Rangkuman Pengauditan Internal

Manajemen Risiko: COSO ERM

Nama:Wanni Manarang A031171324

DEPARTEMEN AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS HASANUDDIN

2021
 Enterprise risk management (ERM) didefinisikan sebagai kompetensi risiko
di dalam perusahaan atau organisasi.ERM adalah kemampuan organisasi untuk
memahami dan mengendalikan tingkat risiko yang di ambil dalam mengelola
strategi bisnis, ditambah dengan akuntabilitas atas risiko yang diambil.Manfaat
utama ERM adalah menambah perspektif dan focus pada manajemen risiko di
seluruh lini perusahaan.

Konsep dasar manajemen risiko perusahaan telah diterapkan di beberapa

industri selama dari satu decade.Perubahan peraturan lingkungan, gejolak
ekonomi, serta peningkatan kompleksitas prosuk, alat, dan juga risiko antara
lain membantu meluncurkan praktik pengelolaan risiko perusahaan ke area
layanan keuangan.Kerangka ERM dirancang untuk mendukung kedalaman dan
keluasan kegiatan ERM dengan menyediakan pendekatan yang terstruktur
untuk mengidentifikasi, mengukur, mengendalikan, dan melaporkan risiko
dengan signifikan yang dihadapi oleh sebuah organisasi.

Pada tahun 2004 COSO menerbitkan kerangka kerja tentang manajemen

risiko yang disebut dengan Enterprise Risk Management Integrated Framework
(biasa disebut COSO ERM 2004).Kerangka kerja tersebut merupakan perluasan
dari COSO Internal Control Integrated Framework yang telah lahir terlebih
dulu meskipun tidak dimaksudkan untuk mengantikannya.COSO ERM lebih
menekankan pada aspek risiko sebelum melihat control.

COSO ERM dapat menjadi alternatif pilihan kerangka kerja bagi organisasi
untuk menerapkan manajemen risiko selain Standar ISO 31000:2009 yang
dijelaskan pada artikel Pilihan Standar Manajemen Risiko di
Indonesia.Kerangka COSO layak menjadi acuan karena di endorse oleh
beberapa asosiasi profesi dibidang audit dan akuntansi ternama yang berpusat di
Amerika Serikat.Namun untuk menerapkannya, seperti kita masih perlu sedikit
bersabar karena saat ini kerangka kerja tersebut sedang dalam proses revisi dan
akan terjadi perubahan yang signifikan disbanding konsep 2004.

COSO ERM 2004

Risiko menurut COSO ERM 2004 adalah “kemungkinan terjadinya sebuah

peristiwa yang dapat mempengaruhi pencapaian tujuan organisasi”.Adapun
manajemen risiko didefinisikan sebagai: a process, effected by an entity’s
board of directors, management and other personnel, applied in strategy
setting and across the enterprise, designed to identify, and manage risk to be
within its risk appetite, to provide reasonable assurance regarding the
achievement of entity objectives”.

Konsep fundamental manajemen risiko yang dibangun oleh COSO sesuai

dengan definisi tersebut adalah bahwa manajemen risiko organisasi merupakan:

 Suatu proses yang berjalan dan mengalir dalam suatu proses

organisasi
 Dipengaruhi oleh individu pada semua level manajerial
 Dapat digunakan untuk kepentingan formulasi strategi
 Dapat diterapkan pada seluruh level dan unit organisasi termasuk
penentuan portofolio risiko
 Dirancang untuk mengidentifikasi peristiwa potensial yang
mempengaruhi organisasi dan mengelola risiko selaras dengan selera
risiko organisasi
 Mampu memberikan jaminan memadai bagi manajemen dan dewan
pengawas (board of directors)
 Diarahkan untuk mewujudkan satu atau beberapa kategori tujuan
tertentu meskipun saling tumpang tindih
COSO ERM 2004 digambarkan dalam bentuk kubus tiga dimensi.Sisi atas
merupakan tujuan organisasi, sisi muka merupakan komponen ERM untuk
mencapai tujuan tersebut dan sisi samping menunjukkan lingkup penerapan
ERM di dalam organisasi.Tujuan suatu organisasi menurut COSO ERM 2004
dapat dikelompokkan menjadi empat kategori yaitu:

− Strategis, terkait dengan tujuan level atas yang mendukung dan selaras
dengan misi organisasi
− Operasional, terkait dengan efektivitas dan efesiensi dari penggunaan
sumber daya
− Pelaporan, terkait dengan keandalan dari pelaporan organisasi
− Kepatuhan, terkait dengan kepatuhan terhadap hokum dan regulasi yang
berlaku

