NOTES
–
ACCT6338 Risk and Internal Control
LEARNING OUTCOMES
OUTLINE MATERI :
“Standar” utama COSO, Pengendalian Internal - Kerangka Kerja Terpadu, dirilis pada
tahun 1992 dan menyediakan kerangka kerja yang komprehensif untuk membantu
organisasi menilai dan meningkatkan sistem pengendalian internal mereka. Hal tersebut
kemudian menjadi sangat populer; dalam jajak pendapat tahun 2006, disebutkan 82%
responden menyatakan bahwa mereka menggunakan standar tersebut untuk panduan
aktivitas pengendalian internal dan kepatuhan di organisasi mereka.
Dalam standar awal, ERM terdiri dari empat kategori - Strategis, Operasi, Pelaporan, dan
Kepatuhan - dua diantaranya terkait langsung dengan tata kelola perusahaan.
Seperti yang dijelaskan dalam ringkasan standar 2004 dari NC State ini, standar ERM
hampir seperti versi standar pengendalian internal yang diperluas yang melampaui
laporan keuangan untuk menyertakan laporan di seluruh perusahaan.
Meskipun standar asli memasukkan tujuan strategis sebagai kategori, alasan untuk
memasukkannya adalah untuk memastikan strategi organisasi "selaras dengan operasi,
pelaporan, dan aktivitas kepatuhan".
Pada akhirnya, kerangka COSO ERM tahun 2004 lebih berfokus pada apa yang dapat
diaudit daripada mengidentifikasi ancaman dan peluang, di situlah letak nilai riil dalam
ERM. Standar tersebut cocok untuk organisasi di mana resiko didorong oleh audit.
Dalam umpan baliknya, banyak praktisi menjelaskan bahwa kerangka COSO ERM yang
asli semata-mata berkaitan dengan pengendalian internal.
Untuk mengatasi hal ini dan masalah lainnya, COSO, dalam kemitraan dengan PwC,
merilis standar yang diperbarui pada tahun 2017 dengan judul Manajemen Resiko
Perusahaan - Berintegrasi dengan Strategi dan Kinerja.
Dalam ringkasannya, PwC membahas perbedaan yang signifikan antara standar 2004 dan
2017. Misalnya, strukturnya jauh berbeda. Apabila sebelumnya menggunakan kubus
untuk menggambarkan hubungan antara empat kategori dan delapan komponen dari
proses manajemen resiko, standar baru menggunakan diagram tipe pita yang sekarang
menjalin lima kategori di seluruh siklus hidup organisasi (lihat di bawah). Standar
–
tersebut menjelaskan bahwa tiga pita dalam diagram ada untuk mewakili proses umum
yang "mengalir melalui entitas" (Penetapan Strategi / Tujuan, Kinerja, dan Tinjauan /
Revisi) sedangkan dua pita lainnya mewakili mekanisme pendukung ERM (Tata Kelola /
Kebudayaan, Informasi dan Komunikasi, dan Pelaporan).
5. Pemantauan (monitoring).
Sistem pengendalian internal harus dipantau secara berkala. Apabila terjadi
kekurangan yang signifikan, harus segera dilaporkan kepada manajemen puncak
dan ke dewan komisaris.
Dalam menjalankan usahanya, perusahaan selalu menghadapi resiko. Contoh resiko yang
dihadapi perusahaan seperti perusahaan dapat melanggar salah satu peraturan yang
berlaku, tata kelola yang ditetapkan oleh perusahaan tidak mencapai hasil yang
diinginkan, dan perusahaan menghadapi kejadian di luar kendali perusahaan (seperti
faktor cuaca / kebakaran)
–
Dengan adanya resiko tersebut maka diperlukan manajemen resiko dalam menjalankan
usahanya; dalam akronim GRC, G adalah singkatan dari Governance. Tata kelola berarti
mengelola bisnis, memastikan bahwa kinerja perusahaan sesuai dengan peraturan
perusahaan dan keputusan Direksi. Governance juga berarti apa yang harus dilakukan
perusahaan (sesuai dengan ekspektasi stakeholder) agar setiap karyawan mengetahui arah
operasional perusahaan.
Sedangkan R adalah singkatan dari Risk. Semua yang dilakukan perusahaan beresiko.
Resiko adalah cara perusahaan melindungi nilai aset yang ada dan menciptakan nilai
dengan mengembangkan perusahaan secara strategis atau menambahkan produk /
layanan baru. C adalah singkatan dari Compliance. Kepatuhan didefinisikan sebagai
kepatuhan terhadap hukum dan peraturan yang berkaitan dengan bisnis dan masyarakat.
Seringkali, C didefinisikan sebagai kontrol kepatuhan. Pengendalian kepatuhan berarti
pengendalian kegiatan untuk memastikan bahwa perusahaan mematuhi hukum dan
peraturan yang berlaku. Contoh: memantau emisi pabrik atau memastikan kertas impor
dan ekspor terstruktur dengan baik, menciptakan kontrol akuntansi internal yang efektif
dan menerapkan peraturan seperti Sarbanes-Oxley secara efektif. GRC tidak hanya
berarti apa yang harus dilakukan untuk menjaga bisnis, tetapi sebuah paradigma untuk
membantu perusahaan berkembang ke arah yang lebih baik.
