Nama : Bonifasius Ricardo Epu

NIM : 041711333241

RMK INTERNAL AUDIT CHAPTER 4

RISK MANAGEMENT
A. Define risk and enterprise risk management.
Manajemen risiko bukanlah fenomena baru atau cara baru dalam pendekatan manajemen
bisnis. Peter L. Bernstein memberikan sejarah luas tentang risiko dalam Against the Gods: The
Remarkable Story of Risk. Bukunya menguraikan penerimaan dan pemahaman yang
berkembang tentang risiko selama berabad-abad. Sebagai contoh: perjudian, perdagangan bisnis
asuransi.
Risiko merupakan sebuah kemungkinan yang mungkin terjadi ketika perusahaan
menjalankan bisnis yang memiliki kemungkinan akan berdampak dapat menghambat perusahaan
yang bersangkutan dalam mencapai tujuan bisnisnya. Karakteristik risiko antara lain adalah:
● Risiko sudah muncul bahkan ketika perusahaan sedang merancang dan menyusun tujuan
bisnisnya
● Risiko berkaitan dengan ketidakpastian
● Risiko tidak memiliki tujuan akhir yang jelas dimana risiko bersifat luas dan bercabang
● Risiko dapat membantu perusahaan dalam mencegah terjadinya potensi kegagalan yang
mungkin dapat terjadi
● Risiko merupakan faktor bawaan atau inherent risk dari apa yang kita lakukan

