MANAJEMEN RISIKO

Audit Internal

Disusun Oleh :

Shindhi Firanthi Richard (17116012)

Adela Asyah (17102079)

Nila Asih Supeni (17116024)

Eka Nabila Putri (17116008)

Dian Sanjaya (17116019)

Johan Ade Viano (16102163)

Universitas Trilogi 2020

KELOMPOK 4

DAFTAR PUSTAKA

4.1 PENDAHULUAN .................................................................................................................................. 3

4.2 RISIKO .................................................................................................................................................. 3

4.3 MANAJEMEN RISIKO ........................................................................................................................ 5

4.3.1 Dasar-Dasar Manajemen Risiko ..................................................................................................... 5

a. Identifikasi Risiko ............................................................................................................................. 5

b. Penilaian Risiko ................................................................................................................................ 6

c. Priotitas Risiko dan Perencanaan Respons ...................................................................................... 8

d. Pemantauan Risko ...........................................................................................................................10

4.3.2 Australia/New Zealand AS/NZS ISO 31000:20009 Risk Manajemen ...........................................11

Proses Manajemen Risiko dalam AS/NZS ISO 31000:2009 ..............................................................12

4.3.3 Manajemen Risiko: COSO ERM ...................................................................................................14

4.4 PERANAN AUDIT INTERNAL DALAM NANAJEMEN RISIKO ..................................................18

4.5 RANGKUMAN .....................................................................................................................................19

DAFTAR PUSTAKA ..................................................................................................................................21

2
KELOMPOK 4

BAB 4
MANAJEMEN RISIKO

4.1 PENDAHULUAN
Sebagaimana ditetapkan oleh IIA, audit internal merupakan kegiatan assurance dan
konsultasi yang independen dan objektif, yang dirancang untuk memberikan nilai tambah dan
meningkatkan kegiatan operasi organisasi. Audit internal membantu organisasi untuk
mencapai tujuannya melalui suatu pendekatan yang sistematis dan teratur untuk mengevaluasi
dan meningkatkan efektivitas pengelolaan risiko, pengendalian, dan proses governance.

IIA mengatur aktivitas pengelolaan risiko atau manajemen risiko dalam standar kinerja
2600 tentang pengomunikasian risiko yang diterima oleh manajemen. Standar kinerja 2600
menyebutkan:

"Jika kepala SKAI menyimpulkan bahwa manajemen telah menerima tingkat

risiko yang mungkin tidak dapat diterima oleh organisasi, kepala SKAI harus
mendiskusikan masalah ini dengan manajemen senior. Jika kepala SKAI
menyimpulkan bahwa masalah tersebut belum terselesaikan, maka kepala SKAI harus
mengomunikasikan hal tersebut kepada dewan".

Oleh karena itu, auditor internal harus dapat melakukan penilaian risiko yang dihadapi
organisasi dan mengomunikasikannya kepada manajemen.

4.2 RISIKO
Dalam proses audit, risiko yang dimaksud adalah kemungkinan terjadinya salah saji
material yang tidak dapat dideteksi oleh prosedur audit yang telah dilakukan auditor pada asersi
di tingkat saldo rekening maupun transaksi. Contohnya adalah secara tidak sadar, auditor tidak
sengaja gagal memodifikasi pendapat atas laporan keuangan yang telah salah saji secara
material karena adanya kesalahan atau kecurangan.

Risiko audit terdiri dari :

 risiko bawaan (inherent risk),

 risiko pengendalian (control risk), dan
 risiko deteksi (detection risk).

3
KELOMPOK 4

Sementara itu, risiko yang dimaksud dalam proses manajemen risiko, menurut Arthur
Williams, adalah suatu variasi hasil-hasil yang dapat terjadi selama periode tertentu atau
probabilitas sesuatu hasil/outcome yang berbeda dengan yang diharapkan. Risiko dapat juga
didefinisikan sebagai ketidakpastian yang mungkin menghasilkan peristiwa kerugian.

manajemen bertanggung jawab untuk mengidentifikasi dan mengelola risiko.

Stakeholder, termasuk investor dan bagian lain yang terkait, sangat berkepentingan untuk
memastikan bahwa kerangka manajemen risiko beroperasi secara efektif.

Kategori Risiko
Risiko dapat dikategorikan berdasarkan beberapa sudut pandang yang digunakan. Tiap
sudut pandang memberikan pengategorian yang berbeda- beda terhadap risiko.

a. Risiko dari sudut pandang sumbernya

1) Risiko internal, seperti risiko keamanan, reputasi, dan manajemen.

