LECTURE

NOTES

ACCT6338 – Risk and Internal Control

Week ke - 1

Introduction to Enterprise Risk

Management

–
 ACCT6338 Risk and Internal Control
LEARNING OUTCOMES

1. Peserta diharapkan mampu memahami enterprise risk management dan pentingnya

Governance Risk and Compliance

2. Peserta diharapkan mengerti COSO Internal Control Framework

OUTLINE MATERI :

1. Pengenalan COSO ERM

2. Pengenalan COSO Internal Control

3. Governance Risk and Compliance

4. Kerangka COSO Internal Control

 ISI MATERI

A. Pengenalan COSO ERM

Kerangka COSO ERM adalah salah satu dari dua standar manajemen resiko yang
diterima secara luas yang digunakan organisasi untuk membantu mengelola resiko dalam
lanskap bisnis yang semakin fluktuatif dan tidak dapat diprediksi. COSO, yang
merupakan kependekan dari Committee of Sponsoring Organizations of the Treadway
Commission, pada awalnya didirikan oleh lima asosiasi dan institut akuntansi utama di
AS pada pertengahan 1980-an sebagai bagian dari National Commission on Fraudulent
Financial Reporting. Komite ini kemudian dikenal sebagai Komisi Treadway untuk
menghormati ketua pertama atau pendirinya, James C. Treadway, Jr. Misi awal COSO
adalah mempelajari pelaporan keuangan dan mengembangkan rekomendasi untuk
pencegahan kecurangan.

“Standar” utama COSO, Pengendalian Internal - Kerangka Kerja Terpadu, dirilis pada
tahun 1992 dan menyediakan kerangka kerja yang komprehensif untuk membantu
organisasi menilai dan meningkatkan sistem pengendalian internal mereka. Hal tersebut
kemudian menjadi sangat populer; dalam jajak pendapat tahun 2006, disebutkan 82%
responden menyatakan bahwa mereka menggunakan standar tersebut untuk panduan
aktivitas pengendalian internal dan kepatuhan di organisasi mereka.

Pada tahun-tahun berikutnya setelah diluncurkan, organisasi segera mulai menyadari

adanya kesenjangan dalam kerangka pengendalian internal. Meskipun sangat membantu
dalam mengurangi resiko seputar perilaku kecurangan dan kepatuhan terhadap peraturan,
tidak ada cara untuk mengidentifikasi dan menilai resiko mana yang perlu dikendalikan
oleh organisasi. Pengakuan ini, ditambah tuntutan untuk tata kelola perusahaan yang
lebih baik dan standar manajemen resiko setelah Enron dan skandal serupa, mendorong
COSO untuk membuat Enterprise Risk Management/Manajemen Resiko Perusahaan -
Kerangka Terintegrasi pada tahun 2004.

ACCT6338 – Risk and Internal Control

Meskipun kerangka COSO 2004 mencakup pengaturan strategi dalam definisi ERM,
kenyataannya adalah bahwa Sarbanes-Oxley Act (sering disebut sebagai SOX) dan
persyaratannya bagi perusahaan publik untuk menguji dan mensertifikasi pengendalian
pelaporan keuangan merupakan faktor motivasi yang kuat dalam mengembangkan
standar.

Dalam standar awal, ERM terdiri dari empat kategori - Strategis, Operasi, Pelaporan, dan
Kepatuhan - dua diantaranya terkait langsung dengan tata kelola perusahaan.

Seperti yang dijelaskan dalam ringkasan standar 2004 dari NC State ini, standar ERM
hampir seperti versi standar pengendalian internal yang diperluas yang melampaui
laporan keuangan untuk menyertakan laporan di seluruh perusahaan.

Meskipun standar asli memasukkan tujuan strategis sebagai kategori, alasan untuk
memasukkannya adalah untuk memastikan strategi organisasi "selaras dengan operasi,
pelaporan, dan aktivitas kepatuhan".

Pada akhirnya, kerangka COSO ERM tahun 2004 lebih berfokus pada apa yang dapat
diaudit daripada mengidentifikasi ancaman dan peluang, di situlah letak nilai riil dalam
ERM. Standar tersebut cocok untuk organisasi di mana resiko didorong oleh audit.

Dalam umpan baliknya, banyak praktisi menjelaskan bahwa kerangka COSO ERM yang
asli semata-mata berkaitan dengan pengendalian internal.

Untuk mengatasi hal ini dan masalah lainnya, COSO, dalam kemitraan dengan PwC,
merilis standar yang diperbarui pada tahun 2017 dengan judul Manajemen Resiko
Perusahaan - Berintegrasi dengan Strategi dan Kinerja.

Dalam ringkasannya, PwC membahas perbedaan yang signifikan antara standar 2004 dan
2017. Misalnya, strukturnya jauh berbeda. Apabila sebelumnya menggunakan kubus
untuk menggambarkan hubungan antara empat kategori dan delapan komponen dari
proses manajemen resiko, standar baru menggunakan diagram tipe pita yang sekarang
menjalin lima kategori di seluruh siklus hidup organisasi (lihat di bawah). Standar

–
 tersebut menjelaskan bahwa tiga pita dalam diagram ada untuk mewakili proses umum
yang "mengalir melalui entitas" (Penetapan Strategi / Tujuan, Kinerja, dan Tinjauan /
Revisi) sedangkan dua pita lainnya mewakili mekanisme pendukung ERM (Tata Kelola /
Kebudayaan, Informasi dan Komunikasi, dan Pelaporan).

B. Pengenalan COSO Internal Control

Committee of Sponsoring Organization of the Treadway Commission (COSO) pada
tahun 1992 mengeluarkan definisi tentang pengendalian internal. Definisi COSO tentang
pengendalian intern sebagai berikut: Pengendalian internal adalah proses, yang
dipengaruhi oleh dewan direksi, manajemen dan personel lainnya, yang dirancang untuk
memberikan jaminan yang wajar mengenai pencapaian tujuan dalam kategori berikut:

1. Efektivitas dan efisiensi operasi

Dalam menjalankan usaha atau bisnisnya, perusahaan efektif dalam
menggunakan sumber daya untuk mencapai tujuan. Selain itu juga secara efisien
atau tepat guna dalam penggunaannya

2. Reliabilitas Pelaporan Keuangan

Pelaporan keuangan yang handal, sesuai dengan kenyataan tanpa manipulasi dan
dapat dipercaya sebagai dasar bagi pengambilan keputusan bagi para pengguna
laporan keuangan

3. Kepatuhan terhadap hukum dan peraturan yang berlaku

Dalam menjalankan strategi dna kebijakan bisnisnya, perusahaan tidak hanya
semata – mata mencari keuntungan yang maksimal tetapi juga tetap
memperhatikan aturan hukum dan perundang-undangan, sehingga dalam
pengoperasian bisnisnya tetap taat pada peraturan yang berlaku

Komponen-komponen pengendalian internal menurut COSO secara garis besar antara

lain:

1. Lingkungan pengendalian (control environment).

Merupakan tanggung jawab manajemen puncak untuk menyatakan dengan jelas
nilai-nilai integritas dan kegiatan tidak etis yang tidak dapat ditoleransi.

2. Penilaian resiko (risk assessment).

ACCT6338 – Risk and Internal Control
 Perusahaan harus mengidentifikasi dan menganalisis faktor-faktor yang
menciptakan resiko bisnis dan harus menentukan bagaimana mengelola resiko
tersebut.

3. Aktivitas pengendalian (control activities).

Untuk mengurangi kesalahan, manajemen harus menerapkan kebijakan dan
sistem yang memastikan meminimalkan kesalahan tertentu yang perusahaan.

4. Informasi dan komunikasi (information and communication).

Sistem pengendalian internal harus dikomunikasikan dan diinfokan kepada
seluruh karyawan perusahaan dari atas hingga bawah.

5. Pemantauan (monitoring).
Sistem pengendalian internal harus dipantau secara berkala. Apabila terjadi
kekurangan yang signifikan, harus segera dilaporkan kepada manajemen puncak
dan ke dewan komisaris.

C. Governance Risk and Compliance

Perusahaan pada umumnya menghadapi masalah tata kelola. Biasanya seseorang di
perusahaan bertanggung jawab untuk membuat peraturan dan kebijakan bagi karyawan
dan pemangku kepentingan. Perusahaan kecil dan besar membutuhkan unit atau fungsi
yang berbasis luas dalam membuat aturan dan kebijakan. Oleh karena itu semua
perusahaan membutuhkan proses tata kelola yang efektif dan efisien.

Seiring dengan perkembangan jaman, perusahaan dengan berbagai ukuran di berbagai

lokasi dihadapkan pada peraturan dan prosedur yang semakin banyak, baik dari tingkat
lokal hingga internasional. Di sisi lain, perusahaan diwajibkan untuk mematuhi semua
regulasi (hukum dan regulasi) dan prosedur yang berlaku.

Dalam menjalankan usahanya, perusahaan selalu menghadapi resiko. Contoh resiko yang
dihadapi perusahaan seperti perusahaan dapat melanggar salah satu peraturan yang
berlaku, tata kelola yang ditetapkan oleh perusahaan tidak mencapai hasil yang
diinginkan, dan perusahaan menghadapi kejadian di luar kendali perusahaan (seperti
faktor cuaca / kebakaran)

–
Dengan adanya resiko tersebut maka diperlukan manajemen resiko dalam menjalankan
usahanya; dalam akronim GRC, G adalah singkatan dari Governance. Tata kelola berarti
mengelola bisnis, memastikan bahwa kinerja perusahaan sesuai dengan peraturan
perusahaan dan keputusan Direksi. Governance juga berarti apa yang harus dilakukan
perusahaan (sesuai dengan ekspektasi stakeholder) agar setiap karyawan mengetahui arah
operasional perusahaan.

Sedangkan R adalah singkatan dari Risk. Semua yang dilakukan perusahaan beresiko.
Resiko adalah cara perusahaan melindungi nilai aset yang ada dan menciptakan nilai
dengan mengembangkan perusahaan secara strategis atau menambahkan produk /
layanan baru. C adalah singkatan dari Compliance. Kepatuhan didefinisikan sebagai
kepatuhan terhadap hukum dan peraturan yang berkaitan dengan bisnis dan masyarakat.
Seringkali, C didefinisikan sebagai kontrol kepatuhan. Pengendalian kepatuhan berarti
pengendalian kegiatan untuk memastikan bahwa perusahaan mematuhi hukum dan
peraturan yang berlaku. Contoh: memantau emisi pabrik atau memastikan kertas impor
dan ekspor terstruktur dengan baik, menciptakan kontrol akuntansi internal yang efektif
dan menerapkan peraturan seperti Sarbanes-Oxley secara efektif. GRC tidak hanya
berarti apa yang harus dilakukan untuk menjaga bisnis, tetapi sebuah paradigma untuk
membantu perusahaan berkembang ke arah yang lebih baik.

Banyak perusahaan tidak menganggap GRC sebagai prinsip tunggal. Perusahaan sering
mengatur tata kelola, resiko dan kepatuhan sebagai area terpisah, bukan sebagai prinsip
tunggal. Misalnya, perusahaan diwajibkan untuk mematuhi regulasi yang berlaku, namun
perusahaan tidak terbiasa memadukannya dengan prinsip GRC. Faktanya, GRC
merupakan cara baru bagi perusahaan untuk mengintegrasikan aspek Tata Kelola, Resiko
dan Kepatuhan dalam bisnis

Ketiga prinsip GRC tersebut memiliki hubungan yang berkelanjutan dan saling terkait,
yang kesemuanya memiliki kedudukan penting yang sama. Tata kelola perusahaan /
perusahaan adalah aturan, proses, atau hukum yang dengannya bisnis dijalankan, diatur,
dan dikendalikan. Istilah tersebut juga mengacu pada faktor internal yang ditentukan oleh
pejabat, pemegang saham, atau dokumen dan peraturan tertulis serta tujuan dasar
perusahaan, serta pihak eksternal seperti konsumen, klien, dan peraturan pemerintah.

ACCT6338 – Risk and Internal Control

 Gambar 1.1. Konsep Governance Risk dan Compliance

Gambar di atas adalah Konsep GRC. Aspek konsep GRC sangat terikat satu sama lain.
Pada gambar di atas terlihat bahwa: kebijakan internal merupakan faktor pendukung
utama tata kelola, regulasi eksternal merupakan faktor utama pendukung kepatuhan, risk
appetite perusahaan merupakan faktor utama pendukung pengelolaan resiko.

Di dalam segitiga tersebut terdapat 4 komponen GRC yaitu: strategi, proses efektif,
teknologi, manusia. Bagian kanan segitiga menunjukkan bahwa perusahaan
membutuhkan perhatian dan dukungan manajemen, perilaku etis yang benar, efisiensi
organisasi, dan peningkatan efektivitas untuk mendukung operasi bisnis mereka.