B. Discuss the different dimensions of the Committee of Sponsoring Organizations of the

Treadway Commission’s exposure draft titled Enterprise Risk Management – Aligning
Risk with Strategy and Performance.
Definisi ERM menurut COSO adalah Budaya, kemampuan, dan praktik, terintegrasi
dengan pengaturan strategi dan pelaksanaannya, yang diandalkan organisasi untuk mengelola
risiko dalam menciptakan, melestarikan, dan mewujudkan nilai.
COSO menunjukkan bahwa definisi ini menekankan fokus terhadap pengelolaan dan
pengendalian (enterprise risk management) perusahaan melalui hal-hal berikut.
1. Mengenali budaya dan kemampuan organisasi: ERM membantu orang memahami risiko
dan bagaimana hubungannya dengan strategi organisasi dan tujuan bisnis. Hal ini
mempengaruhi strategi dan kapabilitas suatu organisasi dalam mencapai tujuannya.
2. Menerapkan praktik: prosedur dan tugas yang digunakan oleh organisasi untuk
memastikan manajemen risiko yang efektif.
3. Mengintegrasikan dengan pengaturan strategi dan pelaksanaannya: melibatkan
manajemen untuk mempertimbangkan implikasi dari setiap strategi terhadap profil
risiko organisasi.
4. Mengelola risiko terhadap strategi dan tujuan bisnis: memberikan manajemen dan
dewan direksi harapan yang masuk akal bahwa mereka dapat mencapai strategi dan
tujuan bisnis secara keseluruhan.
5. Menghubungkan untuk menciptakan, melestarikan, dan mewujudkan nilai: pada
akhirnya, keberhasilan manajemen risiko ditentukan oleh nilai yang dimiliki
perusahaan.
Bagaimana strategi perlu untuk dikaitkan menurut COSO ERM yaitu:
1. Mission, Vision, and Core Values
a. Misi: tujuan inti entitas, yang menetapkan apa yang ingin dicapai dan mengapa itu
ada.
b. Visi: aspirasi entitas untuk keadaan masa depannya atau apa yang ingin dicapai
organisasi dari waktu ke waktu.
c. Nilai inti: keyakinan dan cita-cita entitas tentang apa yang baik atau buruk, dapat
diterima atau tidak dapat diterima, yang tidak sesuai dengan perilaku organisasi.
2. Setting of Strategy and Business Objectives
a. Strategi: rencana organisasi untuk mencapai misi dan visinya dan menerapkan
nilai-nilai intinya.
b. Tujuan bisnis: langkah-langkah terukur yang diambil organisasi untuk mencapai
strateginya.
3. Value Creation, Preservation, and Realization
Adapun komponen dan prinsip Enterprise Risk Management (ERM) yaitu:
1. Risiko Tata Kelola dan Budaya (Risk Governance and Culture):
a. Melakukan pengawasan risiko oleh dewan.
b. Membuat model operasional dan tata kelola perusahaan.
c. Menetapkan aktivitas perilaku perusahaan yang diinginkan.
d. Mendemonstrasikan komitmen ke dalam bentuk etika dan integritas perusahaan.
e. Menegakkan akuntabilitas.
f. Menarik, mengembangkan, dan menjaga sosok yang memiliki talenta.
2. Risiko Strategi, dan Penetapan Tujuan (Risk, Strategy, and Objective-Setting):
a. Mempertimbangkan risiko dan konteks bisnis.
b. Menetapkan toleransi atas risiko perusahaan (risk appetite).
c. Mengevaluasi strategi alternatif.
d. Mempertimbangkan risiko ketika menetapkan tujuan bisnis.
