UNIVERSITAS INDONESIA

Peran Internal Audit dalam Penilaian Internal Control

MAKALAH
Diajukan sebagai salah satu syarat untuk memenuhi tugas mata kuliah
Audit Internal

HALAMAN JUDUL

Disusun oleh:
Dewi Sartika Siagian NPM 1306484261
Dhimas Kristianto Dwi Prasetyo NPM 1306484280
Fitri Jayanti Sitindaon NPM 1306484450
Florency Marbun NPM 1306484463

Freddy S. NPM 1306484476

Maulia Dewi Anggraeni-NPM 1306484816

FAKULTAS EKONOMI
PROGRAM STUDI S1 EKSTENSI AKUNTANSI
JAKARTA

September 2015
i

Statement of Authorship
Kami yang bertanda tangan di bawah ini menyatakan bahwa makalah/tugas
terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain
yang kami gunakan tanpa menyebutkan sumbernya.
Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk
makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa
kami menyatakan dengan jelas menggunakannya.
Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan
atau dikomunikasikan dengan tujuan mendeteksi adanya plagiarisme.

Mata Ajaran

: Audit Internal

Judul Makalah

: Peran Internal Audit dalam Penilaian Internal Control

Tanggal

: 16 September 2015

Dosen

: Lufti Julian

Anggota

:
Nama

NPM

Dewi Sartika Siagian

1306484261

Dhimas Kristianto Dwi

Prasetyo

1306484280

Fitri Jayanti Sitindaon

1306484450

Florency Marbun

1306484463

Freddy S.

1306484476

Maulia Dewi Anggraeni

1306484816

Tanda Tangan

PERAN INTERNAL AUDIT DALAM PENILAIAN INTERNAL CONTROL

I. Internal Control Framework: The COSO Standard

Pemahaman dan penerapan pengendalian internal yang efektif adalah prinsip dasar
dalam audit internal. Pengendalian internal yang digunakan dalam suatu entitas
merupakan faktor yang menentukan laporan keuangan suatu entitas dapat
dipercaya atau tidak kebenarannya. Oleh karena itu, sebelum auditor melaksanakan
audit secara mendalam atas informasi yang tercantum dalam laporan keuangan,
auditor harus terlebih dahulu memahami pengendalian internal yang berlaku dalam
entitas tersebut. Pemahaman memadai atas pengendalian internal harus diperoleh
auditor untuk dapat merencakan audit dan menentukan sifat, saat dan lingkup
pengujian yang akan dilakukan.
Pengendalian internal memiliki definisi yang tidak konsisten dari tahun ke tahun
hingga diterbitkannya Committee of Sponsoring Organizations (COSO) internal
control framework. Pertama kali digunakan oleh auditor eksternal US dalam
penilaian pengendalian internal, kemudian dijadikan standar dalam membangun
dan menyusun pengendalian internal dalam Sarbanes-Oxley Act (Sox), COSO
internal control framework beranjak menjadi standard dalam pembuatan dan
penilaian pengendalian internal yang mendunia.
COSO internal control framework adalah tools yang penting dalam memahami
pengendalian internal dan menilai kepatuhan terhadap persyaratan pengendalian
internal menurut SOx. COSO framework terdiri dari COSO internal control
framework dan COSO ERM. Meskipun COSO ERM terkesan mirip dengan COSO
internal control framework, namun kedua framework ini menjelaskan area dan
tujuan yang berbeda.
1. Importance of Effective Internal Controls
Pengendalian internal adalah salah satu konsep yang paling penting dan mendasar
dimana para profesional bisnis di segala tingkatan dan auditor baik eksternal
maupun internal harus memahaminya. Pengertian pengendalian internal adalah
proses yang diimplementasikan oleh manajemen yang didesain untuk memberikan
keyakinan yang memadai atas:
informasi keuangan maupun infomasi kegiatan operasional yang handal dan
dapat dipercaya
kepatuhan terhadap kebijakan dan rencana prosedural, hukum, aturan, dan
peraturan
pengamanan aset
efisiensi kegiatan operasional

 tercapainya misi, sasaran dan tujuan perusahaan melalui kegiatan operasional

dan program yang telah ditetapkan
integritas dan nilai-nilai etika
Definisi ini menyatakan bahwa pengendalian internal mencakup akuntansi dan
keuangan dan semua proses perusahaan. Institute of Internal Auditor (IIA)
memberikan pengertian pengendalian yaitu:
Any action taken by management, the board, and other parties to manage risk and
increase the likelihood that established objectives and goals will be achieved.
Management plans, organizes, and directs the performance of sufficient actions to
provide reasonable assurance that objectives and goals will be achieved
Manajemen
bertanggungjawab
terhadap
pembuatan
dan
penyusunan
pengendalian, dan auditor internal menilai keefektifan pengendalian tersebut serta
memberikan rekomendasi yang tepat atas pengendalian tersebut.
2. Internal Controls Standards: background
Hingga tahun 1980an, pengertian pengendalian internal belum mendapatkan
kesepakatan yang konsisten. Pengertian pertama kali berasal dari American
Institute of Certified Accountants (AICPA) dan setelah mengalami beberapa kali
perubahan, dalam Statement on Auditing Standards (SAS No.1), AICPA memberikan
definisi:
Internal control comprises the plan of enterprise and all of the coordinate methods
and measures adopted with a business to safeguard its assets, check the
accuracy and reliability of its accounting data, promote operational
efficiency, and encourage adherence to prescribed managerial policies.
Pengertian tersebut kemudian dimodifikasi dengan menambahkan komponen
pengendalian administrasi dan keuangan. Meski pengertian pengendalian internal
telah diubah, namun penginterpretasiannya selalu disesuaikan sepanjang tahun
berjalan. Beberapa tahun belakangan AICPA menekankan bahwa sistem
pengendalian internal lebih luas dari sekadar hubungan langsung atas pengendalian
akuntansi, laporan keuangan, dan pengendalian administratif.
a. Internal control definition : Foreign Corrupt Practices Act of 1977
Periode 1994-1997 adalah suatu masa gejolak sosial dan politik yang besar di
Amerika Serikat yang akhirnya menghasilkan Foreign Corrupt Practices Act
(FCPA) pada tahun 1977. FCPA melarang penyuapan kepada pegawai asing
(non-Amerika Serikat) dan juga berisi ketentuan yang mengharuskan adanya
pemeliharaan atas pencatatan dan pembukuan yang akurat sebagai bagian
dari sistem pengendalian akuntansi internal. Dengan penerapan ketentuan ini
di seluruh perusahaan terdaftar di SEC, peraturan FCPA ini memberi dampak

baik bagi auditor eksternal dan internal karena melalui ketentuan tersebut
FCPA mengharuskan perusahaan:
- Membuat dan menyimpan pembukuan, pencatatan, dan penghitungan
- Menemukan dan memlihara sebuah sistem pengendalian akuntansi yang
cukup menyediakan jaminan yang layak
- Adanya pembatasan akses ke asset
- Pencatatan pertanggungjawaban atas asset dapat dibandingkan dengan
asset yang ada dalam suatu interval yang masih wajar dan kepedulian
terhadap adanya suatu perbedaan
FCPA sangat penting karena merupakan aturan pertama yang mengharuskan
manajemen untuk menyusun pertanggungjawaban atas system pengendalian
akuntansi yang memadai. Selanjutnya FCPA mengharuskan perusahaan
untuk memperhatikan pencatatan yang akurat atas transaksi perusahaan
secara detail dan wajar. Tujuannya agar pencatatan-pencatatan tersebut
dapat merefleksikan kesesuaian transaksi dengan metode-metode yang
dapat diterima dan pencatatan kejadian ekonomis, pencegahan slush fund
dan adanya pembayaran suap.
b. FCPA Aftermath : What Happened?
Pelaksanaan FCPA tidak berjalan sebagaimana yang diharapkan. Atas
pembukuan yang telah dilakukan perusahaan tidak ada yang datang untuk
melakukan pemeriksaan atas proses dokumentasi yang telah dilaksanakan
oleh perusahaan. Namun sekarang ini semakain banyaknya peraturan antikorupsi dan anti-penyuapan merujuk pada ketentuan dalam FCPA, sehingga
dapat dikatakan bahwa FCPA memiliki peran penting atas efektivitas suatu
pengendalian internal, walau pada tahun tersebut (1977) belum terdapat
pengertian yang konsisten atas pengendalian internal.
3. Events Leading to the Treadway Commission
Pada akhir 1970-an external auditor hanya melaporkan, bahwa pengendalian
internal suatu perusahaan disajikan wajar, tanpa membuktikan apakah
dokumentasi dari pelaksanaan pengendalian internal tersebut telah sesuai dengan
standar pelaporan pengendalian internal yang dipersyaratkan oleh FCPA. Hal ini
menjadi ambigu mengingat tidak ada penjelasan yang konsisten atau jelas tentang
definisi pengendalian internal yang baik. Menanggapi hal ini, SEC telah melakukan
penelitian selama lebih dari 10 tahun untuk menyusun definisi yang lebih baik atas
pengendalian internal dan pertanggungjawaban dengan laporan atas kegiatan
pengendalian tersebut.
Pada tahun 1974, AICPA membentuk komisi tingkat tinggi yang bernama
Commission on Auditors Responsibilities, yang lebih dikenal dengan nama Cohen
Commision. Cohen Commision memberikan rekomendasi bahwa perusahaan harus
memberikan laporan atas internal control suatu perusahaan bersamaan dengan

