Nama : Afifah Walida Maulany

Nim : 12030120420039

Kerangka Pengendalian Internal COSO

COSO mengembangkan definisi pengendalian internal yaitu suatu proses dipengaruhi

oleh dewan direksi entitas, manajemen, dan personel lainnya yang dirancang untuk
nenberikan jaminan yang wajar mengenai pencapaian tujuan dalam kategori efektivitas
dan efisiensi operasi, keandalan laporan keuangan dan kepathuan terhadap hukum dan
peraturan yang berlaku.

Elemen Pengendalian Internal COSO : Lingkungan Pengendalian

Lingkungan pengendalian menjadi dasar awal untuk semua pengendalian internal

lainnya dalam suatu entitas dan memiliki perngaruh pada masing-masing dari tiga
tujuan pengendalian internal dan semua aktivitas. Lingkungan pengendalian
mencerminkan sikap, kesadaran dan tindakan dewan direksi, manajemen dan pihak
lain mengenai pentingnya pengendalian internal dalam perusahaan. Apabila
manajemen dan auditor mampu mengimplementasikan perubahan perusahaan atau
melakukan tinjauan aktivitas dalam lingkungan pengendalian maka pengendalian
internal akan menjadi baik pula. Lingkungan pengendalian juga akan membantu
memberikan pemahaman tentang bagaimana keseluruhan kerangka kerja
pengendalian internal COSO didefinisikan :