Banyak perusahaan tidak menganggap GRC sebagai prinsip tunggal. Perusahaan sering
mengatur tata kelola, resiko dan kepatuhan sebagai area terpisah, bukan sebagai prinsip
tunggal. Misalnya, perusahaan diwajibkan untuk mematuhi regulasi yang berlaku, namun
perusahaan tidak terbiasa memadukannya dengan prinsip GRC. Faktanya, GRC
merupakan cara baru bagi perusahaan untuk mengintegrasikan aspek Tata Kelola, Resiko
dan Kepatuhan dalam bisnis
Ketiga prinsip GRC tersebut memiliki hubungan yang berkelanjutan dan saling terkait,
yang kesemuanya memiliki kedudukan penting yang sama. Tata kelola perusahaan /
perusahaan adalah aturan, proses, atau hukum yang dengannya bisnis dijalankan, diatur,
dan dikendalikan. Istilah tersebut juga mengacu pada faktor internal yang ditentukan oleh
pejabat, pemegang saham, atau dokumen dan peraturan tertulis serta tujuan dasar
perusahaan, serta pihak eksternal seperti konsumen, klien, dan peraturan pemerintah.
Gambar di atas adalah Konsep GRC. Aspek konsep GRC sangat terikat satu sama lain.
Pada gambar di atas terlihat bahwa: kebijakan internal merupakan faktor pendukung
utama tata kelola, regulasi eksternal merupakan faktor utama pendukung kepatuhan, risk
appetite perusahaan merupakan faktor utama pendukung pengelolaan resiko.
Di dalam segitiga tersebut terdapat 4 komponen GRC yaitu: strategi, proses efektif,
teknologi, manusia. Bagian kanan segitiga menunjukkan bahwa perusahaan
membutuhkan perhatian dan dukungan manajemen, perilaku etis yang benar, efisiensi
organisasi, dan peningkatan efektivitas untuk mendukung operasi bisnis mereka.
–
Misi utama dari COSO adalah “Memperbaiki / meningkatkan kualitas laporan keuangan
entitas melalui etika bisnis, pengendalian internal yang efektif, dan tata kelola
perusahaan.”
COSO tidak mengubah lima komponen pengendalian yang telah dipakai sejak COSO
1992. Tentu saja penjelasannya tetap mengalami penyempurnaan. Penjelasan singkat dari
komponen-komponen tersebut adalah sebagai berikut.
–
menjadi sarana diseminasi informasi di dalam organisasi, baik dari atas ke bawah, dari
bawah ke atas, maupun lintas fungsi.
SIMPULAN
Proses GRC dan pengendalian internal yang efektif dapat membantu perusahaan mengubah
operasi bisnisnya dan memiliki wawasan serta kemampuan untuk membuat prediksi yang lebih
dalam tentang proses bisnisnya ketika perusahaan dapat memenuhi tuntutan peraturan hukum
yang berlaku. Penggerak utama bisnis yang dimaksud adalah kemampuan untuk mengelola
informasi aset, menunjukkan kepatuhan terhadap kewajiban dan peraturan hukum yang berlaku,
mengurangi resiko proses pengadilan, mengurangi biaya penyimpanan dan penemuan, dan
menunjukkan akuntabilitas perusahaan.
Jadi untuk mewujudkan manajemen resiko dan proses COSO ERM yang efektif, perusahaan
perlu memiliki proses tata kelola dan kepatuhan yang kuat dengan tujuan membangun program
GRC yang efektif.
Manajemen resiko harus menciptakan nilai dan menjadi bagian integral dari proses organisasi.
Manajemen resiko juga harus menjadi bagian dari proses pengambilan keputusan dan harus
DAFTAR PUSTAKA
–
LECTURE
NOTES
1. Peserta diharapkan mampu memahami hubungan GRC dan Enterprise compliance 2. Peserta
OUTLINE MATERI :
–
ACCT6338 Risk and Internal Control
ISI MATERI
Prinsip-prinsip tata kelola yang diterapkan dan ditegakkan dengan baik menghasilkan
struktur yang akan menguntungkan semua pihak terkait dengan memastikan bahwa
perusahaan mematuhi standar etika dan praktik terbaik serta hukum formal yang berlaku.
Saat ini, perhatian terhadap tata kelola perusahaan meningkat karena skandal-skandal
besar yang melibatkan penyalahgunaan kekuasaan, di dalam perusahaan dan, dalam
beberapa kasus, dugaan aktivitas kriminal oleh pejabat perusahaan. Kombinasi aturan
tata kelola yang efektif mencakup ketentuan mengenai tuntutan perdata dan pidana
terhadap individu yang melakukan tindakan tidak etis / ilegal atas nama perusahaan.
Berikut ini adalah konsep tata kelola perusahaan dengan grup eksekutif sebagai pusat dan
poros dari sisanya dan tanggung jawab terkait untuk menjalankan kontrol, kerangka
strategis, kinerja, dan akuntabilitas.
Kepatuhan adalah proses yang berkelanjutan, bukan hanya proses satu kali. Kepatuhan
mendorong seluruh sistem yang dibuat oleh perusahaan untuk berjalan dengan baik dan
bertanggung jawab untuk memenuhi berbagai macam permintaan spesifik dari pasar
vertikal.
Perusahaan perlu mengetahui dan mengacu pada undang-undang dan peraturan yang
berlaku secara umum / lintas industri seperti Sarbanes-Oxley Act, Six Sigma, atau ISO
9000. Peraturan perundang-undangan yang lebih luas dan kompleks yang mengatur
menimbulkan tantangan bagi perusahaan sepanjang waktu. Untuk menghadapi tantangan
ini, perusahaan perlu melakukan pendekatan terhadap prinsip GRC untuk menciptakan
pandangan strategis yang dapat membantu memenuhi setiap kebutuhan kepatuhan untuk
menciptakan manfaat nyata bagi perusahaan dari semua aktivitas yang dilakukannya,
operasi, investasi, dan pendanaan.
