Nama : Steven Prasetya Ohello

NIM : 23221037

Review Question Chapter 4

1. Bagaimana COSO mendefinisikan risiko?

Risiko adalah suatu kejadian/peristiwa/even yang mungkin terjadi dan akan mempengaruhi
proses pencapaian tujuan dari organisasi. Risiko dapat berupa rintangan ataupun peluang.

2. Apa lima poin mendasar yang tertanam dalam definisi risiko COSO dan ISO??
a. Risiko muncul sejak perumusan strategi dan tujuan organisasi. Risiko dapat berupa
penghalang bagi organisasi dalam mencapai tujuannya ataupun dapat berupa peluang
yang dapat mendorong organisasi mencapai tujuannya.
b. Risiko merupakan peristiwa yang tidak pasti, menurut COSO “keadaan yang tidak dapat
dipastikan apakah akan terjadi atau tidak.”
c. Risiko bukan merupakan estimasi dari satu titik kejadian, namun lebih mewakili dari
berbagai kemungkinan hasil.
d. Risiko berhubungan dengan pencegahan hal buruk terjadi, atau gagal memanfaatkan
peluang yang ada. Banyak orang fokus untuk mencegah hal buruk terjadi, padahal risiko
juga dapat merepresentasikan gagalnya memanfaatkan peluang hal baik terjadi.
e. Risiko melekat dalam semua aspek kehidupan, dimanapun ketidakpastian muncul pasti
disitu ada risiko.

3. Menurut COSO, apa konsep dasar yang ditekankan dalam definisi manajemen risiko
perusahaan (Enterprise Risk Mangement)?
1. Mengenali budaya dan kemampuan, dimana budaya berhubungan dengan semua
individu di dalam organisasi. Dan kemampuan berhubungan dengan skill yang dibutuhkan
untuk mengeksekusi visi dan misi organisasi.
2. Mengaplikasikan manajemen risiko yang efektif dari setiap level dalam organisasi.
3. Mengintegrasikan manajemen risiko dalam pengaturan strategi dan implementasinya
dengan mempertimbangkan risiko yang mungkin mucul dari setiap strategi yang
diterapkan organisasi. COSO mengindikasikan dengan adanya integrasi tersebut akan
menghasilkan biaya yang lebih rendah dan kemampuan yang lebih besar untuk
mengindentifikasi peluang baru untuk mengembangkan bisnis.
 4. Mengelola risiko terhadap strategi dan tujuan bisnis, pelaksanaan manajemen risiko yang
baik akan meningkatkan keyakinan organisasi bahwa strategi dan tujuan bisnis akan
tercapai.

4. Bagaimana COSO mendefinisikan misi, visi, dan nilai-nilai inti?

Misi merupakan tujuan inti entitas, yang menetapkan apa yang ingin dicapai dan mengapa
entitas itu ada.
Visi, aspirasi dari apa yang hendak dicapai oleh organisasi dari waktu ke waktu
Core Value, keyakinan dan cita-cita entitas tentang apa yang baik atau buruk, dapat diterima
atau tidak dapat diterima, yang mempengaruhi perilaku organisasi.

5. Bagaimana COSO mendefinisikan strategi dan tujuan bisnis?

Strategi adalah rencana yang dirancang oleh organisasi untuk mencapai misi dan visinya serta
menerapkan nilai-nilai intinya
Objektives merupakan langkah-langkah terukur yang diambil organisasi untuk mencapai
strateginya.

6. Apa saja lima komponen COSO ERM?

1. Tata kelola dan budaya risiko
Tata kelola dan budaya membentuk semua komponen lain dari ERM, dimana tata kelola
menetapkan ritme dari entitas, memperkuat pentingnya dan menegaskan tanggung
jawab pengawasan dalam ERM. Sedangkan budaya berkaitan dengan nilai-nilai etika dan
perilaku yang diinginkan yang berkaitan dengan manajemen risiko, dimana budaya
tercermin dalam pengambilan keputusan.
2. Risiko, Strategi, dan Penetapan Tujuan
ERM diintegrasikan ke dalam rencana strategis entitas melalui penetapan strategi dan
tujuan bisnis. Dengan demikian organisasi dapat memahami faktor internal dan eksternal
beserta dampaknya terhadap risiko perusahaan.
3. Risiko dalam eksekusi
Sebuah organisasi mengidentifikasi dan menilai risiko yang dapat mempengaruhi
kemampuannya untuk mencapai strategi dan tujuan bisnis. Dengan membuat prioritas
terhadap risiko berdasarkan tingkat keparahan dan risk apetite organisasi tersebut.
Kemudian organisasi memilih respon pada setiap risiko dan memantau kinerja perubahan.
 4. Informasi Risiko, Komunikasi, dan Pelaporan
Komunikasi adalah proses terus menerus dan berulang untuk memperoleh informasi dan
membagikannya ke setiap entitas dalam organisasi. Manajemen menggunakan informasi
tersebut untuk mendukung manajemen risiko perusahaan. Organisasi memanfaatkan
sistem informasi untuk menangkap, memproses, dan mengelola data dan informasi.
5. Memantau Kinerja Manajemen Risiko Perusahaan
dengan memantau kinerja manajemen risiko perusahaan, organisasi dapat
mempertimbangkan seberapa baik komponen manajemen risiko perusahaan berfungsi
dari waktu ke waktu dan dengan mempertimbangkan perubahan substansial.