D. Kerangka COSO Internal Control

Kerangka Konseptual Pengendalian Internal (COSO) sekarang telah menjadi standar di
seluruh dunia untuk membangun internal. The Committee of Sponsoring Organizations
of the Treadway Commission didirikan pada tahun 1985, yang merupakan aliansi dari
lima organisasi profesi diantaranya:

1. Eksekutif Keuangan Internasional (FEI)

2. American Accounting Association (AAA)

3. Institut Akuntan Publik Bersertifikat Amerika (AICPA)
4. Institut Auditor Internal (IIA)
5. Institute of Management Accountants (IMA) (sebelumnya National Association
of Accountants)

–
Misi utama dari COSO adalah “Memperbaiki / meningkatkan kualitas laporan keuangan
entitas melalui etika bisnis, pengendalian internal yang efektif, dan tata kelola
perusahaan.”

Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi

mengenai sebuah model untuk pengendalian internal. Pada tahun 1992, menyelesaikan
studi tersebut dengan memperkenalkan sebuah kerangka kerja pengendalian internal
yang akhirnya menjadi sebuah baru bagi para eksekutif, dewan direksi, regulator,
penyusun standar, organisasi profesi, dan lainnya sebagai kerangka kerja yang mengatur
untuk mengukur efektifitas pengendalian internal mereka.

COSO tidak mengubah lima komponen pengendalian yang telah dipakai sejak COSO
1992. Tentu saja penjelasannya tetap mengalami penyempurnaan. Penjelasan singkat dari
komponen-komponen tersebut adalah sebagai berikut.

1. Lingkungan Pengendalian (Control Environment)

Merupakan susunan dari standar, proses dan struktur yang menyediakan dasar untuk
terlaksananya pengendalian internal dalam organisasi. Lingkungan pengendalian,
struktur dan struktur yang menjadi landasan terselenggaranya pengendalian internal
organisasi secara menyeluruh. Lingkungan pengendalian suasana dan kesan yang
dibangun dewan komisaris dan manajemen puncak pentingnya pengendalian internal
dan perilaku yang diharapkan. Manajemen mempertegas harapan atau ekspektasi itu
pada berbagai tingkatan organisasi. Sub-komponen lingkungan organisasi integritas
dan nilai etika organisasi; parameter-parameter yang menjadikan dewan komisaris
mampu melaksanakan tanggung jawab tata kelola; struktur organisasi serta pembagian
wewenang dan tanggung jawab; proses untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten; serta kejelasan ukuran kinerja, insentif,
dan ketidakseimbangan untuk mendorong akuntabilitas kinerja. Pengendalian
lingkungan.

2. Penilaian Resiko (Risk Assessment)

Penilaian resiko melibatkan proses yang dinamis dan berulang (berulang) untuk
menganalisis dan menganalisis resiko yang spesifik. COSO 2013 merumuskan
definisi resiko sebagai kemungkinan suatu peristiwa akan berdampak dan merugikan

ACCT6338 – Risk and Internal Control

 bagi kehancuran tujuan. Resiko yang berasal dari organisasi dapat bersifat internal
(berasal dari dalam) maupun eksternal (bersumber dari luar). Resiko yang
diidentifikasi akan dibandingkan dengan tingkat toleransi resiko yang telah
ditetapkan. Penilaian resiko menjadi dasar bagaimana organisasi akan dikelola. Salah
satu prakondisi bagi produksi resiko adalah penetapan tujuan yang saling terkait pada
berbagai tingkat organisasi. Manajemen harus menetapkan tujuan dalam katagori
operasi, pelaporan, dan berdasarkan yang jelas sehingga resiko-resiko yang ditentukan
dan dianalisa. Manajemen juga harus mempertimbangkan kesesuaian tujuan dengan
organisasi. Penilaian resiko mengharuskan manajemen untuk memperhatikan dampak
perubahan lingkungan eksternal dan model bisnis yang berubah itu sendiri yang
mengakibatkan ketidakefektifan pengendalian intern yang ada.

3. Kegiatan Pengendalian (Kegiatan Pengendalian)

Kegiatan pengendalian tindakan-tindakan yang ditetapkan melalui kebijakan dan
prosedur untuk membantu memastikan pelaksanaan arahan manajemen dalam rangka
resiko atas wilayah. Kegiatan pengendalian yang dilaksanakan pada semua tingkat
organisasi, pada berbagai tahap proses bisnis, dan konteks lingkungan teknologi.
Kegiatan pengendalian yang bersifat preventif dan bersifat manual atau otomatis.
Pengendalian adalah otorisasi dan persetujuan, verivikasi, rekonsiliasi, dan revie
kenerja. Dalam memilih dan mengembangkan kegiatan, biasanya melekat konsep
pemisahan tugas. Jika pemisah fungsi tersebut tidak praktis, manajemen harus
memilih dan mengembangka altenatif kegiatan pengendalian sebagai kompensasinya.

4. Informasi dan komunikasi (information and communication)

Organisasi memerlukan informasi demi terselenggaranya pengendalian intern dalam
mendukung tujuan. Manajemen harus memperoleh, menghasilkan, dan menggunakan
informasi yang relevan dan berkualitas, baik yang berasal dari sumber internal
maupun eksternal, untuk mendukung komponen-komponen pengendalian internal
lainnya yang berfungsi baik yang mestinya. Komunikasi yang dimaksud dalam
kerangka internal pengendalian COSO adalah proses iteratif dan berkelanjutan untuk
memperoleh, membagikan, dan menyediakan informasi. Komunikasi internal harus

–
 menjadi sarana diseminasi informasi di dalam organisasi, baik dari atas ke bawah, dari
bawah ke atas, maupun lintas fungsi.

5. Kegiatan Pemantauan (Monitoring Activities)

Komponen ini merupakan satu-satunya komponen yang berubah nama. Sebelumnya
komponen ini hanya disebut pemantau (pemantauan). Perubahan ini untuk
memeprluas persepsi yang diambil alih sebagai rangkaian aktivitas yang dilakukan
sendiri dan juga sebagai bagian dari masing-masing komponen pengendalian internal.
Kegiatan evakuasi evaluasi, evaluasi individu, atau kombinasi dari masing-masing
komponen yang digunakan untuk memastikan masing-masing komponen yang ada
dan berfungsi masing-masing komponen. Evaluasi berkelanjutan dibagun di dalam
proses bisnis pada tingkat yang berbeda-beda guna menyajikan informasi tepat waktu.
Evaluasi secara terpisah dilakukan secara periodik, bervariasi lingkup dan
frekuensinya tergantung pada hasil penilaian resiko, evaluasi evaluasi berkelanjutan,
dan pertimbangan manajemen lainnya.

SIMPULAN

Proses GRC dan pengendalian internal yang efektif dapat membantu perusahaan mengubah
operasi bisnisnya dan memiliki wawasan serta kemampuan untuk membuat prediksi yang lebih
dalam tentang proses bisnisnya ketika perusahaan dapat memenuhi tuntutan peraturan hukum
yang berlaku. Penggerak utama bisnis yang dimaksud adalah kemampuan untuk mengelola
informasi aset, menunjukkan kepatuhan terhadap kewajiban dan peraturan hukum yang berlaku,
mengurangi resiko proses pengadilan, mengurangi biaya penyimpanan dan penemuan, dan
menunjukkan akuntabilitas perusahaan.

Jadi untuk mewujudkan manajemen resiko dan proses COSO ERM yang efektif, perusahaan
perlu memiliki proses tata kelola dan kepatuhan yang kuat dengan tujuan membangun program
GRC yang efektif.

Manajemen resiko harus menciptakan nilai dan menjadi bagian integral dari proses organisasi.
Manajemen resiko juga harus menjadi bagian dari proses pengambilan keputusan dan harus

ACCT6338 – Risk and Internal Control

disesuaikan dengan masing-masing perusahaan secara sistematis dan terstruktur sehingga secara
eksplisit dapat menunjukkan ketidakpastian yang dihadapi perusahaan. Proses manajemen resiko
harus dinamis, iteratif, responsif terhadap perubahan, dan dapat terus ditingkatkan, yaitu
perbaikan dan penyempurnaan yang berkelanjutan.

DAFTAR PUSTAKA

Hunziker, S. (2019). Enterprise Risk Management Modern Approach to Balancing

Risk and Reward. Springer Gabler. Wiesbaden, Germany

Manurung, A.H. (2020). Enterprise Risk Management. PT Adler Manurung Press.

Jakarta. ISBN 9789793439211

Moeller, R.R. (2011). COSO Enterprise Risk Management: Establishing Effective

Governance, Risk, and Compliance (GRC) Processes. 2nd edition. John Wiley & Sons
Inc. New Jersey. ISBN: 9780470912881.

–
 LECTURE
NOTES

ACCT6338 – Risk and Internal Control

Week ke - 2

Importance of Governance, Risk

and Compliance (GRC) Principle

ACCT6338 Risk and Internal Control

ACCT6338 – Risk and Internal Control

 LEARNING OUTCOMES

1. Peserta diharapkan mampu memahami hubungan GRC dan Enterprise compliance 2. Peserta

diharapkan mengerti komponen manajemen resiko GRC

OUTLINE MATERI :

1. GRC and Enterprise Compliance

2. Importance of GRC Governance

3. Risk Management Component of GRC

–
 ACCT6338 Risk and Internal Control

ISI MATERI

A. GRC and Enterprise Compliance

Dalam hal operasional perusahaan, kita dapat mendefinisikan tata kelola perusahaan
sebagai pertanggungjawaban dan implementasi yang dilakukan oleh dewan, manajemen
eksekutif, dan semua fungsi manajemen dengan tujuan memberikan arahan strategis,
memastikan bahwa tujuan perusahaan tercapai, memastikan bahwa risiko dikelola
dengan benar, dan memverifikasi bahwa sumber daya digunakan secara bertanggung
jawab. Tata kelola mengacu pada proses pengembangan aturan dan prosedur di semua
tingkatan dalam perusahaan, mengkomunikasikan aturan ini kepada pemangku
kepentingan terkait, mengawasi pelaksanaan aturan ini, dan memberikan penghargaan
dan sanksi berdasarkan kinerja terkait atau kepatuhan terhadap aturan.

Prinsip-prinsip tata kelola yang diterapkan dan ditegakkan dengan baik menghasilkan
struktur yang akan menguntungkan semua pihak terkait dengan memastikan bahwa
perusahaan mematuhi standar etika dan praktik terbaik serta hukum formal yang berlaku.
Saat ini, perhatian terhadap tata kelola perusahaan meningkat karena skandal-skandal
besar yang melibatkan penyalahgunaan kekuasaan, di dalam perusahaan dan, dalam
beberapa kasus, dugaan aktivitas kriminal oleh pejabat perusahaan. Kombinasi aturan
tata kelola yang efektif mencakup ketentuan mengenai tuntutan perdata dan pidana
terhadap individu yang melakukan tindakan tidak etis / ilegal atas nama perusahaan.

Berikut ini adalah konsep tata kelola perusahaan dengan grup eksekutif sebagai pusat dan
poros dari sisanya dan tanggung jawab terkait untuk menjalankan kontrol, kerangka
strategis, kinerja, dan akuntabilitas.

ACCT6338 – Risk and Internal Control

 Gambar 2.1. Konsep Enterprise Governance

Kepatuhan adalah proses yang berkelanjutan, bukan hanya proses satu kali. Kepatuhan
mendorong seluruh sistem yang dibuat oleh perusahaan untuk berjalan dengan baik dan
bertanggung jawab untuk memenuhi berbagai macam permintaan spesifik dari pasar
vertikal.

Perusahaan perlu mengetahui dan mengacu pada undang-undang dan peraturan yang
berlaku secara umum / lintas industri seperti Sarbanes-Oxley Act, Six Sigma, atau ISO
9000. Peraturan perundang-undangan yang lebih luas dan kompleks yang mengatur
menimbulkan tantangan bagi perusahaan sepanjang waktu. Untuk menghadapi tantangan
ini, perusahaan perlu melakukan pendekatan terhadap prinsip GRC untuk menciptakan
pandangan strategis yang dapat membantu memenuhi setiap kebutuhan kepatuhan untuk
menciptakan manfaat nyata bagi perusahaan dari semua aktivitas yang dilakukannya,
operasi, investasi, dan pendanaan.

Terdapat lima cakupan kepatuhan yang mempengaruhi berbagai aspek perusahaan, yaitu:
strategi, organisasi, proses, aplikasi dan data, serta fasilitas. Setiap ruang lingkup

–
kepatuhan memiliki masalah yang harus diperhatikan oleh perusahaan sebagai upaya
untuk dapat membangun ruang lingkup dan pendekatan kepatuhan. Ini juga disebut
Pertimbangan Cakupan Arsitektur Kepatuhan.

