MANAJEMEN RISIKO PERUSAHAAN

COSO ERM Framework

Diajukan untuk Melengkapi Tugas Manajemen Risiko Perusahaan

Oleh:
Qari Nur Islami (2001203010007)

Dosen Pengampu:

Dr. Islahuddin, S.E., Ak., M.Ec

PPPPpPPP

PROGRAM STUDI MAGISTER AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS SYIAH KUALA
DARUSSALAM-BANDA ACEH
2021
 COSO ERM FRAMEWORK

Definisi dan Tujuan ERM: Pandangan Risiko Portfolio

Setiap perusahaan, baik komersial yang mencari laba, nirlaba, atau lembaga
pemerintah, ada untuk memberikan nilai bagi para pemangku kepentingannya; ini termasuk
karyawan dan pemegang saham untuk perusahaan komersial atau pemilih untuk entitas
pemerintah. Bahwa nilai pemangku kepentingan diciptakan, dipertahankan, atau bahkan
dapat terkikis melalui keputusan manajemen di semua tingkat perusahaan dan dalam semua
aktivitasnya, mulai dari operasi rutin sehari-hari hingga penetapan strategi untuk upaya masa
depan tetapi tidak pasti. Semuanya tunduk pada ketidakpastian atau risiko.

Selama beberapa tahun terakhir, perusahaan umumnya memiliki dua masalah dengan
risiko ini versus model keputusan pengembalian yang disesuaikan. Pertama, tidak ada definisi
risiko yang diterima secara baik dan konsisten di seluruh perusahaan, dan kedua, kita sering
tidak memikirkan risiko dalam pengertian perusahaan secara keseluruhan tetapi biasanya
hanya berdasarkan risiko komponen demi komponen. Perusahaan sering diminta untuk
menilai risiko yang terkait dengan proyek atau aktivitas baru tetapi biasanya tidak memiliki
informasi yang cukup untuk membuat penilaian yang kredibel di seluruh perusahaan
mengenai risiko tersebut.

Masalah risiko versus pengembalian kedua adalah bahwa kita sering mengambil
''pendekatan silo'' untuk pemahaman kita tentang risiko daripada mempertimbangkannya
dalam hal total perusahaan. Istilah pendekatan silo mengacu pada wadah penyimpanan
pertanian yang tinggi dan sempit yang digunakan di pertanian. Segala sesuatu di dalam silo
aman dan terlindungi, tetapi tidak ada interaksi antara satu silo dengan silo lain di dekatnya.
Meskipun ini mungkin tepat ketika masing-masing silo individu digunakan untuk menyimpan
komoditas yang terpisah tanpa perlu interaksi, proses terpisah yang masing-masing disimpan
dalam silonya sendiri sering kali membutuhkan koneksi dan interaksi dengan proses lain yang
mungkin ada di silo lain yang serupa.

COSO ERM adalah kerangka kerja yang akan membantu perusahaan untuk memiliki
definisi yang konsisten tentang apa yang dimaksud dengan risiko tingkat perusahaan yang
akan mempertimbangkan risiko tersebut di seluruh perusahaan secara konsisten. Organisasi
COSO meluncurkan ERM dengan cara yang mirip dengan pengembangan kerangka
pengendalian internal mereka sebelumnya.
 Manajemen risiko perusahaan adalah suatu proses, yang dipengaruhi oleh dewan
direksi, manajemen, dan personel lain suatu entitas, diterapkan dalam pengaturan strategi dan
di seluruh perusahaan, yang dirancang untuk mengidentifikasi peristiwa potensial yang dapat
memengaruhi entitas, dan mengelola risiko agar sesuai dengan selera risikonya, untuk
memberikan keyakinan memadai mengenai pencapaian tujuan entitas.

Ada beberapa poin-poin penting dalam COSO ERM yaitu sebagai berikut ini.

 ERM adalah Sebuah Proses. Sebuah ekspresi yang sering disalahgunakan, definisi
kamus dari suatu proses adalah serangkaian tindakan yang dirancang untuk mencapai
suatu hasil. Namun, definisi ini tidak memberikan bantuan bagi banyak profesional.
 Proses ERM diimplementasikan oleh orang-orang di Perusahaan. ERM tidak akan
efektif jika hanya diimplementasikan melalui seperangkat aturan yang dikirim ke unit
operasi dari kantor pusat perusahaan yang jauh, di mana orang-orang perusahaan yang
menyusun aturan mungkin memiliki sedikit pemahaman tentang berbagai faktor
keputusan unit operasi lokal di sekitarnya. Proses manajemen risiko harus dikelola
oleh orang-orang yang cukup dekat dengan situasi risiko tersebut untuk memahami
berbagai faktor yang melingkupi risiko tersebut termasuk implikasinya.
 ERM diterapkan dengan menetapkan strategi di seluruh perusahaan. Setiap
perusahaan terus-menerus dihadapkan dengan strategi alternatif mengenai berbagai
tindakan potensial di masa depan. ERM yang efektif harus memainkan peran utama
dalam membantu menetapkan strategi alternatif tersebut. Karena banyak perusahaan
besar dengan banyak unit operasi yang bervariasi, ERM harus diterapkan di seluruh
perusahaan itu menggunakan pendekatan jenis portofolio yang memadukan campuran
aktivitas berisiko tinggi dan rendah.
 Konsep Risk Appetite harus diperhatikan. Keinginan risiko dapat diukur secara
kualitatif dengan melihat risiko dalam kategori seperti tinggi, sedang, atau rendah;
alternatif, itu dapat didefinisikan secara kuantitatif. Pemahaman tentang keinginan
risiko sebagai bagian dari diskusi penerapan ERM di berbagai lingkungan organisasi.
Ide dasarnya adalah bahwa setiap manajer dan secara kolektif, setiap perusahaan
harus memiliki tingkat keinginan risiko tertentu.
 ERM hanya memberikan jaminan yang wajar, bukan positif pada pencapaian objektif.
Idenya adalah bahwa ERM, tidak peduli seberapa baik dipikirkan atau diterapkan,
 tidak dapat memberikan jaminan yang pasti kepada manajemen atau orang lain
tentang hasilnya.
 ERM dirancang untuk membantu mencapai pencapaian tujuan. Sebuah perusahaan,
melalui manajemennya, harus bekerja untuk menetapkan tujuan bersama tingkat
tinggi yang dapat dibagi oleh semua pemangku kepentingan.