1. Mengendalikan Factor Lingkungan : Integritas Dan Nilai Etika

Integritas dan nilai etika merupakan elemen penting dalam lingkungan
pengendalian dan biasanya didefinisikan dan dikomunikasikan melalui pesan
“tone at the top” manajemen senior. Jika suatu perusahaan dapat
mengembangkan kode etik bisnis yang menekankan integritas dan nilai-nilai
etika dan pemangku kepentingan juga dapat mengikuti kode etik tersebut maka
perusahaan tersebut memiliki nilai etika yang baik. Kode etik merupakan
komponen penting dalam tata kelola organisasi. Prinsip-prinsip kode etik dapat
 dilanggar oleh karyawan karena ketidaktahuan akan kode etik tersebut dan
penyalahgunaan yang disengaja. Ketidaktahuan karyawan ini sering disebabkan
oleh bimbingan moral yang buruk dari manajemen senior. Dengan kebijakan
yang kuat dan tindakan yang tepat maka mendorong semua orang untuk
bertindak dengan benar. Oleh karena itu, semua manajer dan pemangku
kepentingan lainnya, harus memiliki pemahaman yang baik tentang kode etik
perusahaan mereka dan bagaimana cara menerapkan dan
mengkomunikasikannya. Jenis godaan yang mendorong pemangku kepentingan
untuk terlibat dalam akuntansi yang tidak tepat atau tindakan serupa meliputi :
 Kontrol yang tidak ada atau tidak efektif
 Desentralisasi tinggi yang membuat manajemen puncak tidak menyadari
tindakan yang diambil ditingkat perusahaan yang lebih rendah, sehingga
mengurangi kemungkinan tertangkap
 Fungsi manajemen yang lemah yang tidak memiliki kemampuan atau
kewenangan untuk mendeteksi dan melaporkan perilaku yang tidak
pantas
 Hukuman untuk perilaku tidak pantas yang tidak signifikan atau tidak
dipublikasikan, kehilangan nilainya sebagai pencegah
2. Faktor Lingkungan Pengendalian : Komitmen Terhadap Kompetensi
Perusahaan harus menentukan tingkat kompetensi yang diperlukan untuk tugas
pekerjaannya dan menerjemahkan persyaratan tersebut kedalam tingkat
pengetahuan dan ketrampilan yang diperlukan. Dengan menempatkan orang
yang tepat dalam pekerjaan yang sesuai dan memberi mereka pelatihan yang
memadai bila diperlukan, suatu perusahaan membuat komitmen keseluruhan
terhadap kompetensi, suatu elemen penting dalam lingkungan pengendalian
perushaan secara keseluruhan.
3. Faktor Lingkungan Pengendalian : Direksi Dan Komite Audit
Lingkungan pengendalian sangat dipengaruhi oleh tindakan dewan direksi
perusahaan dan komite auditnya. Anggota dewan harus menajukan pertanyaan
yang sesuai kepada manajemen puncak dan memberikan semua aspek
pengawasan rinci perusahaan dengan menetapkan kebijakan tingkat tinggi dan
 meninjau perilaku perushaan secara keseluruhan, dewan dan komite auditnya
memiliki tanggungjawab akhir untuk menetapkan “tone to the top”.
4. Faktor Lingkungan Pengendalian : Filosofi Manajemen Dan Gaya Operasi
Faktor-faktor manajemen senior memiliki pengaruh besar terhadap lingkungan
pengendalian perusahaan. Sebagai contoh seorang manajer tertentu mungkin
mengambil pendekatan yang sangat agresif dalam penafsiran pajak dan aturan
pelaporan keuangan sementara yang lain mungkin lebih suka mengikuti aturan
dalam buku. Perusahaan wirausaha kecil mungkin terpaksa mengambil risiko
bisnis tertentu agar tetap kompetitif, sementara perusahaan dalam industri yang
diatur dengan ketat akan lebih menghindari risiko. Pertimbangan filosofi
manajemen dan gaya operasional ini merupakan bagian dari lingkungan
pengendalian pengendalian.
5. Faktor Lingkungan Pengendalian : Struktur Organisasi
Komponen-komponen ini memberikan kerangka kerja untuk perencanaan,
pelaksanaan, pengendalian dan pemantauan kegiatan untuk mencapai
keseluruhan. Aspek lingkungan pengendalian ini berkaitan dengan cara berbagai
fungsi dikelola dan diatur, mengikuti bagan perusahaan klasik. Struktur
organisasi adalah aspek yang sangat penting dari pengendalian perusahaan,
tetapi tidak ada satu struktur pun yang menyediakan lingkungan pilihan untuk
pengendalian internal. Individu dan subkelompok harus memiliki pemahaman
tentang tujuan dan sasaran total dari kontrol yang signifikan. Seorang manajer
yang bertanggungjawab atas setiap fungsi atau unit perlu memiliki pemahaman
yang baik tentang struktur organisasi dan hubungan pelaporan yang dihasilkan,
apakah struktur organisasi fungsional, desentralisasi atau matriks.
6. Faktor Lingkungan Pengendalian : Penugasan Wewenang Dan
Tanggungjawab
Struktur perusahaan menentukan penugasan dan integerasi upaya kerja total.
Pemberian wewenang adalah cara tanggungjawab yang didefinisikan dalam
istilah deskripsi pekerjaan dan terstruktur dalam bagan perusahaan. Keputusan
tentang bagaimana tanggungjawab akan diberikan utnuk menghindari
kebingungan dan konflik antara upaya kerja individu dan kelompok personil.
 Setiap orang di perusahaan harus memiliki pemahaman yang baik tentang tujuan
keseluruhan perusahaan serta bagaimana tindakan individu saling terkait untuk
mencapai tujuan tersebut. Bagian kerangka kerja dari laporan pengendalian
internal COSO yang direferensikan sebelumnya menjelaskan bidang lingkungan
pengendalian yang sangat penting ini sebagai berikut: Lingkungan pengendalian
sangat dipengaruhi oleh sejauh mana individu menyadari bahwa mereka akan
dimintai pertanggungjawaban. Ini berlaku sampai ke kepala eksekutif, yang
memiliki tanggung jawab akhir untuk semua aktivitas dalam suatu entitas,
termasuk sistem pengendalian internal.
7. Faktor Lingkungan Pengendalian : Kebijakan Dan Parktik Sumber Daya
Manusia

