SISTEM PENGENDALIAN INTERNAL

RANGKUMAN ENTERPRISE RISK MANAGEMENT CHAPTER 1-3

Dosen Pengampu :
Dr. Etna Afri Yuyetta, S.E., M.Si., Akt

Oleh :
Niken Kenanga Aviola 12030120420030

MAGISTER AKUNTANSI
FAKULTAS EKONOMIKA DAN BISNIS
UNIVERSITAS DIPONEGORO
2021
 CHAPTER 1
MANAJEMEN RISIKO PERUSAHAAN SAAT INI
Pendahuluan
Standar yang diakui atau dikenal dengan baik. tata kelola dan manajemen
perusahaan yang efektif. Kepatuhan terhadap standar ini memungkinkan
perusahaan untuk menunjukkan bahwa mereka mengikuti praktik terbaik dan
mematuhi aturan peraturan.
Kerangka Kerja Kontrol Internal Coso: Bagaimana Kita Dapatkan Di Sini? 
Fokus asli COSO tidak pada manajemen risiko perusahaan tetapi pada
alasan di balik masalah pengendalian internal yang berkontribusi terhadap
kegagalan pelaporan keuangan beberapa tahun yang lalu. Laporan pertama COSO,
dirilis pada tahun 1987, meminta manajemen untuk melaporkan keefektifan sistem
pengendalian internal mereka. Laporan atau kerangka kerja Pengendalian Internal
COSO disebut sebagai kerangka kerja untuk membedakannya dari kerangka kerja
COSO Enterprise Risk Management atau COSO ERM, topik utama kami.
Kerangka Kerja Kontrol Internal Coso 
Menurut COSO pengendalian internal adalah suatu proses, yang
dipengaruhi oleh dewan direksi, manajemen, dan personel lain suatu entitas, yang
dirancang untuk memberikan jaminan yang wajar mengenai pencapaian tujuan
dalam kategori berikut: 
 Efektivitas dan efisiensi operasi 
 Keandalan pelaporan keuangan 
 Kepatuhan terhadap hukum dan peraturan yang berlaku 
Definisi COSO tentang pengendalian internal menggunakan model tiga
dimensi untuk menggambarkan sistem pengendalian internal di suatu perusahaan.
terdiri dari lima tingkat atau lapisan horizontal, tiga komponen vertikal, dan beberapa
sektor yang mencakup dimensi ketiganya. Namun, ini bukan komponen individual
dan terpisah tapi semuanya saling berhubungan dengan pengendalian internal di
masing-masing tergantung satu sama lain.
Elemen Pengendalian Internal COSO: Lingkungan Pengendalian 
Lingkungan pengendalian mencerminkan keseluruhan sikap, kesadaran, dan
tindakan dewan direksi, manajemen, dan pihak lain mengenai pentingnya
pengendalian internal dalam perusahaan. 
1. Faktor Lingkungan Pengendalian: Integritas dan NilaiNilai Etis.
Integritas keseluruhan perusahaan dan nilainilai etika merupakan elemen
penting dari lingkungan pengendaliannya yang sering didefinisikan dan
dikomunikasikan melalui pesan '' tone at the top '' manajemen senior. Jika suatu
perusahaan telah mengembangkan kode etik bisnis yang kuat yang
menekankan integritas dan nilainilai etika, dan jika pemangku kepentingannya
tampaknya mengikuti kode tersebut, ini adalah pesan yang kuat bahwa
perusahaan tersebut memiliki seperangkat nilai etika yang baik.
2. Faktor Lingkungan Pengendalian: Komitmen terhadap Kompetensi.
Perusahaan harus menentukan tingkat kompetensi yang diperlukan untuk
tugas pekerjaannya dan menerjemahkan persyaratan tersebut ke dalam tingkat
pengetahuan dan keterampilan yang diperlukan. Dengan menempatkan orang
yang tepat dalam pekerjaan yang sesuai dan memberi mereka pelatihan yang
memadai bila diperlukan, perusahaan membuat komitmen keseluruhan terhadap
kompetensi, elemen penting dalam lingkungan pengendalian perusahaan secara
keseluruhan. 
3. Faktor Lingkungan Pengendalian: Dewan Direksi dan Komite Audit.
Lingkungan pengendalian sangat dipengaruhi oleh tindakan dewan direksi
perusahaan dan komite auditnya. Persyaratan hukum SOx, dewan aktif dan
independen merupakan komponen penting dari lingkungan pengendalian