Model Kerangka COSO ERM

Kerangka kerja COSO ERM yang ditunjukkan pada Tampilan 4.1 juga merupakan
kubus tiga dimensi dengan komponen:

 Empat kolom vertikal yang mewakili tujuan strategis risiko perusahaan.

 Delapan baris horizontal atau komponen risiko.
 Berbagai tingkat perusahaan, dari tingkat entitas ''markas besar'' hingga anak
perusahaan individu. Tergantung pada perusahaannya, mungkin ada banyak
"potongan" model di sini.

Komponen horizontal COSO ERM, dengan pembahasan yang lebih terbatas dari dua
dimensi lainnya dan bagaimana mereka semua berhubungan satu sama lain. Kerangka ERM
menyediakan model bagi perusahaan untuk mempertimbangkan dan memahami aktivitas
terkait risiko mereka di semua tingkat perusahaan serta dampaknya satu sama lain.

Deskripsi kerangka kerja COSO ERM ini terlihat sangat mirip dengan kerangka kerja
pengendalian internal COSO yang telah menjadi akrab bagi banyak profesional selama
beberapa tahun terakhir. Beberapa awalnya dan salah memandang COSO ERM hanya
sebagai pembaruan baru untuk kerangka kerja kontrol internal COSO yang mereka kenal.
Namun, meskipun penampilan bisa menipu, COSO ERM memiliki tujuan dan kegunaan yang
berbeda, COSO ERM tidak boleh dianggap hanya sebagai versi baru dan lebih baik atau
direvisi dari kerangka kerja pengendalian internal COSO. Kerangka kerja ini dari komponen
risiko dan perspektif penetapan tujuan manajemen risiko. Tujuan ini untuk memperkenalkan
COSO ERM dengan fokus pada bagaimana ERM diterapkan dalam suatu perusahaan.

Komponen ERM COSO: Lingkungan Internal

Komponen dasar internal ERM terdiri dari elemen-elemen sebagai berikut:

 Filosofi Manajemen Risiko. Ini adalah seperangkat sikap dan keyakinan bersama
yang cenderung mencirikan bagaimana perusahaan mempertimbangkan risiko dalam
segala hal yang dilakukannya.
 Risk Appetite. Sebuah konsep atau ekspresi yang asing bagi banyak manajer, selera
risiko adalah jumlah risiko yang bersedia diterima perusahaan dalam mengejar
tujuannya. Istilah Appetite sering tidak digunakan, tetapi istilah tersebut mewakili
filosofi keseluruhan.
 Sikap Direksi. Dewan direksi memiliki peran yang sangat penting dalam mengawasi
dan membimbing lingkungan risiko perusahaan. Independen, direktur luar khususnya
harus meninjau dengan cermat tindakan manajemen, mengajukan pertanyaan yang
sesuai, dan berfungsi sebagai kontrol check and balance untuk perusahaan.
 Nilai Integritas dan Etika. Elemen lingkungan internal ERM yang penting ini
membutuhkan lebih dari sekadar kode etik yang diterbitkan dan mencakup integritas
dan standar perilaku yang kuat bagi anggota perusahaan. Harus ada budaya
perusahaan yang kuat di sini yang memandu perusahaan di semua tingkatan dalam
membantu membuat keputusan berbasis risiko.
 Komitmen terhadap Kompetensi. Kompetensi mengacu pada pengetahuan dan
keterampilan yang diperlukan untuk melakukan tugas yang diberikan. Manajemen
memutuskan bagaimana tugas-tugas kritis yang diberikan ini akan diselesaikan
melalui pengembangan strategi yang tepat dan menugaskan orang yang tepat untuk
melakukan tugas-tugas yang seringkali strategis ini.
 Struktur organisasi. Perusahaan akan mengembangkan struktur perusahaan yang
memenuhi kebutuhannya saat ini dan seringkali memenuhi masa lalunya. Struktur
perusahaan yang sama harus memiliki garis wewenang dan tanggung jawab yang jelas
bersama dengan garis pelaporan yang sesuai. Struktur perusahaan yang dibangun
dengan buruk mempersulit perencanaan, pelaksanaan, pengendalian, dan pemantauan
kegiatan. Setiap profesional telah melihat situasi di mana struktur perusahaan tidak
memungkinkan jalur komunikasi yang tepat.
  Penugasan Wewenang dan Tanggung Jawab. Penugasan wewenang mengacu pada
sejauh mana wewenang dan tanggung jawab ditugaskan atau didelegasikan dalam
suatu perusahaan. Kecenderungan di banyak perusahaan saat ini adalah untuk
mendorong hal-hal seperti tingkat otoritas persetujuan ke bawah struktur perusahaan,
memberikan lebih banyak karyawan garis depan otorisasi dan otoritas persetujuan
yang lebih besar.
 Standar Sumber Daya Manusia. Praktik perusahaan mengenai perekrutan
karyawan, pelatihan, kompensasi, promosi, pendisiplinan, dan semua tindakan lainnya
mengirimkan pesan kepada semua anggota perusahaan mengenai apa yang disukai,
ditoleransi, atau dilarang.

