NAMA : Afifah Walida Maulany

NIM : 12030120420039

CHAPTER 4

COSO ERM FRAMEWORK

Definisi Dan Tujuan Erm: Portofolio View Of Risk

COSO ERM adalah kerangka kerja yang akan membantu perusahaan untuk memiliki
definisi yang konsisten tentang risiko tingkat perusahaan yang akan
mempertimbangkan risiko tersebut secara keseluruhan. Menurut COSO ERM,
manajemen risiko perusahaan adalah sebuah proses yang dipengaruhi oleh dewan
direksi, manajemen dan personel lainnya yang diterapkan dalam pengaturan stretegi
diseluruh perusahaan, dirancang untuk mengidentifikasi peristiwa potensial yang
dapat mempengaruhi entitas dan mengelola risiko agar sesuai dengan selera
risikonya untuk memberikan jaminan yang wajar tentang pencapaian tujuan. Poin-poin
penting yang mendukung definisi kerangka kerja COSO ERM :

 Konsep Risk Appetite harus dipertimbangkan - Risk Appetite adalah jumlah

risiko, pada tingkat yang luas, yang bersedia diterima oleh perusahaan dan
manajer individualnya dalam mengejar nilai. Setiap manajer secara kolektif,
setiap perusahaan harus mempertimbangkan risiko tertentu. Beberapa akan
menerima usaha berisiko yang menjanjikan mengembalian tinggi sementara
yang lain lebih memilih usaha berisiko rendah dengan pengembalian lebih
terjamin.
 ERM memberikan jaminan yang wajar, bukan jaminan positif pada
pencapaian objektif – sebaik-baiknya implementasi ERM, tidak dapat
memberi jaminan yang pasti akan hasilnya karena adanya human eror yang
tidak disengaja, tindakan yang tidak terduga dari orang lain dan terjadinya
bencana alam.
 ERM dirancang untuk membantu mencapai tujuan - melalui manajemen,
perusahaan harus bekerja menetapkan tujuan bersama untuk
mempertahankan reputasi positif dalam komunitas konsumen, keandalan
pelaporan, serta kepatuhan terhadap hukum dan peraturan.
Model Kerangka COSO ERM

Kerangka COSO ERM yang ditunjukkan pada gambar diatas juga merupakan kubus
tiga dimensi dengan komponen:
 Empat kolom vertikal yang mewakili tujuan strategis risiko perusahaan.
 Delapan baris horizontal atau komponen risiko.
 Berbagai tingkat perusahaan, dari tingkat entitas '' kantor pusat '' hingga anak
perusahaan individu.

Komponen horizontal COSO ERM, dengan pembahasan yang lebih terbatas tentang
dua dimensi lainnya dan bagaimana semuanya berhubungan satu sama lain. Konsep
di balik kerangka ERM adalah untuk memberikan model bagi perusahaan untuk
mempertimbangkan dan memahami aktivitas terkait risiko di semua tingkat
perusahaan serta dampaknya terhadap satu sama lain. Deskripsi kerangka kerja
COSO ERM ini terlihat sangat mirip dengan kerangka kerja kontrol internal COSO
yang telah menjadi akrab bagi banyak profesional selama beberapa tahun terakhir.
Awalnya COSO ERM hanya sebagai pembaruan baru untuk kerangka kerja kontrol
internal COSO mereka yang sudah dikenal tetapi COSO ERM memiliki tujuan dan
kegunaan berbeda.