perusahaan. Anggota dewan harus mengajukan pertanyaan yang sesuai
kepada manajemen puncak dan memberikan semua aspek pengawasan rinci
perusahaan.
4. Faktor Lingkungan Pengendalian: Filosofi Manajemen dan Gaya Operasi.
Faktor manajemen senior ini memiliki pengaruh yang besar terhadap
lingkungan pengendalian perusahaan. Manajer dan orang lain yang
bertanggung jawab untuk menilai pengendalian internal harus memahami faktor-
faktor ini dan membawa mereka ke dalam pertimbangan ketika menginstal dan
membangun suatu sistem pengendalian internal yang efektif saat ini.
5. Pengendalian Faktor Lingkungan: Struktur Organisasi.
Komponen-komponen ini memberikan kerangka kerja untuk
perencanaan, pelaksanaan, pengendalian, dan pemantauan kegiatan untuk
mencapai tujuan keseluruhan. Aspek lingkungan pengendalian ini berkaitan
dengan cara berbagai fungsi dikelola dan diatur, mengikuti bagan perusahaan
 klasik. Beberapa perusahaan sangat tersentralisasi sementara yang lain
terdesentralisasi berdasarkan produk atau geografi. Yang lain lagi diatur dalam
cara matriks tanpa satu jalur pelaporan langsung.
6. Pengendalian Faktor Lingkungan: Penugasan Wewenang dan Tanggung
Jawab.
Struktur perusahaan menentukan penugasan dan integrasi dari upaya
kerja total. Pemberian wewenang pada dasarnya adalah cara tanggung jawab
didefinisikan dalam istilah uraian tugas dan terstruktur dalam bagan
perusahaan. Meskipun penugasan pekerjaan tidak pernah bisa sepenuhnya
lepas dari beberapa tanggung jawab yang tumpang tindih atau bersama,
semakin tepat tanggung jawab ini dapat dinyatakan, semakin baik.
7. Mengendalikan Faktor Lingkungan: Kebijakan dan Praktik Sumber Daya
Manusia.
Area di mana kebijakan dan praktik sumber daya manusia ini sangat
penting meliputi: 
 Perekrutan dan Perekrutan. Perusahaan harus mengambil langkah-
langkah untuk merekrut kandidat terbaik dan paling berkualitas. Latar
belakang calon karyawan harus diperiksa untuk memverifikasi halhal seperti
latar belakang pendidikan dan pengalaman kerja sebelumnya.
 Orientasi Karyawan Baru. Sinyal yang jelas harus diberikan kepada
karyawan baru mengenai sistem nilai perusahaan dan konsekuensi dari
tidak mematuhi nilai-nilai tersebut.
 Evaluasi, Promosi, dan Kompensasi. Harus ada program evaluasi kinerja
yang adil yang tidak tunduk pada kebijaksanaan manajerial yang berlebihan.
 Tindakan Disiplin. Kebijakan yang konsisten dan dipahami dengan baik
untuk tindakan disipliner harus ada. Semua karyawan harus tahu bahwa jika
mereka melanggar aturan tertentu, mereka akan dikenakan tindakan
disipliner yang akan mengakibatkan setidaknya pemecatan. 
Lingkungan pengendalian internal COSO dan tujuh faktor lingkungan
pengendalian yang baru saja didiskusikan memberikan dasar bagi komponen
lain dari kerangka pengendalian internal COSO ini.
Elemen Pengendalian Internal COSO: Penilaian Risiko 
Kemampuan perusahaan untuk mencapai tujuannya dapat berisiko karena
berbagai faktor internal dan eksternal. Sebagai bagian dari struktur pengendalian
internalnya secara keseluruhan, perusahaan harus memiliki proses untuk
mengevaluasi potensi risiko yang dapat berdampak pada pencapaian berbagai
tujuan pengendalian internalnya. Kerangka pengendalian internal COSO
menggambarkan penilaian risiko sebagai proses tiga langkah: 
1. Perkirakan signifikansi risiko. 
2. Menilai kemungkinan atau frekuensi risiko yang terjadi. 
3. Pertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa yang
harus diambil. 
Kerangka kerja pengendalian internal COSO dirilis lebih dari 10 tahun
