Rangkuman Materi Risiko

Sawyer’s
FILOSOFI COSO
Penentuan risiko (Risk Assessment) merupakan hal penting bagi manajemen dan auditor
internal. Auditor internal harus memiliki pemahaman mengenai proses penentuan risiko dan
sarana yang digunakan untuk melakukannya. Auditor internal harus memasukkan hasil
penentuan risiko ke dalam program audit untuk memastikan bahwa kontrol-kontrol yang
dibutuhkan memang diterapkan untuk mengurangi risiko. (111)
Studi yang dilakukan COSO, Kontrol internal – Kerangka kerja terintegritas. (111)
1. Persyaratan awal yang ditentukan untuk penentuan risiko adalah adanya penetapan
tujuan, yang dihubungkan pada tingkat-tingkat yang berbeda dan konsisten didalam
organisasi.
2. Penentuan risiko adalah identifikasi dan analisis risiko-risiko yang relevan untuk
mencapai tujuan (entitas), yang membentuk suatu dasar untuk menentukan cara
pengelolaan risiko.
3. Cara pengelolaan risiko berhubungan dengan mekanisme untuk mengidentifikasi dan
menangani risiko-risiko khusus yang berhubungan dengan perubahan.
Tanggung jawab manajemen dalam menetapkan tujuan dan memastikan tujuan tercapai tidak
dapat dilakukan dengan mudah karena terdapat banyak hambatan yang akan muncul, selain
itu sejumlah risiko tidak statis dengan kata lain selalu ada risiko-risiko baru yang muncul.
Oleh karena itu, penentuan risiko merupakan fungsi yang berkelanjutan dalam proses
manajemen yang harus dilakukan secara terorganisasi dan berurutan. Jadi, proses penentuan
risiko juga merupakan hal penting bagi audit. (112)
MEMPERLUAS AUDIT BERBASIS RISIKO
Konsep audit berbasis risiko (Risk based audit) secara tradisional bermula dari observasi
dan analisis kontrol, kemudian berlanjut ke penentuan risiko yang berkaitan dengan operasi,
dan akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan organisasi. (113)
McNamee dan Selim merekomendasikan sebuah pendekatan yang terlebih dahulu
mempertimbangkan tujuan organisasi yang ditetapkan dan kemudian menentukan risiko
melalui identifikasi, pengukuran, dan penempatan prioritas dan akhirnya melakukan
manajemen risiko dengan cara : (114)
1. Mengendalikan risiko. Kontrol aktivitas organisasional untuk mengurangi elemen-
elemen risiko baik dari segi besaran maupun jumlah
2. Menerima risiko. Penerimaan risiko dengan memperbolehkan risiko kehati-hatian
yang diperlukan untuk kemajuan dan keuntungan
3. Menghindari risiko. Penghindaran risiko yang melibatkan perancangan ulang proses
bisnis untuk mengubah pola risiko
4. Mendiversifikasi risiko. Pendiversifikasian risiko dengan menyebarkan total risiko ke
operasi-operasi yang terpisah. Misalnya: menggunakan berbagai pemasok untuk
bahan baku yang penting.
 5. Membagi dan mentransfer bagian-bagian risiko ke unit-unit lainnya. Pembagian dan
pemindahan risiko dengan melibatkan perjanjian kontraktual dengan pihak ketiga
untuk menerima sebagian atau semua risiko. Contohnya adalah asuransi.
Practice advisory 2100-4, “Peran Audit Internal dalam Organisasi yang tidak memiliki proses
manajemen risiko”. Advisory ini merekomendasikan auditor internal untuk: (114-115)
1. Membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan
manajemen risiko dan perhatian direksi menentukan penyelesaiannya menggunakan
operasi dan kontrol manajemen risiko
2. Mengidentifikasi kesadaran manajemen dan dewan komisaris akan risiko dan
menentukan penyelesaiannya melalui proses manajemen risiko
3. Memberitahu manajemen keuangan yang ada pada proses manajemen risiko dan
memberikan saran untuk melaksanakan proses seperti itu
4. Mendapatkan pemahaman atas ekspektasi manajemen dan dewan komisaris mengenai
bantuan audit internal yang dapat diberikan dalam proses manajemen risiko
5. Mendapatkan konsep dari manajemen mengenai peran yang harus dimainkan audit
internal dalam proses tersebut
6. Memainkan peran yang proaktif, jika dibutuhkan, dalam pengembangan proses
manajemen risiko, dengan tetap mengingat eksposur akan terjadinya penurunan
independensi
7. Menjauhkan diri dari berperan sebagai pemilik risiko
Jenis-jenis risiko: (118-120)
1. Risiko bawaan (Inherent risk) adalah kerentanan suatu asersi atas terjadinya salah saji
material, dengan megasumsikan tidak terdapat kebijakan atau prosedur struktur
kontrol internal terkait yang ditetapkan. Risiko bawaan adalah risiko yang bersifat
intrinsik terhadap usaha entitas.
2. Risiko Kontrol (Control Risk) adalah risiko bahwa salah saji material yang bisa terjadi
pada suatu asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur,
kebijakan, atau prosedur kontrol internal suatu entitas. Beberapa risiko kontrol akan
tetap ada karena adanya keterbatasan yang melekat pada struktur kontrol internal.