Terdapat lima cakupan kepatuhan yang mempengaruhi berbagai aspek perusahaan, yaitu:
strategi, organisasi, proses, aplikasi dan data, serta fasilitas. Setiap ruang lingkup
–
kepatuhan memiliki masalah yang harus diperhatikan oleh perusahaan sebagai upaya
untuk dapat membangun ruang lingkup dan pendekatan kepatuhan. Ini juga disebut
Pertimbangan Cakupan Arsitektur Kepatuhan.
Strategi; Dalam menentukan strateginya, perusahaan harus mengikuti regulasi terkait saat
ini, terutama di lokasi dan area dimana perusahaan tersebut bergerak. Misalnya
keberlanjutan kepatuhan peraturan harus menjadi bagian integral dari semua strategi
kepatuhan.
Proses; Proses utama harus didokumentasikan dan dilaksanakan. Audit atau review harus
dilakukan untuk memastikan bahwa proses yang terdokumentasi telah digunakan secara
efektif untuk memenuhi tuntutan atau kebutuhan regulasi. Misalnya di sebuah
perusahaan manufaktur, ada ketentuan ISO untuk produk yang dibuatnya. Perusahaan
wajib membuat dokumentasi mengenai sistem produksi perusahaan yang telah memenuhi
ketentuan ISO dan perlu dilakukan audit atau review apakah ketentuan ISO tersebut
benar-benar telah dilakukan oleh perusahaan.
Aplikasi dan data; Aplikasi harus dirancang, diterapkan, dan diuji terus menerus untuk
mendukung tuntutan setiap regulasi. Data harus dilindungi dengan baik dan ditangani
sesuai dengan peraturan yang berlaku. Contohnya adalah data nasabah suatu bank.
Dinyatakan bahwa Bank wajib menjaga kerahasiaan informasi mengenai nasabah
penyimpan dan simpanannya, kecuali untuk Kepentingan Perpajakan, Penyelesaian
Piutang Bank, Peradilan Pidana dan Perdata, serta untuk keperluan Pertukaran Informasi
antar Bank. Jadi, perlindungan data harus dilakukan dengan baik namun tetap mematuhi
peraturan perundang-undangan untuk hal-hal yang dikecualikan.
Fasilitas; Fasilitas harus dirancang dan tersedia untuk memenuhi tuntutan masing-masing
regulasi (misalnya regulasi mengenai Pengawasan Tidak Langsung (off-site) yang
dilakukan oleh Bank Indonesia terhadap Lembaga Pengelola Informasi Perkreditan
Ketika suatu perusahaan dapat mengambil pendekatan yang konsisten untuk mencapai
sistem kepatuhan disertai dengan teknologi pendukung, perusahaan akan mendapatkan
keuntungan dari hal tersebut
Tata Kelola Perusahaan adalah interaksi antara berbagai peserta (pemegang saham,
dewan direksi, dan manajemen perusahaan) dalam membentuk kinerja perusahaan dan
jalannya selanjutnya. Hubungan antara pemilik dan manajer dalam suatu organisasi harus
sehat dan tidak boleh ada konflik di antara keduanya. Pemilik harus melihat bahwa
kinerja aktual individu sesuai dengan kinerja standar. Dimensi tata kelola perusahaan ini
tidak boleh diabaikan.
Tata Kelola Perusahaan berkaitan dengan cara penyedia keuangan menjamin diri mereka
sendiri untuk mendapatkan pengembalian investasi yang adil. Tata Kelola Perusahaan
dengan jelas membedakan antara pemilik dan manajer. Manajer adalah otoritas penentu.
Dalam perusahaan modern, fungsi / tugas pemilik dan manajer harus didefinisikan
dengan jelas, bukan menyelaraskan.
Tata Kelola Perusahaan berkaitan dengan penentuan cara untuk mengambil keputusan
strategis yang efektif. Ini memberikan otoritas tertinggi dan tanggung jawab penuh
kepada Dewan Direksi. Dalam ekonomi berorientasi pasar saat ini, kebutuhan akan tata
kelola perusahaan muncul. Selain itu, efisiensi serta globalisasi merupakan faktor penting
yang mendorong tata kelola perusahaan. Tata Kelola Perusahaan sangat penting untuk
mengembangkan nilai tambah bagi para pemangku kepentingan.
–
Tata Kelola Perusahaan memastikan transparansi yang memastikan pembangunan
ekonomi yang kuat dan seimbang. Hal ini juga memastikan bahwa kepentingan semua
pemegang saham (pemegang saham mayoritas maupun minoritas) terjaga. Ini
memastikan bahwa semua pemegang saham sepenuhnya menggunakan hak mereka dan
bahwa organisasi sepenuhnya mengakui hak mereka.
Tata Kelola Perusahaan memiliki cakupan yang luas. Ini mencakup aspek sosial dan
kelembagaan. Tata Kelola Perusahaan mendorong lingkungan yang dapat dipercaya,
bermoral, dan beretika.
Pentingnya GRC Governance karena dapat memberikan manfaat bagi perusahaan atau
organisasi yang menerapkan dengan baik. Manaaftnya antara lain mengurangi total biaya
kepemilikan; Investasi bisa menguntungkan dan memanfaatkan berbagai regulasi.
