CONTROL RISK

SELF-ASSESSMENT

Berdasarkan hasil penilaian risiko, aktivitas audit internal harus mengevaluasi kecukupan dan
efektivitas pengendalian yang mencakup sistem tata kelola, operasi, dan system informasi
organisasi.
Standar IIA 2120.A1
PENGANTAR
Pengendalian risiko self-assessment (CRSA) merupakan alat ampuh yang bisa
digunakanuntuk mendukung ERM. Ini tentang bagaimana manajer dan tim kerja untuk menilai
sendiri risiko dan kontrol mereka, biasanya dalam lokakarya atau pertemuan yang difasilitasi.
ERM adalah gambaran besar, sementara CRSA adalah salah satu alat yang bisa dimilikinya yang
digunakan untuk melaksanakan ERM yang baik. Gambar 5.1 mengilustrasikan hal ini.
Intinya adalah bahwa CRSA bukan ERM; CRSA hanya bagian dari ERM. Hanya
karenaAuditor merasa ada program CRSA yang baik, tidak berarti pasti ada proses ERM yang
baik sebagai hasilnya. Setelah berkataIni, CRSA, dengan penekanannya pada orang dan
bagaimana mereka bekerja, telah dilakukan dengan baik oleh banyak orang penting.
Pada tahun-tahun sejak pertama kali dimulai, CSA telah menyebar dengan cepat ke
seluruh dunia dan sekarang muncul dalam sejumlah bentuk seperti RSA, QSA, dll. Ini telah
dipraktekkan di industri, pemerintahan, kesehatan, pendidikan dan badan multilateral
internasional, dan lembaga nirlaba. Di semua sektor ini telah diterima dengan baik oleh ribuan
klien yang melihatnya sebagai nafas udara segar, Mengapa? Mungkin karena kita sekarang
bertanya tentang isu di dunia mereka - dunia nyata - dan mengenali keahlian mereka.
Mungkin juga, karena kita mulai mengerti mereka, bukankah prosedur adalah akar penyebab
keberhasilan organisasi.
Gambar 5.1 Perbandingan ERM / CRSA
ERM CRSA
Board room initiative Management tool
Covers all risks Covers specific risks
Driven by risk policy Driven by desire for improved operations
Mainly risk concepts for
Mainly workshops on risk and controls
entire enterprise
Based on corporate risk
Based on local risk registers
reporting system
Runs across the organization Runs in specific parts of the business
ERM supported by CRSA CRSA driven by ERM
Review overall system of
Review specific controls
controls
Coordinated by the board Coordinated by risk champion
 Auditor memiliki kepentingan tersendiri dalam CRSA karena jika ini berhasil,berarti
proses audit dapat melekat pada prakarsa tersebut dan mendukungnya sebagai jalan pintas untuk
melakukan pengujian dan analisis audit yang ekstensif:

Melibatkan audit internal dalam beberapa program CSA cukup signifikan. Ini dapat
mensponsori, merancang, menerapkan, dan, pada dasarnya, memiliki proses, melakukan
pelatihan, menjadi fasilitator, juru tulis dan wartawan, dan menciptakan partisipasi manajemen
dan tim kerja. Keterlibatan audit internal minimal berfungsi sebagai pihak yang melayani dan
konsultan dalam keseluruhan proses dan sebagai pemeriksa utama dari evaluasi yang dihasilkan
oleh tim. Pada sebagian besar program, melibatkan audit internal dalam upaya CSA organisasi
ada di antara dua ekstrem yang dijelaskan di atas.

MODEL KONTROL RISIKO SELF ASSESSMENT: TAHAP SATU

CRSA tidak terjadi begitu saja. Ini harus direncanakan dengan hati-hati dan diluncurkan
jika itu memiliki kemungkinan untuk sukses. Model pertama dimulai dengan peluncuran dari
program CRSA pada Gambar 5.2.
Gambar 5.2 Model CRSA Tahap Satu

Board Risk Policy

Dewan harus merancang kebijakan risiko perusahaan yang menetapkan apa sebenarnya
CRSA adalah tentang dan bagaimana penerapannya di seluruh organisasi. Tempat awal yang baik
dalam mendefinisikan CRSA adalah panduan profesional IIA:
“Metodologi yang mencakup survei penilaian mandiri dan difasilitasi lokakarya yang
disebut CSA adalah pendekatan yang berguna dan efisien bagi para manajer dan auditor
internal untuk berkolaborasi dalam menilai dan mengevaluasi pengendalian prosedur.”

Corporate Risk Assessment

Beberapa organisasi membuat program CRSA dan membiarkan begitu saja. Ini kemudian
menghasilkan kumpulan data dan laporan terperinci itu sulit untuk disatukan dengan cara yang
berarti. Untuk mendukung perspektif ini, ini adalah ide bagus untuk mengembangkan penilaian
risiko perusahaan tingkat tinggi yang berusaha untuk mengidentifikasi risiko 10 besar papan atas
atau 12. Ini akan memberikan arahan yang diperlukan untuk penilaian risiko berikutnya
dilakukan di berbagai bagian bisnis. Misalnya, jika dewan merasa bahwa ketidak cocokan
finansial dan kecurangan karyawan adalah masalah utama, faktor ini dapat dibangun dalam
program CRSA, dan mereka dapat diminta untuk mengomentari risiko penyalah gunaan dan
ketidak beresan seperti mereka mengembangkan profil risiko operasional mereka.
bagaimanapun, dewan terkait tentang isu keselamatan, sekali lagi, tema ini bisa digunakan untuk
mengarahkan arah program CRSA. Dimana dewan memilih untuk fokus lebih baik tanggung
jawab sosial perusahaan sebagai jalan ke depan, pasti ingin melihat tema ini didorong melalui
berbagai unit bisnis dalam organisasi. Dengan cara ini, setiap unit bisnis akan diminta untuk
menghadapi risiko untuk mempromosikan tanggung jawab sosial yang baik. Salah satu contoh
terakhir adalah melakukan perencanaan kompetensi dan suksesi karyawan merupakan perhatian
utama perusahaan, dan isu ini dapat dimasukkan ke dalam lokakarya yang sedang dikembangkan
di seluruh bisnis. Hubungan antara prioritas perusahaan dan pengambilan keputusan operasional
adalah penting dan berarti mereka dipekerjakan untuk bertanggung jawab atas pekerjaan mereka:

