PENGAUDITAN INTERNAL
KELOMPOK 7 :
DEPARTEMEN AKUNTANSI
UNIVERSITAS HASANUDDIN
2023
MANAJEMEN RESIKO COSO ERM
Risiko menurut COSO ERM 2004 adalah "kemungkinan terjadinya sebuah peristiwa yang
dapat mempengaruhi pencapaian tujuan organisasi". Adapun manajemen risiko didefinisikan
sebagai:
a process, effected by an entity’s board of directors, management and other personnel,
applied in strategy setting and across the enterprise, designed to identify potential events that
may affect the entity, and manage risk to be within its risk appetite, to provide reasonable
assurance regarding the achievement of entity objectives
Konsep fundamental manajemen risiko yang dibangun oleh COSO sesuai dengan definisi
tersebut adalah bahwa manajemen risiko organisasi merupakan:
suatu proses yang berjalan dan mengalir dalam suatu organisasi;
dipengaruhi oleh individu pada semua level manajerial;
dapat digunakan untuk kepentingan formulasi strategi;
dapat diterapkan pada seluruh level dan unit organisasi termasuk penentuan portofolio
risiko;
dirancang untuk mengidentifikasi peristiwa potensial yang mempengaruhi organisasi
dan mengelola risiko selaras dengan selera risiko organisasi;
mampu memberikan jaminan memadai bagi manajemen dan dewan pengawas (board
of directors);
diarahkan untuk mewujudkan satu atau beberapa kategori tujuan tertentu meskipun
saling tumpang tindih.
COSO ERM digambarkan dalam bentuk kubus tiga dimensi. Sisi atas merupakan tujuan
organisasi, sisi muka merupakan komponen ERM untuk mencapai tujuan tersebut dan sisi
samping menunjukkan lingkup penerapan ERM di dalam organisasi. Tujuan suatu organisasi
menurut COSO ERM dapat dikelompokkan menjadi empat kategori yaitu:
Strategis: terkait dengan tujuan level atas yang mendukung dan selaras dengan misi
organisasi.
Operasional: terkait dengan efektivitas dan efisiensi dari penggunaan sumber daya.
Pelaporan: terkait dengan keandalan dari pelaporan organisasi.
Kepatuhan: terkait dengan kepatuhan terhadap hukum dan regulasi yang berlaku.
Pengelompokan tujuan tersebut memungkinkan organisasi untuk merancang fokus
manajemen risiko pada aspek-aspek tertentu.
Selanjutnya COSO ERM menjabarkan delapan komponen manajemen risiko yang saling
terkait dan diperlukan organisasi untuk mencapai tujuan baik berupa tujuan strategis,
operasional, pelaporan maupun kepatuhan. Kedelapan komponen ini diturunkan dari
bagaimana manajemen menjalankan organisasi dan diintegrasikan dengan proses manajemen.
Komponen-komponen tersebut adalah:
Lingkungan internal (internal environment): menentukan warna dari suatu organisasi
dan memberi dasar bagi cara pandang tiap orang dalam organisasi tersebut terhadap
risiko. Unsurnya mencakup filosofi manajemen risiko dan selera risiko, nilai-nilai
etika dan integritas, dan lingkungan tempat berjalannya semua itu.
Penentuan tujuan (objective setting): tujuan organisasi harus ada terlebih dahulu
sebelum manajemen dapat mengidentifikasi peristiwa yang berpotensi mempengaruhi
pencapaian tujuan tersebut. ERM memastikan bahwa manajemen menetapkan tujuan
dan tujuan tersebut mendukung dan selaras dengan misi organisasi dan konsisten
dengan selera risikonya.
Identifikasi peristiwa (event identification): peristiwa internal dan eksternal yang
mempengaruhi pencapaian tujuan organisasi harus diidentifikasi dan dibedakan antara
yang berupa risiko dan peluang.
Penilaian risiko (risk assessment): risiko dianalisis dengan mempertimbangkan
kemungkinan (likelihood) dan dampaknya (impact) sebagai dasar untuk menentukan
bagaimana cara mengelolanya.
Respon risiko (risk response): manajemen memilih respon risiko (menghindar,
menerima, mengurangi, mengalihkan) dan merancang aksi yang dapat menyesuaikan
risiko dengan selera dan toleransi risiko organisasi.
Kegiatan pengendalian (control activities): kebijakan dan prosedur ditetapkan dan
diterapkan untuk membantu memastikan respon risiko berjalan dengan efektif.
Informasi dan komunikasi (information and communication): informasi yang relevan
diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang
memungkinkan setiap orang menjalankan tanggung jawabnya. Komunikasi yang
efektif juga terjadi secara lebih luas, mengalir secara vertikal (ke atas dan ke bawah)
serta horizontal.
Pemantauan (monitoring): seluruh proses manajemen risiko dipantau dan dimodifikasi
apabila dirasa perlu. Pemantauan dilakukan melalui aktivitas manajemen yang
melekat/berjalan terus-menerus (ongoing), melalui evaluasi secara khusus/terpisah
(separate evaluation), atau dengan keduanya.
COSO ERM juga mendeskripsikan peran dan tanggung jawab para pihak dalam suatu
organisasi terkait penerapan manajemen risiko. Prinsip dasarnya adalah seluruh bagian
organisasi bertanggung jawab terhadap ERM. Artinya, penerapan manajemen risiko harus
mencakup seluruh level mulai dari entitas, divisi, unit bisnis, hingga cabang, dan mencakup
seluruh sumber daya manusia di dalamnya. Adapun pembagian peran dan tanggung jawab
masing-masing pihak adalah sebagai berikut:
Board of directors bertanggung jawab dalam melakukan supervisi/pemantauan
terhadap keseluruhan penerapan manajemen risiko.
Chief executive officer merupakan pemilik dan penanggung jawab utama keseluruhan
manajemen risiko organisasi.
Manajer lainnya bertanggung jawab dalam mendukung filosofi manajemen risiko
organisasi, memastikan kepatuhan terhadap selera risiko, dan mengelola risiko sesuai
kewenangannya agar konsisten dengan toleransi risiko.
Risk officer, financial officer, dan audit internal memiliki peran kunci dalam
mendukung efektivitas penerapan manajemen risiko organisasi.
Personil organisasi lainnya bertanggung jawab dalam menerapkan manajemen risiko
organisasi sejalan dengan prosedur dan kebijakan yang ditetapkan.
Pihak eksternal (seperti pelanggan, vendor, partner, auditor eksternal, regulator, analis
keuangan) tidak bertanggung jawab atas efektivitas manajemen risiko organisasi,
namun berperan penting dalam menyediakan informasi yang dapat mendukung
efektivitas manajemen risiko.