2) Risiko eksternal, seperti risiko karena adanya perubahan politik, kondisi ekonomi, dan
bencana alam.

b. Risiko dari sudut pandang penyebab

1) Risiko keuangan, yaitu risiko yang muncul dari faktor-faktor keuangan, seperti risiko
kredit, standar akuntansi, anggaran, pclaporan keuangan, dan pajak.
2) Risiko operasional, yaitu risiko yang muncul dari faktor-faktor non- keuangan seperti
risiko proses operasi, sistem dan prosedur, teknologi, dan alam.

c. Risiko dari sudut pandang akibat yang ditimbulkan

1) Risiko murni, yaitu risiko yang hanya menimbulkan kerugian seperti risiko kebakaran.
2) Risiko spekulatif, yaitu risiko yang tidak hanya memungkinkan terjadinya kerugian
tetapi juga memungkinkan adanya keuntungan seperti risiko investasi.

d. Risiko dari sudut pandang jenis

1) risiko mencakup risiko politik,

2) risiko hukum, risiko keschatan,
3) risiko teknologi,
4) risiko keuangan,
5) risiko sumber daya manusia,
6) dan risiko lainnya.

4
KELOMPOK 4

4.3 MANAJEMEN RISIKO

4.3.1 Dasar-Dasar Manajemen Risiko
Manajemen risiko meliputi :

 proses mengidentifikasi risiko, Identifikasi risiko menghasilkan daftar risiko yang

berpotensi dan/ atau telah terjadi,
 mengukur risiko, serta, Pengukuran risiko memberi informasi tentang kemungkinan
keterjadian dan dampak yang dapat ditimbulkan bila risiko terjadi.
 menyusun strategi untuk mengelolanya melalui sumber daya yang tersedia, penyusunan
strategi merupakan tindak lanjut yang perlu dilakukan oleh manajemen untuk
menghindari atau memitigasi risiko.

Strategi yang dapat digunakan antara lain mentransfer risiko pada pihak lain,
menghindari risiko, mengurangi efek buruk dari risiko, dan menerima sebagian maupun
seluruh konsekuensi dari risiko tertentu.

Proses manajemen risiko yang mendasar terdiri dari empat langkah, yakni identifikasi
risiko, penilaian risiko, prioritas risiko dan perencanaan respons, dan pemantauan risiko.

a. Identifikasi Risiko
Untuk mengidentifikasi risiko sebaiknya dimulai dari level tertinggi perusahaan sehingga
menghasilkan daftar risiko yang ada di tingkat korporasi. Daftar risiko tersebut menjadi acuan
dalam proses identifikasi risiko untuk level di bawahnya, tingkat anak perusahaan dan unit
bisnis serta tingkatan yang lebih rendah di bawahnya.

Berikut ini contoh risiko yang mungkin terjadi pada perusahaan level korporasi:

1. Risiko faktor internal, meliputi reputasi, strategi, dan hak cipta.

2. Risiko faktor eksternal, meliputi industri, kondisi ekonomi, dan pesaing.
3. Risiko proses, meliputi pasokan persediaan, kepuasan pelanggan, dan siklus waktu
produksi.
4. Risiko kepatuhan, meliputi risiko lingkungan, perubahan aturan perundang- undangan, dan
perubahan kebijakan dan prosedur operasi.
5. Risiko SDM, meliputi risiko sumber daya manusia, perputaran tenaga kerja, insentif
kinerja, dan pelatihan.
6. Risiko perbendaharaan, meliputi risiko tingkat suku bunga, nilai kurs, dan ketersediaan
modal.
7. Risiko kredit, meliputi risiko kapasitas, jaminan, dan pembayaran kredit.

5
KELOMPOK 4

8. Risiko perdagangan, meliputi risiko harga komoditas dan waktu perdagangan.

9. Risiko keuangan, meliputi risiko standar akuntansi, anggaran, pelaporan keuangan, pajak,
dan aturan pelaporan.
10. Risiko teknologi, meliputi risiko akses informasi dan ketersediaan infrastruktur.

b. Penilaian Risiko
Penilaian risiko dilakukan untuk memetakan risiko berdasarkan kemungkinan keterjadiannya
dan dampak yang ditimbulkan bila risiko itu terjadi. Berbagai pendekatan dapat digunakan
untuk penilaian ini,

Tabel 4.1 Skala probabilitas

No. Kriteria Definisi Kriteria Skala Nilai

1. Sangat Jarang Profitabilita 0,1-5% 1

Kemungkinan terjadi seklai dalam 5 tahun
2. Jarang Profitabilitas kurang dari 50% 2
Mungkin terjadi sekali dalam 2 tahun
3. Sering Profitabilitas 50% 3
Mungki terjadi kira-kira sekali dalam setahun
4. Sangat Sering Profitabilitas lebih besar dari 50% 4
Dapat terjadi beberapa kali dalam setahun