Hasil yang mungkin diperoleh dari metodologi penilaian sendiri adalah:

 Orang-orang di unit bisnis dilatih dan berpengalaman untuk menilai risiko dan mengaitkan
proses kontrol dengan pengelolaan risiko tersebut dan meningkatkan peluang untuk
mencapai tujuan bisnis.
 Informal, soft kontrol lebih mudah diidentifikasi dan dievaluasi.
 Orang termotivasi untuk mengambil "kepemilikan" dari proses kontrol dalam unit mereka
dan tindakan perbaikan yang dilakukan oleh tim kerja akan lebih efektif dan tepat waktu
 Keseluruhan tujuan-risiko-mengendalikan infrastruktur organisasi tunduk pada
pemantauan dan perbaikan terus-menerus.

Komite Audit / Komite Risiko

Bagian selanjutnya dari model ini berkaitan dengan peran komite audit / komite risiko.
Pentingnya komite audit telah diakui:
Komite Audit merupakan devisi yang ideal untuk mengkaji ulang proses manajemen
risiko perusahaan karena merupakan komite pengawasan, tidak memiliki tanggung jawab
operasional sehari-hari dan, pada prinsipnya, seharusnya terdiri dari direktur non-eksekutif.
Selain itu, untuk Komite Audit abad 21 adalah direktur independen dan paling tidak satu anggota
dengan kecerdasan finansial. Memang, kompleksitas sebagian besar pendekatan manajemen
keuangan saat ini membuat tingkat pengetahuan keuangan wajib bagi mayoritas anggota Komite
Audit.
 Anggota komite audit perlu diberi tahu kekurangannya dalam proses manajemen risiko
yang berada dalam lingkup dan kehendak mereka perlu menetapkan kriteria yang jelas untuk
laporan semacam itu:
“Pihak yang kekurangannya dikomunikasikan terkadang memberikan arahan spesifik
mengenai apa yang harus dilaporkan. Seorang dewan direktur atau komite audit,
misalnya, dapat meminta manajemen atau auditor internal atau eksternal untuk
mengkomunikasikan hanya ambang batas kekurangan yang mereka hadapi atau
keseriusan atau kepentingan yang ditentukan.

Perusahaan yang dikutip dari NYSE sekarang ini diperlukan untuk memastikan bahwa
komite audit mereka membahas kebijakan sehubungan dengan penilaian risiko dan manajemen
risiko.
Launch
Bagian terakhir dari model pertama kami terdiri dari langkah-langkah untuk memastikan
bahwa CRSA diluncurkan dengan benar. Sebuah kata peringatan telah dikeluarkan mengenai
bahaya program CRSA yang kurang dipahami:
“CSA bersifat sederhana dan sangat kompleks. Ini sederhana karena ini melibatkan
sekelompok orang dengan tujuan bersama dan berbagi pengalaman bersama untuk
mengidentifikasi peluang untuk perbaikan. Namun, setiap proses yang melibatkan
orang sangat kompleks dan dipengaruhi oleh kejadian terkini dan historis yang
melampaui pengetahuan fasilitator Akibatnya ada banyak jebakan untuk diwaspadai
bagi yang tidak berpengalaman.”

Ada berbagai cara yang dirancang dan diimplementasikan oleh CRSA:

“Berbagai pendekatan yang digunakan untuk proses CSA dalam organisasi

mencerminkan perbedaan dalam industri, geografi, struktur, budaya organisasi, tingkat
pemberdayaan karyawan, gaya manajemen yang dominan,dan cara merumuskan
strategi dan kebijakan.

Beberapa organisasi besar menggunakan program percontohan kecil, katakanlah, satu

atau dua bagian dari organisasi untuk menguji cara kerja program yang diluncurkan, sedangkan
yang lainnya tinggal mengikuti.

MODEL KONTROL RISIKO SELF ASSESSMENT: TAHAP DUA

Sejauh ini kita sudah berurusan dengan komponen-komponen program CRSA yang
diluncurkan. Sekarang kita berurusan dengan isu itu harus dipecahkan untuk mendapatkan
metodologi yang jelas yang bisa digunakan memastikan bahwa ada pendekatan sistematis
terhadap manajemen risiko operasional. Dapat kita lihat pada gambar 5.3 berikut:
 Kesadaran (Awareness)
Banyak inisiatif CRSA gagal karena orang-orang hadir dalam lokakarya berisiko,
luangkan beberapa jam untuk mendiskusikan risikonya dan apa yang harus dilakukan dan
kemudian kembali ke pekerjaan mereka. Jika ditanya tentang pengalaman, banyak akan
mengatakan itu berguna, tapi ada sedikit pemahaman yang sebenarnya dari potensi CRSA untuk
membuat perbedaan dan bagaimana cara kerjanya yang lebih luas ERM dan pengaturan tata
kelola. Bahkan, beberapa karyawan tidak akan benar-benar memahami siklus risiko dan
bagaimana hal ini bisa diterapkan setiap hari kerja.

