Seperti dijelaskan pada artikel Sejarah Lengkap COSO, pada tahun 2004 COSO menerbitkan kerangka kerja tentang manajemen risiko yang disebut dengan Enterprise Risk Management Integrated Framework (biasa disebut COSO ERM 2004). Kerangka kerja tersebut merupakan perluasan dari COSO Internal Control Integrated Framework yang telah lahir lebih dulu meskipun tidak dimaksudkan untuk menggantikannya. COSO ERM lebih menekankan pada aspek risiko sebelum melihat kontrol.
COSO ERM dapat menjadi alternatif pilihan kerangka kerja bagi organisasi untuk menerapkan manajemen risiko selain Standar ISO 31000:2009 yang dijelaskan pada artikel Pilihan Standar Manajemen Risiko di Indonesia. Kerangka COSO layak menjadi acuan karena di-endorse oleh beberapa asosiasi profesi di bidang audit dan akuntansi ternama yang berpusat di Amerika Serikat. Namun untuk menerapkannya, sepertinya kita masih perlu sedikit bersabar karena saat ini kerangka kerja tersebut sedang dalam proses revisi dan akan terjadi perubahan yang signifikan dibanding konsep 2004. Sebagai bocoran, exposure draft perubahan tersebut telah dirilis oleh COSO pada pertengahan Juni 2016 lalu untuk memperoleh tanggapan dari publik. Silakan cek di COSO ERM View Exposure Draft untuk membaca detail draft tersebut. Sebagai gambaran, pada kesempatan kali ini akan dibahas secara umum konsep COSO ERM tahun 2004 beserta konsep perubahan terbaru yang ditawarkan di dalam exposure draft COSO.
COSO ERM 2004
a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives
- suatu proses yang berjalan dan mengalir dalam suatu organisasi;
- dipengaruhi oleh individu pada semua level manajerial;
- dapat digunakan untuk kepentingan formulasi strategi;
- dapat diterapkan pada seluruh level dan unit organisasi termasuk penentuan portofolio risiko;
- dirancang untuk mengidentifikasi peristiwa potensial yang mempengaruhi organisasi dan mengelola risiko selaras dengan selera risiko organisasi;
- mampu memberikan jaminan memadai bagi manajemen dan dewan pengawas (board of directors);
- diarahkan untuk mewujudkan satu atau beberapa kategori tujuan tertentu meskipun saling tumpang tindih.
- Strategis: terkait dengan tujuan level atas yang mendukung dan selaras dengan misi organisasi.
- Operasional: terkait dengan efektivitas dan efisiensi dari penggunaan sumber daya.
- Pelaporan: terkait dengan keandalan dari pelaporan organisasi.
- Kepatuhan: terkait dengan kepatuhan terhadap hukum dan regulasi yang berlaku.
- Lingkungan internal (internal environment): menentukan warna dari suatu organisasi dan memberi dasar bagi cara pandang tiap orang dalam organisasi tersebut terhadap risiko. Unsurnya mencakup filosofi manajemen risiko dan selera risiko, nilai-nilai etika dan integritas, dan lingkungan tempat berjalannya semua itu.
- Penentuan tujuan (objective setting): tujuan organisasi harus ada terlebih dahulu sebelum manajemen dapat mengidentifikasi peristiwa yang berpotensi mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa manajemen menetapkan tujuan dan tujuan tersebut mendukung dan selaras dengan misi organisasi dan konsisten dengan selera risikonya.
- Identifikasi peristiwa (event identification): peristiwa internal dan eksternal yang mempengaruhi pencapaian tujuan organisasi harus diidentifikasi dan dibedakan antara yang berupa risiko dan peluang.
- Penilaian risiko (risk assessment): risiko dianalisis dengan mempertimbangkan kemungkinan (likelihood) dan dampaknya (impact) sebagai dasar untuk menentukan bagaimana cara mengelolanya.
- Respon risiko (risk response): manajemen memilih respon risiko (menghindar, menerima, mengurangi, mengalihkan) dan merancang aksi yang dapat menyesuaikan risiko dengan selera dan toleransi risiko organisasi.
- Kegiatan pengendalian (control activities): kebijakan dan prosedur ditetapkan dan diterapkan untuk membantu memastikan respon risiko berjalan dengan efektif.
- Informasi dan komunikasi (information and communication): informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya. Komunikasi yang efektif juga terjadi secara lebih luas, mengalir secara vertikal (ke atas dan ke bawah) serta horizontal.
- Pemantauan (monitoring): seluruh proses manajemen risiko dipantau dan dimodifikasi apabila dirasa perlu. Pemantauan dilakukan melalui aktivitas manajemen yang melekat/berjalan terus-menerus (ongoing), melalui evaluasi secara khusus/terpisah (separate evaluation), atau dengan keduanya.