Untuk melakukan penilaian risiko, terlebih dahulu disusun skala kemungkinan dan
skala dampak sebagaimana ditunjukkan dalam Tabel 4. 1. Skala kemungkinan dapat disusun
dengan skala sangat jarang, jarang, sering, dan sangat sering. Setiap skala tersebut didefinisikan
berdasarkan tingkat probabilitas dan kemungkinan keterjadian dalam kurun waktu tahunan.
Alternatif lain dapat digunakan sesuai dengan kondisi yang paling sesuai dengan perusahaan
yang dinilai dan data yang tersedia.

6
KELOMPOK 4

Tabel 4.2 Skala dampak

No. Kriteria Definisi Kriteria Skala Nilai

1. Sangat rendah Cukup mengganggu aktivitas operasional 1

Kerugian hingga 1% dari total pendapatan tahun
sebelumnya
Berdampak pada pandangan negatif terhadap
perusahaandalam skala lokal
2. rendah Mengganggu aktivitas operasional secara 2
signifikan selamaI 1 hari.
Kerugian mencapai 1,1-5% dari total pendapatan
tahun sebelumnya.
Berdampak pada pandangan negatif terhadap
perusahaandalam skala nasional
3. Tinggi Terganggunya aktivitas operasional selama 2 hari 3
hingga 1 minggu
Kerugian mencapai 5,1-10% dari total pendapatan
tahun sebelumnya
Merusak citra institusi dalam skala nasional (telah
masuk dalam pemberitaan nasional)
4. Sangat Tinggi Terganggunya aktivitas operasional lebih dari I 4
minggu
Kerugian lebih dari 10% dari total pendapatan
tahun sebelumnya
Merusak citra perusahaan dalam skala nasional

Skala dampak dapat disusun dengan skala sangat rendah, rendah, tinggi dan sangat
tinggi sebagaimana ditunjukkan dalam tabel 4.2. Defininsis dari tiap skala tersebut didasarkan
pada dampak yang nantinya akan timbul jika risiko tersebut terjadi terhadap aspek operasional,
keuangan dan reputasi produk maupun perusahaan. Aspek-aspek yang digunakan dalam skala
dampak sebaiknya disesuaikan dengan kondisi dan tujuan perusahaan.

7
KELOMPOK 4

Tabel 4.3 enilaian risiko

No Risiko Profitabilitas Dampak Status Peringkat

(1) (2) (3) (4) (5) = (3) x (4) (6)
1 Risiko faktor internal 1,6 1,2 1,9 9
2 Risiko faktor ekstenal 1,1 2,4 2,6 8
3 Risiko proses operasi 3,8 3,8 14,4 1
4 Risiko kepatuhan 2,5 2,6 6,5 4
5 Risiko SDM 1,1 1,2 1,3 10
6 Risiko perbendaharaan 2,4 3,3 7,9 3
7 Risiko kredit 3,3 1,7 5,6 5
8 Risiko perdagangan 3,5 3,6 12,6 2
9 Risiko keuangan 2,0 1,8 3,6 7
10 Risiko teknologi 2,2 2,3 5,1 6

Pengisian nilai profitabilitas dan dampak sebagaimana ditunjukkan dalam tabel 4.3
dapat dilakukan dengan motede kuisioner atau data yang tersedia dari proses operasi yang
selama ini berjalan. Nilai akhir status diurutkan berdasarkan nilai terbesar hingga terkecil untuk
menentukan peringkat risiko yang menunjukkan kemendesakan risiko tersebut agar segera
ditangani. Jika terdapat risiko yang memiliki nilai akhir status yang sama maka risiko dengan
skor dampak yang lebih besar ditetapkan sebagai risiko dengan prioritas yang lebih tinggi.

c. Priotitas Risiko dan Perencanaan Respons

Penilaian risiko menghasilkan nilai status risiko yang menunjukkan probabilitas
keterjadian risiko dan dampak yang muncul bila risiko tersebut terjadi. Manajemen perlu
menggunakan hasil penilaian risiko untuk menentukan prioritas risiko yang harus direspon dan
strategi yang digunakan untuk merespon risiko tersebut. Untuk memetakan prioritas risiko,
perlu ditentukan terlebih dahulu kriteria penerimaan risiko. Kriteria penerimaan risiko harus
disesuaikan dan didasarkan pada kecenderungan atau selera risiko (risk appetite) manajemen
penanggung jawab resikol.

