Bab 10

Mengelola Risiko
Audit internal merupakan jaminan, independen, obyektif dan aktivitas
konsultasi yang dirancang untuk menambah nilai dan meningkatkan
operasi organisasi. Ini membantu organisasi mencapai tujuannya
dengan membawa pendekatan yang sistematis dan disiplin untuk
mengevaluasi dan meningkatkan efektivitas proses manajemen risiko,
pengendalian dan tata kelola. Kita perlu memahami risiko dan
menghargai pentingnya manajemen risiko bagi organisasi. Baik kode
tata kelola perusahaan membutuhkan papan untuk menginstal sistem
manajemen risiko dan memberitahu para pemegang saham mereka
tentang sistem ini. Terobosan ke risiko telah berdampak pekerjaan
auditor internal dan account penting dari langkah ini menjadi sebuah
fase baru dari audit internal yang diberikan pada tahun 1998 oleh
David McNamee dan Georges Selim, yang didefinisikan tiga tahap
dalam pengembangan audit internal :
1. Menghitung dan mengamati.
2. Sistem pengendalian internal.
3. Audit proses bisnis melalui fokus pada risiko.
3.1 Apa itu Resiko?
Risiko

timbul

dari

ketidakpastian

dan

kontrol

didasarkan

pada

pengurangan ketidakpastian ini mana mungkin dan perlu. HM Treasury

mendefinisikan risiko sebagai "ketidakpastian hasil dalam berbagai
eksposur yang timbul dari kombinasi dampak dan probabilitas dari
peristiwa potensial. Sementara Glosarium IIA mendefinisikan risiko
sebagai ketidakpastian suatu peristiwa yang terjadi secara bisa
berdampak

pada

pencapaian

konsekuensi dan kemungkinan.

3.2 Tantangan Risiko

tujuan.

Risiko

diukur

dalam

hal

Dengan cara ini, dampak menjadi efek risiko terhadap tujuan di

tangan. Sistem manajemen risiko yang baik menjaga tujuan bisnis
tegas dalam pikiran ketika berpikir tentang risiko. Sistem miskin
menyembunyikan tujuan luar model atau sebagai sesuatu yang
dianggap perifer untuk tugas menilai dampak dari risiko. Dalam
kenyataannya. itu tidak sesederhana ini. Tindakan menetapkan tujuan
dalam dirinya sendiri didasarkan pada risiko yang nyata dan dirasakan,
yaitu, beberapa ketidakpastian tentang masa depan. Konsep lain yang
perlu

dipertimbangkan

adalah

risiko

itu,

dalam

konteks

tujuan

mencapai, memiliki baik terbalik dan sisi negatifnya. Dalam model

kami, kami menyebutnya ancaman dan peluang. Artinya, ia dapat
berhubungan dengan kekuatan yang berdampak negatif pada tujuan,
dalam arti bahwa mereka menimbulkan ancaman.
3.3 Manajemen Risiko dan Risiko Residual
Manajemen risiko adalah proses dinamis untuk mengambil semua
langkah yang wajar untuk mengetahui dan menangani risiko yang
berdampak pada tujuan kami. Ini adalah respon terhadap risiko dan
keputusan yang dibuat sehubungan dengan pilihan yang tersedia
(dalam hubungannya dengan sumber daya yang tersedia) yang
penting dan IIA telah membuat titik yang bersangkutan bahwa
Sebelum kita sampai di sana, kita bisa beralih ke proyek standar
manajemen

untuk

panduan

tentang

manfaat

manajemen

risiko

sistematis yang meliputi :

lebih realistis bisnis dan perencanaan proyek

tindakan dilaksanakan dalam waktu efektif
besar kepastian mencapai tujuan bisnis dan tujuan proyek
apresiasi, dan kesiapan untuk mengeksploitasi, semua peluang

yang menguntungkan
meningkatkan pengawasan kerugian
meningkatkan pengendalian biaya proyek dan bisnis
peningkatan fleksibilitas sebagai akibat dari pemahaman semua
pilihan dan risiko yang terkait

sedikit kejutan mahal melalui perencanaan kontingensi yang

efektif dan transparan.

Untuk meringkas proses manajemen risiko, Tahapan manajemen risiko

yang umum dikenal sebagai :
Identifikasi. Proses manajemen risiko dimulai dengan suatu metode
untuk

mengidentifikasi

semua

risiko

yang

menghadapi

sebuah

organisasi. Hal ini harus melibatkan semua pihak yang memiliki

keahlian, tanggung jawab dan pengaruh terhadap daerah yang terkena
risiko yang bersangkutan.
Penilaian. Tahap berikutnya adalah untuk menilai pentingnya risiko
yang telah diidentifikasi. Ini harus berputar di sekitar dampak dua
dimensi, pertimbangan kemungkinan bahwa kita telah dijelaskan.
Manajemen. Berbekal pengetahuan tentang apa risiko yang signifikan
dan yang kurang begitu, proses ini membutuhkan pengembangan
strategi untuk mengelola berdampak tinggi, tinggi-kemungkinan risiko.
Meninjau. Proses manajemen risiko keseluruhan dan output harus
dikaji dan ditinjau ulang secara terus menerus.
3.4 Mitigasi melalui Kontrol
Kami telah menyarankan bahwa manajemen risiko merupakan bagian
penting dari siklus resiko, karena memungkinkan organisasi untuk
menetapkan dan meninjau kontrol internal mereka, dan melaporkan
kembali kepada para pemegang saham. Kerangka pengendalian
internal terdiri dari semua pengaturan, dan pengawasan rutin yang
spesifik

dan

proses

yang

mendorong

sebuah

organisasi

untuk

mencapai tujuan. Mereka mengelola risiko harus memprioritaskan

perubahan kontrol, dengan mempertimbangkan dampaknya terhadap
aktivitas lain dan ketersediaan sumber daya. Perubahan kontrol yang
dipilih harus dialokasikan untuk pemilik respon risiko dan jadwal
pelaksanaannya harus disiapkan. Kemajuan terhadap pelaksanaan

pengendalian

perubahan

harus

dipantau.

Pengendalian

yang

diterapkan harus didokumentasikan.

Pemantauan kinerja kontrol
Kami telah mengembangkan 10 langkah untuk mengatasi risiko yang
telah dinilai untuk dampak dan kemungkinan. Tanggapan ini dijelaskan
lebih lanjut:
1. Termintate
2. Controls
3. Transfers
4. Contigencies
5. Take more
6. Communicate
7. Tolerate
8. Commission research
9. Tell someone
10.Check compliance
3.5 Risiko Register dan Appetites
Subyek register risiko memiliki masa lalu yang sangat menarik.
Manajer proyek telah menggunakan mereka untuk waktu yang lama
karena mereka menilai risiko pada tahap awal dalam proyek besar dan
masukkan rincian dalam catatan resmi, yang diperiksa oleh para
sponsor.

Industri

asuransi

lagi

baik

digunakan

untuk

mendokumentasikan asumsi tentang risiko dan menggunakan ini untuk

bentuk penilaian di mana untuk menawarkan asuransi dan apa aspek
operasi termasuk dalam sampul ini. Risk appetite mendefinisikan
bagaimana kita melihat risiko residual, setelah kami telah berurusan
dengan itu melalui strategi yang tepat, dan apakah itu diterima atau
tidak, yaitu, adalah risiko dapat diterima seperti berdiri atau kita perlu
berbuat

lebih

banyak

untuk

menampungnya,

atau

mungkin

mengeksploitasi daerah di mana risiko terlalu rendah? Kita perlu untuk

mengubah sekali lagi untuk Peter Bernstein untuk pandangan otoritatif
pada selera risiko. Ketika mempertimbangkan toleransi risiko, kita perlu
membangun faktor kontrol ke dalam persamaan. Pengambilan risiko
baik-baik saja selama kita dapat mengantisipasi masalah dan mencari

cara

untuk

melawan

mereka.

Banyak

kebingungan

hasil

dari

pencampuran resiko kotor dan bersih. Sikap toleransi risiko menjadi

lebih

penting

ketika

kita

mempertimbangkan

tanggung

jawab

organisasi kepada para pemangku kepentingan. Para anggota dewan

memiliki kewajiban fidusia untuk bertindak dengan cara yang wajar
dan

pemegang

saham

memiliki

hak

untuk

menerima

dividen

diumumkan dan memiliki investasi mereka dikelola secara memadai.

