“Risk Management: COSO ERM”

KELOMPOK 2

Dina Handayani (1710536028)

Gina Alviyory Sabila (1710536056)
Indah Putri Hendari (1910536034)
Auditor Internal

Seorang Auditor internal perlu memiliki pemahaman

yang lebih baik tentang manajemen risiko dan
bagaimana hal itu memengaruhi keterampilan
mereka untuk membangun dan mengembangkan
kontrol internal yang efektif.
MANAGEMENT RESIKO

Manajemen risiko adalah konsep dimana individu

ataupun kelompok menggunakan suatu mekanisme
untuk menyediakan suatu perlindungan dari
timbulnya suatu resiko.
Mengapa manajemen risiko itu penting?

Karena sikap orang ketika menghadapi risiko

berbeda-beda. Ada orang yang berusaha untuk
menghindari risiko, namun ada juga yang sebaliknya
sangat senang menghadapi risiko sementara yang
lain mungkin tidak terpengaruh dengan adanya
risiko. Pemahaman atas sikap orang terhadap risiko
ini dapat membantu untuk mengerti betapa risiko itu
penting untuk ditangani dengan baik.
RISK MANAGEMENT FUNDAMENTAL
Untuk mengurangi bahaya dari suatu resiko, maka harus
ada jaminan untuk meminimalkan resiko atau paling
tidak resiko tersebut dihilangkan dari setiap aktifitas
organisasi.
Suatu proses manajemen risiko yang efektif memerlukan
4 langkah:
• Risk identification
• Quantitative or qualitative assessment of the
documented risks
• Risk prioritization and response planning
• Risk monitoring
Enterprise Risk
Management
DEFENISI ERM

“suatu proses yang berpengaruh pada sebuah entitas,

jajaran direksi, pihak manajemen, dan personel lain
yang diaplikasikan pada penetapan strategy
perusahaan, didisain untuk mengidentifikasi kejadian
yang potensial yang dapat berpengaruh pada
entitas, dan mengelola risiko yang dapat diterima,
dan memberikan jaminan keamanan yang beralasan
dalam rangaka mencapai tujuan perusahaan”
Pentingnya ERM
Prinsip yang melandasi

• Setiap entitas untuk memberikan suatu nilai bagi stakeholder

• Nilai ini sangat tergantung pada keputusan manajemen mulai dari

perumusan strategy sampai dengan kegiatan operasional setiap hari

ERM mendukung penciptaan nilai dengan memudahkan manajemen untuk :

• Menghadapi kejadian potensial yang menciptakan ketidakpastian

• Memberikan respon yang tepat untuk mengurangi risiko yang dapat

mempengaruhi hasil
Framework ERM
1. Framework ini mendefinisikan komponen penting, penyamaan
bahasa, dan memberikan arahan dan bimbingan yang jelas
bagi enterprise risk management.

2. Objektif bisa dilihat bisa dilihat dalam empat kategori

 Strategic
 Operations
 Reporting
 Compliance
ERM mempertimbangkan akivitas seluruh level
organisasi

– Enterprise-level
– Division atau subsidiary
– Proses Business Unit
• ERM memerlukan sebuah entitas melihat
portofolio dari risiko
• Management mempertimbangkan
bagaimana risiko individual saling
berkaitan

• Management mengmebangkan suatu

cara melihat portofolio dari dua
perspektif:
- Level Business Unit
- Level Entity
Adapun komponen-komponen COSO ERM Framework terdiri dari :
• 4 Kolom di bagian atas menunjukkan tujuan strategis resiko perusahaan
• 8 baris horizontal mengenai komponen-komponen resiko
• Di sisi kanan, terdapat 4 tingkatan yang ada di suatu perusahaan.
 Internal Environment
• Membuat philosophy sehubungan dengan risk
management. Baik untuk kejadian yang
diarapkan atau tidak diharapkan yang
mungkin terjadi

• Buat budaya risiko entitas

• Pertimbangkan selalu aspek bagaimana

tindakan organisasi yang mungkin berakibat
pada budaya risiko tersebut
 Objective Setting
• Digunakan ketika management
mempertimbangkan strategy risiko dalam
penetapan objektif

