Satria Putra

A031181361
CH 6 : MANAJEMEN RISIKO: COSO ERM

6.1. DASAR-DASAR MANAJEMEN RISIKO

Manajemen risiko merupakan konsep yang berhubungan dengan asuransi di
mana individu atau perusahaan menggunakan mekanisme asuransi untuk
memberikan perlindungan dari risiko tersebut. Perusahaan saat ini menghadapi
berbagai macam risiko dan membutuhkan beberapa alat untuk memilah-milah
semuanya untuk membuat biaya rasional dan keputusan terkait risiko. Ini adalah
proses manajemen risiko. Sementara beberapa orang dalam bisnis saat ini hanya
menilai suatu area sebagai risiko tinggi, menengah, atau rendah dan keudian
membuat keputusan asuransi atau perlindungan risiko dengan cepat berdasarkan
opsi-opsi tersebut, yang lain menggunakan alat kualitatif atau kuantitaif yang lebih
canggih untuk memahami dan mengevaluasi risiko.
Proses manajemen risiko yang efektif memerlukan empat (4) langkah yaitu:
identifikasi risiko, penilaian kuantitatif atau kualitatif dari risiko yang
terdokumentasi, prioritas risiko dan perencanaan respons, dan pemantauan
risiko. Proses manajemen risiko empat langkah ini harus diterapkan di semua tingkat
perusahaan dan dengan partisipasi banyak orang yang berbeda. Beberapa risiko
dalam satu unit mungkin berdampak langsung atau terkait dengan risiko di unit lain,
tetapi pertimbangan risiko lain mungkin secara efektif independen dari keseluruhan.
Risiko umum ini dapat terjadi karena berbagai macam keadaan mulai dari keputusan
keuangan yang buruk, hingga perubahan selera konsumen, hingga peraturan
pemerintah yang baru.
 Identifikasi Risiko
Proses ini meliputi identifikasi risiko yang mungkin terjadi dalam suatu
aktivitas usaha. Identifikasi risiko secara akurat dan kompleks sangatlah vital
dalam manajemen risiko. Salah satu aspek penting dalam identifikasi risiko adalah
mendaftar risiko yang mungkin terjadi sebanyak mungkin. Teknik-teknik yang
dapat digunakan dalam identifikasi risiko adalah:
1. Brainstorming
2. Survey
3. Wawancara
4. Informasi historis
5. Kelompok kerja
 Penilaian Risiko Utama
Langkah selanjutnya adalah menilai kemungkinan dan signifikansi relatifnya.
Berbagai pendekatan dapat digunakan di sini, mulai dari pendekatan kualitatif
Satria Putra
A031181361
tebakan terbaik hingga beberapa analisis kuantitatif yang sangat matematis dan
terperinci. Manajer yang bertanggung jawab harus menilai risiko dengan elakukan
pendekatan kuesioner. Proses penilaian risiko tinggi ini bekerja cukup baik ketika
perusahaan telah mengidentifikasi sejumlah kecil risiko.
 Menganalisa Risiko
Tahap berikutnya adalah pengukuran risiko dengan cara melihat seberapa
besar potensi terjadinya kerusakan dan probabilitas terjadinya risiko tersebut.
Penentuan probabilitas terjadinya suatu event sangatlah subjektif dan lebih
berdasarkan nalar dan pengalaman. Beberapa risiko memanglah mudah untuk
diukur, namun sangatlah sulit untuk memastikan probabilitas suatu kejadian yang
sangat jarang terjadi. Sehingga, pada tahap ini sangatlah penting untuk
menentukan dugaan yang terbaik supaya nantinya kita dapat memprioritaskan
dengan baik dalam implementasi perencanaan manajemen risiko.
 Monitoring Risiko dan Evaluasi
Mengidentifikasi, menganalisa, dan merencanakan suatu risiko merupakan
bagian penting dalam perencanaan suatu proyek. Namun manajemen risiko
tidaklah berhenti sampai di sini saja. Praktek, pengalaman, dan terjadinya kerugian
akan membutuhkan suatu perubahan dalam rencana dan keputusan mengenai
penanganan suatu risiko. Sangatlah penting untuk selalu memonitor proses dari
awal mulai dari identifikasi risiko dan pengukuran risiko apakah keefektifan respon
yang telah dipilih dan untuk mengidentifikasi adanya risiko yang baru maupun
berubah. Sehingga, ketika suatu risiko terjadi maka respon yang dipilih akan
sesuai dan diimplementasikan secara efektif.