laporan keuangannya. Hal ini menuai banyak kritik khususnya dari auditor
eksternal. Sehubungan dengan peran mereka dalam menguji kewajaran laporan
keuangan, rekomendasi ini menjadi potensi kewajiban auditor eksternal. Yang
menjadi permasalahan buat auditor eksternal adalah tidak adanya standar
pengendalian internal yang baik. Setiap perusahaan mempunyai keunikan tersendiri
sehingga auditor eksternal dalam memberikan pernyataan atas pengendalian
internal suatu perusahaan harus menyesuaikan. Lebih lanjut lagi apabila auditor
eksternal setuju pendendalian internal suatu perusahaan baik, ditakutkan ke
depannya terjadi permasalahan sehubungan dengan pengendalian internalnya.
Pada tahun 1970, The Financial Executive International (FEI), yang
merepresentasikan eksekutif keuangan perusahaan senior menyetujui dan
mengesahkan rekomendasi dari Cohen Commission, yaitu perusahaan harus
membuat management letter tentang pengendalian internal di perusahaan.
Penerapannya tidak harus memenuhi formulir-formulir tertentu, hanya berdasarkan
intepretasi masing-masing perusahaan tentang pengendalian internal yang baik.
Menanggapi hal ini, auditor eksternal pra SOx, menggunakan negatve assurance
dengan kata-kata tidak menemukan permasalahan yang mengarahkan pada
adanya masalah dalam pengendalian internal.
Berdasarkan rekomendasi dari Cohen Commission dan FEI, SEC mengusulkan
adanya aturan mandatory tentang laporan dari manajemen tentan efektifitas dari
pengendalian internal perusahaan. Namun lagi-lagi usulan ini mendapatkan
konfrontasi dari berbagai arah karena menurut CEO & CFO, aturan ini
memberatkan.
a. Earlier AICPA Standards : SAS No.55
AICPA adalah organisasi yang merilis standar eksternal auditor yaitu Statement on
Auditing Standards (SASs). SAS No.1 yang mengatur tentang standar format
sebagai dasar eksternal auditor untuk penelitian kecukupan dan kewajaran dari
laporan keuangan, beberapa kali melalui perubahan di tahun 1970an dan 1980.
Perubahan ini tidak membuat standar ini terlepas dari kritik atas expectation gap
antara pengguna laporan keuangan dengan auditor eksternal.
Menjawab kritik ini, AICPA mengeluarkan SASs atas standar audit pengendalian
internal di antara tahun 1980 dan 1985. Di dalam standar ini termasuk SAS no.30
tentang Reporting on Internal Accounting Control sebagai panduan untuk
penyusunan Laporan Pengendalian Akuntansi Internal. Selain itu juga SAS No.55,
Consideration of the Internal Control Structure in a Financial Statement Audit yang
menjelaskan 3 kunci elemen dari pengendalian internal yaitu :
1. Lingkungan Pengendalian
2. Sistem Akuntansi
3. Prosedur Pengendalian.
SAS No.55 lebih luas menjelaskan definisi pengendalian internal dari yang biasanya.
SAS No.55 menjadi efektif pada tahun 1990 dan mewakili langkah besar pada
penyediaan auditor eksternal yang sesuai dengan definisi pengendalian internal.

b. Treadway Committee Report

Pada akhir 1970an dan awal 1980an, banyak perusahaan yang gagal akibat inflasi
dan suku bunga yang tinggi. Selain itu masalah yang mengakibatkan kegagalan
ekonomi adalah kecurangan dalam penyajian laporan keuangan. Menanggapi hal
ini, 5 organisasi professional yaitu the IIA, AICPA, FEI, American Accounting
Association (AAA) dan Institute of Management Accountants (IMA) membentuk
National Commission on Fraudulent Financial Reporting yang kemudian disebut
Treadway Commission. Treadway Commission bertugas untuk mengidentifikasi
faktor-faktor penyebab kecurangan penyajian laporan keuangan dan memberikan
rekomendasi untuk mengurangi potensi terjadinya kecurangan tersebut. Laporan
dari Treadway Commission dirilis pada tahun 1987 yang di dalamnya termasuk
rekomendasi terhadap manajemen, dewan direksi, kantor akuntan publik dan
lainnya. Namun lagi-lagi ada kekurangan dari inkonsistensi atas definisi
pengendalian internal yang baik. Usaha untuk mendefinisikan pengendalian internal
sampai dengan tahun 2000 an dan menghasilkan COSO internal control framework
yang akan dibahas pada sesi berikutnya.
4. Kerangka Kerja Pengendalian Internal COSO
Untuk
menindaklanjuti
rekomendasi
dari
Treadway
Commision,
COSO
mengembangkan studi tentang sebuah model untuk mengevaluasi pengendalian
internal. Pada tahun 1992, diperkenalkan sebuah COSO Internal Control
Framework yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan
direksi, regulator, penyusun standar, organisasi profesi, dan lainnya sebagai
kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal
mereka.
Pada tahun 1985 didirikan The Committee of Sponsoring Organizations of the
Treadway Commissions yang merupakan aliansi dari organisasi profesi seperti :
- Financial Executives International (FEI)
- The American Accounting Association (AAA)
- The American Institute of Certified Public Accountants (AICPA)
- The Institute of Internal Auditors (IIA)
- The Institute of Management Accountants (IMA) / (Formaly the National
Association of Accountants)

Definisi Pengendalian Internal COSO adalah suatu proses, yang dipengaruhi oleh
dewan komisaris, manajemen, dan personil lainnya dari sebuah entitas, yang
dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan
pencapaian tujuan dalam efektivitas dan efisiensi operasi, keandalan laporan
keuangan, dan kepatuhan terhadap hukum dan peraturan yang berlaku
COSO Internal Control Framework
COSO mengidentifikasi Sistem Pengendalian Internal yang efektif meliputi lima
komponen yang saling berhubungan untuk mendukung pencapaian tujuan entitas,
yaitu:
1. Lingkungan Pengendalian (Control Environment)
Merupakan pondasi dari komponen pengendalian internal lainnya. Lingkungan
pengendalian meliputi beberapa faktor di antaranya :
a.
Integritas dan Etika (integrity and ethical value)
Auditor internal harus dapat memahami nilai etika di perusahaan di mana
mereka bekerja. Apabila mereka melihat bahwa dalam perusahaan tidak ada
nilai etika yang legal, hal tersebut mengindikasikan bahwa tidak ada peraturan
legal yang ditetapkan oleh manajemen dalam mengatur tingkah laku para
pegawainya. Jika hal tersebut terjadi, auditor internal perlu mengingatkan
manajemen untuk dapat menyusun dan menetapkan nilai etika perusahaan.
b.
Komitmen untuk meningkatkan kompetensi (commitment to competence)
Auditor internal dapat mengevaluasi terhadapt orang yang memegang posisi
atau jabatan di perusahaan. Dari evaluasi tersebut, auditor internal dapat
menilai apakah posisi tersebut diduduki oleh orang yang tepat. Auditor internal
juga perlu memastikan bahwa manajemen telah menyusun kerangka
kompetensi atas sebuah posisi atau jabatan di perusahaan.
c.
Dewan komisaris dan komite audit (Board of Direct and Audit Commitee)

Dewan komisaris dan komite audit yang aktif dan independen merupakan
komponen utama dalam lingkungan pengendalian. Sebelum SOx, jabatan
dewan komisaris dan komite audit didominasi oleh senior manajemen pihak
yang mempunyai kepentingan tanpa melihat kepentingan pemilik saham
minoritas.
d.
Filosofi manajemen dan jenis operasi (management philasophy and operating
style)
Filosofi dan gaya manajemen akan berdampak pada lingkungan pengendalian
yang akan dibuat. Terdapat manajemen yang sangat perhatian isu perpajakan,
pelaporan akuntansi yang sesuai dengan peraturan yang berlaku. Auditor
internal harus menjadikan filosofi dan gaya operasi manajemen sebagai bahan
pertimbangan dalam menilai efektivitas pengendalian internal perusahaan.
e.
Struktur organisasi (organization structur)
Struktur organisasi membantu manajemen dalam membuat perencanaan,
pelaksanaan, pengendalian, dan pengawasan pengendalian internal. Struktur
organisai ditentukan sesuai dengan tujuan perusahaan. Dengan ini akan lebih
memperjelas pembagian tanggung jawab dan wewenang dari masing-masing
individu.
f.
Pembagian wewenang dan tanggung jawab (assignment authority and
responsibility)
Dengan pembagian wewenang dan tanggung jawab yang jelas akan lebih
mudah diketahui siapa yang yang bertanggung jawab kepada siapa, serta
menghindari tumpang tindih wewenang dan tanggung jawab sehingga dapat
terhindarkan konflik antarindividu maupun antarunit dalam perusahaan. Auditor
internal dapat mengevaluasi apakah kegiatan operasional perusahaan telah
dilakukan.
g.
Kebijakan dan praktek sumber daya manusia (Human resources policy and
practice)
Kebijakan dan praktek sumber daya manusia terbagi dalam ruang lingkup
sebagai berikut:
Recruitment and hiring
New employee orientation
Evaluation, promotion, and compensation
Disciplinary actions
2. Penilaian Risiko (Risk Assessment)
Dalam mencapai tujuan perusahaan, terdapat faktor baik internal maupun eksternal
yang dapat menjadi kendala. Oleh karena itu diperlukan proses untuk mengenali,
memahami, dan mengelola faktor-faktor yang berpotensi untuk menjadi
risiko.Proses penilaia risiko sebaiknya dilakukan oleh seluruh level untuk seleruh
aktivitas perusahaan, yang terdiri dari 3 tahap, yaitu:
a. Mengidentifikasi signikasi dari risiko
b. Melakukan penilaian kemungkinan terjadinya risiko,
c. Menyusun cara mengelola dan menilai risiko

