Sawyer’s
FILOSOFI COSO
Penentuan risiko (Risk Assessment) merupakan hal penting bagi manajemen dan auditor
internal. Auditor internal harus memiliki pemahaman mengenai proses penentuan risiko dan
sarana yang digunakan untuk melakukannya. Auditor internal harus memasukkan hasil
penentuan risiko ke dalam program audit untuk memastikan bahwa kontrol-kontrol yang
dibutuhkan memang diterapkan untuk mengurangi risiko. (111)
Studi yang dilakukan COSO, Kontrol internal – Kerangka kerja terintegritas. (111)
1. Persyaratan awal yang ditentukan untuk penentuan risiko adalah adanya penetapan
tujuan, yang dihubungkan pada tingkat-tingkat yang berbeda dan konsisten didalam
organisasi.
2. Penentuan risiko adalah identifikasi dan analisis risiko-risiko yang relevan untuk
mencapai tujuan (entitas), yang membentuk suatu dasar untuk menentukan cara
pengelolaan risiko.
3. Cara pengelolaan risiko berhubungan dengan mekanisme untuk mengidentifikasi dan
menangani risiko-risiko khusus yang berhubungan dengan perubahan.
Tanggung jawab manajemen dalam menetapkan tujuan dan memastikan tujuan tercapai tidak
dapat dilakukan dengan mudah karena terdapat banyak hambatan yang akan muncul, selain
itu sejumlah risiko tidak statis dengan kata lain selalu ada risiko-risiko baru yang muncul.
Oleh karena itu, penentuan risiko merupakan fungsi yang berkelanjutan dalam proses
manajemen yang harus dilakukan secara terorganisasi dan berurutan. Jadi, proses penentuan
risiko juga merupakan hal penting bagi audit. (112)
MEMPERLUAS AUDIT BERBASIS RISIKO
Konsep audit berbasis risiko (Risk based audit) secara tradisional bermula dari observasi
dan analisis kontrol, kemudian berlanjut ke penentuan risiko yang berkaitan dengan operasi,
dan akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan organisasi. (113)
McNamee dan Selim merekomendasikan sebuah pendekatan yang terlebih dahulu
mempertimbangkan tujuan organisasi yang ditetapkan dan kemudian menentukan risiko
melalui identifikasi, pengukuran, dan penempatan prioritas dan akhirnya melakukan
manajemen risiko dengan cara : (114)
1. Mengendalikan risiko. Kontrol aktivitas organisasional untuk mengurangi elemen-
elemen risiko baik dari segi besaran maupun jumlah
2. Menerima risiko. Penerimaan risiko dengan memperbolehkan risiko kehati-hatian
yang diperlukan untuk kemajuan dan keuntungan
3. Menghindari risiko. Penghindaran risiko yang melibatkan perancangan ulang proses
bisnis untuk mengubah pola risiko
4. Mendiversifikasi risiko. Pendiversifikasian risiko dengan menyebarkan total risiko ke
operasi-operasi yang terpisah. Misalnya: menggunakan berbagai pemasok untuk
bahan baku yang penting.
5. Membagi dan mentransfer bagian-bagian risiko ke unit-unit lainnya. Pembagian dan
pemindahan risiko dengan melibatkan perjanjian kontraktual dengan pihak ketiga
untuk menerima sebagian atau semua risiko. Contohnya adalah asuransi.
Practice advisory 2100-4, “Peran Audit Internal dalam Organisasi yang tidak memiliki proses
manajemen risiko”. Advisory ini merekomendasikan auditor internal untuk: (114-115)
1. Membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan
manajemen risiko dan perhatian direksi menentukan penyelesaiannya menggunakan
operasi dan kontrol manajemen risiko
2. Mengidentifikasi kesadaran manajemen dan dewan komisaris akan risiko dan
menentukan penyelesaiannya melalui proses manajemen risiko
3. Memberitahu manajemen keuangan yang ada pada proses manajemen risiko dan
memberikan saran untuk melaksanakan proses seperti itu
4. Mendapatkan pemahaman atas ekspektasi manajemen dan dewan komisaris mengenai
bantuan audit internal yang dapat diberikan dalam proses manajemen risiko
5. Mendapatkan konsep dari manajemen mengenai peran yang harus dimainkan audit
internal dalam proses tersebut
6. Memainkan peran yang proaktif, jika dibutuhkan, dalam pengembangan proses
manajemen risiko, dengan tetap mengingat eksposur akan terjadinya penurunan
independensi
7. Menjauhkan diri dari berperan sebagai pemilik risiko
Jenis-jenis risiko: (118-120)
1. Risiko bawaan (Inherent risk) adalah kerentanan suatu asersi atas terjadinya salah saji
material, dengan megasumsikan tidak terdapat kebijakan atau prosedur struktur
kontrol internal terkait yang ditetapkan. Risiko bawaan adalah risiko yang bersifat
intrinsik terhadap usaha entitas.