- Board of directors bertanggung jawab dalam melakukan supervisi/pemantauan terhadap keseluruhan penerapan manajemen risiko.
- Chief executive officer merupakan pemilik dan penanggung jawab utama keseluruhan manajemen risiko organisasi.
- Manajer lainnya bertanggung jawab dalam mendukung filosofi manajemen risiko organisasi, memastikan kepatuhan terhadap selera risiko, dan mengelola risiko sesuai kewenangannya agar konsisten dengan toleransi risiko.
- Risk officer, financial officer, dan audit internal memiliki peran kunci dalam mendukung efektivitas penerapan manajemen risiko organisasi.
- Personil organisasi lainnya bertanggung jawab dalam menerapkan manajemen risiko organisasi sejalan dengan prosedur dan kebijakan yang ditetapkan.
- Pihak eksternal (seperti pelanggan, vendor, partner, auditor eksternal, regulator, analis keuangan) tidak bertanggung jawab atas efektivitas manajemen risiko organisasi, namun berperan penting dalam menyediakan informasi yang dapat mendukung efektivitas manajemen risiko.
Konsep Perubahan COSO ERM
- Menekankan aspek strategi dan tujuan di dalam definisi risiko. Risiko didefinisikan sebagai "kemungkinan peristiwa akan terjadi dan berpengaruh pada strategi dan tujuan bisnis". Organisasi didorong untuk mempertimbangkan misi utamanya saat memilih strategi risiko serta mempertimbangkan bagaimana pengaruh pendekatan pengelolaan risiko terhadap profil risiko dan hambatan apa yang mungkin dihadapi saat menjalankan pendekatan tersebut.
- Menyederhanakan definisi ERM yaitu menjadi "budaya, kapabilitas, dan praktik yang terintegrasi dengan penentuan dan eksekusi strategi, yang diandalkan oleh organisasi untuk mengelola risiko dalam menciptakan, memelihara, dan mewujudkan nilai."
- Menghilangkan penjelasan eksplisit empat kategori tujuan organisasi yang hendak dicapai melalui ERM yang sebelumnya ada pada kerangka 2004.
- Mengubah komponen ERM yang semula terdiri dari delapan menjadi lima komponen yaitu: (1) tata kelola dan budaya risiko (risk governance and culture); (2) risiko, strategi dan penentuan tujuan (risk, strategy, and objective-setting); (3) risiko dalam pelaksanaan (risk in execution); (4) informasi, komunikasi, dan pelaporan risiko (risk information, communication, and reporting); (5) pemantauan kinerja ERM (monitoring ERM performance).
- Mendorong pengguna untuk memperlakukan ERM sebagai bagian dari proses manajemen organisasi dan bukan sebagai aktivitas yang terpisah atau silo.
- Mengangkat pembahasan tentang strategi dengan fokus pada tiga konsep, yaitu kemungkinan strategi dan tujuan tidak selaras dengan misi, visi, dan nilai-nilai; implikasi dari strategi yang dipilih; dan risiko pelaksanaan strategi tersebut.
- Memperkuat keterkaitan antara kinerja dan ERM dengan fokus pada peran risiko sebagai bagian integral dari penentuan tujuan organisasi.
- Mengkaji peran budaya yang mencakup nilai etika organisasi, perilaku yang harapkan, dan pemahaman tentang risiko. Hubungan antara budaya dan konteks bisnis mempengaruhi pemilihan dan pelaksanaan strategi.
- Menghubungkan secara lebih eksplisit antara ERM dengan pengambilan keputusan. Keputusan mengenai berbagai hal seperti pemilihan strategi, penetapan tujuan dan target kinerja, dan alokasi sumber daya akan memiliki informasi yang lebih kaya jika informasi tentang risiko di-share.
- Memperjelas perbedaan antara selera risiko dan variasi yang dapat diterima dalam kinerja atau sering disebut toleransi risiko. Selera risiko adalah jumlah risiko yang siap diterima organisasi dalam mencapai strategi dan tujuan. Sementara toleransi risiko bukan merupakan versi lebih rinci dari selera risiko melainkan penentuan besaran risiko yang dapat diterima untuk tingkat kinerja tertentu. Risiko dan kinerja tidak dianggap statis dan terpisah tapi selalu berubah dan mempengaruhi satu sama lain.
Referensi:
- COSO (2004). Enterprise Risk Management - Integrated Framework.
- COSO (2016). Enterprise Risk Management - Aligning Risk with Strategy and Performance. Exposure Draft per Juni 2016.
Comments