Alat (Tools)
CRSA adalah tentang memahami risiko dan untuk meninjau kontrol ulang mereka, dan
untuk menerapkan alat dan teknik yang berguna untuk tugas tersebut. Beberapa praktisi CRSA
percaya ada tiga pendekatan utama terhadap CRSA: kuesioner, lokakarya, dan tinjauan
manajemen:
Tiga bentuk utama program CSA adalah lokakarya tim, survei, dan analisis manajemen
product. Organisasi sering menggabungkan lebih dari satu pendekatan.

Analisis yang dihasilkan oleh manajemen dijelaskan dengan cara berikut:

Bentuk penilaian diri yang disebut analisis manajemen-produksi mencakup sebagian
besar pendekatan lain oleh kelompok manajemen untuk menghasilkan informasi tentang proses
bisnis terpilih, kegiatan manajemen risiko, dan prosedur pengendalian.

Alat CRSA lainnya berhubungan dengan model kontrol yang dapat digunakan:
Semua program penilaian mandiri didasarkan pada manajer dan anggota tim kerja yang
memiliki pemahaman tentang risiko dan konsep pegendalian dan menggunakan konsep tersebut
dalam komunikasi. Untuk sesi pelatihan, di fasilitasi alur diskusi lokakarya yang tertib dan
diperiksa kelengkapan proses keseluruhan, organisasi sering gunakan kontrol seperti model
COSO dan COCO.
 Motivasi
Banyak program CRSA gagal karena orang tidak memiliki ketertarikan yang nyata atau
tidak percaya bahwa alat manajemen risiko akan membantu mereka kerja. Model ini mencakup
motivasi antar angkatan kerja, karena banyak bergantung pada cara orang menggunakan atau
gagal menggunakan konsep tersebut. Contohnya menggambarkan pentingnya menghasilkan
energi dan membeli dari semua orang.
Dalam satu lokakarya risiko, pemimpin itu sombong dan membosankan. Dia bersikeras
mendefinisikan akar kata-kata dari risiko dan memberikan penjelasan rinci tentang pandangan
bahwa "apa yang tidak kita ketahui " menimbulkan keadaan yang nyata. Acara ini berlangsung
selama beberapa jam dan tidak diterima dengan baik disemua. Pemimpin memiliki pengetahuan
mendalam tentang risiko dan manajemen risiko teknik tetapi tidak memiliki semangat atau
kemampuan untuk berempati dengan para delegasi. Istilah workshop sesudahnya sangat
menakutkan bagi para karyawan itu.

Dimana pembelian ini tercapai, CRSA bisa membuat perbedaan besar:

Pendekatan tim konsultatif berguna untuk membantu menentukan konteksnya dengan
tepat, untuk membantu memastikan risiko diidentifikasi secara efektif, untuk membawa berbagai
bidang keahlian bersama dalam menganalisis risiko, untuk memastikan pandangan yang berbeda
dipertimbangkan secara tepat dalam mengevaluasi risiko dan untuk manajemen perubahan yang
tepat selama penanganan risiko.Keterlibatan juga memungkinkan "kepemilikan" risiko oleh para
manajer dan keterlibatan pemangku kepentingan. Hal ini memungkinkan mereka untuk
menghargai manfaat dari kontrol tertentu dan kebutuhan untuk mengesahkan dan mendukung
rencana pengendalian.

Metodologi CRSA
Isu penting lainnya berkaitan dengan kebutuhan untuk menginstal pendekatan yang
didefinisikan CRSA. Jika lokakarya diterapkan, ini harus dilakukan pada beberapa bentuk
standar agar bisa digunakan secara nyata. Beberapa organisasi mengandalkan keahlian dan
kehadiran fasilitator untuk mendorong cara CRSA dijalankan dan terapkan. Saat fasilitator pergi
atau bosan, seluruh program jatuh. Jauh lebih baik untuk menetapkan cara yang jelas untuk
melakukan acara CRSA dan pastikan organisasi menerapkan format ini atau untuk menetapkan
beberapa prinsip formal dan memastikan lokakarya CRSA, walaupun berbeda untuknya setiap
bagian, termasuk dalam batasan prinsip-prinsip ini.

MODELCONTROL RISK SELF ASSESSMENT:TAHAP TIGA

Kita perlu memperkaya model pada CRSA dengan menambahkan beberapa pertimbangan lagi
(yaitu, budaya kontrol dan cara CRSA diterapkan di seluruh organisasi). Model ini ditunjukkan
pada Gambar 5.4.
 Kontrol Budaya
Kontrol budaya atau control lingkungan memiliki pengaruh penting pada proses CRSA karena
keadaan control budaya mempengaruhi cara CRSA diterapkan. Dalam konteks ini, CRSA hanya
dilihat sebagai seperangkat alat yang mengkonsolidasikan tingkat keahlian yang dimiliki
seseorang dalam mengelola risiko operasional. Budaya yang buruk akan memiliki nilai yang
lebih rendah untuk memulai dan mungkin menggunakan CRSA untuk sekadar mengembangkan
kesadaran yang lebih baik risiko dan cara pengendalian dapat diterapkan untuk meningkatkan
peluang keberhasilan. Lingkungan kontrol digambarkan sebagai:

Sikap dan tindakan dewan dan manajemen mengenai pentingnya kontrol dalam organisasi.
Lingkungan kontrol memberikan disiplin dan struktur untuk pencapaian yang utama tujuan
sistem pengendalian intern. Lingkungan kontrol termasuk unsur berikut:
• Integritas dan nilai etika
• Filosofi manajemen dan gaya operasi
• Struktur organisasi
• Penugasan wewenang dan tanggung jawab
• Kebijakan dan praktik sumber daya manusia
• Kompetensi personil