sebelum COSO ERM menekankan bahwa analisis risiko bukanlah proses teoretis,
tetapi sering kali dapat menjadi penting bagi keberhasilan keseluruhan entitas.
Komponen dan Aktivitas Pengendalian Internal COSO Lainnya 
Pengendalian internal dan manajemen risiko perusahaan masing-masing
mengambil perspektif yang berbeda untuk memahami dan mengevaluasi aktivitas
dalam suatu perusahaan. Sementara kontrol internal COSO berfokus pada aktivitas
sehari-hari perusahaan, manajemen risiko perusahaan berfokus pada aktivitas yang
mungkin dilakukan atau tidak dilakukan oleh perusahaan dan manajernya.
Kontrol Internal Coso: Standar Kontrol Internal Utama Yang Diakui 
Kerangka kerja kontrol internal COSO dirilis pada tahun 1992 sebagai
publikasi tiga volume yang menjelaskan standar kontrol internal ini. Meskipun
awalnya ada pengakuan terbatas dari kerangka COSO di luar komentar dalam
publikasi AICPA dan IIA, kantor akuntan publik besar dan lainnya segera mulai
melihat nilainya. Selama bertahun-tahun, kerangka kerja pengendalian internal
COSO telah menjadi standar pedoman di seluruh dunia untuk mendefinisikan,
menjelaskan, dan menilai pengendalian internal. 
Pengantar COSO ERM 
Rilis kerangka kerja pengendalian internal COSO dengan definisinya
menunjuk ke area terkait lainnya di mana definisi yang konsisten masih kurang.
Salah satunya adalah manajemen risiko, sebuah konsep yang telah menerima
banyak definisi dan interpretasi oleh berbagai kelompok industri. Ini adalah era
sebelum aturan SOx era 2002, ketika beberapa kantor akuntan publik mulai
menyebut diri mereka profesional manajemen risiko, meskipun banyak yang
tampaknya tidak memiliki pemahaman yang jelas tentang apa yang dimaksud
dengan manajemen risiko. Untuk mencoba mengembangkan definisi manajemen
risiko yang konsisten, COSO mengontrak kantor akuntan publik
PricewaterhouseCoopers (PwC) pada tahun 2001 untuk mengembangkan definisi
umum yang konsisten untuk manajemen risiko. Hasilnya adalah COSO Enterprise
Risk Management atau COSO ERM framework, topik utama kami.
Tata Kelola, Risiko, Dan Kepatuhan 
Tata kelola perusahaan adalah subjek multifaset, dengan tema penting untuk
memastikan akuntabilitas individu tertentu dalam suatu perusahaan melalui
mekanisme yang mencoba untuk mengurangi atau menghilangkan konflik yang
akan ada antara tujuan keseluruhan mereka dan kepentingan pribadi pemangku
kepentingan individu. Dalam banyak aktivitas perusahaan, terdapat kebutuhan yang
terus menerus untuk memfokuskan sistem tata kelola pada efisiensi ekonomi
bersama dengan penekanan kuat pada kesejahteraan pemegang saham dan
pemangku kepentingan. 
Produk Komputer Global: Contoh Perusahaan Kami 
Gambaran dan latar belakang dari perusahaan yaitu
 Lobal Computer Products adalah produsen dan distributor produk keamanan
komputer berbasis perangkat keras dan lunak, deskripsi ini mewakili jenis
organisasi menengah saat ini yang beroperasi secara internasional dalam
teknologi yang lebih maju tetapi area yang didorong oleh penjualan,
Perusahaan ini memiliki kantor pusat di wilayah Chicago dengan fasilitas
pengembangan keamanan komputer di San Jose, CA, dan empat pusat
distribusi produk di lokasi AS yang lebih kecil serta kantor distribusi di Belgia,
Risiko yang terdampak pada perusahaan Komputer Global ini yaitu antara lain
sebagai berikut: 
 Organisasi Risiko Strategis yang dapat mempengaruhi keefektifan produk
atau operasi
 Risiko Operasi Perusahaan 
 Risiko Pelaporan Keuangan dan Operasional 
 Risiko Kepatuhan 
 CHAPTER 2
PENTINGNYA TATA KELOLA, RISIKO, DAN PRINSIP KEPATUHAN
Jalan Menuju Prinsip GRC Yang Efektif

