO 31000 menjadi dikenal luas
di seluruh dunia, beberapa negara telah mengembangkan kerangka kerja manajemen risiko
mereka sendiri. Sebagaimana ditunjukkan dalam "Ringkasan Tata Kelola dan Manajemen Risiko
Kode Dari Negara Lain, "yang dapat ditemukan pada DVD-ROM yang menyertai buku teks ini,"
Tata Kelola, "kondisi bisnis dan inisiatif peraturan telah menghasilkan berbagai kode dan
peraturan untuk memenuhi kebutuhan pasar dan bisnis pasar modal lokal. Sementara sebagian
besar kerangka kerja ini pada dasarnya mirip dengan COSO ERM dan ISO 31000, masing-masing
memiliki karakteristik unik yang berbunyi Mereka didorong untuk belajar. Kerangka kerja
tertentu akan terbukti lebih intuitif untuk beberapa individu daripada yang lain.

Pandangan Top-down Tentang Risiko

Pameran 4-3 memberikan cara meringkas peran manajemen risiko perusahaan. Ini
menggunakan metafora corong untuk menggambarkan peran top-down yang dimainkan ERM
dalam membantu organisasi mengurangi risiko utama mereka ke tingkat yang dapat diterima.
Pameran ini juga digambarkan dalam Studi Kasus 1, "Kontrol Level Entitas Audit," yang
menemani buku teks ini. Poin-poin penting untuk dipahami dari ilustrasi ini dibahas secara lebih
rinci dalam studi kasus tersebut, tetapi dirangkum sebagai berikut:

• Setiap organisasi menghadapi berbagai risiko, tergantung pada tujuan bisnis mereka.
Beberapa tujuan bisnis ini dapat menggambarkan keadaan operasi yang diinginkan yang
dihasilkan oleh sistem pengendalian internal yang efektif.
 • Risiko yang memengaruhi kemampuan organisasi untuk mencapai tujuan bisnisnya
ditunjukkan pada Gambar 4-3 sebagai bola berwarna dengan berbagai ukuran. Ini
mencerminkan fakta bahwa beberapa risiko akan memiliki dampak yang lebih besar daripada
yang lain. Selain itu, beberapa risiko dikelompokkan bersama, mewakili fakta bahwa meskipun
risiko secara individual mungkin tidak serius, ketika risiko terkait digabungkan, risiko tersebut
dapat menjadi lebih serius. Awalnya, risiko-risiko ini tidak terkendali, atau berada dalam status
risiko yang melekat atau kotor.

 Sistem kontrol internal digambarkan sebagai corong untuk menggambarkan "penyaringan"

risiko utama yang terjadi pada berbagai tingkat sistem itu. Misalnya, risiko terbesar harus
dikurangi oleh kontrol tingkat entitas di bagian atas corong. Mereka yang melewati filter
level entitas selanjutnya dikontrol oleh level proses dan level transaksi. Seperti dibahas
dalam Bab 6, "Kontrol Internal," kontrol dapat dianggap kunci atau sekunder, tergantung
pada apakah mereka mengurangi risiko yang terkait dengan tujuan kritis. Selain itu, dalam
beberapa kasus, manajemen mungkin menggunakan kontrol mitigasi dan kompensasi
tambahan yang semakin membatasi dampak risiko.
 Jika sistem kontrol internal dirancang secara memadai dan beroperasi secara efektif, risiko-
risiko yang membuatnya melalui corong harus dapat diterima oleh organisasi. Dengan kata
lain, risiko residual keseluruhan, atau bersih, tidak akan melebihi selera risiko organisasi.