Menentukan tujuan-tujuan
Kami telah menyinggung pentingnya tujuan dalam manajemen risiko, dan ini juga berlaku untuk
CRSA. COSO menjelaskan definisi manajemen risiko secara lebih rinci:
Ini menangkap konsep kunci yang mendasar tentang bagaimana perusahaan dan
organisasi lainnya mengelola risiko, memberikan dasar untuk penerapan dalam organisasi,
industri, dan sektor. Ini berfokus langsung pada prestasi tujuan yang ditetapkan oleh entitas
tertentu dan memberikan dasar untuk mendefinisikan efektivitas manajemen risiko perusahaan.
 Bekerja dengan tim dan kelompok karyawan agar mereka mengerti dan mengelola risiko
dimulai dengan cara mereka menentukan dan merasakan tujuannya. Fokus pada apa yang orang
coba capai berarti bahwa survei dan lokakarya serta ulasan manajemen dapat berkontribusi yang
penting bagi orang di tempat kerja, yang kontras dengan persepsi risiko sebagai konsep yang
tidak jelas yang berhubungan dengan ketidak jelasan masa depan dan mungkin ancaman
eksternal. Pendekatan berbasis tujuan berguna dalam mendorong CRSA untuk potensi penuh.
Seimbang antara tujuan, risiko, dan kontrol yang baik ini telah dijelaskan dalam Praktik:

Lokakarya tim yang difasilitasi mengumpulkan informasi dari tim kerja yang mewakili
berbagai tingkat di unit bisnis atau fungsi. Format dari lokakarya mungkin didasarkan pada
tujuan, risiko, kontrol, atau proses.

Bagian selanjutnya dari model kami mencakup tiga proyek P: proyek, proses, dan people.
Hal ini dimungkinkan untuk memecah jenis lokakarya CRSA menjadi ketiga kategori dasar ini
untuk kemudahan penggunaan.

Proyek
CRSA dapat diterapkan untuk mempromosikan penggunaan penilaian risiko di berbagai
proyek yang berjalan di sebuah organisasi yang khas. Ada kepala mulai di sebagian besar sistem
manajemen proyek karena mereka cenderung memiliki penilaian risiko aspek yang dibangun di
dalam cara mereka diatur dan dijalankan. Masalahnya adalah banyak sistem seperti itu melihat
penilaian risiko sebagai latihan satu kali yang dilakukan pada awal dan menghasilkan dokumen
tersendiri yang mencatat semua risiko besar dan strategi risiko CRSA meminta agar konsep
identifikasi risiko dan Penilaian dibangun di dalam cara kerja anggota tim dan muncul di semua
tahapan pekerjaan. Ini juga berarti bahwa penilaian risiko menjadi inklusif daripada latihan
berbasis jauh jauh yang diselesaikan oleh manajer proyek.

Proses
Cara lain yang dapat digunakan CRSA adalah menerapkannya pada proses yang berjalan
dalam organisasi. Cara anggota staf direkrut, seperti kualitasnya dicek, cara sistem TI dibuat
aman, seperti produk baru dikembangkan, dan bagaimana informasi pengungkapan statistika
disediakan semuanya Hasil dari proses yang memiliki tujuan, risiko, dan kontrol. Anda bisa
meminta pemain kunci atau orang perwakilan untuk meninjau ulang peluang risiko untuk
memproses tujuan saat ini dikelola.

Orang-orang
Kategori utama untuk pekerjaan CRSA adalah tentang orang. CRSA adalah seperti alat
fleksibel itu bisa diaplikasikan pada soft control seperti cara orang berkomunikasi atau sejauh
mana anggota staf mempercayai manajer mereka memberikan saran dan arahan yang baik.
CRSA dapat digunakan untuk menangani praktik kerja timpang yang buruk dengan cara yang
mendefinisikan masalah ini sebagai risiko mencapai tujuan tim, sehingga cara maju dapat
diupayakan dan disepakati. Beberapa lokakarya meliputi manajer lini, sedangkan yang lain
melihatnya sebagai peluang tim untuk terlibat dalam debat terbuka tanpa manajer hadir.

Dalam lokakarya difasilitasi CSA yang khas, sebuah laporan akan dibuat secara luas
selama pembahasan. Konsensus kelompok akan dicatat untuk berbagai segmen diskusi, dan
kelompok tersebut akan meninjau usulan tersebut dan membuat laporan akhir sebelum sesi
berakhir. Beberapa program akan digunakan teknik pemungutan suara anonim untuk memastikan
arus informasi yang bebas dan sudut pandang selama lokakarya dan untuk membantu dalam
negosiasi perbedaan antara sudut pandang dan kelompok kepentingan.

Beberapa tim memiliki semua keterampilan yang tepat dan dilengkapi dengan teknik
dinamis tapi tidak bisa berkinerja baik. Banyak dari mereka adalah korban risiko diam:
Resiko diam-disebut demikian karena merayap tak terlihat dan tanpa pemberitahuan –
adalah risiko paling berbahaya hanya karena sifatnya. Mereka belum dikenali dalam proses
identifikasi, penilaian dan mengelola risiko sehingga, jika hal itu terjadi, dan ada kesulitan waktu
untuk mencoba mengelolanya, bisa jadi tidak masuk akal dan langkah-langkah defensif yang
tidak pantas, yaitu "gut reactions." Mudah-mudahan terjadinya silent risk tidak menimbulkan
bencana dan bisa menjadi kesempatan belajar.