Semua perusahaan, dan perusahaan pada khususnya, secara historis tidak

menganggap GRC sebagai seperangkat prinsip gabungan. Sebanyak perusahaan
yang mengelola atau memperhatikan salah satu bidang ini, mereka sering kali
dikelola sebagai bidang atau urusan yang terpisah. Manajemen risiko sudah menjadi
kasus klasik. Perusahaan memikirkan manajemen risiko dalam kaitannya dengan
pertanggungan asuransi dan sering kali mengelola risikonya melalui departemen
asuransi yang tidak ada hubungannya dengan operasi perusahaan lain.

Dalam segitiga ini, kami memiliki komponen strategi, proses yang efektif,
teknologi, termasuk TI, dan orang-orang di perusahaan untuk membuat semua ini
berfungsi. Di sisi kiri, diagram tersebut menunjukkan bahwa perusahaan
membutuhkan perhatian dan dukungan manajemen, dan disisi kanan menunjukkan
perilaku etis yang benar, efisiensi organisasi, dan peningkatan efektivitas adalah
kuncinya. Jadi secara keseluruhan, GRC bukan hanya apa yang harus Anda
lakukan untuk menjaga perusahaan, tetapi sebuah paradigma untuk membantu
menumbuhkan perusahaan itu dengan cara terbaik.

Pentingnya Tata Kelola GRC

Tata kelola perusahaan atau perusahaan adalah istilah yang mengacu secara
luas pada aturan, proses, atau hukum yang dengannya bisnis dioperasikan, diatur,
dan dikendalikan. Istilah ini dapat merujuk pada faktor internal yang ditentukan oleh
pejabat, pemegang saham, atau piagam dan tujuan dasar perusahaan, serta
kekuatan eksternal seperti kelompok konsumen, klien, dan peraturan pemerintah.
Beranjak dari tingkat perusahaan senior dan ke dalam operasi perusahaan, kami
dapat mendefinisikan tata kelola perusahaan sebagai tanggung jawab dan praktik
yang dilakukan oleh dewan, manajemen eksekutif, dan semua tingkat manajemen
fungsional dengan tujuan memberikan arahan strategis, memastikan bahwa tujuan
tercapai, memastikan bahwa risiko dikelola dengan tepat, dan memverifikasi bahwa
sumber daya perusahaan digunakan secara bertanggung jawab. Sebenarnya tata
kelola mengacu pada proses penetapan aturan dan prosedur dalam semua tingkat
perusahaan, mengkomunikasikan aturan tersebut ke tingkat pemangku kepentingan
yang sesuai, memantau kinerja terhadap aturan tersebut, dan mengelola
penghargaan dan hukuman berdasarkan kinerja relatif atau kepatuhan dengan
aturan tersebut.
Komponen Manajemen Risiko GRC
Ada empat langkah yang saling berhubungan dalam lima proses GRC dan
dalam manajemen risiko perusahaan, yaitu :

1. Penilaian dan perencanaan risiko. Perusahaan menghadapi semua tingkat

risiko, baik masalah global berdasarkan cuaca atau ancaman mata uang
hingga ancaman terkait cuaca di lokasi operasi.
2. Identifikasi dan analisis risiko. Daripada hanya merencanakan kemungkinan
terjadinya beberapa peristiwa risiko, diperlukan analisis yang lebih rinci
tentang kemungkinan terjadinya risiko serta potensi dampaknya.
3. Memanfaatkan dan mengembangkan strategi respons risiko. Pada dasarnya
sebuah konsep yang harus dipertimbangkan secara paralel dengan
identifikasi risiko, perusahaan harus mengembangkan rencana dan strategi
untuk kembali ke operasi normal dan kemudian pulih dari peristiwa risiko
tersebut.
4. Pemantauan risiko. Alat dan fasilitas harus tersedia untuk memantau risiko
yang mungkin terjadi.

Manajemen risiko harus menciptakan nilai dan menjadi bagian integral dari
proses organisasi.