Komponen COSO ERM diperlukan untuk membangun lingkungan internal yang

efektif. Sementara banyak dari standar dan pendekatan ini yang akan diterapkan
perusahaan untuk menerima dan mengelola berbagai tingkat risiko, yang lain merujuk
hanya pada praktik bisnis yang baik untuk operasi yang efektif. Ada banyak metode bagi
perusahaan untuk mengomunikasikan standar manajemen risikonya, tetapi pernyataan
formal dalam laporan tahunan atau di halaman web perusahaan sering kali merupakan
tempat awal yang baik untuk mengomunikasikan strategi ini secara formal.

Komponen ERM COSO: Pengaturan Tujuan

Komponen pengaturan tujuan COSO ERM menguraikan beberapa prasyarat yang

diperlukan untuk ditetapkan sebelum manajemen dapat menetapkan proses manajemen risiko
perusahaan yang efektif. Komponen ini mengatakan bahwa selain lingkungan internal yang
diuraikan di atas, perusahaan harus menetapkan serangkaian tujuan strategis yang mencakup
kegiatan operasi, pelaporan, dan kepatuhannya. Tujuan strategis ini adalah tujuan tingkat
tinggi yang harus disesuaikan dengan misi atau visi perusahaan.

Komponen ERM COSO: Identifikasi Acara

Tujuan risiko ERM untuk proses pemantauan tujuan operasional yang lebih
operasional dan berorientasi proses ini. Perusahaan biasanya memiliki proses yang kuat untuk
memantau peristiwa seperti varian anggaran yang menguntungkan dan terutama yang tidak
menguntungkan, tetapi seringkali tidak secara teratur memantau peristiwa aktual atau faktor-
faktor yang mempengaruhi yang menjadi pendorong peristiwa varian anggaran tersebut.
Dokumentasi kerangka kerja ringkasan eksekutif COSO ERM, yang sebelumnya dirujuk,
mencantumkan serangkaian jenis faktor yang memengaruhi yang harus menjadi bagian dari
komponen identifikasi peristiwa kerangka kerja, termasuk item berikut:

 Peristiwa Ekonomi Eksternal. Ada berbagai macam kejadian eksternal yang perlu
dipantau untuk membantu mencapai tujuan ERM perusahaan. Tren jangka pendek dan
jangka panjang yang sedang berlangsung dapat berdampak pada beberapa elemen tujuan
strategis perusahaan dan dengan demikian berdampak pada kerangka ERM secara
keseluruhan. Identifikasi peristiwa ekonomi eksternal di sini memerlukan beberapa
fungsi dalam perusahaan untuk melampaui berita utama yang dilaporkan dan menaikkan
bendera untuk menunjukkan bahwa default mata uang seperti itu mungkin menyoroti
peristiwa terkait risiko perusahaan.
 Peristiwa Lingkungan Alam. Apakah kebakaran, banjir, atau gempa bumi, banyak
peristiwa dapat diidentifikasi sebagai insiden dalam identifikasi risiko ERM. Dampak di
sini mungkin termasuk hilangnya akses ke beberapa bahan baku utama, kerusakan
fasilitas fisik, atau tidak tersedianya personel.
 Acara Politik. Undang-undang dan peraturan baru serta hasil pemilu dapat memiliki
dampak signifikan terkait peristiwa risiko pada perusahaan. Banyak perusahaan besar
memiliki fungsi urusan pemerintahan yang meninjau perkembangan di sini dan melobi
untuk perubahan. Namun, fungsi tersebut mungkin tidak selalu selaras dengan tujuan
ERM.
 Faktor sosial. Sementara peristiwa eksternal seperti gempa bumi terjadi secara tiba-tiba
dan datang dengan sedikit peringatan, sebagian besar perubahan faktor sosial adalah
peristiwa yang berkembang secara perlahan. Ini termasuk perubahan demografis, adat
istiadat sosial, dan peristiwa lain yang dapat berdampak pada perusahaan dan
pelanggannya dari waktu ke waktu.
 Acara Infrastruktur Internal. Perusahaan sering membuat perubahan jinak yang
memicu peristiwa terkait risiko lainnya.
 Peristiwa Terkait Proses Internal. Serupa dengan kejadian infrastruktur, perubahan
dalam proses utama dapat memicu berbagai kejadian identifikasi risiko.
 Acara Teknologi Eksternal dan Internal. Setiap perusahaan menghadapi berbagai
macam peristiwa teknologi yang sedang berlangsung yang akan memicu kebutuhan
untuk identifikasi risiko formal.
 Suatu perusahaan perlu secara jelas mendefinisikan apa yang dianggapnya sebagai
peristiwa risiko signifikan dan kemudian harus memiliki proses untuk memantau semua
berbagai peristiwa risiko yang berpotensi signifikan tersebut sehingga perusahaan dapat
mengambil tindakan yang tepat.

