BAB 1

PENDAHULUAN

1.1 Latar Belakang

Dewasa ini penting bagi perusahaan untuk mengetahui risiko yang akan dihadapi oleh
suatu perusahaan, bukan hanya mengetahui tetapi manajemen perlu melakukan mitigasi atas
risiko yang muncul. Risiko yang muncul dapat menimbulkan kerugian perusahaan baik
kerugian secara kuantitatif maupun kualitatif. Mitigasi akan risiko yang dihadapi perusahaan
dapat di hadapi dengan melakukan internal audit. Pemahaman akan risiko perusahaan bukan
hanya dalam level unit bisnis saja, tetapi secara keseluruhan. Masing-masing unit bisnis perlu
melakukan mitigasi risko, dengan mitigasi pada unit level maka akan menghasilkan suatu
mitgasi pada wide-level pada akhirnya.
Peran intenal auditor sangat dibutuhkan dalam melakukan mitigasi risiko. Auditor internal
perlu mengetahui manajemen risiko perusahaan untuk melakukan kontrol terhadap
perusahaan. Auditor internal dapat menerapkan COSO framework dalam penerapan
pengendalian internal yang dapat mengelola dan meninimalisasi risiko perusahaan.

1.2 Tujuan Penulisan

Tujuan dari penulisan makalah ini adalah :

1. Memahami COSO ERM framework dan elemen-elemennya.

2. Memahami pendekatan penilaian risiko dan manajemen risiko.
3. Memahami fundamental manajemen risiko.
4. Mengetahui teknik dalam memahami dan menilai risiko.
1.3 Manfaat Penulisan

Manfaat penulisan makalah ini adalah :

1. Memberikan pemahaman mengenai COSO ERM.
2. Memberikan pengetahuan manajemen risiko.
3. Memberikan pengetahuan terkait peran internal audit terhadap manajemen risiko.
 BAB 2
LANDASAN TEORI

2.1 Definisi Pengendalian Internal

Committee of Sponsoring Organization of The Treadway Commission (COSO) pada tahun

1992 mengeluarkan definisi tentang pengendalian internal. Definisi COSO tentang pengendalian
intern sebagai berikut: Internal control is process, affected by entility’s board of directors,
management and other personnel, designed to provide reasonable assurance regarding the
achievement of objectives in the following categories:

 Effectiveness and efficiency of operations

 Realibillty of Financial Reporting
 Compliance with Applicable laws and regulations

Menurut Brink pengendalian internal adalah proses, dimplementasikan oleh manajemen, yang
didesain untuk memberikan keyakinan memadai untuk :

 Informasi keuangan dan oprasional yang andal

 Kepatuhan dengan kebijakan dan rencana prosedur, hukum, peraturan, dan regulasi
 Pemeliharaan aset
 Efisiensi operasional
 Pencapaian misi, tujuan, dan sasaran yang telah dibuat untuk operasi dan program
perusahaan
 Integritas dan nilai etika

2.2 Definisi Internal Audit

Menurut The International Professional Practices Framework (IPPF) yang dirilis oleh The
Institute of Internal Auditors (The IIA) tanggal 1 Januari 2009, internal audit adalah kegiatan
pemastian dan konsultasi yang independen dan objektif yang dirancang untuk menambah nilai dan
meningkatkan operasi organisasi. Internal audit membantu organisasi mencapai tujuannya melalui
pendekatan yang sistematik dan teratur untuk mengevaluasi dan meningkatkan efektivitas proses
pengelolaan risiko, pengendalian, dan tata kelola.

Iro Tugiman [2006:11] menjelaskan bahwa internal audit merupakan suatu fungsi penilaian
independen didalam entitas/organisasi guna menguji serta mengevaluasi aktivitas yang
dilaksanakan.

Mulyadi [2002:29] mendefinisikan internal audit adalah auditor yang bekerja didalam suatu
entitas/perusahaan yang bertugas untuk mengetahui apakah prosedur serta kebijakan yang sudah
disusun dan ditetapkan oleh manajemen telah diptuhi, menentukan apakah penjagaan atas
kekayaan entitas/organisasi sudah baik atau tidak, menetukan tingkat efektivitas dan efisiensi
prosedur aktivitas kegiatan organisasi, serta menetukan kehandalan informasi yang telah
dihasilkan oleh bagian bagian dari entitas/organisasi

IIA yang dikutip Sawyer [2005:8] mengemukakakn bahwa internal audit merupakan fungsi
penilaian yang dibentuk oleh entitas guna memeriksan serta mengevaluasi aktivitas entitas sbgai
jasa yang telah diberikan kepada entitas perusahaan.