Praktik sumber daya manusia mencakup bidang-bidang seperti perekrutan,

orientasi, pelatihan, penilaian, konseling, promosi, kompensasi, dan mengambil
tindakan perbaikan yang tepat. Area di mana kebijakan dan praktik sumber daya
manusia ini berada khususnyapenting meliputi:
 Perekrutan. Perusahaan harus mengambil langkah-langkah untuk
merekrut kandidat terbaik dan paling berkualitas. Latar belakang calon
karyawan harus diperiksa untuk memverifikasi hal-hal seperti latar
belakang pendidikan dan pengalaman kerja sebelumnya. Wawancara
harus diatur dengan baik dan mendalam. Mereka juga harus mengirimkan
pesan kepada calon kandidat tentang nilai-nilai perusahaan, budaya, dan
gaya operasi.
 Orientasi Karyawan Baru. Sinyal yang jelas harus diberikan kepada
karyawan baru mengenai sistem nilai perusahaan dan konsekuensi dari
tidak mematuhi nilai-nilai tersebut. Ini sering terjadi ketika karyawan baru
diperkenalkan dengan kode etik dan diminta untuk secara resmi mengakui
penerimaan mereka atas kode tersebut. Tanpa pesan-pesan ini, karyawan
baru dapat bergabung dengan perusahaan tanpa pemahaman yang tepat
tentang nilai-nilainya.
 Evaluasi, Promosi, dan Kompensasi. Harus ada program evaluasi
kinerja yang adil yang tidak tunduk pada kebijaksanaan manajerial yang
 berlebihan. Program insentif bonus sering kali merupakan alat yang
berguna untuk memotivasi dan memperkuat kinerja luar biasa oleh semua
karyawan, tetapi harus ada persepsi bahwa bonus ini diberikan secara adil
dan merata.
 Tindakan Disiplin. Kebijakan yang konsisten dan dipahami dengan baik
untuk tindakan disipliner harus ada. Semua karyawan harus mengetahui
bahwa jika mereka melanggar aturan tertentu, mereka akan dikenakan
tindakan disipliner yang akan berlanjut hingga setidaknya pemecatan.

Elemen Pengendalian Internal COSO : Penilaian Resiko

Kemampuan perusahaan untuk mencapai tujuannya dapat berisiko karena berbagai

faktor internal dan eksternal. Sebagai bagian dari struktur pengendalian internalnya
secara keseluruhan, perusahaan harus memiliki proses untuk mengevaluasi potensi
risiko yang dapat berdampak pada pencapaian berbagai tujuan pengendalian
internalnya. Proses penilaian risiko ini harus dilakukan di semua tingkatan dan untuk
hampir semua aktivitas dalam perusahaan. Kerangka pengendalian internal COSO
menggambarkan penilaian risiko sebagai proses tiga langkah:
1. Perkirakan signifikansi risiko.
2. Menilai kemungkinan atau frekuensi risiko yang terjadi.
3. Pertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa yang harus
diambil.

Komponen dan Aktivitas Pengendalian Internal COSO Lainnya

Lingkungan pengendalian serta penilaian risiko hanyalah dua komponen dari kerangka
pengendalian internal COSO. Sementara keduanya mengatur panggung untuk
pengendalian internal COSO dan ERM, elemen internal lainnya dari aktivitas
pengendalian, informasi dan komunikasi, dan pemantauan juga sangat penting untuk
memahami kerangka pengendalian internal COSO secara keseluruhan. Pemahaman
tentang kerangka pengendalian internal COSO sangat penting bagi manajer saat ini di
semua tingkatan dan komponen perusahaan. Pengendalian internal dan manajemen
risiko perusahaan masing-masing mengambil perspektif yang berbeda untuk
memahami dan mengevaluasi aktivitas dalam suatu perusahaan. Sementara
pengendalian internal COSO berfokus pada aktivitas sehari-hari perusahaan,
manajemen risiko perusahaan berfokus pada aktivitas yang mungkin dilakukan atau
tidak dilakukan oleh perusahaan dan manajernya.

Pengendalian Internal COSO : Standar Pengendalian Internal Utama yang Diakui

Kerangka pengendalian internal COSO dirilis pada tahun 1992 sebagai publikasi tiga
volume yang menjelaskan standar pengendalian internal ini. Meskipun awalnya ada
pengakuan terbatas dari kerangka COSO di luar komentar dalam publikasi AICPA dan
IIA, kantor akuntan publik besar dan lainnya segera mulai melihat nilainya. Selama
bertahun-tahun, kerangka kerja pengendalian internal COSO telah menjadi standar
pedoman di seluruh dunia untuk mendefinisikan, menjelaskan, dan menilai
pengendalian internal.

Pengantar COSO ERM

Rilis kerangka kerja pengendalian internal COSO dengan definisinya menunjuk ke area
terkait lainnya di mana definisi yang konsisten masih kurang. Salah satunya adalah
manajemen risiko, sebuah konsep yang telah menerima banyak definisi dan interpretasi
oleh berbagai kelompok industri. Ini adalah era sebelum aturan SOx era 2002, ketika
beberapa Kantor Akuntan Publik mulai menyebut diri mereka profesional manajemen
risiko, meskipun banyak yang tampaknya tidak memiliki pemahaman yang jelas tentang
apa yang dimaksud dengan manajemen risiko. Untuk mencoba mengembangkan
definisi manajemen risiko yang konsisten, COSO mengontrak kantor akuntan publik
Price Waterhouse Coopers (PWC) pada tahun 2001 untuk mengembangkan definisi
umum yang konsisten untuk manajemen risiko. Hasilnya adalah COSO Enterprise Risk
Management atau COSO ERM framework.