8
KELOMPOK 4

Tabel 4.4 Kriteria penerimaan risiko

Nilai Status Risiko Kategori Risiko Penerimaan terhadap risiko

1-4 Sangat rendah Dapat diterima

5-8 Rendah Diperlukan pengendalian yang
cukup
9-12 Tinggi Harus menjadi perhatian
manajemen dan diperlakukan
pengendalian yang sangat baik
13-16 Sangat Tidak dapat diterima, harus segera
tinggi/ekstrem/katastropik direspon oleh manajemen

Kriteria penerimaan risiko dapat disusun sebagaimana ditunjukkan pada tabel 4.4. Tiap-
tiap kategori risiko dapat diberi warna sebagai penanda kategori untuk memudahkan
pemahaman. Berdasarkan nilai status risiko yang ditunjukkan pada tabel 4.3 dan tabel 4.4,
dapat disusun peta resiko yang menunjukkan keberterimaan manajemen atas risiko yang ada
dan kemendesakan risiko tersebut untuk segera ditangani.

9
KELOMPOK 4

Tabel 4.3 dan Gambar 4.1 menunjukkan bahwa terdapat empat risiko yang tergolong
sangat rendah (risiko nomor 1,2,5, dan 9), empat risiko tergolong sedang (risiko nomor 4,6,7,
dan 10), dan dua risiko tergolong sangat tinggi (risiko nomor 3 dan 8). Manajemen dapat
merespon risiko dengan lima tindakan berikut untuk setiap resiko yang tidak dapat diterima.

1. Menerima risiko, yaitu menerima kemungkinan terjadinya risiko dan dampak yang
ditimbulkan. Manajemen dapat menerima risiko yang tergolong sangat rendah, misalkan
risiko pengunduran diri Sebagian kecil karyawan yang berdampak sangat rendah bagi
perusahaan.
2. Mengurangi kemungkinan terjadinya risiko (preventif), yaitu dengan menyusun dan
mengimplementasikan pengendalian yang memadai untuk mencegah atau mengurangi
kemungkinan terjadinya risiko, misalnya pencegahan terjadinya produk cacat dengan
mengimplementasikan standar mutu yang tinggi dalam proses produksi.
3. Mengurangi dampak yang dapat ditimbulkan oleh risiko yang mungkin terjadi (mitigatif),
yaitu dengan menyiapkan prosedur penanggulangan dampak risiko, misalnya dengan
menggunakan lindung nilai harga komoditas bahan baku.
4. Berbagai risiko, yaitu dengan membagi risiko dengan pihak lain, misalnya dengan
menggunakan asuransi kebakaran untuk gedung atau bangunan.
5. Menghindari risiko, yaitu menghindari atau mencegah terjadinya risiko, misalnya dengan
menerapkan prinsip keselamatan jiwa dalam proses operasi.

d. Pemantauan Risko
Lingkungan internal dan eksternal perusahaan yang terus berubah menyebabkan
perubahan risiko yang mungkin dihadapi, baik jumlah, probabilitas, maupun dampaknya. Oleh
karena itu, organisasi perlu melakukan pemantauan dan peninjauan atas risiko-risiko yang
telah diindentifikasi, risiko baru yang mungkin muncul, probabilitas tiap-tiap risiko, dan
dampak yang ditimbulkannya. Selain itu, organisasi juga perlu keberadaan dan kecukupan
pengendalian yang dibutuhkan untuk merespon tiap-tiap risiko yang ada.

Respons dan pemantauan risiko memerlukan analisis biaya dan manfaat. Pengendalian
yang ketat untuk mencegah dan memitigasi risiko membutuhkan biaya yang lebih tinggi
daripada pengendalian yang longgar. Oleh karena itu, manajemen perlu mempertimbangkan
dampak risiko yang harus ditanggung dan biaya pengendalian yang dibuthkan dalam
menentukan respons terhadap risiko. Pemantauan risiko dalam periode yang pendek
membutuhkan biaya yang lebih tinggi daripada pemantauan dalam periode yang lebih panjang.

10
KELOMPOK 4

4.3.2 Australia/New Zealand AS/NZS ISO 31000:20009 Risk Manajemen

Terdapat banyak standar manajemen risiko yang dipakai di dunia, seperti Canadian
Risk Manajemen (CRM), Australia/New Zealand AS/NZS ISO 31000:2009, COSO Enterprise
Risk Management, dan standar yang disusun oleh Lembaga lainnya. Dari berbagai standar
yang telah dikeluarkan oleh berbagai negara dan Lembaga tersebut, standar Australia/New
Zealand AS/NZS ISO 31000:2009 dan COSO Enterprise Risk Management yang banyak
diterima secara umum.