Komponen COSO ERM : Lingkungan Internal

Lingkungan pengendalian menentukan dasar untuk semua komponen lain dalam
model ERM perusahaan, yang mempengaruhi bagaimana strategi dan tujuan harus
ditetapkan, bagaimana aktivitas bisnis yang terkait dengan risiko disusun, dan
bagaimana risiko diidentifikasi dan ditindaklanjuti. Sementara lingkungan
pengendalian untuk pengendalian internal COSO berfokus pada praktik yang ada saat
ini, seperti kebijakan dan prosedur sumber daya manusia, ERM mengambil bidang
yang sama ini dan melihatnya dalam pendekatan yang lebih berorientasi pada filosofi
di masa depan. Komponen fondasi internal ERM terdiri dari elemen-elemen berikut:
mempengaruhi bagaimana strategi dan tujuan harus ditetapkan, bagaimana aktivitas
bisnis terkait risiko disusun, dan bagaimana risiko diidentifikasi dan ditindaklanjuti.
Sementara lingkungan pengendalian untuk pengendalian internal COSO berfokus
pada praktik yang ada saat ini, seperti kebijakan dan prosedur sumber daya manusia,
ERM mengambil bidang yang sama ini dan melihatnya dalam pendekatan yang lebih
berorientasi pada filosofi di masa depan. Komponen fondasi internal ERM terdiri dari
elemen-elemen berikut :
 Filosofi Manajemen adalah jenis sikap yang memungkinkan manajer dan
orang lain disemua tingkatan untuk menanggapi beberapa proposal berisiko
tinggi dengan jawaban disepanjang baris “tidak, itu bukan jenis usaha yang
akan diminati oleh perusahaan kami”. Tidak ada tanggapan yang benar-benar
salah, tetapi perusahaan harus mengembangkan filosofi dan sikap yang
konsisten tentang bagaimana ia menerima usaha berisiko.
 Risk Appetite adalah jumlah risiko yang bersedia diterima perusahaan dalam
mengejar tujuannya. Risiko ini dapat diukur dalam istilah kuantitatif atau
kualitatif, tetapi semua tingkat manajemen harus memiliki pemahaman umum
tentang konsep ini serta selera risiko perusahaan secara keseluruhan.
 Sikap Direksi – Dewan Direksi memiliki peran yang sangat penting dalam
mengawasi dan mengarahkan lingkungan risiko perusahaan.
 Integritas dan Nilai Etis – elemen lingkungan internal ERM yang penting ini
membutuhkan lebih dari sekedar kode etik yang dipublikasikan dan mencakup
integritas dan standar perilaku yang kuat untuk anggota perushaan. Budaya
perusahaan berguna memandu perusahaan disemua tingkatan dalam
membuat keputusan berbasis risiko.
 Komitmen untuk kompetensi – kompetensi mengacu pada pengetahuan dan
keterampilan yang diperlukan untuk melakukan tugas yang diberikan.
Manajemen memutuskan bagaimana tugas-tugas penting ini akan diselesaikan
melalui pengembangan strategi yang tepat dan menugaskan orang yang tepat
untuk melakukan tugas-tugas yang seringkali strategis ini.
 Struktur Organisasi – dibuat sesuai dengan ukuran dan sifat kegiatan dari
perusahaan. Serta stuktur organisasi harus memberikan kejelasan mengenai
 pembagian wewenang dan tanggungjawab bersama dengan jalur pelaporan
yang sesuai
 Penugasan Wewenang dan Tanggungjawab – penugasan wewenang
diberikan kepada pihak yang tepat sesuai dengan tingkat tanggungjawab
dalam rangka pencapaian tujuan perusahaan serta pihak tersebut harus
paham mengenai wewenang dan tanggungjawabnya.
 Standar Sumber Daya Manusia - Praktik perusahaan mengenai perekrutan
karyawan, pelatihan, pemberian kompensasi, promosi, pendisiplinan, dan
semua tindakan lainnya mengirimkan pesan kepada semua anggota
perusahaan mengenai apa yang disukai, ditoleransi, atau dilarang.

Komponen COSO ERM: Pengaturan Tujuan

Peringkat tepat di bawah komponen lingkungan internal, komponen pengaturan tujuan
COSO ERM menguraikan beberapa prasyarat yang diperlukan yang harus ditetapkan
sebelum manajemen dapat menetapkan proses manajemen risiko perusahaan yang
efektif. Komponen ini mengatakan bahwa selain lingkungan internal yang diuraikan di
atas, perusahaan harus menetapkan serangkaian tujuan strategis yang mencakup
kegiatan operasi, pelaporan, dan kepatuhannya. Sasaran strategis ini adalah sasaran
tingkat tinggi yang harus selaras dengan misi atau visi perusahaan. Pernyataan misi
seringkali merupakan elemen penting dalam perencanaan strategis perusahaan
bisnis. Perusahaan menentukan strategi yang berhubungan dengan risiko dan tujuan
risiko terkait. Menentukan tujuan ERM COSO dimulai dengan misi keseluruhan untuk
:
(1) mengembangkan tujuan strategis untuk mendukung pencapaian misi itu,
(2) menetapkan strategi untuk memenuhi tujuan,
(3) mendefinisikan tujuan terkait, dan
(4) menentukan selera risiko untuk menyelesaikan strategi itu.

