Manajemen Resiko
Disusun oleh :
Riskha - 17116005
Melinda Novianti - 17116014
Putri Dwilin Agustin - 17116016
Ivandi Maulana - 17116018
Evi Sulastri - 17116021
Muhammad Rafi Bimaziz - 15102073
Universitas Trilogi
Jurusan Akuntansi
Jakarta, 2020
1. PENENTUAN RISIKO AUDIT
Tujuan penentuan risiko adalah untuk membuat karyawan sadar akan beragam risiko yang ada serta
prioritas, keterbatasan dari daftar risiko tersebut. Sejumlah risiko tidaklah statis, selalu ada risiko
yang muncul setiap waktu. Oleh karena itu penentuan risiko merupakan fungsi yang berkelanjutan
dalam proses manajemen yang harus dilakukan secara berorganisasi dan berurutan.
Konsep audit berbasis risiko (risk-based auditing) secara tradisional bermula dari observasi dan
analisis kontrol, kemudian berkelanjutan ke penentuan risiko yang berkaitan dengan operasi, dan
akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan organisasi. Tujuan
merupakan dasar operasi dan tidak selalu berbentuk nyata, bisa bersidat fleksibel dan seharusnya
berorientasi ke masa depan. Para penulis tersebut merekomendasikan sebuah pendekatan yang
memeprtimbangkan terlebih dahulu tujuan organisasi yang ditetapkan dan kemudian menentukan
risiko melalui identifikasi, pengukuran, dan penempatan prioritas, dan akhirnya melakukan
manajemen risiko dengan cara:
Konsep manajemen risiko ini telah semakin diterima karena risiko tidak dapat dihindarkan disemua
jenis operasi dan adanya kebutuhan untuk mengakomodasikannya melalui berbagai pilihan aktivitas.
Pilihan-pilihan tersebut mencakup:
- Kontrol aktivitas organisasional untuk mengurangi elemen-elemen risiko baik dari segi besaran
maupun jumlah.
- Penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang diperlukan untuk kemajuan
dan keuntungan.
-Penghindaran risiko yang melibatkan perancangan ulang proses bisnis untuk merubah pola risiko.
- Pendiverifikasian risiko dengan menyebarkan total risiko ke operasi-operasi yang terpisah. Misalnya
menggunakan berbagai pemasok untuk bahan yang penting.
- Pembagian dan pemindahan risiko dengan melibatkan kontraktual dengan pihak ketiga untuk
menerima sebagian atau semua risiko. Contohnya adalah asuransi.
IIA menerbitkan dua Practice Advisory yang berhubungan dengan manajemen risiko, Practice
Advisory 2100-4 “Peran Audit Internal dalam Organisasi yang Tidak Memiliki Proses Manajemen
Risiko,” dan Practice Advisory 2110-1, “Penilaian Kecukupan Proses Manajemen Risiko.” Advisory
terakhir membahas mengenai aspek audit ke dua. Advisory pertama membahas mengenai
pendekatan praktis sebagai sebuah jasa konsultasi bagi klien audit. Advisory ini merekomendasikan
auditor internal untuk:
3) Memberitahu manajemen kekurangan yang ada pada proses manajemen risiko dan memberikan
saran untuk melaksanakan proses seperti itu.
4) Mendapatkan pemahaman atas ekspektasi manajemen dan Dewan Komisaris mengenai bantuan
audit internal yang dapat diberikan dalam proses manajemen risiko.
5) Mendapatkan konsep dari manajemen menganai peran yang harus dimainkan audit internal
dalam proses tersebut.
6) Memainkan peran yang proaktif, jika dibutuhkan, dalam pengembangan proses manajemen risiko,
dengan tetap mengingat eksposur akan terjadinya penurunan independensi.
Auditor dan menajemen harus mempertanyakan luas dan probabilitas risiko. Luas risiko
adalah jumlah yang berpotensi terkena risiko. Probabilitas adalah kemungkinan terjadinya risiko.
Masih terdapat hal-hal yang ahrus dipertimbangkan pada saat menentukan dampak risiko.