Misalnya, banyak peraturan yang menetapkan secara rinci persyaratan untuk
penyimpanan dokumen, yang dapat dipenuhi dengan investasi dalam konten dan catatan
dalam sistem manajemen.
Fleksibilitas; Salah satu kesulitan dalam penerapan sistem kepatuhan adalah ketika
peraturan baru sering muncul dan peraturan yang ada berubah. Jadi dengan
menggunakan arsitektur kepatuhan seluruh organisasi, perusahaan akan beradaptasi lebih
cepat terhadap perubahan ini karena langkah pertama dalam mewujudkan kepatuhan
telah dikelola secara terpusat;
Keunggulan kompetitif; Arsitektur kepatuhan yang luas dan konsisten dapat membantu
perusahaan lebih memahami dan mengontrol proses bisnisnya yang membantunya
merespons dengan cepat dan tepat tekanan eksternal dan internal. Selain itu, regulasi
tertentu juga memuat manfaat nyata bagi pelaku usaha dengan mengurangi kebutuhan
modal minimum yang mungkin terjadi.
2. Tata kelola dan kepatuhan perusahaan yang kuat menjaga kepercayaan investor,
sehingga perusahaan dapat meningkatkan modal secara efisien dan efektif.
5. Memberikan dorongan yang tepat kepada pemilik serta manajer untuk mencapai
tujuan yang menjadi kepentingan pemegang saham dan organisasi.
Manajemen risiko harus menjadi bagian dari budaya perusahaan secara keseluruhan,
mulai dari Direktur Utama, setiap pejabat senior, hingga staf (mencakup seluruh struktur
organisasi dari atas hingga bawah). Berikut adalah empat langkah yang saling terkait
dalam proses GRC yang efektif dan manajemen risiko perusahaan:
–
Identifikasi dan analisis risiko; Selain memproyeksikan potensi risiko, diperlukan analisis
yang lebih rinci mengenai tingkat kemungkinan risiko dan kemungkinan dampaknya.
Dampak yang telah teridentifikasi perlu diukur untuk selanjutnya menentukan strategi
mitigasi. Strategi mitigasi berkaitan dengan penentuan alternatif terbaik untuk
mengurangi atau menghilangkan dampak dari risiko yang teridentifikasi. Risiko jika hal
ini terjadi dapat diukur maka total biaya yang dikeluarkan perusahaan akan semakin
signifikan. Faktor-faktor yang mempengaruhi terjadinya risiko ini juga perlu
diidentifikasi.
SIMPULAN
Sistem manajemen kepatuhan adalah program yang mencakup semua yang membantu manajer
dan administrator meminimalkan risiko dan merencanakan, memantau, dan mengendalikan
aktivitas yang memastikan kepatuhan dengan standar peraturan yang mengikat serta persyaratan
hukum yang terkait dengan kesehatan, lingkungan, dan keselamatan. Ini berlaku untuk setiap
Sistem manajemen kepatuhan menyatukan semua persyaratan peraturan dan bisnis perusahaan
dalam satu kerangka kerja terintegrasi. Hal ini memungkinkan perusahaan untuk melacak semua
detail yang terkait dengan semua aktivitas dan tugas kepatuhan perusahaan dengan mudah dan
mempromosikan kepatuhan terhadap persyaratan ini dengan memastikan tidak ada peluang
untuk terjadinya kecurangan.
DAFTAR PUSTAKA
–
LECTURE
NOTES
LEARNING OUTCOMES
1. Peserta diharapkan mampu memahami tahapan dalam manajemen resiko 2. Peserta diharapkan
OUTLINE MATERI :
–
ACCT6338 Risk and Internal Control
ISI MATERI
–
email, siapa pun yang ingin melihat resiko mana yang telah diidentifikasi dapat
mengakses informasi dalam sistem manajemen resiko.
1. Diagram Ishikawa
Diagram ini sering disebut sebagai diagram tulang ikan, atau diagram sebab dan
akibat. Dinamakan menurut nama orang yang membuatnya, diagram Ishikawa
memungkinkan Anda untuk memecahkan masalah dan mengidentifikasi bagian-
–
bagian komponennya. Ini sering digunakan untuk bekerja mundur dari suatu
masalah (akibat), dengan mengidentifikasi penyebabnya.
Teknik ini dapat menghilangkan penyebab resiko, dan menyoroti resiko tambahan
yang harus diwaspadai organisasi
Setiap "cabang" menyoroti satu opsi yang mungkin, dan kemudian dapat
bercabang lagi lebih jauh jika jalurnya terpisah lagi.
Teknik ini membantu dengan identifikasi resiko. Orang-orang yang terlibat dalam
proyek dan ahli materi pelajaran lainnya memiliki pemahaman yang baik tentang
hal-hal yang dapat menyebabkan resiko proyek.
Teknik ini membantu dengan perencanaan tindakan manajemen resiko. Para ahli
mungkin menawarkan cara berbeda untuk mengatasi resiko, memperluas pilihan
organisasi saat memutuskan apa yang harus dilakukan selanjutnya.
4. Workshop/Lokakarya
Lokakarya adalah cara lain untuk mempertemukan para ahli di bidangnya untuk
membantu manajemen resiko. Organisasi dapat menggunakannya di awal proyek
untuk identifikasi resiko, atau untuk perencanaan manajemen resiko seiring
kemajuan proyek.