Komponen COSO ERM: Identifikasi Peristiwa

Peristiwa adalah insiden atau kejadian, eksternal atau eksternal perusahaan, yang
mempengaruhi implementasi strategi ERM atau pencapaian tujuannya. Ada tingkat
pemantauan kinerja yang kuat yang terjadi di banyak perusahaan saat ini, tetapi
proses pemantauan cenderung demikian menekankan hal-hal seperti biaya,
anggaran, kepatuhan jaminan kualitas, dan sejenisnya. Perusahaan biasanya
memiliki proses yang kuat untuk memantau peristiwa seperti yang menguntungkan
dan khususnya varians anggaran yang tidak menguntungkan, tetapi seringkali tidak
secara teratur memantau baik yang sebenarnya peristiwa atau faktor yang
mempengaruhi yang merupakan pendorong peristiwa varians anggaran tersebut.
Dokumentasi kerangka kerja ringkasan eksekutif COSO ERM, yang sebelumnya
direferensikan, daftar serangkaian jenis faktor yang mempengaruhi yang harus
menjadi bagian dari komponen identifikasi peristiwa kerangka kerja, termasuk item
berikut:
 Peristiwa Ekonomi Eksternal – peristiwa eksternal disini berfungsi untuk
mencapai tujuan ERM perusahaan. Tren jangka pendek dan jangka panjang
yang sedang berlangsung dapat memengaruhi beberapa elemen tujuan
strategis perusahaan dan dengan demikian berdampak pada kerangka ERM
secara keseluruhan.
 Peristiwa Alam – kebakaran, banjir atau gempa bumi, banyak kejadian dapat
diidentifikasi sebagai insiden dalam identifikasi risiko ERM.
 Peristiwa Politik - Undang-undang dan peraturan baru serta hasil pemilu
dapat memiliki dampak yang signifikan terkait peristiwa risiko pada
perusahaan. Banyak perusahaan besar memiliki fungsi urusan pemerintahan
yang meninjau perkembangan di sini dan melakukan lobi untuk perubahan.
Namun, fungsi tersebut mungkin tidak selalu selaras dengan tujuan ERM.
 Faktor Sosial - Meskipun peristiwa eksternal seperti gempa bumi terjadi
secara tiba-tiba dan datang dengan sedikit peringatan, sebagian besar
perubahan faktor sosial merupakan peristiwa yang berkembang secara
perlahan. Ini termasuk perubahan demografis, adat istiadat sosial, dan
peristiwa lain yang dapat memengaruhi perusahaan dan pelanggannya dari
waktu ke waktu.
 Acara Insfratruktur Internal – perusahaan sering membuat perubahan yang
memicu peristiwa terkait risiko lainnya seperti perusahaan dalam pengaturan
layanan pelanggan dapat menyebabkan keluhan besar dan penurunan
kepuasan pelanggan.
 Peristiwa Terkait Proses Internal – mirip dengan peristiwa infrastruktur,
perubahan dalam proses utama dapat memicu berbagai peristiwa identifikasi
risiko.
 Peristiwa Teknologi Eksternal dan Internal - Setiap perusahaan
menghadapi berbagai macam peristiwa teknologi yang sedang berlangsung
yang akan memicu kebutuhan untuk identifikasi risiko formal. Pesaing mungkin
 tiba-tiba merilis perbaikan baru yang menyebabkan pesaing di mana-mana
untuk bertindak. Perusahaan perlu secara jelas mendefinisikan apa yang
dianggapnya sebagai peristiwa risiko signifikan dan kemudian harus memiliki
proses untuk memantau semua berbagai peristiwa risiko yang berpotensi
signifikan tersebut sehingga perusahaan dapat mengambil tindakan yang
sesuai. Beberapa proses formal untuk meninjau risiko yang berpotensi
signifikan dan kemudian memulai proses pengambilan tindakan, yaitu :
 Persediaan Acara - COSO ERM merekomendasikan bahwa
manajemen harus menggunakan daftar peristiwa terkait risiko yang
umum untuk industri spesifik dan area fungsional perusahaan.
 Lokakarya yang Difasilitasi - Suatu perusahaan dapat mendirikan
bengkel lintas fungsi untuk membahas faktor risiko potensial yang
mungkin berkembang dari berbagai peristiwa internal atau eksternal.
 Wawancara, kuisioner dan survei - . Informasi mengenai peristiwa
risiko potensial dapat berasal dari berbagai sumber seperti tanggapan
dari surat kepuasan pelanggan atau komentar wawancara keluar dari
karyawan yang keluar.
 Analisis Alur Proses - Materi Teknik Aplikasi COSO ERM
merekomendasikan penggunaan diagram alir untuk meninjau proses
dan untuk mengidentifikasi peristiwa risiko potensial.
 Peristiwa Terkemuka dan Pemicu Eskalasi - untuk menetapkan
serangkaian tujuan unit bisnis, kriteria pengukuran yang diperlukan
untuk memenuhi tujuan tersebut, dan kriteria toleransi risiko untuk
mendorong tindakan perbaikan.
 Pelacakan - Meskipun pendekatan dasbor baru saja memperkenalkan
pemantauan peristiwa risiko saat terjadi, sering kali bermanfaat untuk
meletakkan segala sesuatunya dalam perspektif yang lebih banyak
setelah berlalunya waktu. Pelacakan peristiwa kerugian mengacu pada
penggunaan sumber database internal dan publik untuk melacak
aktivitas di bidang minat.

Komponen COSO ERM: Penilaian Risiko

Komponen penilaian risiko digambarkan berada di tengah kerangka kerja dan
mewakili inti COSO ERM. Penilaian risiko memungkinkan perusahaan untuk
mempertimbangkan sejauh mana dampak peristiwa terkait risiko potensial terhadap
pencapaian tujuan perusahaan. Risiko-risiko ini harus dinilai dari dua perspektif:
kemungkinan terjadinya risiko dan potensi dampaknya. Sebagai bagian penting dari
proses penilaian risiko ini, manajemen perlu mempertimbangkan risiko berikut :
 Risiko bawaan - Faktor utama yang memengaruhi risiko inheren dari aktivitas
apa pun. Suatu perusahaan adalah ukuran anggarannya, kekuatan dan
kecanggihan manajemen grup, dan sifat aktivitasnya. Risiko melekat berada di
luar kendali manajemen dan biasanya berasal dari faktor eksternal.
 Resiko Sisa - risiko yang tersisa setelah tanggapan manajemen terhadap
ancaman risiko dan tindakan penanggulangan telah diterapkan dan biasanya
masih terdapat risiko residual yang perlu diperbaiki.