Kepatuhan GRC dan Perusahaan

Kepatuhan adalah proses mematuhi serangkaian pedoman atau aturan yang
ditetapkan oleh lembaga pemerintah, grup standar, atau kebijakan perusahaan
internal. Sehingga, kepatuhan menjadi proses yang berkelanjutan, bukan proyek
satu kali, dan terus mendorong agenda bisnis karena organisasi dimintai
pertanggungjawaban untuk memenuhi berbagai mandat khusus untuk pasar vertikal
mereka. Perusahaan perlu mendekati prinsip kepatuhan GRC mereka dari perspektif
yang lebih strategis yang dapat membantu mereka bergerak lebih dari sekadar
memenuhi mandat kepatuhan individu untuk mewujudkan manfaat bisnis yang nyata
dari investasi infrastruktur mereka secara keseluruhan. Yang mana, pendekatan
yang konsisten pada penggunaan kapabilitas yang dipicu oleh kepatuhan dan
teknologi pendukung di seluruh perusahaan dapat memberikan manfaat potensial
berikut :

1. Mengurangi total biaya kepemilikan. Investasi dapat dimanfaatkan di berbagai

regulasi.
2. Fleksibilitas. Salah satu kesulitan dalam kepatuhan adalah bahwa peraturan
baru diperkenalkan dan peraturan yang ada sering diubah.
3. Keunggulan kompetitif. Arsitektur kepatuhan yang luas dan konsisten dapat
memungkinkan perusahaan untuk lebih memahami dan mengontrol proses
bisnis mereka , yang memungkinkan mereka merespons tekanan eksternal
atau internal dengan lebih cepat dan akurat.

Proses kepatuhan GRC yang efektif membantu perusahaan untuk mengubah

operasi bisnis mereka dan mendapatkan wawasan yang lebih dalam serta dapat
diprediksi dari proses bisnis mereka saat menangani persyaratan yang digerakkan
oleh peraturan.

Pentingnya Praktik Dan Prinsip GRC Yang Efektif

Selain manajemen risiko yang efektif dan proses COSO ERM, perusahaan
juga perlu mengadopsi proses tata kelola dan kepatuhan yang kuat, dengan tujuan
menetapkan program GRC yang efektif. Meskipun manajemen risiko perusahaan
dan COSO ERM sangat penting bagi perusahaan, program tata kelola dan
kepatuhan yang kuat juga penting. Perusahaan harus memfokuskan banyak
aktivitasnya pada mengikuti prinsip GRC yang kuat.
 FUNDAMENTAL MANAJEMEN RISIKO

Manajemen Risiko telah dipandang sebagai konsep terkait asuransi selama

bertahun-tahun. Faktor keputusan utama di sini adalah risiko yang dirasakan dari
ancaman ini dan biaya asuransi untuk menutupi risiko itu; hal ini selalu
mempengaruhi keputusan untuk membeli asuransi, dan risiko serta biaya asuransi
juga berubah seiring waktu.

Dasar Manajemen Risiko

Manajemen Risiko harus mempertimbangkan 4 langkah : (1) Risk

identification, (2) Quantitative or qualitative assessment of the documented
risks, (3) Risk prioritization and response planning, (4) Risk monitoring.
Proses manajemen risiko ini harus di seluruh perusahaan, melibatkan orang-orang
di semua tingkatan dan di semua unit perusahaan. perusahaan yang lebih kecil
juga harus menunjuk orang untuk bertanggung jawab mengelola proses penilaian
risiko di seluruh perusahaan.
1. Identifikasi Risiko / Risk Identification
Manajemen harus berusaha mengidentifikasi semua kemungkinan risiko yang
dapat memengaruhi keberhasilan perusahaan, mulai dari risiko bisnis keseluruhan
yang lebih besar atau lebih signifikan hingga risiko kurang penting yang terkait
dengan proyek individu atau unit bisnis yang lebih kecil. Agar efektif, proses
identifikasi risiko ini memerlukan lebih dari sekadar mengirimkan email ke manajer
senior di semua unit operasi dengan permintaan untuk membuat daftar risiko utama
di unit operasi mereka.
 Brainstorming adalah latihan kelompok respons cepat di mana orang-orang
berpengetahuan diminta untuk memikirkan hal-hal pertama yang muncul dalam
pikiran sebagai respons terhadap gagasan umum. Tim ERM harus menganalisis
masing-masing risiko yang teridentifikasi dalam sesi sumbang saran ini secara lebih
rinci dengan mengajukan pertanyaan-pertanyaan seperti:
1. Apakah risiko umum di seluruh perusahaan atau untuk satu kelompok bisnis
saja?
2. Apakah perusahaan akan menghadapi risiko ini karena peristiwa internal atau
eksternal?
3. Apakah risiko tersebut salain terkait, sehingga satu risiko dapat menyebabkan
risiko yang lain terjadi?
Hasil sesi brainstorming identifikasi risiko kemudian harus dibagikan dengan
unit lain yang tidak memiliki kesempatan untuk berpartisipasi dalam sesi asli. Hasil
dari risiko yang teridentifikasi harus diperluas ke seluruh perusahaan.
Menggunakan sesi brainstorming, survei dengan anggota manajemen, atau
pendekatan lain, langkah pertama untuk ERM atau proses manajemen risiko adalah
mengidentifikasi populasi risiko yang mengancam perusahaan, baik di tingkat unit
individu atau secara keseluruhan perusahaan.