MODEL RISK SELF ASSESSMENT:TAHAP EMPAT

Kita perlu menambahkan beberapa item ke model kami untuk melakukannya dengan
benar dan dimasukkan ke dalam beberapa detail lebih lanjut, terutama saat pendekatan lokakarya
sedang digunakan. Model dapat dilihat dalam gambar 5.5:

KPIs (Key Performance indicators)

Setelah menetapkan tujuan tim (atau tujuan proyek / proses), itu adalah baik untuk
mengatur konteks sebelum peserta memulai brainstorming risiko. Pertama dari hal kontekstual
adalah indikator kinerja utama (KPI) Tim bekerja.. Diskusi, debat, dan komentar yang dilakukan
jangan memperhitungkan hal-hal yang tim akan dinilai menjadi kabur dan tidak nyata jika tidak
terkait dengan pelaksana kerja. Cara targetnya ditetapkan dan dinilai perlu didiskusikan oleh tim
untuk memastikan tidak ada risiko timbul dari serangkaian KPI yang kurang dipahami. Juga, saat
rencana mulai disatukan sebagai hasil lokakarya, rencana ini perlu untuk dilampirkan pada cara
kerja tim direncanakan dan dinilai. Orang-orang cenderung menanggapi isu-isu yang masuk ke
dalam KPI. Apa pun di luar ini mungkin terlupakan.

Pemangku kepentingan (Stakeholders)

Poin selanjutnya yang perlu ditayangkan dalam workshop tim adalah posisi,harapan, dan
keterlibatan pemangku kepentingan internal dan eksternal. Tata kelola perusahaan adalah
perencanaan untuk memenuhi harapan stakeholder, dan Manajemen risiko adalah tentang
pencapaian rencana untuk mengantarkan barang.

CRSA karenanya harus sesuai dengan tujuan agar memberikan dampak. Tim, proyek, dan
orang yang menjalankan perusahaan dan operasional proses harus menghargai apa yang
diinginkan pemangku kepentingan, dan mereka harus memahami bagaimana ketegangan dapat
dikelola. Beberapa waktu harus dihabiskan pada topik ini untuk memperluas kerangka di mana
risiko dapat ditangkap dan kemudian dianalisis:

Pemangku kepentingan cenderung membuat penilaian tentang risiko berdasarkan

keputusan persepsi mereka. Hal ini dapat bervariasi karena perbedaan nilai, kebutuhan, asumsi,
konsep dan kekhawatiran karena berkaitan dengan risiko atau masalah dalam diskusi. Karena
pandangan pemangku kepentingan bisa berpengaruh signifikan terhadap keputusan yang dibuat,
penting bagi persepsi mereka tentang keputusan tersebut risiko diidentifikasi dan dicatat dan
diintegrasikan ke dalam proses pengambilan keputusan.

Standar risiko Australia / Selandia Baru yang dikutip sebelumnya terus berlanjut untuk
mendiskusikan di mana pemangku kepentingan cocok:

Melibatkan orang lain, atau setidaknya melihat sesuatu dari sudut pandang lain,
merupakan unsur penting dan penting dari pendekatan yang efektif dalam pengelolaan risiko.
Keterlibatan dengan para pemangku kepentingan membuat manajemen risiko eksplisit dan lebih
berdasarkan banyak suara, dan memberi nilai tambah pada organisasi. Ini terutama yang penting
di mana pemangku kepentingan dapat:
• Dampak terhadap efektivitas penanganan risiko yang diusulkan
• Terkena insiden risiko
• Menambah nilai dalam penilaian risiko
• Menimbulkan biaya tambahan
• Dibatasi oleh kontrol risiko masa depan
 Perubahan
Topik terakhir yang membentuk kerangka kontekstual adalah perubahan. Perubahan
program, rencana strategis, dan proposal untuk menggabungkan, mengurangi size,
meningkatkansize, atau bagian-bagian bisnis yang benar-benar merupakan bagian agenda kerja.
Isu-isu ini akan paling menonjol di benak kebanyakan anggota staf, yang terpengaruh pada
tingkat yang lebih besar atau lebih rendah. Jika risikonya tidak mengakui beberapa perubahan
besar yang telah terjadi sekarang terjadi, atau hanya diajukan, maka kita mungkin merindukan
sebuah kesempatan untuk berbicara tentang risiko nyata dan bukan hanya item standar yang
berkaitan dengan prosedur dan dokumentasi.

RI, RA, RO, RM, ACTION

Item berikutnya pada model inilah yang disebut siklus risiko. Lokakarya CRSA harus
melibatkan pengambilan orang melalui tahap standar risiko identifikasi (RI), risk assessment
(RA), menentukan risk owner (RO),dan manajemen risiko (RM) dengan cara yang dapat
didokumentasikan untuk dimasukkan ke dalam daftar risiko, kemudian disepakati bahwa hasil
dari siklus manajemen risiko ini memastikan bahwa setiap risiko residu terkandung dengan benar
dan bahwa kontrol kunci diperiksa untuk fungsionalitas. Siklus risiko ini bisa digunakan untuk
membentuk metodologi profesional untuk mendapatkan manajemen risiko dan mencakup semua
aspek kunci dalam menghadapi risiko sisi atas dan bawah,dan pendekatan ini sesuai dengan
standar risiko:

Mengembangkan daftar risiko yang komprehensif merupakan proses yang sistematis

digunakan yang dimulai dengan pernyataan konteks. Untuk menunjukkan risiko itu telah
diidentifikasi secara efektif, berguna untuk melangkah melalui proses,proyek atau aktivitas
secara terstruktur dengan menggunakan elemen kunci yang didefinisikan sementara
membangun konteks Hal ini dapat membantu memberikan keyakinan bahwa proses
identifikasinya lengkap dan masalah utama tidak terlewatkan.

