UNIVERSITAS TRILOGI
JAKARTA
2020
Kelompok 2
Perusahaan membutuhkan identifikasi setiap risiko yang mungkin mereka hadapi setelah itu
memanage resiko-resiko tersebut, risiko tersebut masuk ketingkatan yang wajar atau dapat
dikendalikan.Pemahaman mengenai risiko ini merupakan komponen utama dalam pencapaian
Sarbanes-Oxley (Sox), dalam Auditing Standards No.5.
Kemudian yang perlu diketahui adalah pengertian dari manajemen risiko itu
sendiri.Manajemen risiko adalah konsep dimana individu ataupun kelompok menggunakan
suatu mekanisme untuk menyediakan suatu perlindungan dari timbulnya suatu resiko.
Mengapa manajemen resiko itu penting? Karena sikap orang ketika menghadapi resiko
berbeda-beda. Ada orang yang berusaha untuk menghindari resiko, namun ada juga yang
sebaliknya sangat senang menghadapi resiko sementara yang lain mungkin tidak terpengaruh
dengan adanya resiko. Pemahaman atas sikap orang terhadap resiko ini dapat membantu
untuk mengerti betapa resiko itu penting untuk ditangani dengan baik.
Untuk mengurangi bahaya dari suatu resiko, maka harus ada jaminan untuk
meminimalkan resiko atau paling tidak resiko tersebut dihilangkan dari setiap aktifitas
organisasi. Suatu proses manajemen risiko yang efektif memerlukan tiga langkah:
1. IDENTIFIKASI RISIKO
Cara yang baik untuk memulai proses identifikasi risiko adalah dengan
memulai dari manajemen tingkat atas korporasi maupun unit operasi. Masing-
masing unit mungkin memiliki fasilitas di berbagai lokasi global dan dapat
terdiri dari beberapa dan berbagai jenis operasi.
Model kerangka kerja ERM adalah sebuah budaya perusahaan. Jika sebuah
perusahaan tidak memiliki budaya yang tepat dan kepemimpinan yang kuat di
manajemen puncak, tidak ada unsur lain yang penting. Sederhananya,
perusahaan yang memahami dan mengadopsi ERM menjadikan sebuah
budaya di perusahaan biasanya memiliki kredibilitas yang baik.
2
Internal Audit
Kelompok 2
Umumnya, model risiko tingkat tinggi ini dapat berfungsi sebagai dasar untuk menentukan
risiko spesifik yang dihadapi berbagai unit perusahaan, seperti dalam contoh risiko
kelangsungan bisnis di bawah ini.
3
Internal Audit
Kelompok 2
2. Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara keseluruhan?
Sekali lagi menggunakan skala 1 sampai 9, skor berkisar harus ditetapkan tergantung
pada keuangan risiko yang signifikan.Sebuah risiko yang dapat menurunkan biaya
laba bersih per saham harus memenuhi syarat untuk nilai maksimal 9. Kuisioner ini
harus diedarkan ke orang-orang yang ada dalam manajemen tersebut untuk menilai
masing-masing risiko yang teridentifikasi.
Interdependensi Risiko
Independensi risiko memang sangat penting dan harus dipertimbangkan dan dievaluasi pada
struktur organisasi, karena risiko seringkali dapat menjadi sangat independen dalam suatu
perusahaan. Setiap unit operasi bertanggung jawab untuk mengelola risikonya sendiri tetapi
konsekuensi dari risiko tsb dapat mempengaruhi unit diatas dan dibawahnya dalam struktur
organisasi.
Risk Ranking
Terdapat sedikit hasil dalam mengindentifikasi resiko yang signifikan kecuali apabila
perusahaan telah memiliki perencanaan awal untuk tindakan yang diperlukan jika salah
satu resiko terjadi. Ide pokoknya adalah untuk mengestimasi dampak biaya dari
timbulnya beberapa resiko yang teridentifikasi dan kemudian menerapkan biaya itu untuk
4
Internal Audit
Kelompok 2
probabilitas factor resiko yang berasal dari nilai yang diharapkan atau biaya dari resiko
tersebut. Beberapa risiko hipotetis, diberi label A, B, dan C, menggambarkan tipe
pemikiran ini:
Resiko A: hilangnya pasar X% karena perubahan selera konsumen.