Pengelompokan tujuan tersebut memungkinkan organisasi untuk merancang

focus manajem risiko pada aspek-aspek tertentu

Selanjutnya COSO ERM 2004 menjabarkan delapan komponen manajemen

risiko yang saling terkait dan diperlukan organisasi untuk mencapai tujuan baik
berupa tujuan strategis, operasional, pelaporan maupun kepatuhan. Kedelapan
komponen ini diturunkan dari bagaimana manajemen menjalankan organisasi
dan diintegrasikan dengan proses manajemen. Komponen-komponen tersebut
adalah:

1.Lingkungan internal (internal environment): menentukan warna dari suatu

organisasi dan memberi dasar bagi cara pandang tiap orang dalam organisasi
tersebut terhadap risiko. Unsurnya mencakup filosofi manajemen risiko dan
selera risiko, nilai-nilai etika dan integritas, dan lingkungan tempat berjalannya
semua itu.
2.Penentuan tujuan (objective setting): tujuan organisasi harus ada terlebih
dahulu sebelum manajemen dapat mengidentifikasi peristiwa yang berpotensi
mempengaruhi pencapaian tujuan tersebut.ERM memastikan bahwa
manajemen menetapkan tujuan dan tujuan tersebut mendukung dan selaras
dengan misi organisasi dan konsisten dengan selera risikonya.

3.Identifikasi peristiwa (event identification): peristiwa internal dan eksternal

yang mempengaruhi pencapaian tujuan organisasi harus diidentifikasi dan
dibedakan antara yang berupa risiko dan peluang.

4.Penilaian risiko (risk assessment): risiko dianalisis dengan

mempertimbangkan kemungkinan (likelihood) dan dampaknya (impact) sebagai
dasar untuk menentukan bagaimana cara mengelolanya.

5.Respon risiko (risk response): manajemen memilih respon risiko

(menghindar, menerima, mengurangi, mengalihkan) dan merancang aksi yang
dapat menyesuaikan risiko dengan selera dan toleransi risiko organisasi.

6.Kegiatan pengendalian (control activities): kebijakan dan prosedur ditetapkan

dan diterapkan untuk membantu memastikan respon risiko berjalan dengan
efektif.

7.Informasi dan komunikasi (information and communication): informasi yang

relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu
yang memungkinkan setiap orang menjalankan tanggung jawabnya.
Komunikasi yang efektif juga terjadi secara lebih luas, mengalir secara vertikal
(ke atas dan ke bawah) serta horizontal.

8.Pemantauan (monitoring): seluruh proses manajemen risiko dipantau dan

dimodifikasi apabila dirasa perlu. Pemantauan dilakukan melalui aktivitas
manajemen yang melekat/berjalan terus-menerus (ongoing), melalui evaluasi
secara khusus/terpisah (separate evaluation), atau dengan keduanya.
 COSO ERM 2004 juga mendeskripsikan peran dan tanggung jawab para
pihak dalam suatu organisasi terkait penerapan manajemen risiko. Prinsip
dasarnya adalah seluruh bagian organisasi bertanggung jawab terhadap ERM.
Artinya, penerapan manajemen risiko harus mencakup seluruh level mulai dari
entitas, divisi, unit bisnis, hingga cabang, dan mencakup seluruh sumber daya
manusia di dalamnya. Adapun pembagian peran dan tanggung jawab masing-
masing pihak adalah sebagai berikut:

 Board of directors bertanggung jawab dalam melakukan

supervisi/pemantauan terhadap keseluruhan penerapan manajemen
risiko.
 Chief executive officer merupakan pemilik dan penanggung jawab
utama keseluruhan manajemen risiko organisasi.
 Manajer lainnya bertanggung jawab dalam mendukung filosofi
manajemen risiko organisasi, memastikan kepatuhan terhadap selera
risiko, dan mengelola risiko sesuai kewenangannya agar konsisten
dengan toleransi risiko.
 Risk officer, financial officer, dan audit internal memiliki peran kunci
dalam mendukung efektivitas penerapan manajemen risiko organisasi.
 Personil organisasi lainnya bertanggung jawab dalam menerapkan
manajemen risiko organisasi sejalan dengan prosedur dan kebijakan
yang ditetapkan.
 Pihak eksternal (seperti pelanggan, vendor, partner, auditor eksternal,
regulator, analis keuangan) tidak bertanggung jawab atas efektivitas
manajemen risiko organisasi, namun berperan penting dalam
menyediakan informasi yang dapat mendukung efektivitas manajemen
risiko.