2.2 International Standards For The Professional Practice of Internal Auditing

2130 – Control
The internal audit activity must assist the organization in maintaining effective controls by
evaluating their effectiveness and efficiency and by promoting continuous improvement.
2130.A1 – The internal audit activity must evaluate the adequacy and effectiveness of
controls in responding to risks within the organization’s governance, operations, and
information systems regarding the:
 Reliability and integrity of financial and operational information;
 Effectiveness and efficiency of operations and programs;
 Safeguarding of assets; and
 Compliance with laws, regulations, policies, procedures, and contracts.
2130.C1 – Internal auditors must incorporate knowledge of controls gained from consulting
engagements into evaluation of the organization’s control processes.
 BAB 3
PEMBAHASAN

Sebuah perusahaan perlu untuk mengidentifikasi semua resiko yang mereka hadapi baik
resiko keuangan maupun operasional untuk bisa mengatur resiko tersebut pada level yang bisa
diterima. Seorang internal auditor sebaiknya mempunyai pemahaman yang baik atas resiko
tersebut agar bisa menciptakan internal control yang baik.

6.1 Risk Management Fundamental

Setiap perusahaan berusaha untuk melakukan aktivitas-aktivitas yang bisa memberikan

nilai lebih kepada stakeholdernya, namun aktivitas-aktivitas tersebut bisa menjadi subjek dari
ketidakpastian resiko, baik yang muncul dari kompetitor maupun dari faktor lain. Manjemen resiko
merupakan suatu bentuk proteksi perusahaan untuk melindungi atau paling tidak meminimalisir
resiko yang timbul.

Resiko yang dihadapi perusahaan bermacam-macam. Perusahaan pun perlu menyiapkan

berbagai cara untuk mengatur resiko tersebut, dan tentu perusahaan perlu mengeluarkan sejumlah
biaya yang rasional untuk meng-cover resiko-resiko yang timbul. Selain itu perusahaan juga perlu
membuat keputusan-keputusan yang berdasarkan analisa dari manajemen resiko tersebut.

Untuk melakukan proses manajemen yang efektif perusahaan perlu melakukan empat
langkah yaitu , identifikasi resiko, penilaian kuantitatif dan kualitatif atas resiko yang
didokumentasikan, risk prioritazion and response planning dan monitoring resiko. Identifikasi
resiko perlu dilakukan untuk mengetahui kondisi apa yang sedang dihadapi perusahaan baik
internal maupun eksternal. Setelah resiko bisa diidentifikasi, maka selanjutnya perusahaan
menganalisis ancaman serta resiko apa yang ditimbulkan dari kondisi tersebut baik secara
kualitatif maupun kuantitaif. Atas analisis yang dilakukan, perusahaan kemudian melakukan
penyusunan resiko mana yang harus diprioritaskan untuk di cover dan merencanakan strategi apa
yang perlu dilakukan, setelah itu perusahaan bisa mengimplementasikan strategi-strategi tersebut.
Tahap selanjutnya perusahaan melakukan monitoring apakah dengan diimplementasikannya
strategi tersebut, resiko yang timbul bisa diminimalisir dan apakah staregi tersebut merupakan
strategi yang efektif. Empat langkah ini seharusnya diterapkan dalam semua level di perusahaan
baik dari individu, divisi sampai satu perusahaan secara keseluruhan.
a). Identifikasi resiko

Manajemen sebaiknya bisa mengidentifikasi semua kemungkinan resiko yang bisa

mempengaruhi kesuksesan dari perusahaan, baik resiko yang besar dan signifikan memberi efek
ke perusahaan maupun resiko yang kecil. Proses ini sebaiknya dilakukan di setiap level
perusahaan, hal ini dilakukan karena tiap level pasti memiliki permasalahn yang berbeda dan
resiko yang berbeda sehingga bisa diketahui potensi resiko yang mungkin dihadapi unit-unit kecil
maupun satu perusahaan.

Beberapa resiko yang bisa dihadapi perusahaan diantaranya adalah enterprise wide
strategic risk, operation risk, finance risk, dan information risk, Manajemen sebaiknya melakukan
review atas resiko-resiko yang sudah diidentifikasi dan memberi perhatian yang lebih untuk
beberapa resiko yang bisa memberi efek signifikan untuk perusahaan.

b). Key Risk Assesment

Setelah dilakukan identifikasi resiko, perusahaan melakukan penilaian atas resiko-resiko

tersebut. Penilaian dilakukan atas kemungkinan dan level of significance dari resiko tersebut. Hal
ini dilakukan agar perusahaan bisa melihat resiko mana yang perlu dikhawatirkan perusahaan agar
selanjutnya bisa ditentukan tindakan apa yang perlu dilakukan perusahaan untuk meminimalisir
resiko yang mungkin timbul. Penilaian ini bisa dilakukan dengan beberapa pendekatan misalanya
dengan melakukan kuisioner. Kuisioner ini berisi pertanyaan mengenai kemungkinan resiko itu
terjadi dan level of significance resiko, dan koresponden bisa memberikan skor atas masing-
masing pertanyaan.