PERAN FUNGSI AUDIT INTERNAL DI ERM

IIA Standar 2120: Manajemen Risiko menyatakan, "Aktivitas audit internal harus mengevaluasi
efektivitas dan berkontribusi pada peningkatan proses manajemen risiko." Set keterampilan dan
tingkat pengalaman luas yang dimiliki auditor internal memposisikan mereka untuk memainkan
peran yang berharga dalam ERM. Bahkan, mempertimbangkan dalam proses pemantauan
keseluruhan, kegagalan untuk melibatkan fungsi audit internal dalam beberapa cara
kemungkinan akan mengakibatkan inisiatif ERM gagal memenuhi harapan. Diskusi berikut
berfokus pada peran yang dapat dilakukan fungsi audit internal dalam ERM, tergantung pada
apakah organisasi secara formal menerapkan ERM. lingkup luas sebagian besar fungsi audit
internal, serta perannya

Organisasi dengan ERM Kerangka Praktik Profesional

Internasional IIA mencakup makalah posisi berjudul Peran Audit Internal dalam Manajemen
Risiko di Seluruh Perusahaan, yang menguraikan beberapa peluang bagi auditor internal untuk
terlibat. Dalam ringkasannya, makalah tersebut menyatakan, "Peran inti audit internal dengan
Sard to ERM adalah untuk memberikan jaminan obyektif kepada dewan tentang efektivitas risiko
bisnis utama ERM organisasi.

sedang dikelola dengan tepat dan bahwa sistem pengendali internal] beroperasi secara efektif.

"Makalah posisi menggambarkan berbagai peran yang harus atau tidak harus dilakukan oleh
fungsi audit internal dalam diagram berbentuk kipas atau dial, seperti yang ditunjukkan pada
Gambar 4-4. Jenis peran berikut dibahas dalam makalah.

Audit internal inti Peran-peran ini, yang ada di sebelah kiri dial di bagian hijau dalam pameran
4-4, merupakan kegiatan penjaminan. Mereka adalah bagian dari tujuan yang lebih luas untuk
memberikan penjaminan pada kegiatan manajemen risiko. Kegiatan ini meliputi:

• Memberikan jaminan pada proses manajemen risiko.

• Memberikan jaminan bahwa risiko dievaluasi dengan benar.

• Mengevaluasi proses manajemen risiko.

• Mengevaluasi pelaporan risiko utama.

• Meninjau manajemen risiko utama.

" Peran audit internal yang sah dengan perlindungan. Peran ini mewakili layanan konsultasi
yang dapat meningkatkan tata kelola organisasi, manajemen risiko, dan proses kontrol. Tingkat
layanan tersebut akan tergantung pada sumber daya lain yang tersedia untuk dewan dan pada
risiko kematangan organisasi. Peran konsultasi ditampilkan di tengah dial dengan warna
kuningbagian dalam pameran 4-4. Secara umum, semakin jauh ke kanan dial bahwa fungsi audit
internal berkelana, semakin besar perlindungan yang diperlukan untuk memastikan bahwa
independensi dan obyektivitas dipertahankan. Kegiatan-kegiatan ini meliputi:

• Memfasilitasi identifikasi dan evaluasi risiko.

• Melatih manajemen dalam menanggapi risiko.

• Mengkoordinasikan kegiatan ERM.

• Mengkonsolidasikan pelaporan risiko.

• Memelihara dan mengembangkan kerangka kerja ERM.

• Mempertahankan pendirian ERM.

• Mengembangkan strategi ERM untuk persetujuan dewan.

"Peran audit internal tidak boleh dilakukan. Peran ini, yang digambarkan pada hak dial di bagian
merah oleh fungsi audit internal karena peran tersebut mewakili tanggung jawab manajemen
yang akan mengganggu internal independensi dan obyektivitas auditor, pameran 4-4, tidak
boleh dilakukan. Kegiatan-kegiatan ini meliputi:

• Menetapkan selera risiko

• Memaksakan proses manajemen risiko

• Memastikan manajemen atas risiko [yaitu, menjadi satu-satunya sumber jaminan manajemen
bahwa risiko adalah Dikelola secara efektif - ini akan dianggap melakukan fungsi manajemen)

• Mengambil (membuat) keputusan tentang respons risiko.

• Menerapkan respons risiko atas nama manajemen.

• Akuntabilitas untuk manajemen risiko.