Fasilitator yang baik bisa mendapatkan kelompok CRSA untuk memberi skor risiko dan
saran cara penanganan risiko profil tinggi yang berpotensi mempengaruhi kemampuan kita untuk
mencapai tujuan dan kemungkinan akan timbul jika tidak terkandung. Sebuah standar daftar
risiko mungkin berisi rincian seperti berikut ini:

• Referensi
• Deskripsi risiko
• Kategori
• Pemilik risiko
• Kecukupan mitigasi saat ini
• Dampak risiko residual
• Kemungkinan
• Perubahan terbaru dalam profil risiko
• Rencana aksi
• Tinjau ulang tanggal

Gambar

Gambar di sebelah kanan model adalah tentang fasilitasi yang efektif, yang mana penting dalam
proses CRSA. Banyak kelemahan atau kelebihan kualitas fasilitas program CRSA yang
diterapkan untuk memastikan programnya sesuai tujuan. Kritik utama lokakarya CRSA adalah
bahwa mereka memulai dengan baik Audit Proses Manajemen Risiko. Prinsip dasar berikut
untuk menggunakan lokakarya yang difasilitasi harus diterapkan pada acara CRSA:

 Pastikan workshop memiliki tujuan yang jelas berdasarkan pemberdayaan orang

sekelilinnya untuk membuat kontrol mereka bekerja dengan baik.
 Dorong kehadiran dengan menjelaskan apa yang akan dilakukan peserta capai dari waktu
yang dihabiskan. Salah satu pendekatannya adalah dengan menggunakan blok bangunan
untuk memulai dengan konsep dasar yang dikembangkan menjadi bisa dikerjakan sistem.
Orang tidak keberatan memerinci sejauh yang mereka bisa lihat bagaimana hal itu sesuai
dengan gambaran besarnya.
 Pastikan ada cara sederhana untuk menangkap semua informasi, kesepakatan, dan
komentar yang relevan yang berasal dari acara tersebut. Risiko registernya adalah cara
yang baik untuk merekam informasi yang berasal mengambil kelompok melalui siklus
identifikasi, penilaian,dan tindakan untuk membantu mengelola tingkat risiko residual
yang tidak dapat diterima.
 Pertahankan elemen tantangan di mana orang didorong untuk bergerak keluar dari zona
nyaman mereka. Dimana kita bisa menyingkirkan kontrol yang berlebihan, maka ini
harus ditetapkan sebagai tugas yang menantang. Saat mengidentifikasi risiko, kelompok
bisa mulai dengan dasar dan kemudian bekerja ke arah itu yang tidak begitu didefinisikan
dengan baik. Katakan kepada anggota kelompok bahwa mereka ada memberikan laporan
formal tentang sistem pengendalian internal dan itu pekerjaan mereka dapat ditinjau oleh
lembaga peninjau eksternal.
 Fokus pada iklim dan kembangkan cara mendorong positif dan komunikasi terbuka.
Banyak tergantung pada kemampuan mendengar yang baik, dan orang bisa
mempraktikkan keterampilan ini. Sejumlah kecil dominasi peserta mungkin mencoba
untuk mengambil alih acara, dan kecenderungan ini dibutuhkan untuk dikelola dengan
hati-hati. Bila seorang fasilitator mengajukan pertanyaan dan melihat ke arah seseorang,
dia akan cenderung menjawab, sedangkan saat pertanyaan ini diajukan dan fasilitator
berpaling dari orang yang mendominasi, yang lain akan cenderung merespons.
 Orang merasa lebih nyaman saat mereka memiliki gambaran yang jelas hari dan apa yang
akan terjadi selanjutnya di setiap titik. Terstruktur dengan baik lokakarya mengajak
 kelompok melalui siklus risiko yang masuk akal. Jika siklusnya disiapkan di awal,
fasilitator bisa merencanakan kemajuan kelompok dan membuat hubungan di antara
masing-masing bagian.
 Pastikan fasilitasi diatur dalam batas-batas kebijakan risiko sehingga fasilitator dapat
membuat presentasi singkat mengenai kebijakan risiko dan bagaimana kejadian CRSA
sesuai dengan konsep ERM yang lebih luas. Sebuah fasilitator yang tidak memiliki
pengetahuan tentang manajemen risiko akan berjuang.
 Pastikan sudah jelas bahwa fasilitasi bukan hanya tentang mendorong orang menuju
tujuan tertentu; Ini tentang memperlengkapi orang yang ingin dan maubisa mencapai
tujuan ini. Beberapa fasilitator mengembangkan kesepakatan kelompok yang disiapkan
dan diadopsi oleh anggota
 Pastikan orang yang tepat diambil dan menghadiri acara tersebut. Banyak pemimpin
lokakarya melakukan kontak dengan anggota kelompok sebelum acara dengan maksud
agar mereka mengerti proses manajemen risiko dan mungkin bagaimana menangani
masalah orang.
 Pahami dan katakan pada orang apa yang termasuk dalam lingkup lokakarya dan apa
yang ada di luar kerangka acuannya. Misalnya, acara tentang mempersiapkan rencana
untuk digunakan untuk menegosiasikan kenaikan gaji tim. Ini bisa digunakan untuk
memastikan tim efisien,dan poin ini bisa bermanfaat bagi tim, tapi lokakarya bukan
tentang memihak dan bermain politik lokal.
 Lokakarya yang baik berjalan dengan baik. Jika mereka bergerak terlalu cepat, orang
dibiarkan tertinggal, sedangkan jika bergerak terlalu lambat, mereka bosan. Seorang
fasilitator yang baik akan terus-menerus memeriksa kecepatan dan mendorongan untuk
mengubahnya bila perlu.
 Beberapa kelompok bergerak melalui tahap ketika mereka berkumpul untuk tugas
tertentu. Orang-orang memulai dengan merasakan jalan mereka di sekitar kekuasaan
dasar dan mencari tahu di mana mereka cocok. Setelah beberapa ketegangan dialami,
mereka masuk ke mode kerja positif dan kemudian melambat, tingkat energi menurun
dan orang ingin beralih ke wilayah baru. Fasilitator dapat mengukur tahap-tahap ini dan
menghadapi ketegangan, memanfaatkannya positif, dan mengembangkan tantangan baru
ketika energi menurun.
 Brainstorming adalah teknik yang berguna, dan kelompok mungkin rusak ke dalam
kelompok yang lebih kecil dimana ada berbagai tujuan untuk diatasi. Orang mungkin
terdorong untuk menghasilkan volume daripada kualitas dan setuju bahwa mereka akan
membiarkan semua pemikiran baru, tanpa membuat penilaian.
 Untuk kelompok yang tenang, adalah mungkin untuk mengutip apa yang dikatakan
workshop sebelumnya dan gunakan ini sebagai kerangka kerja untuk mengembangkan
beberapa diskusi. Anggota kelompok mungkin diminta untuk membicarakan pengalaman
mereka mengenai masalah tertentu saat ini akan membantu merangsang diskusi.
Fasilitator dapat menarik kelompok yang tenang dengan memiliki kehadiran dan
 mendorong mereka. Untuk kelompok yang lebih dinamis, fasilitator dapat menarik diri
sedikit (mis., Dengan duduk dan menghindari mata kontak) dan biarkan tingkat energi
tinggi menggerakkan kelompok.
 Saat orang memberi saran, ambil informasi ini, tapi juga mintalah kelompok untuk
mengembangkan kriteria untuk menilai apakah saran tersebut harus diajukan atau tidak.
Ini adalah hal yang menarik. Fasilitator yang baik berkonsentrasi pada proses pencapaian
tujuan lokakarya, namun konten aktual yang disepakati adalah milik kelompok dan bukan
fasilitator. Tidak ada aturan tetap untuk CRSA lokakarya, dan jika masalah yang
kompleks perlu dijelaskan, spesialis dapat dibawa untuk membuat presentasi singkat
kepada kelompok tersebut. Jika kelompok ini menjadi terlalu nyaman dan menggunakan
suara perusahaan yang terdengar salah, fasilitator bisa menghentikan mereka dan
meminta cek kenyataan. Selama tujuan workshop tercapai dan harga diri orang
dilindungi, banyak teknik yang berbeda bisa diterapkan.
 Tujuan utama CRSA adalah memberdayakan orang untuk terlibat agenda risiko dan
kontrol dan melengkapi mereka untuk maju dan maju laporkan usaha mereka. Jika titik
ini disimpan di garis depan pikiran semua orang, banyak hal dapat dicapai.

