3. Manajemen Resiko

Pada dasarnya respon terhadap masalah adalah sebelum terjadi, ketika terjadi dan setelah terjadinya masalah. Dalam bisnis modern, organisasi mengelola "masalah" melalui pendekatan "resiko", yaitu segala kemungkinan terjadinya kondisi negatif yang tidak diharapkan. Sebagaimana definisi "masalah", perspektif yang digunakan dalam mendefinisikan "resiko" adalah perspektif pencapaian tujuan. Dengan demikian, setiap kemungkinan terjadinya kondisi yang tidak sesuai dengan tujuan atau target bisnis beserta besaran dampak yang diakibatkannya merupakan "resiko". Dengan kata lain, "resiko" merupakan setiap kemungkinan "akibat" yang dapat ditimbulkan oleh "masalah" dan besaran dampaknya. Dalam International Internal Auditing/IIA glossary, pengertian resiko adalah; "the uncertainty of an event occurring that could have an impact on the achievement of objectives. Risk is measured in terms of consequences and likelihood".

Pendekatan resiko diimplementasikan melalui manajemen resiko, sistem pengendalian internal dan audit. Manajemen resiko merupakan setiap tindakan yang dilakukan oleh organisasi dalam rangka meminimalisir kemungkinan terjadinya kondisi negatif dan berupaya merubahnya menjadi kondisi yang positif. Sederhananya, manajemen resiko adalah upaya untuk merubah ancaman menjadi peluang. Manajemen resiko yang mengintegrasikan setiap resiko yang ada pada unit atau elemen organisasi ke dalam kerangka strategi perusahaan dikenal sebagai enterprise risk management/ERM. Proses manajemen resiko meliputi identifikasi, penilaian, manajemen dan monitoring resiko.

Identifikasi resiko bertujuan untuk mengenali setiap resiko yang dihadapi oleh perusahaan. Penilaian merupakan tahapan untuk mendeskripsikan setiap resiko yang teridentifikasi serta membuat kategori dan prioritas berdasarkan kepentingan, tingkat ancaman, kemungkinan terjadi dan kemampuan dalam mengontrolnya. Manajemen atau respon atau mitigasi resiko mencakup serangkaian tindakan yang dilakukan dalam merespon resiko, seperti mentransfer, mencegah, mengurangi, menyiapkan rencana kontijensi dan menerima resiko beserta konsekuensinya.

4. Pengendalian Internal

Antara manajemen resiko dengan pengendalian internal merupakan dua alat organisasi yang tidak terpisahkan. Sebagaimana dipahami bahwa sistem pengendalian internal merupakan seperangkat kebijakan, prosedur, manusia, alat dan metode yang terlibat dalam upaya memastikan elemen-elemen organisasi bekerja sebagaimana mestinya dalam mencapai tujuan organisasi. Maka, manajemen resiko menggunakan sistem pengendalian internal perusahaan untuk meminimalisir atau mengendalikan setiap resiko, dalam artian mencegah, mendeteksi dan memperbaiki dampak dari resiko yang terjadi. Di sisi lain, kerangka pengendalian seperti committe of sponsoring organizations/COSO control framework, mencakup proses manajemen resiko. Kerangka pengendalian merupakan fondasi bagi sistem pengendalian internal.

Fungsi pencegahan yang terdapat pada pengendalian internal dapat dilakukan dengan mempekerjakan staf yang berkompeten di bidangnya dan memiliki integritas moral yang baik, melakukan pemisahan fungsi dan tugas. Pengendalian akses terhadap sistem informasi dan fasilitas fisik dengan penggunaan password, pengaturan hak akses dan penggunaan ruangan penyimpanan yang terkunci dengan baik. Jika dianalogikan dengan resiko terjadinya kebakaran, maka salah satu upaya pencegahan dapat dilakukan melalui pembatasan penggunaan peralatan elektronik yang melebihi kapasitas daya listrik.
Fungsi deteksi dirancang untuk merespon resiko atau kesalahan yang tidak dapat dicegah dengan fungsi pencegahan atau baru saja terjadi masalah namun belum jelas profil masalahnya. Misalnya, kesalahan melakukan transaksi masih mungkin terjadi meskipun staf telah dilatih dan diberikan instruksi kerja yang memadai. Untuk itu, diperlukan langkah-langkah seperti reviu oleh supervisor, pengecekan dan pengecekan ulang, laporan penyimpangan, inspeksi mendadak dan rekonsiliasi. Dalam hal resiko kebakaran, berfungsinya alarm kebakaran ketika muncul api atau asap merupakan bentuk fungsi deteksi dari sistem pengendalian.

Apabila resiko tidak dapat dicegah sehingga terjadi "masalah" dan akibatnya, maka sistem pengendalian harus memastikan bahwa organisasi dapat menerapkan kebijakan dan prosedur yang tepat untuk mengatasi dan memperbaiki masalah tersebut beserta dampak yang ditimbulkannya. Kebijakan dan prosedur yang dibuat untuk merespon suatu masalah termasuk dalam kategori ini. Misalnya, kebijakan untuk menyediakan, menggunakan serta prosedur penggunaan alat pemadam kebakaran pada saat terjadinya kebakaran.