Didalam Enterprise Risk Management versi COSO terdiri dari delapan
macam komponen yang saling terkait. Kedelapan komponen ini diturunkan dari
bagaimana manajemen menjalankan perusahaan dan diintegritasikan dengan
poses manajemen. Menurut (Moeller,2009) dalam (Sirait & Susanty, 2016)
Kedelapan komponen tersebut diantaranya :
- Lingkungan Internal (Internal Environment), sangat menentukan warna
dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap
risiko dari setiap orang dalam organisasi tersebut. Lingkungan internal ini
termasuk filosofi manajemen risiko dan risk appetite, nilai – nilai etika dan
integritas, dan lingkungan dimana kesemuanya tersebut berjalan. - Penentuan Tujuan (Objektive Setting), manajemen risiko menetapkan
objective (tujuan – tujuan) dari organisasi agar dapat menggidentifikasi,
mengakses, dan mengelola risiko. Objective dapat diklasifikasikan
menjadi strategic objective dan activity objective. Strategic objective di
perusahaan berhubungan dengan pencapaian dan peningkatan kinerja
instansi dalam jangka menengah dan panjang, dan merupakan penerapan
dari visi dan misi instansi tersebut. - Identifikasi Kejadian (Event Identification), dimana komponen ini
mengidentifikasi kejadian – kejadian potensial baik yang terjadi di
lingkungan internal maupun eksternal organisasi yang mempengaruhi
strategi atau pencapaian tujuan dari organisasi. - Penilaian Risiko (Risk Assesment), dimana komponen ini menilai sejauh
mana dampak dari kejadian dapat mengganggu pencapaian dari tujuan.
Risiko dianalisis dengan memperhitungkan (likelihood) dan dampaknya
(impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko
tersebut dikelola. - Respon Risiko (Risk Response) sebuah organisasi harus dapat menentukan
sikap atas hasil penilaian risiko. Manajemen memilih respon, menghindar
(avoiding), menerima risiko yang berdampak kecil dan jarang terjadi
(accepting), mengurangi (reducting), atau mengalihkan atau menanggung
bersama risiko atau sebagian dari risiko ke pihak lain (sharing risk) dan
mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan
toleransi (risk tolerance). Jenis respon risiko juga dapat dilakukan
berdasarkan hasil risk scoring dengan batasan yang sudah ditentukan. - Kegiatan Pengendalian (Control Activities) merupakan kebijakan dan
prosedur yang diterapkan dan di implementasikan untuk membantu
memastikan respon risiko berjalan dengan efektif. - Informasi dan Komunikasi (Information and Communication) merupakan
informasi yang relevan diidentifikasi, ditangkap dan dikomunikasikan
dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan
tanggung jawabnya. Arah komunikasi dapat bersifar internal maupun
eksternal. - Pengawasan (Monitoring) merupakan keseluruhan proses Enterprise Risk
Management di monitoring dan di modifikasi apabila perlu. Pada proes
monitoring perlu dicermati adanya kendala seperti pelaporan yang tidak
lengkap atau bahkan berlebihan