Mempertimbangkan dan menetapkan risk appetite memungkinkan
organisasi

untuk

meningkatkan

keuntungannya

dengan

mengoptimalkan pengambilan risiko dan menerima risiko dihitung

dalam tingkat yang sesuai kewenangan. Risk appetite organisasi harus
dibentuk dan / atau disetujui oleh Dewan (atau setara) dan efektif
dikomunikasikan ke seluruh organisasi.
3.6 Kebijakan Risiko
Model risiko kami telah mengambil bentuk nyata dengan banyak
komponen yang membentuk dasar dari manajemen risiko yang efektif.
Dalam beberapa organisasi, resiko lokakarya penilaian diatur untuk tim
utama sebagai respon terhadap kecenderungan program CRSA,
seringkali di belakang rekomendasi dari auditor atau konsultan
eksternal. Tim berkumpul, berbicara tentang risiko dan bagaimana hal
itu dikelola dalam pakaian mereka dan keluar dengan risk register yang
diajukan dan poin tindakan yang diberikan kepada manajer dicalonkan.
3.7 ERM (Enterprise-wide manajemen risiko)
Enterprise-wide manajemen risiko atau ERM hanyalah perpanjangan
dari manajemen risiko di organisasi secara terpadu. Hal ini berbeda
dengan

pendekatan

lama

di

mana

spesialis

khusus

seperti

perencanaan kontingensi risiko dinilai tetapi hanya pada tingkat lokal

untuk proses tersebut. Jim Deloach, Pemimpin Global Risiko Strategis
dan Enterprise Consulting, Arthur Andersen, mengatakan bahwa:
Tidak ada satu ukuran cocok untuk semua pendekatan untuk ERM.
Yang mengatakan, kami percaya bahwa setiap proyek ERM harus
dimulai dengan lima tindakan penting:

1. membangun struktur pengawasan;

2. mendefinisikan bahasa umum dan kerangka kerja;
3. menargetkan risiko dan proses;
4. menetapkan tujuan, sasaran, dan proses yang seragam, dan
5. menilai kemampuan manajemen risiko
Pengalaman Pemerintah
Dalam menyampaikan pesan untuk menilai resiko luar staf spesialis
beberapa hal tidak selalu mudah. Sementara sektor swasta telah
didorong untuk mengembangkan sistem manajemen risiko untuk
mendukung kajian mereka terhadap pengendalian internal, sektor
publik juga mulai aktif di bidang ini. Strategi Manajemen Risiko
Departemen
pemerintah

Keuangan
yang

telah

membenahi
diadaptasi

pedoman
dan

bagi

diadopsi

badan-badan
oleh

berbagai

organisasi yang terlibat. Sementara itu, Kantor Kabinet telah mengkaji

kemampuan pemerintah untuk menangani risiko atas ketidakpastian
dan menyiapkan laporan yang komprehensif pada bulan Agustus 2002
kemudian menetapkan temuan sampai saat ini, termasuk enam
rekomendasi utama. Ekstrak dari laporan ini menunjukkan upaya serius
sedang dilakukan upaya manajemen risiko ada pada seluruh bagian
pemerintah. Namun, kemajuan tidak merata justru terjadi pada
pemerintah. Ada banyak praktik yang baik, tetapi cakupan ini tidak
komprehensif. Secara khusus, beberapa penerapan teknik manajemen
risiko telah mekanistik dan tidak terintegrasi ke dalam pengambilan
keputusan di tingkat tertinggi.
Risiko dinilai mengambil tanggung jawab untuk penanganan risiko
harus berada di tangan orang-orang terbaik ditempatkan pada setiap
fungsi untuk menghadapi resiko yang ada. Hal ini hanya dapat dinilai
berdasarkan kasus per kasus,dengan kriteria meliputi:
Kompetensi - memiliki keterampilan dan pengalaman? Dan / atau
terbaik dapat merekrut dan mempertahankan orang yang tepat?
Kapasitas - apakah kapasitas yang ada? Apakah bisa dikembangkan?

 Kepentingan umum - apakah ada jaminan yang cukup bahwa

kepentingan publik akan dilindungi?
Nilai untuk uang - yang akan menawarkan perdagangan terbaik
antara biaya dan manfaat?
Manajemen - dapat diatur atau dikelola secara memadai?
Subsidiaritas - keputusan operasional akan sering terbaik yang dibuat
oleh orang-orang terdekat untuk layanan pengiriman.
Mengintegrasikan Risiko
Dalam cara manajemen menjalankan bisnis harus mengintegrasikan
resiko, memperkaya proses itu dan membuatnya terfokus pada hal
yang disinyalir berisiko. Perencanaan pengintegrasian risiko agar
dikelola dengan baik, aset dijamin, reputasi dilindungi dan nilai
pemegang

saham

meningkatkan

aplikasi

yang

efektif

(RM)

membutuhkan:
1. Setiap fungsi manajemen merangkul tanggung jawab untuk risiko.
2. Fasilitasi dan dukungan untuk membantu manajer di fungsi masingmasing.
3.

Suatu

budaya

yang

memberikan

penghargaan

pengakuan,

komunikasi dan manajemen risiko.

4. Kinerja metrik untuk mengukur apakah unit bisnis mengambil risiko
yang tepat untuk mencapai tujuan yang strategis.
5. Kinerja penilaian sumber daya manusia, kompensasi dan insentif
program terkait dengan kinerja manajemen risiko.
Kategori Resiko
Setiap organisasi akan memiliki interpretasi mereka sendiri tentang
jenis risiko. Penafsiran ini akan sesuai dengan pasar, budaya dan misi
organisasi

yang

bersangkutan.

Untuk

membantu

menyelaraskan

proses manajemen risiko dengan sistem organisasi dan prosedur

banyak

organisasi

menangkap

risiko

secara

terstruktur,

melalui

seperangkat kategori yang sesuai dengan kebutuhan mereka. Kita

dapat meninjau beberapa panduan resiko perusahaan yang diterbitkan

dan dipertimbangkan contohnya setidaknya seperti berikut: risiko fisik

dan operasional, risiko sumber daya manusia, kelangsungan bisnis dan
pemulihan bencana, kredit dan risiko pasar serta risiko kepatuhan.
The Australian/New Zealand models (AS/NZ 4360:1999) identify eight
categories of risk:
1. komersial dan hukum
2. ekonomi keadaan ekonomi
3. perilaku manusia
4. kejadian alam
5. keadaan politik
6. teknologi dan masalah teknis
7. kegiatan pengelolaan dan kontrol
8. aktivitas individu.
Kantor Audit Nasional Laporan, sebagai Inovasi Pendukung: Mengelola
Risiko di Departemen Pemerintah, menyebutkan risiko yang paling
sering diidentifikasi yaitu:
Risiko keuangan
Risiko proyek
Risiko kepatuhan
Reputasi - risiko
Kehilangan kesempatan
Key Developments
Ketika mempertimbangkan kategori risiko di luar bidang usaha melalui
internet, kita dapat mencatat perkembangan beberapa kunci yang
termasuk risiko eksternal:
1. Tugas Pengusaha perawatan berutang tugas perawatan kepada
staf mereka - pengusaha diharapkan untuk melaksanakan
penilaian risiko atas kemungkinan karyawan mereka melakukan
tindak kelalaian dan torts lain yang dilakukan dalam rangka kerja
mereka. Pada saat yang sama, karyawan berutang duty of care
kepada

masyarakat

Kesehatan

dan

umum

dan

Keselamatan

pelanggan
Kerja

mereka.

Peraturan

Dan
1.992

mengharuskan majikan untuk melaksanakan penilaian risiko

bagi setiap karyawan untuk mempertimbangkan risiko yang
ditimbulkan oleh tugas-tugas karyawan dan lingkungan, dengan
memperhatikan karakteristik masing-masing. Birmingham City
Council membayar 67.000 untuk seorang karyawan yang
menderita tekanan mental karena dia terlalu banyak bekerja
dalam posisi yang ia tidak menerima pelatihan yang tepat.
Pengusaha harus mempertimbangkan kesejahteraan karyawan
mereka dan risiko cedera, baik mental maupun fisik, di tempat
kerja.
2. E-commerce Tingkat kegagalan internet start-up tinggi karena
banyak pemilik tidak mengikuti praktik bisnis biasa dan mungkin
terlalu diarahkan mengambil risiko tanpa mempertimbangkan
kebutuhan untuk kontrol yang sesuai.
Klasifikasi risiko akan menyesuaikan dengan lingkungan di mana
organisasi

beroperasi.

British

Telecom

telah

mengembangkan

pemeriksaan mereka e-risiko menggunakan tujuh kategori yang,

dalam ringkasan, meliputi:
Software - kerugian atau korupsi.
Fisik aset - kerugian atau kerusakan PC, server, media, dll
Data - kehilangan atau kerusakan data internal dan pelanggan.
Kekayaan intelektual - hilangnya hak paten, perangkat lunak, hak
cipta, pengetahuan.
Reputasi - kerusakan reputasi dari layanan pelanggan miskin,
insiden keamanan.
Kewajiban - internet yang berhubungan, seperti pencemaran
nama baik, kewajiban kontrak.
Peraturan - pelanggaran peraturan dan DP Act.47
3. Penipuan Penipuan dapat menimbulkan risiko utama untuk bisnis
dan Audit ICAEW dan Jaminan laporan tahunan Fakultas ketiga
untuk 2000-2001 mengatakan penipuan itu adalah kejahatan
semakin terkait dengan korupsi dan pencucian uang dan
dilakukan oleh penjahat terorganisir.

4. Reputasi Perusahaan-manajemen reputasi merupakan daerah

tipikal berisiko dan ini cenderung menjadi puncak dari cara
organisasi telah berhasil semua risiko lain untuk bisnisnya.
Akuntansi dan Bisnis majalah melaporkan pada peran penting
bahwa manajemen reputasi memiliki keberlanjutan bisnis:
5. Manajemen risiko MIS adalah tentang memilih tindakan yang
tepat berdasarkan informasi yang baik untuk mencerminkan
semua keadaan yang relevan dan perubahan. Sistem informasi
manajemen (SIM) dapat menyebabkan risiko yang luar biasa di
mana mereka tidak dapat diandalkan dan mereka benar-benar
harus

berlandaskan

atau

didasarkan

integritas dan ketersediaan.