Panduan COSO ERM menyarankan agar perusahaan mempertimbangkan beberapa

pendekatan berikut:

 Inventaris Acara. COSO ERM merekomendasikan bahwa manajemen harus

menggunakan daftar kejadian terkait risiko yang umum untuk industri spesifik dan
area fungsional perusahaan.
 Workshop yang Difasilitasi. Suatu perusahaan dapat mengadakan lokakarya lintas
fungsi untuk membahas faktor-faktor risiko potensial yang mungkin berkembang dari
berbagai peristiwa internal atau eksternal.
 Wawancara, Kuesioner, dan Survei. Informasi mengenai kejadian risiko potensial
dapat berasal dari berbagai sumber seperti tanggapan dari surat kepuasan pelanggan
atau komentar wawancara keluar dari karyawan yang keluar.
 Analisis Aliran Proses. Materi Teknik Aplikasi ERM COSO merekomendasikan
penggunaan diagram alir untuk meninjau proses dan untuk mengidentifikasi kejadian
risiko potensial.
 Peristiwa Terkemuka dan Pemicu Eskalasi. Idenya di sini adalah untuk menetapkan
serangkaian tujuan unit bisnis, kriteria pengukuran yang diperlukan untuk memenuhi
tujuan tersebut, dan kriteria toleransi risiko untuk mendorong tindakan perbaikan.
 Pelacakan Data Peristiwa Kerugian. Sementara pendekatan dasbor baru saja
memperkenalkan monitor peristiwa risiko saat terjadi, sering kali berharga untuk
menempatkan segala sesuatu dalam perspektif yang lebih setelah berlalunya beberapa
waktu. Pelacakan peristiwa kerugian mengacu pada penggunaan sumber basis data
internal dan publik untuk melacak aktivitas di bidang yang diminati. Sumber-sumber
ini dapat mencakup berbagai bidang mulai dari indikator ekonomi terkemuka hingga
tingkat kegagalan peralatan internal. Sekali lagi, perusahaan harus memasang proses
identifikasi risiko yang efektif untuk melacak kejadian terkait risiko internal dan
eksternal.
Komponen ERM COSO: Penilaian Risiko

Komponen penilaian risiko digambarkan sebagai pusat kerangka kerja dan mewakili
inti dari COSO ERM. Penilaian risiko memungkinkan suatu perusahaan untuk
mempertimbangkan sejauh mana dampak dari peristiwa terkait risiko potensial pada
pencapaian tujuan perusahaan. Risiko-risiko ini harus dinilai dari dua perspektif:
kemungkinan terjadinya risiko dan potensi dampaknya.

Beberapa konsep manajemen risiko utama, yaitu:

 Risiko bawaan. Seperti yang didefinisikan oleh Kantor Manajemen dan Anggaran
pemerintah AS, risiko bawaan adalah "potensi pemborosan, kehilangan, penggunaan
yang tidak sah, atau penyelewengan karena sifat aktivitas itu sendiri". setiap aktivitas
dalam suatu perusahaan adalah ukuran anggarannya, kekuatan dan kecanggihan
manajemen grup, dan hanya sifat dari aktivitasnya. Risiko bawaan berada di luar
kendali manajemen dan biasanya berasal dari faktor eksternal. Misalnya, pengecer
besar Wal-Mart begitu besar dan dominan di pasarnya sehingga menghadapi tingkat
tertentu dari berbagai risiko yang melekat karena ukurannya yang tipis.
 Risiko Sisa. Ini adalah risiko yang tersisa setelah tanggapan manajemen terhadap
ancaman risiko dan tindakan pencegahan diterapkan. Akan selalu ada beberapa
tingkat risiko residual.

Kedua konsep ini menyiratkan bahwa manajemen dan perusahaan akan selalu
menghadapi beberapa risiko. Setelah mereka mengatasi risiko yang muncul dari proses
identifikasi risiko, mereka biasanya masih memiliki beberapa risiko sisa untuk diperbaiki.
Setelah ini, akan ada berbagai risiko bawaan di mana mereka tidak dapat berbuat banyak.

Kemungkinan dan dampak adalah dua komponen kunci lain yang diperlukan untuk
melakukan penilaian risiko. Likelihood adalah kemungkinan atau kemungkinan bahwa risiko
akan terjadi. Dalam banyak kasus, ini bisa menjadi penilaian manajemen kunci yang
dinyatakan dalam kemungkinan tinggi, sedang, atau rendah terjadinya risiko. Ada juga
beberapa alat kuantitatif yang baik di sini juga, tetapi tidak banyak gunanya memperkirakan
kemungkinan risiko yang terjadi dalam beberapa titik desimal jika tidak ada dasar untuk
mengembangkan angka yang tepat di luar perhitungan statistik normal atau reguler.

Dalam beberapa hal, proses penilaian risiko COSO ERM ini tidak terlalu berbeda
dengan teknik penilaian risiko klasik yang telah digunakan selama ini. Yang unik adalah
bahwa COSO ERM menyarankan bahwa suatu perusahaan harus mengambil pendekatan total
pada semua unit perusahaan dan mencakup semua masalah strategis utama untuk
mengidentifikasi risikonya secara konsisten dan menyeluruh. Setelah mengidentifikasi risiko
yang sesuai, langkah selanjutnya adalah mengembangkan pendekatan respons risiko yang
secara tepat mencakup berbagai risiko bawaan dan risiko residual yang signifikan yang
diidentifikasi dalam proses penilaian risiko ini, dengan pertimbangan yang diberikan pada
toleransi risiko perusahaan.