Standar ini diterbitkan pertama kali pada 1995 (AS/NZS 4360), DIREVISI PADA 2004
(AS/NZS 4360:2004), dan direvisi terakhir pada 2009 dengan mengadopsi ISO 31000
sehingga dikenal dengan AS/NZS ISO 31000:2009.

11
KELOMPOK 4

Australia/New Zealand AS/NZS ISO 31000:2009 Risk Managment merupakan standar

manajemen risiko yang diterbitkan oleh Australia dan Selandia Baru. Standar ini diterbitkan
pertama kali pada 1995 (AS/NZS 4360), direvisi pada 2004 (AS/NZS 4360:2004), dan direvisi
terakhir pada 2009 dengan mengadopsi ISO 31000 sehingga dikenal dengan AS/NZS ISO
31000:2009.

Proses Manajemen Risiko dalam AS/NZS ISO 31000:2009

Dalam AS/NZS ISO 31000:2009, manajemen risiko terdiri dari tujuh proses utama.
Pada dasarnya proses manajemen risiko dalam AS/NZS ISO 31000:2009 memiliki beberapa
kesamaan dengan proses yang telah dijelaskan dalam dasar-dasar manajemen risiko, tetapi
AS/NZS ISO 31000:2009 memiliki tiga proses yang tidak ada dalam dasar-dasar manajemen
risiko yaitu proses komunikasi, penyusunan konteks, serta pemantauan dan peninjauan.

a. Konsultasi dan komunikasi

Proses manajemen risiko membutuhkan konsultasi dan komunikasi dengan pemegang
saham internal secara tepat pada setiap tingkatan maupun keseluruhan proses manajemen
risiko. Tujuan penanggung jawab merupakan perwujudan dari tujuan para pemegang saham.
Oleh karena itu, manajemen perlu konsultasi dan berkomunikasi dengan para pemegang saham
untuk memastikan bahwa tujuan para pemegang saham telah menjadi bagian dari rangkaian
proses manajemen risiko.
b. Menyusun konteks
Sebelum melakukan proses penilaian risiko, manajemen menyusun konteks manajemen
risiko, baik internal maupun eksternal saat proses berlangsung. Kriteria evaluasi risiko harus
disusun dan struktur analisis harus didefinisikan.
c. Mengidentifikasikan risiko
Dalam proses identifikasi risiko, manajemen mengidentifikasikan dimana, kapan,
mengapa, dan bagaimana kejadian risiko dapat dicegah dan menurunkan kecurangan serta
meningkatkan kemungkinan pencapaian tujuan.
d. Menganalisis resiko
Daftar risiko yang diperoleh dari proses identifikasi risiko dianalisis dengan
mengidentifikasi dan mengevaluasi pengendalian yang sedang berlangsung dan
memperkirakan kemungkinan keterjadian risiko dan akibat yang mungkin timbul dari risiko
tersebut. Analisis ini harus memperhatikan akibat dan bagaimana hal tersebut dapat terjadi.
Manajemen dapat menganalisis risiko berdasarkan empat kategori, yakni rendah, medium,
tinggi, dan ekstrem. Skala lain juga dapat digunakan sesuai dengan kebutuhan perusahaan.

12
KELOMPOK 4

e. Mengevaluasi risiko
Perkiraan tingkat risiko yang telah diperoleh dari proses analisis resiko dibandingkan
dengan kriteria yang telah ditetapkan dan mempertimbangkan selisih antara kemungkinan hasil
menguntungkan atau merugikan. Hal tersebut memberikan panduan untuk membuat keputusan
mengenai skala prioritas, isi, dan respons yang diperlukan atas risiko tersebut.
Metode yang dapat digunakan untuk pemberian skor risiko sangat bervariasi.
Manajemen dapat menentukan suatu tingkat (contoh: tinggi, medium, rendah), atau skor
(contoh: 1 sampai 5) sebagai konsekuensi dan kemungkinan skor yang dikombinasikan
(contoh: menggunakan multiplication atau peringkat dengan suatu grid tertentu) untuk
memberikan suatu skor secara keseluruhan. Sebagai contoh, skor yang paling tinggi risikonya
akan menjadi sejumlah 25 sebagai dasar jika menggunakan skor dengan skala 1-5.

f. Menyatakan risiko
Mengembangkan dan mengimplementasikan strategi biaya yang efektif dan
menjalankan perencanaan untuk meningkatkan laba potensial dan mengurangi biaya potensial.
g. Memantau dan meninjau
Manajemen perlu memonitor efektivitas setiap langkah dalam proses manajemen
risiko. Hal tersebut penting untuk peningkatan berkelanjutan. Risiko dan efektivitas tindakan
yang dilakukan sebagai respons atas risiko dapat mengukur kebutuhan memantau peta risiko
untuk meyakinkan bahwa perubahan berbagai hal tidak mengubah skala prioritas.