6. Mengkomunikasikan Resiko-risiko

pada

Berkomunikasi

kerahasiaan,
merupakan

masalah besar dalam masyarakat. Ini termasuk resiko terhadap

investasi pemegang saham dan risiko untuk masyarakat umum.
Ada

panggilan

yang

lebih

besar

bagi

perusahaan

untuk

mengungkapkan risiko lebih penuh dan sangat membantu orang

menyesuaikan risk appetite mereka dengan perusahaan bahwa
mereka sedang mempertimbangkan investasi masuk penawaran
saham baru harus membuat jelas apa yang dipertaruhkan dan
mungkin, misalnya, memberikan beberapa peringatan bahwa itu
memulai berisiko tinggi, tinggi-laba usaha dan bahwa pembaca
harus menyadari realitas komersial strategi ini. Cukup sering,
strategi komunikasi berkisar pada perbedaan halus antara orang
peringatan dan menakut-nakuti orang. Untuk risiko publik, ada
beberapa isu yang dapat datang bersama-sama dan kocok
sampai orang. Isu-isu ini telah telah disebut 'faktor ketakutan'
oleh Peter Bennett mana risiko terlihat untuk menyertakan fitur
berikut
3.8 Control Self-asseement
Keberhasilan suatu perusahaan tergantung pada luasnya manajemen
resikodalam proses yang terintegrasi untuk memastikan bahwa risiko
dinilai dan dikelola di seluruh organisasi dengan cara yang dinamis dan

bermakna. Dalam prosenya banyak teknik untuk mencapai semua

bagian organisasi sehingga self-assessment oleh garis depan Staf
menjadi norma. Teknik penggunaan kuesioner yang diselesaikan oleh
karyawan

sebagai cara untuk menilai apakah ada operasi yang

beresiko dan apakah kontrol pada daerah-daerah beresiko dilakukan

dengan benar. Teknik lain adalah penggunaan wawancara dengan
manajer di unit bisnis tertentu untuk mengukur apakah wilayah berada
di bawah kontrol atau tidak.
Pendekatan lanjut adalah untuk ulasan komisi komprehensif risiko
profil

tinggi

bagian

organisasi

biasanya

dengan

menggunakan

konsultan eksternal, yang akan melaporkan kembali pada setiap

masalah yang ditemukan.Sebuah pendekatan yang lebih populer
adalah penggunaan kontrol penilaian diri lokakarya, atau disebut
pengendalian dan resiko self-assesment (CRSA) lokakarya. Inggris
CRSA Forum , mempunyai Misi : 'Berbagi, maju dan mempromosikan
praktik terbaik dalam self-assessment kontrol dan risiko dalam semua
organisasi '. Forum tersebut yakin bahwa satu-satunya cara agar
manajemen risiko dapat masuk

ke dalam hati dan pikiran dari

organisasi adalah dengan mengajak semua orang yang terlibat secara

partisipatif. Dalam pendekatan audit disebutkan prinsip-prinsip kunci
berkaitan dengan CRSA sebagai bagian dari sistem manajemen resiko.
Pengembangan Resiko Pengelolaan Waktu
1. General Bunga ( Bunga Umum)
Tidak ada organisasi yang

belum

menemukan

manajemen risiko,dan di awal cenderung

konsep

akan ada kantong

kepentingan dalam gagasan mengenali dan berurusan dengan

risiko. Spesialis staf seperti orang kesehatan dan keselamatan,
manajer proyek, petugas asuransi, keamanan TI Staf dan
keuangan orang akan cenderung memiliki pemahaman yang
baik tentang cara penilaian risiko dapat digunakan untuk
mengarahkan sumber daya secara lebih efisien, tetapi hanya
dalam konteks daerah mereka sangat spesialis kerjaOrganisasi

pada tahap satu akan berisi kantong terisolasi di mana penilaian

risiko secara teratur dilakukan oleh staf ahli, tapi hanya untuk
wilayah minat mereka.
2. Gemuruh Penelitian
Sebuah organisasi mencapai dua tahap ketika orang-orang
dalam beberapa departemen mulai terlihat ke dalam topik
manajemen risiko di luar peran spesialis disebutkan pada tahap
satu. Ini bunga berkembang biasanya diprakarsai oleh staf
keuangan yang mengakui bahwa penilaian risiko mendukung
cara

kontrol

keuangan

dikembangkan

ke

dalam

sistem

pengendalian internal yang kuat. Paling rezim regulasi baik di

sektor swasta dan publik membutuhkan pemeliharaan yang
memadaisistem pengendalian keuangan internal, dan lebih
sering pelaporan, eksternal kontrol di laporan tahunan karena
dibombardir
internal,

oleh

rekomendasi

bersama

dengan

dari

auditor

eksternal

kecenderungan

dan

penggunaan

keuangan, buku pegangan dan prosedur keuangan / peraturan,

orang-orang akuntansi cenderung merasa nyaman dengan ide
manajemen risiko dan efektif keuangan internal kontrol. Tahap
dua

organisasi

berisi

orang

yang

telah

mulai

menarik

bersama-sama praktek terbaik panduan dan publikasi lain yang

berkaitan

dengan

manajemen

risiko untuk

keuangan

dan

beberapa manajer umum.

3. Penanggung Jawab
Sebuah organisasi tiba pada tahap ketiga ketika sumber
dayanya siap untuk menuju manajemen risiko yang resmi. Ini
benar-benar tentang tanggung jawab dalam organisasi yang
menugaskan untuk bersama-sama mengupayakan mengatasi
risiko di wilayah operasional berbagai layanan dukungan. Sekali
lagi,

disini

akan

ditemukan

kecenderungan

peran

yang

diberikan kepada seorang manajer keuangan senior - karena

penilaian risiko generik akan dilihat sebagai masalah yang
berhubungan dengan keuangan untuk mendukung pernyataan
pengendalian internal dalam perhitungan tahunan. Kabar baik
untuk

tahap

tiga

entitas

adalah

bahwa

seseorang

mulai

mengkoordinasikan

terkait

risiko

kegiatan

dan

mencapai

beberapa jenis struktur.

4. Bunga Top Manajemen
Sebuah organisasi tiba pada tahap keempat ketika risiko dan
manajemen risiko menjadi boardroom agenda pokok. Dimana
dewan memutuskan untuk mengatur arah kebijakan dan strategi
untuk cara risiko ditangani oleh manajer dan staf mereka, proses
manajemen

risiko

mulai

untuk

mengambil

yang

jelas

membentuk, bahkan jika ini hanya dari segi rasa arah dan
komitmen. Tahap empat organisasi melibatkan direksi dan
manajer senior yang membuat pernyataan yang jelas tentang
kebutuhan

untuk

mengatasi

risiko,

dalam

strategi

cara

dikembangkan dan operasi cara memberikan. Sebuah kebijakan

risiko formal akan muncul sebagai bagian dari pesan-pesan
kunci perusahaan yang melanda proses top-down komunikasi.
5. Seminar Kesadaran
Pesan berongga dari atas dapat berkomunikasi konsep satu baris
, tetapi tidak sangat baik dalam memberikan perubahan dalam
praktek kerja. Ini panggilan untuk pemikiran baru dan belajar
suara

memproses

perubahan

besar

yang

membuat

panggilan

untuk

perbedaan.

cara

Inisiatif

terstruktur

untuk

mendapatkan pesan seberang dengan format hands-on yang

mencapai staf kunci secara sistematis dan terencana cara. Tahap
lima

organisasi

akan

cenderung

memberikan

peristiwa

kesadaran di mana orang disuruh tentang manajemen risiko

inisiatif

dan

bagaimana

hal

itu

mempengaruhi

mereka.

Membawa berbagai bagian dari bisnis bersama-sama dengan

cara ini membentuk dasar bagi perusahaan-lebar manajemen
risiko pendekatan.
6. Infrastruktur Build
Ketika orang memahami

cara manajemen risiko

dapat

digunakan untuk membantu memastikan tujuan yang tercapai,

organisasi dapat melangkah ke tahap enam. Di sini, ia mulai
mengembangkan proses untuk menilai risiko di bagian penting
dari bisnis dan pelaporan hasil menjadi suatu pelaporan jaminan

Mekanisme,

yang

internal.Dalam
menjadi

akhirnya

tahap

lebih

dari

enam

pernyataan
organisasi,

strategi

kontrol

diterbitkan

kebijakan

manajemen

risiko

risiko

yang

mencapai ke kunci bagian dari bisnis serta layanan

dukungan. Selain itu, upaya tersebut sering diawasi oleh
Komite

Audit

sesuai

dirumuskan.