Beberapa perspektif yang menjadi dasar pertimbangan dalam melakukan penilaian

risiko menurut COSO adalah:
a. Risiko yang disebabkan oleh faktor eksternal, seperti perkembangan teknologi,
persaingan, dan perubahan ekonomi.
b. Risiko yang disebabkan oleh faktor internal, seperti kompetensi karyawan, sifat
dari aktivitas bisnis, dan karakteristik pengelolaan sistim informasi.
c. Specifi activity-level risks, bidang pemasaran, IT, dan finance.
Seringkali manajemen melakukan proses penilaian risiko yang kurang tajam,
sehingga diperlukan peran auditor internal untuk melakukan review dan membantu
manajemen untuk melakukan penilaian risiko.
3. Aktivitas Pengendalian (Control Activities)
Terdiri dari kebijakan dan prosedur yang menjamin karyawan melaksanakan arahan
manajemen. Dalam kerangka pengendalian internal COSO, aktivitas ini digolongkan
menjadi:
a. Review atas aktivitas manajemen dari internal auditor yang dilakuakan oleh toplevel dengan membandingkan pada rencana, anggaran, dan benchmark.
b. Aktivitas koreksi atas indikasi masalah dari pengendalian internal.
c. Pemrosesan informal yang diintegrasikan dengan sistem pengendalian internal.
d. Pengendalian atas aset peusahaan secara fisik.
e. Penerapan indikator penilaian yang merupakan dasar analisis atas masalah dari
pengendalian internal.
f. Pemisahan tugas dan wewenang.
Aktivitas pengendalian dilakukan berdasarkan penilaian risiko yang telah dilakukan.
Oleh karena itu, penilaian risiko harus direviu secara berkala.
4. Komunikasi dan informasi (Communications and Information)
Dalam kerangka pengendalian internal COSO, komunikasi dan informasi bukanlah
satu level dalam pengendalian internal, melainkan sebuah proses yang meliputi
keseluruhan kerangka. Informasi yang relevan harus dikonfirmasikan kepada
seluruh pihak dalam organisasi secara tepat waktu.
Kriteria kualitas informasi untuk mendukung pengendalian internal, antara lain:
a. Keseuaian data dari informasi
b. Informasi tepat waktu dan tersedia jika dibutuhkan
c. Informasi selalu update
d. Kebenaran dan akurasi informasi
e. Akses terhadap informasi
Organisasi juga harus menyusun suatu prosedur yang efektif untuk
mengkomunikasikan informasi tersebut kepada pihak internal dan eksternal. Pihak
internal memerlukan informasi untuk mengetahui batasan dalam bertindak baik
dikomunikasikan secara normal maupun confidental. Sama dengan halnya
komunikasi dengan pihak eksternal (pelanggan, pemasok, pemegang saham, bank,
pembuat kebijakan), komunikasi yang baik akan membantu organisasi dalam
menidentifikasi potensi risiko dari faktor eksternal dan bagaimana cara
menanggulanginya.

10

5. Pengawasan (Monitoring)
Karena Pengendalian Internal harus dilakukan sepanjang waktu, maka COSO
menyatakan perlunya manajemen untuk terus melakukan pengawasan terhadap
keseluruhan Sistem Pengendalian Internal melalui aktivitas yang berkelanjutan dan
melalui evaluasi yang ditujukan terhadap aktivitas atau area yang khusus.
Kegiatan pengawasan yang dapat dilakukan oleh perusahaan antara lain:
a. Ongoing monitoring
Operating management normal functions, segera melakukan tindakan
perbaikan ketika kegiatan normal perusahaan mengalami kondisi
pengecualian.
Komunikasi dengan pihak eksternal, seperti keluhan dari pelanggan harus
dikelola dengan baik.
Aktivitas pengawasan oleh supervisor secara hirearki.
Rekonsiliasi aset secara fisik.
b. Separate internal control evaluation
Pengawasan dan evaluasi atas pengendalian internal yang dilakukan secara
periodik.

II. Risk Management: COSO ERM

Ada perubahan ketika Committee of Sponsoring Organizations (COSO) merilis
metodologi risiko perusahaan menjadi Format COSO Enterprise Risk Management
(COSO ERM) yaitu pendekatan yang memungkinkan suatu perusahaan dan audit
internal mempertimbangkan dan menilai risiko di semua tingkatan, baik di daerah
masing-masing (seperti: proyek pengembangan teknologi informasi (TI)) atau dalam
risiko global berkaitan dengan perluasan internasional. Dirilis oleh badan bimbingan
pengaturan yang sama dengan COSO tentang bagaimana mengembangkan dan
memelihara kerangka pengendalian internal COSO, COSO ERM kadang-kadang
tampak seperti saudara kontrol internal, tetapi memiliki banyak nuansa dan
pendekatan yang berbeda.
Pemahaman tentang pendekatan penilaian risiko dan manajemen risiko secara
keseluruhan, dengan penekanan pada COSO ERM sebaiknya ada common body of
knowledge (CBOK) dalam setiap auditor internal. Bab ini membahas dasar-dasar
manajemen risiko, pengenalan COSO ERM, dan menyajikan teknik audit internal
untuk memahami dan menilai risiko di banyak daerah, mulai dari memilih daerah
untuk meninjau hingga mengevaluasi risiko sebagai bagian dari tinjauan audit
internal.
1. Risk Management Fundamental
Ketika Perusahaan menghadapi berbagai risiko perlu beberapa alat untuk memilahmilah semuanya dalam rangka untuk membuat biaya yang rasional dan keputusan
terkait risiko. Ini adalah proses manajemen risiko. Sementara beberapa dalam bisnis
saat ini hanya menilai suatu daerah tinggi, sedang, atau rendahnya risiko dan

11

kemudian membuat keputusan asuransi atau perlindungan risiko yang cepat

berdasarkan pilihan tersebut. sedangkan yang lainnya menggunakan alat kualitatif
atau kuantitatif yang lebih canggih untuk memahami dan mengevaluasi risiko.
Berikut beberapa survei dasar pendekatan manajemen risiko modern dengan tujuan
membantu membuat prosedur manajemen risiko perusahaan lebih efektif dalam
suatu perusahaan. Sebuah proses manajemen risiko yang efektif memerlukan
empat langkah, yaitu: (1) identifikasi risiko, (2) penilaian kuantitatif atau kualitatif
terhadap dokumentasi risiko, (3) prioritas risiko dan respon perencanaan, (4) dan
pemantauan risiko.
Empat langkah proses manajemen risiko ini
perusahaan denga partisipasi banyak orang
yang beroperasi di wilayah geografis yang
(perusahaan di seluruh dunia) pendekatan
untuk seluruh perusahaan.

harus dilaksanakan pada semua tingkat

yang berbeda. Apakah perusahaan kecil
terbatas atau bahkan yang lebih besar
manajemen risiko harus dikembangkan

a. Risk Identification
Manajemen berusaha mengidentifikasi semua risiko yang mungkin dapat
mempengaruhi keberhasilan perusahaan, mulai dari yang lebih besar atau bisnis
yang secara keseluruhan lebih signifikan terhadap risiko ke risiko yang kurang
penting dimana terkait dengan proyek-proyek individu atau unit bisnis yang lebih
kecil. Proses identifikasi risiko merupakan pendekatan yang disengaja agar dapat
melihat potensi risiko di setiap daerah operasi dan kemudian mengidentifikasi area
risiko yang lebih signifikan yang dapat mempengaruhi setiap operasi dalam jangka
waktu yang wajar.
Ide pendekatan ini adalah untuk menguraikan beberapa tingkat risiko yang tinggi
"straw man" (orang-orang yang dipercaya) yang dapat mempengaruhi berbagai unit
operasi. Orang berpengetahuan melihat dan memperluas daftar ini sesuai dengan
modifikasi mereka. Exhibit 6.1 menunjukkan beberapa jenis risiko utama yang dapat
mempengaruhi perusahaan termasuk berbagai risiko strategis, operasi, dan
keuangan. Ini adalah jenis daftar CEO tingkat tinggi yang mungkin bisa digunakan
oleh pemegang saham sebagai pertanyaan umum pada pertemuan tahunan "
What worries you at the end of the day?" Meskipun tidak mencantumkan semua
risiko yang dihadapi perusahaan, daftar pertama ini dapat digunakan untuk
memulai rincian identifikasi risiko. Manajemen senior tingkat CEO perusahaan dapat
bertemu dengan stafnya dan menanyakan beberapa hal "Apa yang
mengkhawatirkanmu ..." jenis pertanyaan ini untuk mengidentifikasi risiko.
Tabel 6.1 Jenis-Jenis Risiko Perusahaan

12

Pada Tabel 6.1 dia atas disajikan beberapa model risiko secara umum. Model
risiko pada level yang lebih tinggi dapat digunakan sebagai dasar untuk
menentukan risiko yang lebih spesifik pada berbagai unit perusahaan dengan
memperluas daftar yang lebih lengkap dalam pengidentifikasian risiko.
Tim manajemen perusahaan harus memulai daftar yang lebih lengkap tentang
potensi-potensi risiko perusahaan dengan pertanyaan sebagai berikut:
Apakah risiko umum yang terjadi di perusahaan secara keseluruhan atau
risiko khusus yang terjadi di satu kelompok bisnis?
Apakah perusahaan menghadapi risiko ini karena faktor internal atau
melalui peristiwa eksternal?
Apakah risiko berkaitan, misalnya satu risiko dapat menyebabkan
terjadinya risiko lain?