TATA KELOLA, RISIKO DAN KEPATUHAN

Manajemen risiko perusahaan dan COSO ERM hanyalah satu dari tiga masalah utama
yang sangat memengaruhi semua perusahaan di seluruh dunia saat ini. Dua lainnya
adalah pentingnya proses tata kelola perusahaan yang baik, dan kebutuhan untuk
program kepatuhan di seluruh perusahaan yang efektif. Secara bersama-sama dengan
manajemen risiko, ketiga masalah ini biasanya direferensikan dengan inisialnya, GRC.
Tata kelola perusahaan adalah serangkaian proses, kebiasaan, kebijakan, undang-
undang, dan lembaga yang memengaruhi cara perusahaan atau perusahaan diarahkan,
dikelola, atau dikendalikan. Tata kelola perusahaan mencakup cara hubungan di antara
banyak pemangku kepentingan yang terlibat dalam perusahaan dan tujuan yang
mengatur perusahaan. Pemangku kepentingan utama adalah pemegang saham, dewan
direksi, karyawan, pelanggan, kreditor, pemasok, dan masyarakat luas. Setelah tata
kelola, masalah risiko, dan manajemen, komponen kunci ketiga dari GRC adalah
kepatuhan perusahaan. Kepatuhan adalah keadaan yang sesuai dengan beberapa
pedoman, spesifikasi, atau undang-undang yang ditetapkan atau proses menjadi
demikian. Audit internal, misalnya, harus dikembangkan sesuai dengan Standar
Internasional untuk Praktik Profesional Audit Internal. Perusahaan harus
mengembangkan sistem untuk memantau dan mengelola tingkat kepatuhan mereka
terhadap berbagai aturan dan peraturan serta untuk mengambil tindakan yang tepat
untuk mendeteksi dan menindaklanjuti setiap pelanggaran.

CHAPTER 2 : Pentingnya Pemerintahan, Risiko Dan Prinsip Kepatuhan

Organisasi perusahaan dan korporasi, khususnya, telah menghadapi isu-isu

pemerintahan sejak hari awal mereka. Seseorang atau beberapa
kelompok bertanggung jawab dan memimpin dalam menetapkan aturan yang harus
diikuti oleh karyawan dan pemangku kepentingan lainnya. Pada berbagai tingkatan,
perusahaan harus mematuhi hukum dan peraturan ini. Kegagalan untuk melakukannya
dapat mengakibatkan berbagai hukuman, dan perusahaan memerlukan proses
untuk memastikan bahwa mereka beroperasi sesuai dengan undang-undang dan
peraturan yang sesuai.
Perusahaan selalu menghadapi risiko yang akan ditemukan melanggar satu atau lain
dari berbagai hukum dan peraturan ini. Ada juga risiko bahwa aturan tata kelola yang
mereka tetapkan tidak akan mencapai hasil yang diinginkan atau bahwa mereka
mungkin mengalami beberapa peristiwa di luar kendali mereka, seperti peristiwa besar
yang terjadi atau kebakaran di fasilitas utama. Ada kebutuhan untuk mengelola risiko
ini di tingkat perusahaan secara keseluruhan.

ROAD TO EFFECTIVE GRC (Governance, Risk, Compliance) PRINCIPLES

Governance (tata kelola) berarti memperhatikan bisnis, memastikan bahwa segala
sesuatunya dilakukan sesuai dengan standar perusahaan, peraturan,
dan keputusan dewan direksi. Ini juga berarti menetapkan ekspektasi pemangku
kepentingan yang jelas tentang apa yang harus dilakukan sehingga semua orang
memiliki pemahaman yang sama mengenai bagaimana perusahaan dijalankan.
Risk (risiko) yaitu Semua kegiatan yang melibatkan beberapa elemen risiko. risiko
menjadi cara untuk membantu keduanya melindungi nilai aset yang ada dan
menciptakan nilai dengan memperluas perusahaan secara strategis atau
menambahkan produk dan layanan baru.
Compliance (kepatuhan) yaitu kepatuhan terhadap banyak hukum dan aturan yang
memengaruhi bisnis dan warga negara saat ini, dan diperluas dengan menempatkan
kontrol tertentu di tempat untuk memastikan bahwa kepatuhan terjadi.
Tata kelola, manajemen risiko, dan kepatuhan satu sama lain saling
berkaitan. kebijakan internal adalah fakta kunci atau pendukung tata kelola,
bahwa peraturan eksternal mendorong prinsip kepatuhan, dan bahwa selera
risiko perusahaan merupakan elemen kunci dari manajemen risiko. Dalam struktur,
terdapat komponen strategi, proses yang efektif, teknologi, termasuk TI, dan orang-
orang di perusahaan untuk membuat semua berfungsi.