■ Memperkirakan pengurangan penjualan dan hilangnya keuntungan karena turunnya X
%.
■ Estimasi berapa harga yang harus dibayar untuk memulai mengembalikan posisi pasar
yang hilang.
Resiko C: hilangnya sistem informasi selama X hari karena virus komputer yang buruk.
■ Memperkirakan kerugian bisnis dan profitability selama periode down.
■ Memperkirakan biaya untuk operasi transfer ke situs kontinuitas bisnis.
Apa yang akan diperkirakan oleh sampel orang yang berpengetahuan luas untuk
biayanya? Untuk Risiko A, sebagaimana dijelaskan, direktur pemasaran mungkin
diminta untuk memberikan perkiraan.
Berapa nilai atau biaya yang diharapkan untuk menimbulkan risiko? Ini adalah jenis
risiko yang mungkin mencakup beberapa biaya dasar serta faktor-faktor lain seperti
kebutuhan tenaga kerja tambahan.
Berapa biaya kasus terburuk untuk menimbulkan risiko? Ini adalah bagaimana-jika-
semuanya-berjalan- dengan jenis perkiraan yang salah.
Proses mengidentifikasi resiko sering dilakukan dalam jangka waktu satu tahun atau
seperempat tahun. Setelah salah satu resiko teridentifikasi, perusahaan harus mengawasi
resiko tersebut dan membuat penyesuaian berkala jika diperlukan. Pengawasan resiko
dapat dilakukan oleh pemilik perusahaan atau pihak independen.
Auditor internal merupakan sumber yang memiliki kredibilitas dan baik dalam memantau
status dari resiko yang teridentifikasi. Informasi dalam melakukan pengawasan dapat
didapatkan melalui survey ataupun review tatap muka. Proses pengawasan yang akurat
merupakan komponen esensial dalam manajemen resiko.
5
Internal Audit
Kelompok 2
Poin – poin penting yang mendukung definisi kerangka kerja COSO ERM:
Tujuan dan sasaran yang terkait dengan ERM memiliki nilai yang kecil kecuali jika mereka
dapat diatur dan dimodelkan bersama sedemikian rupa sehingga manajemen dapat melihat
6
Internal Audit
Kelompok 2
berbagai aspek tugas dan memahami, setidaknya bagaimana mereka berinteraksi dan
berhubungan dalam multidimen- cara sional.
Ini adalah kekuatan nyata dari model kerangka kerja pengendalian internal COSO. Ini
menjelaskan, misalnya, bagaimana kepatuhan perusahaan terhadap hukum dan peraturan
berdampak pada semua tingkat pengendalian internal, dari proses pemantauan hingga
lingkungan pengendalian, dan bagaimana kepatuhan itu penting bagi semua entitas atau unit
perusahaan.
Kerangka COSO ERM memberikan beberapa definisi umum dari manajemen risiko dan
dapat membantu mencapai tujuan pengendalian internal SOx serta proses manajemen risiko
yang lebih baik di seluruh perusahaan.
Kerangka kerja COSO ERM, telah menjadi model di seluruh dunia untuk
menggambarkan, mendefinisikan kontrol internal, memahami aktivitas yang berkaitan
dengan risiko mereka di berbagai tingkatan sebagaimana dampak komponen risiko ini
mempengaruhi satu sama lain, dan telah menjadi dasar untuk membangun SOx bagian
kepatuhan 404. Adapun komponen-komponen COSO ERM Framework terdiri dari :
a. 4 Kolom di bagian atas menunjukkan tujuan strategis resiko perusahaan
b. 8 baris horizontal mengenai komponen-komponen resiko
c. Di sisi kanan, terdapat 4 tingkatan yang ada di suatu perusahaan.
Penjelasan:
1. Komponen Lingkungan Internal
Tingkat komponen ini menentukan dasar model ERM perusahaanbagi seluruh
komponen lainnya, memengaruhi cara strategi dan tujuan harus ditetapkan, bagaimana
struktur aktivitas bisnis berkaitan risiko, dan bagaimana resiko diidentifikasi dan
disikapi.