3. Risiko Deteksi (Detection Risk) adalah risiko bahwa auditor tidak dapat mendeteksi
salah saji material yang terdapat pada suatu asersi.
MEMBUAT PERENCANAAN PENENTUAN RISIKO
Pembahasan penentuan risiko COSO menyatakan bahwa tujuan organisasi, sistem kontrol,
dan penentuan risiko tidak dapat dipisahkan satu sama lain. Tidak mungkin untuk
menentukan risiko seseorang tidak mengetahui bahayanya. Begitu risiko telah diidentifikasi,
langkah logis selanjutnya adalah membuat sarana untuk mengendalikan risiko tersebut.(130)
Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan direksi entitas,
manajemen, dan karyawan lainnya, yang dirancang untuk memberikan keyakinan yang wajar
mengenai pencapaian tujuan pada kategori-kategori berikut ini: (131)
1. Tujuan Operasional – hal ini berkaitan dengan efektivitas dan efisiensi operasional
entitas, termasuk kinerja dan tujuan profitabilitas dan pengamanan sumber daya
 terhadap kerugian. Tujuan-tujuan tersebut bervariasi berdasarkan pilihan manajemen
mengenai struktur dan kinerja.
2. Tujuan pelaporan keuangan – hal ini berkaitan dengan penyajian laporan keuangan
yang andal, termasuk pencegahan pelaporan keuangan publik yang mengandung
kecurangan. Tujuan-tujuan tersebut terutama diarahkan oleh persyaratan-persyaratan
eksternal.
3. Tujuan-tujuan ketaatan – tujuan-tujuan ini berkaitan dengan ketaatan terhadap hukum
dan peraturan yang berlaku bagi entitas. Tujuan-tujuan tersebut tergantung pada
faktor-faktor eksternal, seperti peraturan lingkungan, dan cenderung serupa untuk
semua entitas dalam beberapa kasus dan dalam beberapa industri.
MANAJEMEN RISIKO
Auditor membantu manajemen untuk mengambil risiko-risiko yang menguntungkan dan
berhati-hati dengan cara-cara yang layak dan efisien. Auditor mengevaluasi langkah-langkah
yang ditempuh manajemen untuk mencapai manfaat terbesar dari organisasi. Jadi, audit
menjadi suatu alat evaluasi kontrol yang positif yang membantu mengidentifikasi risiko-
risiko yang harus diambil dan kontrol terkait untuk meningkatkan operasi dari posisi
pendapatan dan laba. (134)
Practice Advisory 2110-1, “Penilaian Kecukupan Proses Manajemen Risiko” Tujuan-tujuan
ini adalah: (135)
1. Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan diprioritaskan
2. Manajemen dan dewan komisaris telah menentukan tingkat risiko yang dapat diterima
oleh organisasi, termasuk penerimaan risiko yang dirancang untuk mencapai rencana
strategis organisasi
3. Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk mengurangi,
atau justru mengelola risiko pada tingkat yang ditentukan dapat diterima oleh
manajemen dan dewan komisaris
4. Aktivitas-aktivitas pengawasan yang berkelanjutan dilaksanakan untuk secara
periodik menilai ulang risiko dan efektivitas kontrol untuk mengelola risiko
5. Dewan komisaris dan manajemen menerima laporan periodik mengenai hasil proses
manajemen risiko. Proses tata kelola organisasi harus memberikan komunikasi
periodik tentang risiko, strategi risiko, dan kontrol untuk pihak-pihak yang
berkepentingan.
Metode-metode Analitis: (135)
1. Pembuatan bagan alir
2. Kuisioner kontrol internal
3. Analisis matriks
4. Metodologi ilustratif COSO
5. Metode Courtney
Kontrol internal terdiri atas lima komponen yang saling berkaitan. Komponen-komponen ini
berasal dari cara manajemen menjalankan bisnis, dan diintegrasikan dengan proses
manajemen. Komponen-komponen terssebut adalah: (144)
 1. Lingkungan Kontrol – inti suatu bisnis adalah orang-orangnya -- karakteristiknya
masing-masing, termasuk integritas, nilai-nilai etika, dan kompetensi-dan lingkungan
tempat mereka bekerja. Hal-hal tersebut merupakan mesin penggerak perusahaan dan
merupakan fondasi segala sesuatunya ditempatkan.
2. Penilaian Risiko – perusahaan harus mewaspadai dan mengelola risiko yang
dihadapinya. Perusahaan harus menetapkan tujuan, terintegrasi dengan penjualan,
produksi, pemasaran, keuangan dan aktivitas-aktivitas lainnya sehingga organisasi
beroperasi secara harmonis.
3. Aktivitas-aktivitas kontrol – kebijakan dan prosedur kontrol harus ditetapkan dan
dilaksanakan untuk membantu memastikan bahwa tindakan-tindakan yang
diidentifikasi oleh manajemen diperlukan untuk menghadapi risiko terhadap
pencapaian tujuan entitas secara efektif dilakukan.
4. Informasi dan Komunikasi – disekitar aktivitas-aktivitas ini terdapat sistem informasi
dan komunikasi. Hal ini memungkinkan karyawan perusahaan mendapatkan dan
menukar informasi yang diperlukan untuk menghadapi risiko terhadap pencapaian
tujuan entitas secara efektif dilakukan
5. Pengawasan – keseluruhan proses harus dimonitor, dan dibuat perubahan bila
diperlukan. Dengan cara ini, sistem dapat bereaksi secara dinamis, berubah seiring
dengan perubahan kondisi.