"Ketika menentukan peran yang dimainkan fungsi audit internal dalam ERM, eksekutif audit
kepala (CAE) harus mengevaluasi apakah aktivitas cach menimbulkan ancaman terhadap
independensi atau keberatan fungsi audit internal Penting bagi organisasi untuk memahami
sepenuhnya bahwa manajemen tetap bertanggung jawab atas manajemen risiko. Karena fungsi
audit internal meluas perannya lebih jauh ke kanan dial, perlindungan berikut harus
diberlakukan:

• Harus jelas bahwa manajemen tetap bertanggung jawab atas manajemen risiko.
• Sifat tanggung jawab fungsi audit internal harus didokumentasikan dalam piagam audit
internal dan disetujui oleh komite audit.

• Fungsi audit internal tidak dapat mengelola risiko apa pun atas nama manajemen.

• Fungsi internal harus memberikan saran, tantangan, dan dukungan untuk pengambilan
keputusan manajemen, bukan membuat keputusan manajemen risiko itu sendiri.

 Fungsi audit internal tidak dapat memberikan jaminan obyektif pada bagian mana pun dari
kerangka kerja ERM yang menjadi tanggung jawabnya. Jaminan semacam itu harus
disediakan oleh pihak-pihak lain yang berkualifikasi sesuai, baik internal maupun eksternal
organisasi.
 Setiap pekerjaan di luar kegiatan penjaminan harus diakui sebagai perikatan konsultasi, dan
standar implementasi yang terkait dengan perikatan tersebut harus diikuti. "

Organisasi dengan Penasihat Praktek ERM

yang digerakkan oleh Audit Internal 2120-1: Menilai Kecukupan Proses Manajemen Risiko
menyatakan bahwa "Manajemen dan dewan bertanggung jawab atas manajemen risiko dan
proses kontrol organisasi mereka. Namun, auditor internal bertindak dalam konsultasi peran
dapat membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan metodologi
dan kontrol manajemen risiko untuk mengatasi risiko tersebut. " Ketika sebuah organisasi
belum membentuk proses manajemen risiko, penasehat praktik menawarkan panduan berikut:

Dalam situasi di mana organisasi tidak memiliki proses manajemen risiko formal, [CAEJ secara
resmi membahas dengan manajemen dan dewan kewajiban mereka memahami, mengelola,
dan memantau risiko di dalam organisasi dan kebutuhan untuk memuaskan diri sendiri bahwa
ada proses yang beroperasi di dalam organisasi, bahkan jika informal, yang memberikan tingkat
visibilitas yang tepat ke dalam risiko utama dan bagaimana risiko tersebut dikelola dan dipantau.

CAE adalah untuk memperoleh pemahaman tentang manajemen senior dan harapan dewan
tentang aktivitas audit internal dalam proses manajemen risiko organisasi. Pemahaman ini
kemudian dikodifikasikan dalam piagam kegiatan audit internal dan [komite audit]. Tanggung
jawab audit internal harus dikoordinasikan antara semua kelompok dan individu dalam proses
manajemen risiko organisasi ...

Pada akhirnya, adalah peran manajemen senior dan dewan untuk menentukan peran audit
internal dalam proses manajemen risiko. Pandangan mereka tentang peran audit internal
kemungkinan akan ditentukan oleh faktor-faktor seperti budaya organisasi, kemampuan staf
audit internal, dan kondisi dan kebiasaan setempat negara tersebut. Namun, mengambil
tanggung jawab manajemen mengenai proses manajemen risiko dan potensi ancaman terhadap
independensi kegiatan audit internal memerlukan diskusi penuh dan persetujuan dewan.

"Pedoman ini memperkuat pentingnya membawa kurangnya proses manajemen risiko ke

manajemen perhatian bersama dengan saran untuk membangun proses semacam itu.Jika
diminta, auditor internal dapat memainkan peran proaktif dalam membantu organisasi ...
berhubungan dengan pendekatan konsultatif untuk meningkatkan proses fundamental. Jika
bantuan tersebut melebihi jaminan normal dan kegiatan konsultasi yang dilakukan oleh auditor
internal , independensi dapat terganggu. Dalam situasi ini, auditor internal harus mematuhi
persyaratan pengungkapan Standar. Pembentukan proses manajemen risiko untuk dengan
peran awal yang lebih proaktif melengkapi aktivitas penjaminan tradisional-
DAMPAK ERM PADA JAMINAN AUDIT INTERNAL