Komponen COSO ERM: Respon Risiko

Setelah menilai dan mengidentifikasi risiko yang lebih signifikan, langkah selanjutnya
adalah menentukan cara merespons berbagai risiko yang teridentifikasi tersebut. Ini
adalah tanggung jawab manajemen untuk melakukan tinjauan cermat terhadap
perkiraan kemungkinan risiko dan potensi dampak, dan dengan pertimbangan
diberikan pada biaya dan manfaat terkait, untuk mengembangkan strategi respons
risiko yang tepat. Respons risiko ini dapat ditangani dengan mengikuti salah satu dari
empat pendekatan dasar:
1. Penghindaran. Ini adalah strategi untuk menjauh dari risiko — seperti menjual unit
bisnis yang menimbulkan risiko, keluar dari area geografis yang menjadi perhatian,
atau menghentikan lini produk.
2. Pengurangan. Berbagai keputusan bisnis mungkin dapat mengurangi risiko
tertentu. Diversifikasi lini produk dapat mengurangi risiko ketergantungan yang terlalu
kuat pada satu lini produk utama.
3. Berbagi. Hampir semua perusahaan maupun individu secara teratur berbagi
sebagian dari risiko mereka dengan membeli asuransi untuk melakukan lindung nilai
atau berbagi risiko mereka.
4. Penerimaan. Ini adalah strategi tanpa tindakan. Misalnya, perusahaan dapat ''
mengasuransikan diri '' daripada membeli polis asuransi. Pada dasarnya, perusahaan
harus melihat kemungkinan dan dampak risiko dalam toleransi risiko yang sudah
mapan dan kemudian memutuskan apakah akan menerima risiko itu atau tidak.
Komponen COSO ERM: Aktivitas Pengendalian
COSO ERM mendefinisikan apa yang disebut aktivitas pengendalian sebagai
kebijakan dan prosedur yang diperlukan untuk memastikan bahwa respons risiko yang
teridentifikasi dilakukan. Meskipun beberapa dari aktivitas ini mungkin hanya terkait
dengan risiko yang teridentifikasi dan respons risiko yang disetujui di satu area
perusahaan, aktivitas tersebut sering tumpang tindih di berbagai fungsi dan unit.
Komponen aktivitas pengendalian COSO ERM harus terkait erat dengan komponen
respons risiko yang telah dibahas sebelumnya. Setelah memilih respons risiko yang
tepat, manajemen perusahaan harus memilih aktivitas pengendalian yang diperlukan
untuk memastikan bahwa respons risiko tersebut dilaksanakan secara tepat waktu
dan efisien. Setelah melalui proses identifikasi kejadian risiko, penilaian risiko, dan
respons risiko COSO ERM, pemantauan risiko dapat dilakukan dengan langkah-
langkah sebagai berikut:
Langkah 1. Mengembangkan pemahaman yang kuat tentang risiko signifikan yang
teridentifikasi dan kembangkan prosedur pengendalian untuk memantau atau
mengoreksi risiko tersebut.
Langkah 2. Membuat prosedur pengujian untuk menentukan apakah prosedur
pengendalian terkait risiko tersebut bekerja secara efektif.
Langkah 3. Melakukan pengujian terhadap prosedur pengendalian untuk menentukan
apakah proses pemantauan risiko yang diuji bekerja secara efektif dan seperti yang
diharapkan.
Langkah 4. Melakukan penyesuaian atau perbaikan yang diperlukan untuk
meningkatkan proses pemantauan risiko.

Karena sifat kritis dari banyak risiko bagi suatu perusahaan, pemantauan manajemen
risiko bisa sangat penting untuk kesehatan perusahaan secara keseluruhan. Banyak
aktivitas pengendalian di bawah pengendalian internal COSO cukup mudah untuk
diidentifikasi dan pengujian karena sifat akuntansi dari banyak pengendalian internal.
Mereka umumnya termasuk file area pengendalian internal berikut:
 Pemisahan Tugas. Pada dasarnya, orang yang memulai transaksi tidak boleh
orang yang sama yang mengotorisasi transaksi itu.
 Jejak Audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat
dengan mudah ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
  Keamanan dan Integritas. Proses pengendalian harus memiliki prosedur
pengendalian yang tepat sehingga hanya orang yang berwenang yang dapat
meninjau atau memodifikasinya.
 Dokumentasi. Proses harus didokumentasikan dengan tepat. dokumentasi
COSO ERM menyarankan beberapa area sebagai berikut:
 Ulasan tingkat atas
 Manajemen fungsional dan aktivitas langsung
 Memproses informasi
 Kontrol fisik
 Indikator kinerja
 Pemisahan tugas

Komponen COSO ERM: Informasi dan Komunikasi

Komponen informasi dan komunikasi COSO ERM adalah proses atau unit kerangka
kerja yang menghubungkan satu sama lain komponen. Konsep informasi dan
komunikasi ini, berdasarkan COSO Materi Teknik Aplikasi, menunjukkan informasinya
mengalir melintasi komponen COSO ERM. Misalnya komponen respon risiko
menerima masukan risiko residual dan inheren dari komponen penilaian risiko juga
dukungan toleransi risiko dari komponen pengaturan tujuan. Respon risiko ERM
kemudian menyediakan respon risiko dan data portofolio risiko untuk mengendalikan
aktivitas serta respon risiko umpan balik untuk komponen penilaian risiko. Komunikasi
ERM merupakan aspek kedua dari komponen ini. COSO ERM juga berbicara tentang
komunikasi lebih dari sekedar aplikasi TI yang dibutuhkan oleh suatu perusahaan
membangun beberapa mekanisme komunikasi yang kuat di dalam perusahaan untuk
memastikannya bahwa semua pemangku kepentingan menerima pesan tentang
kepentingan perusahaan dalam mengelola risikonya dan mengkomunikasikan tingkat
informasi yang sesuai kepada pemangku kepentingan.