2. Penentuan Tujuan
Penentuan tujuan menggarisbawahi kondisi penting untuk membantu manajemen
menciptakan proses ERM yang efektif. Karena di elemen ini, sekumpulan tujuan
strategis yang ada, selaras dengan misi, termasuk aktivitas operasional, pelaporan, dan
kepatuhan.
Dalam memahami resiko filosofi manajemen dan selera resiko yang terdapat di
komponen lingkungan internal membutuhkan penentuan tujuan agar dapat
7
Internal Audit
Kelompok 2
menentukan tingkat resiko yang bisa diterima, dengan aturan resiko tertentu, dan
sejauh mana ukuran deviasi bisa ditoleransi.
3. Identifikasi Kejadian
Peristiwa adalah kejadian atau kejadian perusahaan, internal atau eksternal, yang
mempengaruhi implementasi strategi ERM dan pencapaian tujuannya. Sementara
kecenderungan auditor internal adalah memikirkan kejadian dalam arti negatif -
menentukan apa salah - mereka juga bisa bersikap positif.
Banyak perusahaan saat ini memiliki alat pemantauan kinerja yang kuat di
penganggaran biaya, kualitas produksi, dll
4. Penilaian Risiko
Penilaian risiko memungkinkan perusahaan mempertimbangkan dampaknya.
Peristiwa terkait risiko potensial mungkin secara keseluruhan mencapai pencapaian
tujuan perusahaan.
Risiko Inheren : Resiko berada di luar kontrol manajemen dan biasanya berasal
dari faktor eksternal
Resiko Residual : risiko yang tersisa setelah tanggapan manajemen lainnya
ancaman dan tindakan pencegahan telah diterapkan
5. Respon Risiko
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, proses respons
risiko COSO ERM memerlukan tinjauan yang hati-hati terhadap perkiraan
kemungkinan risiko dan dampak potensial, dengan mempertimbangkan biaya dan
manfaat yang terkait, untuk mengembangkan strategi respons risiko yang tepat.
6. Aktifitas Kontrol
Kegiatan pengendalian ERM adalah kebijakan dan prosedur yang diperlukan untuk
memastikan tindakan terhadap respons risiko yang teridentifikasi. Komponen aktivitas
pengendalian COSO ERM harus terkait erat dengan strategi dan tindakan respons
risiko yang telah dibahas sebelumnya.
Komunikasi ERM adalah aspek kedua dari komponen ini. Ini berbicara tentang
komunikasi di luar aplikasi IT saja, seperti kebutuhan akan mekanisme untuk
memastikan semua pemangku kepentingan menerima pesan terkait kepentingan
perusahaan dalam mengelola risikonya.
8. Monitoring
Ditempatkan di dasar komponen kerangka ERM, pemantauan ERM diperlukan untuk
menentukan bahwa semua komponen
8
Internal Audit
Kelompok 2
Meski banyak melihat COSO ERM dari sisi depan yang menghadapi kerangka tiga
dimensi, dua dimensi lainnya, tingkat operasional dan organisasi harus selalu
dipertimbangkan. Setiap komponen COSO ERM beroperasi di ruang tiga dimensi ini
dimana masing-masing harus dipertimbangkan berdasarkan kategori terkait lainnya.
Ada banyak jenis risiko operasi yang dapat berdampak pada suatu perusahaan. tujuan risiko
tingkat operasi meminta identifikasi risiko untuk masing-masing unit atau komponen
perusahaan. Pengidentifikasi tujuan risiko tingkat operasi ini seringkali memerlukan
pengumpulan informasi terperinci dan analisis, terutama untuk perusahaan yang lebih besar
yang mencakup beberapa wilayah geografis, lini produk, atau proses bisnis.
Tujuan ERM ini mencakup keandalan pelaporan perusahaan, termasuk pelaporan internal dan
eksternal atas data keuangan dan non finansial. Pelaporan yang akurat sangat penting untuk
kesuksesan sebuah perusahaan dalam banyak dimensi. Tidak peduli industri apa, perusahaan
menghadapi risiko utama dari pelaporan yang tidak akurat di unit atau area manapun. Unit
operasi harus memastikan bahwa hasil yang dilaporkan adalah yang benar sebelum
dilanjutkan ke tingkat berikutnya dalam organisasi, dan angka gabungan harus akurat, apakah
laporan keuangan, pengembalian pajak, atau segudang bidang lainnya
Meskipun pengendalian internal yang baik diperlukan untuk memastikan pelaporan yang
akurat, Kontrol internal yang kuat harus meminimalkan risiko kesalahan, dan perusahaan
harus selalu mempertimbangkan risiko yang terkait dengan pelaporan yang tidak akurat.