Dengan

cara

ini,

niat

menyatakan dapat berubah menjadi nyata tindakan. Salah satu

aspek kunci dari infrastruktur membangun adalah penerapan
model kontrol yang sesuai seperti COSO.
7. Latihan resiko
Hal ini hanya ketika sebuah organisasi telah melalui versi tahap
satu sampai enam yang dapat mengubah ke tahap tujuh, di
mana tim, proyek, operasi dan fungsi pendukung dapat mulai
meninjau wilayah kerja mereka. Apa yang sering disebut sebagai
kontrol self-assessment atau pengendalian risiko self-assessment
lokakarya cocok pada tahap tujuh. Di sini, top-down arah pada
risiko dan tingkat tinggi diskusi di tingkat manajemen menengah
dapat dipenuhi dengan bottom-up informasi tentang negara
risiko operasional dan kontrol yang terkait.
8. Terpadu
Tahap akhir berkaitan dengan integrasi dari semua upaya risiko
ke dalam cara organisasi merencanakan strategi, menetapkan
ukuran

kinerja

dan

membuat

keputusan

untuk

menutup

kesenjangan antara aktualkinerja dan target.Dalam skenario ini,

perlu ada bimbingan ahli dalam menyatukan berbagai helai
berbasis risiko kegiatan dan daftar risiko yang dihasilkan,
rencana aksi dan laporan ke membentuk proses jaminan
pelaporan keseluruhan. Sebagian melihat ini sebagai peran
untuk CRO secara resmi ditunjuk, yang memiliki tingkat tinggi
representasi dan laporan kepada dewan. Beberapa orang akan
berpendapat bahwa CRO pos idealnya akan muncul pada tahap
satu untuk membimbing dan mengarahkan organisasi melalui
sisa tahapan sebagai sistem manajemen risiko secara efektif
dibangun, diimplementasikan dan kemudian dimasukkan ke
dalam budaya tempat kerja.

Model delapan tahap diatas berguna dalam menilai mana sebuah

organisasi berdiri sebelum memulai pada peran konsultan audit,
karena masukan yang dibutuhkan akan bervariasi tergantung pada
panggung organisasi saat ini duduk. Setiap tahap membutuhkan driver
yang berbeda:
Tahap satu - kepentingan umum: membangun minat dan fokus
ke drive pro-organisasi untuk mendapatkan tim spesialis yang
berbeda

berbicara

tentang

pendekatan

mereka

untuk

manajemen risiko.
Tahap dua - gemuruh penelitian: mengembangkan database
praktek terbaik bimbingan dan mencari tahu apa yang orang lain
di sektor bisnis lakukan. Buatlah daftar hal-hal yang akan
dibahas dalam perumusan dan pelaksanaan kebijakan risiko
perusahaan.
Tahap tiga - orang yang bertanggung jawab: mendefinisikan
peran dan tanggung jawab masing-masing, khususnya juara
untuk penyebab yang dapat menentukan arah bagi organisasi.
Tahap empat - bunga manajemen puncak: mengamankan
sponsor pada papan yang dapat memastikan risiko manajemen
duduk tegas pada agenda perusahaan. Salah satu cara adalah
untuk

mendapatkan

papan

(dan

audit

Komite)

untuk

melaksanakan penilaian mereka sendiri untuk tiba di atas

mereka sepuluh risiko untuk memulai proses.
Tahap lima - seminar kesadaran: hal ini sangat penting untuk
mendapatkan pemain kunci di seluruh organisasi bersama-sama
dalam serangkaian acara untuk memberikan

pemahaman,

meningkatkan buy-in dan memastikan setiap manajer menerima

bahwa

mereka

memiliki

tanggung

jawab

yang

jelas

dan

langsung untuk mengelola risiko di daerah mereka jawab.

Tahap enam - membangun infrastruktur: banyak dari ini akan
berkisar

membangun

informasi

yang

sesuai

sistem

yang

mengkategorikan dan menangkap kegiatan resiko ke dalam

format pelaporan jaminan formal. Itu kegiatan risiko yang tepat

harus memutuskan dan apakah kegiatan ini mencakup seluruh

organisasi atau hanya tinggi-profil daerah.
Tahap tujuh - latihan berisiko: disini organisasi akan perlu untuk
melakukan survei dan / atau difasilitasi lokakarya dengan cara
yang paling sesuai dengan struktur dan budaya bisnis.
Tahap delapan - terintegrasi: banyak dari ini akan didasarkan
pada mendefinisikan peran dankompetensi dari CRO atau setara
dan

memastikan

bahwa

proses

penilaian

risiko

tersebut

diperbaiki dan diperbarui baik teratur

dan kapanpun perubahan profil dampak berbagai risiko.
Masalah yang dihadapi beberapa organisasi adalah bahwa mereka
memulai proses delapan tahapan tanpa jelas pemahaman dari tahap
pengembangan dan target. Akibatnya, banyak orang terjebak pada
tahap awal dan menulis seluruh hal off sebagai awal palsu. CRSA
hanya benar-benar bekerja di mana organisasi memiliki tiba pada
tahap

3.9 MANAJEMEN RESIKO TERTAHAN

Puncak

manajemen

risiko

praktik

terbaik,

yang

banyak

dicari

'manajemen risiko tertanam '. Salah satu kriteria untuk menilai

kerangka pengendalian internal (Pemantauan pengaturan) pertanyaan
berikut:
Apakah ada proses yang sedang berlangsung tertanam dalam
operasi perusahaan secara keseluruhan bisnis, dan ditangani
oleh manajemen senior, yang memantau penerapan yang efektif
dari kebijakan, proses dan kegiatan yang berkaitan dengan
manajemen risiko pengendalian internal?
Sementara

Strategis

Risiko

Departemen

Keuangan

panduan

Manajemen mengakui kebutuhan yang sama untuk mengintegrasikan

risiko

ke

dalam

organisasi

dengan

menyarankan

bahwa:

"The

embedding manajemen risiko pada gilirannya kritis keberhasilannya,

melainkan harus menjadi bagian intrinsik dari cara organisasi bekerja,

pada inti pendekatan manajemen, bukan sesuatu yang terpisah dari
hari ke hari kegiatan '. Standar risiko yang paling, panduan, alat bantu
dan komentar mengandung frase (atau Istilah setara) tertanam
manajemen risiko. Gordon Bukit memperingatkan tentang mencoba
untuk melakukan terlalu banyak terlalu cepat : Integrasi dengan proses
yang ada adalah sama pentingnya, tetapi menyajikan tantangan yang
berbeda semata-mata karena proses akan beroperasi.
Menggunakan risk register dengan benar diprioritaskan untuk fokus
pada isu-isu terbesar adalah cara yang paling efektif penargetan
usaha. Dengan cara ini organisasi akan mencapai pengembalian
tercepat dan terbesar komitmen dan akan ada di cengkeramannya
peta rute ke risiko dikelola. Dengan menambahkan beberapa faktor
yang terdiri dari tiga kotak hitam (ERM / CRSA, SIC dan Stakeholders)
dan empat kotak abu-abu (waktu, biaya, nilai-nilai, embed) kita dapat
mencapai model sepenuhnya dikembangkan efektif manajemen risiko.
Dimulai dengan kotak hitam pertama,
penambahan
ini
dijelaskan

di

bawah

ini:

ERM / CRSA Sebagaimana dibahas di atas, harus ada proses

yang

menjamin

risiko

dipahami,

diidentifikasi dan dikelola di tingkat akar rumput idealnya

melalui bentuk pengendalian risiko penilaian diri program.
Sementara itu, harus ada proses lebih lanjut untuk memastikan
penilaian risiko adalah dilakukan di seluruh bagian-bagian kunci,
jika tidak semua, dari organisasi dan yang didorong dari atas
dan berjalan ke bawah, dan di seluruh tingkatan manajemen.
The CRO akan membantu mengkoordinasikan upaya-upaya ini.
Sistem manajemen risiko harus membahas konsep toleransi risiko dan
membuat jelas daerah yang cenderung menimbulkan ancaman bagi
organisasi, atau masyarakat umum di mana tepat dan sejauh mana
strategi dan target kinerja cenderung penuh tercapai.Komunikasi
dengan para pemangku kepentingan dalam identifikasi dan proses

manajemen penting. Komunikasi harus mendidik masyarakat tentang

risiko yang mereka dapat terpapar
mana

risiko

dapat

dikelola,

pada cara-cara yang berbeda di

pada

tujuan

Departemen,

dalam

manajemen risiko, dan dalam peran individu sendiri 'dalam mengelola

risiko, di mana keputusan diambil untuk menghindari intervensi
pemerintah legislatif. Waktu Model risiko didasarkan pada melakukan
lebih banyak untuk penelitian, menganalisis dan menangani risiko yang
dampak organisasi dan memastikan ada transparansi dan kompetensi
dalam cara risiko dibahas.
Waktu Model risiko didasarkan pada melakukan lebih banyak untuk
penelitian, menganalisis dan menangani risiko yang dampak organisasi
dan memastikan ada transparansi dan kompetensi dalam cara risiko
dibahas. Kuesioner dapat digunakan sebagai awal dimana Sulit untuk
membuat orang bersama-sama, dan mungkin menggunakan membagi
kelompok pada konferensi staf berikutnya daripada mencoba untuk
membuat peristiwa terpisah. Tim dan staf pertemuan dapat digunakan
untuk memulairisiko proses penilaian lagi sebagai pengakuan atas
kurangnya waktu. Pendekatan yang terbaik adalah untuk menentukan
manfaat manajemen risiko dan kemudian membuat ruang untuk
melakukan latihan resiko. Dimana kita memiliki mendapat lebih dekat
untuk menanamkan risiko ke dalam proses perusahaan, itu hanya
mungkin menjadi masalah untuk memastikan dasar tugas-tugas
seperti perencanaan, penetapan target, restrukturisasi perusahaan,
pengambilan

keputusan

kunci,

kinerja

manajemen,

perencanaan

proyek, perancangan prosedur, usaha baru, peluang kemitraan, baru

produk dan sebagainya hanya setuju ketika penilaian formal risiko
telah dilakukan dan direkam.
Biaya Faktor ini berhubungan dengan waktu. Ini tidak membutuhkan
biaya untuk menerapkan ide-ide baru bahkan di mana kita sedang
membangun ide-ide ke dalam sistem yang ada. Keahlian eksternal
mungkin diperlukan pada awal hari untuk membentuk manajemen
risiko untuk memastikan ide-ide dapat berubah dalam praktek. Sistem

informasi dapat diperbarui untuk membangun dalam faktor risiko dan

menangkap

hasil

dari

setiap

latihan

yang

relevan.