Pentingnya Tata Kelola GRC

GRC adalah istilah yang mengacu secara luas pada aturan, proses, atau hukum
yang dengannya bisnis dioperasikan, diatur, dan dikendalikan. Istilah ini dapat merujuk
pada faktor internal yang ditentukan oleh pejabat, pemegang saham, atau piagam dan
tujuan dasar perusahaan, serta kekuatan eksternal seperti kelompok konsumen, klien,
dan regulasi pemerintah. Tata kelola perusahaan didefinisikan sebagai tanggung jawab
dan praktik yang dilakukan oleh dewan, manajemen eksekutif, dan semua tingkat
manajemen fungsional dengan tujuan memberikan arahan strategis, memastikan
bahwa tujuan tercapai , memastikan bahwa risiko dikelola dengan tepat, dan
memverifikasi bahwa sumber daya perusahaan digunakan secara bertanggung
jawab. Tata kelola benar-benar mengacu pada proses penetapan aturan dan
prosedur dalam semua tingkat perusahaan, mengkomunikasikan aturan tersebut ke
tingkat pemangku kepentingan yang sesuai, memantau kinerja terhadap aturan tersebut,
dan mengelola penghargaan dan hukuman berdasarkan kinerja relatif atau kepatuhan
dengan aturan tersebut.

Komponen Manajemen Risiko GRC

Terdapat empat langkah yang saling berhubungan dalam proses GRC yang efektif
dalam manajemen risiko perusahaan, sebagai berikut :
1. Penilaian dan perencanaan risiko
Perusahaan menghadapi semua tingkat risiko, baik masalah global berdasarkan
cuaca atau ancaman mata uang hingga ancaman terkait cuaca di operasi lokal.
2. Identifikasi dan analisis risiko
Beberapa peristiwa risiko, diperlukan analisis yang lebih mendalam
tentang kemungkinan risiko tersebut membuahkan hasil serta potensi
dampaknya. Ada kebutuhan untuk mengukur dampak dari risiko yang
teridentifikasi dan untuk menentukan strategi mitigasi jika peristiwa risiko
tersebut terjadi. Mitigasi bertujuan untuk menilai cara terbaik untuk mengelola
atau menghilangkan risiko yang teridentifikasi.
3. Memanfaatkan dan mengembangkan strategi respons risiko
Pada dasarnya konsep yang harus dipertimbangkan secara paralel dengan
identifikasi risiko, perusahaan harus mengembangkan rencana dan strategi
untuk kembali ke operasi normal dan kemudian pulih dari peristiwa risiko. Ini
mungkin termasuk analisis peluang terkait risiko . Artinya, jika ada risiko yang
teridentifikasi bahwa beberapa peralatan produksi lama mungkin gagal,
peluangnya adalah meninggalkan jalur produksi tersebut dan
 memasang peralatan baru mengikuti teknologi yang lebih baru dan bahkan
mungkin di lokasi yang lebih baru dan lebih bersahabat.
4. Pemantauan risiko
Alat dan fasilitas harus tersedia untuk memantau kemungkinan risiko yang
teridentifikasi.

Kepatuhan terhadap GRC dan Perusahaan

Kepatuhan adalah proses mengikuti serangkaian aturan atau aturan yang
ditetapkan oleh lembaga pemerintah, grup standar, atau kebijakan perusahaan
internal. Mematuhi persyaratan terkait kepatuhan ini merupakan tantangan bagi
perusahaan atau perusahaan karena masalah berikut:
 Peraturan baru yang sering diperkenalkan. Menggunakan Amerika Serikat
sebagai contoh, sejumlah besar lembaga, seperti Badan Perlindungan
Lingkungan (EPA), secara teratur mengeluarkan aturan baru yang
mungkin berdampak besar pada banyak perusahaan, meskipun tujuan bisnis
utama mereka. Perusahaan memiliki tantangan untuk memantau aturan -
aturan ini dan menentukan mana yang berlaku untuk mereka.
 Peraturan tertulis yang tidak jelas yang membutuhkan interpretasi
 Tidak ada konsensus tentang praktik terbaik yang digunakan untuk kepatuhan
 Berbagai regulasi seringkali tumpang tindih
 Regulasi yang terus berubah
Pendekatan yang konsisten pada penggunaan kapabilitas
yang didorong kepatuhan dan teknologi pendukung di seluruh perusahaan dapat
menyediakan ini manfaat potensial:
 Mengurangi biaya total kepemilikan
 Fleksibilitas
 Keunggulan kompetitif