Strategi; Dalam menentukan strateginya, perusahaan harus mengikuti regulasi terkait saat
ini, terutama di lokasi dan area dimana perusahaan tersebut bergerak. Misalnya
keberlanjutan kepatuhan peraturan harus menjadi bagian integral dari semua strategi
kepatuhan.

Organisasi; Struktur organisasi perusahaan harus dibangun untuk memenuhi persyaratan

khusus dari setiap regulasi. Misalnya, suatu perusahaan harus memiliki komite audit
yang mempengaruhi struktur organisasinya sebagai tindak lanjut dari kepatuhan terhadap
regulasi Sarbanes-Oxley Act.

Proses; Proses utama harus didokumentasikan dan dilaksanakan. Audit atau review harus
dilakukan untuk memastikan bahwa proses yang terdokumentasi telah digunakan secara
efektif untuk memenuhi tuntutan atau kebutuhan regulasi. Misalnya di sebuah
perusahaan manufaktur, ada ketentuan ISO untuk produk yang dibuatnya. Perusahaan
wajib membuat dokumentasi mengenai sistem produksi perusahaan yang telah memenuhi
ketentuan ISO dan perlu dilakukan audit atau review apakah ketentuan ISO tersebut
benar-benar telah dilakukan oleh perusahaan.

Aplikasi dan data; Aplikasi harus dirancang, diterapkan, dan diuji terus menerus untuk
mendukung tuntutan setiap regulasi. Data harus dilindungi dengan baik dan ditangani
sesuai dengan peraturan yang berlaku. Contohnya adalah data nasabah suatu bank.
Dinyatakan bahwa Bank wajib menjaga kerahasiaan informasi mengenai nasabah
penyimpan dan simpanannya, kecuali untuk Kepentingan Perpajakan, Penyelesaian
Piutang Bank, Peradilan Pidana dan Perdata, serta untuk keperluan Pertukaran Informasi
antar Bank. Jadi, perlindungan data harus dilakukan dengan baik namun tetap mematuhi
peraturan perundang-undangan untuk hal-hal yang dikecualikan.

Fasilitas; Fasilitas harus dirancang dan tersedia untuk memenuhi tuntutan masing-masing
regulasi (misalnya regulasi mengenai Pengawasan Tidak Langsung (off-site) yang
dilakukan oleh Bank Indonesia terhadap Lembaga Pengelola Informasi Perkreditan

ACCT6338 – Risk and Internal Control

 (LPIP), (Onsite) dan melalui analisis laporan, dokumen, data dan / atau informasi lain
(off-site).

Ketika suatu perusahaan dapat mengambil pendekatan yang konsisten untuk mencapai
sistem kepatuhan disertai dengan teknologi pendukung, perusahaan akan mendapatkan
keuntungan dari hal tersebut

B. Importance of GRC Governance

Tata Kelola Perusahaan mengacu pada cara perusahaan diatur. Ini adalah teknik yang
digunakan perusahaan untuk diarahkan dan dikelola. Artinya menjalankan bisnis sesuai
keinginan pemangku kepentingan. Ini sebenarnya dilakukan oleh dewan direksi dan
komite terkait untuk kepentingan pemangku kepentingan perusahaan. Ini semua tentang
menyeimbangkan tujuan individu dan masyarakat, serta tujuan ekonomi dan sosial.

Tata Kelola Perusahaan adalah interaksi antara berbagai peserta (pemegang saham,
dewan direksi, dan manajemen perusahaan) dalam membentuk kinerja perusahaan dan
jalannya selanjutnya. Hubungan antara pemilik dan manajer dalam suatu organisasi harus
sehat dan tidak boleh ada konflik di antara keduanya. Pemilik harus melihat bahwa
kinerja aktual individu sesuai dengan kinerja standar. Dimensi tata kelola perusahaan ini
tidak boleh diabaikan.

Tata Kelola Perusahaan berkaitan dengan cara penyedia keuangan menjamin diri mereka
sendiri untuk mendapatkan pengembalian investasi yang adil. Tata Kelola Perusahaan
dengan jelas membedakan antara pemilik dan manajer. Manajer adalah otoritas penentu.
Dalam perusahaan modern, fungsi / tugas pemilik dan manajer harus didefinisikan
dengan jelas, bukan menyelaraskan.

Tata Kelola Perusahaan berkaitan dengan penentuan cara untuk mengambil keputusan
strategis yang efektif. Ini memberikan otoritas tertinggi dan tanggung jawab penuh
kepada Dewan Direksi. Dalam ekonomi berorientasi pasar saat ini, kebutuhan akan tata
kelola perusahaan muncul. Selain itu, efisiensi serta globalisasi merupakan faktor penting
yang mendorong tata kelola perusahaan. Tata Kelola Perusahaan sangat penting untuk
mengembangkan nilai tambah bagi para pemangku kepentingan.

–
Tata Kelola Perusahaan memastikan transparansi yang memastikan pembangunan
ekonomi yang kuat dan seimbang. Hal ini juga memastikan bahwa kepentingan semua
pemegang saham (pemegang saham mayoritas maupun minoritas) terjaga. Ini
memastikan bahwa semua pemegang saham sepenuhnya menggunakan hak mereka dan
bahwa organisasi sepenuhnya mengakui hak mereka.

Tata Kelola Perusahaan memiliki cakupan yang luas. Ini mencakup aspek sosial dan
kelembagaan. Tata Kelola Perusahaan mendorong lingkungan yang dapat dipercaya,
bermoral, dan beretika.

Pentingnya GRC Governance karena dapat memberikan manfaat bagi perusahaan atau
organisasi yang menerapkan dengan baik. Manaaftnya antara lain mengurangi total biaya
kepemilikan; Investasi bisa menguntungkan dan memanfaatkan berbagai regulasi.
Misalnya, banyak peraturan yang menetapkan secara rinci persyaratan untuk
penyimpanan dokumen, yang dapat dipenuhi dengan investasi dalam konten dan catatan
dalam sistem manajemen.

Fleksibilitas; Salah satu kesulitan dalam penerapan sistem kepatuhan adalah ketika
peraturan baru sering muncul dan peraturan yang ada berubah. Jadi dengan
menggunakan arsitektur kepatuhan seluruh organisasi, perusahaan akan beradaptasi lebih
cepat terhadap perubahan ini karena langkah pertama dalam mewujudkan kepatuhan
telah dikelola secara terpusat;

Keunggulan kompetitif; Arsitektur kepatuhan yang luas dan konsisten dapat membantu
perusahaan lebih memahami dan mengontrol proses bisnisnya yang membantunya
merespons dengan cepat dan tepat tekanan eksternal dan internal. Selain itu, regulasi
tertentu juga memuat manfaat nyata bagi pelaku usaha dengan mengurangi kebutuhan
modal minimum yang mungkin terjadi.

Keuntungan dan manfaat yang didapat organisasi yaitu:

1. Tata kelola dan kepatuhan perusahaan yang baik memastikan kesuksesan
perusahaan dan pertumbuhan ekonomi.

2. Tata kelola dan kepatuhan perusahaan yang kuat menjaga kepercayaan investor,
sehingga perusahaan dapat meningkatkan modal secara efisien dan efektif.

ACCT6338 – Risk and Internal Control

 3. Dapat menurunkan biaya modal.

4. Memberikan dampak positif pada harga saham.

5. Memberikan dorongan yang tepat kepada pemilik serta manajer untuk mencapai
tujuan yang menjadi kepentingan pemegang saham dan organisasi.

6. Tata kelola dan kepatuhan perusahaan yang baik juga meminimalkan

pemborosan, korupsi, risiko, dan salah urus.

7. Membantu dalam pembentukan dan pengembangan merek.

8. Memastikan organisasi dikelola dengan cara yang sesuai dengan mengakomodir

semua pemangku kepentingan

C. Risk Management Component of GRC

Manajemen risiko harus menjadi bagian dari budaya perusahaan secara keseluruhan,
mulai dari Direktur Utama, setiap pejabat senior, hingga staf (mencakup seluruh struktur
organisasi dari atas hingga bawah). Berikut adalah empat langkah yang saling terkait
dalam proses GRC yang efektif dan manajemen risiko perusahaan:

Gambar 2.1. Konsep Risk Management

Penilaian dan perencanaan risiko; Perusahaan menghadapi berbagai tingkat risiko. Kami
tidak dapat mengidentifikasi setiap jenis risiko yang mungkin berdampak pada
perusahaan, namun analisis potensi risiko yang mungkin dihadapi perusahaan harus
selalu dilakukan secara berkelanjutan.

–
 Identifikasi dan analisis risiko; Selain memproyeksikan potensi risiko, diperlukan analisis
yang lebih rinci mengenai tingkat kemungkinan risiko dan kemungkinan dampaknya.
Dampak yang telah teridentifikasi perlu diukur untuk selanjutnya menentukan strategi
mitigasi. Strategi mitigasi berkaitan dengan penentuan alternatif terbaik untuk
mengurangi atau menghilangkan dampak dari risiko yang teridentifikasi. Risiko jika hal
ini terjadi dapat diukur maka total biaya yang dikeluarkan perusahaan akan semakin
signifikan. Faktor-faktor yang mempengaruhi terjadinya risiko ini juga perlu
diidentifikasi.

Memanfaatkan dan mengembangkan strategi respons risiko; Perusahaan harus menyusun

rencana dan strategi untuk mengembalikan operasi perusahaan ke kondisi normal dan
memulihkan kondisi perusahaan jika risiko tersebut benar-benar terjadi. Ini terkait
dengan menganalisis peluang yang terkait dengan risiko. Misalnya, jika suatu perusahaan
menemukan adanya risiko kegagalan produksi akibat peralatan produksi yang sudah tua,
maka salah satu peluangnya adalah mengganti peralatan tersebut dengan teknologi yang
lebih baru dan lebih canggih. Peluang lain yang mungkin bisa dilakukan adalah dengan
memindahkan lokasi produksi ke lokasi yang lebih baik dan lebih mendukung.

Pemantauan risiko; Pemantauan risiko memerlukan berbagai laporan khusus, standar

yang ditetapkan dan terukur, dan fungsi sumber daya manusia yang rajin. Tujuannya agar
perusahaan dapat bergerak maju dan hasil pemantauan risiko dapat digunakan untuk
proses manajemen risiko selanjutnya.

SIMPULAN

Sistem manajemen kepatuhan adalah program yang mencakup semua yang membantu manajer
dan administrator meminimalkan risiko dan merencanakan, memantau, dan mengendalikan
aktivitas yang memastikan kepatuhan dengan standar peraturan yang mengikat serta persyaratan
hukum yang terkait dengan kesehatan, lingkungan, dan keselamatan. Ini berlaku untuk setiap

ACCT6338 – Risk and Internal Control

area fungsional bisnis, bersama dengan cara mereka menangani karyawan dan pelanggan
mereka.

Sistem manajemen kepatuhan menyatukan semua persyaratan peraturan dan bisnis perusahaan
dalam satu kerangka kerja terintegrasi. Hal ini memungkinkan perusahaan untuk melacak semua
detail yang terkait dengan semua aktivitas dan tugas kepatuhan perusahaan dengan mudah dan
mempromosikan kepatuhan terhadap persyaratan ini dengan memastikan tidak ada peluang
untuk terjadinya kecurangan.

Sistem manajemen kepatuhan menawarkan kepada manajer dan administrator pandangan

holistik tentang tingkat kepatuhan dan kinerja di seluruh organisasi melalui laporan yang dapat
ditelusuri secara khusus dan dasbor waktu nyata yang dipersonalisasi. Fitur-fitur ini memberi
mereka visibilitas yang belum pernah ada sebelumnya tentang status dan kinerja upaya
kepatuhan mereka.

DAFTAR PUSTAKA

Hunziker, S. (2019). Enterprise Risk Management Modern Approach to Balancing

Risk and Reward. Springer Gabler. Wiesbaden, Germany

Manurung, A.H. (2020). Enterprise Risk Management. PT Adler Manurung Press.

Jakarta. ISBN 9789793439211

Moeller, R.R. (2011). COSO Enterprise Risk Management: Establishing Effective

Governance, Risk, and Compliance (GRC) Processes. 2nd edition. John Wiley & Sons
Inc. New Jersey. ISBN: 9780470912881.