2. Risiko Kontrol (Control Risk) adalah risiko bahwa salah saji material yang bisa terjadi
pada suatu asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur,
kebijakan, atau prosedur kontrol internal suatu entitas. Beberapa risiko kontrol akan
tetap ada karena adanya keterbatasan yang melekat pada struktur kontrol internal.
3. Risiko Deteksi (Detection Risk) adalah risiko bahwa auditor tidak dapat mendeteksi
salah saji material yang terdapat pada suatu asersi.
MEMBUAT PERENCANAAN PENENTUAN RISIKO
Pembahasan penentuan risiko COSO menyatakan bahwa tujuan organisasi, sistem kontrol,
dan penentuan risiko tidak dapat dipisahkan satu sama lain. Tidak mungkin untuk
menentukan risiko seseorang tidak mengetahui bahayanya. Begitu risiko telah diidentifikasi,
langkah logis selanjutnya adalah membuat sarana untuk mengendalikan risiko tersebut.(130)
Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan direksi entitas,
manajemen, dan karyawan lainnya, yang dirancang untuk memberikan keyakinan yang wajar
mengenai pencapaian tujuan pada kategori-kategori berikut ini: (131)
1. Tujuan Operasional – hal ini berkaitan dengan efektivitas dan efisiensi operasional
entitas, termasuk kinerja dan tujuan profitabilitas dan pengamanan sumber daya
terhadap kerugian. Tujuan-tujuan tersebut bervariasi berdasarkan pilihan manajemen
mengenai struktur dan kinerja.
2. Tujuan pelaporan keuangan – hal ini berkaitan dengan penyajian laporan keuangan
yang andal, termasuk pencegahan pelaporan keuangan publik yang mengandung
kecurangan. Tujuan-tujuan tersebut terutama diarahkan oleh persyaratan-persyaratan
eksternal.
3. Tujuan-tujuan ketaatan – tujuan-tujuan ini berkaitan dengan ketaatan terhadap hukum
dan peraturan yang berlaku bagi entitas. Tujuan-tujuan tersebut tergantung pada
faktor-faktor eksternal, seperti peraturan lingkungan, dan cenderung serupa untuk
semua entitas dalam beberapa kasus dan dalam beberapa industri.
MANAJEMEN RISIKO
Auditor membantu manajemen untuk mengambil risiko-risiko yang menguntungkan dan
berhati-hati dengan cara-cara yang layak dan efisien. Auditor mengevaluasi langkah-langkah
yang ditempuh manajemen untuk mencapai manfaat terbesar dari organisasi. Jadi, audit
menjadi suatu alat evaluasi kontrol yang positif yang membantu mengidentifikasi risiko-
risiko yang harus diambil dan kontrol terkait untuk meningkatkan operasi dari posisi
pendapatan dan laba. (134)
Practice Advisory 2110-1, “Penilaian Kecukupan Proses Manajemen Risiko” Tujuan-tujuan
ini adalah: (135)
1. Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan diprioritaskan
2. Manajemen dan dewan komisaris telah menentukan tingkat risiko yang dapat diterima
oleh organisasi, termasuk penerimaan risiko yang dirancang untuk mencapai rencana
strategis organisasi
3. Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk mengurangi,
atau justru mengelola risiko pada tingkat yang ditentukan dapat diterima oleh
manajemen dan dewan komisaris
4. Aktivitas-aktivitas pengawasan yang berkelanjutan dilaksanakan untuk secara
periodik menilai ulang risiko dan efektivitas kontrol untuk mengelola risiko
5. Dewan komisaris dan manajemen menerima laporan periodik mengenai hasil proses
manajemen risiko. Proses tata kelola organisasi harus memberikan komunikasi
periodik tentang risiko, strategi risiko, dan kontrol untuk pihak-pihak yang
berkepentingan.