Pentingnya Praktik dan Prinsip GRC yang Efektif

Selain manajemen risiko yang efektif dan proses COSO ERM , perusahaan juga
perlu mengadopsi proses tata kelola dan kepatuhan yang kuat , dengan
tujuan menetapkan program GRC yang efektif. Meskipun manajemen risiko perusahaan
dan COSO ERM sangat penting bagi perusahaan, program tata kelola dan kepatuhan
yang kuat juga penting. Perusahaan harus memfokuskan banyak aktivitasnya pada
mengikuti prinsip GRC yang kuat.

Chapter 3 : Dasar – dasar Manajemen Risiko

Tahapan Manajemen Risiko

Proses manajemen risiko harus dilakukan di seluruh perusahaan, melibatkan orang-
orang di semua tingkatan dan di semua unit perusahaan. Sementara perusahaan yang
lebih besar mungkin ingin mengatur tim khusus profesional manajemen risiko.
Beberapa risiko dalam satu unit mungkin berdampak langsung atau terkait dengan
risiko di unit lain, tetapi pertimbangan risiko lain mungkin secara efektif independen dari
keseluruhan. Risiko umum ini dapat terjadi karena berbagai macam keadaan mulai
dari keputusan keuangan yang buruk hingga perubahan selera konsumen hingga
peraturan pemerintah yang baru.

Identifikasi resiko
Manajemen harus berusaha untuk mengidentifikasi semua kemungkinan risiko yang
dapat mempengaruhi keberhasilan usaha mereka, mulai dari risiko yang lebih besar
atau lebih signifikan hingga keseluruhan bisnis hingga risiko yang kurang besar yang
terkait dengan proyek individu atau unit bisnis yang lebih kecil.
Cara yang baik untuk meluncurkan proses identifikasi risiko tingkat perusahaan adalah
memulai dengan bagan perusahaan tingkat tinggi yang mencantumkan fasilitas tingkat
perusahaan serta unit operasi. Masing-masing unit tersebut mungkin memiliki fasilitas di
beberapa lokasi global dan juga dapat terdiri dari berbagai jenis operasi. Setiap fasilitas
terpisah kemudian akan memiliki departemen atau fungsinya sendiri. Beberapa dari
fasilitas terpisah ini mungkin terkait erat satu sama lain sementara yang lain mewakili
sedikit lebih dari investasi perusahaan. Suatu tugas yang sulit dan terkadang rumit,
inisiatif seluruh perusahaan harus diluncurkan untuk mengidentifikasi semua risiko yang
berpotensi signifikan di berbagai area individu. Jenis latihan ini bisa mendapatkan hasil
yang menarik dan / atau bahkan mengganggu. Misalnya, tingkat perusahaan
mungkin menyadari beberapa risiko kewajiban produk , tetapi supervisor lini depan di
unit operasi mungkin melihat risiko yang sama dengan perspektif yang sama sekali
berbeda.
Teknik yang efektif untuk mengidentifikasi risiko dengan cepat tanpa
banyak penelitian terperinci adalah dengan mengumpulkan tim terpilih dari perusahaan
untuk melibatkan mereka dalam teknik yang disebut brainstorming untuk
mengidentifikasi semua risiko terkait dengan lebih baik. Brainstorming adalah latihan
kelompok respons cepat di mana orang-orang berpengetahuan diminta untuk
memikirkan hal-hal pertama yang terlintas dalam pikiran sebagai respons terhadap
gagasan umum. Seorang moderator mungkin bertanya kepada kelompok kecil, `` Apa
risiko terbesar kita terkait keuangan? '' Dan akan menunjuk kepada setiap anggota
kelompok untuk melontarkan pemikiran mereka, dengan tanggapan yang
berurutan membangun satu demi satu.