Pendeketan kuisioner tersebut efektif dilakukan ketika perusahaan resiko yang

diidentifikasi perusahaan sedikit, sehingga bisa lebih mudah dianalisis. Jika perusahaan
mengidentifikasi banyak resiko , manajemen dapat melakukan tiga analisis yaitu probability and
uncertainty, risk independencies, dan risk ranking.

1. Analisis probability dan uncertainty

Analisis ini digunakan ketika perusahaan mengidentifikasi banyak resiko. Ketika kondisi
tersebut terjadi manajemen harus menentukan kemungkinan terjadinya resiko dalam dua digit
 probabilitas dengan range 0,01 sampai 0,99. Probabilitas ini digunakan karena tidak ada
probabilitas resiko yang bernilai 0% maupun 100%. Untuk menentukan probabilitas ini
perusahaan harus selalu mengidentifikasi dan mengumpulkan informasi mengenai apa
resikonya dan konsukuensi apa yang mungkin ditimbulkan dari resiko itu sehingga penentuan
probabilitasnya bisa lebih akurat.

2. Risk Interdependencies

Risk Independencies harus selalu diperhatikan dan dievaluasi oleh manajemen lewat
struktur organisasi. Setiap unit operasi perusahaan mempunyai kewajiban untuk me-manage
resiko unitnya masing-masing, dan setiap unit organisasi perusahaan berusaha untuk selalu
berkoordinasi dengan unit lain, jangan sampai karena satu unit tidak bisa me-manage resikonya
sendiri, unit lain dan perusahaan secara keseluruhan ikut merasakan akibatnya.

3. Risk Ranking

Beberapa perusahaan mempunyai daftar resiko potensial yang banyak, oleh karena itu
perusahaan perlu melakukan beberapa tahap seperti melihat kemungkinan dan level of
significance-nya, menghitung peringkat resikonya, dan mengidentifikasi resiko mana yang
paling signifikan memberi efek ke perusahaan. Pemeringkatan resiko sebaiknya dilakukan
dengan basis unit-to-unit dan dilakukan penyesuaian terhadap resiko yang berhubungan.

c) Quantitative Risk Analysis

1. Expected Values and Response Planning

Seperti yang disampaikan sebelumnya bahwa perusahaan sebaiknya melakukan

identifikasi resiko dan jika sudah dilakukan analisis atas resiko tersebut perusahaan bisa menyusun
strategi-strategi apa yang perlu dilakukan. Namun untuk mengidentifikasi resiko perusahaan
memerlukan cost atau ada cost yang dikorbankan. Resiko yang terjadi bisa disebabkan oleh
penurunan pangsa pasar, perubahan regulasi pemerintah dan sebagainya. Misalnya perusahaan
perlu mengestimasi berapa cost untuk memulihkan perusahaan jika perusahaan menghadapi
kerugian akibat penurunan pangsa pasar akibat perubahan preferensi konsumen. Memang
beberapa resiko akan menimbulkan cost yang besar jika terjadi tetapi perusahaan perlu bertahan
untuk kelangsungan perusahaan.
2. Risk Monitoring
 Proses manajemen risiko harus dimonitor, yaitu dinilai keberadaan dan berfungsi
efektifnya untuk setiap komponen yang ada di dalamnya secara terus menerus.
 Model yang digunakan untuk melakukan monitoring adalah melalui monitoring
kegiatan secara terus menerus, penilaian terpisah, atau kombinasi diantara keduanya
 Monitoring secara terus menerus dilakukan dan melekat dalam aktivitas rutin
manajemen.
 Ruang lingkup dan frekuensi penilaian terpisah tergantung terutama pada hasil
penilaian risiko dan efektifitas prosedur monitoring yang terus menerus.
 Kelemahan atau kekurangan program manajemen risiko dilaporkan ke atas dan untuk
permasalahan yang sangat serius harus dilaporkan kepada direksi dan komisaris

6.2 COSO ERM: Enterprise Risk Management

Menurut COSO dalam Simbolon (2010), definisi Enterprise Risk Management

adalahsebagai berikut:

“Enterprise Risk Management is a process, effected by an entity’s board of

directors, mangement and other personnel, applied is strategy setting and across the enterprise,
designed to identify potential events that may affect the entity, and manage risk to be within
its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.”