Metode-metode Analitis: (135)
1. Pembuatan bagan alir
2. Kuisioner kontrol internal
3. Analisis matriks
4. Metodologi ilustratif COSO
5. Metode Courtney
Kontrol internal terdiri atas lima komponen yang saling berkaitan. Komponen-komponen ini
berasal dari cara manajemen menjalankan bisnis, dan diintegrasikan dengan proses
manajemen. Komponen-komponen terssebut adalah: (144)
1. Lingkungan Kontrol – inti suatu bisnis adalah orang-orangnya -- karakteristiknya
masing-masing, termasuk integritas, nilai-nilai etika, dan kompetensi-dan lingkungan
tempat mereka bekerja. Hal-hal tersebut merupakan mesin penggerak perusahaan dan
merupakan fondasi segala sesuatunya ditempatkan.
2. Penilaian Risiko – perusahaan harus mewaspadai dan mengelola risiko yang
dihadapinya. Perusahaan harus menetapkan tujuan, terintegrasi dengan penjualan,
produksi, pemasaran, keuangan dan aktivitas-aktivitas lainnya sehingga organisasi
beroperasi secara harmonis.
3. Aktivitas-aktivitas kontrol – kebijakan dan prosedur kontrol harus ditetapkan dan
dilaksanakan untuk membantu memastikan bahwa tindakan-tindakan yang
diidentifikasi oleh manajemen diperlukan untuk menghadapi risiko terhadap
pencapaian tujuan entitas secara efektif dilakukan.
4. Informasi dan Komunikasi – disekitar aktivitas-aktivitas ini terdapat sistem informasi
dan komunikasi. Hal ini memungkinkan karyawan perusahaan mendapatkan dan
menukar informasi yang diperlukan untuk menghadapi risiko terhadap pencapaian
tujuan entitas secara efektif dilakukan
5. Pengawasan – keseluruhan proses harus dimonitor, dan dibuat perubahan bila
diperlukan. Dengan cara ini, sistem dapat bereaksi secara dinamis, berubah seiring
dengan perubahan kondisi.
Romney – SIA
KERANGKA MANAJEMEN RISIKO PERUSAHAAN COSO
Kerangka ERM adalah proses yang digunakan oleh dewan direksi dan manajemen untuk
mengatur strategi, mengidentifikasi kejadian yang mungkin memengaruhi entitas, menilai
dan mengelola risiko, serta menyediakan jaminan memadai bahwa perusahaan mencapai
tujuan dan sasarannya. (231)
KERANGKA ERM (MANAJEMEN RISIKO PERUSAHAAN) VS KERANGKA IC
(PENGENDALIAN INTERNAL) COSO
Kerangka ERM lebih komprehensif menggunakan pendekatan berbasis risiko daripada
berbasis pengendalian. ERM menambahkan tiga elemen tambahan ke kerangka IC COSO:
penetapan tujuan, pengidentifikasian kejadian yang mungkin memengaruhi perusahaan, dan
pengembangan sebuah respons untuk risiko yang dinilai. Hasilnya, pengendalian bersifat
fleksibel dan relevan karena mereka ditautkan dengan tujuan organisasi terkini. Model ERM
juga mengakui bahwa risiko, selain dikendalikan, dapat pula diterima, dihindari, dibuat
berjenis-jenis, dibagi atau ditransfer (231)
KOMPONEN COSO
1. Internal Environment (Lingkungan internal). Lingkungan internal adalah budaya
perusahaan yang merupakan fondasi dari seluruh elemen ERM lainnya karena ini
memengaruhi cara organisasi menetapkan strategi dan tujuannya, membuat struktur
aktivitas bisnis, dan mengidentifikasi, menilai serta merespon risiko. (231)
Sebuah lingkungan internal mencakup hal-hal sebagai berikut: (232-252)
a. Filosofi Manajemen, gaya pengoperasian dan selera risiko
Dapat dijawab dengan pertanyaan ini:
-apakah manajemen mengambil risiko bisnis yang tidak semestinya untuk
mencapai tujuan atau apakah manajemen menilai risiko dan manfaat potensial
sebelum bertindak?
-Apakah manajemen memanipulasi ukuran-ukuran kinerja, seperti pendapatan
bersih, sehingga mereka terlihat baik?