Dimana

pendekatan CRSA diadopsi, kita akan perlu untuk buku layanan

akomodasi dan dukungan
perekaman.

dan fasilitator yang baik dan sistem

tingkat papan dukungan untuk manajemen risiko perlu

dicocokkan dengan anggaran didelegasikan tepat, idealnya terletak

dengan CRO. Kebijakan tanpa dana didefinisikan melekat pada mereka
cenderung berakhir sebagai dokumen kertas tanpa nilai riil.
Nilai Cara terbaik untuk membangun manajemen risiko adalah untuk
menghindari ,hanya memberikan satu set peraturan dalam bentuk halhal

yang

harus

dilakukan

untuk

memenuhi

persyaratan

kebijakan.Keputusan harus diambil tanpa bergegas kepala lebih dulu ke

perairan ditandai atau menahan dan menolak semua perubahan yang
disarankan,

tetapi

mereka

harus

dilakukan

setelah

dilakukan

formalpenilaian risiko kunci dan dalam hubungannya dengan strategi

untuk menghadapi risiko yang tidak dapat diterima.
3.10 PERAN AUDIT INTERNAL DALAM MANAJAMEN RESIKO
IIA Atribut Standar 1220.A3 menyatakan bahwa auditor internal harus
memperhatikan risiko kunci dan bahwa: auditor internal 'harus
waspada terhadap risiko signifikan yang mungkin mempengaruhi
tujuan, operasi, atau sumber daya. Namun, jaminan prosedur saja,
bahkan ketika dilakukan dengan perawatan profesional karena, lakukan
tidak menjamin bahwa semua risiko yang signifikan akan diidentifikasi.
"
Kembali pada tahun 1999, Gill Bolton mengeluarkan peringatan kepada
auditor internal bahwa mereka berada dalam bahaya melawan
manajemen risiko yang efektif karena mereka:

Cenderung untuk merekomendasikan proses menolak sangat

berisiko dan prosedur.

Apakah tidak menyadari preferensi organisasi untuk mengambil
resiko (juga dikenal sebagai risk appetite atau toleransi risiko).

Mereka tidak sendirian dalam hal ini organisasi sesedikit telah

didefinisikan secara tepat risiko mengambil preferensi.

Membuat rekomendasi pada dasar yang cukup ad hoc, seringkali
tanpa mempertimbangkan organisasi dampak dari rekomendasi

mereka.
Gagal untuk

mendapatkan

cukup

dekat

dengan

peluang

strategis dan tantangan yang mereka organisasi bekerja dan

bekerja menuju.
Tambahkan beban

fleksibilitas sangat penting.

Jangan terlibat aktif dalam

administrasi

pada

saat

program

kecepatan

utama

dan

perubahan

organisasi.
Sebagai kesimpulan audit internal harus bekerja sama dengan semua
manajemen risiko lainnya dan pemantauan fungsi dalam organisasi
mereka untuk membantu mencapai total risiko selaras dan efisien
manajemen. Hal ini jelas bahwa drive cepat menuju manajemen risiko
muncul sebagian karena kode resep, sebagian dipicu oleh skandal
lintas sektor dan organisasi dan juga karena bisnis yang sukses
dipahami dan ditangani risiko utama mereka. Gerakan ini terhadap
risiko merangkul seharusnya tidak ada Cara terhalang oleh auditor
internal. The IIA Handbook Seri Pelaksanaan Profesional Praktek
Framework (hal. 92) menyatakan bahwa: "Gagasan bahwa risiko harus
baik memeluk dan dihilangkan oleh organisasi bertentangan dengan
pemikiran tradisional audit internal. Dalam audit internal terakhir
praktisi sering dicari hanya untuk menghilangkan risiko.

Standar

Kinerja 2.120 menjelaskan bahwa : Kegiatan audit internal harus

mengevaluasi efektivitas dan berkontribusi terhadap peningkatan risiko
proses

manajemen.Interpretasi:Menentukan

apakah

risiko

proses

manajemen yang efektifadalah penilaian yang dihasilkan dari penilaian

auditor internal bahwa :

tujuan

organisasi;
risiko yang signifikan diidentifikasi dan dinilai

organisasi

mendukung

dan

sejalan

dengan

misi

tanggapan risiko yang tepat dipilih yang menyelaraskan risiko

dengan risk appetite organisasi;

informasi risiko yang relevan ditangkap dan dikomunikasikan
secara tepat waktu di seluruh organisasi, staf memungkinkan,
manajemen, dan dewan untuk melaksanakan tanggung jawab
mereka. Risiko proses manajemen dimonitor melalui kegiatan
manajemen yang sedang berlangsung, terpisahevaluasi, atau
keduanya.

2120.A1 - Kegiatan audit internal harus mengevaluasi eksposur

risiko yang berkaitan dengan organisasipemerintahan, operasi, dan
sistem informasi mengenai :

Keandalan

operasional.
Efektivitas dan efisiensi operasi.
Pengamanan aset, dan
Kepatuhan terhadap hukum, peraturan, dan kontrak.

dan

integritas

informasi

keuangan

dan

Auditor internal 'keterlibatan dalam menilai risiko atau mengidentifikasi

kontrol termasuk:

Fasilitator memungkinkan dan membimbing manajer dan staf

melalui proses.
Anggota tim yang merupakan bagian dari kelompok berbasis

luas.
Risiko dan kontrol analis memberikan manajer dengan saran

ahli. .
Membuktikan alat dan teknik yang digunakan oleh audit internal

untuk menganalisis risiko dan kontrol.

Menjadi pusat keahlian untuk mengelola risiko.

Beberapa berpendapat bahwa audit internal perlu reposisi sendiri di

jantung dimensi risiko dan drive melalui perubahan yang diperlukan.
Dalam penelitian terbaru didanai oleh IIA.Inc. berjudul Enterprise Risk
Management (ERM): Tren dan Emerging, Tim Lintah meminta profesi
untuk

mendapatkan

untuk

mengatasi

dengan

ERM

dan

telah

mempertanyakan apakah audit internal departemen akan membantu

atau menghalangi gerakan ERM.
Praktek Penasehat 2.120-1 on Menilai Kecukupan Proses Manajemen
Risiko memberikan interpretasi Standar 2120 (kegiatan audit internal
harus

mengevaluasi

efektivitas

dan

berkontribusi

terhadap

peningkatan manajemen risiko proses). Menentukan apakah risiko

proses manajemen yang efektif adalah penilaian yang dihasilkan dari
penilaian auditor internal bahwa:

tujuan

organisasi.
risiko yang signifikan diidentifikasi dan dinilai.
tanggapan risiko yang tepat dipilih yang menyelaraskan risiko

dengan risk appetite organisasi.

informasi risiko yang relevan ditangkap dan dikomunikasikan

secara tepat waktu di seluruh organisasi,

memungkinkan staf, manajemen, dan dewan direksi untuk

melaksanakan tanggung jawab mereka.

Manajemen risiko proses dimonitor melalui kegiatan manajemen

yang sedang berlangsung, terpisah evaluasi, atau keduanya.

Manajemen risiko merupakan tanggung jawab utama dari

organisasi

mendukung

dan

sejalan

dengan

misi

manajemen senior dan papan. Untuk mencapai nya tujuan

bisnis, manajemen memastikan bahwa suara risiko manajemen
proses berada di tempat dan berfungsi. Papan memiliki peran
pengawasan untuk menentukan bahwa manajemen risiko yang
sesua proses berada di tempat dan bahwa proses ini memadai
dan efektif. Dalam peran ini, mereka dapat mengarahkan
kegiatan

audit

memeriksa,

internal

mengevaluasi,

merekomendasikan

untuk

perbaikan

membantu

mereka

melaporkandan
kecukupan

dan

dengan

atau

efektivitas

manajemen yang Risiko proses.

Manajemen dan dewan bertanggung jawab atas manajemen
risiko-organisasi mereka dan kontrol proses. Namun, auditor
internal bertindak dalam peran konsultan dapat membantu
organisasi

dalam

mengidentifikasi,

mengevaluasi,

dan

menerapkan manajemen risiko dan metodologi kontrol untuk

mengatasi risiko tersebut.