–
Lokakarya memberi organisasi kesempatan untuk menganalisa lebih dalam
beberapa kemungkinan ancaman (dan peluang) pada proyek. Dan Anda dapat
menggunakan beberapa teknik lain seperti diagram Ishikawa pada saat yang
bersamaan.
Manfaat lebih lanjut dari resiko workshopping seperti ini adalah bahwa setiap
orang yang hadir dalam rapat memiliki pemahaman yang sama tentang resiko
proyek. Lokakarya, dan hasilnya, dapat menjadi alat komunikasi yang baik.
5. Analisis SWOT
SWOT adalah singkatan dari Strength, Weakness, Opportunity, dan Threat.
Resiko terlihat pada faktor eksternal yaitu Opportunity dan Threat.
Jika analisis SWOT telah dilakukan, organisasi dapat menarik peluang dan
ancaman langsung dari situ. SWOT mungkin telah dimasukkan dalam kasus
bisnis, misalnya. Tidak perlu melakukan pekerjaan itu lagi; cukup mencari
informasi dan masukkan ke dalam alat manajemen resiko Anda.
Cara visual untuk melacak kedekatan resiko ini bagus karena menunjukkan resiko
besar yang akan datang dan memperjelas berapa banyak waktu yang manajemen
miliki untuk melakukan sesuatu tentangnya.
–
Gambar 2.3 Probability and Impact Matrix
SIMPULAN
Manajemen resiko sangat penting untuk bisnis karena membantu mencegah kerugian
finansial dan meningkatkan pendapatan. Manfaat lain dari manajemen resiko meliputi,
DAFTAR PUSTAKA
–
Manurung, A.H. (2020). Enterprise Risk Management. PT Adler Manurung
Press. Jakarta. ISBN 9789793439211
LECTURE
NOTES
OUTLINE MATERI :
–
ACCT6338 Risk and Internal Control
ISI MATERI
Meskipun panduan COSO tidak wajib, namun ini berpengaruh karena memberikan
kerangka kerja yang dapat digunakan untuk menilai dan meningkatkan manajemen risiko
dan sistem pengendalian internal. Skandal korporat, yang muncul di perusahaan di mana
manajemen risiko dan pengendalian internalnya tidak memadai, dan upaya untuk
mengatur perilaku perusahaan sebagai akibat dari skandal ini telah menghasilkan
lingkungan di mana panduan tentang praktik terbaik dalam manajemen risiko dan
pengendalian internal sangat diterima.
Model manajemen risiko perusahaan (ERM) COSO telah menjadi kerangka kerja yang
diterima secara luas untuk digunakan organisasi. Meskipun telah menuai kritik, kerangka
tersebut telah ditetapkan sebagai model yang dapat digunakan di lingkungan berbeda di
seluruh dunia.
Panduan COSO mengilustrasikan model ERM dalam bentuk kubus. COSO bermaksud
bahwa bentuk tersebut untuk menggambarkan hubungan antara tujuan yang ditampilkan
di atas dan delapan komponen yang ditampilkan di depan, yang mewakili apa yang
diperlukan untuk mencapai tujuan. Dimensi ketiga mewakili unit organisasi, yang
menggambarkan kemampuan model untuk fokus pada bagian-bagian organisasi serta
keseluruhan.
Pada akhirnya, nada perusahaan ditentukan oleh dewan direksi. Dewan yang tidak
seimbang, kurang pengetahuan dan pengalaman teknis yang sesuai, keragaman
dan suara yang kuat dan independen tidak mungkin untuk mengatur nada yang
tepat. Pekerjaan yang dilakukan direktur di komite dewan juga dapat memberikan
kontribusi yang signifikan, dengan operasi audit dan komite risiko menjadi sangat
penting.
Namun, teladan baik yang diberikan oleh anggota dewan dapat dirusak oleh
kegagalan manajemen dalam divisi atau unit bisnis. Mekanisme untuk mengontrol
manajemen lini mungkin tidak cukup atau mungkin tidak dioperasikan dengan
benar. Manajer lini mungkin tidak menyadari tanggung jawab mereka atau
–
mungkin gagal menjalankannya dengan benar. Misalnya, mereka mungkin
mentolerir staf yang mengabaikan kontrol atau menekankan pencapaian hasil
daripada penanganan risiko yang bertanggung jawab.
Salah satu kritik terhadap model ERM adalah bahwa model tersebut dimulai di
tempat yang salah. Ini dimulai dengan lingkungan internal dan bukan lingkungan
eksternal. Kritikus mengklaim bahwa itu tidak cukup mencerminkan dampak dari
lingkungan persaingan, regulasi dan pemangku kepentingan eksternal pada selera
risiko dan manajemen dan budaya.
Jika dewan ingin menetapkan tujuan secara efektif, mereka perlu menyadari risiko
yang timbul jika tujuan yang berbeda dicapai. Risiko kewirausahaan adalah risiko
yang timbul dalam menjalankan aktivitas bisnis, seperti risiko yang timbul dari
investasi bisnis utama atau aktivitas pesaing.
Satu hal yang harus dipertimbangkan oleh dewan adalah bagaimana aspek tertentu
dari sistem kontrol dapat digunakan untuk tujuan strategis. Misalnya, kode etik
dapat digunakan sebagai bagian penting dari posisi organisasi sebagai
bertanggung jawab secara sosial. Namun, kerangka kerja bisnis yang dipilih dapat
digunakan untuk mengaburkan tujuan ilegal atau tidak etis. Misalnya, masalah di
Enron dikaburkan oleh struktur yang kompleks dan model bisnis yang sulit
dipahami.
