RANGKUMAN MATA KULIAH

PENGAUDITAN INTERNAL

“Manajemen Risiko: COSO ERM”

KELOMPOK 7 :

FEBRYANTHI SETIA NINGSI (A031201061)

DIAN PRATIWI TANGKE (A031201063)

DEPARTEMEN AKUNTANSI

FAKULTAS EKONOMI & BISNIS

UNIVERSITAS HASANUDDIN

2023
MANAJEMEN RESIKO COSO ERM
Risiko menurut COSO ERM 2004 adalah "kemungkinan terjadinya sebuah peristiwa yang
dapat mempengaruhi pencapaian tujuan organisasi". Adapun manajemen risiko didefinisikan
sebagai:
a process, effected by an entity’s board of directors, management and other personnel,
applied in strategy setting and across the enterprise, designed to identify potential events that
may affect the entity, and manage risk to be within its risk appetite, to provide reasonable
assurance regarding the achievement of entity objectives
Konsep fundamental manajemen risiko yang dibangun oleh COSO sesuai dengan definisi
tersebut adalah bahwa manajemen risiko organisasi merupakan:
 suatu proses yang berjalan dan mengalir dalam suatu organisasi; 
 dipengaruhi oleh individu pada semua level manajerial; 
 dapat digunakan untuk kepentingan formulasi strategi; 
 dapat diterapkan pada seluruh level dan unit organisasi termasuk penentuan portofolio
risiko; 
 dirancang untuk mengidentifikasi peristiwa potensial yang mempengaruhi organisasi
dan mengelola risiko selaras dengan selera risiko organisasi; 
 mampu memberikan jaminan memadai bagi manajemen dan dewan pengawas (board
of directors); 
 diarahkan untuk mewujudkan satu atau beberapa kategori tujuan tertentu meskipun
saling tumpang tindih.
COSO ERM digambarkan dalam bentuk kubus tiga dimensi. Sisi atas merupakan tujuan
organisasi, sisi muka merupakan komponen ERM untuk mencapai tujuan tersebut dan sisi
samping menunjukkan lingkup penerapan ERM di dalam organisasi. Tujuan suatu organisasi
menurut COSO ERM dapat dikelompokkan menjadi empat kategori yaitu:
 Strategis: terkait dengan tujuan level atas yang mendukung dan selaras dengan misi
organisasi. 
 Operasional: terkait dengan efektivitas dan efisiensi dari penggunaan sumber daya. 
 Pelaporan: terkait dengan keandalan dari pelaporan organisasi. 
 Kepatuhan: terkait dengan kepatuhan terhadap hukum dan regulasi yang berlaku. 
Pengelompokan tujuan tersebut memungkinkan organisasi untuk merancang fokus
manajemen risiko pada aspek-aspek tertentu.
Selanjutnya COSO ERM menjabarkan delapan komponen manajemen risiko yang saling
terkait dan diperlukan organisasi untuk mencapai tujuan baik berupa tujuan strategis,
operasional, pelaporan maupun kepatuhan. Kedelapan komponen ini diturunkan dari
bagaimana manajemen menjalankan organisasi dan diintegrasikan dengan proses manajemen.
Komponen-komponen tersebut adalah:
 Lingkungan internal (internal environment): menentukan warna dari suatu organisasi
dan memberi dasar bagi cara pandang tiap orang dalam organisasi tersebut terhadap
risiko. Unsurnya mencakup filosofi manajemen risiko dan selera risiko, nilai-nilai
etika dan integritas, dan lingkungan tempat berjalannya semua itu. 
 Penentuan tujuan (objective setting): tujuan organisasi harus ada terlebih dahulu