AICPA telah memberikan pedoman mengenai hal ini melalui beberapa Statement on
Auditing Standards (No. 47, No, 53, No. 55). Risiko audit terdiri dari dua tingkatan, tingkat laporan
keuangan dan saldo akun (atau tingkat kelompok transaksi). Pada tingkat laporan keuangan, risiko
audit adalah “risiko bahwa auditor mungkin secara tidak sengaja gagal memodifikasi dengan layak
pendapatannya atas laporan keuangan yang salah saji secara material.” Seorang auditor diharapkan
untuk merencanakan audit sehingga risiko audit dibatasi pada apa yang dipertimbangkan auditor
sebagai tingkat yang rendah. Dalam menentukan risiko audit pada tingkat laporan keuangan, standar
audit (AU 316) menyatakan bahwa seorang auditor harus mempertimbangkan karakteristik
manajemen, karakteristik operasi dan industri, dan karakteristik penugasan. Faktor-faktor yang
disebutkan berikut ini bisa menunjukkan situasi yang dapat meningkatkan risiko audit.
Karakteristik Manajemen
1. Profitabilitas entitas dibandingkan dengan industrinya ternyata tidak memadai atau tidak
konsisiten.
2. Hasil-hasil operasi entitas sensitif terhadap faktor-faktor ekonomi.
3. Entitas berada pada industri yang meunurun.
4. Opersi entitas bersifat desentraliasasi tanpa pengawasan aktivitas yang memadai.
5. Entitas diraguakn kelangsungan hidupnya.
Karakteristik Penugasan
3. Terdapat transaksi dengan pihak-pihak yang memiliki hubungan istimewa dengna jumlah yang
signifikan dan tidak biasa.
4. Sebelumnya terdaoat salah saji yang signifikan dan dideteksi selama audit atau tidak tersedia data
mengenai hal tersebut.
Faktor-faktor seperti ini tidak bisa dipertimbangkan secara terpisah. Sebagai contoh, ukuran,
kompleksitas, dan kepemilikan entitas akan meningkatkan atau mengurangi faktor-faktor ini.
Kesimpulan auditor mengenai risiko audit pada tingkat laporan keuangan akan berdampak pada:
1) Penugasan staf;
Dalam mempertimbangkan risiko audit pada tingkat saldo akun atau kelompok transaksi, seorang
auditor harus mempertimbangkan asersi-asersi laporan keuangan. Asersi adalah representasi
manajemen yang terdapat dalam saldo akun, kelompok transaksi dan pengungkapan. SAS
mengidentifikasi lima asersi umum manajemen (atau asersi laporan keuangan) yaitu keterjadian
atau keberadaan, kelengkapan, hak dan kewajiban, penilaian atau alokasi, serta penyajian dan
pengungkapan.
Pada tingkat saldo akun atau kelompok transaksi, risiko audit terdiri atas:
a) Risiko bahwa saldo atau kelompok dan asersi terkait mengandung salah saji baik oleh dirinya
sendiri atau dengan yang lainnya yang dapat berdampak material terhadap laporan keuangan
(disebut risiko bawaan atau risiko kontrol).
b) Risiko bahwa auditor tidak akan mendeteksi salah saji tersebut bila memang terjadi salah saji
(disebut risiko deteksi).
Jadi risiko audit pada tingkat saldo atau kelompok memiliki tiga komponen yaitu risiko bawaan, risiko
kontrol, dan risiko deteksi. Seorang auditor diharapkan untuk merencakan audit sehingga risiko audit
pada tingkat saldo atau kelompok transaksi dibatasi sehingga memungkinkan auditor memberikan
opini pada risiko audit yang rendah pada tingkat laporna keuangan.
SAS memberikan contoh faktor-faktor berikut ini yang harus dipertimbangkan auditor dalam
mengevaluasi risiko audit pada tingkat saldo atau kelompok transaksi:
4. Salah saji signifikan yang mungkin terjadi, berdasarkan informasi yang diperoleh dari audit
sebelumnya.