Komponen ERM COSO: Respons Risiko

Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, langkah selanjutnya
adalah menentukan bagaimana menanggapi berbagai risiko yang teridentifikasi ini. Langkah
tersebut merupakan tanggung jawab manajemen untuk melakukan tinjauan yang cermat
terhadap perkiraan kemungkinan risiko dan dampak potensial, dan dengan pertimbangan
yang diberikan pada biaya dan manfaat terkait, untuk mengembangkan strategi respons risiko
yang tepat. Respons risiko ini dapat ditangani dengan mengikuti salah satu dari empat
pendekatan dasar:

1. Penghindaran. Ini adalah strategi untuk menghindari risiko—seperti menjual unit bisnis
yang menimbulkan risiko, keluar dari area geografis yang menjadi perhatian, atau
menghentikan lini produk. Kesulitannya di sini adalah bahwa perusahaan sering kali
tidak menghentikan lini produk atau meninggalkannya sampai setelah peristiwa risiko
benar-benar terjadi dengan biaya yang terkait. Kecuali jika suatu perusahaan memiliki
selera risiko yang sangat rendah, sulit untuk meninggalkan area bisnis atau lini produk
hanya berdasarkan potensi risiko di masa depan jika semua berjalan baik saat ini dalam
hal lain. Penghindaran bisa menjadi strategi yang berpotensi mahal jika investasi
dilakukan untuk masuk ke area dengan penarikan berikutnya untuk menghindari risiko.
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko
tertentu. Diversifikasi lini produk dapat mengurangi risiko ketergantungan yang terlalu
kuat pada satu lini produk utama. Memisahkan pusat server operasi TI menjadi dua
lokasi yang terpisah secara geografis akan mengurangi risiko beberapa kegagalan
bencana. Ada berbagai macam strategi yang sering efektif untuk mengurangi risiko di
semua tingkatan yang turun ke langkah biasa tetapi secara operasional penting bagi
karyawan pelatihan silang.
3. Berbagi. Hampir semua perusahaan serta individu secara teratur berbagi sebagian dari
risiko mereka dengan membeli asuransi untuk melindungi nilai atau berbagi risiko
mereka. Banyak teknik lain juga tersedia di sini. Untuk transaksi keuangan, perusahaan
dapat terlibat dalam operasi lindung nilai untuk melindungi dari kemungkinan fluktuasi
harga.
4. Penerimaan. Ini adalah strategi tanpa tindakan. Misalnya, suatu perusahaan dapat
''mengasuransikan diri'' daripada membeli polis asuransi. Pada dasarnya, suatu
perusahaan harus melihat kemungkinan dan dampak risiko berdasarkan toleransi risiko
yang ditetapkan dan kemudian memutuskan apakah akan menerima risiko itu atau tidak.
Untuk banyak dan beragam risiko yang mendekati suatu perusahaan, penerimaan
seringkali merupakan strategi yang tepat untuk beberapa risiko.

Manajemen harus mengembangkan strategi respons umum untuk setiap risikonya

menggunakan pendekatan yang dibangun di sekitar satu atau campuran dari empat strategi
umum ini. Dalam melakukannya, ia harus mempertimbangkan biaya versus manfaat dari
setiap respons risiko potensial dan strategi mana yang paling sesuai dengan selera risiko
perusahaan secara keseluruhan. Misalnya, pengakuan perusahaan bahwa dampak risiko
tertentu relatif rendah akan diimbangi dengan toleransi risiko rendah yang menunjukkan
bahwa asuransi harus dibeli untuk memberikan respons risiko potensial.

Untuk mengembangkan penilaian kedua kategori risiko tersebut sebagai penilaian

keseluruhan dari respons risiko yang direncanakan serta bagaimana risiko tersebut akan
selaras dengan keseluruhan toleransi risiko perusahaan. Pada titik ini dalam proses penilaian
risiko, perusahaan akan menilai kemungkinan dan dampak potensial dari setiap risiko di
sekitar tujuannya serta beberapa perkiraan untuk masing-masing risiko. Langkah selanjutnya
adalah mengembangkan serangkaian respons risiko potensial, mungkin langkah yang paling
sulit dalam membangun kerangka program ERM COSO yang efektif.

Proses mengembangkan respons risiko memerlukan sejumlah besar perencanaan dan

pemikiran strategis itu sendiri. Beberapa alternatif respons risiko melibatkan biaya, waktu,
dan perencanaan proyek yang terperinci. Selain perencanaan dan pemikiran strategis, proses
perencanaan respons risiko ini memerlukan masukan dan dukungan manajemen yang
signifikan untuk mengenali berbagai respons risiko alternatif dan memiliki rencana tindakan
untuk memenuhi respons yang sesuai.
 Beberapa risiko yang diidentifikasi berdasarkan tujuan dan mempertimbangkan
berbagai respons risiko yang dipilih untuk menilai apakah respons tersebut sesuai untuk
perusahaan dalam toleransi risiko yang teridentifikasi. Meskipun ini bisa menjadi analisis
yang cukup rumit jika ada beberapa risiko yang diidentifikasi dan tanggapan alternatif,
perusahaan dapat menggunakan data ini untuk mengembangkan strategi tingkat tinggi untuk
menutupinya untuk berbagai area risiko ini. Jika jenis analisis ini menunjukkan bahwa
respons tampaknya tidak memenuhi toleransi risiko perusahaan, maka perlu memikirkan
kembali dan merevisi respons risiko untuk mencapai rentang toleransi risiko.

COSO ERM meminta risiko untuk dipertimbangkan dan dievaluasi pada basis entitas
atau portofolio. Entitas di sini mengacu pada keseluruhan perusahaan secara keseluruhan,
tetapi untuk mendapatkan pendekatan tampilan total itu, risiko harus dievaluasi dan dinilai
oleh bisnis, departemen, fungsi, dan pendekatan lain mana pun untuk melihat risiko
perusahaan. Pendekatan tingkat perusahaan dalam melihat risiko dibahas dalam Bab 5, dan
setiap pendekatan yang digunakan di sini harus digunakan untuk setiap area operasi dan
untuk setiap area risiko utama.