13

b. Key Risk Assessments

Langkah berikutnya pada proses identifikasi risiko adalah menilai kemungkinan
dan signifikansi yang relatif. Berbagai pendekatan yang digunakan mulai dari
pendekatan kualitatif pada beberapa rincian hingga pendekatan kuantitatif pada
analisis yang sangat matematis. Ide ini membantu memutuskan mana dari
rangkaian acara tersebut yang berpotensi berisiko memberikan kekhawatiran
pada manajemen. Manajer harus bertanggung jawab menilai risiko ini dengan
menggunakan pendekatan kuesioner:
Bagaimana kemungkinan terjadinya risiko ini selama periode satu tahun ke
depan?
Menggunakan skor 1-9, menetapkan nilai terbaik melalui tebakan sebagai
berikut:
Skor 1 jika Anda melihat hampir tidak ada kesempatan (almost no
chance) terjadinya risiko selama periode tersebut.
Skor 9 jika Anda merasa acara tersebut hampir pasti akan terjadi
(almost certainly happen) selama periode tersebut.
Skor 2 sampai 8 tergantung pada bagaimana Anda merasa
kemungkinan berada di antara dua rentang tersebut.
Apa signifikansi risiko biaya pada perusahaan secara keseluruhan? Sekali
lagi menggunakan skala 1-9, rentang skor harus ditetapkan tergantung
risiko yang signifikan pada keuangan. Sebuah risiko yang dapat
menurunkan biaya laba per saham dengan kemungkinan 1 sen mungkin
dapat memenuhi syarat untuk skor maksimum 9.

(i) Probability and Uncertainty

Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus
memikirkan perkiraan kemungkinan risiko individu dan kejadian dalam dua
digit probabilitas berkisar antara 0,01 sampai 0,99. Rentang nilai tersebut
menunjukkan bahwa risiko tidak pernah memiliki kesempatan 0 (tidak ada

14

risiko) atau 100% (pasti terjadi). Bagaimanapun juga, proses penilaian risiko
yang akurat tidak hanya diukur berdasarkan perkiraan yang dinyatakan
dalam rentang angka 1 s.d. 9 atau dengan persentase. Manajemen
perusahaan harus melihat risiko yang teridentifikasi dan mengumpulkan
informasi lebih lanjut jika diperlukan.
(ii) Risk Interpendencies
Dalam sebuah perusahaan seringkali risiko sangat saling bergantung satu
sama lain. Setiap unit operasi bertanggung jawab dalam mengelola risiko
sendiri tetapi mungkin saja menerima konsekuensi atas risiko yang terjadi
pada unit diatas atau dibawahnya dalam struktur organisasi.
(iii) Risk Ranking
Sebuah perusahaan yang memiliki kekhasan mungkin akan menghasilkan
daftar potensi risiko yang sangat panjang. Langkah berikutnya yang perlu
dilakukan adalah menggunakan perkiraan tentang signifikansi dan
kemungkinan (likelihood) yang telah dibuat, menghitung peringkat risiko, dan
kemudian mengidentifikasi risiko yang paling signifikan. Meskipun kita tidak
pernah bisa memprediksi konsekuensi utama dari risiko, suatu perusahaan
harus selalu menyadari bahwa bencana terburuk bisa saja terjadi.
c. Quantitative Risk Analysis
1) Expected Values and Response Planning
Diperlukan sedikit nilai dalam mengidentifikasi risiko yang signifikan
kecuali perusahaan telah merencanakan di awal berupa tindakan yang
diperlukan jika salah satu risiko terjadi. Ide ini memperkirakan dampak
biaya yang terjadi dari beberapa risiko yang telah diidentifikasi dan
kemudian menerapkan biaya untuk probabilitas faktor risiko untuk
menurunkan nilai yang diharapkan atau menurunkan biaya risiko. Risiko
tersebut mahal jika terjadi namun juga mahal untuk melindunginya.
2) Risk Monitoring
Mengidentifikasi risiko utama tidak pernah bisa dilakukan sendiri dalam
suatu proses
waktu. Lingkungan disekitar risiko yang telah
diidentifikasikan segera berubah karena kondisi sekitarnya berubah. Untuk
beberapa risiko, kondisi dapat berubah sedemikian rupa sehingga risiko
menjadi ancaman yang lebih besar. Proses pemantauan yang akurat
merupakan komponen penting dari manajemen risiko. Suatu perusahaan
mungkin telah melalui proses yang rumit dalam mengidentifikasi risiko
yang signifikan, namun status risiko perlu dipantau secara teratur dan
apabila diperlukan maka dibuat perubahan atas risiko yang telah
diidentifikasi tersebut.

2. COSO ERM: Enterprise Risk Management

15

COSO-Interprise Risk Management adalah suatu kerangka kerja yang membantu

perusahaan untuk memiliki definisi yang konsisten terhadap risiko yang dimiliki. Ini
juga merupakan alat penting bagi pemahaman dan dan meningkatkan
pengendalian internal Sox. COSO ERM diluncurkan pada cara yang sama dengan
pengembangan pengendalian internal framework COSO. Dokumen kerangka COSO
ERM mendefinisikan manajemen risiko perusahaan sebagai berikut:
Enterprise Risk Management adalah sebuah proses yang dipengaruhi oleh Board of
Director perusahaan, manajemen dan personil lainnya yang diterapkan dalam
pembuat kebijakan di seluruh perusahaan yang dirancang untuk mengidentifikasi
kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko agar
berada dalam risk appetite untuk memberikan keyakinan tentang pencapaian
tujuan entitas.
Adapun pertimbangan poin kunci yang mendukung kerangka kerja COSO ERM ini
adalah:

ERM adalah proses. Suatu perusahaan sering tidak dapat menentukan aturan
manajemen risiko melalui buku peraturan kecil yang diselenggarakan.
Sebaliknya harus ada serangkaian langkah yang didokumentasikan untuk
meninjau dan mengevaluasi potensi risiko dan mengambil tindakan berdasarkan
berbagai faktor di seluruh perusahaan.
Proses ERM dilaksanakan oleh orang-orang di dalam perusahaan. Proses
manajemen risiko harus dikelola oleh orang-orang yang cukup dekat dengan
kondisi risiko agar dapat memahami berbagai faktor sekitar risiko termasuk
implikasinya.
ERM diterapkan melalui pengaturan strategi di perusahaan secara
keseluruhan. Setiap perusahaan terus dihadapkan dengan startegi alternatif
mengenai macam potensi tindakan di masa depan. Untuk itu ERM harus
diterapkan di seluruh perusahaan dengan menggunakan jenis pendekatan
portofolio yang memaduka mix of high-and low-risk activities.
Konsep risk appetite harus dipertimbangkan. Risk appetite adalah umlah
risiko pada level board, diaman suatu perusahaan dan manajer bersedia
menerima dan mencari nilai. Risk appetite dapat diukur dalam arti kualitatif
dengan melihat risiko dalam kategori: tinggi, sedang, atau rendah.
Dalam mencapai tujuan, ERM memberikan keyakinan memadai bukan
jaminan pasti. Meskipun manajemen proses ERM efektif, perushaan dapat
mengalami peristiwa bencana major dan benar-benar tak terduga. Keyakinan
yang memadai tidak menyediakan jaminan mutlak.
ERM dirancang untuk membantu mencapai tujuan. Melalui manajemen,
sebuah perusahaan harus bekerja untuk membangun tujuan umum high-level
yang dapat digunakan bersama oleh semua pemangku kepentingan. Program
ERM keseluruhan perushaaan harus membantu mencapai tujuan tersebut.

16

2. Elemen elemen kunci COSO ERM

Kerangka pengendalian internal COSO, seperti yang ditunjukkan dalam gambar di
bawah ini telah menjadi Model bagi seluruh dunia untuk menggambarkan dan
mendefinisikan pengendalian internal. Gambar di bawah ini menunjukkan
framework COSO ERM sebagai kubus tiga dimensi dengan komponen sebagai
berikut :
Empat kolom vertikal mewakili tujuan strategis dari risiko perusahaan.
Delapan baris horizontal atau komponen risiko.
Beberapa tingkatan untuk menggambarkan level unit perusahaan, dari tingkat
entitas kantor pusat ke anak perusahaan individu. Tergantung pada ukuran
organisasi, akan ada banyak irisan model di sini.

Tujuan dari kerangka kerja ERM ini adalah untuk memberikan model bagi
perusahaan untuk mempertimbangkan dan memahami risiko yang berhubungan
dengan kegiatan di semua tingkat serta bagaimana dampak komponen risiko ini
satu sama lain. Karena diagram kerangka COSO ERM terlihat sangat mirip dengan
kerangka pengendalian internal COSO yang telah akrab bagi banyak auditor internal
dalam beberapa tahun terakhir dan tentu setelah SOx, beberapa terkadang salah
melihat COSO ERM hanya sebagai pembaruan ke kerangka pengendalian internal
COSO. Namun, COSO ERM memiliki tujuan dan kegunaan yang berbeda. COSO ERM
tidak seharusnya dianggap hanya sebagai versi baru dan perbaikan atau revisi dari
kerangka pengendalian internal COSO, namun harus lebih dari itu. Berikut ini garis
besar kerangka ini dari perspektif komponen risiko.