–
 LECTURE
NOTES

ACCT6338 – Risk and Internal Control

Week ke - 3

Risk Management Fundamental

ACCT6338 – Risk and Internal Control

 ACCT6338 Risk and Internal Control

LEARNING OUTCOMES

1. Peserta diharapkan mampu memahami tahapan dalam manajemen resiko 2. Peserta diharapkan

mengerti teknik manajemen resiko

OUTLINE MATERI :

1. Tahapan Manajemen Resiko

2. Teknik Manajemen Resiko

–
 ACCT6338 Risk and Internal Control

ISI MATERI

A. Tahapan Manajemen Resiko

Manajemen resiko adalah praktik bisnis penting yang membantu bisnis mengidentifikasi,
mengevaluasi, melacak, dan memitigasi resiko yang ada di lingkungan bisnis.
Manajemen resiko dipraktikkan oleh bisnis dari semua ukuran; bisnis kecil
melakukannya secara informal, sementara perusahaan menyusunnya. Bisnis ingin
memastikan stabilitas saat mereka tumbuh. Mengelola resiko yang memengaruhi bisnis
adalah bagian penting dari stabilitas ini. Tidak mengetahui resiko yang dapat
mempengaruhi bisnis dapat mengakibatkan kerugian bagi organisasi. Tidak menyadari
adanya resiko persaingan dapat mengakibatkan hilangnya pangsa pasar, ketidaktahuan
akan resiko keuangan dapat mengakibatkan kerugian finansial, menyadari resiko
keselamatan dapat mengakibatkan kecelakaan, dan sebagainya. Bisnis memiliki sumber
daya manajemen resiko khusus; bisnis kecil mungkin hanya memiliki satu manajer resiko
atau tim kecil sementara perusahaan memiliki departemen manajemen resiko.

Orang-orang yang bekerja di domain manajemen resiko memantau organisasi dan

lingkungannya. Mereka melihat proses bisnis yang diikuti dalam organisasi dan mereka
melihat faktor eksternal yang dapat mempengaruhi organisasi dengan satu atau lain cara.
Bisnis yang dapat memprediksi resiko akan selalu diuntungkan. Bisnis yang dapat
memprediksi resiko keuangan akan membatasi investasinya dan fokus pada penguatan
keuangannya. Bisnis yang dapat menilai dampak resiko keselamatan dapat menemukan
cara yang aman untuk bekerja yang dapat menjadi keunggulan kompetitif utama. Jika kita
menganggap dunia bisnis sebagai arena pacuan kuda maka resikonya adalah lubang yang
harus dihindari oleh setiap bisnis yang berada di jalur tersebut jika ingin memenangkan
perlombaan. Manajemen resiko adalah proses mengidentifikasi semua lubang, menilai
kedalamannya untuk memahami seberapa merusaknya, dan kemudian menyiapkan
strategi untuk menghindari kerusakan. Lubang kecil mungkin hanya mengharuskan bisnis
untuk melambat sementara lubang besar akan mengharuskan bisnis untuk
menghindarinya sepenuhnya. Mengetahui tingkat keparahan resiko dan kemungkinan

ACCT6338 – Risk and Internal Control

resiko membantu bisnis mengalokasikan sumber daya mereka secara efektif. Jika
bisnis memahami resiko yang memengaruhi mereka maka mereka akan tahu
resiko mana yang paling membutuhkan perhatian dan sumber daya dan mana
yang dapat diabaikan bisnis. Manajemen resiko memungkinkan bisnis untuk
bertindak secara proaktif dalam mengurangi kerentanan sebelum terjadi kerusakan
besar. Ada berbagai jenis strategi dan solusi manajemen resiko untuk berbagai
jenis resiko.

Manajemen resiko adalah praktik bisnis penting yang membantu bisnis

mengidentifikasi, mengevaluasi, melacak, dan memitigasi resiko yang ada di
lingkungan bisnis. Manajemen resiko dipraktikkan oleh bisnis dari semua ukuran;
bisnis kecil melakukannya secara informal, sementara perusahaan menyusunnya.

Proses manajemen resiko merupakan kerangka untuk tindakan yang perlu

dilakukan. Ada lima langkah dasar yang diambil untuk mengelola resiko;
langkah-langkah ini disebut sebagai proses manajemen resiko. Dimulai dengan
mengidentifikasi resiko, kemudian menganalisis resiko, kemudian resiko
diprioritaskan, solusi diterapkan, dan terakhir, memantau resiko. Dalam sistem
manual, setiap langkah melibatkan banyak dokumentasi dan administrasi.

Langkah 1: Mengidentifikasi Resiko

Langkah pertama adalah mengidentifikasi resiko yang dihadapi bisnis dalam
lingkungan operasinya. Ada banyak jenis resiko - resiko hukum, resiko
lingkungan, resiko pasar, resiko regulasi, dan banyak lagi. Penting untuk
mengidentifikasi sebanyak mungkin faktor resiko ini. Dalam lingkungan manual,
resiko ini dicatat secara manual. Jika organisasi memiliki solusi manajemen resiko
yang digunakan, semua informasi ini dimasukkan langsung ke dalam sistem.
Keuntungan dari pendekatan ini adalah bahwa resiko ini sekarang dapat dilihat
oleh setiap pemangku kepentingan dalam organisasi yang memiliki akses ke
sistem. Informasi penting ini dikunci dalam laporan yang harus diminta melalui

–
email, siapa pun yang ingin melihat resiko mana yang telah diidentifikasi dapat
mengakses informasi dalam sistem manajemen resiko.

Langkah 2: Melakukan Analisis Resiko

Setelah resiko teridentifikasi, resiko perlu dianalisis. Ruang lingkup resiko harus
ditentukan. Penting juga untuk memahami hubungan antara resiko dan berbagai
faktor dalam organisasi. Untuk menentukan tingkat keparahan dan keseriusan
resiko, perlu untuk melihat berapa banyak fungsi bisnis yang dipengaruhi oleh
resiko. Ada resiko yang dapat membuat seluruh bisnis terhenti jika
diaktualisasikan, sementara ada resiko yang hanya akan menjadi
ketidaknyamanan kecil dalam analisis. Dalam lingkungan manajemen resiko
manual, analisis ini harus dilakukan secara manual. Ketika solusi manajemen
resiko diterapkan, salah satu langkah dasar terpenting adalah memetakan resiko ke
berbagai dokumen, kebijakan, prosedur, dan proses bisnis. Ini berarti bahwa
sistem sudah memiliki kerangka kerja resiko yang dipetakan yang akan
mengevaluasi resiko dan memberi tahu Anda dampak luas dari setiap resiko.

Langkah 3: Evaluasi dan Membuat Prioritas Resiko

Resiko perlu diberi peringkat dan diprioritaskan. Sebagian besar solusi
manajemen resiko memiliki kategori resiko yang berbeda, tergantung pada tingkat
keparahan resiko. Resiko yang dapat menyebabkan ketidaknyamanan dinilai
rendah, resiko yang dapat mengakibatkan kerugian besar dinilai paling tinggi.
Penting untuk membuat peringkat resiko karena memungkinkan organisasi untuk
mendapatkan pandangan holistik tentang eksposur resiko seluruh organisasi.
Bisnis mungkin rentan terhadap beberapa resiko tingkat rendah, tetapi mungkin
tidak memerlukan intervensi manajemen atas. Di sisi lain, hanya satu dari resiko
dengan peringkat tertinggi sudah cukup untuk memerlukan intervensi segera.
Perlu lebih dalam membahas analisis resiko kuantitatif ke manajemen resiko
perusahaan

Langkah 4: Penanganan Resiko

Setiap resiko perlu dihilangkan atau diatasi sebanyak mungkin. Hal ini dilakukan
dengan menghubungkan dengan para ahli di bidang yang memiliki resiko. Dalam

ACCT6338 – Risk and Internal Control

 lingkungan manual, konsep ini memerlukan terhubungnya setiap pemangku
kepentingan dan kemudian mengatur pertemuan sehingga setiap orang dapat
berbicara dan membahas masalah. Masalahnya adalah diskusi dipecah menjadi
banyak email yang berbeda, di berbagai dokumen dan spreadsheet, dan banyak
panggilan telepon yang berbeda. Dalam solusi manajemen resiko, semua
pemangku kepentingan yang relevan dapat dikirimkan pemberitahuan dari dalam
sistem. Pembahasan mengenai resiko dan kemungkinan solusinya dapat dilakukan
dari dalam sistem. Manajemen tingkat atas juga dapat mengawasi solusi yang
disarankan dan kemajuan yang dibuat dari dalam sistem. Sehingga semua orang
saling menghubungi untuk mendapatkan pembaruan, semua orang bisa
mendapatkan pembaruan langsung dari dalam solusi manajemen resiko.

Langkah 5: Pemantauan dan Peninjauan Resiko

Tidak semua resiko dapat dihilangkan - beberapa resiko selalu ada. Resiko pasar
dan resiko lingkungan hanyalah dua contoh resiko yang selalu perlu dipantau. Di
bawah sistem manual, pemantauan dilakukan melalui karyawan yang rajin. Para
profesional ini harus memastikan bahwa mereka terus mencermati semua faktor
resiko. Di bawah lingkungan digital, sistem manajemen resiko memantau seluruh
kerangka resiko organisasi. Jika ada faktor atau resiko yang berubah, itu langsung
terlihat oleh semua orang. Komputer juga jauh lebih baik dalam memantau resiko
secara terus-menerus daripada manusia. Memantau resiko juga memungkinkan
bisnis dapat memastikan kontinuitas.

B. Risk Management Techniques

Teknik manajemen resiko pada dasarnya lebih dari sekadar menuliskan nama dan
deskripsi resiko dalam sebuah spreadsheet. Di bawah ini terdapat 7 teknik
manajemen resiko yang dapat digunakan organisasi untuk mengidentifikasi dan
mengelola resiko:

1. Diagram Ishikawa
Diagram ini sering disebut sebagai diagram tulang ikan, atau diagram sebab dan
akibat. Dinamakan menurut nama orang yang membuatnya, diagram Ishikawa
memungkinkan Anda untuk memecahkan masalah dan mengidentifikasi bagian-

–
bagian komponennya. Ini sering digunakan untuk bekerja mundur dari suatu
masalah (akibat), dengan mengidentifikasi penyebabnya.

Diagram Ishikawa sangat membantu dalam memahami pendorong resiko proyek.

Akan tampak dampak resiko pada diagram sebagai efek, misalnya, "penundaan".
Kemudian gunakan kerangka utama untuk menyoroti kategori resiko seperti
keuangan, teknis, resiko reputasi, dll. Perhatikan bagaimana setiap kategori
berpotensi berkontribusi pada penundaan proyek, dan tambahkan detail itu ke
tulang yang lebih kecil.

Teknik ini dapat menghilangkan penyebab resiko, dan menyoroti resiko tambahan
yang harus diwaspadai organisasi

Gambar 2.1 Diagram Ishikawa

2. Decision Tree/Pohon Keputusan

Pohon keputusan adalah diagram yang bercabang ke berbagai arah. Teknik ini
adalah cara visual untuk merencanakan tindakan manajemen resiko, terutama jika
opsi tersebut dapat menghasilkan solusi dan biaya yang sangat berbeda.

Setiap "cabang" menyoroti satu opsi yang mungkin, dan kemudian dapat
bercabang lagi lebih jauh jika jalurnya terpisah lagi.

ACCT6338 – Risk and Internal Control

Teknik ini digunakan ketika terdapat beberapa kemungkinan rute untuk mengatasi
resiko, dan dampak resikonya signifikan, sebaiknya gunakan pohon keputusan
untuk menelusuri jalur potensial sebelumnya menyetujui langkah selanjutnya.

Gambar 2.2 Decision Tree

3. Expert Interview/Wawancara Ahli

Teknik ini merupakan salah satu cara yang bagus untuk menggali informasi dari
orag yang ahli. Teknik ini memiliki dua kegunaan utama:

Teknik ini membantu dengan identifikasi resiko. Orang-orang yang terlibat dalam
proyek dan ahli materi pelajaran lainnya memiliki pemahaman yang baik tentang
hal-hal yang dapat menyebabkan resiko proyek.

Teknik ini membantu dengan perencanaan tindakan manajemen resiko. Para ahli
mungkin menawarkan cara berbeda untuk mengatasi resiko, memperluas pilihan
organisasi saat memutuskan apa yang harus dilakukan selanjutnya.

4. Workshop/Lokakarya
Lokakarya adalah cara lain untuk mempertemukan para ahli di bidangnya untuk
membantu manajemen resiko. Organisasi dapat menggunakannya di awal proyek
untuk identifikasi resiko, atau untuk perencanaan manajemen resiko seiring
kemajuan proyek.

–
Lokakarya memberi organisasi kesempatan untuk menganalisa lebih dalam
beberapa kemungkinan ancaman (dan peluang) pada proyek. Dan Anda dapat
menggunakan beberapa teknik lain seperti diagram Ishikawa pada saat yang
bersamaan.