Atas dasar definisi tersebut, dapat mengelompokkan Enterprise Risk Management kedalam
beberapa konsep yang fundamental, antara lain meliputi:

 Suatu proses, yang berjalan dan mengalir di dalam suatu entitas atau organisasi..
 Dipengaruhi oleh individu pada semua tingkatan manajerial di dalam organisasi.
 Dapat dipergunakan untuk kepentingan formulasi strategi.
 Dapat diaplikasikan pada semua tingaktan manajerial, unit bsinis,
termasukpenentuan portofolio risiko.
  Dirancang untuk mengidentifikasikan peristiwa potensial, bilamana terjadi,
yangdapat mempengaruhi entitas dan mengelola risiko.
 Mampu memberikan jaminan yang rasional bagi manajemen dan diwan
direksisuatu entitas.
 Diarahkan untuk mewujudkan tujuan yang terpisah akan tetapi dalam
kategoriyang tumpang tindih.

Jadi kalau dikaji, definisi yang dikemukakan oleh COSO memberikan makna yang cukup luas.
Memiliki kemampuan untuk mengakomodir konsep fundamental inti mengenai bagaimana
perusahaan dan organisasi lainnya mengelola risiko, menyediakan dasar implementasi
untuk berbagai organisasi, industri dan sektor. Selanjutnya, definisi tersebut juga memfokuskan
upaya untuk mewujudkan tujuan yang telah ditetapkan dan memberikanlandasan fundamental
untuk menetapkan efektivitas enterprise risk management.

6.3 COSO ERM Key Elements

Kerangka kerja COSO pengendalian internal dapat menjadi gamabaran dan definisikan
dari pengendalian internal serta dapat menjadi basis penetapan sanski 404 Sox
 Dari rubik tersebut memiliki komponen :

 Empat kolom vertikal mewakili tujuan strategi dari resiko perusahaan.

 Delapan baris horizontal merupakan komponen risiko
 Tingkatan yang berbeda-beda untuk menggambarkan beberapa perusahaan.
daritingkat "headquarters" entitas anak perusahaan masing-masing. Tergantung
pada ukuran organisasi, akan ada banyak irisan model di sini.

a). Internal Environment Component

Manajemen menetapkan Filosofi tentang risiko dan membentuk resiko lingkungan internal
meliputi keselarasan organisasi, dan menetapkan dasar bagaimana risiko dan kontrol dilihat dan
ditangani oleh orang-orang yang berkepentingan. inti dari setiap bisnis adalah orang itu sendiri,
yang masing-masing diri membawa atribut, termasuk integritas, nilai-nilai etika, dan kompetensi
lingkungan di mana mereka beroperasi.

COSO melanjutkan dengan menyatakan bahwa “lingkungan internal adalah dasar untuk
semua komponen lain dari ERM, memberikan disiplin dan struktur. Hal tersebut mempengaruhi
bagaimana strategi dan tujuan yang ditetapkan, kegiatan bisnis yang terstruktur, dan risiko yang
diidentifikasi, dinilai, dan ditindak lanjuti. Hal tersebut juga mempengaruhi desain dan fungsi
kegiatan pengendalian, informasi dan komunikasi sistem, dan kegiatan pemantauan”

Lingkungan internal yang dipengaruhi oleh sejarah organisasi dan budaya terdiri dari
banyak unsur, yaitu:

 Risk management philosophy, yang merupakan kesatuankeyakinan bersama dan sikap yang
mencerminkan bagaimanaorganisasi tersebut menganggap sebuah resiko dalam segalahal.
 Risk appetite, yang merupakan jumlah risiko, pada tingkatyang luas, dimana sebuah
organisasi bersedia menerima
 Board of directors attitude, yang menyediakan struktur, pengalaman,kemandirian, dan
peran pengawasan yang dimainkan oleh badan utama organisasi pemerintahan
 Integrity and ethical values, yang mencerminkan preferensi,standar perilaku, dan gaya.
Semakin kuat nilai etika nya maka akan sangat membantu perusahaan untuk menghindari
skandal akuntansi.
 Commitment to competence, termasuk pengetahuan dan keterampilan yang diperlukan
untuk melakukan tugas yang diberikan
 Organizational structure, seperti ditandai oleh kerangka kerja untukmerencanakan,
melaksanakan, mengendalikan, danmemantau kegiatan
 Assignment of authority and responsibility, yang mencerminkan sejauh mana individu dan
tim yang berwenang dan didorong untuk menggunakan inisiatif untuk mengatasi masalah
dan memecahkan masalah, serta batas-batas otoritas mereka.
 Human resource standard, terdiri dari praktek-praktek yang berkaitan dengan perekrutan,
orientasi, pelatihan, evaluasi, konseling, promosi, kompensasi dan mengambil tindakan
perbaikan.