Sertifikat Pengendalian Internal

Bagian akhir dari tahap model ini adalah tugas pelaporan ke atas keadaan kontrol. Ini
sangat penting. Ini satu hal yang membuat orang bersama dan berbicara tentang apa yang
membantu mereka sukses dan apa menghalangi, tapi penting untuk melakukan hal ini bersamaan
dengan peraturan formal. Mengontrol persyaratan pengungkapan yang mempengaruhi hampir
semua jenis organisasi:

Pengendalian internal merupakan bagian integral dari manajemen risiko perusahaan. Ini
kerangka manajemen risiko perusahaan mencakup pengendalian internal,membentuk
konseptualisasi dan alat yang lebih kuat untuk manajemen.

CRSA yang baik biasanya berarti review bagus tentang pengendalian internal dan
diharapkan mengarah pada pengaturan kontrol yang bisa diterapkan. Seperti yang digunakan
manajer CRSA untuk membantu mereka memberikan keputusan atas pengendalian internal,
sehingga review auditor yang terbangun ini berkontribusi pada kontrol yang lebih baik:

Meskipun memberikan dukungan staf untuk program CSA sebagai fasilitator dan
spesialis, aktivitas audit internal sering menemukan bahwa hal itu dapat mengurangi
usaha yang dihabiskan untuk mengumpulkan informasi tentang prosedur pengendalian
dan menghilangkan beberapa pengujian.

Sedangkan peran audit dapat berdampak mendasar terhadap sejauh mana laporan
manajemen tentang pengendalian internal dirasakan:
 Auditor internal harus membandingkan proses untuk mematuhi Bagian 302 dari
Sarbanes-Oxley Act (pelaporan dan pengungkapan keuangan triwulanan) terhadap
prosedur yang dikembangkan untuk mematuhi Bagian 404 tentang penilaian tahunan dan
laporan publik manajemen mengenai internal kontrol. Dalam organisasi di mana
manajemen melakukan penilaian kontrolnya sendiri sebagai dasar pendapat, auditor
internal harus melakukannya mengevaluasi penilaian manajemen dan dokumentasi
pendukung.

MODEL RISK SELF ASSESSMENT: FINAL

Hanya ada beberapa tambahan di atas model CRSA kami untuk membantu gambaran
terakhir tentang bagaimana CRSA bisa berkumpul dalam sebuah organisasi.

Risk Appetite
Kita kembali ke topik risk appetites. Tidaklah cukup untuk memulai diskusi tingkat tinggi
mengenai risk appetite perusahaan dan menganggap bahwa angkatan kerja akan mengerti konsep
ini. Arah yang jelas harus disampaikan kepada staf jadi mereka mengerti bahwa CRSA adalah
tentang mendapatkan eksposur risiko untuk masuk ke dalam keseluruhan selera dewan direksi.
Orang harus mengerti itu berbeda, unsur-unsur pekerjaan mereka menarik selera risiko yang
berbeda. Misalnya, satu kerangka kerja yang bisa digunakan untuk membantu menentukan
tingkat toleransi meliputi aspek berikut:

• Aspek kewiraswastaan-risk appetite yang tinggi

• Pelaporan keuangan - risk appetite rendah
• Masalah kualitas - risk appetite rendah
• Mengubah program - risk appetite sedang
• Cacat-area dimana ada pengaturan asuransi yang baik,selera resiko sedang

Dengan cara ini, CRSA dapat digunakan untuk berfokus pada sejauh mana risiko residual
mengganggu kemampuan bisnis untuk mencapai dan mencapai kesejahteraan:
 Program CSA menambah peran tradisional kegiatan audit internal dengan membantu
manajemen dalam memenuhi tanggung jawabnya untuk mendirikan dan menjaga proses
manajemen dan pengendalian risiko dan untuk mengevaluasi kecukupan sistem itu.
Melalui program CSA, kegiatan internal audit dan unit bisnis dan fungsi bekerja sama
untuk menghasilkan informasi yang lebih baik tentang seberapa baik proses pengendalian
bekerja dan seberapa besar risiko residualnya.