Manfaat lebih lanjut dari resiko workshopping seperti ini adalah bahwa setiap
orang yang hadir dalam rapat memiliki pemahaman yang sama tentang resiko
proyek. Lokakarya, dan hasilnya, dapat menjadi alat komunikasi yang baik.

5. Analisis SWOT
SWOT adalah singkatan dari Strength, Weakness, Opportunity, dan Threat.
Resiko terlihat pada faktor eksternal yaitu Opportunity dan Threat.

Jika analisis SWOT telah dilakukan, organisasi dapat menarik peluang dan
ancaman langsung dari situ. SWOT mungkin telah dimasukkan dalam kasus
bisnis, misalnya. Tidak perlu melakukan pekerjaan itu lagi; cukup mencari
informasi dan masukkan ke dalam alat manajemen resiko Anda.

Namun, jika manajemen belum menyelesaikan SWOT untuk proyek tersebut,

tidak ada salahnya melakukannya, di mana pun Anda berada dalam siklus hidup
proyek. Ini juga bisa menjadi cara yang baik untuk memeriksa ulang apakah tim
kerja masih memiliki pendapat yang sama tentang proyek tersebut, dan bahwa
anggota organisasi semua setuju tentang kekuatan inisiatif.

6. Risk Proximity Chart/Bagan Kedekatan Resiko

Kedekatan mengacu pada seberapa dekat dengan tanggal saat ini resikonya.
Misalnya, resiko pemasok gagal mengirimkan peralatan persyaratan dapat
memiliki kedekatan yang rendah jika tanggal pengiriman jauh di masa depan. Jika
tanggal pengiriman yang diusulkan adalah minggu depan, resikonya sangat dekat.
Kedekatan dapat membantu manajemen memprioritaskan resiko karena ia
memberi tahu Anda resiko mana yang akan datang.

Manajemen akan sering melihat perangkat lunak manajemen resiko dengan

bidang kedekatan, tetapi sering kali hanya dikategorikan sebagai bagian dari tabel.
Manajemen dapat mengambil satu langkah lebih jauh dengan memplot resiko

ACCT6338 – Risk and Internal Control

pada grafik. 'Hari ini' ada di sisi kiri diagram dan kemudian sumbu x mewakili
garis waktu hingga akhir proyek dan seterusnya.

Sumbu y menunjukkan dampak atau tingkat keparahan. Resiko yang mendekati

'Hari Ini' dan di bagian atas grafik dengan tingkat keseriusan tinggi pasti harus
Anda perhatikan dengan segera.

Cara visual untuk melacak kedekatan resiko ini bagus karena menunjukkan resiko
besar yang akan datang dan memperjelas berapa banyak waktu yang manajemen
miliki untuk melakukan sesuatu tentangnya.

7. Probability and Impact Matrix/Matriks Probabilitas dan Dampak

Matriks probabilitas dan dampak adalah petak dengan probabilitas di satu sisi dan
berdampak di sisi lain. Anda menilai setiap resiko dengan skala standar (biasanya
1-5). Kemudian manajemen memplot resiko pada matriks. Teknik ini adalah alat
yang sangat sederhana, tetapi memungkinkan manajemen melacak resiko dari
waktu ke waktu. Manajemen dapat menambahkan panah ke bagan untuk
menunjukkan arah pergerakan untuk setiap resiko, dengan memperhatikan
kemungkinan dan dampak yang meningkat. Ini adalah alat yang bagus untuk
digunakan untuk berkomunikasi dengan pemangku kepentingan senior - dalam
pertemuan kelompok pengarah proyek manajemen, misalnya. Pilih 10 resiko
teratas, plot di matriks, lalu sajikan gambarnya. Matriks memudahkan untuk
melihat resiko yang menjadi prioritas

–
 Gambar 2.3 Probability and Impact Matrix

SIMPULAN

ACCT6338 – Risk and Internal Control

Manajemen resiko adalah proses di mana resiko diidentifikasi dan dikendalikan secara
proaktif. Ini memungkinkan bisnis untuk meningkatkan peluang keberhasilan mereka
dengan meminimalkan ancaman dan memaksimalkan peluang.

Manajemen resiko sangat penting untuk bisnis karena membantu mencegah kerugian
finansial dan meningkatkan pendapatan. Manfaat lain dari manajemen resiko meliputi,

1. Membantu untuk mengidentifikasi proyek yang mungkin mengarah ke masalah

dan terapkan solusi
2. Membantu untuk mempersiapkan ancaman tak terduga sebelumnya
3. Membantu menyediakan data yang cukup untuk membuat keputusan yang lebih
baik terkait proyek / acara
4. Membantu meningkatkan komunikasi antara pemangku kepentingan dan tim
proyek
5. Membantu tim tetap lebih fokus pada hasil utama
Tahapan kunci dari proses manajemen resiko adalah mengidentifikasi resiko,
menganalisis resiko, dan merencanakan untuk memitigasi resiko. Ini dirinci di bawah ini
bersama dengan teknik manajemen resiko yang dapat digunakan.

DAFTAR PUSTAKA

Hunziker, S. (2019). Enterprise Risk Management Modern Approach to Balancing

Risk and Reward. Springer Gabler. Wiesbaden, Germany

–
 Manurung, A.H. (2020). Enterprise Risk Management. PT Adler Manurung
Press. Jakarta. ISBN 9789793439211

Moeller, R.R. (2011). COSO Enterprise Risk Management: Establishing

Effective Governance, Risk, and Compliance (GRC) Processes. 2nd edition. John
Wiley & Sons Inc. New Jersey. ISBN: 9780470912881.

LECTURE
NOTES

ACCT6338 – Risk and Internal Control

Week ke - 4

The COSO ERM Framework

ACCT6338 – Risk and Internal Control

LEARNING OUTCOMES

1. Peserta diharapkan mampu memahami kerangka model ERM

2. Peserta diharapkan mengerti portofolio resiko

OUTLINE MATERI :

1. COSO ERM Framework Model

2. ERM Definitions and Objectives: A Portfolio View of Risk
3. Other Dimensions of The ERM Framework

–
 ACCT6338 Risk and Internal Control
ISI MATERI

A. COSO ERM Framework Model

The Committee of Sponsoring Organization (COSO) didirikan pada pertengahan 1980an,
awalnya untuk mensponsori penelitian tentang penyebab pelaporan keuangan yang
curang. Misi saat ini adalah untuk memberikan kepemimpinan pemikiran melalui
pengembangan kerangka kerja yang komprehensif dan panduan tentang manajemen
risiko perusahaan, pengendalian internal dan pencegahan penipuan yang dirancang untuk
meningkatkan kinerja dan tata kelola organisasi dan untuk mengurangi tingkat
kecurangan dalam organisasi.

Meskipun panduan COSO tidak wajib, namun ini berpengaruh karena memberikan
kerangka kerja yang dapat digunakan untuk menilai dan meningkatkan manajemen risiko
dan sistem pengendalian internal. Skandal korporat, yang muncul di perusahaan di mana
manajemen risiko dan pengendalian internalnya tidak memadai, dan upaya untuk
mengatur perilaku perusahaan sebagai akibat dari skandal ini telah menghasilkan
lingkungan di mana panduan tentang praktik terbaik dalam manajemen risiko dan
pengendalian internal sangat diterima.

Model manajemen risiko perusahaan (ERM) COSO telah menjadi kerangka kerja yang
diterima secara luas untuk digunakan organisasi. Meskipun telah menuai kritik, kerangka
tersebut telah ditetapkan sebagai model yang dapat digunakan di lingkungan berbeda di
seluruh dunia.

Panduan COSO mengilustrasikan model ERM dalam bentuk kubus. COSO bermaksud
bahwa bentuk tersebut untuk menggambarkan hubungan antara tujuan yang ditampilkan
di atas dan delapan komponen yang ditampilkan di depan, yang mewakili apa yang
diperlukan untuk mencapai tujuan. Dimensi ketiga mewakili unit organisasi, yang
menggambarkan kemampuan model untuk fokus pada bagian-bagian organisasi serta
keseluruhan.

ACCT6338 – Risk and Internal Control

 Gambar 4.1 COSO Enterprise Risk Management

B. ERM Definitions and Objectives: A Portfolio View of Risk

COSO mendefinisikan sudut pandang penanganan resiko menjadi delapan
bagian, yaitu:
1. Internal Environment/Lingkungan internal
Lingkungan internal menentukan nada organisasi, mempengaruhi selera risiko,
sikap terhadap manajemen risiko dan nilai-nilai etika.

Pada akhirnya, nada perusahaan ditentukan oleh dewan direksi. Dewan yang tidak
seimbang, kurang pengetahuan dan pengalaman teknis yang sesuai, keragaman
dan suara yang kuat dan independen tidak mungkin untuk mengatur nada yang
tepat. Pekerjaan yang dilakukan direktur di komite dewan juga dapat memberikan
kontribusi yang signifikan, dengan operasi audit dan komite risiko menjadi sangat
penting.

Namun, teladan baik yang diberikan oleh anggota dewan dapat dirusak oleh
kegagalan manajemen dalam divisi atau unit bisnis. Mekanisme untuk mengontrol
manajemen lini mungkin tidak cukup atau mungkin tidak dioperasikan dengan
benar. Manajer lini mungkin tidak menyadari tanggung jawab mereka atau
–
mungkin gagal menjalankannya dengan benar. Misalnya, mereka mungkin
mentolerir staf yang mengabaikan kontrol atau menekankan pencapaian hasil
daripada penanganan risiko yang bertanggung jawab.

Salah satu kritik terhadap model ERM adalah bahwa model tersebut dimulai di
tempat yang salah. Ini dimulai dengan lingkungan internal dan bukan lingkungan
eksternal. Kritikus mengklaim bahwa itu tidak cukup mencerminkan dampak dari
lingkungan persaingan, regulasi dan pemangku kepentingan eksternal pada selera
risiko dan manajemen dan budaya.

2. Objective Setting/Pengaturan Tujuan

Dewan harus menetapkan tujuan yang mendukung misi organisasi dan konsisten
dengan selera risikonya.

Jika dewan ingin menetapkan tujuan secara efektif, mereka perlu menyadari risiko
yang timbul jika tujuan yang berbeda dicapai. Risiko kewirausahaan adalah risiko
yang timbul dalam menjalankan aktivitas bisnis, seperti risiko yang timbul dari
investasi bisnis utama atau aktivitas pesaing.

Dewan juga perlu mempertimbangkan selera risiko dan mengambil pandangan

tingkat tinggi tentang seberapa besar risiko yang bersedia diterima. Toleransi
risiko - variasi yang dapat diterima seputar tujuan individu - harus diselaraskan
dengan selera risiko.

Satu hal yang harus dipertimbangkan oleh dewan adalah bagaimana aspek tertentu
dari sistem kontrol dapat digunakan untuk tujuan strategis. Misalnya, kode etik
dapat digunakan sebagai bagian penting dari posisi organisasi sebagai
bertanggung jawab secara sosial. Namun, kerangka kerja bisnis yang dipilih dapat
digunakan untuk mengaburkan tujuan ilegal atau tidak etis. Misalnya, masalah di
Enron dikaburkan oleh struktur yang kompleks dan model bisnis yang sulit
dipahami.

3. Event Identification/Identifikasi acara

Organisasi harus mengidentifikasi kejadian internal dan eksternal yang
mempengaruhi pencapaian tujuannya.

ACCT6338 – Risk and Internal Control

Panduan COSO menarik perbedaan antara peristiwa yang memiliki dampak
negatif yang mewakili risiko dan peristiwa yang memiliki dampak positif yang
merupakan peluang, yang harus memberi umpan balik ke pengaturan strategi.

Beberapa organisasi mungkin kekurangan proses untuk identifikasi acara di area

penting. Mungkin ada budaya di mana tidak ada yang mengharapkan sesuatu yang
salah.

Perbedaan antara risiko strategis dan operasional juga penting di sini. Organisasi
harus memperhatikan baik kejadian yang dapat mengganggu operasi dan juga
bahaya bagi pencapaian tujuan strategis. Fokus yang berlebihan pada faktor
internal, yang modelnya telah dikritik, dapat mengakibatkan konsentrasi pada
risiko operasional dan kegagalan untuk menganalisis bahaya strategis secara
memadai.