b). Objective Setting

Di bawah lingkungan internal dalam kerangka kerja COSO ERM, terdapat tujuan
pengaturan yang menguraikan kondisi penting untuk membantu manajemen menciptakan
proses efektif. Elemen ini mengatakan bahwa, di samping lingkungan internal yang efektif,
perusahaan harus menetapkan serangkaian tujuan strategis, yang selaras dengan misi dan meliputi
operasi, pelaporan, dan kegiatan kepatuhan.
 Intinya adalah bahwa perusahaan harus mendefinisikan risiko terkait strategi dan tujuan.
Berdasarkan hal tersebut, maka harus memutuskan keinginan dan toleransi untuk risiko ini.
Artinya, harus menentukan tingkat risiko yang bersedia diterima dan, diberikan aturan
toleransi risiko, seberapa jauh penyimpangan dari yang seharusnya. Hubungan dari
komponen Objective setting COSO ERM, yaitu adalah untuk :

1. mengembangkan tujuan strategis untuk mendukung pemenuhan misi,

2. membuat strategi untuk mencapai tujuan,
3. mendefinisikan tujuan terkait, dan
4. menentukan selera risiko untuk menyelesaikan strategi itu.

c. Identifikasi kejadian

Kejadian adalah insiden maupun peristiwa baik internal baupun eksternal yang mempengaruhi
implementasi strategi dan pencapaian tujuan dari ERM. Kecenderungan seseorang adalah menilai
sesuatu kejadian dengan negatif, padahal bisa jadi hal tersebut bermakna positif. Saat ini banyak
perusahaan yang telah memiliki alat yang maampu memonitor performance dengan baik yang
berfungsi untuk memonitor biaya-biaya, anggaran, jaminan kualitasm kepatuhan, dan hal-hal lain
sejenisnya. Meski begitu, proses monitoring harus termasuk:

• Peristiwa ekonomi Eksternal

Peristiwa-peristiwa eksternal perlu dimonitor untuk dapat membantu perusahaan meraih

tujuannya. Termasuk di dalamnya adalah peristiwa eknonomi, baik itu jangka panjang maupun
pendek.

• Peristiwa yang berhubungan dengan lingkungan hidup

Baik itu kebakaran, banjir, gempa bumi, mau pun kejadian-kejadian alam lainnya dapat menjadi
indiden dalam identifikasi risiko ERM. Efek di sini bisa termasuk hilangnya akses ke beberapa
bahan baku utama, kerusukan pada fasilitas-fasilitas fisik, maupun ketidaktersediaan personel.

• Kejadian politik

Undang-undang dan regulasi baru serta hasil pemilihan umum bisa jadi dapat memberikan risiko
yang signifikan bagi perusahaan. Banyak perusahaan-perusahaan besar memiliki fungsi hubungan
pemerintah yang berfungsi untuk mereview dan melakukan lobi atas perubahan yang terjadi.
Namun fungsi-fungsi tersebut tidak selalu sejalan dengan tujuan ERM.

• Faktor-faktor sosial

Berbeda dengan kejadian eksternal lainnya, faktor-faktor sosial seperti perubahan demografi,
perubahan adat istiadat, serta kejadian-kejadian lainnya menimbulkan efek yang terjadi secara
perlahan-lahan.
• Kejadian terkait infrastruktur internal

Yang dimaksud ini adalah adanya perubahan-perubahan kecil yang dilakukan di dalam perusahaan
itu seringkali dapat berdampak pada peristiwa yang terkait dengan risiko lainnya.

• Kejadian yang berhubungan dengan proses internal

Hampir sama dengan perubahan infrakstruktur internal perusahaan, perubahan pada proses utama
seringkali berdampak pada peristiwa identifikasi kejadian secara luas. Pada banyak kasus,
identifikasi risiko mungkin tidak dilakukan dengan cepat, dan terkadang terlewatkan sebelum
peristiwa yang berhubungan memberikan sinyal untuk identifikasi risiko.

• Kejadian yang berhubungan dengan teknologi baik secara eksternal maupun internal

Setiap perusahaan menghadapi berbagai peristiwa yang berhubungan dengan teknologi yang
membutuhkan identifikasi risiko secara formal. Beberapa mungkin terjadi secara bertahap, namun
ada juga yang terjadi secara tiba-tiba.

