NPM : 200425703
CHAPTER 7
Untuk mendukung pemahaman tentang pengendalian internal COSO dan SOx, auditor
internal perlu pemahaman yang baik tentang manajemen risiko di tingkat perusahaan dan
bagaimana pengaruhnya terhadap keterampilan mereka untuk membangun dan
mengembangkan proses pengendalian internal yang efektif. Kerangka kontrol internal COSO
yang direvisi menjelaskan bagaimana standar audit eksternal AS5 telah memperkenalkan
pertimbangan berbasis risiko ke dalam proses.
1. Identifikasi risiko
2. Penilaian kuantitatif atau kualitatif dari risiko yang terdokumentasi,
3. Prioritas risiko dan perencanaan respons
4. Pemantauan risiko
Identifikasi Resiko
Cara yang baik untuk memulai proses identifikasi risiko adalah memulai dengan bagan
perusahaan tingkat tinggi yang mencantumkan unit-unit operasi dan tingkat perusahaan. Jenis
latihan ini dapat memberikan hasil yang menarik dan mengganggu. Misalnya, seorang manajer
senior tingkat korporat mungkin mengetahui beberapa risiko pertanggungjawaban produk,
tetapi supervisor garis depan di unit operasi mungkin melihat risiko yang sama dari perspektif
yang sama sekali berbeda.
Agar efektif proses identifikasi risiko membutuhkan lebih dari sekadar mengirimkan
email ke semua unit operasi dengan permintaan kepada penerima untuk membuat daftar risiko
utama mereka. Permintaan itu akan menghasilkan berbagai jawaban yang tidak konsisten tanpa
strategi umum. Pendekatan yang lebih baik adalah mengidentifikasi orang-orang di semua
tingkat perusahaan yang akan diminta untuk berperan sebagai penilai risiko. Tujuan mereka
adalah untuk mengidentifikasi dan kemudian membantu menilai risiko di unit mereka yang
dibangun di sekitar kerangka kerja model identifikasi risiko. Ini adalah jenis inisiatif yang dapat
dipimpin oleh CEO dan grup manajemen risiko perusahaan, jika ada, atau fungsi seperti audit
internal.
Pendekatan sederhana seringkali efektif di sini karena dengan mengambil daftar risiko
yang teridentifikasi dan menyebarkannya ke manajer kunci dengan kuesioner yang
menanyakan setiap risiko:
Bagaimana kemungkinan risiko ini terjadi selama periode satu tahun berikutnya?
Dengan menggunakan rentang skor 1 hingga 9, tetapkan skor tebakan terbaik sebagai berikut:
- Skor 1 jika Anda melihat hampir tidak ada peluang terjadinya risiko tersebut selama
periode tersebut.
- Skor 9 jika Anda merasa peristiwa tersebut hampir pasti terjadi selama periode tersebut.
- Skor 2 hingga 8 tergantung di mana Anda merasa kemungkinannya berada dalam
kisaran ini.
Dengan menggunakan skala 1 sampai 9, penilaian bergantung pada signifikansi finansial dari
risiko tersebut. Risiko yang biayanya dapat menurunkan laba per saham mungkin sebesar 1 sen
mungkin memenuhi syarat untuk skor maksimum 9.
Hasil akan dimasukkan kedalam risk chart dan dilakukan plotting resiko mana yang
paling besar kemungkinannya akan muncul. Auditor bisa menggunakan Analisa kuantitatif
dengan menghitung probabilitas resiko dan mengurutkannya yang paling besar yang mungkin
terjadi.
Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus memikirkan perkiraan
kemungkinan dan kejadian risiko individu dalam hal probabilitas dua digit mulai dari 0,01
hingga 0,99. Aturan dasar probabilitas adalah kita tidak dapat menjumlahkan estimasi
probabilitas independen untuk menghasilkan estimasi gabungan. Jika probabilitas terjadinya
risiko A adalah 60% dan probabilitas terjadinya risiko B yang terpisah tetapi terkait juga 60%,
kita tidak dapat secara akurat mengatakan bahwa probabilitas terjadinya keduanya adalah 0,60
+ 0,60 = 1,20. 120% ini tidak masuk akal. Sebaliknya, probabilitas gabungan dari dua kejadian
independen adalah produk dari dua probabilitas terpisah dengan menggunakan rumus:
Interdependensi Risiko
Risiko seringkali sangat saling bergantung dalam suatu perusahaan. Setiap unit operasi
bertanggung jawab untuk mengelola risikonya sendiri tetapi dapat dikenakan konsekuensi dari
peristiwa risiko pada unit di atas atau di bawah struktur organisasi.