Toleransi resiko
Risiko keseluruhan selera perlu diterjemahkan ke dalam toleransi risiko untuk berbagai
bagian bisnis, yang merupakan pertimbangan penting bagi auditor internal:

Isu kontekstual yang penting bagi auditor internal adalah toleransi risiko organisasi secara
keseluruhan. Ini adalah bagian intrinsik dari budaya perusahaan dan seringkali akan
secara khusus ditangani oleh sebuah organisasi sebagai bagian dari kerangka kerja
manajemen risikonya. Dalam hal manajemen puncak organisasi telah menentukan tingkat
toleransi risiko auditor internal harus menggunakan ini. Dengan tidak adanya penentuan
perusahaan, auditor internal harus menggunakan penilaian mereka sendiri setelah
berkonsultasi dengan manajemen Tingkat toleransi risiko mungkin berbeda antara yang
berbeda bagian dari sebuah organisasi.

Dalam menetapkan toleransi risiko, manajer, anggota tim, dan rekan kerja perlu
mempertimbangkan hal berikut:
• Tetapkan tingkat kekritisan
• Pengalaman masa lalu terhadap masalah dan kesuksesan
• Tingkat kepastian yang mereka miliki dalam mencapai target
• Kecukupan kontrol yang ada
• Apakah ada kebutuhan akan lebih banyak sumber daya untuk menangani area
prioritasmengurangi kekritisan
• Sifat dan jenis risiko yang ada - baik eksternal,operasional, atau keuangan
• Cara keputusan dibuat
• Cara proyek baru dan produk baru didirikan
• Apakah keputusan yang dibuat dapat segera dibalik atau tidak
• Paparan tindakan hukum

Juga lihat Bab 4 tentang risk appetite. Sekalipun ada jaminan telah diberikan pada bagian-
bagian bisnis dimana risiko dikelola secara efektif, ini tidak berarti bahwa tidak ada ruang untuk
kegagalan, seperti yang disarankan oleh COSO:

Dengan kata lain, bahkan manajemen risiko perusahaan yang efektif pun bisa mengalami
kegagalan. Jaminan yang masuk akal bukanlah jaminan mutlak.
 Budaya Resiko
Kami telah menyebutkan budaya kontrol, yang terutama tentang budaya sejauh mana orang
berperilaku dalam hal standar etika. Budaya risiko ikut bermain dalam pekerjaan CRSA karena
latar belakangnya mungkin adalah stafnya berisiko naif atau berisiko pintar-atau kombinasi fitur
ini. Acara CRSA untuk staf berisiko naif melibatkan pelatihan ekstensif dan lokakarya formal
untuk mendapatkan orang untuk memahami masalah yang terlibat dalam bekerja dengan risiko.
Budaya Risk-smart, bagaimanapun dapat berarti penggunaan pertemuan singkat satu jam untuk
diperbarui profil risiko mengingat perkembangan baru.

Pemicu Risiko
Unsur terakhir untuk model kami adalah pemicu risiko. Setelah semua aktivitas CRSA,
baik yang terdiri dari lokakarya formal, survei singkat, atau pemeriksaan manajemen terhadap
kontrol, perlu ada mekanisme yang memungkinkan memicu intervensi kapan pun risiko terputus
dan perlu ditangani.

Salah satu pemicu utama yang relevan dengan auditor adalah percepatan melaporkan
temuan audit dimana tingkat risiko yang terlibat memerlukan perhatian lebih lanjut pada tingkat
yang lebih tinggi:
“CAE harus mempertimbangkan apakah tepat untuk memberi tahu dewan pengurus
tentang pengamatan dan rekomendasi yang dilaporkan sebelumnya dan rekomendasi
dalam kasus tersebut saat manajemen senior dan dewan direksi diasumsikan risikonya
tidak mengoreksi kondisi yang dilaporkan. Ini mungkin apalagi perlu bila sudah ada
organisasi, dewan, senior manajemen, atau perubahan lainnya”.
 KESIMPULAN

Pengendalian risiko self-assesment merupakan alat bisnis yang dinamis yang bisa
digunakan untuk mempromosikan proses ERM dan yang harus dipertimbangkan untuk
digunakan semua organisasi. Salah satu cara untuk mempertimbangkan proses CRSA adalah
melalui lima langkah berikut:
1. Kembangkan kebijakan yang jelas mengenai penggunaan CRSA yang sesuai dengan
benar di dalam kebijakan ERM lebih luas
2. Luncurkan program CRSA dengan cara yang berfokus pada kesadaran,alat yang tepat,
dan cara orang bisa termotivasi untuk mengerti dan menggunakan alatnya.
3. Kaji budaya pengendalian di tempat di seluruh organisasi dan bahwa CRSA dapat
digunakan untuk membantu mengembangkan tenaga kerja yang memiliki risiko tinggi.
4. Gunakan konsep corporate risk appetite untuk membantu orang menentukan toleransi
risiko mereka dalam proyek, proses, dan cara orang bekerja.
5. Gunakan register risiko untuk memfokuskan proses CRSA seputar siklus risiko dan
kebutuhan untuk mengembangkan dokumentasi yang masuk ke dalam bisnis dan
sertifikat pengendalian internal.