6.2. COSO ERM: MANAJEMEN RISIKO PERUSAHAAN

COSO ERM: Risiko Manajemen Perusahaan adalah suatu kerangka kerja untuk
membantu perusahaan dalam menilai konsisten definisi risiko mereka. Ini juga
merupakan alat yang penting untuk memahami dan meningkatkan SOx kontrol
internal. COSO ERM diluncurkan dengan cara yang mirip dengan pengembangan
kerangka pengendalian dari internal COSO. Sama seperti kerangka kerja kontrol
internal COSO yang dimulai dengan mengusulkan definisi yang konsisten dari
subjeknya, dokumen kerangka kerja COSO ERM dimulai dengan mendefinisikan
manajemen risiko perusahaan: “Manajemen risiko perusahaan adalah suatu proses,
yang dilakukan oleh dewan direksi, manajemen, dan personel entitas lainnya, yang
diterapkan dalam pengaturan strategi dan di seluruh perusahaan, dirancang untuk
mengidentifikasi peristiwa potensial yang dapat memengaruhi entitas, dan mengelola
risiko agar sesuai dengan selera risikonya. , untuk memberikan jaminan yang wajar
Satria Putra
A031181361
tentang pencapaian tujuan entitas.” Para profesional harus mempertimbangkan poin-
poin utama yang mendukung definisi kerangka kerja COSO ERM ini termasuk:
• ERMadalah sebuah proses
• Proses ERM diimplementasikan oleh orang-orang di perusahaan.
• Konsep Selera Risiko Harus di Pertimbangkan
• ERM memberikan jaminan yang masuk akal tetapi tidak positif pada pencapaian
tujuan-ments.
• ERM dirancang untuk membantu mencapai tujuan
Sasaran dan sasaran yang terkait dengan ERM memiliki nilai yang kecil kecuali
jika mereka dapat diatur dan dimodelkan bersama sedemikian rupa sehingga
manajemen dapat melihat berbagai aspek tugas dan memahami — setidaknya
semacam — bagaimana mereka berinteraksi dan berhubungan secara multidimensi.
Ini adalah kekuatan nyata dari model kerangka kerja pengendalian internal COSO. Ini
menjelaskan, misalnya, bagaimana kepatuhan perusahaan terhadap peraturan
berdampak pada semua tingkat pengendalian internal, dari proses pemantauan
hingga lingkungan pengendalian, dan bagaimana kepatuhan itu penting bagi semua
entitas atau unit perusahaan. Kerangka COSO ERM menyediakan beberapa definisi
umum dari manajemen risiko dan dapat membantu mencapai tujuan pengendalian
internal SOx serta proses manajemen risiko yang lebih baik di seluruh perusahaan.