Perusahaan perlu mendefinisikan secara jelas peristiwa yang memiliki risiko yang
signifikan dan kemudian memiliki proses untuk memantau hal tersebut dengan tujuan agar dapat
segera melakukan tindakan yang tepat jika diperlukan. Namun memperhatikan dan menentukan
mana dari risiko-risiko tersebut yang membutuhkan perhatian lebih seringkali sulit untuk
dilakukan. Berikut ini adalah pandungan yang dapat dipertimbangkan oleh perusahaan menurut
COSO ERM:

• Mempertimbangkan peristiwa-peristiwa yang telah terjadi sebelumnya

• Memfasilitasi workshop secara lintas fungsi

• Mengadakan wawancara, kuesioner, dan survei untuk menjaring risiko-risiko yang

potensial

• Melakukan analisa pada proses diagram alir

• Memberi saran atas peristiwa dan peningkatan atas peristiwa yang terjadi

• Tracking atas loss event data

d. Penilaian Risiko

Risiko ini harus dinilai berdasarkan dua perspektif; kemungkinan sering terjadinya dan
dampak potensialnya. Sebagai bagian dari proses penilaian risiko maka perlu dipertimbangkan
pula risiko inherent dan residualnya pula.

• Risiko Inherent / risiko melekat

Seperti yang didefinisikan oleh USD Government Office of Management and Budget, risiko
inherent adalah “potential for waste, loss, unauthorized use, or misappropriation due to the nature
of an activirty itself”. Faktor utama yang menyebabkan adanya risiko inherent ini adalah besarnya
kecilnya anggaran, kemampuan manajemen, serta sifat dari masing-masing aktivitas perusahaan.

• Risiko residual

Risiko ini adalah risiko yang tersisa setelah perusahaan merespon dan melakukan penanggulangan
atas ancaman pada perusahaan.

Analisa atas kemungkinan terjadinya risiko dan dampak potensialnya dapat dikembangkan melalui
beberapa pengukuran secara kuantitatif dan kualitatif. Berikut contoh atas mapping risiko

e. Respon atas Risiko

Berikut ini adalah beberapa respon atas risiko yang dapat dilakukan:

1. Penghindaran
Hal ini merupakan strategi menjauhi risiko seperti misalnya menjual unit bisnis yang dengan risiko
tinggi, keluar dari lingkungan kerja yang beresiko, atau menurunkan produksi.

2. Pengurangan

Hal ini adalah pengurangan risiko dengan membuat keputusan-keputusan bisnis tertentu, seperti
diversifikasi produk, membagi daerah operasi IT ke dua daerah yang berbeda, serta training
karyawan lintas department.

3. Sharing

Pengurangan risiko dengan cara ini adalah dengan membeli prosuk asuransi atau melakukan teknik
pembagian risiko yang tersedia lainnya. Untuk transaksi finansial, perusahaan dapat melakukan
hedging atas transaksi tertentu dengan tujuab untuk memproteksi dari naik-turunnya harga yang
mungkin terjadi.

4. Penerimaan

Strategi ini tidak membutuhkan aksi apa-apa. Hal ini seringkali merupakan strategi yang tepat
untuk berbagai risiko yang dihadapi oleh perusahaan.

Manajemen perlu mengembangkan respon umum atas masing-masing risiko yang ada.
Dalam melakukan hal itu, perlu dilakukan analisa atas cost dan benefitnya dari masing-masing
repon atas risiko potensial beserta strategi yang dilakukan yang sesuai dengan risiko perusahaan
secara keseluruhan.

f. Aktivitas Pengendalian

Aktivitas pengendalian ERM adalah serangkaian kebijakan dan prosedur yang diperlukan
untuk menjamin tindakan yang dilakukan dalam mengidentifikasi repon atas risiko. Banyak
aktivitas control yang dilakukan di bawah internal control COSO yang mudah duntuk dilakukan
dan diuji karena accounting nature aktivitas tersebut. Aktivitas pengendalian tersebut termasuk di
dalam area internal control berikut:

• Pemisahan wewenang

• Audit trails

• Keamanan dan integritas

• Dokumentasi

Perusahaan seringkali sulit mengidentifikasi aktivitas pengendalian untuk menyokong

kerangka ERM. Sekalipun hingga saat ini belum ada standar yang mengatur aktivitas pengendalian
ERM, dokumentasi ERM COSO menyarankan area-area berikut:

• Review dari top-level atas peristiwa pengidentifikasian risiko

• Pengawasan aktivitas pengendalian risiko secara langsung oleh manajer fungsional

langsung

• Adanya proses informasi yang lancar

• Pengawasan atas asset-aset fisik seperti alat-alat berat, persediaan, surat-surat berharga,
dan lain sebagainya

• Indikator kinerja yang baik

• Pemisahan wewenang dalam area kerja

g. Informasi dan komunikasi

Berikut ini adalah diagram yang menggambarkan alur komunikasi dalam komponen COSO
ERM
h. Monitoring
 Pengawasan ERM diperlukan untuk memastikan bashwa semua komponen ERM telah
bekerja secara efektif. Menurut kerangka aplikasi ERM COSO, proses pengawasan tersebut
disarankan paling tidak mencakup aktivitas berikut ini:

• Implementasi atas mekanisme pelaporan manajemen yang sedang dilakukan seperti posisi
kas, unit penjualan, dan data finansial utama lainnya. Perusahaan tidak harus mengunggu hingga
periode tutup buku akhir bulan untuk pelaporan-pelaporan tersebut.