sebelum manajemen dapat mengidentifikasi peristiwa yang berpotensi mempengaruhi
pencapaian tujuan tersebut. ERM memastikan bahwa manajemen menetapkan tujuan
dan tujuan tersebut mendukung dan selaras dengan misi organisasi dan konsisten
dengan selera risikonya.
 Identifikasi peristiwa (event identification): peristiwa internal dan eksternal yang
mempengaruhi pencapaian tujuan organisasi harus diidentifikasi dan dibedakan antara
yang berupa risiko dan peluang.
  Penilaian risiko (risk assessment): risiko dianalisis dengan mempertimbangkan
kemungkinan (likelihood) dan dampaknya (impact) sebagai dasar untuk menentukan
bagaimana cara mengelolanya.
 Respon risiko (risk response): manajemen memilih respon risiko (menghindar,
menerima, mengurangi, mengalihkan) dan merancang aksi yang dapat menyesuaikan
risiko dengan selera dan toleransi risiko organisasi.
 Kegiatan pengendalian (control activities): kebijakan dan prosedur ditetapkan dan
diterapkan untuk membantu memastikan respon risiko berjalan dengan efektif.
 Informasi dan komunikasi (information and communication): informasi yang relevan
diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang
memungkinkan setiap orang menjalankan tanggung jawabnya. Komunikasi yang
efektif juga terjadi secara lebih luas, mengalir secara vertikal (ke atas dan ke bawah)
serta horizontal.
 Pemantauan (monitoring): seluruh proses manajemen risiko dipantau dan dimodifikasi
apabila dirasa perlu. Pemantauan dilakukan melalui aktivitas manajemen yang
melekat/berjalan terus-menerus (ongoing), melalui evaluasi secara khusus/terpisah
(separate evaluation), atau dengan keduanya.
COSO ERM juga mendeskripsikan peran dan tanggung jawab para pihak dalam suatu
organisasi terkait penerapan manajemen risiko. Prinsip dasarnya adalah seluruh bagian
organisasi bertanggung jawab terhadap ERM. Artinya, penerapan manajemen risiko harus
mencakup seluruh level mulai dari entitas, divisi, unit bisnis, hingga cabang, dan mencakup
seluruh sumber daya manusia di dalamnya. Adapun pembagian peran dan tanggung jawab
masing-masing pihak adalah sebagai berikut: 
 Board of directors bertanggung jawab dalam melakukan supervisi/pemantauan
terhadap keseluruhan penerapan manajemen risiko.
 Chief executive officer merupakan pemilik dan penanggung jawab utama keseluruhan
manajemen risiko organisasi.
 Manajer lainnya bertanggung jawab dalam mendukung filosofi manajemen risiko
organisasi, memastikan kepatuhan terhadap selera risiko, dan mengelola risiko sesuai
kewenangannya agar konsisten dengan toleransi risiko.
 Risk officer, financial officer, dan audit internal memiliki peran kunci dalam
mendukung efektivitas penerapan manajemen risiko organisasi.
 Personil organisasi lainnya bertanggung jawab dalam menerapkan manajemen risiko
organisasi sejalan dengan prosedur dan kebijakan yang ditetapkan.
 Pihak eksternal (seperti pelanggan, vendor, partner, auditor eksternal, regulator, analis
keuangan) tidak bertanggung jawab atas efektivitas manajemen risiko organisasi,
namun berperan penting dalam menyediakan informasi yang dapat mendukung
efektivitas manajemen risiko.