Dalam situasi di mana organisasi tidak memiliki formal yang
risiko

manajemen

proses,

CAE secara resmi membahas dengan manajemen dan dewan

kewajiban mereka untuk memahami, mengelola dan memantau
risiko dalam organisasi dan kebutuhan untuk memuaskan diri
sendiri bahwa ada adalah proses operasi dalam organisasi,
bahkan

jika

informal,

yang

menyediakan

sesuai

tingkat visibilitas ke dalam risiko kunci dan bagaimana mereka

dikelola dan dipantau.
Pemahaman manajemen senior dan harapan dewan dari audit
internal
aktivitas dalam manajemen risiko proses organisasi. Pemahaman ini
kemudian dikodifikasikan dalam piagam dari kegiatan audit internal
dan

papan.

Tanggung

dikoordinasikan

antara

jawab
semua

audit

internal

kelompok

dan

adalah

untuk

individu

dalam

manajemen risiko-organisasi proses. Kegiatan audit internal peran

dalam proses manajemen risiko organisasi dapat berubah dari
waktu ke waktu dan dapat mencakup :

Peran No.
Audit proses manajemen risiko sebagai bagian dari rencana

audit internal.
Aktif, dukungan dan keterlibatan dalam proses manajemen
risiko

seperti

partisipasi pada komite pengawasan, kegiatan pemantauan,

dan pelaporan status.

Mengelola dan mengkoordinasi proses manajemen risiko.
Pada akhirnya, itu adalah peran manajemen senior dan
papan untuk menentukan peran internal audit dalam proses
manajemen risiko.

Pandangan mereka tentang peran audit internal adalah mungkin

ditentukan oleh faktor-faktor seperti budaya kemampuan, organisasi

audit

internal

staf dan kondisi lokal dan adat istiadat negara. Namun, mengambil
ini

manajemen

Tanggung jawab mengenai proses manajemen risiko dan ancaman

potensial terhadap internal independensi kegiatan pemeriksaan ini
membutuhkan persetujuan diskusi dan full board.
Audit

harus

proses

menentukan

melalui

pemantauan,

efektivitas

observasi,

pengujian

tes

self-assessment

langsung

kecukupan

kontrol

informasi

manajemen

dan

prosedur

digunakan

dalam

kegiatan monitoring dan teknik lain yang sesuai.

Gregg R. Maynard telah memberikan singkat daftar cara bahwa
audit internal dapat merespon agenda risiko:
1.

Menggabungkan analisis obyektif dan subyektif dari alam

semesta audit untuk mengungkapkan prioritas audit. Menjauh
dari siklus audit - ukuran kuantitatif yang kemudian kualitatif

bahwa perubahan sebagai perubahan situasi.

2. Menganalisis
kemampuan
manajemen
untuk

mencapai

sasarannya dan tujuan dalam pra-audit narasi. Manajemen

penilaian risiko dan toleransi.
3. Menggunakan kuesioner untuk memeriksa kontrol internal dari
atas ke bawah. Jelajahi nada pada top - standar etika,
perencanaan strategis, manajemen informasi dan manajemen
risiko.
4. Menganalisis proses untuk menetapkan dan mengawasi limit
risiko.

Ambang

batas

dan

operasional target.
5. Meninjau fungsi manajemen

mengatur
risiko

dan

lain,

keuangan

seperti

dan

treasury,

kepatuhan, dan akuntansi kontrol. Basis ketergantungan pada

penilaian dan juga mendapatkan gambaran besar pada eksposur
risiko.
6. Mengamati proses perencanaan strategis dan hasilnya. Lihat
untuk mengaudit masa depan dan perubahan risiko tetapi tidak
dalam pengambilan keputusan kapasitas.

7. Mengevaluasi inisiatif strategis. Misalnya aliansi strategis dan

proyek-proyek baru.
8. Mengintegrasikan kegiatan

audit.

Misalnya

IT

audit

dan

pemeriksaan garis depan.

9. Mendasarkan proses audit atas efek bersih dari eksposur risiko
dan kontrol kompensasi. Audit rekomendasi harus didasarkan
pada

persamaan

ini

risiko

kontrol

kurang.

Kemudian

menentukan tingkat pengujian substantif yang diperlukan untuk

mengkonfirmasi posisi.
10.Bermitra dengan manajemen

dengan

menyediakan

jasa

konsultasi dan nilai tambah informasi.

11.Meninjau etika sebagai unsur dasar pengendalian internal.
12.Melakukan
audit
komprehensif
dari
manajemen
risiko
keseluruhan program.
MENGELOLA RISIKO 225 2110 Pemerintahan Kegiatan audit
internal harus menilai dan membuat rekomendasi yang sesuai untuk
meningkatkan governance proses pencapaiannya tujuan berikut:

Mempromosikan

organisasi;
Memastikan manajemen kinerja yang efektif dan akuntabilitas

organisasi;
Mengkomunikasikan informasi risiko dan kontrol ke daerah-

daerah sesuai organisasi, dan

Koordinasi kegiatan dan mengkomunikasikan informasi di antara

etika

dan

nilai-nilai

yang

tepat

dalam

papan, eksternal dan auditor internal, dan manajemen.

2110.A1

Kegiatan

implementasi,
organisasi

dan

audit

internal

efektivitas

sasaran,

etika

harus

mengevaluasi

desain,

yang

berhubungan

dengan

program,

dan

kegiatan.

2110.A2 - Kegiatan audit internal harus menilai apakah tata kelola

teknologi

informasi

organisasi menopang dan mendukung strategi dan tujuan organisasi.

2110.C1 - tujuan keterlibatan Consulting harus konsisten dengan nilainilai keseluruhan dan tujuan organisasi.

The Treasury (Manajemen Risiko Strategis) telah bergema pedoman IIA

pada keterlibatan proaktif dari auditor internal dan panduan untuk
manajemen

risiko

menunjukkan

bahwa

Audit

internal

dapat

digunakan oleh manajemen sebagai konsultan internal ahli untuk

membantu

dengan

pengembangan

proses

RM

strategis

bagi

organisasi. Namun penting untuk dicatat bahwa fungsi audit internal

adalah untuk memberikan jaminan independen tentang cara di mana
itu adalah dikontrol, ini bukan sebuah pengganti untuk kepemilikan
manajemen risiko juga tidak ada atau kegiatan audit internal pengganti
untuk

sistem

tertanam

tinjauan

dilakukan

oleh

berbagai

staf

yang memiliki tanggung jawab eksekutif untuk pencapaian objectives.

Dua titik kunci yang perlu dibuat :
1. Pertama, ulasan lebih dapat diandalkan di mana resensi tidak
memihak.
2. Nilai tambah berarti memberikan kontribusi keahlian khusus
untuk mempromosikan keberhasilan perusahaan.
Ketika sebuah organisasi perlu mendapatkan sistem manajemen risiko
dan berjalan, dan terlihat auditor untuk pengaturan bantuan up, sulit
bagi auditor yang sama untuk kemudian memberikan jaminan obyektif
tentang sistem yang sama. Mula-mula pandangan, dua konsep yang
tidak kompatibel. Namun demikian, berbagai cara yang ini jelas
inkonsistensi dapat dikelola. Model yang kita gunakan memiliki tujuh
pendekatan:

1. Pendekatan standar audit tinjauan diadopsi. Di sini, tim audit

internal memonitor cara bisnis manajemen risiko sistematis
ditetapkan

dan

dilaksanakan,

dan

kemudian

melanjutkan

dengan meninjau apakah itu dapat diandalkan, kuat dan

memenuhi kebutuhan organisasi. Pada gilirannya, internal audit
dapat memberikan jaminan independen untuk papan pada
keadaan manajemen risiko.

2. Hal ini mirip dengan pendekatan satu, dengan penambahan

saran ad hoc dan bimbingan yang diberikan berdasarkan
permintaan. Audit internal dapat membuat presentasi ke papan
dan

muncul

untuk

pertemuan

atau

lokakarya

di

mana

manajemen risiko sedang dibahas dan diputuskan pada, dan

membuat kontribusi seperti yang diperlukan.
3. Pendekatan ketiga mengambil hal-hal langkah lebih lanjut dan
auditor internal mulai terlibat dalam meningkatkan kesadaran.
Fitur utama di sini adalah bahwa audit internal akan memimpin
berbagai seminar dan peristiwa yang mempromosikan tata
kelola perusahaan, manajemen risiko dan pengendalian.
4. Tingkat berikutnya adalah di mana audit internal memfasilitasi
lokakarya CSA dan mengambil pesan resiko ke akar rumput di
seluruh organisasi. Auditor tulang di keterampilan fasilitasi dan
pekerjaan utama tim, tim proyek atau proses berbasis kelompok
kerja dan membantu tim mempersiapkan risiko yang sesuai
register untuk mencerminkan risiko prioritas dan rencana aksi.
5. Tingkat lima berjalan sepanjang jalan. Berikut audit internal
mengkompilasi database risikoperusahaan dari semua yang
berbasis risiko kegiatan yang terjadi dalam organisasi. Audit
akan

terus

mengembangkan

sistem

pelaporan

yang

menyediakan laporan agregat dan terpilah pada tingkat yang

tepat dalam organisasi. Peran diasumsikan adalah mirip dengan
yang dari organisasi yang disebut itu CRO.
6. Pendekatan enam tingkat didasarkan pada membangun dua
untai terpisah untuk audit internal layanan. Yang pertama
berfokus pada jaminan utama dan peran review, meskipun hal
ini sekarang mungkin menjadi berbasis risiko, berkonsentrasi
pada risiko operasional yang telah diidentifikasi. Yang kedua
melakukan peran konsultan dalam memfasilitasi kegiatan CRSA.
7. Pendekatan terakhir adalah untuk memainkan peran penuh
dalam

memulai

dan

mengembangkan

manajemen

risiko

sistematis di seluruh organisasi untuk mendapatkan proses yang

terjadi. Kemudian, setelah membantu mendirikan proses, audit
internal bergerak menjauh dari layanan konsultasi dan kembali

ke peran jaminan utama. Dicara ini, tanggung jawab penuh

untuk membuat manajemen risiko kerja diberikan kembali ke
garis.
Strategi dasar di atas dapat digunakan sebagai platform agar sesuai
dengan jasa audit internal ke pengembangan manajemen risiko di
seluruh organisasi.
Peran Internal audit

dalam mengkaji manajemen risiko telah diakui

dalam standar Inggris pada risiko manajemen. Jika organisasi memiliki

fungsi

audit

internal,

ini

mungkin

bertanggung

jawab

untuk

menyediakan senior manajemen dengan jaminan secara independen

terhadap:

Proses manajemen risiko, baik desain mereka dan seberapa baik

mereka bekerja;
Manajemen risiko utama, termasuk efektivitas pengendalian dan

tanggapan lain untuk tersebut, dan

penilaian Handal dan sesuai risiko dan pelaporan risiko dan
status

kontrol.

Risiko organisasi dan fungsi audit internal dapat beroperasi

secara

independen.

Mereka

harus

berbagi

informasi

dan

mengkoordinasikan kegiatan mereka. Informasi yang bersama

dapat
o
o
o
o
o
o

mencakup :
rencana tahunan Setiap fungsi ini kegiatan;
Metode mengelola risiko secara efektif;
Kunci risiko;
masalah pengendalian kunci;
Output dari kegiatan proses manajemen risiko dan audit,
dan
Pelaporan dan manajemen information.

AUDIT PROGRAM ERM

Pemikul tanggung jawab dalam program ERM adalah dewan direksi dan
eksekutif level C. Mereka memutuskan apa risiko, apa tingkat risiko
yang akan mereka mentolerir, dan apa risiko yang mereka tidak mau
mentolerir.

Mereka

bertanggung

jawab

untuk

memantau

dan

menanggapi output ERM dan memperoleh jaminan bahwa risiko

organisasi yang diterima dikelola dalam batas-batas yang ditentukan.
Internal auditor , baik dalam jaminan mereka dan peran konsultasi
berkontribusi dalam ERM dalam berbagai hal. Mereka menghabiskan
sebagian besar waktu mereka menilai seberapa efektif manajemen
memiliki menanggapi risiko kunci dengan mengembangkan operasi
yang memadai dan struktur kontrol. Pada dasarnya, tim audit
memberikan dewan dan manajemen dengan tujuan penilaian upaya
ERM perusahaan, termasuk di mana perusahaan dapat meningkatkan.
Menurut Komite Organisasi Sponsoring, ERM adalah'' sebuah proses,
dilakukan oleh dewan entitas direksi, manajemen, dan personil lainnya,
diterapkan dalam pengaturan strategi dan di seluruh perusahaan, yang
dirancang untuk mengidentifikasi kejadian potensial yang dapat
mempengaruhi entitas, mengelola risiko berada dalam risk appetite,
dan untuk menyediakan keyakinan memadai tentang pencapaian
tujuan entitas.'' Perhatikan melihat proses - yaitu, manajemen risiko
lebih dari sistem manajemen risiko. Dari perspektif pemeriksaan
identifikasi internal, risiko kunci yang tidak memadai untuk organisasi
dapat meningkatkan kemungkinan peristiwa buruk terjadi. Identifikasi
yang tidak benar dapat mengakibatkan pemborosan sumber daya.
Pada bidang risiko rendah dengan imbalan sedikit sebaliknya, dapat
meninggalkan perusahaan lebih terbuka terhadap peristiwa negatif.
Audit ERM harus menentukan resiko apakah yang signifikan bagi
organisasi yang tepat diidentifikasi dan dinilai secara berkelanjutan.
Hal ini juga harus mengkonfirmasikan bahwa risiko dimonitor untuk
kemungkinan perubahan, bahwa risiko-teknik manajemen (Asuransi,
hedging, dan sejenisnya) berada di tempat, dan manajemen yang
memiliki kemampuan untuk mengenali dan merespon risiko baru yang
muncul. Masalah lebih lanjut yang layak dipertimbangkan dalam audit
ERM meliputi:

Apakah manajemen risiko organisasi usahanya sesuai dengan

kebutuhannya? Ini termasuk pengakuan dari manajemen, dan

respons terhadap, kewajiban yang

muncul dan peluang di

bidang manajemen risiko dan tata kelola perusahaan.

Apakah program manajemen risiko yang efektif

telah

dikembangkan dan diimplementasikan? Apakah akuntabilitas

mapan dan diakui oleh orang-orang yang akan bertanggung

jawab?
Apakah manajemen dan audit menyepakati definisi program?
Apakah sistem yang ada sesuai kebijakan, prosedur, dan
pedoman

yang

berkaitan

dengan

ERM, didukung oleh kesadaran yang sesuai, pelatihan, dan

kepatuhan kegiatan?
Apakah organisasi memeluk filosofi manajemen risiko? Apakah
eksekutif manajemen dipandang sebagai pendukung kuat, dan
merupakan pertimbangan resiko suatu terpisahkan bagian dari

hari-hari keputusan bisnis?

Bagaimana manajemen resiko dapat membuat berhasil suatu
usaha? Ini adalah pertanyaan sulit untuk menjawab mengingat
ketidakpastian

yang

melekat

pada

risiko,

tapi

review

retrospektif, organisasi identifikasi dan respon terhadap risiko,

termasuk kejadian-kejadian yang menunjukkan kontrol yang

tidak memadai, harus diungkapkan.

Apakah kita perlu meningkatkan pemahaman risiko utama dan
apa lagi yang perlu harus dilakukan? Sudahkah kita melakukan
segala sesuatu yang diperlukan untuk mendapatkan pegangan
pada tingkat perusahaan beresiko?

The Institute of Internal Auditors mengusulkan bahwa manajemen

risiko

kegiatan

dibagi

menjadi tiga kelompok :

1. Auditor internal memberikan jaminan.
2. Meliputi kegiatan eksklusif berhubungan dengan keputusan
manajemen,
seperti memilih risk appetite dan tanggapan risiko.

3. Kegiatan manajemen risiko yang mungkin dilakukan oleh audit

internal bila ada pengamanan di tempat.
Tujuan dari manajemen risiko tidak untuk mengurangi ketidakpastian.
Hal ini, sebaliknya, untuk membantu organisasi membuat keputusan
yang lebih baik dan untuk merespon lebih cerdas ketika yang tak
terduga pasti terjadi. Manajemen risiko perlu diintegrasikan ke dalam
organisasi

seluruh

operasi

dari

pengawasan

dewan

untuk

perencanaan strategis manajemen senior dan kepemimpinan untuk

mengontrol operasional manajemen setiap hari.
PENGEMBANGAN BARU MANAJEMEN RESIKO
Dalam hal manajemen risiko, tinjauan Walker (review tata kelola
perusahaan di bank Inggris dan entitas industri keuangan lainnya, 16
Juli 2009) melakukan observasi besar dengan beberapa saran yang
dapat diringkas sebagai berikut :

Tinjauan untuk perbedaan antara tanggung jawab dewan dalam

manajemen

dan

Pengendalian

resiko

dan

pengambilan

mengambil sehubungan dengan risk appetite dan toleransi.

Tanggung jawab komite audit yang disorot dalam

hal

pengawasan dan pelaporkan ke dewan pada rekening keuangan

dan penerapan akuntansi yang sesuai kebijakan, pengendalian

internal, kepatuhan dan hal-hal lainnya.

Walker mencatat overload potensial atau aktual dari komite
audit dan kebutuhan erat terkait tetapi kemampuan terpisah
untuk fokus pada risiko dalam strategi masa depan dan
menyimpulkan bahwa praktek terbaik dalam sebuah perusahaan
jaminan bank atau hidup untuk pembentukan risiko papan

terpisah dari komite komite audit.

Di samping jaminan praktik terbaik dalam pengelolaan dan
pengendalian dikenal dan resiko terukur cukup, prioritas utama
didefinisikan untuk proses pemerintahan secara keseluruhan
board resiko untuk memberikan fokus yang jelas, eksplisit dan
didedikasikan untuk aspek saat ini dan ke depan risiko eksposur,

yang mungkin memerlukan penilaian kerentanan kompleks

entitas untuk sampai sekarang diketahui risiko.

Salah satu rekomendasi utama adalah bahwa dewan bank harus
membentuk risiko papan panitia secara terpisah dari komite
audit dengan tanggung jawab untuk pengawasan dan saran ke
papan atas eksposur risiko saat ini entitas dan strategi risiko
masa depan. Dewan Komite risiko harus, seperti komite audit,
komite menjadi papan dan harus dipimpin oleh seorang NED
dengan mayoritas non-eksekutif anggota, namun tambahan
dengan direktur keuangan (FD) sebagai anggota atau yang hadir
dan dengan CRO yang selalu hadir.