6.3. ELEMEN KUNCI COSO ERM

a. Lingkungan Internal (Internal Environment) Kerangka kerja COSO
pengendalian internal dapat menjadi gambaran dan defisikan dari pengendalian
internal serta dapat menjadi basis penetapan SOx Section 404.
Dalam rubik tersebut memiliki komponen:
- Empat kolom vertikal mewakili tujuan strategi dari risiko perusahaan.
- Delapan baris horizontal merupakan komponen risiko.
- Tingkatan yang berbeda-beda untuk menggambarkan beberapa perusahaan.
- Sumber daya manusia standar.
b. Pengaturan Tujuan (Objective Setting) Di bawah lingkungan internal dalam
kerangka kerja COSO ERM, terdapat tujuan pengaturan yang menguraikan kondisi
penting untuk membantu manajemen menciptakan proses efektif. Elemen ini
mengatakan bahwa, di samping lingkungan internal yang efektif, perusahaan harus
menetapkan serangkaian tujuan strategis yang selaras dengan misi dan meliputi
operasi, pelaporan, dan kegiatan kepatuhan COSO ERP sumber daya manusia
standar,
Satria Putra
A031181361
c. Identifikasi Acara (Event Identification) Peristiwa yang terjadi di perusahaan
atau kejadian eksternal yang memengaruhi penerapan ERM dan pencapaian
tujuannya. Banyak perusahaan yang saat ini memiliki alat pemantauan di tempat
untuk memantau biaya, anggaran, jaminan kualitas, kepatuhan, dan sejenisnya.
Proses pemantauan harus mencakup:
- Eksternal ekonomi kejadian.
- Lingkungan kejadian alam.
- Kejadian politik.
- Faktor-faktor sosial.
- Kejadian infrastruktur internal.
- Proses internal-internal terkait.
- Eksternal dan internal teknologi kejadian.
Suatu perusahaan perlu mendefinisikan dengan jelas dan signifikan risiko dan
kemudian memantau mereka untuk mengambil tindakan yang tepat diperlukan.
d. Penilaian Risiko (Risk Assessment) Komponen penilaian risiko adalah inti
kerangka itu. Penilaian risiko memungkinkan suatu perusahaan untuk
mempertimbangkan apa efek peristiwa risiko potensial terkait yang mungkin
memiliki pencapaian suatu perusahaan dari tujuannya. Risiko ini harus dinilai dari
dua perspektif yang terjadi dan dampak potensial.
e. Respon Risiko (Risk Response) Setelah dinilai dan diidentifikasi risiko lebih
signifikan, COSO ERM menyerukan untuk diukur tanggap terhadap berbagai risiko
yang teridentifikasi. Tanggapan risiko ini dapat ditangani dalam salah satu dari
empat cara dasar ini:
- Penghindaran.
- Pengurangan.
- Berbagi.
- Penerimaan.
f. Aktivitas Pengendalian (Control Activities) Kebijakan dan prosedur yang
diperlukan untuk memastikan tindakan pada respon risiko teridentifikasi. COSO
ERM menyerukan untuk pendekatan mengidentifikasi, mendokumentasikan,
pengujian, dan kemudian memvalidasi kontrol proteksi risiko ini. Setelah melalui
identifikasi kejadian risiko ERM COSO, proses penilaian, dan respon, risiko
pemantauan memerlukan empat langkah berikut:
- Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan
membangun prosedur kontrol untuk memantau atau memperbaikinya.
- Buat prosedur jenis pengujian free drill untuk menentukan apakah kontrol
terkait prosedur risiko bekerja secara efektif.
Satria Putra
A031181361
- Lakukan tes dari proses pemantauan risiko untuk menentukan apakah
bekerja secara efektif dan seperti yang diharapkan.
- Membuat penyesuaian atau perbaikan yang diperlukan untuk meningkatkan
risiko pemantauan proses.
g. Informasi dan Komunikasi (Information and Communication) Informasi dan
komunikasi satu set terpisah terkait risiko yang memproses dari alat proses yang
menghubungkan komponen COSO ERM lainnya. Informasi mengalir di seluruh
komponen COSO ERM. Misalnya, komponen respon risiko menerima sisa dan
masukan risiko yang melekat dari penilaian risiko serta dukungan toleransi risiko
dari tujuan pengaturan komponen. Tanggapan risiko ERM kemudian memberikan
respon risiko dan data portofolio risiko untuk mengontrol kegiatan serta umpan
balik untuk penilaian risiko. Sedangkan komponen pemantauan tidak memiliki
informasi ataupun langsung koneksi namun memiliki tanggung jawab keseluruhan
untuk meninjau semua fungsi ini.
h. Pemantauan (Monitoring) Ditempatkan di dasar komponen kerangka model
ERM, pemantauan ERM diperlukan untuk menentukan bahwa semua komponen
ERM yang terpasang bekerja secara efektif. Dalam rangka membangun sebuah
kerangka ERM yang efektif, pemantauan harus mencakup tinjauan berkelanjutan
dari proses ERM secara keseluruhan mulai dari tujuan teridentifikasi untuk
kemajuan kegiatan pengendalian ERM yang sedang berlangsung. Dokumen
kerangka aplikasi COSO ERM menunjukkan bahwa pemantauan bisa termasuk
jenis kegiatan:
- Pelaksanaan mekanisme pelaporan manajemen yang sedang berlangsung
seperti posisi utang tunai, penjualan unit, dan data keuangan utama. Suatu
perusahaan tidak harus menunggu sampai akhir bulan fiskal untuk jenis
laporan status, dan cepat respon laporan kilat harus dimulai.
- Proses peringatan pelaporan terkait risiko periodik harus memantau aspek-
aspek kunci dari kriteria risiko yang diterapkan, termasuk tingkat kesalahan
diterima atau barang yang diadakan dalam ketegangan. Pelaporan tersebut
harus menekankan tren statistik dan perbandingan baik dengan periode
sebelumnya dan dengan sektor industri lainnya.