e. Menetapkan toleransi variasi strategi bisnis.
3. Risiko dalam Eksekusi (Risk in Execution):
a. Mengidentifikasi risiko dan konteks bisnis.
b. Menilai dampak dari risiko kepada tujuan perusahaan.
c. Menentukan prioritas risiko.
d. Mengidentifikasi dan memiliki respon atas risiko (avoid, pursue, reduce, atau share).
e. Mengembangkan portofolio risiko.
f. Melaporkan risiko ketika peng-implementasi-an sedang berjalan.
4. Risiko Informasi, Komunikasi, dan Pelaporan (Risk Information, Communication,
and Reporting):
a. Menggunakan informasi yang relevan.
b. Memanfaatkan sistem informasi.
c. Mengkomunikasikan risiko informasi.
d. Melaporkan risiko, budaya, dan kinerja kepada pengguna informasi pada entitas.
5. Risiko Pemantauan Kinerja Manajemen Perusahaan (Monitoring Enterprise Risk
Management Performance):
a. Memantau perubahan substansial.
b. Memantau perkembangan dan implementasi ERM pada perusahaan.
C. Discuss the Different Dimensions of ISO 31OOO:2009 Risk management - Principles
and guidelines.
Pada tahun 2009, Organisasi Internasional untuk Standardisasi mengeluarkan standar ISO
31000:2009, standar pertama yang diakui secara global terkait dengan manajemen risiko. ISO
31000 dikembangkan untuk memberikan cara pandang manajemen risiko yang diterima secara
global, dengan mempertimbangkan prinsip, kerangka kerja, model, dan praktik yang
berkembang di seluruh dunia. ISO 31000 mencakup tiga bagian prinsip, kerangka kerja, dan
proses.
1. ISO 31000 Principles
● Menciptakan dan menjaga sebuah nilai
● Merupakan kesatuan atas seluruh penerapan proses
● Merupakan bagian dari proses decision-making
● Secara eksplisit membahas ketidakpastian pada proses
● Membantu perusahaan menjadi sistematis, terstruktur, dan tepat waktu
● Didasarkan kepada informasi terbaik yang tersedia
● Menyesuaikan perusahaan
● Mempertimbangkan faktor manusia dan budaya dalam perencanaannya
● Transparan dan inklusif
● Responsive, repetitive, dan responsive kepada perubahan
● Memfasilitasi keberlanjutan peningkatan kualitas perusahaan
2. ISO 31000 Framework
● Mandat dan komitmen dari dewan dan manajemen senior untuk memastikan
keselarasan dengan tujuan perusahaan dan komitmen terhadap sumber daya yang
cukup untuk memungkinkan keberhasilan
● Desain kerangka kerja untuk mengelola risiko, yang memastikan fondasi
ditetapkan untuk proses manajemen risiko yang efektif.
● Mengimplementasikan proses dan kerangka manajemen risiko untuk membantu
perusahaan mencapai tujuannya
● Secara berkala terus meningkatkan kerangka untuk menilai keberlanjutannya
 3. ISO 31000 Process
● Tetapkan konteks, yang berfokus pada pemahaman dan kesepakatan tentang
faktor eksternal dan internal yang akan mempengaruhi manajemen risiko.
● Menilai risiko melalui identifikasi, analisis, dan mengevaluasi risiko untuk
menentukan risiko yang perlu segera ditangani
● Menangani risiko yang memiliki urgensi tertinggi
● Mengawasi risiko untuk menilai dampak yang akan ditimbulkan
● Menetapkan proses alur komunikasi dan konsultasi agar seluruh informasi
didapatkan oleh anggota perusahaan