Bisnis juga harus memiliki proses untuk mengidentifikasi risiko yang timbul dari
kejadian satu kali dan tren yang lebih bertahap yang dapat mengakibatkan
perubahan risiko. Seringkali kejadian satu kali dengan konsekuensi risiko yang
signifikan dapat dengan mudah diidentifikasi - misalnya, akuisisi bisnis besar.
ERM telah dikritik karena membahas risiko terutama dalam hal peristiwa,
terutama peristiwa mendadak dengan konsekuensi besar. Kritikus mengklaim
bahwa panduan tersebut tidak cukup menekankan perubahan lambat yang dapat
menimbulkan risiko penting - misalnya, perubahan budaya internal atau sentimen
pasar.

Organisasi harus melakukan analisis untuk mengidentifikasi peristiwa potensial,

tetapi juga penting untuk mengidentifikasi dan menanggapi tanda-tanda bahaya
segera setelah muncul. Misalnya, tanggapan cepat terhadap kegagalan produk
mungkin penting untuk memastikan bahwa penjualan yang hilang dan ancaman
terhadap reputasi diminimalkan.

1. Risk Assessment/Penilaian Resiko

Kemungkinan dan dampak risiko dinilai, sebagai dasar untuk menentukan cara
mengelolanya.

–
Selain memetakan kemungkinan dan dampak risiko individu, manajer juga perlu
mempertimbangkan bagaimana risiko individu saling terkait. Panduan COSO
menekankan pentingnya menggunakan kombinasi metodologi penilaian risiko
kualitatif dan kuantitatif. Selain menilai tingkat risiko yang melekat, organisasi
juga harus menilai risiko residual yang tersisa setelah tindakan manajemen risiko
diambil.

Model ERM, bagaimanapun, telah dikritik karena mendorong pendekatan

penilaian risiko yang terlalu disederhanakan. Dinyatakan bahwa hal itu
mendorong pendekatan yang memandang materialisasi risiko sebagai hasil
tunggal. Hasil ini bisa menjadi hasil yang diharapkan atau bisa menjadi hasil
kasus terburuk. Banyak risiko akan memiliki berbagai kemungkinan hasil jika
terwujud - misalnya, cuaca ekstrem - dan penilaian risiko perlu
mempertimbangkan kisaran ini.

2. Risk Response/Respon resiko

Manajemen memilih tindakan yang tepat untuk menyelaraskan risiko dengan
toleransi risiko dan selera risiko.

Tahap ini dapat dilihat dalam empat tanggapan utama - kurangi, terima, transfer
atau hindari. Namun risiko mungkin akan diperlakukan secara terpisah tanpa
mempertimbangkan gambaran untuk organisasi secara keseluruhan. Manajemen
dan diversifikasi portofolio akan diterapkan dengan sangat baik di tingkat
organisasi dan panduan COSO menekankan pentingnya mengambil pandangan
portofolio tentang risiko.

Respons risiko yang dipilih harus realistis, dengan mempertimbangkan biaya

penanganan serta dampaknya terhadap risiko. Lingkungan organisasi akan
memengaruhi respons risikonya. Organisasi yang diatur dengan ketat, misalnya,
akan memiliki respons dan kontrol risiko yang lebih kompleks daripada organisasi
yang kurang diatur. Prinsip ALARP (resiko dinedalikan sehingga resiko
residualnya menjadi serendah mungkin) telah menjadi penting di sini, terutama di
sektor-sektor di mana risiko kesehatan atau keselamatan berpotensi serius, tetapi
tidak dapat dihindari.

ACCT6338 – Risk and Internal Control

Bagian dari tahap respons risiko akan merancang sistem pengendalian internal
yang sehat. Panduan COSO menyarankan bahwa campuran kontrol akan sesuai,
termasuk pencegahan dan deteksi serta kontrol manual dan otomatis.

6. Control Activities/Aktivitas pengendalian

Kebijakan dan prosedur harus dijalankan untuk memastikan bahwa respons risiko
efektif.

Setelah dirancang, kontrol yang ada harus beroperasi dengan benar. COSO telah
melengkapi model ERM dengan panduan dalam pengendalian internal - kerangka
terintegrasi. Draf terbaru dari kerangka kerja ini diterbitkan pada Desember 2011.
Ini menekankan bahwa aktivitas pengendalian adalah alat untuk mencapai tujuan
dan dipengaruhi oleh manusia. Panduan tersebut menyatakan: 'Ini bukan hanya
tentang manual kebijakan, sistem dan bentuk tetapi orang-orang di setiap tingkat
organisasi yang berdampak pada pengendalian internal.'

Karena elemen manusia sangat penting, banyak alasan mengapa pengendalian

gagal adalah karena masalah dengan bagaimana manajer dan staf menggunakan
kontrol. Ini termasuk gagal mengoperasikan kontrol karena tidak dianggap serius,
kesalahan, kolusi antara staf atau manajemen yang menyuruh staf untuk
melakukan kontrol berlebihan. Oleh karena itu, pedoman COSO menekankan
pentingnya pemisahan tugas, untuk mengurangi kemungkinan satu orang dapat
bertindak curang dan untuk meningkatkan kemungkinan ditemukannya kesalahan.

Panduan tersebut juga menekankan perlunya pengendalian dilakukan di semua

tingkat organisasi, pada tahapan yang berbeda dalam proses bisnis dan lingkungan
teknologi.

7. Information and Communication/Informasi dan Komunikasi

Sistem informasi harus memastikan bahwa data diidentifikasi, ditangkap dan
dikomunikasikan dalam format dan kerangka waktu yang memungkinkan manajer
dan staf untuk melaksanakan tanggung jawab mereka.

–
Informasi yang diberikan kepada manajemen harus relevan dan memiliki kualitas
yang sesuai. Itu juga harus mencakup semua tujuan yang ditunjukkan di atas
kubus.

Perlu ada komunikasi dengan staf. Komunikasi bidang risiko yang relevan dengan
apa yang dilakukan staf merupakan sarana penting untuk memperkuat lingkungan
internal dengan menanamkan kesadaran risiko dalam pemikiran staf.

Seperti halnya pengendalian lainnya, kegagalan dalam menangani penyediaan

informasi dan komunikasi secara serius dapat menimbulkan konsekuensi yang
merugikan. Misalnya, manajemen tidak boleh meminta unit bisnis untuk
memberikan informasi yang diperlukan jika unit bisnis tersebut terlihat berkinerja
baik. Selain itu, jika ada sistem pelaporan dengan pengecualian, apa yang cukup
penting untuk dilaporkan akan diserahkan kepada penilaian manajer operasional
yang mungkin enggan melaporkan masalah. Manajemen senior mungkin tidak
belajar tentang potensi masalah pada waktunya.

8. Monitoring/Pemantauan
Sistem manajemen harus dipantau dan dimodifikasi jika perlu. Panduan
pemantauan telah berkembang secara signifikan sejak panduan COSO awal. Di
tingkat dewan direksi, pedoman Turnbull tentang ruang lingkup tinjauan rutin dan
tahunan atas manajemen risiko sangat penting.

COSO melengkapi pedoman ERM-nya dengan pedoman khusus tentang

pemantauan pengendalian internal pada tahun 2009, berdasarkan prinsip bahwa
pengendalian yang tidak terpantau cenderung memburuk dari waktu ke waktu.
Panduan tersebut menggemakan panduan Turnbull dalam menggambarkan
perbedaan antara tinjauan reguler (pemantauan berkelanjutan) dan tinjauan
berkala (evaluasi terpisah). Bagaimanapun kelemahan teridentifikasi, pedoman ini
menekankan pentingnya umpan balik dan tindakan. Kelemahan harus dilaporkan,
dinilai dan akar penyebabnya harus diperbaiki.

Faktor kunci dalam evaluasi terpisah adalah komite audit dan departemen audit
internal. Apakah pemantauan terpisah dapat dilakukan secara efektif tanpa
departemen audit internal harus menjadi pertanyaan kunci yang dipertimbangkan
ACCT6338 – Risk and Internal Control
 ketika memutuskan apakah akan membentuk fungsi audit internal. Setelah
organisasi melampaui tingkat ukuran dan kompleksitas tertentu, menjadi sulit
untuk percaya bahwa fungsi audit internal tidak akan diperlukan.

Model ERM telah memberikan landasan bagi organisasi untuk mengelola risiko
secara lebih efektif. Namun, manajer membutuhkan kesadaran akan keterbatasan
manajemen risiko dan di mana proses tersebut bisa gagal.

C. Other Dimensions of The ERM Framework

Di tahun 2017, COSO mengeluarkan kerangka ERM yang baru, yang diberi nama
ERM, integrating strategy and performance, dalam kerangka baru ini ERM
mengintegrasikan strategi organisasi dan kinera yang dicapai. Kerangka ERM
tahun 2017 ini tidak menghapus yang kerangka lama tahun 2004, tetapi sifatnya
adalah melengkapi, sehingga ada dua kerangka, yaitu kerangka ERM 2004 dan
kerangka ERM integrasi strategi dan kinerja 2017.
Kerangka ERM integrase strategi dan kinerja 2017 terdiri dari 5 elemen sebagai
berikut:

Gambar 4.2 Kerangka COSO Integrasi Strategi dan Kinerja

–
 Kelima elemen tersebut dirinci lagi menjadi 20 prinsip pendukung (supporting
principles)

Komponen pertama COSO ERM 2017 adalah tata kelola dan budaya organisasi. Bahwa
agar implementasi strategi dengan ERM berlangsung dengan efektif komponen tata
kelola dan budaya organisasi membutuhkan lima prinsip yaitu

1. Board atau dewan pengarah dan pengawas organisasi melakukan pengawasan

yang efektif dan memberikan dukungan terhadap implementasi dan pencapaian
strategi organisasi yang dilakukan oleh manajemen;
2. Penetapan struktur organisasi beserta uraian kerja yang memadai dan tanggung
jawab dengan jelas atau hubungan dan pembagian kerja yang dapat menjamin
eksekusi pencapaian tujuan dan target strategis;
3. Mendefinisikan, dibangun, dan diterapkan budaya organisasi yang sesuai dengan
strategi dan tujuan atau sasaran organisasi yang dinginkan;
4. Membuktikan keseriusan atau komitmen terhadap nilai-nilai pokok organisasi
5. Mampu menarik, mengembangkan, dan mempertahankan individu atau personel
yang memiliki kemampuan, pengetahuan, ketrampilan, dan kontribusi unggul
kepada organisasi.

Komponen kedua adalah penyusunan dan penetapan tujuan dan strategis yang memiliki
empat prinsip yaitu

1. Dilakukan analisis konteks bisnis atau lingkungan usaha di mana organisasi

beroperasi serta mengidentifikasi dampak potensial dari lingkungan usahanya
(risiko bisnis) pada profil risikonya;
2. Dibuat risk appetite baik secara tingkat entitas maupun di tingkat lebih rendah
yang terkait dengan mempertahankan atau memelihara, membuat, dan merealisasi
nilai bagi organisasi;
3. Mengindetifikasi dan mengevaluasi strategi-strategi guna mencapai tujuan
organisasi yang ditetapkan sambil memperhitungkan dampak potensial yang dapat
dijumpai;
4. Merumuskan tujuan atau sasaran organisasi dengan mempertimbangkan risiko
yang menyertainya.
Komponen ketiga adalah kinerja yang memiliki lima prinsip yaitu
ACCT6338 – Risk and Internal Control
 1. Mengidentifikasi risiko yang berdampak kepada kinerja strategi dan tujuan
organisasi;
2. Menentukan prioritas risiko mana yang harus didahulukan mitigasinya;
3. Menentukan bentuk respons terhadap risiko, khususnya risiko yang menempati
prioritas utama (risiko signifikan);
4. Mengimplementasikan respons dan mitigasi risiko yang dipilih di mana langkah
mitigasi itu semestinya diyakini memadai guna mengurangi dampak dan peluang
terjadinya risiko;
5. Mengembangkan metodologi dan sistem pemantauan risiko secara portofolio
(portfolio view of risk).

Komponen keempat adalah penelaahan (review) dan revisi yang memiliki tiga prinsip
yaitu

1. Selalu mengamati dan mengukur dinamika perubahan yang substansial yang mesti
segera diantisipasi oleh organisasi;
2. Menelaah atau mengkaji kinerja beserta risiko-risikonya sebagai langkah
melaksanakan strategi untuk mencapai tujuan dan sasaran organisasi;
3. Melakukan perbaikan atau penyempurnaan pada ERM ini.

Komponen kelima yang terakhir adalah informasi, komunikasi, dan pelaporan, yang
memiliki tiga prinsip yaitu

1. Memanfaatkan dan mengembangkan teknologi dan sistem informasi yang

memadai untuk mendukung ERM;
2. Menggunakan saluran-saluran komunikasi organisasi untuk mendukung ERM;
3. Pelaporan atau informasi yang tersebar secara efektif di seluruh jenjang organisasi
mengenai kinerja, risiko, dan budaya.