6.4. DIMENSI LAIN COSO ERM: TUJUAN RISIKO PERUSAHAAN

a. Tujuan Manajemen Risiko Operasi
Mengikuti kerangka ERM tiga dimensi, tujuan risiko tingkat operasi
memerlukan identifikasi risiko untuk setiap unit perusahaan. Identifikasi
sasaran risiko tingkat operasi ini sering kali memerlukan pengumpulan dan analisis
Satria Putra
A031181361
informasi terperinci, terutama untuk perusahaan yang lebih besar yang mencakup
berbagai wilayah geografis, lini produk, atau proses bisnis. Tinjauan audit internal
atau survei terhadap orang-orang yang secara langsung terkena dampak risiko ini
dapat membantu mengumpulkan informasi latar belakang yang lebih rinci tentang
potensi risiko operasi. Sebuah survei terhadap anggota langsung di lantai
perusahaan, bersamaan dengan pertanyaan tindak lanjut, akan memungkinkan
pengembangan serangkaian risiko operasi katalog yang luas dan konsisten.
Dengan adanya portofolio risiko ERM, perusahaan harus menghindari
menggulung hal-hal ke terlalu banyak tingkat ringkasan, kehilangan atau
pembulatan risiko tingkat bawah yang penting. Apa pun posisi mereka di
perusahaan atau lokasi geografis mereka, manajer di semua tingkatan harus
menyadari bahwa mereka bertanggung jawab untuk menerima dan mengella risiko
di dalam unit operasional mereka sendiri. Pentingnya COSO ERM dan manajemen
risiko operasi harus dikomunikasikan ke semua tingkatan perusahaan.
b. Pelaporan Tujuan Manajemen Risiko
Sasaran risiko ini mencakup keandalan laporan perusahaan atas data
keuangan dan non keuangan internal dan eksternal. Pelaporan yang akurat sangat
penting untuk kesuksesan perusahaan dalam banyak dimensi. Laporan berita
sering merinci penemuan laporan keuangan perusahaan yang tidak akurat dan
akibatnya pasar saham bagi entitas yang melanggar. Pelaporan yang tidak akurat
yang sama dapat menyebabkan masalah di banyak bidang. Tidak perduli di
industri apa, perusahaan menghadapi risiko besar dari pelaporan yang tidak akurat
di unit atau area mana pun. Unit operasi harus memastikan bahwa hasil yang
dilaporkan benar sebelum diteruskan ke tingkat berikutnya dalam organisasi, dan
angka gabungan harus akurat, baik dalam laporan keuangan, pengembalian pajak,
atau banyak bidang lainnya.
c. Tujuan Risiko Kepatuhan Hukum dan Peraturan
COSO ERM merekomendasikan bahwa risiko terkait kepatuhan
dipertimbangkan untuk setiap komponen kerangka risiko, baik dalam konteks
lingkungan internal, pengaturan tujuan, atau pemantauan risiko, serta di seluruh
perusahaan. Materi panduan ERM tidak menawarkan banyak informasi tambahan
tentang tujuan kepatuhan ini selain menyatakan bahwa tujuan ini mengacu pada
kesesuaian dengan hukum dan peraturan yang berlaku. Ini adalah elemen penting
dari kerangka manajemen risiko yang perlu dikomunikasikan dan dipahami.