Komponen COSO ERM: Pemantauan

Ditempatkan di dasar tumpukan komponen horizontal dalam model kerangka ERM,
komponen pemantauan diperlukan untuk menentukan bahwa semua komponen ERM
yang terpasang terus bekerja secara efektif. Agar semua anggota perusahaan
memiliki tingkat jaminan bahwa ERM yang dipasang bekerja secara efektif secara
berkelanjutan, proses pemantauan ERM harus dipasang dan diaktifkan. ERM
menyarankan pemantauan dengan mencakup jenis kegiatan berikut :
  Penerapan mekanisme pelaporan manajemen yang kuat dan berkelanjutan
seperti posisi kas, penjualan unit, dan data keuangan dan operasional utama
lainnya.
 Proses pelaporan berkala dipasang untuk secara khusus memantau aspek-
aspek kunci dari kriteria risiko yang telah ditetapkan.
 Status terkini dan periodik dari temuan terkait risiko dan rekomendasi dari
laporan audit internal dan eksternal.
 Informasi terkait risiko yang diperbarui dari sumber seperti peraturan yang
direvisi pemerintah, tren industri, dan berita ekonomi umum.
Peran audit internal dalam proses ERM dengan pemantauan baik audit internal,
konsultan luar atau staf terlatih dalam perusahaan, berikut adalah alat-alat yang
digunakan dalam proses ERM :
 Proses Diagram Alir - Sebagai bagian dari proses ERM yang teridentifikasi,
pihak yang bertanggung jawab harus mengembangkan diagram alur atau
diagram serupa yang mendokumentasikan proses tersebut.
 Review Bahan Risiko dan Kontrol - Proses ERM sering kali menghasilkan
materi panduan, prosedur terdokumentasi, format laporan, dan sejenisnya
dalam jumlah besar.
 Pembandingan - proses melihat fungsi ERM perusahaan lain untuk menilai
operasi mereka dan mengembangkan pendekatan berdasarkan praktik terbaik
orang lain.
 Kuesioner - Metode yang baik untuk mengumpulkan informasi dari berbagai
orang, kuesioner dapat dikirim ke pemangku kepentingan yang ditunjuk dengan
permintaan informasi spesifik.
 Sesi yang Difasilitasi - Informasi berharga sering kali dapat dikumpulkan
dengan meminta orang-orang terpilih untuk berpartisipasi dalam sesi kelompok
fokus yang dipimpin oleh seorang pemimpin konferensi yang terampil.

Dimensi Lain Dari Kerangka ERM

Dimensi lainnya adalah empat kategori objektifnya yang diwakili oleh kolom vertikal
dan entitas serta unitnya yang dijelaskan dalam dimensi ketiga. Untuk memahami
risiko yang mengelilingi tujuan organisasi, seseorang harus mengevaluasi risiko
tersebut dalam hal, mungkin, masalah pelaporan yang terkait dengan risiko tersebut
dan unit organisasi tertentu yang menjadi fokus utama risiko. Tidak peduli seberapa
baik ERM dirancang dan dikelola, mungkin ada kegagalan karena kesalahan manusia
atau berbagai kejadian tak terduga.

CHAPTER 5
MENERAPKAN ERM DI PERUSAHAAN

Peran Dan Tanggung Jawab Dari Fungsi Manajemen Risiko Perusahaan

Tanggung jawab fungsi risiko perusahaan saat ini telah diperluas dan diperdalam
untuk mencakup peraturan, masalah pasar modal, pelaporan keuangan, banyak
masalah seputar globalisasi, modal intelektual, dan, tentu saja, semua aspek TI. Agar
efektif, fungsi risiko perusahaan dan CRO-nya harus terbuka lebar mengenai berbagai
tingkat risiko yang berdampak pada semua tingkat perusahaan. Untuk perusahaan
publik, fungsi manajemen risiko perusahaan harus menjadi unit operasi tingkat senior
dengan otoritas yang mencakup seluruh perusahaan. Untuk perusahaan yang lebih
besar dengan operasi bisnis yang beragam dan berbeda, mungkin ada kebutuhan
untuk beberapa unit manajemen risiko yang terpisah, tetapi semua harus melapor ke
satu fungsi risiko yang bertanggung jawab yang dipimpin oleh CRO. Perusahaan
dengan beberapa unit bisnis yang sangat berbeda, seperti untuk pinjaman konsumen
atau pemrosesan dokumen hukum, mungkin melihat beberapa perbedaan eksposur
risiko yang signifikan di kedua lini bisnis ini dan mungkin ingin memiliki grup
manajemen risiko terpisah untuk memantau dan mengontrol eksposur terpisah di
masing-masing.