5. Ketentuan aktiva untuk disalah gunakan.
8. Ukuran dan volume hal-hal yang mencakup dalam saldo akun atau kelas transaksi.
9. Komplesitas perhitungan.
Risiko Bawaan
Risiko bawaan (inheren risk) adalah kerentanan suatu asersi atas terjadinya salah saji yang material,
dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur struktur konrol internal terkait
yang diterapkan. Risiko bawaan adalah risiko yang berisifat intrinstik terhadap usaha entitas. Auidtor
dapat mengevaluasi risiko bawaan yang ada pada klien dengan memperhatikan industri secara
keseluruhan. Risiko bawaan juga terdapat pada suatu organisasi akibat budaya perusahaan yang
diterapkan. Sebuah organisasi dapat dikelola secara ketat oleh suatu kelompok kecil yang memiliki
filosofi “kami ingin bebas dari kebijakan dan prosedur tertulis yang mengikat agar bisa menanggapi
suatu kejadian secara langsung dan segera.” Risiko yang berorientasi pada budaya perusahaan
merupakan risiko-risiko yang melekat pada gaya manajemen.
Jika risiko-risiko bawaan pada organisasi telah diperhitungkan, langkah selanjutnya adalah menilai
tindakan untuk mencegah dan mendeteksi kejadian-kejadian akibat risiko-risiko tersebut.
Pertimbangan-pertimbangna ini melibatkan risiko kontrol.
Risiko Kontrol
Risiko kontrol (control risk) adalah risiko bahwa salah saji material yang bisa terjadi pada suatu asersi
tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur, kebijakan, atau prosedur
kontrol internal suatu entitas. Beberapa risiko kontrol akan tetap ada karena adanya keterbatasan
yang melekat pada struktur kontrol internal.
Risiko Deteksi
Risiko deteksi (detection risk) adalah risiko bahwa auditor tidak dapat mendeteksi salah saji material
yang tedapat pada suatu asersi. Risiko deteksi dapat terjadi karena seorang auditor memutuskan
tidak memeriksa 100 persen saldo atau transaksi atau ketidakpastian lainnya. Termasuk dalam
ketidakpastian lainnya ini adalah pemilihan prosedur audit yang tidak layak, salah penerapan
prosedur audit, atau salah interpretasi hasil-hasil prosedur audit.
Bell Canada telah menggunakan evaluasi risiko sebagai sebuah bagian integral dari proses
pencatatan auditnya. Suatu perangkat dibuat untuk membantu auditor menentukan jenis atau
tingkat risiko setiap operasi yang diaudit. Setiap operasi yang diaudit dibagi ke dalam dua proses,
fungsi, atau ektivitas kunci. Bagian-bagian ini membentuk suatu sumbu pada matriks risiko. Pada
sumbu yang lain auditor membuat daftar sepuluh risiko usaha umum perusahaan. Disetiap sel
auditor menggunakan sistem skor sederhana.
Kepentingan auditor dalam hal ini adalah untuk menentukan dampak fungsi perdagangan elektrinik
(electronic commerce – EC) terhadap risiko organisasi. Dengan asumsi risiko-risiko ini dapat
diidentifikasi, auditor seharusnya, terkadang dengan bantuan ahli teknologi informasi (TI),
menentukan dan menggambarkan ukuran-ukuran yang bisa diambil untuk mengurangi risiko-risiko
tersebut ke tingkat yang dapat diterima. Ukuran-ukuran yang direkomendasikan ini mencakup:
7. Elemen-elemen waktu.
8. Kemungkinan sukses.
Karena dinamika yang terdapat pada fungsi perdagangan elektronik, penelaahan risiko analisis ini
harus sering dilakukan. Auditor internal atau ahli TI terkait, atau keduanya, harus memahami
perkembangan dibidang ini terutama mengenai:
Risiko EDI
Pertukaran data elektronik (electronic data interchange – EDI) adalah sebuah sistem komunikasi
komputer-ke-komputer yang saling berhubungan untuk dokumen-dokumen bisnis yang
terstandarisasi di batas-batas organisasi. Kerawanan sistem EDI tinggi karena kegagalan sistem pada
setiap tiga tahapan, yaitu inisiasi, transaksi, dan tujuan akan mengganggu transaksi.