6.5. RISIKO TINGKAT ENTITAS

Satria Putra
A031181361
Dimensi ketiga dari kerangka COSO ERM meminta risiko untuk dipertimbangkan
pada tingkat organisasi atau unit entitas. Kerangka COSO ERM menunjukkan empat
divis dalam dimensi kerangka kerja ini: tingkat entitas, divisi, unit bisnis, dan risiko
anak perusahaan. Risiko COSO ERM harus diidentifikasi dan dikelola dalam setiap
unit organisasi yang signifikan, termasuk risiko di seluruh entitas melalui unit bisnis
individu.
Perusahaan dengan empat divisi operasi utama dan dengan beberapa unit
bisnis di bawah masing-masing akan memiliki kerangka ERM yang mencerminkan
semua unit ini. Meskipun risiko ini mungkin penting bagi keseluruhan organisasi, risiko
tersebut harus dipertimbangkan satu per satu ke tingkat serendah yang diperlukan
untuk memungkinkan perusahaan memahami dan mengelola risikonya. COSO ERM
tidak merinci seberapa tipis risiko tingkat unit ini harus diiris, dan kekritisan serta
materialitas unit bisnis individu harus dipertimbangkan.
a. Risiko yang Meliputi Seluruh Organisasi
Mudah bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat
unit sebagai “tidak material”, untuk menggunakan terminologi akuntan publik pra-
SOx, perusahaan harus memikirkan semua risiko sebagai potensi yang signifikan.
Misalnya, pertimbangkan anak perusahaan yang relatif kecil di negara
berkembang yang memproduksi pakaian kasual. Jika ada masalah pekerja anak di
negara tuan rumah, perusahaan mungkin akan menjadi pusat perhatian terkait
operasi anak perusahaan kecil ini. Dalam situasi seperti ini, jurnalis dapat meminta
CEO untuk memberikan komentar secara terbuka tentang kebijakan dan prosedur
di operasi anak perusahaan terebut.
Baik risiko besar maupun yang tampaknya kecil dapat berdampak pada
keseluruhan perusahaan. Relatif mudah untuk mengidentifikasi risiko tingkat tinggi
di seluruh entitas, seperti kepatuhan dengan SOx Section 404, dan untuk
mengidentifikasi serta memantau ini sebagai bagian dari proses COSO ERM,
harus berhati-hati agar risiko potensial yang lebih kecil tidak lolos dari celah.
Karena risiko diidentifikasi melalui penetapan tujuan di seluruh organisasi, risiko
harus dipertimbangkan atas dasar seluruh entitas serta oleh unit operasi individu.
b. Risiko Tingkat Unit Bisnis
Risiko harus dipertimbangkan di setiap unit organisasi yang signifikan.
Bahkan risiko yang terindentifikasi dalam proses kepemilikan minoritas di
perusahaan penjualan luar negeri, misalnya, mungkin merupakan risiko unik untuk
unit tersebut, tetapi kemudian harus digulung ke entitas keseluruhan.
Bergantung pada kompleksitas dan jumlah unit operasi, tanggung jawab
risiko sering kali dapat dimulai sebagai proses push-down di mana manajemen
Satria Putra
A031181361
tingkat perusahaan secara format menguraikan masalah terkait risiko utama dan
meminta manajemen yang bertanggung jawab di setiap divisi utama untuk
mensurvei tujuan risiko melalui unit operasi di dalam divisi itu. Dengan cara ini,
risiko yang signifikan dapat diidenfitikasi di semua tingkat dan kemudian dikelola di
tingkat di mana mereka dapat menerima dukungan lokal yang paling langsung.

