Manajemen risiko adalah bagian penting dalam penerapan tata kelola yang sehat yang menyentuh seluruh kegiatan organisasi. Banyak organisasi yang tergerak untuk mengadopsi pendekatan manajemen risiko yang konsisten dan holistik, yang terintegrasi sepenuhnya ke dalam manajemen organisasi. Ini berlaku di semua tingkatan organisasi, baik tingkat organisasi keseluruhan, fungsi, atau unit bisnis. Manajemen biasanya menggunakan kerangka kerja manajemen risiko tertentu untuk melakukan penilaian dan mendokumentasikan hasil penilaian.

Committee of Sponsoring Organizations (COSO) dari Treadway Commission mendefinisikan ERM sebagai “suatu proses, yang dilakukan oleh dewan direksi organisasi, manajemen, dan personil lainnya, diterapkan dalam menyusun strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi organisasi, dan mengelola risiko untuk berada dalam risk appetite, untuk memberikan keyakinan memadai tentang pencapaian tujuan organisasi”. Pelaksanaan pengendalian adalah salah satu metode yang umum digunakan oleh manajemen untuk mengelola risiko agar tetap di dalam risk appetite-nya. Auditor Internal melakukan audit terhadap pengendalian kunci dan memberikan keyakinan pada proses manajemen risiko yang signifikan.

Dua konsep risiko yang fundamental adalah risiko melekat (inherent risk) dan risiko sisa (residual risk, juga dikenal sebagai current risk). Auditor eksternal/finansial sejak lama telah memiliki konsep risiko melekat yang secara ringkas diartikan sebagai kerentanan salah saji material atas informasi atau data, dengan asumsi tidak terdapat pengendalian terkait untuk memitigasi kerentanan tersebut. Standar mendefinisikan risiko residual sebagai “risiko yang tersisa setelah manajemen mengambil tindakan untuk mengurangi dampak (impact) dan kemungkinan (likelihood) dari suatu peristiwa buruk (adverse events), termasuk aktivitas pengendalian dalam menanggapi risiko.” Sedangkan current risk sering didefinisikan sebagai risiko yang dapat dikelola dalam pengendalian atau sistem pengendalian yang ada.

COSO Enterprise Risk Management – Intergrated Framework

Pada tahun 2001, COSO memulai sebuah proyek, dan terlibat PricewaterhouseCoopers , untuk mengembangkan kerangka kerja yang akan mudah digunakan oleh manajemen untuk mengevaluasi dan meningkatkan manajemen risiko perusahaan organisasi mereka. Skandal bisnis profil tinggi dan kegagalan (misalnya Enron , Tyco International , Adelphia , Peregrine Systems dan WorldCom ) menyebabkan panggilan untuk tata kelola perusahaan ditingkatkan dan manajemen risiko. Akibatnya tindakan Sarbanes-Oxley diundangkan. Hukum ini meluas persyaratan lama untuk perusahaan publik untuk memelihara sistem pengendalian internal, membutuhkan manajemen untuk mensertifikasi dan auditor independen untuk membuktikan efektivitas sistem tersebut.

1

The Internal Control - Integrated Framework tetap menjadi standar luas diterima untuk memenuhi persyaratan pelaporan. Namun, pada tahun 2004 diterbitkan COSO Enterprise Risk Management – Integrated Framework. COSO percaya kerangka ini memperluas pengendalian intern, menyediakan lebih kuat dan luas fokus pada subjek yang lebih luas dari manajemen risiko perusahaan.

Kerangka kerja sekarang termasuk empat kategori:

Strategis: tingkat tinggi tujuan, sejalan dengan dan mendukung misinya Operasi: penggunaan efektif dan efisien dari sumber daya Pelaporan: keandalan pelaporan Kepatuhan: kepatuhan terhadap hukum dan peraturan yang berlaku

Delapan komponen kerangkaDelapan komponen manajemen risiko perusahaan mencakup lima komponen sebelumnya

dari Kerangka Control-Integrated internal sementara memperluas model untuk memenuhi permintaan untuk manajemen risiko:

1. Lingkungan internalLingkungan internal yang meliputi nada organisasi, dan menetapkan dasar untuk bagaimana risiko dipandang dan ditangani oleh orang-orang entitas, termasuk filosofi manajemen risiko, dan resiko, integritas dan nilai etika, dan lingkungan di mana mereka beroperasi.

