Alasan pentingnya pengawasan dan pengendalian :
1. Manajemen perlu memastikan bahwa pelaksanaan pengelolaan risiko berjalan sesuai rencana, ini berarti pengawasan dan pengendalian prosedur yang digunakan.
2. Manajemen perlu memastikan bahwa model pengelolaan risiko cukup efektif, artinya model yang diterapkan sesuai dengan dan mencapai tujuan pengelolaan risiko.
3. Risiko itu berkembang, pengawasan dan pengendalian bertujuan utuk memantau perkembangan terhadap kecenderungan-kecenderungan yang dapat meningkatkan risiko.
Perubahan ini berdampak pada pergeseran peta risiko yang otomatis pada perubahan prioritas risiko. Praktik pengalaman dan terjadinya kerugian akan membutuhkan suatu perubahan dalam rencana dan keputusan mengenai
penanganan suatu risiko. Sangatlah penting untuk selalu memonitor proses dari awal mulai dari identifikasi risiko dan pengukuran risiko untuk mengetahui keefektifan respon yang telah dipilih dan untuk mengidentifikasi apakah adanya risiko yang baru, sehingga ketika suatu risiko terjadi maka respon yang dipilih akan sesuai dan diimplementasikan secara efektif, selain pengawasan perlu juga melaksanakan pengendalian risiko berbasis pihak berkepentingan.
Para pemimpin organisasi dituntut untuk menaruh perhatian serius dalam hal ini karena pengendalian seringkali menjadi titik terlemah dalam praktik pengelolaan risiko. Pengendalian yang berjalan dengan baik, ditunjang oleh proses pembelajaran membuat manajemen risiko terintegrasi sebagai proses dengan penyempurnaan yang terus menerus. Hasilnya adalah peningkatan kinerja organisasi secara signifikan.
Pengendalian juga harus fokus pada pihak berkepentingan, pada hakikatnya, perusahaan ada dan berkelanjutan karena kemampuan memenuhi tuntutan pihak berkepentingan secara proporsional. Ketimpangan dalam memenuhi tuntutan tersebut berdampak pada tidak seimbangnya kinerja perusahaan, akibatnya perusahaan dapat goncang karena tuntutan salah satu pihak dari yang berkepentingan tersebut. Manajemen harus mengidentifikasikan seberapa penting tuntutan setiap pihak.
2.4.11 Latar Belakang dan Konsep Dikeluarkan COSO Enterprise Risk Management Framework tahun 2003
Kegiatan pekerjaan termasuk kegiatan usaha pasti mempunyai risiko.
Proses pengidentifikasian, analisis dan pengambilan langkah-langkah untuk mengelola risiko sudah banyak dan seringkali didiskusikan, namun tidak ada definisi dan kerangka kerja yang baku yang menggambarkan bagaimana proses tersebut bekerja, membuat pengkomunikasian atas risiko di antara jajaran manajemen menjadi sulit. Pada tahun 2003, COSO mulai memperkenalkan apa yang menjadi konsep baru yaitu Enterprise Risk Management (ERM) yang menjadi kerangka kerja (framework) dari manajemen risiko.
ERM merupakan hal yang fundamental bagi sebuah perusahaan dalam pendekatanya terhadap area risiko yang luas, antara lain fluktuasi mata uang, isu mengenai SDM, termasuk corporate governance issue sehubungan dengan SARBOX. ERM adalah suatu proses untuk membuka, mengidentifikasi dan mengevaluasi risiko-risiko tersebut, baik area risiko individu maupun konteks yang lebih luas atas risiko-risiko berbeda yang saling berhubungan yang mempengaruhi perusahaan.