17

(a) Komponen Lingkungan internal

Bila melihat bagian depan kubus COSO ERM, ada delapan tingkat, dengan
lingkungan internal yang terletak di bagian atas kerangka ERM. Sebaliknya, dalam
kerangka COSO pengendalian internal, faktor pengendalian lingkungan ditempatkan
di tingkat dasar. Lingkungan internal dapat dianggap sebagai batu penjuru untuk
COSO ERM. Tingkat ini mendefinisikan dasar untuk semua komponen lain dalam
model ERM suatu perusahaan, mempengaruhi bagaimana strategi dan tujuan harus
ditetapkan, bagaimana risiko terkait kegiatan usaha terstruktur, dan bagaimana
risiko diidentifikasi dan cara menindaknya. Komponen lingkungan internal COSO
ERM terdiri dari unsur-unsur:
Filosofi manajemen risiko
Ini adalah sikap bersama dan keyakinan yang menjadi ciri bagaimana
perusahaan mempertimbangkan risiko dalam segala hal yang dilakukannya.
Lebih dari hanya sekedar pesan dalam kode etik, filosofi manajemen risiko adalah
sikap yang harus memungkinkan para pemangku kepentingan di semua
tingkatan untuk merespon proposal berisiko tinggi dengan jawaban menerima
atau tidak.
Risk appetite (Selera Resiko)
Selera resiko adalah jumlah risiko yang bersedia diterima suatu perusahaan
dalam mengejar tujuannya. Selera untuk risiko dapat diukur dari segi kuantitatif
atau kualitatif, tetapi semua tingkatan manajemen harus memiliki pemahaman
umum tentang selera resiko keseluruhan perusahaan mereka.
Sikap Direksi
Dewan direksi dan komitenya memiliki peranan yang sangat penting dalam
mengawasi dan membimbing lingkungan risiko suatu perusahaan. Orang yang
Independen, diluar direktur khususnya harus mecermati tindakan manajemen,
mengajukan pertanyaan yang tepat, dan berfungsi sebagai kontrol check-danbalance untuk perusahaan.
Integritas dan nilai etika
Unsur lingkungan internal ERM yang penting ini membutuhkan lebih dari sekedar
kode etik yang diterbitkan maupun, berpikir diluar pernyataan misi dan integritas
standar. Hal hal tersebut membantu untuk membangun budaya yang kuat
untuk memandu perusahaan, di semua tingkatan, membantu untuk membuat
keputusan berdasarkan resiko.
Komitmen untuk kompetensi
Kompetensi mengacu pada pengetahuan dan keterampilan yang diperlukan
untuk melakukan tugas yang diberikan. Manajemen memutuskan bagaimana
tugas-tugas penting akan dicapai melalui pengembangan strategi dan
menempatkan orang yang tepat untuk melakukan hal tersebut. Dengan
komitmen yang kuat untuk kompetensi, manajer di semua tingkatan harus
mengambil langkah-langkah untuk mencapai tujuan yang mereka janjikan.
Struktur organisasi

18

Perusahaan harus mengembangkan struktur organisasi dengan garis wewenang,

tanggung jawab, dan pelaporan yang tepat. Setiap profesional telah melihat
situasi di mana sebuah organisasi tidak memiliki jalur komunikasi yang sesuai.
Tugas wewenang dan tanggung jawab
Komponen ERM ini mengacu pada sejauh mana wewenang dan tanggung jawab
ditugaskan atau didelegasikan. Tren di banyak perusahaan saat ini adalah untuk
mendorong persetujuan otoritas tanggung jawab pada bagian bawah bagan
organisasi, memberikan tingkat yang lebih rendah dan bahkan pada karyawan lini
pertama otorisasi dan otoritas persetujuan yang lebih besar. Tren terkait telah
meratakan organisasi dengan menghilangkan tingkat manajemen menengah.
Struktur ini biasanya mendorong kreativitas karyawan, waktu respon lebih cepat,
dan kepuasan pelanggan yang lebih besar.
Standar sumber daya manusia
Praktek mengenai perekrutan karyawan, pelatihan, kompensasi, promosi,
mendisiplinkan, dan semua tindakan lainnya memberikan pesan tentang apa
yang disukai, ditoleransi, dan terlarang. Ketika manajemen mengedipkan mata
atau mengabaikan pada beberapa kegiatan di area abu abu daripada
mengambil sikap yang kuat, pesan tersebut biasanya secara informal dan cepat
dikomunikasikan kepada orang lain. Standar yang kuat diperlukan untuk
memastikan bahwa aturan sumber daya manusia yang baik dikomunikasikan
kepada semua pemangku kepentingan dan ditegakkan.
Dua komponen lingkungan internal COSO ERM, filosofi manajemen risiko
perusahaan dan selera relatif dari risiko, memberikan asupan bagi unsur-unsur lain
dari Kerangka ERM COSO. Sementara filosofi manajemen risiko dibahas dalam hal
sikap dewan direksi dan kebijakan sumber daya manusia, selera risiko sering
menajadi ukuran yang lebih halus, jika suatu perusahaan telah menetapkan bahwa
selera resiko akan menerima beberapa risiko tetapi menolak hal hal lain dalam hal
kemungkinan dan dampaknya. Gambar di bawah ini menunjukkan peta resiko.
Perusahaan harus mengenali pada range yang mana perusahaan bersedia
menerima risiko dalam hal kemungkinan dan dampaknya. Gambar di bawah ini
menyatakan bahwa perusahaan mungkin bersedia untuk terlibat dalam proyeknegatif-yang memiliki dampak tinggi jika ada kemungkinan rendah terjadinya hal
tersebut. Suatu perusahaan kadang-kadang juga akan memiliki selera yang lebih
besar untuk usaha yang lebih berisiko jika ada potensi pengembalian yang lebih
tinggi.

19

(b) Penetapan Tujuan

Berada pada peringkat tepat di bawah lingkungan internal dalam kerangka ERM
COSO, penetapan tujuan menguraikan kondisi penting untuk membantu
manajemen membuat proses ERM yang efektif. Elemen ini menyatakan bahwa,
selain lingkungan internal yang efektif, perusahaan harus menetapkan serangkaian
tujuan strategis, sejalan dengan misinya dan operasi yang meliputi, pelaporan, dan
aktivitas kepatuhan. COSO ERM menekankan bahwa pernyataan misi adalah elemen
penting untuk menetapkan tujuan;pernyataan misi adalah sebuah pernyataan
tujuan secara umum yang diformalkan dan sebuah fondasi untuk pengembangan
strategi fungsional tertentu.
Intinya di sini adalah bahwa perusahaan harus menentukan strategi yang berkaitan
dengan risiko dan tujuan. Dalam pedoman tersebut, harus memutuskan selera dan
toleransi perusahaan untuk risiko ini. Artinya, harus menentukan tingkat risiko yang
bersedia diterima dan, memberikan aturan-aturan toleransi risiko, seberapa jauh
perusahaan bersedia untuk menyimpang dari langkah-langkah sebelum tersedianya
pengukuran. Gambar di bawah ini menguraikan hubungan bagian-bagian dari
komponen penetapan tujuan dari COSO ERM. Dimulai dengan misi keseluruhan,
pendekatan ini adalah untuk :
1.
2.
3.
4.

Mengembangkan tujuan strategis untuk mendukung pencapaian misi tersebut

Menetapkan strategi untuk memenuhi tujuan,
Mendefinisikan tujuan terkait, dan
Menentukan selera risiko untuk menyelesaikan Strategi tersebut.

20

Gambar tersebut diadaptasi dari materi panduan COSO ERM. Materi tersebut harus
dirujuk ke sebuah pemahaman yang lebih rinci dari COSO ERM. Untuk mengelola
dan mengendalikan risiko di semua tingkat, perusahaan perlu menetapkan tujuan
dan menentukan toleransi untuk terlibat dalam praktek berisiko dan kepatuhan
terhadap aturan-aturan ini. Segala sesuatunya tidak akan bekerja jika perusahaan
menetapkan beberapa tujuan yang berhubungan dengan risiko tetapi kemudian
mulai mengabaikan apa yang sudah ditetapkan.
(c) Identifikasi Peristiwa
Peristiwa adalah sebuah insiden atau kejadian perusahaan dari internal atau
eksternal yang mempengaruhi pelaksanaan strategi ERM dan pencapaian
tujuannya. Sementara kecenderungan kita adalah memikirkan peristiwa dalam
pengertian negatif - menentukan apa yang salah, padahal suatu peristiwa juga bisa
berdampak positif. Banyak perusahaan saat ini memiliki alat pemantauan kinerja
yang kuat di tempat untuk memantau biaya, anggaran, jaminan kualitas,
kepatuhan, dan sejenisnya. Namun, daripada hanya menginstal meter pada jalur
perakitan produksi, proses pemantauan harus mencakup:
Peristiwa ekonomi eksternal
Berbagai peristiwa eksternal perlu dipantau untuk membantu mencapai tujuan
ERM suatu perusahaan. Kedua duanya baik peristiwa jangka pendek dan jangka
panjang dapat berdampak pada tujuan strategis suatu perusahaan.