2. Pengaturan TujuanTujuan harus ada sebelum manajemen dapat mengidentifikasi peristiwa potensial yang mempengaruhi prestasi mereka. Manajemen risiko perusahaan memastikan bahwa manajemen telah di tempat proses untuk menetapkan tujuan dan bahwa tujuan yang dipilih mendukung dan selaras dengan misi entitas dan konsisten dengan selera risikonya.

3. Identifikasi Peristiwa

2

Lingkungan Internal

Pengaturan Tujuan

Identifikasi Peristiwa

Penilaian RisikoPenilaian Risiko

Respon Risiko

Pengendalian Kegiatan

Informasi dan Komunikasi

Pemantauan

Peristiwa internal dan eksternal yang mempengaruhi pencapaian tujuan entitas harus diidentifikasi, membedakan antara risiko dan peluang. Peluang disalurkan kembali ke strategi manajemen atau tujuan-pengaturan proses.

4. Penilaian resikoResiko dianalisis, mengingat kemungkinan dan dampak, sebagai dasar untuk menentukan bagaimana mereka harus dikelola. Resiko ditaksir pada melekat dan secara sisa.

5. Respon RisikoManajemen memilih respon risiko - menghindari, menerima, mengurangi, atau berbagi risiko - mengembangkan serangkaian tindakan untuk menyelaraskan risiko dengan toleransi risiko entitas dan resiko.

6. Pengendalian kegiatanKebijakan dan prosedur ditetapkan dan dilaksanakan untuk membantu memastikan tanggapan risiko secara efektif dilaksanakan.

7. Informasi dan komunikasiInformasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam kerangka bentuk dan waktu yang memungkinkan orang untuk melaksanakan tanggung jawab mereka. Komunikasi yang efektif juga terjadi dalam arti luas, mengalir ke bawah, di, dan sampai entitas.

8. MonitoringKeseluruhan manajemen risiko perusahaan dimonitor dan modifikasi seperlunya. Pemantauan dilakukan melalui aktivitas manajemen yang berkelanjutan, evaluasi terpisah, atau keduanya.

COSO percaya Enterprise Risk Manajemen - Integrated Framework menyediakan keterkaitan yang jelas antara komponen manajemen risiko sebuah organisasi dan tujuan yang akan mengisi kebutuhan untuk memenuhi undang - undang baru, peraturan, dan standar pencatatan dan mengharapkan akan menjadi diterima secara luas oleh perusahaan dan organisasi lain dan pihak yang berkepentingan.

3

Keterbatasan (Limitations)COSO mengakui dalam laporan mereka bahwa sementara manajemen risiko perusahaan

memberikan manfaat penting, ada keterbatasannya. Manajemen risiko perusahaan tergantung pada penilaian manusia dan karena itu rentan terhadap pengambilan keputusan. Kegagalan manusia seperti kesalahan sederhana atau kesalahan dapat menyebabkan respon yang tidak memadai untuk risiko. Selain itu, kontrol dapat dielakkan dengan kolusi dari dua atau lebih orang, dan manajemen memiliki kemampuan untuk mengesampingkan keputusan manajemen risiko. Keterbatasan ini menghalangi papan dan manajemen dari memiliki jaminan mutlak untuk pencapaian tujuan entitas.

Meskipun COSO mengklaim model yang diperluas mereka lebih menyediakan manajemen risiko, perusahaan tidak diharuskan untuk beralih ke model baru jika mereka menggunakan Internal Control-Integrated Framework.

Ke depan, COSO mengantisipasi berfokus pada hal berikut:1. Memperbarui Pengendalian Internal - Kerangka Terpadu dari tahun 1992. Inisiatif ini

diharapkan dapat membuat Framework yang ada dan alat evaluasi terkait lebih relevan dalam lingkungan bisnis yang semakin kompleks sehingga organisasi di seluruh dunia yang lebih baik dapat merancang, melaksanakan, dan menilai pengendalian internal. Informasi lebih lanjut tentang proyek update dapat ditemukan dalam terkait FAQ .

2. Menyediakan kertas pemikiran tambahan untuk membantu para pemangku kepentingan dalam memajukan ERM sepanjang "kurva jatuh tempo" dari proses ERM efektif.

4

Contoh struktur organisasi ERM

3. Menyediakan penelitian tambahan dan panduan dalam lingkungan pengendalian menangani masalah perilaku dan lain "lunak" sisi isu penelitian seperti "rasionalisasi" dan terlalu percaya diri, sebagian sebagai tanggapan terhadap wawasan yang ada dalam studi penipuan yang lebih baru penelitian disebutkan di atas.

4. Melakukan bimbingan tentang pengendalian internal di sektor publik.

5