Penilaian Risiko Utama

Setelah mengidentifikasi risiko signifikan yang berdampak pada perusahaan di berbagai
tingkat, langkah selanjutnya adalah menilai risiko tersebut untuk kemungkinan dan
signifikansi relatifnya. Pendekatan sederhana namun sering efektif di sini adalah
dengan mengambil daftar risiko yang teridentifikasi dan menyebarkannya kembali ke
semua peserta brandstorming atau orang lain dengan kuesioner yang menanyakan
setiap risiko. Kuesioner untuk pendekatan yang disederhanakan ini harus diedarkan
secara independen kepada orang-orang yang berpengetahuan untuk menilai atau
menilai masing-masing risiko yang teridentifikasi.

Probabilitas dan Ketidakpastian

Ketika sejumlah besar risiko telah diidentifikasi, tim penilai harus memikirkan
kemungkinan risiko individu dan arus yang terjadi dalam kaitannya
dengan probabilitas dua digit yang berkisar dari paling banyak 0,00 hingga 0,99. Tim
ERM dan orang lain yang berkepentingan harus memperhatikan dengan seksama risiko
yang diidentifikasi selama brainstorming identifikasi risiko dan harus
mengumpulkan lebih banyak informasi, jika diperlukan.

Periode Analisis
Saat memperkirakan kejadian dan kemungkinan, tim ERM harus berhati-hati untuk
memastikan bahwa semua perkiraan dibuat dalam periode waktu yang sama. Biasanya,
selang waktu satu tahun atau setidaknya sampai akhir tahun anggaran berikutnya
adalah selang waktu yang wajar. Ada biasanya tidak cukup informasi untuk membuat
perkiraan yang cukup akurat lebih jauh periode tersebut.

Risiko Saling Ketergantungan

Independensi risiko harus dipertimbangkan dan dievaluasi di seluruh struktur
perusahaan. Setiap entitas harus memperhatikan risiko di semua tingkat perusahaan
tetapi hanya benar-benar memiliki kendali atas risiko dalam lingkupnya sendiri. Risiko
seringkali sangat saling bergantung dalam suatu perusahaan. Setiap unit operasi
bertanggung jawab untuk mengelola risikonya sendiri tetapi mungkin juga tunduk pada
konsekuensi peristiwa risiko pada unit di atas atau di bawah
dalam struktur perusahaan . Setiap unit operasi perusahaan harus menyadari bahwa
risiko apa pun yang diterima unit lokal dapat berdampak pada unit lain di perusahaan.

Peringkat Risiko
Langkah selanjutnya adalah membuat estimasi signifikansi dan kemungkinan yang
telah ditetapkan , menghitung peringkat risiko, dan mengidentifikasi risiko paling
signifikan di seluruh entitas yang ditinjau. Risiko diunit yang jauh dan relatif kecil dapat
menimbulkan konsekuensi yang menghancurkan bagi perusahaan besar. Setiap unit
dalam perusahaan perlu mengenali kemungkinan dan konsekuensi risiko di setiap
tingkat unit individu.

Analisis Risiko Kuantitatif: Nilai yang Diharapkan dan Perencanaan Respons

Ada sedikit manfaat dalam menerbitkan daftar rinci risiko yang signifikan kecuali jika
perusahaan setidaknya telah mengambil beberapa langkah tindakan pendahuluan
ketika mereka menghadapi risiko. Idenya adalah untuk memperkirakan dampak biaya
dari timbulnya beberapa risiko yang teridentifikasi dan kemudian menerapkan biaya
tersebut ke probabilitas faktor risiko risiko untuk mendapatkan nilai risiko yang
diharapkan.
Beberapa risiko dan cara umum untuk memikirkan biaya penggantian meliputi:
 Risiko A: Kehilangan pangsa pasar hingga x persen karena selera konsumen
yang berubah.
Berapa pengurangan penjualan dan hilangnya keuntungan karena penurunan x
persen?
Berapa biaya untuk mulai memulihkan posisi pasar?
 Risiko B: Hilangnya sementara fasilitas manufaktur besar yang berbasis di
Florida hingga x hari karena badai.
Apa perkiraan kasus terbaik dan terburuk agar pabrik diperbaiki sementara dan
kembali beroperasi dalam x hari?
Berapa tenaga kerja ekstra dan biaya material yang dikeluarkan untuk
sementara?
 Risiko C: Hilangnya sistem informasi total selama dua hari karena kerusakan
computer virus sistem.
Berapa banyak bisnis dan profitabilitas yang akan hilang selama periode turun?
Berapa biaya untuk mentransfer operasi ke situs kelangsungan bisnis berakhir
periode?