7. Bagaimana COSO mendefinisikan risk apetite?

Risk apetite adalah besarnya risiko yang dapat diterima oleh organisasi dalam mencapai
tujuannya.
8. Apa itu inherent risk? Apa itu residual risk?
Inherent risk adalah level risiko sebelum adanya tindakan apapun dari manajemen
Residual risk adalah risiko lain yang mungkin muncul ada setelah tindakan yang diambil oleh
manajemen untuk mengontrol suatu resiko

9. Apa lima kategori respons risiko COSO?

a. Menerima tingkat risiko saat ini dan tidak mengambil tindakan apa pun. Hal ini
menunjukkan bahwa tingkat keparahan risiko tersebut masih berada dalam risk apetite
dari organisasi.
b. Menghindari risiko dengan cara melepaskannya atau megenluarkannya dari organisasi
c. Mengejar atau mengeksploitasi risiko karena mengambil risiko tersebut dapat
menguntungkan organisasi dan mungkin diperlukan untuk mencapai tujuan bisnis
tertentu.
d. Mengurangi risiko dengan melakukan pengendalian atau menerapkan mitigasi risiko
lainnya. Respons ini menunjukkan bahwa dampak risiko telah melampaui risk apetite
organisasi dan tindakan diperlukan untuk mengurangi potensi dampak.
e. Share risiko, atau mengalihkan risiko, misal dengan menggunakan outsourching atau
asuransi. Ini merupakan pilihan terbaik pihak lain dapat mengelola risiko lebih baik
dibandingkan organisasi tersebut.
10. Dalam bentuk apa informasi risiko dapat dikomunikasikan?
1. Pesan elektronik (misalnya, email, media sosial, dan pesan teks).
2. Pihak ketiga (misal jurnal atau laporan media)
3. Informal/lisan (misalnya, diskusi dan pertemuan), acara publik (misalnya, roadshow,
pertemuan balai kota, dan konferensi profesional).
4. Pelatihan dan seminar (misalnya, pelatihan langsung atau online, webcast, dan lokakarya).
5. Dokumen internal tertulis (misalnya, dokumen briefing, dashboard, dan presentasi).

11. Apa tanggung jawab ERM yang khas dari:

a. Jajaran direksi: berkaitan dengan komponen tatakelola risiko dan budaya, membantu
manajemen menetapkan model tata kelola dan operasi, mendefinisikan budaya dan
perilaku yang diiinginkan, menunjukkan komitmen terhadap integritas dan etika, dan
menetapkan akuntabilitas dan wewenang untuk ERM
b. Manajemen: bertanggung jawab atas aspek dari kelima komponen dalam ERM sesuai
dengan level manajemen tersebut dalam organisasi.
c. Chief risk Officer: memiliki tanggung jawab untuk memantau kemajuan manajemen risiko
dan membantu manajer lain dalam melaporkan informasi risiko yang relevan ke atas, ke
bawah, dan di seluruh organisasi.
d. Eksekutif keuangan: memiliki peran penting dalam mencegah dan mendeteksi pelaporan
penipuan, dan mempengaruhi desain, implementasi, dan pemantauan pengendalian
internal organisasi atas pelaporan keuangan dan sistem pendukungnya.
e. Fungsi Audit Internal: memiliki peran dalam mengevaluasi efektifitas dan
merekomendasikan perbaikan ERM. Dalam melaksanakan tanggung jawab ini, fungsi
audit internal membantu manajemen dan dewan dengan memeriksa, mengevaluasi,
melaporkan, dan merekomendasikan perbaikan kecukupan dan efektivitas ERM
organisasi.
f. Auditor luar yang independen: dalam organisasi auditor luar independen dapat
memberikan manajemen dan dewan direksi perspektif manajemen risiko yang
terinformasi, independen, dan objektif yang dapat berkontribusi pada pencapaian
organisasi pelaporan keuangan eksternal dan lainnya tujuan.
12. Apa saja 11 prinsip manajemen risiko yang diidentifikasi dalam ISO 31000?
1. Menciptakan dan melindungi nilai.
2. Merupakan bagian integral dari semua proses organisasi.
3. Merupakan bagian dari pengambilan keputusan.
4. Secara eksplisit membahas ketidakpastian.
5. Bersifat sistematis, terstruktur, dan tepat waktu.
6. Berdasarkan informasi terbaik yang tersedia.
7. Disesuaikan.
8. Mempertimbangkan faktor manusia dan budaya.
9. Transparan dan inklusif.
10. Bersifat dinamis, iteratif, dan responsif terhadap perubahan.
11. Memfasilitasi perbaikan berkelanjutan dari organisasi.

