RISK MANAGEMENT

Sebagaimana ditetepkan dalam IIA, audit internal merupakan kegiatan assurance dan
konsultasi yang independent dan objektif yang dirancang untuk memeberikan nilai tambah dan
meningkatkan kegiatan operasi organisasi. IIA mengatur aktivitas pengelolaan risiko atau manajemen
risiko dalam standar kinerja 2600 tentang pengomunikasian resiko yang diterima oleh manajemen.
A. RISIKO
Bagi auditor internal, istilah risiko digunakan dalam proses audit dan proses manajemen risiko.
Dalam proses audit, risiko yang dimaksud adalah kemungkinan terjadinya salah saji material yang
tidak dapat dideteksi oleh prosedur audit yang telah dilakukan auditor pada sersi di Tingkat saldo
rekening maupun transaksi.
Untuk mencapai tujuan organisasi, manajemen perlu mengendalikan kejadian dan mencapai
kesempatan. Oleh karena itu, manajemen bertanggung jawab untuk mengidentifikasi dan menilai
risiko. Stakeholder merupakan investor dan bagian lain yang terkait, sangat berkepentingan untuk
memperhatikan untuk mementingkan untuk memastikan bahwa kerangka manajemen risiko
beroperasi secara efektif.
Risiko dapat dikategorikan menjadi beberapa sudut pandang yaitu :
➢ Risiko dari sudut pandang sumbernya dibedakan menjadi, risiko internal seperti
risikokeamanan, reputasi, dan mnajemen. Risiko internal, seperti risiko karena adanya
perubahanpolitik, kondisi ekonomi dan bencana alam.
➢ Risiko dari sudut pandang penyebab adalah risiko keuangan, yaitu risiko yang
muncul darifaktor-faktor keuangan seperti risiko kredit, standar akuntasi,anggarean,
pelaporankeuangan, dan pajak. Risio operasional, yaitu risiko yang muncul dari faktor-faktor
nonkeuangan seperti risiko proses operasi, sistem dan prosedur, teknologi dan alam.
➢ Risiko dari sudut pandang akibat yang ditimbulkan diantaranya adalah risik murni
yaitu risikoyang hanya menimbulkan kerugian seperti risiko kebakaran. Risiko spekulatif,
yaitu risikoyang tidak hanya memungkinkan adanya kerugian tetapi juga keuntungan seperti
risikoinvestasi.
➢ Risiko dari sudut pandang jenisnya, risiko mencakup risiko politik, risiko hukum,
risikokesehatan, risiko teknologi, risiko keuangan, risiko sumber daya manusia , dan risiko
lainnya.

B. MANAJEMEN RISIKO
I. Dasar – Dasar Manajemen Risiko
Manajemen risiko meliputi proses mengidentifikasi risiko, mengukur risiko, serta
menyusun strategi untuk mengelolanya melalui sumber daya yang tersedia. Identifikasi
risiko menghasilkan daftar risiko yang berpotensi atau telah terjadi. Empat langkah proses
manajemen risiko tersebutharus diimplementasikan pada semua tingkatan organisasi
perusahaan dan dengan partisipasimanjemen dan karyawan pada tiap tingkatan tersebut.
Dengan kata lain, proses manajemen risikodilakukan pada tingkatan tersebut.