KONSEP PERUBAHAN COSO ERM

COSO telah merilis exposure draft perubahan kerangka kerja manajemen risiko pada
pertengahan Juni 2016.  Menurut news release yang dikeluarkan COSO, perubahan kerangka
kerja dirancang untuk memenuhi kebutuhan semua organisasi di dalam memperbaiki
pendekatan pengelolaan terhadap risiko baru maupun yang sudah ada agar dapat membantu
menciptakan, memelihara, mempertahankan dan mewujudkan nilai bagi organisasi.
Perubahan yang paling mudah dilihat adalah perubahan nama kerangka kerja, yaitu menjadi
“Enterprise Risk Management - Aligning Risk with Strategy and Performance”. Perubahan
tersebut merefleksikan pentingnya kaitan antara strategi dan kinerja, menawarkan perspektif
konsep dan aplikasi manajemen risiko yang saat ini ada dan berkembang, serta memperbarui
definisi inti dari risiko dan manajemen risiko organisasi. Salah satu penyempurnaan yang
paling signifikan adalah pengenalan komponen dan prinsip-prinsip pendukung yang
mencerminkan evolusi pemikiran dan praktik manajemen risiko.
Penjelasan lebih rinci mengenai pokok-pokok usulan penyempurnaan tersebut di antaranya
adalah:
 Menekankan aspek strategi dan tujuan di dalam definisi risiko. Risiko didefinisikan
sebagai "kemungkinan peristiwa akan terjadi dan berpengaruh pada strategi dan
tujuan bisnis". Organisasi didorong untuk mempertimbangkan misi utamanya saat
memilih strategi risiko serta mempertimbangkan bagaimana pengaruh pendekatan
pengelolaan risiko terhadap profil risiko dan hambatan apa yang mungkin dihadapi
saat menjalankan pendekatan tersebut. 
 Menyederhanakan definisi ERM yaitu menjadi "budaya, kapabilitas, dan praktik yang
terintegrasi dengan penentuan dan eksekusi strategi, yang diandalkan oleh organisasi
untuk mengelola risiko dalam menciptakan, memelihara, dan mewujudkan nilai."
 Menghilangkan penjelasan eksplisit empat kategori tujuan organisasi yang hendak
dicapai melalui ERM yang sebelumnya ada pada kerangka 2004.
 Mengubah komponen ERM yang semula terdiri dari delapan menjadi lima komponen
yaitu: (1) tata kelola dan budaya risiko (risk governance and culture); (2) risiko,
strategi dan penentuan tujuan (risk, strategy, and objective-setting); (3) risiko dalam
pelaksanaan (risk in execution); (4) informasi, komunikasi, dan pelaporan risiko (risk
information, communication, and reporting); (5) pemantauan kinerja ERM
(monitoring ERM performance).
 Mendorong pengguna untuk memperlakukan ERM sebagai bagian dari proses
manajemen organisasi dan bukan sebagai aktivitas yang terpisah atau silo.
 Mengangkat pembahasan tentang strategi dengan fokus pada tiga konsep, yaitu
kemungkinan strategi dan tujuan tidak selaras dengan misi, visi, dan nilai-nilai;
implikasi dari strategi yang dipilih; dan risiko pelaksanaan strategi tersebut.
 Memperkuat keterkaitan antara kinerja dan ERM dengan fokus pada peran risiko
sebagai bagian integral dari penentuan tujuan organisasi.
 Mengkaji peran budaya yang mencakup nilai etika organisasi, perilaku yang
harapkan, dan pemahaman tentang risiko. Hubungan antara budaya dan konteks bisnis
mempengaruhi pemilihan dan pelaksanaan strategi.
 Menghubungkan secara lebih eksplisit antara ERM dengan pengambilan keputusan.
Keputusan mengenai berbagai hal seperti pemilihan strategi, penetapan tujuan dan
target kinerja, dan alokasi sumber daya akan memiliki informasi yang lebih kaya jika
informasi tentang risiko di-share.
 Memperjelas perbedaan antara selera risiko dan variasi yang dapat diterima dalam
kinerja atau sering disebut toleransi risiko. Selera risiko adalah jumlah risiko yang
siap diterima organisasi dalam mencapai strategi dan tujuan. Sementara toleransi
risiko bukan merupakan versi lebih rinci dari selera risiko melainkan penentuan
besaran risiko yang dapat diterima untuk tingkat kinerja tertentu. Risiko dan kinerja
tidak dianggap statis dan terpisah tapi selalu berubah dan mempengaruhi satu sama
lain.