• Bentuk ‘risk appetite’ dari entity — helicopter

viw dari berapa besar risk management dan
BOD dapat menerima risiko

• Toleransi Risiko, tingkat penerimaan dalam

variasi risiko dari objektif yang sejalan dengan
‘risk appetite’
 Event Identification
• Pembedaan antara risiko dan peluang
• Kejadian yang dapat memberikan pengaruh negatif
yang menggambarkan risiko
• Kejadian yang dapat memberikan pengaruh positif
yang menggambarkan oportunity  kembali ke
penetapan stratgy
• Termasuk dalam mengidentifikasikan kejadian ini, baik
internal maupun eksternal yang dapat mempengaruhi
strategy dan pencapaian objektif
• Menentukan bagaimana faktor internal dan eksternal
bersatu dan berinteraksi mempengaruhi profile risiko
 Risk Assessment
• Memperkenankan entity untuk memahami sampai di mana
kejadian potensial yang dapat berpengaruh terhadap objektif
• Penilaian risiko dari dua perspektif
- Likelihood (kemungkinan terjadi)
- Impact (pengaruh)
• Adalah biasa menilai risiko dan hal normal pula dalam mengukur
risiko terkait dengan objektif
• Lakukan penilaian kualitatif dan kuantitatif dalam penilaian risiko
• Kaitkan jangka waktu dengan jangka waktu objktif
• Nilai risiko baik yang melekat (inherent) dan risiko residual
• Risiko yang melekat/inherent risk.
Faktor utama yang memengaruhi risiko inheren
perusahaan adalah ukuran anggaran, kekuatan
dan kecanggihan manajemen, dan sifat
kegiatannya. Risiko inheren berada di luar kendali
manajemen dan biasanya berasal dari faktor
eksternal.
• Risiko residu/residual risk.
Risiko residu Ini adalah risiko yang tetap ada
setelah respons manajemen terhadap ancaman
dan tindakan pencegahan risiko telah diterapkan.
Hampir selalu ada beberapa tingkat risiko
residual.
 Risk Response
• Identifikasi dan evaluasi kemungkinan respon
atas risiko

• Evaluasi pilihan terkait dengan risk appetite

entity, cost dan benefit dari respon risiko
potensial, dan tingkat di mana respon akan
menurunkan pengaruh atau kemungkinannya

• Pilih dan lakukan respon atas evaluasi dari

portofolio risiko dan respon
 IDENTIFIKASI RESPON RISIKO
• Kuantifikasi besarnya risiko

• Pilihan yang tersedia :

- Accept = monitor
- Avoid = hilangkan
- Reduce = lakukan kontrol
- Share = kerjasama dengan pihak lain
(sperti asuransi)

• Risiko Residual (risiko yang tdk bisa dimitigasi –

penyusutan)
 Control Activities
• Policy dan prosedur yang menjamin respon
terhadap risiko, seperti halnya arahan lain dari
entity

• Terjadi pada seluruh organisasi, pada selruh

level dan fungsi

• Termasuk aplikasi dan informasi umum kontrol

teknologi
Pemantauan risiko memerlukan empat
langkah ini:
• Kembangkan pemahaman yang kuat tentang
risiko yang signifikan dan buat prosedur kontrol
untuk memantau atau memperbaikinya.
• Buat prosedur pengujian tipe bor untuk
menentukan apakah prosedur pengendalian yang
terkait risiko itu bekerja secara efektif.
• Lakukan tes proses pemantauan risiko untuk
menentukan apakah mereka bekerja secara
efektif dan seperti yang diharapkan.
• Buat penyesuaian atau perbaikan yang diperlukan
untuk meningkatkan proses pemantauan risiko.
 Information & Communication
• Identifikasi manajemen, mendapatkan dan
mengkomunikasikan informasi yang
berhubungan dalam bentuk ddan jangka
waktu yang memungkinan yang
bertanggungjawab menjalanakan
kewajibannya.

• Komunikasi berlangsung dalam pengertian

luas, mengalir ke bawah, antar dan ke atas
oraganisasi
 Monitoring
Efektifitas dari komponen ERM yang lain
dimonitor melalui:

• Aktivitas monitoring terus-menerus

• Evaluasi terpisah

• Kombinasi dari keduanya

 Internal Control
Sistem kontrol internal yang
kuat sangat penting dalam
keefektifan ERM
 Internal Auditor
• Memegang peranan penting dalam memonitor
ERM, tapi tidak merupakan kewajiban utama
untuk implementasi dan pemeliharaannya
• Membantu manajemen dan BOD atau komite
audit pada proses :

- Monitoring - Evaluasi
- Pemeriksaan - Reporting
- Recomendasi perbaikan
 ENTERPRISE RISK OBJECTIVES