Ke-20 prinsip yang harus ada menjadi kerangka kerja dan metodologi bagi organisasi
yang ingin membangun dan mengevaluasi ERM dengan menggunakan COSO ERM
SIMPULAN

–
Kerangka kerja manajemen risiko perusahaan sangat beragam seperti organisasi yang
mereka dukung. Dalam masa pertumbuhan, banyak kerangka kerja berfokus pada
peningkatan hasil positif dan mengidentifikasi risiko di seluruh entitas. Dewan,
manajemen senior, dan pemangku kepentingan semakin mengharapkan ERM mengurangi
variabilitas kinerja, meningkatkan penerapan sumber daya, dan meningkatkan ketahanan
perusahaan. Hal Ini akan sering membutuhkan kapabilitas dan praktik organisasi untuk
berkembang sejalan dengan ekspektasi yang meningkat. Efektivitas kerangka kerja
manajemen risiko perusahaan didasarkan pada pengembangan, perancangan dan
penerapan budaya, kapabilitas dan praktik yang selaras dengan manfaat yang diinginkan.

Elite-elite organisasi masih menganggap manajemen risiko sebagai pemenuhan

kepatuhan terhadap suatu regulasi, perlunya memasukkan kajian risiko secara
komprehensif (entutywide) dan substansial pada setiap inisiatif strategis dan rencana
bisnis organisasi. Kajian risiko dimaksud mestinya menjadi satu kesatuan dengan inisiatif
strategis dan rencana bisnis organisasi. Demikian pula pada saat implementasi atau
eksekusinya, kajian risiko dapat senantiasa menyertai sebelum dan selama eksekusi
strategi berlangsung. Apabila hal ini dapat dilakukan dengan bantuan sistem informasi
ERM yang andal tentu saja persepsi manajemen risiko tidak memberikan nilai tambah
dan hanya untuk kepatuhan dapat berkurang.

Melanjutkan informasi sebelumnya bahwa COSO telah memperbaharui kerangka kerja

Enterprise Risk Management (ERM) 2017 di mana terdapat lima komponen dan 20
prinsip pada kerangka kerja COSO Enterprise Risk Management-Integrating with
Strategy and Performance,

DAFTAR PUSTAKA

Hunziker, S. (2019). Enterprise Risk Management Modern Approach to Balancing

Risk and Reward. Springer Gabler. Wiesbaden, Germany

ACCT6338 – Risk and Internal Control

 Manurung, A.H. (2020). Enterprise Risk Management. PT Adler Manurung
Press. Jakarta. ISBN 9789793439211

Moeller, R.R. (2011). COSO Enterprise Risk Management: Establishing

Effective Governance, Risk, and Compliance (GRC) Processes. 2nd edition. John
Wiley & Sons Inc. New Jersey. ISBN: 9780470912881.

LECTURE
NOTES

ACCT6338 – Risk and Internal Control

Week ke - 4

The COSO ERM Framework

–
LEARNING OUTCOMES

3. Peserta diharapkan mampu memahami kerangka model ERM

4. Peserta diharapkan mengerti portofolio resiko

OUTLINE MATERI :

1. COSO ERM Framework Model

2. ERM Definitions and Objectives: A Portfolio View of Risk
3. Other Dimensions of The ERM Framework

ACCT6338 – Risk and Internal Control

 ACCT6338 Risk and Internal Control
ISI MATERI

A. COSO ERM Framework Model

The Committee of Sponsoring Organization (COSO) didirikan pada pertengahan 1980an,
awalnya untuk mensponsori penelitian tentang penyebab pelaporan keuangan yang
curang. Misi saat ini adalah untuk memberikan kepemimpinan pemikiran melalui
pengembangan kerangka kerja yang komprehensif dan panduan tentang manajemen
risiko perusahaan, pengendalian internal dan pencegahan penipuan yang dirancang untuk
meningkatkan kinerja dan tata kelola organisasi dan untuk mengurangi tingkat
kecurangan dalam organisasi.

Meskipun panduan COSO tidak wajib, namun ini berpengaruh karena memberikan
kerangka kerja yang dapat digunakan untuk menilai dan meningkatkan manajemen risiko
dan sistem pengendalian internal. Skandal korporat, yang muncul di perusahaan di mana
manajemen risiko dan pengendalian internalnya tidak memadai, dan upaya untuk
mengatur perilaku perusahaan sebagai akibat dari skandal ini telah menghasilkan
lingkungan di mana panduan tentang praktik terbaik dalam manajemen risiko dan
pengendalian internal sangat diterima.

Model manajemen risiko perusahaan (ERM) COSO telah menjadi kerangka kerja yang
diterima secara luas untuk digunakan organisasi. Meskipun telah menuai kritik, kerangka
tersebut telah ditetapkan sebagai model yang dapat digunakan di lingkungan berbeda di
seluruh dunia.

Panduan COSO mengilustrasikan model ERM dalam bentuk kubus. COSO bermaksud
bahwa bentuk tersebut untuk menggambarkan hubungan antara tujuan yang ditampilkan
di atas dan delapan komponen yang ditampilkan di depan, yang mewakili apa yang
diperlukan untuk mencapai tujuan. Dimensi ketiga mewakili unit organisasi, yang
menggambarkan kemampuan model untuk fokus pada bagian-bagian organisasi serta
keseluruhan.

–
 Gambar 4.1 COSO Enterprise Risk Management

B. ERM Definitions and Objectives: A Portfolio View of Risk

COSO mendefinisikan sudut pandang penanganan resiko menjadi delapan
bagian, yaitu:
1. Internal Environment/Lingkungan internal
Lingkungan internal menentukan nada organisasi, mempengaruhi selera risiko,
sikap terhadap manajemen risiko dan nilai-nilai etika.

Pada akhirnya, nada perusahaan ditentukan oleh dewan direksi. Dewan yang tidak
seimbang, kurang pengetahuan dan pengalaman teknis yang sesuai, keragaman
dan suara yang kuat dan independen tidak mungkin untuk mengatur nada yang
tepat. Pekerjaan yang dilakukan direktur di komite dewan juga dapat memberikan
kontribusi yang signifikan, dengan operasi audit dan komite risiko menjadi sangat
penting.

Namun, teladan baik yang diberikan oleh anggota dewan dapat dirusak oleh
kegagalan manajemen dalam divisi atau unit bisnis. Mekanisme untuk mengontrol
manajemen lini mungkin tidak cukup atau mungkin tidak dioperasikan dengan

ACCT6338 – Risk and Internal Control

benar. Manajer lini mungkin tidak menyadari tanggung jawab mereka atau
mungkin gagal menjalankannya dengan benar. Misalnya, mereka mungkin
mentolerir staf yang mengabaikan kontrol atau menekankan pencapaian hasil
daripada penanganan risiko yang bertanggung jawab.

Salah satu kritik terhadap model ERM adalah bahwa model tersebut dimulai di
tempat yang salah. Ini dimulai dengan lingkungan internal dan bukan lingkungan
eksternal. Kritikus mengklaim bahwa itu tidak cukup mencerminkan dampak dari
lingkungan persaingan, regulasi dan pemangku kepentingan eksternal pada selera
risiko dan manajemen dan budaya.

2. Objective Setting/Pengaturan Tujuan

Dewan harus menetapkan tujuan yang mendukung misi organisasi dan konsisten
dengan selera risikonya.

Jika dewan ingin menetapkan tujuan secara efektif, mereka perlu menyadari risiko
yang timbul jika tujuan yang berbeda dicapai. Risiko kewirausahaan adalah risiko
yang timbul dalam menjalankan aktivitas bisnis, seperti risiko yang timbul dari
investasi bisnis utama atau aktivitas pesaing.

Dewan juga perlu mempertimbangkan selera risiko dan mengambil pandangan

tingkat tinggi tentang seberapa besar risiko yang bersedia diterima. Toleransi
risiko - variasi yang dapat diterima seputar tujuan individu - harus diselaraskan
dengan selera risiko.

Satu hal yang harus dipertimbangkan oleh dewan adalah bagaimana aspek tertentu
dari sistem kontrol dapat digunakan untuk tujuan strategis. Misalnya, kode etik
dapat digunakan sebagai bagian penting dari posisi organisasi sebagai
bertanggung jawab secara sosial. Namun, kerangka kerja bisnis yang dipilih dapat
digunakan untuk mengaburkan tujuan ilegal atau tidak etis. Misalnya, masalah di
Enron dikaburkan oleh struktur yang kompleks dan model bisnis yang sulit
dipahami.

3. Event Identification/Identifikasi acara

ACCT6338 – Risk and Internal Control

Organisasi harus mengidentifikasi kejadian internal dan eksternal yang
mempengaruhi pencapaian tujuannya.

Panduan COSO menarik perbedaan antara peristiwa yang memiliki dampak

negatif yang mewakili risiko dan peristiwa yang memiliki dampak positif yang
merupakan peluang, yang harus memberi umpan balik ke pengaturan strategi.

Beberapa organisasi mungkin kekurangan proses untuk identifikasi acara di area

penting. Mungkin ada budaya di mana tidak ada yang mengharapkan sesuatu yang
salah.

Perbedaan antara risiko strategis dan operasional juga penting di sini. Organisasi
harus memperhatikan baik kejadian yang dapat mengganggu operasi dan juga
bahaya bagi pencapaian tujuan strategis. Fokus yang berlebihan pada faktor
internal, yang modelnya telah dikritik, dapat mengakibatkan konsentrasi pada
risiko operasional dan kegagalan untuk menganalisis bahaya strategis secara
memadai.

Bisnis juga harus memiliki proses untuk mengidentifikasi risiko yang timbul dari
kejadian satu kali dan tren yang lebih bertahap yang dapat mengakibatkan
perubahan risiko. Seringkali kejadian satu kali dengan konsekuensi risiko yang
signifikan dapat dengan mudah diidentifikasi - misalnya, akuisisi bisnis besar.
ERM telah dikritik karena membahas risiko terutama dalam hal peristiwa,
terutama peristiwa mendadak dengan konsekuensi besar. Kritikus mengklaim
bahwa panduan tersebut tidak cukup menekankan perubahan lambat yang dapat
menimbulkan risiko penting - misalnya, perubahan budaya internal atau sentimen
pasar.

Organisasi harus melakukan analisis untuk mengidentifikasi peristiwa potensial,

tetapi juga penting untuk mengidentifikasi dan menanggapi tanda-tanda bahaya
segera setelah muncul. Misalnya, tanggapan cepat terhadap kegagalan produk
mungkin penting untuk memastikan bahwa penjualan yang hilang dan ancaman
terhadap reputasi diminimalkan.

ACCT6338 – Risk and Internal Control

3. Risk Assessment/Penilaian Resiko
Kemungkinan dan dampak risiko dinilai, sebagai dasar untuk menentukan cara
mengelolanya.

Selain memetakan kemungkinan dan dampak risiko individu, manajer juga perlu
mempertimbangkan bagaimana risiko individu saling terkait. Panduan COSO
menekankan pentingnya menggunakan kombinasi metodologi penilaian risiko
kualitatif dan kuantitatif. Selain menilai tingkat risiko yang melekat, organisasi
juga harus menilai risiko residual yang tersisa setelah tindakan manajemen risiko
diambil.

Model ERM, bagaimanapun, telah dikritik karena mendorong pendekatan

penilaian risiko yang terlalu disederhanakan. Dinyatakan bahwa hal itu
mendorong pendekatan yang memandang materialisasi risiko sebagai hasil
tunggal. Hasil ini bisa menjadi hasil yang diharapkan atau bisa menjadi hasil
kasus terburuk. Banyak risiko akan memiliki berbagai kemungkinan hasil jika
terwujud - misalnya, cuaca ekstrem - dan penilaian risiko perlu
mempertimbangkan kisaran ini.

4. Risk Response/Respon resiko

Manajemen memilih tindakan yang tepat untuk menyelaraskan risiko dengan
toleransi risiko dan selera risiko.

Tahap ini dapat dilihat dalam empat tanggapan utama - kurangi, terima, transfer
atau hindari. Namun risiko mungkin akan diperlakukan secara terpisah tanpa
mempertimbangkan gambaran untuk organisasi secara keseluruhan. Manajemen
dan diversifikasi portofolio akan diterapkan dengan sangat baik di tingkat
organisasi dan panduan COSO menekankan pentingnya mengambil pandangan
portofolio tentang risiko.

Respons risiko yang dipilih harus realistis, dengan mempertimbangkan biaya

penanganan serta dampaknya terhadap risiko. Lingkungan organisasi akan
memengaruhi respons risikonya. Organisasi yang diatur dengan ketat, misalnya,

ACCT6338 – Risk and Internal Control

akan memiliki respons dan kontrol risiko yang lebih kompleks daripada organisasi
yang kurang diatur. Prinsip ALARP (resiko dinedalikan sehingga resiko
residualnya menjadi serendah mungkin) telah menjadi penting di sini, terutama di
sektor-sektor di mana risiko kesehatan atau keselamatan berpotensi serius, tetapi
tidak dapat dihindari.