KERANGKA COCO ERM

Kerangka COSO ERM adalah salah satu dari dua standar manajemen resiko yang diterima
secara luas yang digunakan organisasi untuk membantu mengelola resiko dalam lanskap
bisnis yang semakin fluktuatif dan tidak dapat diprediksi.  COSO, yang merupakan
kependekan dari Committee of Sponsoring Organizations of the Treadway Commission, pada
awalnya didirikan oleh lima asosiasi dan institut akuntansi utama di AS pada pertengahan
1980-an sebagai bagian dari National Commission on Fraudulent Financial Reporting.
Komite ini kemudian dikenal sebagai Komisi Treadway untuk menghormati ketua pertama
atau pendirinya, James C. Treadway, Jr. Misi awal COSO adalah mempelajari pelaporan
keuangan dan mengembangkan rekomendasi untuk pencegahan kecurangan (KPMG, 2013).
“Standar” utama COSO, Pengendalian Internal – Kerangka Kerja Terpadu, dirilis pada tahun
1992 dan menyediakan kerangka kerja yang komprehensif untuk membantu organisasi
menilai dan meningkatkan sistem pengendalian internal mereka. Hal tersebut kemudian
menjadi sangat populer; dalam jajak pendapat tahun 2006, disebutkan 82% responden
menyatakan bahwa mereka menggunakan standar tersebut untuk panduan aktivitas
pengendalian internal dan kepatuhan di organisasi mereka.
Pada tahun-tahun berikutnya setelah diluncurkan, organisasi segera mulai menyadari adanya
kesenjangan dalam kerangka pengendalian internal. Meskipun sangat membantu dalam
mengurangi resiko seputar perilaku kecurangan dan kepatuhan terhadap peraturan, tidak ada
cara untuk mengidentifikasi dan menilai resiko mana yang perlu dikendalikan oleh
organisasi. Pengakuan ini, ditambah tuntutan untuk tata kelola perusahaan yang lebih baik
dan standar manajemen resiko setelah Enron dan skandal serupa, mendorong COSO untuk
membuat Enterprise Risk Management/Manajemen Resiko Perusahaan – Kerangka
Terintegrasi pada tahun 2004.
Meskipun kerangka COSO 2004 mencakup pengaturan strategi dalam definisi ERM,
kenyataannya adalah bahwa Sarbanes-Oxley Act (sering disebut sebagai SOX) dan
persyaratannya bagi perusahaan publik untuk menguji dan mensertifikasi pengendalian
pelaporan keuangan merupakan faktor motivasi yang kuat dalam mengembangkan standar.
Dalam standar awal, ERM terdiri dari empat kategori – Strategis, Operasi, Pelaporan, dan
Kepatuhan – dua diantaranya terkait langsung dengan tata kelola perusahaan.
Seperti yang dijelaskan dalam ringkasan standar 2004 dari NC State ini, standar ERM hampir
seperti versi standar pengendalian internal yang diperluas yang melampaui laporan keuangan
untuk menyertakan laporan di seluruh perusahaan.
Meskipun standar asli memasukkan tujuan strategis sebagai kategori, alasan untuk
memasukkannya adalah untuk memastikan strategi organisasi “selaras dengan operasi,
pelaporan, dan aktivitas kepatuhan”.
Pada akhirnya, kerangka COSO ERM tahun 2004 lebih berfokus pada apa yang dapat diaudit
daripada mengidentifikasi ancaman dan peluang, di situlah letak nilai riil dalam ERM.
Standar tersebut cocok untuk organisasi di mana resiko didorong oleh audit (Curtis & Carey,
2012).
Dalam umpan baliknya, banyak praktisi menjelaskan bahwa kerangka COSO ERM yang asli
semata-mata berkaitan dengan pengendalian internal.
Untuk mengatasi hal ini dan masalah lainnya, COSO, dalam kemitraan dengan PwC, merilis
standar yang diperbarui pada tahun 2017 dengan judul Manajemen Resiko Perusahaan –
Berintegrasi dengan Strategi dan Kinerja (COSO, 2017).
Dalam ringkasannya, PwC membahas perbedaan yang signifikan antara standar 2004 dan
2017. Misalnya, strukturnya jauh berbeda. Apabila sebelumnya menggunakan kubus untuk
menggambarkan hubungan antara empat kategori dan delapan komponen dari proses
manajemen resiko, standar baru menggunakan diagram tipe pita yang sekarang menjalin lima
kategori di seluruh siklus hidup organisasi (lihat di bawah). Standar tersebut menjelaskan
bahwa tiga pita dalam diagram ada untuk mewakili proses umum yang “mengalir melalui
entitas” (Penetapan Strategi / Tujuan, Kinerja, dan Tinjauan / Revisi) sedangkan dua pita
lainnya mewakili mekanisme pendukung ERM (Tata Kelola / Kebudayaan, Informasi dan
Komunikasi, dan Pelaporan).
 REFERENSI
COSO (2004). Enterprise Risk Management - Integrated Framework.
COSO (2016). Enterprise Risk Management - Aligning Risk with Strategy and Performance.
Exposure Draft per Juni 2016.
COSO. (2017). Enterprise Risk Management. Integrating with strategy and performance. The
Committee of Sponsoring Organizations of the Treadway Commission, June, 16.
https://www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-
Performance-Executive-Summary.pdf
Curtis, P., & Carey, M. (2012). Thought Leadership in ERM: Risks Assessment in Practice.
Committee of Sponsoring Organizations of the Treadway Commission (COSO),
October, 1-19.
KPMG. (2013). COSO – Internal Control / Integrated Framework Executive Summary.