Perbedaan antara risiko strategis dan operasional juga penting di sini. Organisasi
harus memperhatikan baik kejadian yang dapat mengganggu operasi dan juga
bahaya bagi pencapaian tujuan strategis. Fokus yang berlebihan pada faktor
internal, yang modelnya telah dikritik, dapat mengakibatkan konsentrasi pada
risiko operasional dan kegagalan untuk menganalisis bahaya strategis secara
memadai.
Bisnis juga harus memiliki proses untuk mengidentifikasi risiko yang timbul dari
kejadian satu kali dan tren yang lebih bertahap yang dapat mengakibatkan
perubahan risiko. Seringkali kejadian satu kali dengan konsekuensi risiko yang
signifikan dapat dengan mudah diidentifikasi - misalnya, akuisisi bisnis besar.
ERM telah dikritik karena membahas risiko terutama dalam hal peristiwa,
terutama peristiwa mendadak dengan konsekuensi besar. Kritikus mengklaim
bahwa panduan tersebut tidak cukup menekankan perubahan lambat yang dapat
menimbulkan risiko penting - misalnya, perubahan budaya internal atau sentimen
pasar.
–
Selain memetakan kemungkinan dan dampak risiko individu, manajer juga perlu
mempertimbangkan bagaimana risiko individu saling terkait. Panduan COSO
menekankan pentingnya menggunakan kombinasi metodologi penilaian risiko
kualitatif dan kuantitatif. Selain menilai tingkat risiko yang melekat, organisasi
juga harus menilai risiko residual yang tersisa setelah tindakan manajemen risiko
diambil.
Tahap ini dapat dilihat dalam empat tanggapan utama - kurangi, terima, transfer
atau hindari. Namun risiko mungkin akan diperlakukan secara terpisah tanpa
mempertimbangkan gambaran untuk organisasi secara keseluruhan. Manajemen
dan diversifikasi portofolio akan diterapkan dengan sangat baik di tingkat
organisasi dan panduan COSO menekankan pentingnya mengambil pandangan
portofolio tentang risiko.
Setelah dirancang, kontrol yang ada harus beroperasi dengan benar. COSO telah
melengkapi model ERM dengan panduan dalam pengendalian internal - kerangka
terintegrasi. Draf terbaru dari kerangka kerja ini diterbitkan pada Desember 2011.
Ini menekankan bahwa aktivitas pengendalian adalah alat untuk mencapai tujuan
dan dipengaruhi oleh manusia. Panduan tersebut menyatakan: 'Ini bukan hanya
tentang manual kebijakan, sistem dan bentuk tetapi orang-orang di setiap tingkat
organisasi yang berdampak pada pengendalian internal.'
–
Informasi yang diberikan kepada manajemen harus relevan dan memiliki kualitas
yang sesuai. Itu juga harus mencakup semua tujuan yang ditunjukkan di atas
kubus.
Perlu ada komunikasi dengan staf. Komunikasi bidang risiko yang relevan dengan
apa yang dilakukan staf merupakan sarana penting untuk memperkuat lingkungan
internal dengan menanamkan kesadaran risiko dalam pemikiran staf.
8. Monitoring/Pemantauan
Sistem manajemen harus dipantau dan dimodifikasi jika perlu. Panduan
pemantauan telah berkembang secara signifikan sejak panduan COSO awal. Di
tingkat dewan direksi, pedoman Turnbull tentang ruang lingkup tinjauan rutin dan
tahunan atas manajemen risiko sangat penting.
Faktor kunci dalam evaluasi terpisah adalah komite audit dan departemen audit
internal. Apakah pemantauan terpisah dapat dilakukan secara efektif tanpa
departemen audit internal harus menjadi pertanyaan kunci yang dipertimbangkan
ACCT6338 – Risk and Internal Control
ketika memutuskan apakah akan membentuk fungsi audit internal. Setelah
organisasi melampaui tingkat ukuran dan kompleksitas tertentu, menjadi sulit
untuk percaya bahwa fungsi audit internal tidak akan diperlukan.
Model ERM telah memberikan landasan bagi organisasi untuk mengelola risiko
secara lebih efektif. Namun, manajer membutuhkan kesadaran akan keterbatasan
manajemen risiko dan di mana proses tersebut bisa gagal.
–
Kelima elemen tersebut dirinci lagi menjadi 20 prinsip pendukung (supporting
principles)
Komponen pertama COSO ERM 2017 adalah tata kelola dan budaya organisasi. Bahwa
agar implementasi strategi dengan ERM berlangsung dengan efektif komponen tata
kelola dan budaya organisasi membutuhkan lima prinsip yaitu
Komponen kedua adalah penyusunan dan penetapan tujuan dan strategis yang memiliki
empat prinsip yaitu
Komponen keempat adalah penelaahan (review) dan revisi yang memiliki tiga prinsip
yaitu
1. Selalu mengamati dan mengukur dinamika perubahan yang substansial yang mesti
segera diantisipasi oleh organisasi;
2. Menelaah atau mengkaji kinerja beserta risiko-risikonya sebagai langkah
melaksanakan strategi untuk mencapai tujuan dan sasaran organisasi;