Tanggung Jawab Chief Risk Officer (CRO)

Komponen kunci dari fungsi ERM yang efektif adalah kebutuhan akan kepemimpinan
perusahaan yang bertanggung jawab atas keseluruhan proses manajemen risiko.
Manajemen risiko perusahaan biasanya menjadi tanggung jawab CRO, pejabat
perusahaan senior yang ditunjuk yang bertanggung jawab untuk mengelola dan
memantau fungsi ERM perusahaan secara keseluruhan. Tanggung jawab utama
CRO adalah untuk mengelola proses penilaian risiko di seluruh perusahaan, untuk
menerapkan tindakan korektif yang tepat, dan untuk mengkomunikasikan masalah
dan kejadian risiko ke semua tingkat perusahaan. CRO harus bertanggung jawab atas
keseluruhan fungsi manajemen risiko dalam suatu perusahaan dan harus
mengarahkan dan mengelola fungsi manajemen risiko pendukung. CRO yang efektif
dan fungsi manajemen risiko pendukung serupa dengan fungsi audit internal.
Sebagaimana audit internal memiliki staf spesialis untuk meninjau semua tingkat
pengendalian internal dan memberikan rekomendasi untuk tindakan korektif, fungsi
risiko perusahaan harus beroperasi dengan cara yang sama. Ini harus memantau
lingkungan risiko secara keseluruhan di perusahaan serta membuat rekomendasi
untuk tindakan korektif yang sesuai.

Tata Kelola Pengawasan Perusahaan Manajemen Risiko

Manajemen risiko secara historis bukanlah fungsi tingkat atas dibanyak perusahaan.
Bagi banyak perusahaan, kelompok manajemen risiko ini dioperasikan sebagai fungsi
dukungan tingkat yang lebih rendah dengan dasarnya tidak berperan dalam masalah
seluruh entitas. , fungsi manajemen risiko perusahaan cukup penting untuk
kesejahteraan perusahaan secara keseluruhan, dan waktu harus dialokasikan bagi
CRO untuk bertemu dengan komite audit atau dewan secara berkala untuk
menjelaskan status aktivitas manajemen risiko di perusahaan serta masalah atau
kekhawatiran yang teridentifikasi. CRO dapat membantu penerapan yang efektif di
sini, tetapi orang lain seperti CEO dan penasihat hukum harus meninjau dan
membantu memutuskan bagaimana menetapkan proses kepatuhan yang efektif untuk
beroperasi dalam aturan tersebut.

Lingkup Aktivitas Manajemen Risiko Perusahaan Dan Perencanaan Riview

Fungsi ERM perusahaan mengembangkan pemahaman dan mendoumentasikan
area risiko yang berbeda dalam ruang lingkup operasi mereka. Ruang lingkup ini
secara formal harus ditinjau dan disetujui oleh dewan atau manajemen tingkat CEO.
Berdasarkan perkiraannya tentang kemungkinan yang lebih tinggi dan area risiko
probabilitas kerugian yang lebih tinggi, fungsi manajemen risiko perusahaan harus
memantau dan meninjau pengambilan area risiko pendekatan berikut:
 Melakukan Tindakan Segera untuk Mengatasi Risiko
 Meninjau Area Risiko dan Usulkan Tindakan Korektif untuk Mengurangi
Eksposur Risiko
 Mengatur dengan Internal Audit untuk Melakukan Review atas Area Risiko
yang Dipilih
 Memantau Area Risiko secara Berkelanjutan
 Mengembangkan Rencana untuk Mengambil Tindakan Hanya pada Saat
Terjadi Risiko
Kebijakan Manajemen Risiko, Standar, Dan Strategi

Fungsi ERM harus dikelola dan dikomunikasikan kepada sekelompok besar orang
yang bertanggung jawab di seluruh perusahaan. Selain itu, fungsi manajemen risiko
perusahaan yang dipimpin oleh CRO perlu menyusun beberapa kebijakan dan
standar manajemen risiko yang diikuti oleh unit-unit di perusahaan dengan strategi
yang konsisten. Risiko perusahaan harus dikelola dan diarahkan oleh fungsi pusat
CRO yang dipimpin, tanggung jawab dan tugas perlu didorong ke bawah dan di
seluruh perusahaan dengan membangun budaya peka risiko di seluruh perusahaan.
Pemangku kepentingan di semua tingkatan perlu menyadari beberapa risiko yang
dihadapi perusahaan, konsekuensi dari eksposur risiko tersebut, dan beberapa
langkah yang dapat mereka lakukan untuk membatasi risiko tersebut. Daftar berikut
memberikan beberapa langkah yang diperlukan untuk membangun dan menerapkan
budaya manajemen risiko yang efektif di suatu perusahaan:

 Membangun Budaya Kesadaran Risiko. Sebagai bagian dari membangun

budaya etika yang efektif di perusahaan, '' eksekutif senior kepada orang lain
di perusahaan sangat penting. Ketika seorang CEO berbicara kepada
karyawan kunci tentang pentingnya memiliki budaya etis dan sangat
mendukung serta mendukung kode etik bisnis perusahaan, orang lain biasanya
akan memperhatikan.
 Membuat Organisasi Manajemen Risiko di Seluruh Perusahaan. Selain
hanya satu individu dengan gelar CRO, penting untuk membangun fungsi atau
kelompok manajemen risiko perusahaan yang efektif untuk mendukung CRO
tersebut. Fungsi ERM yang efektif meliputi staf profesional dengan
pemahaman yang baik tentang risiko yang berdampak pada perusahaan.
 Kebijakan dan Standar Manajemen Risiko Perusahaan. Selain membangun
organisasi manajemen risiko perusahaan yang efektif bersama dengan pesan
untuk membantu menumbuhkan budaya sensitif risiko di perusahaan,
serangkaian kebijakan dan standar manajemen risiko harus dikembangkan dan
dikomunikasikan secara menyeluruh.
Proses Bisnis, Ti, Dan Transfer Risiko
Tingkat berikutnya dan sangat penting untuk membangun program manajemen risiko
perusahaan yang efektif adalah memahami risiko yang secara langsung berdampak
pada perusahaan dan kemudian mengembangkan prosedur perbaikan umum yang
mencakupnya. Kami telah mengelompokkan risiko dampak langsung ini ke dalam tiga
area risiko umum bisnis, TI, dan proses terkait transfer.
1. Risiko Operasi Bisnis Umum.
Sebagian besar risiko perusahaan yang dibahas di seluruh bab ini harus
dianggap sebagai risiko operasi bisnis. Ini adalah berbagai risiko keuangan,
terkait persaingan, dan operasi bisnis yang menjadi perhatian utama
perusahaan. Mengikuti panduan COSO ERM, area risiko ini dapat
dipertimbangkan dengan cara atau urutan berikut:
 Fokus Manajemen Risiko. Penekanan harus pada risiko keuangan
yang terkait dengan kerusakan dalam pengendalian akuntansi internal.
 Ruang Lingkup Operasi Bisnis dan Sasaran Risiko. Melindungi nilai
perusahaan dengan penekanan pada perbendaharaan dan asuransi.
 Penekanan Manajemen Risiko. Tujuan harus ditetapkan atas
keuangan dan operasi bisnis lainnya
2. Risiko Umum dan Khusus Aplikasi TI
Kontrol umum adalah faktor yang meresap atau pertimbangan kontrol yang
mencakup operasi infrastruktur TI seperti sistem keamanan kata sandi atau
proses manajemen perubahan perangkat lunak. Jenis kontrol ini mencakup
semua operasi TI dan tidak spesifik untuk satu aplikasi. Banyak risiko terkait TI
juga dapat dianggap sebagai risiko TI umum. Risiko bahwa TI mungkin tidak
dapat melanjutkan operasi saat terjadi pemadaman listrik besar-besaran akan
memengaruhi semua operasi TI dan aplikasi yang berjalan di sistem itu dan
operasi jaringannya. Dua aspek unik dari area ini adalah kebutuhan untuk
pemantauan lingkungan risiko yang berkelanjutan dan real-time serta
kebutuhan akan keterampilan teknis dan alat untuk merespons dan bereaksi.
Area utama yang menjadi perhatian adalah risiko seputar jaringan
telekomunikasi, termasuk koneksi nirkabel, yang mendukung banyak
perusahaan saat ini.
3. Transfer Risiko Alternatif dan Risiko Terkait Fasilitas
adalah proses mengamankan dan membeli asuransi. Suatu perusahaan
mungkin menghadapi risiko yang dapat menyebabkan kebakaran fasilitas yang
 besar. Meskipun tidak ada kemungkinan yang signifikan bahwa akan terjadi
kebakaran, biaya perbaikan dan pemulihan bisa menjadi sangat mahal bagi
perusahaan. Daripada menyiapkan dana untuk menutupi kerugian akibat
kebakaran atau hanya berharap agar perusahaan tidak perlu menanggung
kerugian yang terkait dengan kebakaran besar seperti itu, hari ini kami
biasanya akan mentransfer risiko tersebut kepada perusahaan asuransi yang
menawarkan asuransi serupa kepada banyak orang. yang lain dan akan
bertaruh bahwa meskipun mungkin ada risiko kebakaran di satu atau pabrik
produksi perusahaan lainnya, mereka tidak akan menanggung kerugian
tersebut sama sekali.
4. Risiko Hukum dan Peraturan
CRO atau beberapa anggota yang ditunjuk dari fungsi risiko perusahaan harus
menjaga hubungan dekat dengan penasihat hukum atau melalui sumber lain.