Komponen ERM COSO: Aktivitas Kontrol

COSO ERM mendefinisikan apa yang disebut aktivitas pengendalian sebagai

kebijakan dan prosedur yang diperlukan untuk memastikan bahwa respons risiko yang
teridentifikasi dilakukan. Meskipun beberapa dari aktivitas ini mungkin hanya berhubungan
dengan risiko yang teridentifikasi dan respons risiko yang disetujui di satu area perusahaan,
aktivitas tersebut sering tumpang tindih di beberapa fungsi dan unit. Komponen aktivitas
pengendalian COSO ERM harus terkait erat dengan komponen respons risiko yang telah
dibahas sebelumnya.

Setelah melalui proses identifikasi kejadian risiko COSO ERM, penilaian risiko, dan
respons risiko, pemantauan risiko dapat dilakukan dengan langkah-langkah berikut:

 Langkah 1. Kembangkan pemahaman yang kuat tentang risiko signifikan yang

teridentifikasi dan kembangkan prosedur pengendalian untuk memantau atau
mengoreksi risiko ini.
 Langkah 2. Buat prosedur pengujian untuk menentukan apakah prosedur
pengendalian terkait risiko tersebut bekerja secara efektif.
  Langkah 3. Lakukan pengujian prosedur pengendalian untuk menentukan apakah
proses pemantauan risiko yang diuji bekerja secara efektif dan sesuai harapan.
 Langkah 4. Lakukan penyesuaian atau perbaikan yang diperlukan untuk
meningkatkan proses pemantauan risiko.

Proses empat langkah ini pada dasarnya adalah apa yang perusahaan tunduk pada
persyaratan SOx telah lakukan untuk meninjau, menguji, dan kemudian menegaskan bahwa
proses pengendalian internal mereka bekerja dengan baik. Perbedaan utama antara prosedur
pengendalian internal COSO di bawah aturan SOx dan COSO ERM adalah bahwa suatu
perusahaan secara hukum diharuskan untuk mematuhi prosedur SOx untuk menegaskan
kecukupan pengendalian internal mereka kepada auditor eksternal mereka sebagai bagian dari
persyaratan pelaporan keuangan SEC. Tidak ada persyaratan hukum seperti itu dengan COSO
ERM saat ini. Suatu perusahaan harus berusaha untuk menginstal aktivitas pengendalian
pemantauan risiko untuk memantau berbagai risiko yang telah diidentifikasi. Karena sifat
kritis dari banyak risiko bagi suatu perusahaan, pemantauan manajemen risiko dapat menjadi
sangat penting bagi kesehatan perusahaan secara keseluruhan.

Banyak aktivitas pengendalian di bawah pengendalian internal COSO cukup mudah

untuk diidentifikasi dan diuji karena sifat akuntansi dari banyak pengendalian internal. Area
pengendalian internal berikut:

 Pemisahan Tugas. Pada dasarnya, orang yang memulai transaksi tidak boleh menjadi
orang yang sama yang mengotorisasi transaksi tersebut.
 Jalur Audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan
mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
 Keamanan dan Integritas. Proses pengendalian harus memiliki prosedur pengendalian
yang tepat sehingga hanya orang yang berwenang yang dapat meninjau atau
memodifikasinya.
 Dokumentasi. Proses harus didokumentasikan dengan tepat.

Aktivitas pengendalian terkait risiko spesifik dapat didefinisikan dalam masing-

masing kategori ini, baik untuk keseluruhan perusahaan atau mencakup beberapa unit atau
fungsi. Meskipun tidak ada standar yang diterima atau set standar kegiatan pengendalian
manajemen risiko perusahaan saat ini, dokumentasi COSO ERM menyarankan beberapa
bidang sebagai berikut:
 Ulasan Tingkat Atas. Sementara manajemen senior mungkin agak tidak menyadari
"apakah debet sama dengan kredit?" prosedur pengendalian internal yang dicakup
oleh tim keuangan dan auditor mereka, mereka harus sangat menyadari peristiwa
risiko yang diidentifikasi dalam unit organisasi dan harus melakukan secara teratur
tinjauan tingkat atas tentang status risiko yang teridentifikasi serta kemajuan respons
risiko. Jenis tinjauan reguler ini digabungkan dengan tindakan korektif tingkat atas
yang sesuai adalah aktivitas pengendalian ERM utama.
 Fungsional Langsung atau Manajemen Aktivitas. Selain tinjauan tingkat atas yang
diuraikan di atas, manajer unit fungsional dan langsung harus memiliki peran kunci
dalam pemantauan aktivitas pengendalian risiko. Hal ini sangat penting dalam
perusahaan besar dan beragam di mana aktivitas pengendalian biasanya tidak hanya
terjadi di tingkat unit lokal dan kemudian menaikkan hierarki organisasi ke beberapa
tingkat manajemen pusat. Sebaliknya, aktivitas pengendalian terkait risiko harus
dilakukan dalam unit operasi terpisah dengan komunikasi dan resolusi risiko yang
terjadi di seluruh saluran perusahaan.
 Memproses informasi. Baik itu jenis proses sistem TI atau bentuk yang lebih lunak
seperti kertas atau pesan, prosedur pemrosesan informasi mewakili komponen kunci
dalam aktivitas pengendalian terkait risiko perusahaan. Prosedur pengendalian yang
tepat di sini, dengan penekanan pada proses dan risiko TI perusahaan.
 Kontrol Fisik. Banyak peristiwa terkait risiko melibatkan aset fisik seperti peralatan,
persediaan, sekuritas, dan pabrik produksi. Apakah itu persediaan fisik, inspeksi, atau
prosedur keamanan pabrik, perusahaan harus memasang prosedur aktivitas
pengendalian fisik berbasis risiko yang sesuai.
 Indikator Kinerja. Perusahaan modern yang khas saat ini menggunakan berbagai
alat pelaporan keuangan dan operasional. Banyak dari alat ini dapat digunakan
sebagaimana adanya atau dimodifikasi untuk mendukung pelaporan kinerja terkait
peristiwa risiko. Dalam banyak kasus, alat kinerja keseluruhan perusahaan dapat
dimodifikasi untuk mendukung komponen aktivitas kontrol yang penting ini.
 Pemisahan tugas. Ini adalah aktivitas kontrol klasik, baik untuk pengendalian
internal proses bisnis atau untuk manajemen risiko. Orang yang memulai tindakan
tertentu tidak boleh menjadi orang yang sama yang mengizinkan atau menyetujui
tindakan tersebut. Aktivitas kontrol kunci ini penting apakah itu di unit bisnis yang
lebih kecil di mana penyelia karyawan akan diminta untuk memeriksa dan
 menyetujui tindakan karyawan atau dengan CEO yang harus mendapatkan
persetujuan pengawasan dari dewan direksi.