Bagian dari tahap respons risiko akan merancang sistem pengendalian internal
yang sehat. Panduan COSO menyarankan bahwa campuran kontrol akan sesuai,
termasuk pencegahan dan deteksi serta kontrol manual dan otomatis.

6. Control Activities/Aktivitas pengendalian

Kebijakan dan prosedur harus dijalankan untuk memastikan bahwa respons risiko
efektif.

Setelah dirancang, kontrol yang ada harus beroperasi dengan benar. COSO telah
melengkapi model ERM dengan panduan dalam pengendalian internal - kerangka
terintegrasi. Draf terbaru dari kerangka kerja ini diterbitkan pada Desember 2011.
Ini menekankan bahwa aktivitas pengendalian adalah alat untuk mencapai tujuan
dan dipengaruhi oleh manusia. Panduan tersebut menyatakan: 'Ini bukan hanya
tentang manual kebijakan, sistem dan bentuk tetapi orang-orang di setiap tingkat
organisasi yang berdampak pada pengendalian internal.'

Karena elemen manusia sangat penting, banyak alasan mengapa pengendalian

gagal adalah karena masalah dengan bagaimana manajer dan staf menggunakan
kontrol. Ini termasuk gagal mengoperasikan kontrol karena tidak dianggap serius,
kesalahan, kolusi antara staf atau manajemen yang menyuruh staf untuk
melakukan kontrol berlebihan. Oleh karena itu, pedoman COSO menekankan
pentingnya pemisahan tugas, untuk mengurangi kemungkinan satu orang dapat
bertindak curang dan untuk meningkatkan kemungkinan ditemukannya kesalahan.

ACCT6338 – Risk and Internal Control

Panduan tersebut juga menekankan perlunya pengendalian dilakukan di semua
tingkat organisasi, pada tahapan yang berbeda dalam proses bisnis dan lingkungan
teknologi.

7. Information and Communication/Informasi dan Komunikasi

Sistem informasi harus memastikan bahwa data diidentifikasi, ditangkap dan
dikomunikasikan dalam format dan kerangka waktu yang memungkinkan manajer
dan staf untuk melaksanakan tanggung jawab mereka.

Informasi yang diberikan kepada manajemen harus relevan dan memiliki kualitas
yang sesuai. Itu juga harus mencakup semua tujuan yang ditunjukkan di atas
kubus.

Perlu ada komunikasi dengan staf. Komunikasi bidang risiko yang relevan dengan
apa yang dilakukan staf merupakan sarana penting untuk memperkuat lingkungan
internal dengan menanamkan kesadaran risiko dalam pemikiran staf.

Seperti halnya pengendalian lainnya, kegagalan dalam menangani penyediaan

informasi dan komunikasi secara serius dapat menimbulkan konsekuensi yang
merugikan. Misalnya, manajemen tidak boleh meminta unit bisnis untuk
memberikan informasi yang diperlukan jika unit bisnis tersebut terlihat berkinerja
baik. Selain itu, jika ada sistem pelaporan dengan pengecualian, apa yang cukup
penting untuk dilaporkan akan diserahkan kepada penilaian manajer operasional
yang mungkin enggan melaporkan masalah. Manajemen senior mungkin tidak
belajar tentang potensi masalah pada waktunya.

8. Monitoring/Pemantauan
Sistem manajemen harus dipantau dan dimodifikasi jika perlu. Panduan
pemantauan telah berkembang secara signifikan sejak panduan COSO awal. Di
tingkat dewan direksi, pedoman Turnbull tentang ruang lingkup tinjauan rutin dan
tahunan atas manajemen risiko sangat penting.

COSO melengkapi pedoman ERM-nya dengan pedoman khusus tentang

pemantauan pengendalian internal pada tahun 2009, berdasarkan prinsip bahwa

ACCT6338 – Risk and Internal Control

 pengendalian yang tidak terpantau cenderung memburuk dari waktu ke waktu.
Panduan tersebut menggemakan panduan Turnbull dalam menggambarkan
perbedaan antara tinjauan reguler (pemantauan berkelanjutan) dan tinjauan
berkala (evaluasi terpisah). Bagaimanapun kelemahan teridentifikasi, pedoman ini
menekankan pentingnya umpan balik dan tindakan. Kelemahan harus dilaporkan,
dinilai dan akar penyebabnya harus diperbaiki.

Faktor kunci dalam evaluasi terpisah adalah komite audit dan departemen audit
internal. Apakah pemantauan terpisah dapat dilakukan secara efektif tanpa
departemen audit internal harus menjadi pertanyaan kunci yang dipertimbangkan
ketika memutuskan apakah akan membentuk fungsi audit internal. Setelah
organisasi melampaui tingkat ukuran dan kompleksitas tertentu, menjadi sulit
untuk percaya bahwa fungsi audit internal tidak akan diperlukan.

Model ERM telah memberikan landasan bagi organisasi untuk mengelola risiko
secara lebih efektif. Namun, manajer membutuhkan kesadaran akan keterbatasan
manajemen risiko dan di mana proses tersebut bisa gagal.

C. Other Dimensions of The ERM Framework

Di tahun 2017, COSO mengeluarkan kerangka ERM yang baru, yang diberi nama
ERM, integrating strategy and performance, dalam kerangka baru ini ERM
mengintegrasikan strategi organisasi dan kinera yang dicapai. Kerangka ERM
tahun 2017 ini tidak menghapus yang kerangka lama tahun 2004, tetapi sifatnya
adalah melengkapi, sehingga ada dua kerangka, yaitu kerangka ERM 2004 dan
kerangka ERM integrasi strategi dan kinerja 2017.
Kerangka ERM integrase strategi dan kinerja 2017 terdiri dari 5 elemen sebagai
berikut:

ACCT6338 – Risk and Internal Control

 Gambar 4.2 Kerangka COSO Integrasi Strategi dan Kinerja

Kelima elemen tersebut dirinci lagi menjadi 20 prinsip pendukung (supporting

principles)

Komponen pertama COSO ERM 2017 adalah tata kelola dan budaya organisasi. Bahwa
agar implementasi strategi dengan ERM berlangsung dengan efektif komponen tata
kelola dan budaya organisasi membutuhkan lima prinsip yaitu

6. Board atau dewan pengarah dan pengawas organisasi melakukan pengawasan

yang efektif dan memberikan dukungan terhadap implementasi dan pencapaian
strategi organisasi yang dilakukan oleh manajemen;
7. Penetapan struktur organisasi beserta uraian kerja yang memadai dan tanggung
jawab dengan jelas atau hubungan dan pembagian kerja yang dapat menjamin
eksekusi pencapaian tujuan dan target strategis;
8. Mendefinisikan, dibangun, dan diterapkan budaya organisasi yang sesuai dengan
strategi dan tujuan atau sasaran organisasi yang dinginkan;
9. Membuktikan keseriusan atau komitmen terhadap nilai-nilai pokok organisasi

ACCT6338 – Risk and Internal Control

 10. Mampu menarik, mengembangkan, dan mempertahankan individu atau personel
yang memiliki kemampuan, pengetahuan, ketrampilan, dan kontribusi unggul
kepada organisasi.

Komponen kedua adalah penyusunan dan penetapan tujuan dan strategis yang memiliki
empat prinsip yaitu

5. Dilakukan analisis konteks bisnis atau lingkungan usaha di mana organisasi

beroperasi serta mengidentifikasi dampak potensial dari lingkungan usahanya
(risiko bisnis) pada profil risikonya;
6. Dibuat risk appetite baik secara tingkat entitas maupun di tingkat lebih rendah
yang terkait dengan mempertahankan atau memelihara, membuat, dan merealisasi
nilai bagi organisasi;
7. Mengindetifikasi dan mengevaluasi strategi-strategi guna mencapai tujuan
organisasi yang ditetapkan sambil memperhitungkan dampak potensial yang dapat
dijumpai;
8. Merumuskan tujuan atau sasaran organisasi dengan mempertimbangkan risiko
yang menyertainya.
Komponen ketiga adalah kinerja yang memiliki lima prinsip yaitu

6. Mengidentifikasi risiko yang berdampak kepada kinerja strategi dan tujuan

organisasi;
7. Menentukan prioritas risiko mana yang harus didahulukan mitigasinya;
8. Menentukan bentuk respons terhadap risiko, khususnya risiko yang menempati
prioritas utama (risiko signifikan);
9. Mengimplementasikan respons dan mitigasi risiko yang dipilih di mana langkah
mitigasi itu semestinya diyakini memadai guna mengurangi dampak dan peluang
terjadinya risiko;
10. Mengembangkan metodologi dan sistem pemantauan risiko secara portofolio
(portfolio view of risk).

Komponen keempat adalah penelaahan (review) dan revisi yang memiliki tiga prinsip
yaitu

ACCT6338 – Risk and Internal Control

 4. Selalu mengamati dan mengukur dinamika perubahan yang substansial yang mesti
segera diantisipasi oleh organisasi;
5. Menelaah atau mengkaji kinerja beserta risiko-risikonya sebagai langkah
melaksanakan strategi untuk mencapai tujuan dan sasaran organisasi;
6. Melakukan perbaikan atau penyempurnaan pada ERM ini.

Komponen kelima yang terakhir adalah informasi, komunikasi, dan pelaporan, yang
memiliki tiga prinsip yaitu

4. Memanfaatkan dan mengembangkan teknologi dan sistem informasi yang

memadai untuk mendukung ERM;
5. Menggunakan saluran-saluran komunikasi organisasi untuk mendukung ERM;
6. Pelaporan atau informasi yang tersebar secara efektif di seluruh jenjang organisasi
mengenai kinerja, risiko, dan budaya.

Ke-20 prinsip yang harus ada menjadi kerangka kerja dan metodologi bagi organisasi
yang ingin membangun dan mengevaluasi ERM dengan menggunakan COSO ERM
SIMPULAN

Kerangka kerja manajemen risiko perusahaan sangat beragam seperti organisasi yang
mereka dukung. Dalam masa pertumbuhan, banyak kerangka kerja berfokus pada
peningkatan hasil positif dan mengidentifikasi risiko di seluruh entitas. Dewan,
manajemen senior, dan pemangku kepentingan semakin mengharapkan ERM mengurangi
variabilitas kinerja, meningkatkan penerapan sumber daya, dan meningkatkan ketahanan
perusahaan. Hal Ini akan sering membutuhkan kapabilitas dan praktik organisasi untuk
berkembang sejalan dengan ekspektasi yang meningkat. Efektivitas kerangka kerja
manajemen risiko perusahaan didasarkan pada pengembangan, perancangan dan
penerapan budaya, kapabilitas dan praktik yang selaras dengan manfaat yang diinginkan.

Elite-elite organisasi masih menganggap manajemen risiko sebagai pemenuhan

kepatuhan terhadap suatu regulasi, perlunya memasukkan kajian risiko secara
komprehensif (entutywide) dan substansial pada setiap inisiatif strategis dan rencana

ACCT6338 – Risk and Internal Control

bisnis organisasi. Kajian risiko dimaksud mestinya menjadi satu kesatuan dengan inisiatif
strategis dan rencana bisnis organisasi. Demikian pula pada saat implementasi atau
eksekusinya, kajian risiko dapat senantiasa menyertai sebelum dan selama eksekusi
strategi berlangsung. Apabila hal ini dapat dilakukan dengan bantuan sistem informasi
ERM yang andal tentu saja persepsi manajemen risiko tidak memberikan nilai tambah
dan hanya untuk kepatuhan dapat berkurang.

Melanjutkan informasi sebelumnya bahwa COSO telah memperbaharui kerangka kerja

Enterprise Risk Management (ERM) 2017 di mana terdapat lima komponen dan 20
prinsip pada kerangka kerja COSO Enterprise Risk Management-Integrating with
Strategy and Performance,

DAFTAR PUSTAKA

Hunziker, S. (2019). Enterprise Risk Management Modern Approach to Balancing

Risk and Reward. Springer Gabler. Wiesbaden, Germany

Manurung, A.H. (2020). Enterprise Risk Management. PT Adler Manurung

Press. Jakarta. ISBN 9789793439211

Moeller, R.R. (2011). COSO Enterprise Risk Management: Establishing

Effective Governance, Risk, and Compliance (GRC) Processes. 2nd edition. John
Wiley & Sons Inc. New Jersey. ISBN: 9780470912881.

ACCT6338 – Risk and Internal Control