a) Identifikasi risiko
Manajemen harus mengidentifikasi semua risiko yang mungkin memengaruhi
keberhasilan organisasi, mulai dari risiko yang berdampak signifikan. Proses
identifikasi risiko harus dilakukandengan hati-hati dan mendalam untuk
mengidentifikasi potensi risiko yang ada di area operasi dalam suatu rentang waktu.
Berikut ini contoh risiko yang mungkin terjadi pada perusahaan level koporasi :
 ➔ Risiko faktor internal, meliputi reputasi, strategi dan hak cipta.
➔ Risiko faktor eksrternal, meliputi industri, kondisi ekonomi dan pesaing.
➔ Risiko proses, meliputi pasokan persediaan, kepuasan pelanggan, dan siklus waktu
produksi.
➔ Risiko kepatuhan, meliputi risiko lingkungan, perubahan aturan perundang-
undangan, dan perubahan kebijakan dan prosedur operasi.
➔ Risiko SDM, meliputi risiko sumber daya manusia, perputaran tenaga kerja dan
pelatihan.
➔ Risiko perbendaharaan, meliputi risiko tingkat suku bunga, nilai kurs, dan
ketersediaan modal.
➔ Risiko kredit meliputi risiko kapasitas, jaminan dan pembayaran kredit.
➔ Risiko perdagangan meliputi risiko harga komoditas dan waktu perdagangan.
➔ Risiko keuangan, meliputi risiko standar akuntansi, anggaran pelaporan keuangan,
pajakdan aturan pelaporan.
➔ Risiko teknologi, meliputi risiko akses informasi dan ketersediaan infrastruktur.
b) Penilaian risiko
Penilaian risiko dilakukan untuk memetakan risiko berdasarkan kemungkinan
keterjadiannya dan dampaknya yang ditimbulkan bila risiko tersebut terjadi.
c) Prioritas risiko dan perencanaan respons
Penilaian risiko menghasilkan nilai status risiko yang menunjukan probabilitas
keterjadian risikodan dampak yang muncul bila risiko tersebut terjadi. Manajemen
perlu menggunakan hasil penilaian risiko untuk menentukan prioritas risiko yang
harus direspon dan strategi yang digunakan untuk merespon risiko tersebut.
Untuk memetakan prioritas risiko, perlu ditentukan terlebih dahulu kriteria
penerimaan risiko. Kriteria penerimaan risiko harus disesuaikan dan didasarkan pada
kecenderungan atau selera risiko (risk appetite) manajemen penanggung jawab risiko.
d) Pemantauan risiko
Lingkungan eksternal dan internal perusahaan yang terus berubah menyebabkan
perubahan risiko yang mungkin dihadapi, baik jumlah, probabilitas maupun
dampaknya. Oleh karena itu, organisasi perlu melakukan pemantauan dan peninjauan
atas risiko-risiko yang telah diidentifikasi, risiko baru yang mungkin muncul,
probabilitas tiap-tiap risiko dan dampak yang ditimbulkannya. Selain itu organisasi
juga perlu keberadaan dan kecukupan pengendalian yang dibutuhkan untuk merespon
tiap-tiap risiko yang ada.
Pemantauan risiko dapat dilakukan secara periodik sesuai dengan kondisi
internal dan eksternal organisasi. Untuk organisasi yang lingkungannya cenderung
statis maka [pemantauan risiko dapat dilakukan tiap tahun atau beberapa tahun.
Namun, untuk organisasi yang lingkungannya dinamis maka pemantauan perlu
dilakukan dalam periode yang lebih pendek, misalnya semesteran atau triwulanan,
bahkan untuk organisasi yang lingkungannya sangat dinamis tidak tertutup dilakukan
pemantauan secara real time.

II. Australia/New Zealand AS/NZS ISO 31000:2009 Risk Manajement

Terdapat banyak standar manajemen risiko yang dipakai didunia, seperti Canadian
RiskManajement (CRM), Australia/Newe Zealand AS/NSZ ISO 31000:2009, COSO
Enterprise Risk Management, dan standar yang disusun oleh lembaga lainnya. Dari
berbagai standar yang telah dikeluarkan oleh berbagai lambaga dan negara tersebut,
Standar Australia/New Zealand AS/NZS ISO31000:2009, dan COSO Enterprise Risk
Management yang banyak diterima secara umum.
 Proses Manajemen Risiko dalam AS/NZS ISO 31000:2009, manajemen risiko terdiri
dari tujuh proses utama. Pada dasarnya proses manajeman risiko pada AS/NZS ISO
31000:2009 memiliki beberapa kesamaan dengan proses yang telah dijelaskan dalam
dasar-dasar manajemen risiko , tetapi AS/NZSISO 31000:2009 memiliki tiga proses yang
tidak ada dalam manajemen risiko yaitu proseskomunikasi dan konsultasi, penyusunan
konteks serta pemantauan dan peninjauan.