2. Penilaian Risiko Kunci / Key risk Assessments

Setelah mengidentifikasi risiko perusahaan secara signifikan, langkah
berikutnya adalah menilai kemungkinan relatif yang signifikan. Berbagai
pendekatan yang dapat digunakan di sini, mulai dari analisis pendekatan kualitatif
hingga analisis pendekatan kuantitatif. Pendekatan sederhana namun sering efektif
di sini adalah dengan mengambil daftar risiko yang teridentifikasi dan
menyebarkannya kembali ke semua peserta sesi tukar pikiran atau orang lain
dengan kuesioner yang menanyakan setiap risiko:

a. Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun ke

depan?” Menggunakan skor dari 1 sampai 9, jika :
b. Bagaimana pentingnya suatu risiko dari segi biaya perusahaan secara
keseluruhan? Menggunakan skala 1 sampai 9, skor berkisar harus ditetapkan
tergantung pada keuangan risiko yang signifikan. Sebuah risiko yang dapat
menurunkan biaya laba bersih per saham harus memenuhi syarat untuk nilai
maksimal 9.
 Kuisioner ini harus diedarkan ke orang-orang yang ada dalam manajemen
tersebut untuk menilai masing-masing risiko yang teridentifikasi. Sebagai contoh,
asumsikan bahwa suatu perusahaan telah mengidentifikasi enam risiko, R-1 hingga
R-6, dan empat manajer diminta untuk secara terpisah mengevaluasi setiap risiko
dalam hal kemungkinan dan signifikansi. Nilai-nilai ini kemudian dapat dirata-rata
oleh kedua faktor dan diplot pada penilaian risiko

Bagan analisis seperti yang ditunjukkan. R-1 memiliki skor kemungkinan rata-rata
sekitar 3,75 dan skor signifikansi 7,00, dan skor ini diplot dalam kuadran I dari
bagan contoh. Sebagai contoh, grafik menunjukkan R-1 sebagai yang relatif
signifikan tetapi tidak mungkin terjadi.

• Probabilitas dan Ketidakpastian / Probability and Uncertainty

Ketika beberapa risiko telah teridentifikasi, manajemen harus mengestimasi

kemungkinan terjadinya risiko tersebut secara individu yang berskala mulai dari
0,01 sampai 0,99. Kita menggunakan skala ini karena jika memiliki skala 0 atau
100% kemungkinan untuk terjadi, itu bukanlah risiko. Sedangkan ketika kondisi
dimana ada 2 risiko yang teridentifikasi yang memiliki skala yang sama yaitu 0,6.
Kemungkinan kedua risiko tersebut terjadi adalah:
Probability (Event 1) x Probability (Event 2) = Probability (Both Events)

Yaitu, jika Peristiwa 1 adalah 0,60 dan Peristiwa 2 juga 0,60, probabilitas
gabungan dari kedua peristiwa yang terjadi adalah (0,60) × (0,60) = 0,36. Dalam hal
penilaian, jika risiko memiliki estimasi signifikansi 60% atau perusahaan yakin jika
skor 60% bahwa risiko akan terjadi dan jika dampaknya dinilai pada 60%, ada
kemungkinan 36% bahwa kami akan mencapai keduanya.
• Periode Analisis
Saat memperkirakan kejadian dan kemungkinan, tim ERM harus berhati-hati
untuk memastikan bahwa semua perkiraan dibuat dalam periode waktu yang sama.
Biasanya, selang waktu satu tahun atau setidaknya sampai akhir tahun anggaran
berikutnya adalah selang waktu yang wajar. Biasanya tidak ada cukup informasi
untuk membuat perkiraan yang cukup akurat jauh di luar periode tersebut.
• Interdependensi Risiko / Risk Interdependencies