Tujuan risiko tingkat operasi sering dipandang sebagai kategori risiko paparan yang
jauh lebih luas dan lebih tinggi daripada yang lain :
1. Tujuan Operasi Risiko / Operations Risk Management Objectives
Jenis survei ini, diedarkan di semua tingkat perusahaan, dengan pesan yang
mendorong pemangku kepentingan untuk merespons secara jujur, sering kali
mengumpulkan informasi penting mengenai risiko potensial pada tingkat
operasional yang terperinci.
2. Tujuan Pelaporan Manajemen Risiko / Reporting Risk Management Objectives
Tujuan risiko ini mencakup keandalan laporan perusahaan tentang data
keuangan dan non-keuangan internal dan eksternal. Pelaporan yang akurat
sangat penting untuk keberhasilan suatu perusahaan dalam banyak dimensi
3. Sasaran Legal dan Peraturan Kepatuhan Regulasi / Legal and Regulatory
Compliance Risk Objectives
Segala jenis perusahaan harus mematuhi berbagai undang-undang dan peraturan
yang diterapkan pemerintah atau standar industri. Sementara risiko kepatuhan
dapat dipantau dan diakui, risiko hukum terkadang sama sekali tidak terduga.
Internal Auditor harus meninjau proses ERM di seluruh perusahaan
menggunakan beberapa alat ini:
1. Flowcharting proses / process flowcharting
Sebagai bagian dari proses ERM yang teridentifikasi, bagan alur proses
dapat berguna dalam menggambarkan bagaimana manajemen risiko
beroperasi di suatu perusahaan
2. Ulasan risiko dan bahan kontrol / reviews of risk and control materials
Proses ERM sering menghasilkan volume besar bahan panduan, prosedur terdokumentasi,
format laporan, dan sejenisnya. Seringkali ada yang berharga bagi audit internal untuk
meninjau risiko dan materi kontrol.
3. Benchmarking
Meskipun istilah yang sering disalahgunakan, benchmarking adalah proses
melihat fungsi di lingkungan lain untuk menilai operasi mereka dan untuk
mengembangkan pendekatan yang lebih baik berdasarkan praktik terbaik
dari orang lain.
4. Kuisioner / Questionnaires
Kuisioner adalah metode yang baik untuk mengumpulkan informasi
tentang efektivitas ERM dari berbagai orang. Mereka dapat dikirim ke
pemangku kepentingan yang ditunjuk dengan permintaan untuk informasi
spesifik. Ini sering merupakan teknik audit internal yang berharga
 ERM Roles & Responsibilities
• Management

• The board of directors

• Risk officers

• Internal auditors
 Key Implementation Factors
Desain organisasi dari bisnis
Membentuk organisasi ERM
Melakukan penilaian risiko
Menentukan risk appetite keseluruhan
Mengidentifikasi respon risiko
Komunikasi hasil risiko
Monitoring
Pengawasan dan review rutin oleh manajemen
 Organizational Design
• Strategy dari bisnis
• Objektif utama dari bisnis
• Obektif terkait yang diturunkan ke bawah
organisasi dari objktif utama bisnis
• Menugaskan elemen organisasi dan pimpinan
yang bertanggungjawab
 Komunikasi Hasil
• Dashboard risiko dan respon terkait
(status visual dari posisi risiko utama relatif terhadap
toleransi risiko)
• Flowchart dari proses dengan kontrol utama tercatat
• Penjelasan objektif bisnis dishubungkan dengan risiko
operasional dan respon
• List dari risiko utama yang dimonitor atau digunakan
• Pemahaman Manajemen atas tanggung jawab risiko
dan pengkomunikasian tugas
 Monitor
• Kumpulkan dan tampilkan informasi

• Lakukan analisis
- Risiko yang ditangani dengan baik
- Kontrol yang dilakukan untuk menghilangkan risiko
 Nilai Tambah dari Internal auditor :
• Review sistem critical control dan proses manajemen risiko.
• Lakukan review dari penilaian manajemen risiko yang efektif dan kontrol internal.
• Berikan advice atas perbaikan dan disain sistem kontrol dan strategi mitigasi risiko
• Terapkan penkatan risk-based dalam perencanaan dan eksekusi proses internal
audit.
• Menjamin bahwa sumber daya internal audit diarahkan pada area yang sangat
penting dalam organisasi
• Tantang dasar dalam penilaian manajmen risiko dan evaluasi kecukupan dan
efektivitas penyajian strategy risiko
• Fasilitasi Workshop ERM.
• Mendefinisikan risk toleransi risiko yang belum diidentifikasi atas dasar
pengalaman internal audit, pertimbangan dan konsultasi dengan manajemen