Pertanyaan-pertanyaan ini tentunya tidak tepat tetapi menggambarkan jenis pemikiran

yang diperlukan untuk memperkirakan biaya pemulihan dari suatu peristiwa
bencana. Hal ini sering mudah untuk mengidentifikasi beberapa peristiwa risiko tapi
jauh lebih sulit untuk menentukan besar biaya untuk pulih dari risiko itu.

Teknik Penilaian Risiko Lainnya

Metode Delphi
Untuk proses identifikasi risiko yang dijelaskan sebelumnya, metode Delphi akan
menggantikan sesi brainstorming yang dijelaskan sebelumnya sebagai berikut:
  Tim ERM atau kelompok lain, seperti audit internal, akan ditunjuk sebagai the ''
oracle '' untuk mengelola proses penilaian.
 Sekelompok manajer akan dipilih untuk mengidentifikasi risiko yang sesuai.
 Setelah beberapa pengarahan tentang tujuan proyek, setiap anggota tim yang
dipilih akan diminta untuk mengidentifikasi risiko utama di bidang minat. Orang
akan masuk secara mandiri survei ini pada formulir yang dikirim ke ERM '' oracle.
''
 ERM '' oracles '' kemudian akan meninjau hasil survei ini, menemukan benang
merah, dan kembangkan kuesioner survei putaran kedua, daftar apa yang
tampaknya menjadi area risiko utama yang menjadi perhatian.
 Peserta survei asli akan menerima daftar terbaru ini dan akan ditanyai untuk
menyetujui, tidak setuju, atau mengusulkan modifikasi. Hasil ini akan kembali ke
ERM '' oracle. ''
 Hasil putaran kedua ini dapat diubah lagi menjadi putaran ketiga.
 Seringkali, bagaimanapun, sebuah pendapat konsensus seringkali dapat dicapai
hanya setelah dua kali putaran.

Simulasi Monte Carlo

Simulasi Monte Carlo digunakan untuk melampaui estimasi tinggi, sedang, atau rendah
yang sangat umum yang sering digunakan dalam estimasi risiko dan untuk
mengembangkan beberapa ukuran yang lebih baik. Dengan menggunakan penilaian
tersebut, seorang manajer dapat menerapkan aturan probabilitas untuk mendapatkan
pemahaman yang lebih baik tentang serangkaian risiko yang teridentifikasi. Meskipun
ruang tidak memungkinkan penjelasan rinci tentang metode Monte Carlo, bagian
berikut menjelaskan pendekatan keseluruhan dan sangat berguna. Ide keseluruhan dari
simulasi Monte Carlo adalah untuk membangun serangkaian model yang
menggambarkan berbagai risiko yang teridentifikasi dan untuk menilai risiko tersebut
menggunakan simulasi komputer. Melihat setiap distribusi probabilitas, berbagai risiko
dan hasil potensial dapat digabungkan untuk mengembangkan serangkaian perkiraan
kasus terbaik dan terburuk.
Analisis Pohon Keputusan
Analisis pohon keputusan adalah teknik sederhana dan grafis untuk melihat berbagai
kombinasi risiko untuk menghasilkan beberapa perkiraan hasil. Sebuah teknik yang
secara historis digunakan dalam diagram jalur kritis perencanaan proyek, ini dapat
menjadi teknik yang efektif untuk melihat probabilitas yang mencakup serangkaian
risiko yang terbatas. Proses ini sangat berguna untuk melihat risiko terkait. Artinya, kita
mungkin memiliki satu risiko yang mungkin atau mungkin tidak terjadi, tetapi akan ada
risiko terkait dengan probabilitas kemungkinannya sendiri. Dengan menggunakan
analisis pohon keputusan dan aturan probabilitas gabungan, kita dapat
menilai kemungkinan beberapa kejadian risiko. Kekuatan sebenarnya dari pendekatan
grafis pohon keputusan ini adalah untuk menggambarkan dampak yang
mungkin ditimbulkan oleh risiko tertentu pada masalah berbasis risiko selanjutnya. Hal-
hal seperti mengidentifikasi risiko potensial dan kemudian memperkirakan probabilitas
kemunculannya adalah sama apakah menggunakan pendekatan penilaian
risiko tradisional klasik atau cakupan COSO ERM di seluruh perusahaan. Pendekatan
manajemen risiko ini tidak boleh mengubah cara kita melihat teknik penilaian
risiko individu tetapi bagaimana kita harus mempertimbangkan gambaran besar risiko
yang dihadapi suatu perusahaan.