Romney – SIA
KERANGKA MANAJEMEN RISIKO PERUSAHAAN COSO
Kerangka ERM adalah proses yang digunakan oleh dewan direksi dan manajemen untuk
mengatur strategi, mengidentifikasi kejadian yang mungkin memengaruhi entitas, menilai
dan mengelola risiko, serta menyediakan jaminan memadai bahwa perusahaan mencapai
tujuan dan sasarannya. (231)
KERANGKA ERM (MANAJEMEN RISIKO PERUSAHAAN) VS KERANGKA IC
(PENGENDALIAN INTERNAL) COSO
Kerangka ERM lebih komprehensif menggunakan pendekatan berbasis risiko daripada
berbasis pengendalian. ERM menambahkan tiga elemen tambahan ke kerangka IC COSO:
penetapan tujuan, pengidentifikasian kejadian yang mungkin memengaruhi perusahaan, dan
pengembangan sebuah respons untuk risiko yang dinilai. Hasilnya, pengendalian bersifat
fleksibel dan relevan karena mereka ditautkan dengan tujuan organisasi terkini. Model ERM
juga mengakui bahwa risiko, selain dikendalikan, dapat pula diterima, dihindari, dibuat
berjenis-jenis, dibagi atau ditransfer (231)
KOMPONEN COSO
1. Internal Environment (Lingkungan internal). Lingkungan internal adalah budaya
perusahaan yang merupakan fondasi dari seluruh elemen ERM lainnya karena ini
memengaruhi cara organisasi menetapkan strategi dan tujuannya, membuat struktur
aktivitas bisnis, dan mengidentifikasi, menilai serta merespon risiko. (231)
Sebuah lingkungan internal mencakup hal-hal sebagai berikut: (232-252)
a. Filosofi Manajemen, gaya pengoperasian dan selera risiko
Dapat dijawab dengan pertanyaan ini:
 -apakah manajemen mengambil risiko bisnis yang tidak semestinya untuk
mencapai tujuan atau apakah manajemen menilai risiko dan manfaat potensial
sebelum bertindak?
-Apakah manajemen memanipulasi ukuran-ukuran kinerja, seperti pendapatan
bersih, sehingga mereka terlihat baik?
-Apakah manajemen menekan para pegawai untuk mencapai hasil terlepas dari
metodenya, atau apakah manajemen menuntut perilaku yang etis? Dengan kata
lain, apakah pada akhirnya hal tersebut membuahkan hasil?
b. Komitmen terhadap integritas, nilai-nilai etis, dan kompetensi
c. Pengawasan pengendalian internal oleh dewan direksi
Terdapat komite audit yang merupakan anggota dewan direksi yang berasal dari
luar dan independen. Tanggung jawab komite audit adalah untuk pelaporan
keuangan, kepatuhan terhadap peraturan, pengendalian internal, serta perekrutan
dan pengawasan auditor internal dan eksternal)
d. Struktur organisasi
e. Metode penetapan wewenang dan tanggung jawab
f. Standar Sumber Daya Manusia yang menarik, mengembangkan, dan
mempertahankan individu yang kompeten
g. Pengaruh eksternal
2. Penetapan Tujuan.
Penetapan tujuan adalah komponen ERM yang kedua. Manajemen menentukan hal
yang ingin dicapai oleh perusahaan, sering disebut sebagai visi atau misi perusahaan.
a. Tujuan strategis
b. Tujuan operasi
c. Tujuan pelaporan
d. Tujuan kepatuhan
3. Identifikasi kejadian.
Committee of Sponsoring Organizations (COSO) mendefinisikan kejadian (event)
sebagai “sebuah insiden atau peristiwa yang berasal dari sumber-sumber internal atau
eksternal yang memengaruhi implementasi strategi atau pencapaian tujuan. Kejadian
mungkin memiliki dampak positif atau negatif atau keduanya.”
4. Penilaian Risiko dan respon risiko
a. Inherent Risk (Risiko Bawaan). Inherent Risk adalah kelemahan dari sebuah
penetapan akun atau transaksi pada masalah pengendalian yang signifikan tanpa
adanya pengendalian internal.
b. Residual Risk (Risiko Residual). Residual Risk adalah risiko yang tersisa
setelah manajemen mengimplementasikan pengendalian internal atau beberapa
respons lainnya terhadap risiko.
RESPONS RISIKO (239)
a. Mengurangi. Mengurangi kemungkinan dan dampak risiko dengan
mengimplementasikan sistem pengendalian internal yang efektif.
b. Menerima. Menerima kemungkinan dan dampak risiko.
c. Membagikan. Membagikan risiko atau mentransfernya kepada orang lain dengan
asuransi pembelian, mengalihdayakan sebuah aktivitas atau masuk ke dalam
transaksi lindung nilai (hedging).
 d. Menghindari. Menghindari risiko dengan tidak melakukan aktivitas yang
menciptakan risiko. Hal ini bisa jadi mensyaratkan perusahaan untuk menjual
sebuah divisi, keluar dari lini produk, atau tidak memperluas perusahaan seperti
yang diharapkan.