-Apakah manajemen menekan para pegawai untuk mencapai hasil terlepas dari
metodenya, atau apakah manajemen menuntut perilaku yang etis? Dengan kata
lain, apakah pada akhirnya hal tersebut membuahkan hasil?
b. Komitmen terhadap integritas, nilai-nilai etis, dan kompetensi
c. Pengawasan pengendalian internal oleh dewan direksi
Terdapat komite audit yang merupakan anggota dewan direksi yang berasal dari
luar dan independen. Tanggung jawab komite audit adalah untuk pelaporan
keuangan, kepatuhan terhadap peraturan, pengendalian internal, serta perekrutan
dan pengawasan auditor internal dan eksternal)
d. Struktur organisasi
e. Metode penetapan wewenang dan tanggung jawab
f. Standar Sumber Daya Manusia yang menarik, mengembangkan, dan
mempertahankan individu yang kompeten
g. Pengaruh eksternal
2. Penetapan Tujuan.
Penetapan tujuan adalah komponen ERM yang kedua. Manajemen menentukan hal
yang ingin dicapai oleh perusahaan, sering disebut sebagai visi atau misi perusahaan.
a. Tujuan strategis
b. Tujuan operasi
c. Tujuan pelaporan
d. Tujuan kepatuhan
3. Identifikasi kejadian.
Committee of Sponsoring Organizations (COSO) mendefinisikan kejadian (event)
sebagai “sebuah insiden atau peristiwa yang berasal dari sumber-sumber internal atau
eksternal yang memengaruhi implementasi strategi atau pencapaian tujuan. Kejadian
mungkin memiliki dampak positif atau negatif atau keduanya.”
4. Penilaian Risiko dan respon risiko
a. Inherent Risk (Risiko Bawaan). Inherent Risk adalah kelemahan dari sebuah
penetapan akun atau transaksi pada masalah pengendalian yang signifikan tanpa
adanya pengendalian internal.
b. Residual Risk (Risiko Residual). Residual Risk adalah risiko yang tersisa
setelah manajemen mengimplementasikan pengendalian internal atau beberapa
respons lainnya terhadap risiko.
RESPONS RISIKO (239)
a. Mengurangi. Mengurangi kemungkinan dan dampak risiko dengan
mengimplementasikan sistem pengendalian internal yang efektif.
b. Menerima. Menerima kemungkinan dan dampak risiko.
c. Membagikan. Membagikan risiko atau mentransfernya kepada orang lain dengan
asuransi pembelian, mengalihdayakan sebuah aktivitas atau masuk ke dalam
transaksi lindung nilai (hedging).
d. Menghindari. Menghindari risiko dengan tidak melakukan aktivitas yang
menciptakan risiko. Hal ini bisa jadi mensyaratkan perusahaan untuk menjual
sebuah divisi, keluar dari lini produk, atau tidak memperluas perusahaan seperti
yang diharapkan.
Penilaian risiko adalah komponen yang sangat penting dari kerangka kerja ERM COSO. Di
sinilah perusahaan menilai semua atau berbagai risiko yang dapat menghubungkan berbagai
tujuan. mempertimbangkan kemungkinan dan dampak dari masing-masing risiko ini,
mempertimbangkan keterkaitan risiko-risiko ini berdasarkan unit-per-unit atau total
perusahaan, dan kemudian mengembangkan strategi untuk respons terhadap risiko-risiko ini.
Dalam beberapa hal, proses penilaian risiko COSO ERM ini tidak terlalu berbeda dengan
teknik penilaian risiko klasik yang telah digunakan selama masa vena. Yang unik adalah
bahwa COSO ERM menunjukkan bahwa suatu perusahaan harus mengambil pendekatan total
di semua unit perusahaan dan menanggung risiko dengan cara yang konsisten dan
menyeluruh. Setelah mengidentifikasi risiko yang tepat, langkah selanjutnya adalah
mengembangkan pendekatan respons risiko yang secara tepat mencakup berbagai risiko
bawaan dan residual yang diidentifikasi dalam proses penilaian risiko ini, dengan
pertimbangan diberikan kepada toleransi risiko perusahaan. (229)
COSO ERM Components : Respons risiko
Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, langkah selanjutnya dalam
proses ERM COsO adalah menentukan bagaimana menanggapi berbagai risiko yang
teridentifikasi ini. Ini adalah tanggung jawab manajemen untuk melakukan peninjauan yang
cermat terhadap kemungkinan risiko dan potensi dampak dan, dengan pertimbangan
diberikan pada biaya dan manfaat terkait, untuk mengembangkan strategi respon risiko yang
tepat. (229) Bentuk respon risiko: (231)