Komite Risiko akan

menyarankan papan risk appetite dan toleransi untuk strategi

masa depan, memperhitungkan tingkat keseluruhan dewan
penghindaran risiko, situasi keuangan saat ini entitas dan gambar pada penilaian oleh komite audit - kapasitasnya untuk

mengelola dan mengendalikan risiko dalam strategi disepakati.

Satu saran lebih lanjut adalah bahwa dalam mendukung tingkat
tata kelola risiko, dewan bank harus dilayani oleh CRO yang
harus berpartisipasi dalam manajemen risiko dan pengawasan
Proses pada tingkat tertinggi, yang mencakup semua risiko di
seluruh

organisasi,

pada

perusahaan-luas

dasar, dan harus memiliki status kemerdekaan total dari unit

bisnis individu.Hal diatas juga mungkin memiliki implikasi yang
besar untuk audit internal sebagai CRO mengasumsikan banyak
lebih tinggi statusnya di banyak perusahaan, dan di samping
kemandirian meningkat dan mengirimkan untuk melaporkan
kepada komite risiko yang kuat, CRO mungkin berakhir dengan
status lebih tinggi dari CAE.
MENGELOLA RESIKO
Prinsip-prinsip utama pendukung laporan papan risiko komite yang
harus dimasukkan dalam laporan tahunan dan rekening menurut
Walker, sebagai berikut :

Fokus Strategis - laporan harus berusaha untuk menempatkan

strategi perusahaan setuju menjadi risiko konteks manajemen,
hal ini harus mencakup informasi tentang risiko yang melekat

dimana Strategi mengekspos perusahaan.

Forward Looking - laporan harus memberikan informasi kepada
pembaca yang menunjukkan dampak dari potensi risiko yang
dihadapi bisnis - itu harus jelas misalnya apakah perusahaan
akan material terkena penurunan harga properti misalnya. Jika
perusahaan

melakukan

stress

testing,

laporan

harus

mengungkapkan informasi tingkat tinggi pada program stress

testing. Hal ini harus mencakup sifat tekanan, tekanan yang
paling signifikan dan bagaimana signifikansi telah berubah

selama periode pelaporan.

Praktek Manajemen Risiko - laporan harus memberikan deskripsi
singkat tentang bagaimana risiko berhasil dalam bisnis, idealnya
menggunakan

contoh

risiko

material

yang

muncul

di

sebelumnya periode pelaporan. Secara khusus ini harus fokus

pada peran Komite dalam manajemen risiko itu. Selain itu
laporan harus memberikan pernyataan singkat pada jumlah
pertemuan dalam periode pelaporan, catatan kehadiran dan
apakah ada orang menilainya diambil. Laporan tersebut harus
mencakup tanggung jawab utama dari komite risiko papan dan
apakah ini telah berubah dalam periode pelaporan. Akhirnya
laporan singkat harus mencatat kunci daerah bahwa komite
telah dipertimbangkan dalam pelaporan period.
Standar Inggris pada manajemen risiko telah membentuk prinsipprinsip

penting

yang

mencakup

organisasi keseluruhan pendekatan:

i.

Manajemen risiko harus disesuaikan -Organisasi harus memiliki

pendekatan manajemen risiko yang proporsional dan diskala

ii.

untuk mengatasi konteksnya.

Manajemen risiko harus mempertimbangkan budaya organisasi,
manusia faktor dan perilaku Risiko organisasi proses manajemen

harus mempertimbangkan kemampuan, persepsi dan niat dari

orang-orang di organisasi dan pemangku kepentingan terkait
lainnya
iii.

yang

mungkin

memfasilitasi

atau

menghambat

pencapaian tujuan organisasi.

Manajemen risiko harus sistematis dan terstruktur Pendekatan
manajemen risiko harus diterapkan secara konsisten dalam
organisasi. ini membantu memastikan bahwa output dari proses
manajemen risiko yang baik dapat diandalkan dan sebanding,
dan memberikan manajer kepercayaan diri meningkat untuk

iv.

membuat keputusan yang efektif.

Manajemen risiko harus beroperasi di bawah bahasa yang umum
Organisasi

harus

menerapkan

mengidentifikasi,
v.

menilai

bahasa

dan

yang

menanggapi

sama
risiko,

ketika
dan

mempertahankan kerangka kerja manajemen risiko.

Manajemen risiko harus didasarkan pada informasi terbaik yang
tersedia,

masukan

untuk

proses

manajemen

risiko

harus

didasarkan pada informasi dari sumber yang relevan , seperti

pengalaman yang dilaporkan, subjek pengetahuan, penilaian
ahli dan diproyeksikan perkiraan. Manajer harus menyadari ada
pembatasan terhadap data atau perbedaan pendapat di antara
vi.

para ahli.
Manajemen risiko eksplisit harus mengatasi ketidakpastian
Organisasi

harus

menggunakan

manajemen

risiko

untuk

membantu memperjelas sifat ketidakpastian, bagaimana ini

dapat mempengaruhi keputusan dan bagaimana mungkin akan
vii.

diobati.
Manajemen risiko harus menjadi bagian dari pengambilan
keputusan

Manajemen

risiko

harus

mendukung

keputusan

keputusan dengan membantu untuk memahami risiko, ini

membantu organisasi dalam membuat keputusan mengenai risk
viii.

appetite dan kemampuan untuk mengelola risiko secara efektif.

Manajemen risiko harus melindungi semua nilai Manajemen
risiko harus memberikan kontribusi pada pencapaian tujuan dan
memaksimalkan

manfaat

melalui

integrasi

dengan

proses

manajemen, dengan mempertimbangkan legislatif, peraturan

ix.

dan kepatuhan persyaratan.

Manajemen risiko harus transparan
organisasi

harus

memastikan

dan

bahwa

inklusif

semua

Manajer

stakeholder

diidentifikasi, informasi dan tepat terlibat dalam identifikasi

x.

risiko, penilaian dan respon.

Manajemen risiko harus dinamis, berulang dan responsif untuk
mengubah
Organisasi hendaknya memastikan manajemen risiko yang terus
mengidentifikasi dan merespon perubahan yang mempengaruhi

xi.

lingkungan operasi (konteks).

Ulasan prinsip Cara di mana prinsip-prinsip manajemen risiko
yang

diterapkan

harus

tunduk

biasa

meninjau

untuk

mencerminkan perubahan dalam sifat organisasi dan context.

Ringkasan dan Kesimpulan
Manajemen risiko tidak benar-benar sebuah trend manajemen. Ini
menyediakan

platform

untuk

tata

kelola

perusahaan

dengan

memberikan kenyamanan kepada pemegang saham dan pemangku

kepentingan lainnya bahwa risiko terhadap investasi mereka (atau
jasa) yang dipahami oleh wakil-wakil mereka, papan dan sistematis
ditangani oleh manajemen. Manajemen risiko yang benar adalah
tentang mengubah budaya organisasi untuk mendapatkan orang untuk
memeluk tanggung jawab mereka mengetahui bahwa alat ini akan
membantu
dan

mereka

menggerakkan

mendapatkan
bisnis

ke

depan

sekitar
dengan

masalah
cara

yang

dipertimbangkan.
Mendorong auditor internal ke dalam peran konsultan di tingkat dewan
merupakan

langkah

besar

yang

mengambil

besar

kesepakatan

keberanian, dan pencabutan selubung independensi audit untuk

membuat risiko kerja manajemen benar. Semua sama, manajemen
risiko tidak berarti kesempurnaan, dan empati dengan orang yang
bekerja untuk sebuah organisasi berarti pemahaman sering lebih baik
daripada menyalahkan untuk setiap nyata kemajuan harus dibuat.

Pengembangan manajemen risiko memiliki kekuatan pendorong yang

tidak

menunjukkan

tanda-tanda

melambat.

Dihal

respon

dari

pemerintah untuk seluruh konsep risiko mengidentifikasi, mengelola

risiko dan memberitahu publik tentang implikasi, masalah ini telah
kembali profil tinggi. Pemerintah (Kantor Kabinet - Satuan Strategi)
Laporan

Risiko:

Meningkatkan

Kemampuan

Pemerintah

untuk

Menangani Risiko dan Ketidakpastian (Nov 2002) berisi enam luas

rekomendasi :
1. Penanganan risiko harus kuat tertanam dalam pembuatan
kebijakan perencanaan pemerintah, dan pengiriman.
2. Kemampuan pemerintah untuk menangani risiko strategis
harus ditingkatkan.
3. Penanganan risiko harus didukung oleh praktek yang baik,
pembinaan dan pengembangan keterampilan.
4. Departemen dan lembaga harus membuat mendapatkan
dan mempertahankan kepercayaan publik prioritas ketika
berurusan dengan risiko kepada publik.
5. Menteri dan pejabat senior harus memimpin yang jelas
dalam meningkatkan penanganan risiko.
6. Kualitas manajemen risiko pemerintah harus ditingkatkan
melalui dua tahun program perubahan, terkait dengan
jadwal Pengeluaran Review, dan jelas diatur dalam
konteks dari sektor publik reform.