13
KELOMPOK 4

4.3.3 Manajemen Risiko: COSO ERM

COSO Enterprise Risk Management (COSO ERM) adalah kerangka kerja yang
membantu organisasi dalam mendeskripsikan dan mendefinisikan risiko. COSO ERM menjadi
alat penting untuk memahami dan meningkatkan pengendalian internal yang dibutuhkan oleh
organisasi. Seperti halnya kerangka kerja pengendalian internal COSO yang dimulai dengan
perumusan definisi subjek yang konsisten, kerangka kerja COSO ERM dimulai dengan
mendefinisikan manajemen risiko perusahaan.

Menurut COSO ERM, manajemen risiko perusahaan adalah proses yang dijalankan
oleh dewan direksi, manajemen, dan personel lainnya, diimplementasikan dalam penentuan
strategi untuk segenap organisasi perusahaan, dirancang untuk mengidentifikasi kejadian
potensial yang dapat memberikan dampak negatif bagi perusahaan, dan mengelola risiko
berdasarkan selera risiko untuk menjamin tercapainya tujuan perusahaan. Definisi ini berisi
hal-hal penting berikut:

1. ERM adalah sebuah proses.

2. Proses ERM dilaksanakan oleh orang-orang di perusahaan.
3. ERM diimplementasikan dalam strategi yang ditetapkan bagi seluruh organisasi
perusahaan.
4. Selera atau kecenderungan manajemen dalam merespons risiko harus dipertimbangkan.
5. ERM memberikan jaminan yang masuk akal dalam pencapaian tujuan.
6. ERM dirancang untuk membantu perusahaan mencapai tujuan.

Elemen Kunci COSO ERM

14
KELOMPOK 4

Gambar 4.5 menunjukkan kerangka COSO ERM dalam kubus tiga dimensi dengan
komponen: (a) empat kolom vertikal mewakili tujuan manajemen risiko dan (b) delapan baris
horizontal menunjukkan komponen risiko. Beberapa kolom vertikal menggambarkan level
organisasi perusahaan, dari tingkat perusahaan induk sampai anak perusahaan.

Tujuan manajemen risiko dalam COSO ERM adalah untuk menjamin

diimplementasikannya strategi yang telah ditetapkan, menjamin efektivitas dan efisiensi
operasi, menjamin keandalan laporan keuangan, dan menjamin dipatuhinya setiap prosedur dan
aturan yang berlaku. Untuk mencapai tujuan tersebut, COSO ERM merumuskan delapan
komponen manajemen risiko yang diimplementasikan pada setiap level organisasi perusahaan.

a. Lingkungan internal
Komponen lingkungan internal ERM COSO terdiri dari unsur:
1. Filosofi manajemen risiko.
2. Selera risiko manajemen terhadap risiko.
3. Sikap dewan direksi.
4. Integritas dan nilai-nilai etika.
5. Komitmen terhadap kompetensi.
6. Struktur organisasi.
7. Penugasan wewenang dan tanggung jawab.
8. Standar sumber daya manusia.
b. Menetapkan tujuan
Perusahaan harus menetapkan tujuan dan sasaran strategis yang sesuai dengan visi dan
misinya. Tujuan dan sasaran tersebut harus meliputi efektivitas dan efisiensi operasi, pelaporan
keuangan, dan kepatuhan terhadap peraturan. Tujuan dan sasaran menjadi dasar dalam
manajemen risiko.
c. Identifikasi risiko
Dalam usaha pencapaian tujuan, perusahaan mungkin menghadapi kejadian yang dapat
memengaruhi implementasi strategi dan pencapaian tujuan, yang disebut risiko. Kerangka
kerja COSO ERM mengarahkan perusahaan untuk mengidentifikasi dan memantau risiko yang
bersumber dari kondisi perekonomian, lingkungan alam, politik, sosial, infrastruktur internal,
proses operasi, dan perkembangan teknologi internal maupun eksternal.
d. Penilaian risiko
Penilaian risiko memerikan informasi yang memungkinkan perusahaan untuk
mempertimbangkan efek risiko potensial yang telah diidentifikasi terhadap prestasi perusahaan