5. Aktivitas pengendalian adalah kebijakan, prosedur, dan aturan yang memberikan

jaminan memadai bahwa tujuan pengendalian telah tercapai dan respon risiko
dilakukan.
6. Informasi dan Komunikasi
7. Pengawasan. Sistem pengendalian internal yang dipilih atau dikembangkan harus
diawasi secara berkelanjutan, dan dimodifikasi sesuai kebutuhan.

Moeller – COSO direvisi. Masing-masing level aktivitas

kontrol internal ini atau komponen utama
COSO INTERNAL CONTROL akan diperkenalkan dan dibahas dalam bab-
bab berikut. Ditunjukkan pada sisi yang
menghadap ke kanan model, struktur
organisasi perusahaan adalah dimensi
penting ketiga dari pengendalian internal. Ini
mewakili komponen terkait kontrol internal
dari struktur organisasi secara keseluruhan,
termasuk keseluruhan entitas itu sendiri,
divisi, anak perusahaan, unit operasi, atau
fungsi yang mencakup proses bisnis utama
seperti penjualan, pembelian, produksi. dan
pemasaran. (36)
Kontrol internal adalah suatu proses yang
dikerjakan oleh direktur manajemen. dan
personel lain, yang dirancang untuk COSO ERM (ENTERPRISE RISK
memberikan jaminan yang wajar berkenaan MANAGEMENT)
dengan pencapaian tujuan dalam kategori
berikut Efektivitas dan efisiensi operasi
Keandalan pelaporan keuangan Kepatuhan
dengan undang-undang dan peraturan yang
berlaku. (13)
Tiga kategori tujuan pengendalian internal-
operasi, pelaporan. dan sisi kepatuhan sisi
depan dari diagram kubus COSO ini
mendefinisikan lima komponen utama atau
tingkat kontrol internal: diwakili oleh kolom
yang ditentukan di bagian atas dalam
diagram ini
Ini adalah area di mana terdapat perubahan
paling besar dalam kerangka kerja
pengendalian internal COSO yang baru
Kerangka kerja ERM COSO - pada
pengamatan pertama - terlihat sangat mirip
dengan kontrol internal COSO Kerangka
kerja ERM COSO ditunjukkan dalam Eshibit
15.2 sebagai kubus tiga dimensi dengan
komponen: (222-223)
-Empat kolom vertikal yang mewakili tujuan
strategis risiko perusahaan
-Delapan baris horizontal atau komponen
risiko
-Beberapa tingkat perusahaan dari tingkat
entitas "kantor pusat" hingga anak
perusahaan. Tergantung pada perusahaan,
mungkin ada banyak "irisan" dari model di
sini.
Kontrol internal benar-benar merupakan
bagian terpadu dari manajemen risiko
perusahaan. sementara ERM adalah bagian
dari keseluruhan proses tata kelola (240)
COSO IC PRINCIPLES (38)
Lingkungan Pengendalian internal
Lingkungan internal yang lemah atau tidak
efisien menghasilkan kerusakan di dalam
manajemen dan pengendalian risiko.
1. Komitmen terhadap integritas dan nilai-
nilai etika
2. pengawasan dewan direktur independen
3. struktur, jalur pelaporan, wewenang dan
tanggung jawab.
4. menarik, mengembangkan, dan
mempertahankan orang yang kompeten
5. orang yang bertanggung jawab atas
kontrol internal
Penilaian Risiko
6. tujuan yang jelas ditentukan
7. risiko diidentifikasi untuk pencapaian
tujuan
8. potensi penipuan dipertimbangkan
9. perubahan signifikan diidentifikasi dan
dinilai
kegiatan pengendalian internal
10. kontrol diaktifkan dipilih dan
dikembangkan
11. Kontrol TI umum dipilih dan
dikembangkan
12. kontrol dikembangkan melalui
kebijakan dan prosedur
Informasi dan Komunikasi
13. informasi kualitas yang diperoleh,
dihasilkan, dan digunakan
14. informasi kontrol internal yang
dikomunikasikan secara internal
15. informasi internal dikomunikasikan
secara eksternal
pengawasan pengendalian internal
16. evaluasi yang sedang berlangsung dan /
atau terpisah dilakukan
17. defisiensi kontrol internal dievaluasi
dan dikomunikasikan
 COSO ERM PRINCIPLES
Lingkungan internal
1. Filosofi Manajemen
2. Selera Risiko
3. Sikap Dewan Direksi
4. Nilai Integritas dan Etika
5. Pernyataan misi perusahaan yang kuat
dan kode etik tertulis
6. Komitmen Terhadap Kompetensi
7. Struktur Organisasi Perusahaan
8. Penetapan wewenang dan tanggung
jawab
9. Standar Sumber Daya Manusia
Penetapan Tujuan
Tujuan strategis yaitu operasi, pelaporan, dan
kegiatan kepatuhan seharusnya selaras
dengan misi atau visi perusahaan.
Identifikasi kejadian
10. peristiwa ekonomi eksternal
11. Peristiwa alam
12. Peristiwa politik
13. Faktor Sosial
14. Kegiatan infrastruktur internal
Penilaian Risiko
Respon Risiko
Kegiatan Kontrol
Informasi dan Komunikasi
Pengawasan
 BAB RISK ASSESSMENT
Risiko sebagai kemungkinan bahwa suatu peristiwa dapat berdampak buruk terhadap
pencapaian tujuan perusahaan. (59)
Risk Assessment adalah proses interanktif untuk mengidentifikasi dan menilai risiko-risiko
yang dapat membatasi pencapaian tujuan perusahaan. (59)
RISK ASSESSMENT COMPONENT PRINCIPLES
Manajemen juga harus mempertimbangkan kesesuaian tujuan untuk entitas. Selain itu,
penilaian risiko mengharuskan manajemen untuk mempertimbangkan dampak dari
kemungkinan perubahan di lingkungan eksternal dan dalam model bisnisnya sendiri yang