Terdapat enam area faktor risiko, faktor-faktor ini dan kontrol internal yang berkaiatan dirinci pada
tampilan 2-1. Elemen area tersebut adalah:
Risiko kontrol yang tiga lapis kontrol, yaitu kontrol administratif, kontrol fisik dan perangkat lunak,
akan gagal, dihitung dengan persamaan ini:
CREDI=CRA*CRP*CPS
Keterangan:
Pembahasan penentuan risiko oleh COSO menyatakan bahwa tujuan organisasi, sistem kontrol dan
penentuan risiko tidak dapat dipisahkan satu sama lain. Begitu risiko telah diidentifikasi, langkah
logis selanjutnya adalah membuat sarana untuk mengandalkan risiko tersebut. Studi COSO adalah
memberi definisi kontrol internal yang ada saat ini dan diakui secara luas.
Kontrol internal adalah sebuah proses, ayang dipengaruhi oleh dewan direksi entitas, manajemne,
dan karyawan lainnya, yang dirancang untuk memenuhi keyakinan yang wajar mengenai pencapaian
tujuan pada kategori-kategori berikut:
1. Tujuan operasional – Hal ini berkaitan dengan efektivitas dan efisiensioperasi entitas, termasuk
tujuan dan kinerja profitabilitas dan pengamanan sumber daya terhadap kerugian. Tujuan-tujuan
tersebut bervariasi berdasarkan pilihan manajemen berdasarkan struktur dan kinerja.
2. Tujuan Pelaporan Keuangan – Hal ini berkaitan denga penyajian laporan keuangan yanga andal,
termasuk pencegahan pelaporan keuangan publik yang mendukung kecurangan. Tujuan-tujuan
tersebut terutama diarahkan oleh pernyataan-pernyataan eksternal.
3. Tujuan-tujuan Keteaatan – Tujuan-tuuan ini berkaiatan dengan ketaatan terhadap hukum dan
peraturan yang berlaku bagi entitas. Tujuan-tujaun tersebut tergantung pada faktor-faktor ekternal,
seperti peraturan lingkungan, dan cenderung serupa untuk semua entitas dalam beberapa kasus dan
beberapa entitas.
Definisi dari tujuan-tujuan ini membrikan titik awal untuk penentuan risiko. Tujuan-tujuan umum
tersebut dapat dirinci ke dalam tujuan-tuuan khusus dengan risiko-risiko yang dapat diidentifikasi.
Jika risiko-risiko telah diidentifikasi, berbagai pilihan kontrol dapat ditetapkan untuk risiko-risiko
tersebut dalam rangka menentukan prosedur kontrol optimal yang akan diterapkan.
Auditor harus memulai pemeriksaan dengan mengidentifikasi tujuan operasional, keuangan, dan
ketaatan untuk operasi tersebut:
2. Untuk memastikan kebenaran dokumen yang akan diberikan ke sistem akuntansi piutang usaha
(keuangan).
3. Untuk memastikan bahwa kemampuan untuk menegosiasikan jumlah yang tertera di cek memang
telah di setujui (operasional).
5. Untuk menyetorkan ke bank secara tepat waktu agar bisa mendapatkan pendapatan bunga
maksimum (operasional).
6. Untuk memastikan informasi yang dicatat pada rekening pelanggan akan menghasilkan catatan
kredit yang akurat untuk umur piutang dan sejarah kredit pelanggan (operasional dan ketaatan).
8. Untuk menyediakan metode pengelolaan dan persetujuan hal-hal yang tidak sesuai prosedur
(operasioan dan keuangan).
9. Untuk memberikan pengukuran kinerja bagi unit karyawan di dalamnya untuk memberikan
penghargaan bagi kinerja dengan kualitas yang tinggi dan memperbaiki kinerja yang memiliki
kualitas yang rendah dan tidak dapat diterima.
