1.

Selama proses penetapan tujuan, manajemen harus menetapkan tujuan mereka dengan
cukup jelas agar resiko dapat diidentifikasi dan dinilai.
Suatu organisasi mungkin tidak memerlukan analisis dan penetapan tujuan secara
berkala, namun organisasi perlu melakukan penilaian terhadap risiko secara berkala.
Tujuan dari proses penilaian risiko adalah untuk mengevaluasi bahaya, kemudian
menghilangkan bahaya tersebut atau meminimalkan tingkat risikonya dengan
menambahkan tindakan pengendalian, jika diperlukan.

2. Risiko dibagi menjadi 2:

- Risiko Bawaan (Inherent Risk), resiko yang terjadi karena tidak adanya pengendalian
internal.
Tidak adanya pengendalian internal kemungkinan terjadi karena ketidaksiapan dari
manajemen. Mungkin saja menajemen tidak memahami pentingnya pengendalian
internal.
Untuk melakukan pengendalian internal memang membutuhkan biaya. Akan tetapi,
perusahaan yang memiliki aset yang cukup banyak harus melakukan pengendalian
internal karena biaya untuk pengendalian internal jauh lebih kecil dibandingkan aset
yang akan lenyap jika tidak dilakukan pengendalian internal tersebut.

- Risiko Residual (Residual Risk), resiko yang masih terjadi meskipun manajemen
sudah melakukan pengendalian internal.
Risiko ini tetap ada setelah manajemen merespon risiko, misal dengan mengurangi
atau memindahkan risiko.
Manusia memiliki keterbatasan, meskipun sudah melakukan yang terbaik pasti
memiliki kemungkinan ada kekurangan-kekurangan. Tetapi tentu saja residual risk ini
jauh lebih kecil dibandingkan dengan inherent risk.

3. Respons risiko merupakan proses pengendalian risiko yang teridentifikasi.

Respons risiko adalah proses perencanaan dan pengambilan keputusan di mana para
pemangku kepentingan memutuskan bagaimana menangani setiap risiko.
 Tujuan dari respon risiko adalah mengurangi likelihood dan/atau dampak dari risiko
terhadap pencapaian tujuan organisasi.
- Mengurangi risiko, melakukan tindakan untuk mengurangi risiko. Misalnya, prosedur
dan peralatan kerja yang dirancang untuk mengurangi risiko keselamatan di tempat
kerja.
- Menerima risiko, menerima risiko yang sudah dalam batas tolerasi.
- Membagikan risiko, membagi risiko melalui asuransi.
- Menghindari risiko, menjauh dari risiko seperti keluar dari geografis yang berisiko.

4. Mengidentifikasi kejadian atau ancaman yang menyerang perusahaan.

Proses menetapkan apa, dimana, kapan, mengapa, dan bagaimana sesuatu dapat terjadi,
sehingga dapat berdampak negatif terhadap pencapaian tujuan.
Memperkirakan kemungkinan atau probabilitas dari masing-masing ancaman yang
terjadi.
Memperkirakan dampak atau kerugian potensial dari setiap ancaman.
Kemungkinan dan dampak harus dipertimbangkan bersama. Ketika keduanya meningkat,
kebutuhan untuk melindungi meningkat.
Mengidentifikasi pengendalian untuk melawan setiap ancaman.
Manajemen harus mengidentifikasi pengendalian yang melindungi perusahaan dari setiap
kejadian. Kontrol preventif biasanya lebih unggul daripada kontrol detektif. Ketika
kontrol preventif gagal, kontrol detektif sangat penting untuk menemukan masalah.
Kontrol korektif membantu memulihkan dari setiap masalah. Sistem pengendalian
internal yang baik harus menerapkan ketiganya.
Memperkirakan biaya dan manfaat dari pengendalian yang dibentuk.
Memiliki terlalu banyak kontrol akan memakan biaya yang mahal dan berdampak negatif
pada efisiensi operasional. Sebaliknya, memiliki terlalu sedikit kontrol tidak akan
memberikan jaminan yang masuk akal yang dibutuhkan.
Sehingga manfaat atau keuntungan dari pengendalian internal harus melebihi biayanya.
Apakah menguntungkan untuk melindungi sistem dari ancaman?
Menentukan keefektifan biaya/manfaat
Manajemen harus menentukan apakah suatu pengendalian menguntungkan dari segi
biaya.

Pengendalian biaya efektif harus diimplementasikan untuk mengurangi risiko. Risiko

yang tidak dikurangi harus diterima, dibagi, atau dihindari.
Risiko dapat diterima jika berada dalam kisaran toleransi risiko perusahaan. Contohnya
adalah risiko dengan kemungkinan kecil dan dampak kecil.

Respon untuk mengurangi atau berbagi risiko membantu membawa risiko residual ke
dalam kisaran toleransi risiko yang dapat diterima.

Sebuah perusahaan mungkin memilih untuk menghindari risiko ketika tidak ada cara
yang hemat biaya untuk membawa risiko ke tingkat yang dapat diterima rentang toleransi
risiko.