organisasi perlu melakukan pemantauan dan peninjauan atas risiko-risiko yang telah
diidentifikasi,risiko baru yang mungkin muncul, probabilitas tiap-tiap risiko dan dampak
yang ditimbulkannya.Selain itu organisasi juga perlu keberadaan dan kecukupan
pengendalian yang dibutuhkan untukmerespon tiap-tiap risiko yang ada.Pemantauan
risiko daqpat dialakukan secara periodik sesuai dengan kondisi internal daneksternal
organisasi. Untuk organisasi yang lingkungannya cenderung statis maka
[pemantauanrisiko dapat dilakukan tiap tahun atau beberapa tahun. Namun, untuk
organisasi yang lingkungannyadinamis maka pemantauan perlu dilakukan dalam periode
yang lebih pendek, misalnya semesteranatau triwulanan, bahkan untuk organisasi yang
lingkungannya sangat dinamis tidak tertutupdilakukan pemantauan secara
real time
.4.3.2 Australia/New Zealand AS/NZS ISO 31000:2009
Risk Manajement
Terdapat banyak standar manajemen risiko yang dipakai didunia, seperti Canadian
RiskManajement (CRM), Australia/Newe Zealand AS/NSZ ISO 31000:2009, COSO
Enterprise RiskManajement, dan standar yang disusun oleh lembaga lainnya. Dari
berbagai standar yang telahdikeluarkan oleh berbagai lambaga dan negara tersebut,
Standar Australia/New Zealand AS/NZS ISO31000:2009, dan COSO Enterprise Risk
Manajement yang banyak diterima secara umum.Proses Manajemen Risiko dalam
AS/NZS ISO 31000:2009, manajemen risiko terdiri dari tujuh prosesutama. Pada dasarnya
proses manajeman risiko pada AS/NZS ISO 31000:2009 memiliki beberapakesamaan
dengan proses yang telah dijelaskan dalam dasar sdasar manajemen risiko , tetapi
AS/NZSISO 31000:2009 memiliki tiga proses yang tidak ada dalam manajemen risiko
yaitu proseskomunikasi dan konsultasi, penyusunan konteks serta pemantauan dan
peninjauan.
a) Konsultasi dan komunikasi, proses manajemen risiko membutuhkan konsultasi dan
komunikasidengan pemegang saham internal secara tepat pada setiap tingkatan
maupun keseluruhanproses manajemen risiko.
b) Menyusun konteks, sebelum melakukan penilaian risiko, manajemen menyusun
konteksmanajemen risiko, baik internal maupun eksternal saat proses berlangsung.
Kriteria evaluasirisiko harus disusun dan strukturanalisis harus didefinisikan.
c) Mengidentifikasi risiko, dalam proses identifikasi risiko, manajemen
mengidentifikasi dimana,kapan, bagaimana, mengapa kejadian risiko dapat dicegah
dan menurunkan kecurangan sertamenigkatkan kemungkinan mencapat tujuan.
d) Menganalisis risiko, daftar risiko yang diperoleh dari proses identifikasi dianalisis
denganmengidentifikasi dan mengevaluasi pengendalian yang sedang berlangsung
dan memperkirakankemungkinan keterjadian risiko dan akibat yang mungkin timbul
dari risiko tersebut.
e) Mengevaluasi rasio, perkiraan tingkat rasio yang telah diperoleh dari proses analisis
risikodibandingkan dengan kriteria yang telah diterapkan dan mempertimbangkan
selisih antarakemungkinan hasil menguntungkan atau merugikan.
 f) Menyatakan risiko, mengembangkan dan mengimplementasikan strategi biaya yang
efektif danmenjalankan perencanaan untuk meningkatkan laba potensial dan
mengurangi biaya potensial.
g) Memantau dan meninjau, manajemen perlu memonitor efektivitas setiap langkah
dalam prosesmanajeman risiko.