1. Mengurangi.
2. Menerima.
3. Membagikan.
4. Menghindari.
COSO ERM membutuhkan risiko untuk dipertimbangkan dan dievaluasi berdasarkan entitas
atau basis portofolio. Entitas mengacu pada keseluruhan perusahaan secara keseluruhan,
tetapi untuk sampai pada pendekatan pandangan total itu, risiko harus dievaluasi dan dinilai
berdasarkan bisnis-oleh-bisnis, berdasarkan departemen, berdasarkan fungsi, dan dengan
pendekatan lain apa pun untuk melihat risiko perusahaan. (233)
COSO ERM Components : Control Activities
COSO ERM mendefinisikan apa yang disebutnya aktivitas kontrol sebagai kebijakan dan
prosedur yang diperlukan untuk memastikan bahwa respons risiko yang teridentifikasi
dilaksanakan. (233)
Setelah manajemen perusahaan telah melalui identifikasi peristiwa risiko ERM, penilaian
risiko, dan proses respons risiko COSO ERM, pemantauan risiko kegiatan kontrol ini dapat
dilakukan. dilaksanakan dengan mengikuti empat langkah: (234)
1. Mengembangkan pemahaman yang kuat tentang risiko signifikan yang diidentifikasi
dan mengembangkan prosedur pengendalian untuk mengawasi atau memastikan
risiko tersebut.
2. Membuat prosedur pengujian untuk menentukan apakah prosedur pengendalian
terkait risiko berjalan dengan efektif
3. Melakukan tes prosedur kontrol untuk menentukan apakah pemantauan risiko yang
diuji dilakukan secara efektif dan sesuai dengan yang diharapkan.
4. Membuat penyesuaian atau perbaikan, sebagaimana diperlukan, untuk meningkatkan
proses pemantauan risiko.
Perbedaan utama antara prosedur pengendalian internal SOx dan COSO ERM adalah bahwa
suatu perusahaan secara hukum diharuskan untuk mematuhi prosedur-prosedur SOx ini untuk
menegaskan kecukupan kontrol internalnya. Tidak ada persyaratan hukum seperti itu dengan
COSO. Suatu perusahaan harus berusaha untuk menginstal kegiatan pengawasan risiko
pemantauan untuk memantau berbagai risiko yang telah diidentifikasi karena sifat kritis dari
banyak risiko bagi suatu perusahaan, pemantauan manajemen risiko dapat menjadi penting
untuk kesehatan perusahaan secara keseluruhan, karena sifat dari berbagai risiko yang
mungkin ditemui. (234)
Banyak kegiatan kontrol di bawah kendali internal COSO cukup mudah untuk diidentifikasi
dan diuji, karena sifat akuntansi dari banyak kontrol internal Mereka secara gencrally
memasukkan beberapa area kontrol internal berikut ini: (234)
1. Pemisahan tugas. Pada dasarnya, orang yang memulai transaksi tidak boleh orang
yang sama yang mengotorisasi transaksi tersebut.
2. Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan
mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
3. Keamanan dan integritas. proses kontrol harus memiliki prosedur kontrol yang tepat
sehingga hanya orang yang berwenang yang dapat meninjau atau memodifikasinya.
4. Dokumentasi. Proses harus didokumentasikan dengan tepat.
Meskipun tidak ada standar atau set kegiatan pengendalian risiko manajemen usaha,
dokumentasi COSO ERM pendukung menyarankan beberapa area :
1. Top-level reviews. Manajemen senior perusahaan harus sangat menyadari peristiwa
risiko yang teridentifikasi dalam unit organisasi perusahaan dan harus melakukan
peninjauan tingkat atas reguler tentang status risiko yang teridentifikasi, serta
kemajuan tanggapan risiko. Jenis tinjauan berkala ini, digabungkan dengan tindakan
korektif tingkat atas yang sesuai, adalah kunci kegiatan pengendalian ERM.
2. Direct functional or activity management.
3. Information processing
4. Physical controls
5. Performance indicators
6. Segregation of duties