21

 Peristiwa lingkungan alam

Apakah kebakaran, banjir, atau gempa bumi, dan banyak peristiwa alam lainnya
dapat menjadi insiden dalam identifikasi risiko ERM. Dampak di sini mungkin
termasuk hilangnya akses ke beberapa bahan baku utama, kerusakan fasilitas
fisik, atau tidak tersedianya personil.
Peristiwa politik
Undang-undang dan peraturan baru serta hasil pemilu dapat memiliki dampak
risiko yang signifikan pada perusahaan. Banyak perusahaan besar memiliki fungsi
urusan pemerintahan yang mengulas perkembangan pemerintahan terkini dan
lobi-lobi untuk perubahan, tetapi fungsi tersebut tidak selalu selaras dengan
tujuan ERM perusahaan tersebut.
Faktor sosial
Sementara peristiwa eksternal seperti gempa bumi adalah sebuah peristiwa tibatiba dan muncul dengan sedikit peringatan, sebagian besar faktor sosial adalah
sebuah peristiwa yang berkembang perlahan. Ini termasuk perubahan demografi,
adat istiadat sosial, dan peristiwa lainnya yang dapat mempengaruhi suatu
perusahaan dan pelanggan dari waktu ke waktu.
Peristiwa infrastruktur internal
Perusahaan sering melakukan perubahan halus yang memicu peristiwa terkait
risiko lainnya. Sebagai contoh, perubahan dalam pengaturan layanan pelanggan
dapat menimbulkan keluhan utama dan penurunan kepuasan pelanggan di unit
ritel. Permintaan pelanggan yang kuat untuk produk baru dapat menyebabkan
perubahan dalam persyaratan kapasitas pabrik dan kebutuhan personil
tambahan.
Peristiwa terkait proses internal
Mirip dengan perubahan peristiwa infrastruktur, perubahan proses kunci dapat
memicu berbagai risiko identifikasi peristiwa. Dalam banyak kasus, identifikasi
risiko mungkin tidak dapat langsung, dan beberapa waktu mungkin berlalu
sebelum proses terkait sinyal peristiwa perlunya identifikasi risiko.
Peristiwa Teknologi Eksternal & Internal
Setiap perusahaan menghadapi berbagai macam peristiwa teknologi yang dapat
memicu kebutuhan untuk identifikasi risiko formal. Beberapa mungkin
berlangsung secara bertahap sementara yang lain, seperti pergeseran ke
lingkungan Web, lebih mendadak. Dalam kasus lain, perusahaan dapat merilis
perbaikan baru yang menyebabkan pesaing di mana-mana untuk melakukan
tindakan.
Suatu perusahaan perlu mendefinisikan dengan jelas risiko kejadian yang signifikan
dan kemudian memiliki proses di tempat untuk memantau risiko kejadian yang
signifikan tersebut untuk mengambil tindakan tepat yang diperlukan. Jenis
berpikiran maju dari proses ini sering sulit untuk dikenali di banyak perusahaan.
Melihat risiko potensial dalam peristiwa internal dan eksternal dan memutuskan
mana yang memerlukan perhatian lebih lanjut dapat menjadi proses yang sulit.
Beberapa merupakan kebutuhan mendesak, dan yang lain sangat berupa

22

pengarahan masa depan. COSO ERM menganjurkan

mempertimbangkan beberapa pendekatan berikut :

perusahaan

untuk

Persediaan Peristiwa
Manajemen harus mengembangkan daftar-terkait risiko kejadian umum untuk
industri perusahaan tertentu dan area fungsional. Artinya, perusahaan harus
mempertimbangkan membuat daftar risiko yang dapat diidentifikasi dari
pelajaran pelajaran dalam sumber arsip perusahaan.
Workshop yang difasilitasi
Suatu perusahaan dapat membangun workshop lintas fungsional untuk
membahas faktor-faktor risiko potensial yang mungkin berkembang dari berbagai
peristiwa internal atau eksternal. Hasil dari workshop ini akan menjadi rencana
aksi untuk memperbaiki potensi risiko.
Wawancara, kuesioner, dan survei.
Informasi mengenai risiko potensial dalam suatu peristiwa dapat berasal dari
berbagai sumber, seperti surat kepuasan pelanggan atau komentar wawancara
karyawan yang keluar. Informasi ini harus ditangkap dan diklasifikasikan untuk
mengidentifikasi kemungkinan yang mengarah ke peristiwa berisiko.
Analisis aliran proses
Materi mengenai teknik aplikasi COSO ERM merekomendasikan penggunaan
diagram alir untuk meninjau proses dan mengidentifikasi risiko potensial dalam
suatu peristiwa.
Pemimpin peristiwa dan pemicu eskalasi
Idenya di sini adalah untuk membangun serangkaian unit pengukuran untuk
memantau tujuan toleransi risiko dan mempromosikan tindakan perbaikan.
Pelacakan data kerugian suatu peristiwa
Sementara pendekatan dashboard memantau risiko peristiwa yang terjadi,
seringkali terlalu berharga untuk meletakkan segala sesuatu dalam perspektif
yang lebih setelah berlalunya waktu. Pelacakan data kerugian suatu peristiwa
mengacu untuk menggunakan kedua duanya baik sumber database internal
maupun masyarakat untuk melacak aktivitas di area yang menarik. Sumbersumber ini juga dapat mencakup berbagai bidang mulai dari indikator ekonomi
terkemuka untuk tingkat kegagalan peralatan internal. Lagi - lagi di sini, suatu
perusahaan harus menginstal proses identifikasi risiko yang efektif untuk
melacak kedua duanya baik resiko terkait peristiwa internal dan eksternal.
(d) Penilaian Risiko
Sementara komponen lingkungan internal adalah landasan COSO, komponen
penilaian risiko adalah inti kerangka itu. Penilaian risiko memungkinkan suatu
perusahaan untuk mempertimbangkan apakah ada efek risiko potensial terkait
peristiwa yang mungkin dimiliki dalam suatu pencapaian perusahaan atas tujuan
perusahaannya. Risiko ini harus dinilai dari dua perspektif: kemungkinan risiko yang
terjadi dan dampak potensial. Sebagai bagian penting dari proses penilaian risiko

23

ini, bagaimanapun, adalah kebutuhan untuk mempertimbangkan risiko inherent dan

risiko residual juga:
Risiko Inherent
Seperti yang didefinisikan oleh Kantor Manajemen dan Anggaran Pemerintah AS,
risiko inherent adalah "potensi limbah, kerugian, penggunaan yang tidak sah,
atau penyalahgunaan karena sifat dari suatu kegiatan itu sendiri." Faktor-faktor
utama yang mempengaruhi risiko inherent adalah ukuran anggaran perusahaan,
kekuatan dan kecanggihan manajemen, dan hanya sifat kegiatannya. Risiko
inherent merupakan risiko diluar pengendalian manajemen dan biasanya berasal
dari faktor eksternal.
Risiko Residual
Ini adalah risiko yang tersisa setelah manajemen menanggapi ancaman risiko
dan menerapkan penanggulangan. Ada hampir selalu beberapa tingkat risiko
residual.
Kedua konsep menyiratkan bahwa suatu perusahaan akan selalu menghadapi
beberapa risiko. Setelah manajemen telah membahas risiko yang muncul dari
proses identifikasi risiko, masih akan ada beberapa risiko residual untuk diperbaiki.
Selain itu, selalu ada beberapa risiko inherent dimana manajemen hanya dapat
melakukan sedikit untuk mengurangi risiko tersebut.
Kemungkinan risiko dan dampaknya adalah dua komponen kunci lain yang
diperlukan untuk melakukan penilaian risiko. Kemungkinan adalah probabilitas atau
kemungkinan bahwa risiko akan terjadi. Dalam banyak kasus, ini bisa menjadi
penilaian manajemen kunci yang dinyatakan dalam ukuran tinggi, sedang, atau
rendah dan kemungkinan risiko yang terjadi. Ada juga beberapa alat kuantitatif
yang baik untuk mengembangkan perkiraan kemungkinan, tapi hanya sedikit yang
baik yang dapat memperkirakan kemungkinan risiko yang terjadi kecuali ada data
pendukung yang kuat.
Memperkirakan dampak jika risiko terjadi adalah sedikit lebih mudah. Contohnya,
untuk Risiko terkait IT, dampak dari kegagalan server data dan pusat jaringan;
suatu perusahaan dapat mengembangkan beberapa perkiraan yang relatif akurat
seperti biaya fasilitas dan peralatan mengganti, biaya sistem memulihkan, dan
biaya kehilangan bisnis karena kegagalan terkait IT. Namun, seluruh konsep di balik
ERM tidak mengembangkan secara tepat, perhitungan tingkat aktuaria mengenai
risiko ini tetapi untuk menyediakan kerangka kerja manajemen risiko yang efektif.
Perhitungan rinci dapat didelegasikan kepada estimator asuransi dan lain-lain.
Analisis kemungkinan risiko dan dampak potensial dapat dikembangkan melalui
serangkaian
langkah-langkah
kuantitatif
dan
kualitatif.
Ide
dasarnya,
bagaimanapun, adalah untuk menilai semua risiko diidentifikasi dan untuk
memeringkat risiko risiko tersebut dalam hal kemungkinan dan dampak secara
konsisten.

24

Tanpa melalui analisis kuantitatif rinci, setiap risiko yang diidentifikasi dapat
digolongkan dalam keseluruhan skala relatif 1 sampai 10, dengan pertimbangan
diberikan kepada dampak dan kemungkinan masing-masing. Peringkat ini dapat
dicapai dengan proses keputusan manajemen yang fokus di mana masing-masing
risiko yang teridentifikasi ditinjau dan kemudian diperingkat sehubungan dengan
skala ini. Gambar di bawah ini menunjukkan bagaimana serangkaian risiko untuk
sebuah perusahaan sampel dinilai pada tinggi, sedang, atau nilai relatif rendah.
Untuk perusahaan yang lebih besar, risiko dapat ditingkatkan 1 sampai 10 atau
bahkan 1-100 memungkinkan granularity yang lebih besar. Idenya adalah untuk
menetapkan beberapa peringkat relatif terhadap risiko dan untuk mengidentifikasi
risiko-risiko yang harus mendapat perhatian yang paling menyeluruh dari
manajemen.

(e) Respon Risiko

Setelah dinilai dan diidentifikasi risiko - risiko yang lebih signifikan, COSO ERM
menyerukan agar respon diukur untuk berbagai risiko yang teridentifikasi.