Masing-masing risiko A, B, C, dan D sering kali tidak bergantung satu sama

lain meskipun beberapa sering umum. Artinya, masing-masing unit ini mungkin
memiliki risiko yang sama tetapi dengan kemungkinan dan signifikansi yang
berpotensi berbeda. Namun, unit pelaporan G harus mempertimbangkan dampak
dari pisahkan risiko di masing-masing unit ini. Risiko terpisah ini akan berdampak
pada J tetapi unit tersebut harus mengevaluasi sifat risiko unit individual tersebut.
• Tingkat Risiko / Risk Ranking

Langkah selanjutnya adalah mengambil estimasi signifikansi dan kemungkinan

yang mapan, menghitung peringkat risiko, dan mengidentifikasi risiko paling
signifikan di seluruh entitas yang ditinjau. Tampilan 3.5 adalah contoh dari jenis
analisis ini. Risiko C dan G memiliki skor peringkat risiko tertinggi dan akan diplot di
kuadran kanan atas sebagai risiko paling signifikan dalam sampel ini.
 Keduanya sering disebut sebagai penggerak risiko atau risiko utama untuk
rangkaian risiko yang teridentifikasi ini. Perusahaan kemudian harus memfokuskan
perhatiannya ke depan pada jenis risiko utama ini. Jadwal peringkat risiko ini harus
disusun berdasarkan unit per unit dan disesuaikan untuk mengakomodasi semua
risiko terkait secara paralel, serta di atas atau di bawah, entitas yang sedang
diperingkat atau dievaluasi. Tim ERM harus mengidentifikasi unit ini dengan unit
yang diidentifikasi dan menilai risiko untuk memastikan bahwa risiko di semua
tingkat telah dinilai dan kemungkinan serta perkiraan signifikansi sesuai di seluruh
perusahaan.
3. Analisis Risiko Kuantitatif : Expected Value and Response Planning

Ada sedikit manfaat dalam menerbitkan daftar rinci risiko yang signifikan kecuali
jika perusahaan setidaknya telah mengambil beberapa langkah tindakan pendahuluan
ketika mereka menghadapi risiko. Idenya adalah untuk memperkirakan dampak biaya
dari beberapa risiko yang teridentifikasi dan kemudian menerapkan biaya tersebut ke
faktor risiko kemungkinan risiko untuk mendapatkan nilai risiko yang diharapkan.
Beberapa risiko dan cara umum untuk memikirkan biaya penggantian meliputi:
1. Risiko A: Kehilangan hingga x% pangsa pasar karena selera konsumen yang
berubah.
• Perkirakan penurunan penjualan dan hilangnya laba karena penurunan x%.
• Perkirakan banyak biayanya untuk mulai memulihkan posisi pasar yang
hilang.
2. Risiko B: Kehilangan sementara fasilitas manufaktur utama selama zz hari
karena akibat badai cuaca buruk.
• Perkirakan biaya terbaik dan terburuk untuk mendapatkan instalasi
sementara untuk beroperasi kembali dalam waktu zz hari.
• Perkirakan tenaga kerja tambahan dan biaya produksi yang dikeluarkan
selama proses perbaikan.
3. Risiko C: Kehilangan sistem TI selama dua hari karena virus komputer yang
merusak.
• Perkirakan kerugian bisnis dan profitabilitas selama periode downnya TI
perusahaan.
• Perkirakan biaya untuk mentransfer operasi ke situs kesinambungan
bisnis.

Faktor-faktor ini menggambarkan jenis pemikiran yang diperlukan untuk

memperkirakan biaya pemulihan dari beberapa peristiwa risiko. Sulit untuk
menentukan berapa biaya untuk pulih dari risiko ini. dengan mempertimbangkan
pertanyaan-pertanyaan berikut ini:
 1. Apa estimasi biaya terbaik untuk risiko yang ditimbulkan?
2. Apa yang akan diperkirakan oleh beberapa orang berpengetahuan tentang
risiko untuk biaya yang ditimbulkan jika risiko itu terjadi?
3. Berapa nilai atau biaya yang diharapkan untuk menanggung risiko?
4. Berapa biaya terburuk untuk risiko? Ini adalah jenis estimasi bagaimana-jika-
semuanya-salah.
4 pertanyaan di atas digunakan untuk menestimasi biaya yang timbul apabila
risiko yang telah diidentifikasi tejadi. Namun satu pertanyaan terbaik harus dipilih
dari empat pertanyaan biasanya di antara pertanyaan 2 dan 3 dalam daftar.
Estimasi dan pekerjaan pendukung ini harus didokumentasikan, dengan perkiraan
biaya yang dipilih dimasukkan sebagai dampak biaya pada exhibit 3.6, jadwal
perencanaan respons risiko.