Tinjauan Manajemen Risiko Dan Praktik Tindakan Korektif

Tim manajemen risiko perusahaan yang efektif sering kali beroperasi dengan cara
yang sangat mirip dengan auditor internal. Banyak pekerjaan audit internal melibatkan
pemantauan masalah yang sedang berlangsung dan membuat rekomendasi untuk
meningkatkan pengendalian internal atau bertindak. tinjauan penilaian risiko harus
memeriksa bidang utama dalam perusahaan dan membuat rekomendasi untuk
meningkatkan pengendalian internal dan mengurangi kemungkinan risiko.kegiatan
audit internal tradisional. Namun, dengan beberapa komunikasi terlebih dahulu dan
koordinasi, tinjauan ini tidak akan bersaing dengan kegiatan audit internal tetapi akan
bersaing meningkatkan dan mendukung audit internal yang serupa dan tinjauan
terkait pengendalian internal. Penilaian RAR adalah jenis tinjauan yang lebih baru,
dan kelompok manajemen risiko harus mengembangkan pendekatan tinjauan
tersebut, mengkomunikasikan rencana dan prosedur tinjauan mereka dengan
manajemen senior, audit internal, dan komite audit dewan. Jenis tinjauan ini tidak
dirancang untuk bersaing dengan aktivitas tinjauan audit internal tetapi untuk
meningkatkan lingkungan risiko dan meningkatkan pengendalian internal. Proses
RAR harus berjalan dengan cara yang mirip dengan proses perencanaan,
pelaksanaan, dan pelaporan hasil audit internal.3 Perbedaan utama di sini adalah
bahwa peninjau RAR akan menekankan berbagai risiko yang teridentifikasi di area
yang dipilih dan kemudian akan menyarankan pendekatan untuk menghilangkan atau
meminimalkan risiko ini. Konsep laporan RAR adalah a aktivitas yang agak baru dan
berbeda untuk kelompok manajemen risiko tetapi mewakili suatu area yang akan
mempromosikan implementasi COSO ERM yang efektif.

Pendekatan Komunikasi ERM

Sementara fungsi manajemen risiko perusahaan yang efektif akan melakukan banyak
fungsi perlindungan di balik layar untuk perusahaan, prosedur komunikasi yang kuat
sangat penting untuk keberhasilan fungsi. Di luar komunikasi reguler spesialis risiko
perusahaan yang berbicara dengan TI mengenai beberapa tindakan risiko yang
disarankan atau CRO berkomunikasi dengan penasihat umum perusahaan mengenai
status beberapa tindakan litigasi, fungsi manajemen risiko perusahaan harus
mengkomunikasikan kekhawatiran dan aktivitasnya ke tingkat yang sesuai di seluruh
perusahaan secara keseluruhan. Komunikasi ini harus mencakup membuat
manajemen senior dan dewan menyadari kekhawatiran risiko perusahaan,
menjelaskan proses tinjauan risiko perusahaan melalui serangkaian tinjauan RAR,
dan kesadaran tentang risiko perusahaan secara keseluruhan. Area yang menjadi
perhatian ini meliputi:
 Masalah Risiko Manajemen Dewan atau Senior. CEO perusahaan harus
memperkenalkan CRO kepada dewan dengan pengaturan yang ditetapkan
untuk laporan rutin kepada dewan tentang area berisiko lebih tinggi di
perusahaan.
 Proses Pelaporan RAR. RAR ini berfokus pada masalah risiko perusahaan di
area yang terbatas tetapi terspesialisasi. Mereka hampir selalu berisi
rekomendasi untuk meningkatkan risiko lingkungan di beberapa area. Namun,
terkadang mereka akan menjadi akun dari area di mana kelompok risiko usaha
telah mengidentifikasi area risiko dan membantu dalam menginstal proses
untuk menghilangkan kekhawatiran risiko.
 Program Kesadaran Risiko Perusahaan. Grup manajemen risiko
perusahaan yang efektif harus mengembangkan proses komunikasi untuk
membuat semua anggota perusahaan mengetahui pendekatan manajemen
risiko perusahaan.

CRO Dan Risiko Perusahaan Yang Efektif Fungsi Manajemen

Grup manajemen risiko perusahaan yang efektif akan meningkatkan lingkungan

pengendalian perusahaan secara keseluruhan dan akan meningkatkan banyak
prosedur untuk budaya GRC yang efektif seperti yang dibahas di bab lain. Meskipun
fungsi risiko perusahaan dapat beroperasi serupa dengan fungsi audit internal dengan
tinjauan RAR-nya sendiri, penting untuk diingat bahwa CRO dan fungsi manajemen
risiko yang ditunjuk memiliki beberapa tanggung jawab keseluruhan untuk
keseluruhan kerangka COSO ERM. Kerangka tiga dimensi tersebut mencakup
delapan tingkat manajemen risiko seperti penilaian risiko dan aktivitas pengendalian
dalam satu dimensi dengan pertimbangan yang diberikan kepada semua tingkat
perusahaan dalam dimensi kedua. Dimensi ketiga dari kerangka ini mencakup
kepatuhan, pelaporan, operasi, dan elemen strategis manajemen risiko, yang
mencakup dua dimensi atau perspektif lainnya. Fungsi CRO dan ERM harus memiliki
tanggung jawab pengawasan yang luas dalam memantau dan menetapkan proses
untuk mengelola fungsi manajemen risiko perusahaan secara keseluruhan. Ini akan
membutuhkan komunikasi dan pendidikan yang cukup sehingga staf di semua
tingkatan dapat lebih sadar akan risiko di sekitar area kegiatan mereka dan dapat
menerima atau menolak risiko tersebut dengan selera risiko yang konsisten dengan
pedoman tingkat tinggi perusahaan secara keseluruhan. Fungsi manajemen risiko
perusahaan yang efektif yang dipimpin oleh CRO yang kuat dengan tanggung jawab
pelaporan tingkat tinggi akan menjadi komponen penting di banyak organisasi
perusahaan besar di masa mendatang.