NAMA : ALFONSUS REIKY PANDUWIJAYA

NPM : 200425703

CHAPTER 7

Manajemen Risiko Perusahaan: COSO ERM

Untuk mendukung pemahaman tentang pengendalian internal COSO dan SOx, auditor
internal perlu pemahaman yang baik tentang manajemen risiko di tingkat perusahaan dan
bagaimana pengaruhnya terhadap keterampilan mereka untuk membangun dan
mengembangkan proses pengendalian internal yang efektif. Kerangka kontrol internal COSO
yang direvisi menjelaskan bagaimana standar audit eksternal AS5 telah memperkenalkan
pertimbangan berbasis risiko ke dalam proses.

Risk Management Fundamentals

Pendekatan manajemen risiko modern mendasar dengan tujuan membantu menetapkan

prosedur manajemen risiko perusahaan yang lebih efektif. Proses manajemen risiko yang
efektif memerlukan empat langkah :

1. Identifikasi risiko
2. Penilaian kuantitatif atau kualitatif dari risiko yang terdokumentasi,
3. Prioritas risiko dan perencanaan respons
4. Pemantauan risiko

Identifikasi Resiko

Manajemen harus berusaha keras untuk mengidentifikasi semua kemungkinan risiko

yang dapat berdampak pada keberhasilan perusahaan, baik dari risiko yang lebih besar atau
lebih signifikan hingga keseluruhan bisnis hingga risiko yang lebih kecil terkait dengan proyek
individual atau unit bisnis yang lebih kecil.

Cara yang baik untuk memulai proses identifikasi risiko adalah memulai dengan bagan
perusahaan tingkat tinggi yang mencantumkan unit-unit operasi dan tingkat perusahaan. Jenis
latihan ini dapat memberikan hasil yang menarik dan mengganggu. Misalnya, seorang manajer
senior tingkat korporat mungkin mengetahui beberapa risiko pertanggungjawaban produk,
tetapi supervisor garis depan di unit operasi mungkin melihat risiko yang sama dari perspektif
yang sama sekali berbeda.
 Agar efektif proses identifikasi risiko membutuhkan lebih dari sekadar mengirimkan
email ke semua unit operasi dengan permintaan kepada penerima untuk membuat daftar risiko
utama mereka. Permintaan itu akan menghasilkan berbagai jawaban yang tidak konsisten tanpa
strategi umum. Pendekatan yang lebih baik adalah mengidentifikasi orang-orang di semua
tingkat perusahaan yang akan diminta untuk berperan sebagai penilai risiko. Tujuan mereka
adalah untuk mengidentifikasi dan kemudian membantu menilai risiko di unit mereka yang
dibangun di sekitar kerangka kerja model identifikasi risiko. Ini adalah jenis inisiatif yang dapat
dipimpin oleh CEO dan grup manajemen risiko perusahaan, jika ada, atau fungsi seperti audit
internal.

Jenis Resiko Perusahan

Risiko Strategis Seluruh Perusahaan

Faktor Eksternal Resiko Faktor Internal Resiko
- Resiko Industri - Risiko Reputasi
- Risiko Ekonomi - Risiko Fokus
- Risiko Kompetitor Strategis
- Risiko Perubahan - Risiko Dukungan
Hukum dan Perusahaan Induk
Peraturan - Risiko Perlindungan
- Risiko Kebutuhan Paten/Merek Dagang
dan Keinginan
Pelanggan
Resiko Operasi
Resiko Proses Resiko Kepatuhan Resiko SDM
- Risiko Rantai Pasokan - Risiko Lingkungan - Risiko Sumber Daya
- Risiko Kepuasan - Risiko Regulasi Manusia
Pelanggan - Risiko Kebijakan dan - Risiko Penipuan atau
- Risiko Waktu Siklus Prosedur Penyelewengan
- Risiko Eksekusi Proses - Risiko Litigasi Karyawan
- Risiko Turnover
Karyawan
- Risiko Insentif Kinerja
- Risiko Pelatihan
Resiko Keuangan
Resiko Perbendaharaan Resiko Kredit Resiko Perdagangan
- Risiko Standar - Risiko Harga - Risiko Akses Informasi
Akuntansi - Risiko Pengukuran - Risiko Kelangsungan
- Risiko Penganggaran Kinerja Bisnis
- Risiko Pelaporan - Risiko Keselamatan - Risiko Ketersediaan
Keuangan Karyawan - Risiko Keusangan
- Risiko Perpajakan Sistem TI
- Risiko Pelaporan - Risiko Infrastruktur
Regulasi
Menilai Resiko Inti

Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah selanjutnya adalah

menilai kemungkinan dan signifikansi relatifnya. Berbagai pendekatan dapat digunakan, mulai
dari pendekatan kualitatif perkiraan terbaik hingga beberapa analisis kuantitatif yang sangat
mendetail dan sangat matematis.

Pendekatan sederhana seringkali efektif di sini karena dengan mengambil daftar risiko
yang teridentifikasi dan menyebarkannya ke manajer kunci dengan kuesioner yang
menanyakan setiap risiko:

Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun berikutnya?
Dengan menggunakan rentang skor 1 hingga 9, tetapkan skor tebakan terbaik sebagai berikut:

- Skor 1 jika Anda melihat hampir tidak ada peluang terjadinya risiko tersebut selama
periode tersebut.
- Skor 9 jika Anda merasa peristiwa tersebut hampir pasti terjadi selama periode tersebut.
- Skor 2 hingga 8 tergantung di mana Anda merasa kemungkinannya berada dalam
kisaran ini.

Dengan menggunakan skala 1 sampai 9, penilaian bergantung pada signifikansi finansial dari
risiko tersebut. Risiko yang biayanya dapat menurunkan laba per saham mungkin sebesar 1 sen
mungkin memenuhi syarat untuk skor maksimum 9.

Hasil akan dimasukkan kedalam risk chart dan dilakukan plotting resiko mana yang
paling besar kemungkinannya akan muncul. Auditor bisa menggunakan Analisa kuantitatif
dengan menghitung probabilitas resiko dan mengurutkannya yang paling besar yang mungkin
terjadi.

Probalitias dan Ketidakpastian

Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus memikirkan perkiraan
kemungkinan dan kejadian risiko individu dalam hal probabilitas dua digit mulai dari 0,01
hingga 0,99. Aturan dasar probabilitas adalah kita tidak dapat menjumlahkan estimasi
probabilitas independen untuk menghasilkan estimasi gabungan. Jika probabilitas terjadinya
risiko A adalah 60% dan probabilitas terjadinya risiko B yang terpisah tetapi terkait juga 60%,
kita tidak dapat secara akurat mengatakan bahwa probabilitas terjadinya keduanya adalah 0,60
+ 0,60 = 1,20. 120% ini tidak masuk akal. Sebaliknya, probabilitas gabungan dari dua kejadian
independen adalah produk dari dua probabilitas terpisah dengan menggunakan rumus:

Pr(𝐸𝑣𝑒𝑛𝑡1) 𝑥𝑃𝑟(𝐸𝑣𝑒𝑛𝑡2) = Pr⁡(𝐵𝑜𝑡ℎ⁡𝐸𝑣𝑒𝑛𝑡𝑠)

Interdependensi Risiko

Risiko seringkali sangat saling bergantung dalam suatu perusahaan. Setiap unit operasi
bertanggung jawab untuk mengelola risikonya sendiri tetapi dapat dikenakan konsekuensi dari
peristiwa risiko pada unit di atas atau di bawah struktur organisasi.