• Proses pelaporan periodic terkait dengan risiko harus memonitor aspek-aspek utama yang
membentuk kriteria risiko, termasuk di dalamnya tingkat eror yang bisa diterima.

• Temuan dan rekomendasi terkait risiko atas pelaporan yang dilakukan oleh auditor
eksternal maupun internal.

• Informasi terkait risiko yang paling baru dari berbagai sumber seperti regulasi pemerintah
yang baru, tren industry, dan berikut ekonomi secara umum.

6.4 Other Dimension of COSO ERM: Enterprise Risk Objectives

Masing-masing komponen COSO ERM beroperasi pada tiga ruang dimensional, masing-
masing harus dipertimbangkan dalam hal katergori lain yang terkait. Komponen-komponen top-
facing diantaranya stratejik, operasi, pelaporan, dan compliance risk objective penting dalam
memahami dan implementasi COSO ERM.

a.Tujuan Operasi Manajemen Risiko (Operation Risk Management Objectives)

Operations-level risk objective membutuhkan identifikasi risiko masing masing unit perusahaan,
identifikasi ini memerlukan informasi detail yang kemudian dikumpulkan dan di analisis. Manager
pada masing-masing unit biasanya memiliki pemahaman yang sangat baik terhadap risiko
operasional dan mengetahui bahwa suatu informasi tersebut akan menyesatkan ketika
dikonsolidasi pada laporan yang penting. Internal audit melakukan review atau survey secara
langsung terhadap orang yang berkaitan langsung dengan risiko tersebut yang dapat membantu
mengumpulkan dasar informasi yang detail pada risiko operasional yang potensial. Dengan
pandangan risiko portofolio ERM’S, perusahaan harus menghindari menarik kesimpulan atas hal-
hal yang sedang berlangsung, missing, atau rounding off terhadap level resiko yang lebih rendah.

b.Tujuan Pelaporan Risiko Manajemen (Reporting Risk Management Objectives)

Tujuan risiko ini meliputi keandalan laporan internal dan eksternal baik data finansial maupun
nonfinansial perusahaan. Keakuratan pelaporan merupakan hal yang kritikal bagi kesuksesan
perusahaan. Ketidak akuratan pelaporan akan menimbulkan masalah pada berbagai area. ERM
memperhatikan risiko dalam otorisasi dan penerbitan laporan keuangan yang tidak akurat. Internal
kontrol yang kuat dapat meminimalisasi risiko dan kesalahan dan perusahaan harus
mempertimbangkan risiko yang berhubungan dengan pelaporan yang tidak akurat.

c.Tujuan Risiko Kepatuhan Hukum dan Peraturan (Legal and Regulatory Compliance Risk
Objective)

Seluruh perusahaan harus memenuhi hukum dan pemerintahan yang berlaku atau standar regulasi
industri. Ketika risiko kepatuhan dapat termonitor dan diketahui, resiko hukum (legal) terkadang
tidak terantisipasi. Dalam rangka mengelola dan menetapkan tujuan risiko hukum dan peraturan,
dewan direksi, CEO, dan anggota manajemen perlu memahami sifat dan tingkat semua risiko
regulasi yang dihadapi perusahaan. Departemen hukum, manajer, audit internal, dan lain-lain dapat
membantu dalam merangkai informasi ini.

6.5 Entity-Level Risks

Risiko COSO ERM harus diidentifikasi dan dikelola dalam masing-masing bisnis
organisasi yang signifikan, termasuk risiko entitas secara luas melalui unit bisnis individual.

a. Risks Encompassing the Entire Organization

Beberapa risiko pada tingkat unit bisnis harus meningkat ke tingkatan risiko perusahaan. Mudah
bagi perusahaan untuk mempertimbangkan bahwa risiko unit-level bukan hal yang material, untuk
menggunakan terminologi akuntan publik pre-Sox suatu perusahaan harus memikirkan semua
risiko yang berpotensi signifikan. Risiko-risiko unit individu harus ditinjau dan konsolidasi
terlebih dahulu untuk mengidentifikasi risiko utama yang dapat mempengaruhi organisasi secara
keseluruhan. Selain itu, organization-wide risk juga harus diidentifikasi.
b. Business Unit-Level Risks

Risiko terjadi pada seluruh tingkatan perusahaan, apakah divisi produksi utama dengan beberapa
pabrik dan beribu pekerja atau posisi kepemilikan minoritas dalam suatu perusahaan asing. Risiko
harus dipertimbangkan dalam masing-masing organisasi signifikan. COSO ERM Framework
memberikan suatu mekanisme dalam mempertimbangkan risiko-risiko tersebut; hal tersebut
penting untuk memastikan kepatuhan Sox.