dapat membuat kontrol internal tidak efektif. (60)
RISK IDENTIFICATIO AND ANALYSIS
Risk assessment harus mempertimbangkan faktor yang mempengaruhi tingkat keparahan,
kecepatan, kegigihan risiko (persistence), kemungkinan (likelihood) hilangnya aset, dampak
ke operasional, pelaporan dan kepatuhan.(63)
Setelah perusahaan melakukan identifikasi risiko pendahuluan ini, perusahaan harus
mempertimbangkan semua interaksi terkait risiko yang signifikan – termasuk barang, jasa
dan informasi perusahaan dan antara perusahaan dan pihak eksternal terkait. Mereka adalah
pemasok, investor, kreditor, pemegang saham, dan pemangku kepentingan lainnya. Serta
pelanggan, perantara dan pesaing. Dalam perusahaan harus mempertimbangkan isu-isu
eksternal seperti undang-undang dan peraturan baru mempertimbangkan semua interaksi
yang signifikan terkait risiko melekat dari eksternal dapat mencakup potensi dan pengalaman,
masalah lingkungan dan peristiwa alam yang potensial diantara banyak lainnya. (63)
Jenis Risiko Bisnis Perusahaan
Setelah risiko diidentifikasi pada tingkat entitas dan tingkat transaksi, analisis risiko perlu
dilakukan. Metodologi ini dapat bervariasi, terutama karena banyak risiko yang sulit diukur.
Namun, proses ini termasuk menilai kemungkinan risiko yang terjadi dan dampaknya. Selain
itu, proses tersebut dapat mempertimbangkan kriteria lain sejauh mana manajemen
menganggap perlu. Sementara bahan deskriptif pengendalian internal COSO tidak mencakup
panduan formal, manajemen harus mengembangkan proses penilaian risiko formal atau
bahkan informal yang dapat digunakan secara konsisten. (65)
“Kemungkinan” menunjukkan kemungkinan-seperti tinggi sedang, atau rendah-bahwa risiko
bahkan akan terjadi dan “Dampak” mewakili efeknya. Meskipun kedua istilah ini biasa
digunakan, istilah lain seperti keparahan, probabilitas atau keseriusan juga sesuai. Istilah lain
kecepatan risiko, mengacu pada kecepatan perusahaan diharapkan mengalami dampak risiko.
(65)
Inherent Risk dan Residual Risk adalah dua ketentuan penting dalam analisis risiko COSO:
1. Inherent Risk adalah risiko yang tidak mungkin untuk dikelola atau dipindahkan
2. Residual Risk adalah risiko yang tersisa setelah respon risiko manajemen
dikembangkan. (66)
RISK RESPONSE STRATEGIES
1. Avoidance (menghindari)
2. Reduction (Mengurangi)
3. Sharing (Berbagi)
4. Acceptance (Menerima)
 BAB COSO ERM
Pengendalian internal dan manajemen risiko perusahaan masing-masing mengambil
perspektif yang berbeda untuk memahami dan mengevaluasi kegiatan dalam suatu
perusahaan. Pengendalian internal COSO cenderung berfokus pada kegiatan sehari-hari suatu
perusahaan, manajemen risiko perusahaan berfokus pada kegiatan yang dapat dan tidak dapat
dilakukan oleh perusahaan dan manajernya.. (217)
Suatu perusahaan harus membuat peringkat risiko operasional dan bisnisnya yang
teridentifikasi berdasarkan signifikansi dan kemungkinan terjadinya. Memperkirakan
kemungkinan probabilitas untuk masing-masing risiko dapat diurutkan berdasarkan
signifikansi potensial mereka dan proses semacam itu adalah mekanisme yang baik untuk
menarik perhatian manajemen senior. (218)
John Flahert, ketua COSO yang pertama dan beberapa tahun lalu. “Meskipun banyak orang
berbicara tentang risiko, tidak ada definisi menejemen risiko yang diterima secara umum dan
tidak ada kerangka kerja komprehensif yang menguraikan bagaimana proses seharusnya
bekerja, membuat komunikasi risiko di antara anggota dewan dan manajemen menjadi sulit
dan membuat frustasi. (219)
COSO ERM adalah kerangka kerja yang akan membantu perusahaan memiliki definisi yang
konsisten tentang apa yang dimaksud dengan risiko dan untuk mempertimbangkan risiko-
risiko di seluruh perusahaan secara konsisten. COSO mengeluarkan kerangka kerja ERM
dengan cara yang mirip dengan pengembangan kerangka kerja pengendalian internal COSO.
(220)
Kerangka kerja ERM dimulai dengan menggambarkan manajemen risiko perusahaan sbb:
“Manajemen risiko perusahaan adalah suatu proses, yang dipengaruhi oleh dewan direksi,
manajemen, dan personel lain entitas, diterapkan dalam penetapan strategi dan lintas
perusahaan, yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat
memengaruhi entitas dan mengelola risiko menjadi risiko yang sesuai dengan selera risiko,
untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas.” (220)
Konsep utama disini adalah bahwa ERM merupakan suatu proses, serangkaian tindakan yang
dirancang untuk mencapai hasil. Gagasan yang perlu diingat bahwa suatu proses bukanlah
prosedur statis. (220)
Risk appetite adalah jumlah risiko. pada tingkat yang luas, bahwa perusahaan dan manajer
perorangan bersedia menerima dalam mengejar nilai mereka. Selera risiko dapat diukur