25

Seharusnya ada review yang seksama terhadap estimasi kemungkinan risiko dan
potensi dampaknya, dengan pertimbangan diberikan kepada biaya dan manfaat
yang terkait, untuk mengembangkan strategi respon risiko yang sesuai. Respon
risiko ini dapat ditangani dengan salah satu dari empat cara dasar ini:
1. Menghindari
Ini adalah strategi berjalan menjauh dari-risiko seperti menjual unit bisnis yang
menimbulkan risiko, keluar dari wilayah geografis berisiko, atau membuang lini
produk. Kesulitannya adalah bahwa perusahaan sering tidak bisa membuang lini
produk atau berjalan jauh sampai peristiwa risiko telah terjadi dengan biayanya
yang terkait. Kecuali suatu perusahaan memiliki selera yang sangat rendah untuk
risiko, sulit untuk pergi dari daerah bisnis atau lini produk yang dinyatakan sukses
atas dasar potensi risiko di masa depan. Penghindaran bisa menjadi strategi
berpotensi mahal jika investasi dilakukan untuk masuk ke suatu daerah dengan
penarikan berikutnya untuk menghindari risiko.
2. Mengurangi
Berbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu. Diversifikasi
lini produk dapat mengurangi risiko yang terlalu kuat dari ketergantungan pada satu
kunci lini produk; membagi operasi IT menjadi dua lokasi geografis yang terpisah
akan mengurangi risiko beberapa bencana kegagalan.
3. Membagi
Hampir semua perusahaan secara teratur berbagi beberapa risiko mereka melalui
pembelian asuransi, tetapi teknik berbagi risiko-lain juga tersedia. Untuk transaksi
keuangan, suatu perusahaan dapat terlibat dalam operasi lindung nilai untuk
melindungi dari kemungkinan fluktuasi harga, atau dapat berbagi risiko bisnis
potensial dan manfaat melalui perjanjian joint venture perusahaan atau pengaturan
struktural lainnya. Idenya adalah untuk memiliki pihak lain menerima beberapa
risiko potensial serta berbagi dalam reward yang dihasilkan.
4. Menerima
Ini adalah strategi dimana tidak ada tindakan yang dilakukan, seperti ketika suatu
perusahaan menjamin dirinya sendiri dengan mengambil tindakan untuk
mengurangi potensi risiko. Pada dasarnya, perusahaan harus melihat kemungkinan
dan dampak risiko dalam menyoroti toleransi risiko yang tersedia dan kemudian
memutuskan apakah akan menerima risiko itu atau tidak. Penerimaan sering
merupakan strategi yang tepat untuk banyak berbagai risiko yang dihadapi
perusahaan.
Mengembangkan respon risiko memerlukan sejumlah besar perencanaan dan
pemikiran strategis. Beberapa alternatif respon risiko mungkin melibatkan biaya,
waktu, dan perencanaan proyek rinci . COSO ERM menyerukan agar risiko harus
dipertimbangkan dan dievaluasi pada basis entity atau portofolio besar. Ini bisa
menjadi proses yang sulit, dalam multi unit yang besar, perusahaan multiproduct,

26

tetapi proses ini menyediakan titik awal dalam mengatur berbagai risiko untuk
mengidentifikasi risiko yang lebih signifikan yang dapat mempengaruhi perusahaan.
Idenya di sini adalah untuk melihat potensi risiko, probabilitas terjadinya mereka,
dan dampaknya.
(f) Aktivitas Pengendalian
Aktivitas pengendalian ERM ini adalah kebijakan dan prosedur yang diperlukan
untuk memastikan tindakan pada respon risiko yang teridentifikasi. Meskipun
beberapa dari aktivitas ini mungkin berhubungan hanya untuk respon risiko yang
teridentifikasi dan disetujui di area perusahaan, aktivitas ini sering tumpang tindih
di beberapa fungsi dan unit. Aktivitas pengendalian komponen COSO ERM harus
terkait erat dengan strategi respon risiko dan tindakan yang telah dibahas
sebelumnya.
Memiliki respon risiko terpilih yang sesuai, perusahaan harus memilih aktivitas
pengendalian yang diperlukan untuk memastikan bahwa respon risiko dijalankan
secara tepat waktu dan efisien. Setelah melalui identifikasi risiko kejadian COSO
ERM, proses penilaian, dan respon, pemantauan risiko memerlukan empat langkah
berikut:
1. Mengembangkan pemahaman yang kuat tentang risiko secara signifikan dan
membangun prosedur penngendalian untuk memantau atau membetulkan risiko.
2. Membuat latihan menghadapi kebakaran, jenis prosedur pengujian untuk
menentukan apakah prosedur pengendalian risiko terkait tersebut bekerja secara
efektif.
3. Melakukan tes proses pemantauan risiko untuk menentukan apakah proses
tersebut bekerja secara efektif dan seperti yang diharapkan.
4. Membuat penyesuaian atau perbaikan yang diperlukan untuk memperbaiki
proses pemantauan risiko.
Banyak aktivitas pengendalian di bawah pengendalian internal COSO cukup mudah
untuk diidentifikasi dan diuji karena sifat akuntansi mereka. Kegiatan pengawasan
ini umumnya termasuk daerah-daerah pengendalian internal di bawah ini:
Pemisahan tugas.
Pada dasarnya, orang yang memulai transaksi tidak harus orang yang sama yang
mengotorisasi transaksi itu.
Audit trails.
Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah
ditelusuri kembali ke transaksi yang menciptakan hasil tersebut.
Keamanan dan integritas.
Proses pengendalian harus memiliki prosedur pengendalian yang tepat sehingga
hanya orang yang berwenang dapat meninjau atau memodifikasi proses
tersebut.
Dokumentasi.
Proses harus tepat didokumentasikan.

27

Meskipun tidak ada aktivitas pengendalian ERM yang diterima atau set standar
aktivitas pengendalian ERM saat ini, dokumentasi COSO ERM menunjukkan
beberapa bidang:
Reviu Top-level
Manajer senior harus sangat menyadari risiko peristiwa yang teridentifikasi dalam
unit organisasi mereka dan melakukan review tingkat atas secara reguler pada
status risiko yang teridentifikasi.
Fungsional langsung atau kegiatan manajemen
Selain review tingkat atas, manajer unit fungsional dan langsung harus memiliki
peran kunci dalam pengendalian risiko pemantauan aktivitas. Hal ini sangat
penting di mana kegiatan pengendalian berlangsung dalam unit operasi terpisah
dengan kebutuhan komunikasi dan resolusi risiko di saluran perusahaan.
Memproses informasi
Apakah proses tersebut berbasis peralatan IT atau bentuk yang lebih halus
seperti kertas atau pesan, pengolahan informasi merupakan komponen kunci
dalam aktivitas pengendalian risiko terkait suatu perusahaan. Prosedur
pengendalian yang tepat harus ditetapkan dengan penekanan pada proses IT dan
risiko perusahaan.
Pengendalian fisik
Banyak kekhawatiran terkait risiko yang melibatkan aset fisik, seperti peralatan,
persediaan, sekuritas, dan banguan fisik. Apakah persediaan fisik, inspeksi, atau
prosedur keamanan pabrik, perusahaan harus menginstal prosedur aktivitas
pengendalian fisik berbasis risiko yang sesuai.
Indikator kinerja
Tipikal Perusahaan yang khas saat ini adalah mempekerjakan berbagai alat
pelaporan keuangan dan operasional yang juga dapat mendukung pelaporan
kinerja risiko-terkait peristiwa yang berhubungan. Jika diperlukan, alat kinerja
harus diubah untuk mendukung komponen aktivitas pengendalian ERM yang
penting.
Pemisahan tugas
Sebuah aktivitas pengendalian klasik, orang yang memulai tindakan tertentu
tidak harus orang yang sama yang menyetujui tindakan tersebut.
(g) Informasi dan Komunikasi
Meskipun relatif mudah untuk menggambarkan bagaimana informasi harus
dikomunikasikan dari satu komponen COSO ERM ke komponen lain dalam diagram
alir sederhana, melakukannya adalah proses yang jauh lebih kompleks dalam
prakteknya. Proses dasar di banyak perusahaan terdiri dari web kompleks sistem
informasi operasional dan keuangan yang sering tidak sangat baik terkait.
Hubungan ini menjadi lebih kompleks untuk banyak proses ERM, mengingat bahwa
banyak aplikasi dasar perusahaan tidak langsung meminjamkan diri untuk
identifikasi risiko, penilaian, dan respon risiko. Melampaui aplikasi informasi ERM

28

komprehensif untuk suatu perusahaan, ada kebutuhan untuk mengembangkan

sistem pemantauan risiko dan komunikasi yang menghubungkan dengan
pelanggan, pemasok, dan pemangku kepentingan lainnya.
Sedangkan segmen informasi dari Komponen informasi dan komunikasi ERM
biasanya memikirkan dalam hal sistem informasi strategis dan operasional IT, aspek
kedua komponen ini, komunikasi ERM, berbicara tentang komunikasi sekedar
aplikasi IT. Ini termasuk kebutuhan agar mekanisme memastikan bahwa semua
pemangku kepentingan menerima pesan mengenai kepentingan perusahaan dalam
mengelola risiko. Ada kebutuhan untuk bahasa risiko umum di seluruh perusahaan
mengenai peran dan tanggung jawab manajemen risiko. COSO ERM akan bernilai
kecil untuk sebuah perusahaan kecuali pentingnya COSO ERM dikomunikasikan
kepada semua pemangku kepentingan secara umum dan konsisten.