III. Manajemen Risiko : COSO ERM

COSO Enterprise Risk Manajement (COSO ERM) adalah kerangka kerja yang
membantu organisasi dalam mendeskripsikan dan mendefinisikan risiko. COSO ERM
menjadi alat penting untuk memahami dan meningkatkan pengendalian internal yang
dibutuhkan oleh organisasi. Menurut COSO ERM, manajemen risiko perusahaan adalah
proses yang dijalankan oleh dewan direksi, manajemen dan personel lainnya,
diimplementasikan dalam penentuan strategi untuk segenap organisasi perusahaan,
dirancang untu mengidentifikasi kejadian potensial yang dapat memberikan dampak yang
negatif agi perusahaan dan mengelola risiko berdasarkan selera risiko untuk menjamin
tercapainya tujuan perusahaan, definisi ini berisi hal-hal berikut :
a) ERM adalah sebuah proses.
b) Proses ERM dilaksanakan oleh orang orang perusahaan.
c) ERM diimplementasikan dalam strategi yang ditetapkan bagi seluruh organisasi
perusahaan.
d) Selera atu kecenderungan manajemen dalam merespons risiko harus
dipertimbangkan.
e) ERM memberikan jaminan yang masuk akal dalam mencapai tujuan.
f) ERM dirancang untuk membantu perusahaan mencapai tujuan.
Tujuan manajemen risiko dalam COSO ERM adalah untuk menjamin
diimplementasikannya strategi yang telah ditetapkan, menjamin efektivitas dan efisiensi
operasi, menjamin keandalan laporan keuangan, dan menjamin dipatuhinya setiap
prosedur dan aturan yang berlaku. Untuk mencapai tujuan tersebut, COSO ERM
merumuskan delapan komponen manajemen risiko yang diimplementasikan pada setiap
level organisasi perusahaan.
a) Lingkungan Internal, komponen lingkungan internal ERM COSO terdiri dari unsur :
➔ Filosofi manajemen risiko.
➔ Selera risiko manajemen terhadap risiko.
➔ Sikap dewan direksi.
➔ Integritas dan nilai-nilai etika.
➔ Komitmen terhadap konmpetensi.
➔ Struktur organisasi.
➔ Penugasan wewenang dan tanggung jawab.
➔ Standar sumber daya manusia.
b) Manetapkan Tujuan, perusahaan harus menetapkan tujuan dan sasaran strategis
yangsesuai dengan visi dan misinya.
c) Identifikasi risiko, dalam usaha mencapai tujuan, perusahaan mungkin menghadapi
kejadianyang dapat memengaruhi implementasi strategi dan mencapat tujuan, yang
disebut risiko,maka dari itu dilakukan identifikasi risiko.
d) Penilaian risiko, memberikan informasi yang memungkinkan perusahaan
untukmempertimbangkan efek risiko potensial yang telah diidentifikasi terhadap
prestasiperusahaan dalam pencapaian tujuannya.
e) Respon risiko, setelah mengidentifikasi dan menilai risiko, perusahaan menyusun
danmenjalankan respon atau risiko, perusahaan menyusun dan menjalankan respon
atas risikoyang signifikan.
f) Kegiatan pengendalian, adalah kebijakan dan prosedur yang diperlukan untuk
memastikantindakan terhadap risiko yang teridentifikasi.
g) Informasi dan komunikasi delapan komponen manajemen risiko yang tergambar
dalamkubus COSO ERM merupakan rangkaian proses yang berhubungan. Oleh
karena itudiperlukan jalur informasi dan komunikasi yang dapat menghubungkan tiap
rangkaianproses tersebut.
h) Pemantauan, lingkungan eksternal dan internal yang mengalami perubahan
dapatmemengaruhi dan mengubah risiko-risiko potensial yang dihadapi perusahaan.