3. Melakukan perbaikan atau penyempurnaan pada ERM ini.
Komponen kelima yang terakhir adalah informasi, komunikasi, dan pelaporan, yang
memiliki tiga prinsip yaitu
Ke-20 prinsip yang harus ada menjadi kerangka kerja dan metodologi bagi organisasi
yang ingin membangun dan mengevaluasi ERM dengan menggunakan COSO ERM
SIMPULAN
–
Kerangka kerja manajemen risiko perusahaan sangat beragam seperti organisasi yang
mereka dukung. Dalam masa pertumbuhan, banyak kerangka kerja berfokus pada
peningkatan hasil positif dan mengidentifikasi risiko di seluruh entitas. Dewan,
manajemen senior, dan pemangku kepentingan semakin mengharapkan ERM mengurangi
variabilitas kinerja, meningkatkan penerapan sumber daya, dan meningkatkan ketahanan
perusahaan. Hal Ini akan sering membutuhkan kapabilitas dan praktik organisasi untuk
berkembang sejalan dengan ekspektasi yang meningkat. Efektivitas kerangka kerja
manajemen risiko perusahaan didasarkan pada pengembangan, perancangan dan
penerapan budaya, kapabilitas dan praktik yang selaras dengan manfaat yang diinginkan.
DAFTAR PUSTAKA
LECTURE
NOTES
–
LEARNING OUTCOMES
OUTLINE MATERI :
Meskipun panduan COSO tidak wajib, namun ini berpengaruh karena memberikan
kerangka kerja yang dapat digunakan untuk menilai dan meningkatkan manajemen risiko
dan sistem pengendalian internal. Skandal korporat, yang muncul di perusahaan di mana
manajemen risiko dan pengendalian internalnya tidak memadai, dan upaya untuk
mengatur perilaku perusahaan sebagai akibat dari skandal ini telah menghasilkan
lingkungan di mana panduan tentang praktik terbaik dalam manajemen risiko dan
pengendalian internal sangat diterima.
Model manajemen risiko perusahaan (ERM) COSO telah menjadi kerangka kerja yang
diterima secara luas untuk digunakan organisasi. Meskipun telah menuai kritik, kerangka
tersebut telah ditetapkan sebagai model yang dapat digunakan di lingkungan berbeda di
seluruh dunia.
Panduan COSO mengilustrasikan model ERM dalam bentuk kubus. COSO bermaksud
bahwa bentuk tersebut untuk menggambarkan hubungan antara tujuan yang ditampilkan
di atas dan delapan komponen yang ditampilkan di depan, yang mewakili apa yang
diperlukan untuk mencapai tujuan. Dimensi ketiga mewakili unit organisasi, yang
menggambarkan kemampuan model untuk fokus pada bagian-bagian organisasi serta
keseluruhan.
–
Gambar 4.1 COSO Enterprise Risk Management
Pada akhirnya, nada perusahaan ditentukan oleh dewan direksi. Dewan yang tidak
seimbang, kurang pengetahuan dan pengalaman teknis yang sesuai, keragaman
dan suara yang kuat dan independen tidak mungkin untuk mengatur nada yang
tepat. Pekerjaan yang dilakukan direktur di komite dewan juga dapat memberikan
kontribusi yang signifikan, dengan operasi audit dan komite risiko menjadi sangat
penting.
Namun, teladan baik yang diberikan oleh anggota dewan dapat dirusak oleh
kegagalan manajemen dalam divisi atau unit bisnis. Mekanisme untuk mengontrol
manajemen lini mungkin tidak cukup atau mungkin tidak dioperasikan dengan
Salah satu kritik terhadap model ERM adalah bahwa model tersebut dimulai di
tempat yang salah. Ini dimulai dengan lingkungan internal dan bukan lingkungan
eksternal. Kritikus mengklaim bahwa itu tidak cukup mencerminkan dampak dari
lingkungan persaingan, regulasi dan pemangku kepentingan eksternal pada selera
risiko dan manajemen dan budaya.
Jika dewan ingin menetapkan tujuan secara efektif, mereka perlu menyadari risiko
yang timbul jika tujuan yang berbeda dicapai. Risiko kewirausahaan adalah risiko
yang timbul dalam menjalankan aktivitas bisnis, seperti risiko yang timbul dari
investasi bisnis utama atau aktivitas pesaing.
Satu hal yang harus dipertimbangkan oleh dewan adalah bagaimana aspek tertentu
dari sistem kontrol dapat digunakan untuk tujuan strategis. Misalnya, kode etik
dapat digunakan sebagai bagian penting dari posisi organisasi sebagai
bertanggung jawab secara sosial. Namun, kerangka kerja bisnis yang dipilih dapat
digunakan untuk mengaburkan tujuan ilegal atau tidak etis. Misalnya, masalah di
Enron dikaburkan oleh struktur yang kompleks dan model bisnis yang sulit
dipahami.
Perbedaan antara risiko strategis dan operasional juga penting di sini. Organisasi
harus memperhatikan baik kejadian yang dapat mengganggu operasi dan juga
bahaya bagi pencapaian tujuan strategis. Fokus yang berlebihan pada faktor
internal, yang modelnya telah dikritik, dapat mengakibatkan konsentrasi pada
risiko operasional dan kegagalan untuk menganalisis bahaya strategis secara
memadai.
Bisnis juga harus memiliki proses untuk mengidentifikasi risiko yang timbul dari
kejadian satu kali dan tren yang lebih bertahap yang dapat mengakibatkan
perubahan risiko. Seringkali kejadian satu kali dengan konsekuensi risiko yang
signifikan dapat dengan mudah diidentifikasi - misalnya, akuisisi bisnis besar.