29

(h) Pengawasan
Ditempatkan di dasar kerangka model komponen ERM, pemantauan ERM
diperlukan untuk menentukan bahwa semua komponen ERM terpasang bekerja
secara efektif.
Melampaui alat monitor dashboard, manajemen perusahaan
harus mengambil tanggung jawab keseluruhan untuk pemantauan ERM. Dalam
rangka membangun kerangka ERM yang efektif, pemantauan harus mencakup
tinjauan berkelanjutan dari proses ERM secara keseluruhan mulai dari identifikasi
tujuan untuk kemajuan aktivitas pengendalian ERM yang sedang berlangsung.
Dokumen Kerangka Aplikasi COSO ERM menunjukkan bahwa pemantauan dapat
mencakup jenis kegiatan:
Pelaksanaan mekanisme pelaporan manajemen yang sedang berlangsung seperti
posisi uang tunai, penjualan unit, dan data keuangan utama.
Proses pelaporan peringatan terkait risiko periodik harus memantau aspek-aspek
kunci dari kriteria risiko yang ditetapkan, termasuk tingkat kesalahan diterima
atau hal - hal yang diadakan dalam suspense. Pelaporan tersebut harus
menekankan tren statistik dan perbandingan baik dengan periode sebelumnya
dan dengan sektor industri lainnya.
Status laporan risiko saat ini dan periodik terkait temuan dan rekomendasi dari
laporan audit internal dan eksternal, termasuk status-ERM terkait SOx yang
mengidentifikasi kesenjangan
Pembaruan risiko terkait informasi yang berasal dari sumber seperti revisi aturan
pemerintah, tren industri, dan berita ekonomi secara umum. Sekali lagi, jenis
pelaporan ekonomi dan operasional harus tersedia bagi manajer di semua
tingkatan.
Pengawasan evaluasi yang terpisah atau individu mengacu pada review rinci
dari proses risiko individu oleh resensi berkualitas, seperti audit internal. Dalam hal
ini review terbatas pada daerah tertentu atau mencakup seluruh proses ERM untuk
unit usaha. Audit internal sering menjadi sumber internal yang terbaik untuk
melakukan review ERM tertentu. Peran audit internal dalam proses ERM dan peran
mereka dalam pemantauan, khususnya, dibahas dalam bagian berikutnya.
3. Dimensi Lain dari COSO ERM : Enterprise Risk Objectives
a. Operation Risk Management Objectives
Dengan pandangan ERM atas risiko, perusahaan harus menghindari terlalu banyak
meringkas, menghilangkan, atau membulatkan risiko yang penting pada tingkat
yang lebih rendah. Manajer di semua tingkatan dalam perusahaan atau lokasi
geografis manapun harus menyadari bahwa mereka bertanggung jawab menerima
dan mengelola risiko dalam unit operasional mereka masing-masing. Manajer unit
sering beranggapan bahwa manajemen risiko hanya menjadi perhatian kantor
pusat. Pentingnya COSO ERM dan manajemen risiko operasi harus dikomunikasikan

30

kepada semua tingkat perusahaan. Auditor internal harus bertindak sebagai mata
dan telinga serta melaporkan semua risiko operasi yang diamati.
b. Reporting Risk Management Objectives
Setiap perusahaan menghadapi risiko yang besar atas keakuratan pelaporan di unit
atau wilayah. Unit operasi harus memastikan bahwa hasil yang dilaporkan telah
benar sebelum disampaikan ke tingkat berikutnya dalam organisasi, angka
konsolidasi harus akurat, baik pada laporan keuangan, laporan pajak, dll. ERM
berfokus dengan risiko otorisasi dan penerbitan laporan yang tidak akurat.
Pengendalian internal yang baik diperlukan untuk memastikan pelaporan yang
akurat. Pengendalian internal yang kuat harus meminimalkan risiko kesalahan, dan
suatu perusahaan harus selalu mempertimbangkan risiko yang terkait dengan
pelaporan yang akurat. Kesalahan dan perbedaan kecil dapat diabaikan dalam
jangka pendek sampai kemudian terdapat kesalahan besar yang perlu diungkapkan.
Risiko pelaporan yang tidak akurat harus menjadi perhatian di semua tingkat
perusahaan.
c. Legal and Regulatory Compliance Risk Objectives
COSO
ERM
merekomendasikan
bahwa risiko terkait kepatuhan
perlu
dipertimbangkan untuk setiap
komponen kerangka risiko, baik dalam konteks lingkungan internal, penetapan
tujuan, atau monitoring risiko, serta di seluruh perusahaan. Semua perusahaan
menghadapi berbagai persyaratan kepatuhan atas hukum dan peraturan. Sifat
(nature) dari risiko kepatuhan perlu dikomunikasikan dan dipahami oleh semua
tingkat dalam perusahaan. Perusahaan dapat menerima tingkat risiko tertentu
mengenai kepatuhan hukum. Sementara hukum besar tidak boleh dengan sengaja
diabaikan karena merasa pelanggaran tersebut tidak akan pernah tertangkap,
perusahaan harus selalu mengambil pendekatan beralasan risiko dalam
hubungannya dengan keseluruhan filosopi dan selera risiko.
Dalam rangka
mengelola dan menetapkan tujuan risiko atas hukum dan peraturan, dewan direksi,
CEO, dan anggota manajemen perlu memahami sifat (nature) dan cakupan (extent)
risiko atas semua peraturan yang dihadapi perusahaan. Divisi hukum, manajer
kunci, audit internal, dan lain-lain dapat membantu dalam penyusunan informasi ini.
Entity-Level Risks
a. Risiko yang Meliputi Seluruh Organisasi (Risks Encompassing the Entire
Organization)
Beberapa risiko di tingkat unit bisnis dapat meningkat menjadi risiko di tingkat
entitas. Mudah bagi suatu perusahaan untuk mempertimbangkan beberapa risiko
tingkat unit sebagai "tidak material" tetapi sebaiknya perusahaan harus memikirkan
semua risiko berpotensi menjadi signifikan. Poinnya adalah baik risiko besar
maupun yang tampaknya risiko kecil dapat berdampak pada seluruh perusahaan.
b. Risiko Tingkat Unit Bisnis (Business Unit-Level Risks)

31

Berdasarkan pada kompleksitas dan jumlah unit operasi, tanggung jawab risiko
terbaik dapat dimulai sebagai proses push-down di mana manajemen tingkat
korporasi menguraikan fokus terkait risiko utama dan meminta manajemen yang
bertanggung jawab pada masing-masing divisi utama untuk survei tujuan risiko
melalui unit operasi dalam divisi tersebut. Dengan cara ini, risiko yang signifikan
dapat diidentifikasi pada semua tingkatan dan kemudian dikelola di tingkat yang
dikenai dampak langsung dari risiko.
Putting It All Together
Kerangka kerja COSO ERM menggunakan pendekatan manajemen risiko yang
applicable untuk semua industri dan mencakup semua jenis risiko. Dengan fokus
mengidentifikasi selera risiko (risk appetite) suatu perusahaan dan kebutuhan untuk
menerapkan manajemen risiko dalam konteks pengaturan strategi secara
keseluruhan. Manajemen perusahaan di semua tingkatan harus mencakup COSO
ERM, alat penting untuk memahami banyak risiko yang dihadapi perusahaan saat
ini. Auditor internal harus membuat COSO ERM sebagai persyaratan CBOK
(Common Body of Knowledge) dan harus melakukan audit internal sesuai dengan
Proses ERM.
Auditing Risk and COSO ERM Processes
Auditor internal akan menghadapi isu-isu risiko dan manajemen risiko saat
melakukan reviu. Auditor internal yang efektif harus memahami proses manajemen
risiko. Auditor internal melakukan reviu internal control di beberapa area dan akan
memutuskan bahwa area tersebut dipilih atau tidak dipilih karena "pertimbangan
risiko." Auditor harus memiliki tingkat pemahaman CBOK atas proses dasar
manajemen risiko untuk dapat mengajukan pertanyaan yang tepat dan untuk
mereviu kecukupan proses-proses tersebut. Audit Internal harus mereviu proses
ERM perusahaan secara keseluruhan dengan menggunakan beberapa tools sbb :
Process flowcharting
Dengan melihat dokumentasi disiapkan untuk proses terkait risiko, menentukan
kondisi proses tersebut saat ini, dan menjelaskan kecukupan proses risiko
perusahaan pada semua tingkat secara keseluruhan.
Reviews of risk and control materials
Proses ERM sering menghasilkan bahan pedoman, prosedur terdokumentasi,
format laporan, dan sejenisnya dalam jumlah besar yang berharga untuk reviu
audit internal atas materi risiko dan kontrol.
Benchmarking
Proses meninjau fungsi di tempat lain untuk menilai operasi mereka untuk
mengembangkan pendekatan perbaikan berdasarkan praktik terbaik (best
practices) pihak lain. Pendekatan benchmarking dapat meningkatkan
pengumpulan informasi pembanding.
Questionnaires
Merupakan metode yang baik untuk pengumpulan informasi atas efektivitas ERM
dari berbagai macam orang.

32

Risk Management and COSO ERM in Perspective

Manajemen risiko dan COSO ERM adalah keterampilan pengetahuan yang
seharusnya menjadi bagian dari CBOK setiap auditor internal. Auditor internal harus
menggunakan prinsip manajemen risiko untuk memutuskan area mana yang dipilih
untuk direviu dan kemudian menggunakan prinsip risiko ketika menilai bukti audit.
Mungkin bahkan lebih penting, COSO ERM akan dirasakan pentingnya dan diakui
seiring dengan makin meluasnya perusahaan memahami dan mengadopsi kerangka
kerja ERM. Audit internal harus memiliki pemahaman CBOK dari COSO ERM baik
untuk kepatuhan audit dalam proses maupun dalam berkonsultasi dengan
manajemen untuk memastikan implementasi yang lebih efektif.

33