Risiko C, misalnya, memiliki kemungkinan dan signifikansi yang tinggi serta biaya
yang cukup tinggi. Ini adalah jenis risiko yang manajemen harus mengidentifikasi
untuk tindakan korektif. Namun, risiko berikutnya pada jadwal, Risiko G, juga berada
di sisi kiri atas kuadran tetapi dengan biaya yang relatif rendah. Manajemen dapat
memutuskan untuk menerima risiko ini atau mengembangkan beberapa bentuk
rencana lain untuk menghindari risiko ini.
4. Risk Monitoring

Proses mengidentifikasi resiko sering dilakukan dalam jangka waktu satu tahun
atau seperempat tahun. Setelah salah satu resiko teridentifikasi, perusahaan harus
mengawasi resiko tersebut dan membuat penyesuaian berkala jika diperlukan.
Pengawasan resiko dapat dilakukan oleh pemilik perusahaan atau pihak
independen. Auditor internal merupakan sumber yang memiliki kredibilitas dan baik
dalam memantau status dari risiko yang teridentifikasi. Informasi dalam melakukan
pengawasan dapat didapatkan melalui survey ataupun review tatap muka. Proses
pengawasan yang akurat merupakan komponen esensial dalam manajemen risiko.
Teknik Penilaian Risiko Lain
1. Methode Delphi
Metode Delphi dibuat pada tahun 1950 oleh RAND Corporation of Santa Maria.
Ide dari pendekatan Delphi kuno adalah pertanyaan yang disampaikan pada sebuah
ramalan dibalik layar tertutup. Proses pengiriman survei ke koordinator anonim
dengan semua orang yang bekerja secara mandiri sering kali bekerja dengan baik.
Tidak ada individu yang menyelesaikan survei yang tahu siapa lagi yang secara
khusus mengirimkan hasil survei. Aspek negatif dari teknik Delphi adalah bahwa ini
bisa menjadi proses yang cukup memakan waktu. Metode Delphi sangat berguna
untuk prakiraan identifikasi risiko jangka panjang, karena pendapat ahli adalah satu-
satunya sumber informasi yang tersedia.

2. Simulasi Carlo Monte

Simulasi Carlo Monte merujuk pada kelanjutan era masa lalu, yaitu era dari
lotere pemerintahan yang menyebar dan pertaruhan lain yang disetujui. Simulasi
Monte Carlo adalah simulasi casino di Monaco yang direpresentasikan dalam
pertaruhan atau bergulirnya dadu. Analisis ini relatif mudah dilakukan karena
terdapat sejumlah kecil risiko yang teridentifikasi. Ada tantangan yang jauh lebih
besar ketika sejumlah besar risiko ini telah diidentifikasi.
Asumsikan bahwa perusahaan menghadapi risiko pengembalian garansi produk
selama tahun tertentu. Simulasi Monte Carlo adalah sebuah teknik yang digunakan
untuk memahami dan mengevaluasi risiko yang tidak pasti.

3. Analisis Decision Tree

Analisis Decision Tree adalah analisis yang mudah dan teknik graphical yang
sering digunakan untuk melihat kombinasi risiko multiple yang muncul dengan
beberapa estimasi hasil. Teknik ini secara historis digunakan dalam chart path kritik
perencanaan proyek yang dapat menjadi teknik yang efektif untuk melihat
kemungkinan dalam melindungi seperangkat risiko yang dibatasi, artinya, kita
mungkin memiliki satu risiko yang mungkin atau mungkin tidak terjadi, tetapi akan
ada risiko terkait dengan probabilitas kemungkinannya sendiri. Dengan
menggunakan analisis pohon keputusan dan aturan probabilitas gabungan, kita
dapat menilai kemungkinan beberapa kejadian risiko.