D. Articulate the relationship between governance and enterprise risk management.

Sebagai kombinasi proses dan struktur yang diterapkan oleh manajemen untuk
menginformasikan, mengarahkan, mengelola, dan memantau kegiatan organisasi dalam
rangka pencapaian tujuan, tata kelola bukanlah merupakan himpunan proses dan struktur
yang berdiri sendiri, terpisah dari sistem lainnya. Tata kelola juga memiliki keterkaitan
dengan manajemen risiko.
Aktivitas tata kelola yang efektif mempertimbangkan risiko pada saat menyusun
strategi. Sebaliknya, manajemen risiko didasarkan pada tata kelola yang efektif
(misalnya, tone at the top, selera risiko dan toleransi risiko, budaya risiko, dan
pengawasan manajemen risiko). Tata kelola yang efektif juga bergantung pada
pengendalian intern dan komunikasi efektivitas pengendalian‐pengendalian tersebut
kepada manajemen.
Manajemen risiko yang efektif merupakan salah satu elemen penting dari tata
kelola pemerintahan yang baik (good governance). CAE harus mempertimbangkan
hubungan-hubungan tersebut dalam perencanaan penilaian terhadap proses tata kelola:
1. Suatu penugasan audit harus melihat pengendalian-pengendalian dalam
proses tata kelola yang dirancang untuk mencegah atau mendeteksi
kejadian yang dapat berdampak negatif terhadap pencapaian strategi
organisasi, tujuan, dan sasaran; efisiensi dan efektivitas operasional;
pelaporan keuangan; atau kepatuhan terhadap hukum dan perundang-
undangan yang berlaku.
 2. Pengendalian-pengendalian di dalam proses tata kelola seringkali
signifikan dalam mengelola beberapa risiko sekaligus di seluruh
organisasi. Sebagai contoh, pengendalian seperti penerapan kode etik
dapat diandalkan untuk memitigasi risiko kepatuhan, risiko kecurangan,
dan sebagainya. Efek agregasi seperti ini perlu dipertimbangkan ketika
mengembangkan ruang lingkup audit terhadap proses tata kelola.
3. Jika penugasan audit lainnya pernah menilai pengendalian dalam proses
tata kelola (misalnya, audit terhadap pengendalian atas pelaporan
keuangan, proses manajemen risiko, atau kepatuhan), auditor perlu
mempertimbangkan untuk mengandalkan hasil audit-audit tersebut.
Manajemen harus mengembangkan strategi terbaik dalam mengelola risiko‐risiko
utama serta peluang‐peluang yang ada. Kegiatan manajemen risiko tidak boleh keluar
dari struktur tata kelola. Pengendalian intern digambarkan sebagai pusat karena sistem
pengendalian intern merupakan sebuah bagian (subset), namun bagian yang tidak
terpisahkan, dari kegiatan manajemen risiko yang lebih luas. Respon risiko, dimana di
dalamnya termasuk pengendalian, didesain untuk mengeksekusi strategi manajemen
risiko.
E. Describe the different roles the internal audit function can play in enterprise risk
management.
Standar IIA 2120: Manajemen Risiko menyatakan, "Aktivitas audit internal harus
mengevaluasi efektivitas dan berkontribusi pada peningkatan manajemen risiko
proses." Keahlian dan tingkat pengalaman luas yang dimiliki auditor internal
memposisikan mereka untuk memainkan peran yang berharga dalam ERM. Bahkan,
mengingat tujuan yang luas pandangan sebagian besar fungsi audit internal, serta peran
mereka dalam pemantauan secara keseluruhan proses, kegagalan untuk melibatkan fungsi
audit internal dalam beberapa cara mungkin akan mengakibatkan inisiatif ERM gagal
memenuhi harapan.
Organization with ERM
1. Core Internal Audit Roles in Regard to ERM
Pada peran ini menggambarkan peran asurans internal audit
 ❖ Memberikan jaminan atas proses manajemen risiko
❖ Memberikan jaminan bahwa risiko telah dievaluasi dengan benar
❖ Mengevaluasi proses manajemen risiko
❖ Mengevaluasi pelaporan risiko kunci
❖ Meninjau pengelolaan risiko utama
2. Legitimate Internal Audit Roles with Safeguard
Pada peran ini merepresentasikan fungsi konsultasi internal audit yang mana
bertujuan untuk meningkatkan tata kelola perusahaan, manajemen risiko, serta
proses pengendalian.
❖ Memfasilitasi identifikasi serta evaluasi risiko
❖ Melatih manajemen dalam menanggapi risiko
❖ Mengkoordinasikan kegiatan ERM
❖ Konsolidasi pelaporan risiko
❖ Memelihara serta mengembangkan kerangka ERM
❖ Memperjuangkan berdirinya ERM
❖ Mengembangkan strategi ERM untuk persetujuan dewan
3. Roles Internal Audit Should Not Undertake
Pada peran ini yaitu peran yang tidak disarankan diambil oleh internal audit
dikarenakan akan berpengaruh pada sikap independen serta sikap objektivitas
seorang internal audit.
❖ Mengatur selera toleransi risiko
❖ Memaksakan proses manajemen risiko
❖ Jaminan manajemen atas risiko
❖ Membuat keputusan mengenai respon risiko
❖ Menerapkan respon risiko atas nama manajemen
❖ Akuntabilitas untuk manajemen risiko
Organization with Internal Audit-Driven ERM
Manajemen dan dewan bertanggung jawab atas manajemen risiko dan proses
pengendalian organisasi mereka. Namun, auditor internal yang bertindak dalam peran
konsultasi mungkin diminta untuk membantu organisasi dalam mengidentifikasi,
 mengevaluasi, dan menerapkan metodologi dan pengendalian manajemen risiko untuk
mengatasi risiko tersebut.