15
KELOMPOK 4

dalam pencapaian tujuannya. Risiko harus dinilai dari dua perspektif: kemungkinan keterjadian
risiko dan dampak yang mungkin ditimbulkannya. Sebagai bagian penting dari proses penilaian
risiko, perusahaan perlu mempertimbangkan sifat risiko sebagai berikut:
1. Risiko inheren. Risiko ini adalah risiko yang melekat dengan berbagai hal dalam
perusahaan. Faktor yang memengaruhi risiko inheren perusahaan adalah ukuran dari
anggotanya, kekuatan dan kecanggihan manajemen, serta sifat kegiatannya.
2. Risiko residual. Risiko ini adalah risiko potensial yang masih mungkin terjadi setelah
dilakukannya proses manajemen risiko.
e. Respons risiko
Setelah mengidentifikasi dan menilai risiko, perusahaan menyusun dan menjalankan
respons atas risiko yang signifikan. Respons tersebut dapat berupa menghindari risiko,
mengurangi risiko, membagi risiko, dan menerima risiko.
f. Kegiatan pengendalian
Adalah kebijakan dan prosedur yang diperlukan untuk memastikan Tindakan terhadap
risiko yang diidentifikasi. Setelah memilih risiko yang memadai, perusahaan harus menyiapakn
aktivitas pengendalian yang diperlukan untuk memastikan bahwa respon terhadap risiko
dijalankan secara tepat waktu dan efisien.
Kegiatan pengendaluan dapat dilakuka dengan berbagai cafra. Kerangka kerja system
pengedalian internal COSO menyatakan bahwa ada beberapa bentuk pengendalian yang dapat
dilakukan, anatra lain sebagai berikut :
1. Pemisahan tugas. Pada dasarnya orang yang memulai transaksi harus tidak menjadi orang
yang melakukan otoritas transaksi tersebut. Pemisahan tugas memungkinkan terjadi cross
check diantara orang-orng arau pihak-pihak yang terlibat dalam suatu proses.
2. Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah
ditelusuri Kembali ke transaksi ke transaksi yang menciptakan hasil tersebut.
3. Keamana dan integritas. Proses pengendalian harus memiliki prosedur kontril yang tepat,
misalnya hanya orang- orang yang berwenang yang dapat mengakses system atau asset.
4. Dokumentasi. Proses harus didokumentasi dengan memadai.
g. Informasi dan Komunikasi
Delapan komponen manajeman risiko yang terganbar dalam kubus COCO ERM
merupakan rangkaian prosen yang berhubungan. Oleh karena itu, diperlukan jalur informasi
dan komunikasi yang dapar menghubungkan tiap rangkaian proses tersebut. Meskipun relatif
mudah untuk menggambarkan bagaimana informasi harus dikomunikasikan dari satu
komponen ke komponen yang lain, melakukannya merupapkan proses yang jauh lebih

16
KELOMPOK 4

kompleks dalam praktik. Aliran informasi dan komunikasi antar komponen COSO ERM dapat
dilihat pada Gambar 4.6

Gambar 4.6 Aliran Informasi dan Komunikasi Komponen COSO ERM

h. Pemantauan
Lingkungan eksternal dan internal yang mengalami perubahan dapat memengaruhi dan
mengubah risiko-risiko petensial yang dihadapi perusahaan. Oleh karena itu, manajeman perlu
memantau perubhan risiko secara berkala. Pemantauan dapat dilakukan dengan berbagai
aktivitas sebagai berikut :
1. Pelaksanaan mekanisme pelapora manajemen yang berkelanjutan seperti saldo uang tunai
pada tanggal tertentu, jumlah penjualan dan data keuangan kunci.

17
KELOMPOK 4

2. Pelporan proses manajemen risiko secara periodic untuk memantau askpek- aspek kunci
risiko seperti kriteria risiko dan tangkat kesalahan yang dapat diterima.
3. Pemantauan dan pelaporan status temuan audit internal dan audit eksternal secara berkala.
4. Pembaharuan informasi risiko yang disebabkan adanya rivisi peraturan pemerintah,
perubahan tren industry, dan perubahan kondisi ekonomi.

4.4 PERANAN AUDIT INTERNAL DALAM NANAJEMEN RISIKO

Standar kerja 2120 menyebutkan bahwa aktivitas auditor internal harus mengevaluasi
efektifitas manajemen risiko dan berkontribusi dalam peningkatan proses manajemen risiko.
Stansdar ini mengharuskan auditor internal untuk mengikuti perkembangan risiko disampinh
tetep menjalankan peranan jaminan independent.