13. Apa saja lima komponen kerangka kerja manajemen risiko ISO 31000?
1. mandat dan komitmen dari dewan dan manajemen senior untuk memastikan keselarasan
dengan tujuan organisasi dan komitmen sumber daya yang memadai untuk memungkinkan
keberhasilan.
2. Menyusun kerangka kerja untuk mengelola risiko, yang memastikan pondasi ditetapkan
untuk proses manajemen risiko yang efektif. Akativitas Ini melibatkan:
i. Memahami organisasi dan konteksnya
ii. Menetapkan kebijakan manajemen risiko.
iii. Mendelegasikan akuntabilitas dan wewenang
iv. Mengintegrasikan manajemen risiko ke dalam proses organisasi. Mengalokasikan
sumber daya yang diperlukan.
v. Membangun mekanisme komunikasi dan pelaporan internal dan eksternal.
3. menerapkan kerangka kerja dan proses manajemen risiko untuk membantu organisasi
mencapai tujuannya.
4. memantau kerangka kerja untuk menentukan efektivitasnya yang berkelanjutan.
5. Terus meningkatkan kerangka kerja untuk memastikan keberlanjutannya.
14. Apa lima aktivitas yang termasuk dalam proses manajemen risiko ISO 31000?
1. Menetapkan konteks, yang berfokus pada pemahaman bahwa baik faktor internal dan
eksternal akan mempengaruhi manajemen risiko.
2. Menilai risiko, yang meliputi identifikasi risiko, menganalisis risiko dengan
mempertimbangkan penyebab, sumber, dan jenis hasil, dan mengevaluasi risiko untuk
membantu memprioritaskan mana yang harus ditangani terlebih dahulu.
3. Menangani risiko, yang melibatkan pengambilan keputusan dalam melakukan kontrol
terhadap risiko.
4. memantau risiko untuk mengidentifikasi timbulnya peristiwa risiko dan mengevaluasi
apakah treatment risiko memiliki efek yang diinginkan. Oleh karena itu, penting juga untuk
memastikan aktivitas manajemen risiko dicatat dengan benar untuk membantu
pemantauan ini.
5. Membangun proses komunikasi dan konsultasi untuk memastikan informasi berada di
atas, di bawah, dan di seluruh organisasi untuk memungkinkan proses manajemen risiko.

15. Dalam peragaan 4-3, mengapa beberapa bola mewakili risiko dikelompokkan bersama
sementara beberapa tidak?
Hal tersebut menunjukkan bahwa risiko yang pada awalnya terlihat tidak terlalu memberi
dampak kepada organisasi namun kenyataanya risiko-risiko yang saling berhubungan dapat
memiliki dampak agregat yang cukup besar pada organisasi.

16. Apa saja aktivitas jaminan ERM yang mungkin dilakukan oleh fungsi audit internal?
 Memberikan asurans atas proses manajemen risiko.
 Memberikan asurans bahwa risiko telah dievaluasi dengan benar.
 Mengevaluasi peroses manajemen risiko
 Mengevaluasi pelaporan risiko utama
 Meninjau manajemen risiko utama

Apa saja kegiatan konsultasi ERM yang mungkin dilakukan oleh fungsi audit internal jika
pengamanan yang tepat diterapkan?
 Memfasilitasi identifikasi dan evaluasi risiko.
 Pembinaan manajemen dalam menanggapi risiko
 Mengkoordinasikan kegiatan ERM
 Mengkonsolidasikan pelaporan risiko.
 Mengkonsolidasikan pelaporan risiko.
 Memperjuangkan pendirian ERM
 Mengembangkan strategi ERM untuk persetujuan dewan.

Aktivitas ERM apa yang seharusnya tidak dilakukan oleh fungsi audit internal?
 Pengaturan selera risiko.
 Mengajukan proses manajemen risiko.
 Jaminan manajemen atas risiko (yaitu, menjadi satu-satunya sumber jaminan manajemen
bahwa risiko dikelola secara efektif, ini akan dianggap melakukan fungsi manajemen.
 Mengambil atau membuat keputusan tentang respons risiko.
 Menerapkan respons risiko atas nama manajemen.
 Menerapkan respons risiko atas nama manajemen