Definisi ERM yang dikeluarkan oleh COSO dalam Amin W (2009;56) : Enterprise risk management is a process, effected by an entity s board of directors, management, and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives . The elements of ERM are contained in the definition ERM :
1. Is a process,
2. Is put into place by people,
3. Is applied in a strategy setting, not just as a defensive posture, 4. Is applied across the organization,
5. Assumes the organization has discussed the concept of risk appetite and has formulized a concept of risk appetite,
6. Provides reasonable assurance about the achievement of entity objectives .
ERM COSO menekankan pentingnya mengelola risiko sesuai selera terhadap risiko (risk appetite) dari perusahaan. Risk appetite diartikan sebagai besarnya risiko yang dapat diterima perusahaan. COSO ERM framework membagi tujuan (objectives) manajemen risiko perusahaan ke dalam empat kategori:
1. Strategic ERM Objectives. ERM mempunyai strategis yang merupakan high level goals yang mendukung misi perusahaan secara keseluruhan.
2. Operational ERM Objectives. ERM mempunyai tujuan operasional dalam arti memfokuskan pengelolaan risiko atas penggunaan sumber daya perusahaan sumber daya perusahaan yang efektif dan efesien. Ada banyak cara perusahaan menjalankan operasional sehari-hari, bisa dengan konservatif maupun dengan risiko yang tinggi.
3. ERM Reporting Objectives. ERM mempunyai tujuan pelaporan terutama mencakup kehandalan pelaporan, baik untuk pihak internal maupun eksternal, dengan adanya berbagai ancaman hukuman atas kecurangan pelaporan sejak berlakunya SARBOX, perusahaan harus mengendalikan risiko untuk tujuan pelaporan dengan lebih hati-hati.
4. ERM Compliance Objectives. ERM mempunyai tujuan agar perusahaan dapat memenuhi ketentuan atas kepatuhan terhadap hukum dan peraturan.
COSO ERM juga mengusulkan bahwa risk appetite secara eksplisit dikomunikasikan ke seluruh perusahaan, tujuannya adalah untuk menyesuaikan tingkat risiko yang dapat diterima tersebut pada seluruh manajer, kepala unit dan staf, termasuk stakeholders, sebagai bagian dari identifikasi dan pengendalian atas risiko yang potensial, perusahaan harus mencoba untuk menguantifikasi besarnya dan pengaruh potensial yang timbul dari risiko.
2.4.12 Proses ERM Model COSO
Pemahaman risk management memungkinkan manajemen untuk terlibat secara efektif dalam menghadapi uncertainly dengan risiko dan peluang yang berhubungan dan meningkatkan kemampuan organisasi untuk memeberikan nilai tambah. Menurut COSO, proses manajemen risiko dapat dibagi ke dalam 8 komponen (8 tahap).
Elemen-elemen ERM menurut COSO adalah sebagi berikut:
Enterprise risk Management consist of eight interrelated components, which complement the way managementruns the enterprise and are integrated with other management processses. The componenets are linked and serve as criteria for determining whether Enterprise Risk Management is effective .
1.Internal Environment (Lingkungan Internal)
Komponen ini mencerminkan selera perusahaan terhadap risiko yang dapat memberikan gambaran risiko dan pengendalian yang harus diketahui oleh seluruh jajaran dalam perusahaan. Manajemen bertanggung jawab dalam menetapkan sikap terhadap risiko kepada seluruh jajaran dalam perusahaan sebagai guidelines. Cakupannya adalah risk-management philosophy (kultur
manajemen tentang risiko), ethical values (nilai moral), struktur organisasi, dan pendelegasian wewenang.
Kepemimpinan berperan sebagai penggerakan yang memberikan arah dan pedoman bagi seluruh anggota organisasi. Komitmen dari pemimpin (leadership commitment) sangat menentukan dalam sukses tidaknya pengelolaan risiko, selain itu dibutuhkan risk management culture yang kuat sebagai pengikat bagi seluruh anggota organiasi agar dapat menyatu, seiring sejalan mencapai tujuan, dalam implementasinya, penerimaan dari anggota organisasi saja tidaklah cukup, lebih dari itu dibutuhkan keterlibatan mendalam (deep employee involvement) dari setiap anggota organisasi, selain itu integrasi antara perencanaan dan implementasi juga sangat vital.