Standar IIA 2010: Negara perencanaan, "Chie f eksekutif audit harus membuat rencana berbasis
risiko untuk menentukan prioritas kegiatan audit internal, konsisten dengan tujuan organisasi.
"Mendukung standar ini, Praktik Penasihat 2010-1: Menghubungkan Rencana Audit ke Risiko
dan Eksposur memberikan panduan kepada CAES ketika mengembangkan rencana audit internal
tahunan. Penasihat praktik ini menawarkan relatif berikut untuk menghubungkan rencana audit
dengan risiko dan eksposur:

1. Dalam mengembangkan rencana audit aktivitas audit internal, banyak CAES merasa berguna
untuk terlebih dahulu mengembangkan atau memperbarui semesta audit .. CAE dapat
memperoleh input tentang semesta audit dari manajemen senior dan dewan.
2. Alam semesta audit dapat mencakup komponen dari rencana strategis organisasi. Dengan
memasukkan komponen rencana strategis organisasi, semesta audit akan
mempertimbangkan dan mencerminkan tujuan bisnis secara keseluruhan. Rencana strategis
juga kemungkinan mencerminkan sikap organisasi terhadap risiko dan tingkat kesulitan
untuk mencapai tujuan yang direncanakan. Alam semesta audit biasanya akan dipengaruhi
oleh hasil dari proses manajemen risiko. Rencana strategis organisasi mempertimbangkan
lingkungan di mana organisasi beroperasi. Faktor-faktor lingkungan yang sama ini
kemungkinan akan berdampak pada semesta audit dan penilaian risiko relatif.
3. CAE menyiapkan rencana audit aktivitas audit internal berdasarkan pada semesta audit,
input dari manajemen senior dan dewan, dan penilaian risiko dan paparan .. dan informasi
untuk membantu mereka mencapai tujuan organisasi, termasuk penilaian efektivitas
kegiatan manajemen risiko manajemen.
4. Alam semesta audit dan rencana audit terkait diperbarui untuk mencerminkan perubahan.
5. Jadwal kerja audit didasarkan pada, di antara faktor-faktor lain, penilaian risiko dan paparan
... Berbagai model risiko ada untuk membantu CAE. Sebagian besar model risiko
menggunakan faktor-faktor risiko seperti dampak, kemungkinan, materialitas, likuiditas aset,
kompetensi manajemen, kualitas dan kepatuhan terhadap kontrol internal, tingkat
perubahan atau stabilitas, waktu dan hasil dari perikatan audit terakhir, kompleksitas, dan
hubungan karyawan dan erosi.

"pemerintah Poin-poin di atas, yang berlaku pada tingkat penetapan rencana audit internal
tahunan, juga relevan pada tingkat perikatan. Misalnya, ruang lingkup dan pendekatan untuk
proyek individual akan dipengaruhi oleh:

• Bagaimana risiko pada tingkat proses berhubungan dengan rencana dan sasaran strategis
organisasi. Risiko tingkat proses dibahas secara lebih rinci dalam bab 13, "Melakukan
Pertunangan Jaminan."

• Perubahan dalam proses (misalnya, tujuan, prosedur, personel, dan ukuran kinerja) yang
telah terjadi selama setahun terakhir atau sejak audit terakhir dari proses tersebut.

• Faktor model risiko yang relevan (misalnya, dampak keuangan dan likuiditas aset).

• Dampak dan kemungkinan risiko tingkat proses.

Singkatnya, pendekatan manajemen terhadap manajemen risiko, terlepas dari apakah organisasi
telah menerapkan ERM atau tidak, akan memiliki pengaruh yang signifikan terhadap piagam
audit internal dan rencana audit internal tahunan.

PELUANG UNTUK MEMBERIKAN WAWASAN

Ada banyak peluang bagi fungsi audit internal untuk menambah nilai dengan memberikan
wawasan yang berkaitan dengan manajemen risiko. Tampilan 4-5 menggambarkan 10 peluang
untuk fungsi audit internal untuk memberikan wawasan di berbagai titik selama proses
manajemen risiko.