Kesalahan kecil dan perbedaan dapat diabaikan dari waktu ke waktu sampai ada kesalahan
besar yang perlu diungkapkan. Risiko pelaporan yang tidak tepat tersebut harus menjadi
perhatian semua tingkat perusahaan.
9
Internal Audit
Kelompok 2
Risiko COSO ERM wajib diidentifikasi dan dikelola dalam setiap unit organisasi
yang signifikan juga risiko secara keseluruhan entitas melalui unit bisnis individual.
manajemen harus menentukan tingkat risiko organisasi pada tingkat detail yang
mencakup semua risiko yang signifikan serta dapat dikelola.
a) Risiko Meliputi Seluruh Organisasi
Beberapa risiko pada tingkat unit bisnis harus digulirkan ke risiko tingkat
entitas. Meskipun mudah bagi perusahaan untuk mempertimbangkan beberapa
risiko tingkat unit "tidak material" -menggunakan akuntansi publik pra-SOx-
pertimbangkan anak perusahaan yang relatif kecil di negara dunia ketiga yang
memproduksi pakaian santai.
Seringkali, unit semacam itu akan begitu kecil dalam hal kontribusi
pendapatan korporat atau ukuran relatifnya sehingga dapat tergelincir di
bawah layar radar di tingkat perusahaan senior. Namun, jika ada masalah
pekerja anak di negara tuan rumah, perusahaan tersebut mungkin akan segera
menjadi perhatian utama mengenai operasi anak perusahaan kecil ini.
Kerangka kerja COSO ERM menguraikan pendekatan manajemen risiko yang berlaku
untuk semua industri dan mencakup semua jenis risiko. COSO ERM menyediakan
platform yang sangat baik untuk mempertimbangkan keseluruhan lingkungan risiko
perusahaan. Auditor internal menghadapi masalah risiko dan manajemen risiko di
banyak bidang tinjauan audit dan analisis, dan auditor internal yang efektif harus
memahami proses manajemen risiko. Selain itu, setiap tinjauan audit internal terhadap
proses ERM perusahaan harus direncanakan melalui pendekatan perencanaan proyek
audit internal dengan menggunakan beberapa alat berikut :
1. Proses flowcharting
Flowchart proses dapat berguna dalam menggambarkan bagaimana manajemen risiko
beroperasi di perusahaan. Ini membutuhkan melihat dokumentasi yang disiapkan
untuk proses yang berkaitan dengan risiko.
10
Internal Audit
Kelompok 2
Proses ERM sering menghasilkan hasil volume bahan panduan yang besar, prosedur
terdokumentasi, format laporan. Mungkin sering ada nilai audit internal untuk
meninjau risiko dan kontrol bahan dari perspektif efektivitas.
3. Benchmarking
Benchmarking disini adalah proses melihat fungsi di lingkungan lain untuk menilai
operasi dan mengembangkan pendekatan yang lebih baik berdasarkan praktik terbaik.
4. Kuesioner
Metode yang baik untuk mengumpulkan informasi mengenai efektivitas ERM dari
banyak orang. Kuesioner dapat dikirim ke pemangku kepentingan yang ditunjuk
permintaan informasi spesifik Ini sering merupakan teknik audit internal yang
berharga.
11
Internal Audit
Kelompok 2
KESIMPULAN
Manajemen risiko, dan COSO ERM khususnya, adalah standar yang harus menjadi bagian
dari setiap auditor. Auditor internal harus menggunakan prinsip-prinsip manajemen risiko
saat memutuskan area mana yang dipilih untuk tinjauan mereka.
Mungkin yang lebih penting, COSO ERM akan semakin penting karena lebih banyak
perusahaan memahami dan mengadopsi kerangka ERM. Internal auditor harus memahami
COSO ERM, untuk mengaudit kepatuhan dengan proses dan berkonsultasi dengan
manajemen untuk memastikan implementasi yang lebih efektif
12
Internal Audit