6.6 Putting It All Together

Dengan fokus pada pengenalan terhadap selera perusahaan terhadap risiko dan
kebutuhannya dalam menerapkan manajemen risiko dalam konteks pengaturan strategi secara
keseluruhan, COSO ERM memiliki beberapa perbedaan fundamental dari sebagian besar modal
risiko yang telah diterapkan. COSO ERM muncul setelah Sox, tetapi COSO ERM adalah alat yang
penting dalam mengelola dan memahami Sox section 404 internal kontrol. Manajemen perusahaan
di semua tingkatan harus mengakui bahwa COSO ERM, alat penting untuk memahami beberapa
risiko yang perusahaan hadapi saat ini. auditor internal harus membuat COSO ERM suatu
persyaratan internal audit CBOK, dan harus melakukan audit internal sesuai dengan proses ERM.

6.7 Auditing Risk and COSO ERM Processes

Internal audit harus memeriksa proses ERM perusahaan menggunakan alat bantu sebagai
berikut :

a. Process Flowcharting

Perlu memeriksa dokumentasi yang disiapkan atas risiko yang terkait proses,
menentukan kondisi saat ini, dan menggambarkan kecukupan semua tingkat proses risiko
perusahaan.

b. Reviews of risk and control materials

 Dalam proses ERM seringkali hasil dalam suatu prosedur material, prosedur yang
terdokumentasi, format pelaporan. Hal tersebut berguna bagi internal audit untuk mereview
risiko dan kontrol.

c. Benchmarking

Pendekatan benchmark adalah mengumpulkan informasi komparatif

d. Questionnaries

Berikut merupakan COSO ERM Internal Audit Procedure yang digunakan sebagai
petunjuk dalam melakukan internal audit.
6.8 Risk Management and COSO ERM in Perspective

Karena dua model kerangka terlihat sangat mirip pada pengamatan awal, sangat mudah
untuk mengabaikan karakteristik unik dari COSO ERM . Butuh waktu bertahun-tahun untuk
pengendalian internal COSO diakui sebagai lebih dari studi yang menarik. Manajemen risiko dan
COSO ERM, adalah pengetahuan yang perlu diketahui oleh internal auditor CBOK. Yang lebih
penting, COSO ERM akan tumbuh dalam kepentingan dan pengakuan saat perusahaan memahami
dan mengadopsi ERM framework. Internal audit harus memiliki CBOK pemahaman COSO ERM
untuk kepatuhan audit atas proses-proses tersebut dan untuk konsultasi kepada manajemen untuk
memastikan implementasi telah efektif.

BAB 4
KESIMPULAN

Untuk melakukan proses manajemen yang efektif perusahaan perlu melakukan empat
langkah yaitu , identifikasi resiko, penilaian kuantitatif dan kualitatif atas resiko yang
didokumentasikan, risk prioritazion and response planning dan monitoring resiko. Identifikasi
resiko perlu dilakukan untuk mengetahui kondisi apa yang sedang dihadapi perusahaan baik
internal maupun eksternal. Setelah resiko bisa diidentifikasi, maka selanjutnya perusahaan
menganalisis ancaman serta resiko apa yang ditimbulkan dari kondisi tersebut baik secara
kualitatif maupun kuantitif. Perusahaan perlu mendefinisikan secara jelas peristiwa yang memiliki
risiko yang signifikan dan kemudian memiliki proses untuk memantau hal tersebut dengan tujuan
agar dapat segera melakukan tindakan yang tepat jika diperlukan

DAFTAR PUSTAKA

Moeller, Robert R, Brink’s Modern Internal Auditing, 2009 Edisi 7, John Wiley & Sons, Inc,
Hoboken, New Jersey.
https://id.wikipedia.org/wiki/Pengendalian_intern, diakses pada 21 September 2016
https://id.wikipedia.org/wiki/COSO, diakses pada 21 September 2016
http://www.investopedia.com/terms/s/sl-crisis.asp, diakses pada 21 September 2016