F. Evaluate the impact of enterprise risk management on internal audit activities.

Standar IIA 2010: Perencanaan menyatakan bahwa “Chief Audit Executive (CAE) harus
menetapkan rencana berbasis risiko untuk menentukan prioritas kegiatan audit internal,
konsisten dengan tujuan organisasi”.
Dalam mengembangkan ERM, Chief Audit Executive pertama - tama
mempertimbangkan kerangka kerja manajemen risiko dan berkonsultasi dengan manajemen
senior dan dewan. Lalu CAE akan mengambil kesimpulan dari penilaian risiko audit
internal. Oleh karena itu, CAE harus mempertimbangkan hal - hal berikut:
1. Bagaimana risiko pada tingkat proses berhubungan dengan rencana strategis dan tujuan
organisasi.
2. Perubahan dalam proses (seperti tujuan, prosedur, personel, dan ukuran kinerja) yang
telah terjadi selama setahun terakhir atau sejak audit terkait atas proses tersebut.
3. Faktor model risiko yang relevan, seperti dampak keuangan dan likuiditas aset
4. Dampak dan kemungkinan risiko tingkat proses.
10 peluang fungsi audit internal untuk memberikan wawasan terkait manajemen risiko yaitu:
1. Menilai apakah strategi dan tujuan bisnis organisasi yang merupakan titik awal untuk
manajemen risiko telah diartikulasikan dan dipahami oleh seluruh organisasi.
2. Memberikan wawasan mengenai sifat dan efektivitas lingkungan kontrol untuk
memberikan manajemen dan kenyamanan dewan bahwa tidak ada faktor tingkat entitas
yang dapat merusak efektivitas manajemen risiko
3. Memfasilitasi penentuan selera risiko organisasi & tingkat variasi kinerja yang dapat
diterima untuk memastikan kriteria risiko telah ditentukan, didukung, dan dipahami oleh
dewan dan seluruh organisasi.
4. Memikirkan kemungkinan kejadian - kejadian berisiko dan melengkapi daftar
manajemen mengenai kejadian - kejadian semacam itu.
5. Memfasilitasi penilaian dan memprioritaskan risiko untuk membantu manajemen
memastikan risiko yang tepat harus ditangani
 6. Memberikan saran mengenai kriteria penilaian risiko lain di luar dampak dan
kemungkinan
7. Menganjurkan pilihan respon / perawatan risiko untuk membantu manajemen dalam
mengevaluasi apakah opsi yang dipilih akan mengelola risiko prioritas paling baik.
8. Membantu manajemen dengan memantau lingkungan eksternal dan internal untuk
membantu mengidentifikasi risiko baru atau yang muncul.
9. Memberikan hasil audit dalam format yang membantu manajemen memahami
kecukupan desain dan efektivitas operasi dari kegiatan manajemen risiko
10. Melakukan penilaian keseluruhan sistem manajemen risiko untuk memberikan jaminan
mengenai kecukupan desain sistem dan efektivitas operasi.

Discussion Questions:
1. Describe the difference between risk-taking philosophy, risk appetite, and acceptable
variation in performance. Give examples of each.
Jawab:
Perbedaan antara taking philosophy, risk appetite, dan acceptable variation in performance
yaitu:
● Risk taking philosophy → penilaian faktor - faktor yang dapat mencegah organisasi
dalam mencapai tujuannya dengan cara mengidentifikasi faktor yang membantu
organisasi dalam mencapai tujuannya. Contohnya adalah agar perusahaan tidak merugi,
maka perusahaan harus mencegah faktor yang menyebabkan perusahaan rugi seperti
faktor keterlambatan proyek, dsb.
● Risk appetite → tingkat risiko yang bisa diterima oleh organisasi dalam mencapai
tujuannya berdasarkan toleransi para pemangku kepentingan. Contohnya adalah sebuah
perusahaan akan menerima risiko keterlambatan proyek dengan rata - rata kerugian >
US$100,000 yang terjadi selama setahun sekali.
● Acceptable variation in performance → tingkat variabilitas pengembalian yang bisa
diterima oleh organisasi. Contohnya adalah sebuah perusahaan memiliki toleransi yang
sedang dalam menerima risiko keterlambatan proyek dengan rata - rata kerugian >
US$100,000 yang terjadi selama setahun sekali.
3. Define inherent risk and residual risk. Which of the two types of risk should have a greater
impact on the annual internal audit plan?
Jawab:
● Inherent risk (risiko bawaan) yaitu risiko yang ada tanpa adanya pengendalian.
● Residual risk (risiko residual) yaitu risiko yang memiliki taktik mitigasi atau strategi
pengendalian.
Inherent risk memiliki dampak yang lebih besar dalam rencana internal audit tahunan
dibandingkan residual risk. Hal ini karena, inherent risk tidak memiliki pengendalian.

6. Risk assessment most commonly focuses on two criteria - impact and likelihood. As an
organization’s risk assessment process evolves, what other criteria might be valuable to
consider and why?
Jawab:
Kriteria lain dalam penilaian risiko yaitu:
a. Kegiatan tidak menimbulkan risiko apapun yang dapat dihindari secara wajar
b. Risiko tidak boleh tidak proporsional dengan manfaatnya
c. Risiko tidak boleh terlalu terkonsentrasi pada individu tertentu
d. Risiko kecelakaan bencana harus sebagian kecil dari total