dalam pengertian kualitatif dengan melihat risiko dalam kategori seperti tinggi, sedang atau
rendah, kalau tidak risiko dapat didefinisikan secara kualitatif. Pemahaman tentang risk
appetite adalah elemen penting untuk menerapkan ERM di berbagai lingkungan perusahaan.
Ide dasarnya adalah bahwa setiap manajer dan, secara kolektif, setiap perusahaan memiliki
beberapa tingkat selera untuk mengambil risiko. Beberapa akan menerima usaha berisiko
yang menjanjikan pengembalian tinggi, sementara yang lain lebih suka pengembalian lebih
terjamin usaha berisiko rendah. (221)
Contoh di sini, sebagaimana dikutip dalam COSO ERM Dokumentasi adalah hal-hal seperti
mencapai dan mempertahankan reputasi positif di dalam bisnis perusahaan dan komunitas
konsumen yang menyediakan pelaporan keuangan yang dapat digerakkan kepada semua
pemangku kepentingan, dan beroperasi sesuai dengan undang-undang dan peraturan.
Keseluruhan program ERM untuk suatu perusahaan harus membantunya mencapai tujuan-
tujuan tersebut. (221)
Konsep di balik kerangka kerja ERM adalah untuk menyediakan model bagi pelaku usaha
untuk mempertimbangkan dan memahami kegiatan terkait risiko mereka di semua tingkat
perusahaan serta dampaknya satu sama lain. Tujuan dari COSO ERM adalah untuk
membantu para profesional di semua tingkatan - dari anggota dewan hingga staf profesional -
untuk lebih memahami dan mengurangi risiko yang dihadapi perusahaan mereka. (222-223)
COSO ERM Components : Internal environment (Lingkungan internal)
Lingkungan Internal "ditempatkan di bagian atas komponen dalam kerangka kerja ERM
COSO, serupa untuk posisinya dalam kerangka kontrol internal COSO. Orang harus
menganggap lingkungan kontrol ERM sebagai dasar untuk semua komponen manajemen
perusahaan lainnya. Ini menggambarkan semua komponen lain dalam model ERM
perusahaan yang memengaruhi cara organisasi menetapkan strategi dan tujuannya,
bagaimana aktivitas bisnis terkait risiko disusun, serta bagaimana risiko diidentifikasi dan
ditindaklanjuti. (223)
Komponen dasar internal ERM terdiri dari elemen-elemen berikut: (223-225)
1. Risk Management Philosophy (Filosofi Manajemen)
Filosofi Manajemen adalah seperangkat sikap dan keyakinan bersama yang akan
cenderung menjadi ciri bagaimana perusahaan mempertimbangkan risiko dalam segala
hal yang dilakukannya
2. Risk Appetite (Selera Risiko)
Selera risiko adalah jumlah risiko yang bersedia diterima perusahaan dalam mengejar
tujuannya.
3. Board of Directors Attitude (Sikap Dewan Direksi)
Dewan dan komite-komite memiliki peran yang sangat penting dalam mengawasi dan
membimbing lingkungan risiko perusahaan. Direktur luar yang independen, khususnya,
harus dengan cermat meninjau kembali tindakan manajemen, mengajukan pertanyaan
yang sesuai, dan berfungsi sebagai kontrol pemeriksaan dan keseimbangan untuk
perusahaan
4. Integrity and Ethical Values (Nilai Integritas dan Etika)
Elemen lingkungan internal ERM yang penting ini membutuhkan lebih dari sekadar
kode etik yang dipublikasikan dan mencakup integritas dan standar perilaku yang kuat
untuk anggota perusahaan. Harus ada budaya perusahaan yang kuat di sini yang
memandu perusahaan. di semua tingkatan dalam membantunya membuat keputusan
berbasis risiko.
5. A Strong Corporate Mission Statement and Written Codes of Conduct (Pernyataan misi
perusahaan yang kuat dan kode etik tertulis)
Pernyataan misi perusahaan dan kode etik tertulis. Ini adalah elemen penting dari
integritas dan nilai-nilai etika perusahaan. Area ini harus menjadi komponen penting
dalam setiap kerangka kerja ERM.
6. Commitment to Competence (Komitmen Terhadap Kompetensi)
Kompetensi mengacu pada pengetahuan dan keterampilan yang diperlukan untuk
melakukan tugas yang ditugaskan. Manajemen memutuskan bagaimana tugas-tugas
 yang ditugaskan kritis ini akan dicapai melalui pengembangan strategi yang tepat dan
menugaskan orang yang tepat untuk melakukan tugas-tugas yang sering strategis ini.
7. Enterprise Organizational Structure (Struktur Organisasi Perusahaan)
Struktur perusahaan harus mampu membantu manajemen dalam merencanakan,
mengeluarkan, mengendalikan dan memantau kegiatan, dan setiap profesional harus
mampu melihat situasi di mana struktur perusahaan tidak memungkinkan jalur
komunikasi yang sesuai maka perlu dilakukan perubahan.S
8. Assignment of Authority and Responsibility (Penetapan wewenang dan tanggung jawab)
Konsep ini mengacu pada sejauh mana derajat otoritas dan tanggung jawab ditugaskan
atau didelegasikan dalam perusahaan.
9. Human Resource Standards (Standar Sumber Daya Manusia)
Konsep ini membahas mengenai praktik-praktik perusahaan mengenai mempekerjakan,
melatih, mengkompensasi, mempromosikan, dan mendisiplinkan mengirim pesan ke
semua anggota perusahaan mengenai apa yang disukai, ditoleransi, atau dilarang.