Manajemen Risiko
Selain penentuan risiko dan bantuan kepada manajemen dalam mengubah risiko menjadi elemen
pendapatan institusional, auidtor harus memperluas bidang audit agar bisa mencakup kontrol risiko,
pendanaan risiko, dan administrasi risiko. Jadi:
Kontrol Risiko:
2. Memberikan insentif maksimum untuk peran serta dalam program kontrol risiko.
3. Memonitor efektivitas kontrol risiko.
Pendanaan Risiko:
Administrasi Risiko:
4. Menjaga komunikasi yang baik dengan semua tingkat manajemen yang terpengaruh.
Dalam mengevaluasi proses manajemen risiko, auditor internal harus memformulasikan suatu opini
mengenai tingkat kesesuaian antara proses dengan pencapaian lima tujuan kunci yang tercantum
pada Practice Advisory 2110-1, “Penilaian Kecukupan Proses Manajemen Risiko.” Tujuan-tujuan ini
adalah:
1. Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan diprioritaskan.
2. Manajemen dan dewan komisaris telah memutuskan tingkat risiko yang dapat diterima oleh
organisasi, termasuk penerimaan risiko yang dirancnag untuk mencapai rencana strategis organisasi.
3. Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk mengurangi, atau justru
mengelola risiko pada tingkat yang ditentukan dapat diterima oleh manajemen dan dewan
komisaris.
5. Dewan komisaris dan manajemen menerima laporan periodik mengenai proses manajemen risiko.
Proses tata kelola organisasi harus memberikan komunikasi periodik tentang risiko, strategi risiko,
dan kontrol untuk pihak-pihak yang berkepentingan.
3. HUBUNGAN ANTAR-RISIKO
Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara kuantitatif maupun kualitatif. SAS
memberikan rumus berikut ini:
Ketika menggunakan rumus ini, seorang auditor dapat menilai risiko audit yang direncakan untuk
sebuah asersi, risiko bawaannya dan risiko kontrolnya untuk menentukan risiko penemuan yang
direncakan dengan menentukan risiko deteksi.
COSO ERM
1. Pengertian Risiko
Menurut Moeller (2016), “risiko didefinisikan sebagai kemungkinan suatu peristiwa terjadi yang
akan memiliki efek buruk terhadap pencapaian tujuan organisasi”. . Risiko dapat menimbulkan
dampak yang buruk bagi organisasi apabila tidak dilakukan antisipasi dan tidak dikelola dengan baik.
2. Jenis-jenis Risiko
Suatu risiko disebut sebagai pure risk atau risiko murni jika suatu ketidakpastian terjadi, maka
kejadian tersebut pasti menimbulkan kerugian (Siahaan, 2009). Menurut Fahmi (2010), Risiko murni
dikelompokkan menjadi tiga tipe yaitu:
1) Risiko Aset Fisik. Risiko aset fisik merupakan risiko yang berakibat timbulnya kerugian pada aset
fisik suatu perusahaan atau organisasi. Contohnya kebakaran, bencana alam, dan sebagainya.
2) Risiko Karyawan. Risiko karyawan merupakan risiko karena apa yang dialami oleh karyawan yang
bekerja di perusahaan atau organisasi tersebut. Contohnya kecelakaan kerja sehingga aktivitas
perusahaan terganggu.
3) Risiko Legal. Risiko legal merupakan risiko dalam bidang kontrak yang mengecewakan atau
kontrak tidak berjalan sesuai dengan rencana. Contohnya perselisihan dengan perusahaan lain
sehingga adanya persoalan seperti ganti kerugian.
Risiko spekulatif adalah ketidakpastian apakah akan terjadi untung atau kerugian (Siahaan, 2009).
Menurut Fahmi (2010), risiko spekulatif dibagi menjadi empat tipe yaitu:
1) Risiko pasar. Risiko pasar merupakan risiko yang terjadi dari pergerakan harga pasar. Contohnya
harga saham mengalami penurunan sehingga menimbulkan kerugian.