Meskipun pada dasarnya manajemen risiko adalah tanggung jawan pihak manajemen,
auditor internal dapat berperan di dalamnya denga Batasan- Batasan tertentu. Terdapat
beberapa alternatif peran yang dapat dilakukan oleh auditor internal dalam manajemen risiko,
yaotu sebagai berikut :

1. Melakukan audit atau peninjauan atas proses manajemen risiko yang dilakukan oleh
manajemen.
2. Memberikan dukungan aktif yang berkelanjutan terhapat proses manajemen risiko.
3. Mengatur dan mengoordinasikan proses manajemen risiko
4. Tidak melakukan peran apa pun dalam proses manajemen risiko.

Auditor internal dapat bersikap proaktif dalam mendorong dan memandu

pengaplikasian proses manajemen risiko saat pertama kali diimplementasikan tetapi tidak
bertanggung jawab terhadap risiko yang telah teridentifikasi. Penangggung jawab manajemen
risiko tetap berada pada manajemen. Sikap proaktif dalam mendorong manajemen untuk
mengimplementasikan manajemen risiko merupakan bagian dari jasa konsultasi yang menhadi
tugas auditor internal.
Jika perusahaan ingin membuat dan menjalankan system manajemen risiki dan
meminta bantuan auditor untuk menyusunnya maka akan sulit jika auditor yang sama
memberikan jaminan berdasarkan peninjauan Sebagian atau keseluruhan atas system tersebut.
Oleh karena itu, diperluan panduan yang dapat memperjelas peranan pokok auditor internal
yang berupa jasa jaminan berikut :
18
KELOMPOK 4

1. Memberikan jaminan terhadap proses manajemen risiko yang telah dilakukan oleh
manajemen.
2. Mengevaluasi proses manajemen risiko yang telah dilakukan oleh manajemen.
3. Memberikan jaminan bahwa risiko telah dievaluasi dengan benar.
4. Mengevaluasi pelaporan risiko-risiko utama.
5. Meninjau respon dan penanganan yang telah dilakukan oleh manajemen terhadap risiko-
risiko utama.
Selain panduan tersebut, usaha berikut juga perlu dilakukan untuk menjaga agar jasa
kondutasi tidak bertentangan dengan jasa penjamin yang dibeirikan oleh auditor internal :
1. Harus ditegaskan bahwa manajemen tetap bertangung jawab terhadap manajemen risiko
2. Kewajiban pokok auditor internal harus didokumentasikan dala audit charter dan
disetujioleh komite audit.
3. Auditor internal sebaiknya tidak mengelola risiko atas nama manajemen.
4. Auditor internal sebaiknya meberikan saran dan mendukung pengeambilan keputusan oleh
manajemen da tidak membuat keputusan manajemen risiko.
5. Audit internal juga tidak dapat memberika jaminan objektif terhadap kerangka kerja
manajemen risiko perusahaan (MRP) sebagi tanggung jawab nya. Jaminan semacam itu
seharusnya diberikan oleh bagia dengan kualifikasi yang tepat.
6. Pekerjaan -pekerjaan selain aktivitas penjamin dikategorikan sebagi penugasan konsultasi
dan standar implementadi yang berhubungan dengan penugasan serupa harus disertakan.

4.5 RANGKUMAN
Risiko adalah suati variasi dari hasil yang daaper terjadi selama periode tertentu atau
profitabilitad sesuatu hasil (outcome) yang berbeda dengan yan diharapkan. Dengan kata lain,
risiko dapat juga diartikan sebagai ketidak pastian yang munkin menghasilkan peristiwa
kerugian. Setiap oraganisasi dan perusahaan memiliki risiko dalam usaha mancapai tujuannya.
Oleh karena itu, risiko tersebut harus dikelola. Manajemen risiko yang digunakan oleh
organisasi dalam berbagai bentuk pendekatan disebut manajemen risiko perusahaan (MRP).
Proses MRP dimulai dengan identifikasi dengan identifikasi risiko sehingga menghasilkan
daftar risiko. Penilaian risiko yang tertera dalam daftar risiko agar diketahui peta risiko
sehingga dapat disusun prioritas risiko dan rencana respon yang akan dilakukan untuk
mengelola risiko tersebut. Risiko dan pengelolaannya perlu dipantau secara berkala untuk
menjamin bahwa seluruh risiko telah dikelola dengan baik. Beberapa negara dan organisasi

19
KELOMPOK 4

telah Menyusun kerangka kerja manajemen risiko seperti AS/NZA ISO 310000:2009 dan
COSO ERM.

20
KELOMPOK 4

DAFTAR PUSTAKA

Zamzami, Faiz., Ihda Arifin Faiz, dan Mukhlis. (2016). Audit Internal Konsep dan Praktik.
Yogyakarta: Gadjah Mada University Press.

21