COSO ERM Components : Penetapan Tujuan

Penetapan tujuan adalah komponen ERM yang kedua. Perusahaan harus menetapkan
serangkaian tujuan strategis yang mencakup operasi, pelaporan, dan kegiatan kepatuhan.
Sasaran strategis ini adalah sasaran tingkat tinggi yang seharusnya selaras dengan misi atau
visi perusahaan. Manajemen menentukan hal yang ingin dicapai oleh perusahaan, sering
disebut sebagai visi atau misi perusahaan. (225-226)

COSO ERM Components : Identifikasi kejadian

Peristiwa adalah peristiwa atau kejadian, internal atau eksternal perusahaan, yang
mempengaruhi para pelakunya strategi ERM atau pencapaian tujuannya. Proses pemantauan
cenderung menekankan hal-hal seperti biaya, anggaran, kepatuhan jaminan kualitas dan
perusahaan sejenis biasanya memiliki proses yang kuat untuk memantau peristiwa seperti
anggaran yang menguntungkan dan khususnya yang tidak menguntungkan. Sedangkan tidak
secara teratur memantau jenis kegiatan manajemen risiko perusahaan: (226-227)
1. External Economi Events (peristiwa ekonomi eksternal)
Ada berbagai macam kegiatan eksternal yang harus dikurung dalam rangka membantu
perusahaan mencapai tujuan ERM. Peristiwa ekonomi jangka pendek dan jangka
panjang yang sedang berlangsung dapat memengaruhi beberapa elemen tujuan
strategis perusahaan dan karenanya berdampak pada kerangka ERM keseluruhannya.
2. Naturan environmental events (Peristiwa alam)
Apakah itu kebakaran, banjir, atau gempa bumi, peristiwa numerik dapat
diidentifikasi sebagai insiden dalam identifikasi risiko ERM. Jenis-jenis dampak di
sini mungkin termasuk kehilangan akses ke beberapa bahan baku utama, kerusakan
pada fasilitas fisik, atau tidak tersedianya personel.
3. Political events (Peristiwa politik)
Undang-undang dan peraturan baru, serta hasil pemilihan umum, dapat memiliki
dampak signifikan terkait peristiwa risiko pada perusahaan. Banyak pengusaha besar
memiliki fungsi urusan pemerintahan yang meninjau perkembangan di sini dan
melobi untuk perubahan. Namun, fungsi tersebut tidak selalu selaras dengan tujuan
ERM.
 4. Social Factors (Faktor Sosial)
Ini termasuk perubahan demografis, adat istiadat sosial, dan peristiwa lain yang dapat
memengaruhi perusahaan dan pelanggannya dari waktu ke waktu.
5. Internal infrastructure events (Kegiatan infrastruktur internal)
Perusahaan sering membuat perubahan yang memicu peristiwa terkait risiko lainnya.
Misalnya, perubahan pengaturan layanan pelanggan dapat menyebabkan keluhan
utama dan penurunan kepuasan pelanggan. Permintaan pelanggan yang kuat untuk
produk baru dapat menyebabkan perubahan dalam persyaratan kapasitas pabrik dan
kebutuhan akan personil tambahan.
Suatu perusahaan perlu mendefinisikan secara jelas apa yang dianggap berpotensi sebagai
risiko yang signifikan dan kemudian menempatkan proses untuk memantau berbagai
rangkaian peristiwa risiko yang diidentifikasi. Ide untuk menetapkan tujuan unit bisnis dan
kemudian keseluruhan tujuan perusahaan, bersama dengan menetapkan kriteria pengukuran
yang diperlukan untuk menilai mereka untuk membangun suatu tujuan serta kriteria toleransi
risiko untuk mempromosikan tindakan perbaikan.

COSO ERM Components : Penilaian Risiko

Penilaian risiko memungkinkan suatu perusahaan untuk mempertimbangkan pengaruh yang
mungkin ditimbulkan oleh peristiwa-peristiwa yang berpotensi terkait risiko dari pencapaian
tujuannya. (227)
Risiko ini dinilai dari 2 perspektif yaitu:
1. Kemungkinan terjadinya risiko (Likelihood)
2. Dampak risiko potensial.
Penilaian risiko yang dibahas sebelumnya pada IC COSO. Keduanya merupakan konsep
manajemen risiko yang fleksibel. Ketika menilai risiko lingkungan manajemen harus
mempertimbangkan dua konsep kunci, risiko inheren dan residual. Konsep utama panilaian
risiko: (227-228)
1. Inherent Risk (Risiko Bawaan)
Menurut kantor manajemen & anggaran pemerintah AS, inherent risk adalah potensi
pemborosan, kehilangan, penggunaan yang tidak sah / penyelewengan karena sifat
dari suatu kegiatan itu sendiri.
2. Residual Risk (Risiko Residual)
Residual Risk adalah risiko yang tersisa setelah respon manajemen terhadap ancaman
dan penanggulangan telah diterapkan.
Kemungkinan dan dampak adalah dua komponen utama lainnya yang diperlukan untuk
melakukan penilaian risiko. Kemungkinan adalah probabilitas atau kemungkinan bahwa
risiko akan terjadi banyak kali, ini bisa menjadi penilaian manajemen utama yang dinyatakan
dalam kemungkinan risiko tinggi, sedang, atau rendah. (228)
Namun, seluruh konsep di balik ERM bukan untuk mengembangkan perhitungan tingkat
aktuaria yang tepat mengenai risiko tetapi untuk menemukan beberapa cara untuk
menyediakan kerangka kerja manajemen risiko yang efektif. Perhitungan rinci tersebut dapat
didelegasikan kepada penaksir asuransi dan lainnya. Analisis kemungkinan risiko dan
dampak potensial risiko dapat dikembangkan melalui serangkaian langkah kualitatif dan
kualitatif yang cukup terperinci, seperti yang dibahas dalam buku referensi COSO ERM kami
sebelumnya. Gagasan dasarnya adalah untuk menilai semua risiko yang teridentifikasi dan
membuat peringkatnya dalam hal kemungkinan dan dampak secara konsisten. Tanpa melalui
analisis kuantitatif terperinci, risiko yang diidentifikasi pada suatu titik waktu dapat diberi
peringkat pada skala relatif tinggi keseluruhan, sedang. atau rendah, dengan pertimbangan
diberikan pada dampak dan kemungkinan masing-masing. (228)