Konsep Perubahan COSO ERM

 COSO telah merilis exposure draft perubahan kerangka kerja manajemen
risiko pada pertengahan Juni 2016. Menurut news release yang dikeluarkan
COSO, perubahan kerangka kerja dirancang untuk memenuhi kebutuhan semua
organisasi di dalam memperbaiki pendekatan pengelolaan terhadap risiko baru
maupun yang sudah ada agar dapat membantu menciptakan, memelihara,
mempertahankan dan mewujudkan nilai bagi organisasi. Perubahan yang paling
mudah dilihat adalah perubahan nama kerangka kerja, yaitu menjadi
“Enterprise Risk Management - Aligning Risk with Strategy and Performance”.

Perubahan tersebut merefleksikan pentingnya kaitan antara strategi dan

kinerja, menawarkan perspektif konsep dan aplikasi manajemen risiko yang
saat ini ada dan berkembang, serta memperbarui definisi inti dari risiko dan
manajemen risiko organisasi. Salah satu penyempurnaan yang paling signifikan
adalah pengenalan komponen dan prinsip-prinsip pendukung yang
mencerminkan evolusi pemikiran dan praktik manajemen risiko.

Penjelasan lebih rinci mengenai pokok-pokok usulan penyempurnaan tersebut

di antaranya adalah:

 Menekankan aspek strategi dan tujuan di dalam definisi risiko. Risiko

didefinisikan sebagai "kemungkinan peristiwa akan terjadi dan
berpengaruh pada strategi dan tujuan bisnis". Organisasi didorong untuk
mempertimbangkan misi utamanya saat memilih strategi risiko serta
mempertimbangkan bagaimana pengaruh pendekatan pengelolaan risiko
terhadap profil risiko dan hambatan apa yang mungkin dihadapi saat
menjalankan pendekatan tersebut.
 Menyederhanakan definisi ERM yaitu menjadi "budaya, kapabilitas, dan
praktik yang terintegrasi dengan penentuan dan eksekusi strategi, yang
 diandalkan oleh organisasi untuk mengelola risiko dalam menciptakan,
memelihara, dan mewujudkan nilai."
 Menghilangkan penjelasan eksplisit empat kategori tujuan organisasi
yang hendak dicapai melalui ERM yang sebelumnya ada pada kerangka
2004.
 Mengubah komponen ERM yang semula terdiri dari delapan menjadi
lima komponen yaitu: (1) tata kelola dan budaya risiko (risk governance
and culture); (2) risiko, strategi dan penentuan tujuan (risk, strategy, and
objective-setting); (3) risiko dalam pelaksanaan (risk in execution); (4)
informasi, komunikasi, dan pelaporan risiko (risk information,
communication, and reporting); (5) pemantauan kinerja ERM
(monitoring ERM performance).
 Mendorong pengguna untuk memperlakukan ERM sebagai bagian dari
proses manajemen organisasi dan bukan sebagai aktivitas yang terpisah
atau silo.
 Mengangkat pembahasan tentang strategi dengan fokus pada tiga
konsep, yaitu kemungkinan strategi dan tujuan tidak selaras dengan
misi, visi, dan nilai-nilai; implikasi dari strategi yang dipilih; dan risiko
pelaksanaan strategi tersebut.
 Memperkuat keterkaitan antara kinerja dan ERM dengan fokus pada
peran risiko sebagai bagian integral dari penentuan tujuan organisasi.
 Mengkaji peran budaya yang mencakup nilai etika organisasi, perilaku
yang harapkan, dan pemahaman tentang risiko. Hubungan antara budaya
dan konteks bisnis mempengaruhi pemilihan dan pelaksanaan strategi.
 Menghubungkan secara lebih eksplisit antara ERM dengan pengambilan
keputusan. Keputusan mengenai berbagai hal seperti pemilihan strategi,
penetapan tujuan dan target kinerja, dan alokasi sumber daya akan
 memiliki informasi yang lebih kaya jika informasi tentang risiko di-
share.
 Memperjelas perbedaan antara selera risiko dan variasi yang dapat
diterima dalam kinerja atau sering disebut toleransi risiko. Selera risiko
adalah jumlah risiko yang siap diterima organisasi dalam mencapai
strategi dan tujuan. Sementara toleransi risiko bukan merupakan versi
lebih rinci dari selera risiko melainkan penentuan besaran risiko yang
dapat diterima untuk tingkat kinerja tertentu. Risiko dan kinerja tidak
dianggap statis dan terpisah tapi selalu berubah dan mempengaruhi satu
sama lain.

Referensi:https://www.klikharso.com/2016/07/manajemen-risiko-coso-dulu-
dan-nanti.html?m=1