Komponen ERM COSO: Informasi dan Komunikasi

Banyak perusahaan memiliki jaringan yang kompleks dari sistem informasi yang
sering tidak terhubung dengan baik untuk proses operasional dan keuangan dasar mereka.
Keterkaitan ini menjadi lebih kompleks dengan upaya untuk menghubungkan berbagai proses
ERM, mengingat bahwa banyak aplikasi dasar perusahaan tidak secara langsung
meminjamkan diri pada identifikasi risiko, penilaian, dan proses tipe respons risiko. Beberapa
dari fungsi pemantauan risiko ini dapat dibangun ke dalam aplikasi TI perusahaan-lebar yang
komprehensif, yang disebut perencanaan sumber daya perusahaan (ERP), yang umum di
banyak perusahaan besar. Meskipun lebih berorientasi pada area keuangan dan operasional,
jenis aplikasi sistem ERP dapat memberikan dasar untuk sistem informasi ERM perusahaan.

Melampaui aplikasi informasi ERM yang komprehensif untuk suatu perusahaan,

seringkali ada kebutuhan untuk mengembangkan pemantauan risiko dan sistem komunikasi
yang menghubungkan dengan pelanggan, pemasok, dan pemangku kepentingan lainnya,
Meskipun ini dulunya merupakan proses yang sulit, saat ini penggunaan database berbasis
Web secara luas dengan informasi eksternal dan sikap kooperatif dari banyak pemasok dan
pelanggan di perusahaan yang lebih besar membuat hubungan informasi ini lebih dapat
dicapai saat ini.

Sementara elemen informasi dari komponen informasi dan komunikasi COSO ERM
biasanya dianggap sebagai sistem informasi strategis dan operasional TI, komunikasi ERM
juga merupakan aspek kedua dari komponen ini. COSO ERM juga berbicara tentang
komunikasi di luar hanya aplikasi TI dalam kebutuhan perusahaan untuk membangun
beberapa mekanisme komunikasi yang kuat di dalam perusahaan untuk memastikan bahwa
semua pemangku kepentingan menerima pesan mengenai kepentingan perusahaan dalam
mengelola risikonya dan mengkomunikasikan tingkat informasi yang sesuai kepada
pemangku kepentingan. Komponen utama dari pesan ini adalah untuk memperkenalkan
bahasa risiko umum di seluruh perusahaan serta peran dan tanggung jawab semua pemangku
kepentingan mengenai peran mereka dalam ERM. Tempat yang tepat untuk memperkenalkan
masalah ini mungkin dalam hubungannya dengan upaya kepatuhan Sox.
Komponen ERM COSO: Pemantauan

Proses pemantauan yang berkelanjutan dan berkelanjutan dapat menjadi metode yang
efektif untuk menandai pengecualian atau pelanggaran dalam beberapa aspek proses ERM
secara keseluruhan. Fungsi penagihan piutang dapat memberikan beberapa risiko keuangan
dan operasional secara keseluruhan jika tagihan pelanggan tidak dibayar tepat waktu. Alat
pemantauan penagihan kredit yang sedang berlangsung—hampir real-time—dapat memberi
manajemen senior data harian dan tren lainnya tentang status penagihan. Ada banyak
mekanisme untuk menyediakan informasi semacam ini kepada manajemen, tetapi alat
otomatis dasbor bersama dengan peran chief risk officer (CRO).

Dokumen Kerangka Aplikasi COSO ERM menyarankan pemantauan ini dapat

mencakup jenis kegiatan berikut:

 Implementasi mekanisme pelaporan manajemen yang kuat dan berkelanjutan seperti

posisi kas, penjualan unit, dan data keuangan dan operasional utama lainnya. Perusahaan
yang terorganisasi dengan baik tidak perlu menunggu sampai akhir bulan fiskal atau
lebih buruk lagi untuk jenis laporan status operasional dan keuangan ini. Alat pelaporan
harus diperluas untuk memasukkan langkah-langkah ERM utama. Jenis kilatan yang
sering disebut pelaporan ini harus dilakukan di semua tingkat perusahaan yang sesuai.
 Proses pelaporan berkala dipasang untuk secara khusus memantau aspek-aspek kunci
dari kriteria risiko yang ditetapkan. Ini mungkin termasuk hal-hal seperti tingkat
kesalahan yang dapat diterima atau item yang ditahan dalam ketegangan. Daripada hanya
melaporkan statistik berkala, pelaporan tersebut harus menekankan tren statistik dan
perbandingan dengan periode sebelumnya serta dengan sektor industri lainnya. Jenis
pelaporan ini akan menyoroti potensi peringatan terkait risiko.
 Status terkini dan berkala dari temuan dan rekomendasi terkait risiko dari laporan audit
internal dan eksternal. Pelaporan berkala ini harus mencakup status kesenjangan yang
diidentifikasi SOx terkait ERM.
 Memperbarui informasi terkait risiko dari sumber seperti peraturan yang direvisi
pemerintah, tren industri, dan berita ekonomi umum. Sekali lagi, jenis pelaporan
ekonomi dan operasional ini harus tersedia untuk manajer di semua tingkatan. Pelaporan
informasi yang sama harus diperluas untuk mencakup masalah manajemen risiko
perusahaan juga.
 Pemantauan evaluasi terpisah atau individual mengacu pada tinjauan rinci proses
risiko individu oleh peninjau yang berkualifikasi, seperti fungsi audit internal. Fungsi audit
internal yang efektif biasanya akan memiliki banyak kegiatan peninjauan lainnya, dan setiap
peninjauan perlu dikoordinasikan dengan kegiatan audit internal lain yang direncanakan.
Peran audit internal dalam proses ERM dan dengan pemantauan, khususnya. Apakah itu audit
internal, konsultan luar, atau staf terlatih dari dalam perusahaan, setiap tinjauan individu
tertentu dari proses ERM mungkin menggunakan alat-alat berikut:

 Flowchart Proses. Sebagai bagian dari proses ERM yang teridentifikasi, pihak yang
bertanggung jawab harus mengembangkan diagram alir atau diagram serupa yang
mendokumentasikan proses tersebut.
 Tinjauan Risiko dan Bahan Pengendalian. Proses ERM sering menghasilkan sejumlah
besar bahan panduan, prosedur terdokumentasi, format laporan, dan sejenisnya. Mungkin
sering ada nilai dalam meninjau risiko dan bahan kontrol dari perspektif efektivitas. Tim
ERM khusus, audit internal, atau fungsi jaminan kualitas perusahaan dapat melakukan
tinjauan tersebut.
 Pembandingan. Meskipun istilah yang sering disalahgunakan, benchmarking di sini
adalah proses melihat fungsi ERM perusahaan lain untuk menilai operasi mereka dan
untuk mengembangkan pendekatan berdasarkan praktik terbaik orang lain.
 Kuesioner. Metode yang baik untuk mengumpulkan informasi dari berbagai macam
orang, kuesioner dapat dikirim ke pemangku kepentingan yang ditunjuk dengan
permintaan informasi spesifik. Ini adalah teknik yang berharga untuk pemantauan ketika
responden tersebar secara geografis, seperti survei pemantauan risiko karyawan di
perusahaan ritel nasional.
 Sesi yang Difasilitasi. Informasi berharga seringkali dapat dikumpulkan dengan
meminta orang-orang terpilih untuk berpartisipasi dalam sesi kelompok fokus yang
dipimpin oleh seorang pemimpin konferensi yang terampil. Ini adalah pendekatan yang
digunakan oleh banyak perusahaan untuk mengumpulkan informasi riset pasar melalui
apa yang disebut kelompok fokus.

Tujuan dari proses pemantauan ini adalah untuk menilai seberapa baik kerangka kerja
ERM berfungsi dalam suatu perusahaan. Kekurangan harus dilaporkan secara teratur kepada
manajer yang bertanggung jawab atas risiko perusahaan di area spesifik yang dipantau serta
ke ERM atau kantor manajemen risiko. Peran dan tanggung jawab kantor manajemen
perusahaan tentang penerapan manajemen risiko perusahaan yang efektif. Konsep di balik
pemantauan ini tidak hanya untuk menemukan kesalahan atau kekurangan tetapi untuk
mengidentifikasi area di mana kerangka ERM dapat ditingkatkan.

DIMENSI LAIN DARI KERANGKA ERM

Kerangka kerja tiga dimensi dengan delapan kategorinya sebagai satu dimensi di
bagian yang baru saja dibahas. Dimensi lainnya adalah empat kategori objektif yang diwakili
oleh kolom vertikal dan entitas serta unit yang dijelaskan dalam dimensi ketiga. Sementara
delapan kategori ERM untuk memahami dan menggunakan COSO, dua dimensi lain dari
strategi dan unit organisasinya juga penting. Untuk memahami risiko yang melingkupi tujuan
organisasi, seseorang harus mengevaluasi risiko tersebut dalam hal, kemungkinan, pelaporan
yang terkait dengan risiko tersebut dan unit organisasi tertentu yang menjadi fokus utama
risiko tersebut.

COSO ERM perlu dipahami dari ketiga dimensi dan perspektif kerangka kerja ERM
ini. Bab ini telah membahas delapan komponen utama COSO ERM yang menghadap ke
depan sementara dua dimensi COSO ERM lainnya, kategori tujuan dan dimensi entitas atau
unit. beberapa aplikasi penggunaan COSO ERM di beberapa lingkungan organisasi. Proses
ERM yang efektif, tidak peduli seberapa baik dirancang dan dioperasikan, hanya memberikan
jaminan yang masuk akal—tetapi tidak positif—bahwa perusahaan akan mencapai tujuan
terkait risikonya dalam filosofi dan selera yang ditetapkan manajemen. untuk risiko. Namun,
tidak peduli seberapa baik ERM dirancang dan dikelola, bisa ada kegagalan karena kesalahan
manusia atau berbagai kejadian tak terduga.