2) Risiko Kredit. Risiko kredit merupakan risiko yang terjadi karena counterparty (mitra pengimbang)
yang gagal memenuhi kewajibannya kepada perusahaan. Contohnya timbulnya kredit macet,
persentase piutang meningkat.
3) Risiko Likuiditas. Risiko likuiditas merupakan risiko karena ketidakmampuan memenuhi kebutuhan
kas. Contohnya kepemilikan kas menurun, sehingga tidak mampu membayar hutang secara tepat
menyebabkan perusahaan harus menjual aset yang dimilikinya.
4) Risiko Operasional. Risiko operasional merupakan risiko yang disebabkan pada kegiatan
operasional yang tidak berjalan dengan lancar. Contohnya terjadi kerusakan pada komputer karena
berbagai hal termasuk terkena virus.
3. COSO Integrated ERM Framework
Menurut Moeller (2016), COSO Enterprise Risk Management is a framework to help enterprises have
a consistent definition of their risks (Manajemen risiko perusahaan adalah sebuah kerangka kerja
untuk membantu perusahaan memiliki pemahaman yang konsisten mengenai risiko mereka).
Menurut COSO Integrated ERM Framework (2004) (dalam Moeller, 2016) Manajemen risiko
perusahaan (Enterprise Risk Management) didefinisikan sebagai berikut: “Proses yang digunakan
oleh dewan direksi, manajemen dan personil lainnya, digunakan untuk mengatur strategi di seluruh
lingkup perusahaan, mengidentifikasi kejadian yang mungkin mempengaruhi entitas, menilai dan
mengelola risiko, serta menyediakan jaminan memadai bahwa perusahaan mencapai tujuan dan
sasarannya”.Menurut COSO Integrated ERM Framework (2004) (dalam Moeller, 2016), konsep dan
poin utama didalam COSO Integrated ERM Framework yaitu :
5) ERM hanya menyediakan jaminan yang masuk akal terhadap pencapaian tujuan bukan jaminan
yang pasti terhadap pencapaian tujuan.
6) Sebuah ERM dirancang untuk membantu mencapai tujuan dari pengertian tersebut, dapat
disimpulkan bahwa COSO Integrated ERM Framework merupakan sebuah proses yang
diimplementasikan oleh orang-orang di perusahaan, diterapkan pada strategi di keseluruhan
perusahaan guna mencapai sasaran perusahaan.
1) Strategik (Strategic).
2) Operasi (Operations).
3) Pelaporan (Reporting).
4) Kepatuhan (Compliance).
Terdapat delapan komponen manajemen risiko menurut COSO Integrated ERM (2004) (dalam
Moeller, 2016) yaitu :
1) Lingkungan Internal
Lingkungan internal merupakan landasan dasar untuk seluruh komponen didalam model ERM
perusahaan, mempengaruhi bagaimana strategi dan sasaran harus dibuat, bagaimana hubungan
risiko terkait dengan bisnis disusun, dan bagaimana risiko diidentifikasi dan direspon. Lingkungan
internal COSO Integrated ERM mencakup elemen-elemen berikut ini:
Filosofi manajemen risiko adalah seperangkat keyakinan dan perilaku yang dirasakan bersama, yang
mencirikan bagaimana organisasi mempertimbangkan risiko dalam segala aspek di organisasi.
Penerimaan risiko dapat diartikan secara kualitatif ataupun kuantitatif tetapi seluruh level
manajemen harus memiliki pemahaman yang sama mengenai penerimaan risiko keseluruhan.
Badan independen, diluar direktur harus melihat secara seksama tindakan manajemen, menanyakan
pertanyaan yang tepat, dan menyajikannya sebagai kontrol keseimbangan untuk organisasi.
Sebuah lingkungan internal organisasi juga membutuhkan standar kode etik dan integritas yang baik.
Semakin kuat nilai etika akan membantu organisasi untuk mendiskusikan suatu hal yang berpotensi
menjadi risiko terlebih dahulu untuk menghindari risiko yang merugikan organisasi.