Penilaian risiko adalah komponen yang sangat penting dari kerangka kerja ERM COSO. Di
sinilah perusahaan menilai semua atau berbagai risiko yang dapat menghubungkan berbagai
tujuan. mempertimbangkan kemungkinan dan dampak dari masing-masing risiko ini,
mempertimbangkan keterkaitan risiko-risiko ini berdasarkan unit-per-unit atau total
perusahaan, dan kemudian mengembangkan strategi untuk respons terhadap risiko-risiko ini.
Dalam beberapa hal, proses penilaian risiko COSO ERM ini tidak terlalu berbeda dengan
teknik penilaian risiko klasik yang telah digunakan selama masa vena. Yang unik adalah
bahwa COSO ERM menunjukkan bahwa suatu perusahaan harus mengambil pendekatan total
di semua unit perusahaan dan menanggung risiko dengan cara yang konsisten dan
menyeluruh. Setelah mengidentifikasi risiko yang tepat, langkah selanjutnya adalah
mengembangkan pendekatan respons risiko yang secara tepat mencakup berbagai risiko
bawaan dan residual yang diidentifikasi dalam proses penilaian risiko ini, dengan
pertimbangan diberikan kepada toleransi risiko perusahaan. (229)
COSO ERM Components : Respons risiko
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, langkah selanjutnya dalam
proses ERM COsO adalah menentukan bagaimana menanggapi berbagai risiko yang
teridentifikasi ini. Ini adalah tanggung jawab manajemen untuk melakukan peninjauan yang
cermat terhadap kemungkinan risiko dan potensi dampak dan, dengan pertimbangan
diberikan pada biaya dan manfaat terkait, untuk mengembangkan strategi respon risiko yang
tepat. (229) Bentuk respon risiko: (231)
1. Mengurangi.
2. Menerima.
3. Membagikan.
4. Menghindari.
COSO ERM membutuhkan risiko untuk dipertimbangkan dan dievaluasi berdasarkan entitas
atau basis portofolio. Entitas mengacu pada keseluruhan perusahaan secara keseluruhan,
tetapi untuk sampai pada pendekatan pandangan total itu, risiko harus dievaluasi dan dinilai
berdasarkan bisnis-oleh-bisnis, berdasarkan departemen, berdasarkan fungsi, dan dengan
pendekatan lain apa pun untuk melihat risiko perusahaan. (233)
COSO ERM Components : Control Activities
COSO ERM mendefinisikan apa yang disebutnya aktivitas kontrol sebagai kebijakan dan
prosedur yang diperlukan untuk memastikan bahwa respons risiko yang teridentifikasi
dilaksanakan. (233)
Setelah manajemen perusahaan telah melalui identifikasi peristiwa risiko ERM, penilaian
risiko, dan proses respons risiko COSO ERM, pemantauan risiko kegiatan kontrol ini dapat
dilakukan. dilaksanakan dengan mengikuti empat langkah: (234)
1. Mengembangkan pemahaman yang kuat tentang risiko signifikan yang diidentifikasi
dan mengembangkan prosedur pengendalian untuk mengawasi atau memastikan
risiko tersebut.
2. Membuat prosedur pengujian untuk menentukan apakah prosedur pengendalian
terkait risiko berjalan dengan efektif
3. Melakukan tes prosedur kontrol untuk menentukan apakah pemantauan risiko yang
diuji dilakukan secara efektif dan sesuai dengan yang diharapkan.
4. Membuat penyesuaian atau perbaikan, sebagaimana diperlukan, untuk meningkatkan
proses pemantauan risiko.
Perbedaan utama antara prosedur pengendalian internal SOx dan COSO ERM adalah bahwa
suatu perusahaan secara hukum diharuskan untuk mematuhi prosedur-prosedur SOx ini untuk
menegaskan kecukupan kontrol internalnya. Tidak ada persyaratan hukum seperti itu dengan
COSO. Suatu perusahaan harus berusaha untuk menginstal kegiatan pengawasan risiko
pemantauan untuk memantau berbagai risiko yang telah diidentifikasi karena sifat kritis dari
banyak risiko bagi suatu perusahaan, pemantauan manajemen risiko dapat menjadi penting
untuk kesehatan perusahaan secara keseluruhan, karena sifat dari berbagai risiko yang
mungkin ditemui. (234)
Banyak kegiatan kontrol di bawah kendali internal COSO cukup mudah untuk diidentifikasi
dan diuji, karena sifat akuntansi dari banyak kontrol internal Mereka secara gencrally
memasukkan beberapa area kontrol internal berikut ini: (234)
1. Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi tidak boleh orang
yang sama yang mengotorisasi transaksi tersebut.
2. Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan
mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
3. Keamanan dan integritas. proses kontrol harus memiliki prosedur kontrol yang tepat
sehingga hanya orang yang berwenang yang dapat meninjau atau memodifikasinya.
4. Dokumentasi. Proses harus didokumentasikan dengan tepat.
Meskipun tidak ada standar atau set kegiatan pengendalian risiko manajemen usaha,
dokumentasi COSO ERM pendukung menyarankan beberapa area :
1. Top-level reviews. Manajemen senior perusahaan harus sangat menyadari peristiwa
risiko yang teridentifikasi dalam unit organisasi perusahaan dan harus melakukan
peninjauan tingkat atas reguler tentang status risiko yang teridentifikasi, serta
kemajuan tanggapan risiko. Jenis tinjauan berkala ini, digabungkan dengan tindakan
korektif tingkat atas yang sesuai, adalah kunci kegiatan pengendalian ERM.
2. Direct functional or activity management.
3. Information processing
4. Physical controls
5. Performance indicators
6. Segregation of duties

COSO ERM Components : Information and Communication

Komponen informasi dan komunikasi ERM COSOadalah proses atau unit kerangka kerja
yang menghubungkan bersama cache dari komponen lain.
COSO ERM Components : Monitoring
Pemantauan Ditempatkan di dasar tumpukan komponen horizontal dalam model kerangka
ERM dan mirip dengan kontrol internal COSO, komponen pemantauan diperlukan untuk
menentukan bahwa semua komponen ERM yang terpasang terus berlanjut. bekerja secara
efektif. Orang-orang di perusahaan berubah, serta melakukan proses pendukung dan kondisi
internal maupun eksternal. Agar semua anggota perusahaan memiliki tingkat kepastian
bahwa ERM yang terinstal bekerja secara berkelanjutan, komponen pemantauan ERM harus
dipasang dan diaktifkan.
COSO ERM adalah kerangka kerja tiga dimensi dengan delapan kategorinya sebagai satu
dimensi dalam bagian yang sering dibahas. Dimensi lainnya adalah empat kategori objektif
yang diwakili oleh kolom vertikal, serta grup dan unit bisnisnya, yang dijelaskan dalam
dimensi ketiga. dan kategori ERM yang baru saja dijelaskan sangat penting untuk memahami
dan menggunakan COSO dua dimensi lainnya - strategi dan unit organisasinya juga penting.
Untuk memahami risiko yang melingkupi tujuan perusahaan, seseorang harus mengevaluasi
risiko-risiko tersebut dalam hal kepemilikan, kekhawatiran pelaporan terkait dengan risiko
cach dan unit-unit perusahaan tertentu yang menjadi fokus utama risiko.(239)