RINGKASAN

Sebagaimana didefinisikan oleh COSO, "ERM adalah suatu proses, yang dilakukan oleh dewan,
manajemen, dan personel lain, diterapkan dalam penetapan strategi dan di seluruh perusahaan,
yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat mempengaruhi
kemampuan organisasi untuk mencapai tujuannya dan mengelola risiko berada dalam selera
risiko.

GAMBAR 4-5 10 PELUANG UNTUK FUNGSI AUDIT INTERNAL UNTUK MEMBERIKAN WAWASAN
YANG BERKAITAN DENGAN MANAJEMEN RISIKO

1. Menilai apakah tujuan organisasi, yang merupakan titik awal untuk manajemen risiko, cukup
diartikulasikan dan dipahami di seluruh organisasi.

2. Memberikan wawasan tentang sifat dan efektivitas lingkungan kontrol untuk memberikan
manajemen dan kenyamanan dewan bahwa tidak ada faktor tingkat entitas yang dapat
merongrong efektivitas manajemen risiko.

3. Memfasilitasi penentuan selera risiko dan tingkat toleransi risiko organisasi untuk
memastikan kriteria risiko tersebut ditentukan, didukung oleh dewan, dan dipahami di seluruh
organisasi.

4. Pikirkan kemungkinan kejadian risiko dan lengkapi daftar manajemen tentang kejadian
tersebut .

Fasilitasi penilaian dan penetapan prioritas risiko untuk membantu manajemen memastikan
risiko yang tepat harus ditangani

6. Berikan saran tentang kriteria penilaian risiko lain di luar dampak dan kemungkinan, seperti
kecepatan dan volatilitas, yang dapat memengaruhi prioritas risiko

7. Memberitahukan pilihan respons risiko / perawatan untuk membantu manajemen

mengevaluasi apakah opsi yang dipilih akan mengelola risiko prioritas dengan paling baik

8. Membantu manajemen dengan memantau lingkungan eksternal dan internal untuk

membantu mengidentifikasi yang baru atau risiko yang muncul.

9. Memberikan hasil audit dalam format yang membantu manajemen memahami kecukupan
desain dan efektivitas operasi kegiatan manajemen risiko

10. Melakukan penilaian keseluruhan sistem manajemen risiko (kerangka kerja dan proses)
untuk memberikan jaminan mengenai kecukupan desain sistem dan efektivitas operasi sistem

tujuan organisasi dapat berorientasi strategis, operasional, pelaporan, atau kepatuhan. ERM
dapat dinilai di beberapa komponen: lingkungan internal, penetapan tujuan, identifikasi
peristiwa, penilaian risiko, respons risiko, kegiatan kontrol, informasi dan komunikasi, dan
pemantauan.
 ISO 31000 memberikan pandangan holistik manajemen risiko, yang terdiri dari prinsip, kerangka
kerja, dan proses manajemen risiko. Ini mendapatkan penerimaan global dan, secara umum,
sejajar dengan COSO ERM.

Set keterampilan dan tingkat pengalaman luas yang dimiliki oleh auditor internal untuk
memainkan peran yang berharga dalam ERM. Fungsi audit internal dapat mengambil berbagai
peran relatif terhadap ERM, beberapa di antaranya konsisten dengan kegiatan penjaminan
sebagaimana diuraikan dalam piagamnya, dan beberapa di antaranya mungkin merupakan
layanan konsultasi yang disediakan untuk membantu organisasi dalam meningkatkan tata kelola,
manajemen risiko, dan proses kontrol. Namun, fungsi audit internal harus menetapkan
pengamanan yang tepat untuk memastikan bahwa itu tidak mengambil peran yang bisa setara
dengan tanggung jawab manajemen, sehingga meningkatkan independensi dan obyektivitas
auditor internal.

Rencana strategis organisasi dan risiko yang melekat akan memiliki dampak langsung dan
mendalam pada piagam fungsi audit internal maupun rencana audit tahunannya. Perubahan
arah, sasaran, penekanan, dan fokus manajemen juga dapat memengaruhi rencana audit
internal tahunan. CAE harus mempertimbangkan risiko ketika memprioritaskan dan
menjadwalkan perikatan audit internal yang akan datang.