Kompetensi dapat diartikan sebagai pengetahuan dan keterampilan yang diperlukan untuk
melakukan suatu tugas. Manajemen akan memutuskan bagaimana tugas-tugas tersebut dapat
diselesaikan bersamaan dengan mengembangkan strategi dan memperkerjakan orang yang tepat
untuk melakukan tugas tersebut.
f) Struktur Organisasi
Suatu organisasi harus mengembangkan struktur organisasi dengan garis wewenang yang jelas,
tanggung jawab, dan pelaporan yang tepat.
g) Penugasan Wewenang dan Tanggung JawabTingkatan dimana setiap individu dan tim diberikan
wewenang dan didorong untuk menggunakan inisiatif untuk mengarahkan berbagai isu dan
memecahkan berbagai masalah, sebatas apa yang menjadi tanggung jawab dan wewenangnya.
2) Penetapan Tujuan
Selain membuat lingkungan internal yang efektif, perusahaan juga harus membuat serangkaian
tujuan strategis, yang sesuai dengan misi perusahaan dan mencakup kegiatan operasi, pelaporan,
dan kepatuhan. Perusahaan harus mendefinisikan risiko terkait dengan sasaran dan strategis
perusahaan sehingga perusahaan dapat memutuskan tingkat penerimaan dan toleransi untuk risiko
tersebut.
3) Identifikasi Kejadian
Kejadian adalah insiden atau peristiwa yang terjadi didalam organisasi yang memiliki
dampak pada implementasi strategi ERM dan pencapaian tujuan organisasi. Banyak organisasi
sekarang ini melakukan pemantauan baik pemantauan dari sisi biaya, kualitas, asuransi, kepatuhan,
dan sebagainya. Proses pemantauan tersebut harus mencakup:
c) Faktor politik;
d) Faktor sosial;
5) Respon Risiko
Setelah dinilai dan diidentifikasi, COSO Integrated ERM memberikan respon dengan melakukan
tinjauan secara hati-hati untuk mengestimasi kemungkinan dan dampak potensial dengan
mempertimbangkan biaya dan keuntungan yang akan diberikan ke perusahaan, mengembangkan
stategi respon risiko yang tepat terdapat empat strategi yang dapat dilakukan :
a) Menghindari Risiko
b) Mengurangi Risiko
Mengurangi kemungkinan dampak risiko dengan menerapkan pengendalian internal yang efektif.
c) Membagikan Risiko
Perusahaan membagikan risiko dengan membeli asuransi, atau melakukan teknik pembagian risiko
lain.
d) Menerima Risiko
6) Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang dibutuhkan untuk memastikan respon
risiko yang diidentifikasi.
a) Pemisahan tugas
Pemisahan tugas antara orang yang membuat transaksi dengan orang yang mengotorisasi transaksi
tersebut.
b) Jejak audit
Setiap proses harus dikelola sehingga hasil akhir dapat dengan mudah ditelusuri kembali ke transaksi
yang menghasilkan hasil akhir tersebut.
Proses pengendalian harus memiliki prosedur pengendalian yang tepat yang hanya diotorisasi oleh
satu orang yang dapat mereview atau memodifikasi prosedur tersebut.
d) Dokumentasi
Komponen informasi dan komunikasi didalam COSO Integrated ERM merupakan komponen terpisah
dari proses ERM lainnya. Komponen Informasi dan komunikasi memudahkan perusahaan
8) Pemantauan
Pemantauan ERM sangat diperlukan untuk memastikan bahwa komponen ERM yang diterapkan
bekerja secara efektif.
DAFTAR PUSTAKA
https://www.academia.edu/31316029/MODUL_PENGAUDITAN_INTERNAL_STRATEGI
_PENENTUAN_RISIKO_DISUSUN_OLEH_RIZKI_NAHRIYATI_A311_13_028
COSO (2004). Enterprise Risk Management - Integrated Framework.
COSO (2016). Enterprise Risk Management - Aligning Risk with Strategy and Performance.
Exposure Draft per Juni 2016.
Moeller, R. Robbert. 2016. Brink’s Modern Internal Auditing : a common body of
knowledge. Eighth edition. John Wiley & Sons, Inc, New Jersey.