ERM telah dikritik karena membahas risiko terutama dalam hal peristiwa,
terutama peristiwa mendadak dengan konsekuensi besar. Kritikus mengklaim
bahwa panduan tersebut tidak cukup menekankan perubahan lambat yang dapat
menimbulkan risiko penting - misalnya, perubahan budaya internal atau sentimen
pasar.
Selain memetakan kemungkinan dan dampak risiko individu, manajer juga perlu
mempertimbangkan bagaimana risiko individu saling terkait. Panduan COSO
menekankan pentingnya menggunakan kombinasi metodologi penilaian risiko
kualitatif dan kuantitatif. Selain menilai tingkat risiko yang melekat, organisasi
juga harus menilai risiko residual yang tersisa setelah tindakan manajemen risiko
diambil.
Tahap ini dapat dilihat dalam empat tanggapan utama - kurangi, terima, transfer
atau hindari. Namun risiko mungkin akan diperlakukan secara terpisah tanpa
mempertimbangkan gambaran untuk organisasi secara keseluruhan. Manajemen
dan diversifikasi portofolio akan diterapkan dengan sangat baik di tingkat
organisasi dan panduan COSO menekankan pentingnya mengambil pandangan
portofolio tentang risiko.
Bagian dari tahap respons risiko akan merancang sistem pengendalian internal
yang sehat. Panduan COSO menyarankan bahwa campuran kontrol akan sesuai,
termasuk pencegahan dan deteksi serta kontrol manual dan otomatis.
Setelah dirancang, kontrol yang ada harus beroperasi dengan benar. COSO telah
melengkapi model ERM dengan panduan dalam pengendalian internal - kerangka
terintegrasi. Draf terbaru dari kerangka kerja ini diterbitkan pada Desember 2011.
Ini menekankan bahwa aktivitas pengendalian adalah alat untuk mencapai tujuan
dan dipengaruhi oleh manusia. Panduan tersebut menyatakan: 'Ini bukan hanya
tentang manual kebijakan, sistem dan bentuk tetapi orang-orang di setiap tingkat
organisasi yang berdampak pada pengendalian internal.'
Informasi yang diberikan kepada manajemen harus relevan dan memiliki kualitas
yang sesuai. Itu juga harus mencakup semua tujuan yang ditunjukkan di atas
kubus.
Perlu ada komunikasi dengan staf. Komunikasi bidang risiko yang relevan dengan
apa yang dilakukan staf merupakan sarana penting untuk memperkuat lingkungan
internal dengan menanamkan kesadaran risiko dalam pemikiran staf.
8. Monitoring/Pemantauan
Sistem manajemen harus dipantau dan dimodifikasi jika perlu. Panduan
pemantauan telah berkembang secara signifikan sejak panduan COSO awal. Di
tingkat dewan direksi, pedoman Turnbull tentang ruang lingkup tinjauan rutin dan
tahunan atas manajemen risiko sangat penting.
Faktor kunci dalam evaluasi terpisah adalah komite audit dan departemen audit
internal. Apakah pemantauan terpisah dapat dilakukan secara efektif tanpa
departemen audit internal harus menjadi pertanyaan kunci yang dipertimbangkan
ketika memutuskan apakah akan membentuk fungsi audit internal. Setelah
organisasi melampaui tingkat ukuran dan kompleksitas tertentu, menjadi sulit
untuk percaya bahwa fungsi audit internal tidak akan diperlukan.
Model ERM telah memberikan landasan bagi organisasi untuk mengelola risiko
secara lebih efektif. Namun, manajer membutuhkan kesadaran akan keterbatasan
manajemen risiko dan di mana proses tersebut bisa gagal.
Komponen pertama COSO ERM 2017 adalah tata kelola dan budaya organisasi. Bahwa
agar implementasi strategi dengan ERM berlangsung dengan efektif komponen tata
kelola dan budaya organisasi membutuhkan lima prinsip yaitu
Komponen kedua adalah penyusunan dan penetapan tujuan dan strategis yang memiliki
empat prinsip yaitu
Komponen keempat adalah penelaahan (review) dan revisi yang memiliki tiga prinsip
yaitu
Komponen kelima yang terakhir adalah informasi, komunikasi, dan pelaporan, yang
memiliki tiga prinsip yaitu
Ke-20 prinsip yang harus ada menjadi kerangka kerja dan metodologi bagi organisasi
yang ingin membangun dan mengevaluasi ERM dengan menggunakan COSO ERM
SIMPULAN
Kerangka kerja manajemen risiko perusahaan sangat beragam seperti organisasi yang
mereka dukung. Dalam masa pertumbuhan, banyak kerangka kerja berfokus pada
peningkatan hasil positif dan mengidentifikasi risiko di seluruh entitas. Dewan,
manajemen senior, dan pemangku kepentingan semakin mengharapkan ERM mengurangi
variabilitas kinerja, meningkatkan penerapan sumber daya, dan meningkatkan ketahanan
perusahaan. Hal Ini akan sering membutuhkan kapabilitas dan praktik organisasi untuk
berkembang sejalan dengan ekspektasi yang meningkat. Efektivitas kerangka kerja
manajemen risiko perusahaan didasarkan pada pengembangan, perancangan dan
penerapan budaya, kapabilitas dan praktik yang selaras dengan manfaat yang diinginkan.
DAFTAR PUSTAKA