6.6. MENYATUKAN SEMUANYA

Dengan fokus COSO ERM yaitu untuk mengenali selera risiko perusahaan dan
kebutuhan untuk menerapkan manajemen risiko dalam konteks pengaturan strategi
secara keseluruhan. COSO ERM memiliki beberapa perbedaan mendasar dari
kebanyakan model risiko yang telah digunakan hingga saat ini. COSO ERM belum
digunakan cukup lama untuk menunjukkan serangkaian perusahaan sukses yang
telah merangkulnya secara publik.
COSO ERM tiba setelah SOx, tetapi merupakan alat penting untuk mengelola
dan memahami pengendalian internal SOx Section 404. Hal ini terutama penting
dengan standar audit AS 5 yang lebih baru yang memberikan lebih banyak
pertimbangan terhadap risiko saat memahami dan mengevaluasi pengendalian
internal. Auditor internal harus menjadikan COSO ERM sebagai persyarat CBOK audit
internal, dan harus melakukan audit internal sesuai dengan proses ERM.

6.7. RISIKO AUDIT DAN PROSES COSO ERM

Audit internal akan menghadapi risiko dan masalah manajemen risiko di banyak
area di alam semesta audit di mana ada tinjauan pelaksanaan, dan auditor internal
yang efektif harus memahami proses manajemen risiko. Auditor harus memiliki tingkat
pengetahuan CBOK tentang proses manajemen risiko dasar untuk dapat mengajukan
pertanyaan yang tepat dan meninjau kecukupan proses tersebut.
Suatu perusahaan dapat meningkatkan keseluruhan prosesnya serta proses
pengendalian SOx melalui implementasi COSO ERM yang efektif dan efisien. Dengan
berfokus pada kerangka COSO ERM serta praktik manajemen risiko umum yang baik,
audit internal dapat membantu perusahaan dengan merencanakan dan melakukan
tinjauan proses manajemen risiko perusahaan. Untuk meninjau praktik COSO ERM
dan prosedur implementasi, auditor internal, baik sebagai peninjau audit internal atas
kontrol atau konsultan untuk manajemen, perlu mengembangkan pemahaman yang
kuat tentang kontrol dan proses COSO ERM. Audit internal harus meninjau proses
ERM di seluruh perusahaan dengan menggunakan beberapa alat berikut:
 Process Flowcharting – dapat berguna untuk menjelaskan bagaimana
manajemen risiko beroperasi di suatu perusahaan.
Satria Putra
A031181361
 Reviews of Risk and Control Materials – proses ERM sering kali menghasilkan
file volume besar materi panduan, prosedur terdokumentasi, format laporan, dan
sejenisnya.
 Benchmarking – perbandingan adalah proses melihat fungsi di lingkungan lain
untuk menilai operasi mereka dan mengembangkan pendekatan yang lebih baik
berdasarkan praktik terbaik orang lain.
 Questionnaires – metode yang baik untuk mengumpulkan informasi tentang
efektivitas ERM dari berbagai orang.

6.8. MANAJEMEN RISIKO DAN COSO ERM DALAM PERSPEKTIF

Butuh waktu bertahun-tahun agar pengendalian internal COSO diakui secara
lebih dari sekedar studi teknis yang menarik. Ini pertama kali dikodifikasi sebagai
standar audit oleh Auditing Standar Board (ASB) di Lembaga Akuntan Publik Amerika
Serikat yang menerima beberapa penyebutan dalam publikasi IIA, tetapi SOx
membutuhkan pengakuan serius untuk pengendalian internal COSO.
Manajemen risiko dan COSO ERM, khususnya, adalah keterampilan
pengetahuan yang harus menjadi bagian dari CBOK setiap auditor internal. Auditor
internal harus menggunakan prinsip-prinsip manajemen risiko ketika memutuskan
area mana yang akan dipilih untuk tinjauan mereka dan kemudian menggunakan
prinsip-prinsip risiko saat menilai bukti audit. Audit internal harus memiliki pemahaman
CBOK tentang COSO ERM baik untuk mengaudit kepatuhan proses ini dan untuk
berkonsultasi dengan manajemen untuk memastikan implementasi yang lebih efektif.
Satria Putra
A031181361
DAFTAR PUSTAKA

Moeller Robbert, (2009). Brink’s Modern Internal Auditing: A Commond Body of Knowledge,
Seven Edition Accounting Information Systems Thirteenth Edition. New Jersey: John Wiley
& Sons, Inc.