Tuesday, July 12, 2016

Manajemen Risiko Ala COSO - Dulu dan Nanti

Seperti dijelaskan pada artikel Sejarah Lengkap COSO, pada tahun 2004 COSO menerbitkan kerangka kerja tentang manajemen risiko yang disebut dengan Enterprise Risk Management Integrated Framework (biasa disebut COSO ERM 2004). Kerangka kerja tersebut merupakan perluasan dari COSO Internal Control Integrated Framework yang telah lahir lebih dulu meskipun tidak dimaksudkan untuk menggantikannya. COSO ERM lebih menekankan pada aspek risiko sebelum melihat kontrol. 

COSO ERM dapat menjadi alternatif pilihan kerangka kerja bagi organisasi untuk menerapkan manajemen risiko selain Standar ISO 31000:2009 yang dijelaskan pada artikel Pilihan Standar Manajemen Risiko di Indonesia. Kerangka COSO layak menjadi acuan karena di-endorse oleh beberapa asosiasi profesi di bidang audit dan akuntansi ternama yang berpusat di Amerika Serikat. Namun untuk menerapkannya, sepertinya kita masih perlu sedikit bersabar karena saat ini kerangka kerja tersebut sedang dalam proses revisi dan akan terjadi perubahan yang signifikan dibanding konsep 2004. Sebagai bocoran, exposure draft perubahan tersebut telah dirilis oleh COSO pada pertengahan Juni 2016 lalu untuk memperoleh tanggapan dari publik. Silakan cek di COSO ERM View Exposure Draft untuk membaca detail draft tersebut. Sebagai gambaran, pada kesempatan kali ini akan dibahas secara umum konsep COSO ERM tahun 2004 beserta konsep perubahan terbaru yang ditawarkan di dalam exposure draft COSO.

COSO ERM
Sumber: COSO

COSO ERM 2004

Risiko menurut COSO ERM 2004 adalah "kemungkinan terjadinya sebuah peristiwa yang dapat mempengaruhi pencapaian tujuan organisasi". Adapun manajemen risiko didefinisikan sebagai:
a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives
Konsep fundamental manajemen risiko yang dibangun oleh COSO sesuai dengan definisi tersebut adalah bahwa manajemen risiko organisasi merupakan:
  • suatu proses yang berjalan dan mengalir dalam suatu organisasi; 
  • dipengaruhi oleh individu pada semua level manajerial; 
  • dapat digunakan untuk kepentingan formulasi strategi; 
  • dapat diterapkan pada seluruh level dan unit organisasi termasuk penentuan portofolio risiko; 
  • dirancang untuk mengidentifikasi peristiwa potensial yang mempengaruhi organisasi dan mengelola risiko selaras dengan selera risiko organisasi; 
  • mampu memberikan jaminan memadai bagi manajemen dan dewan pengawas (board of directors); 
  • diarahkan untuk mewujudkan satu atau beberapa kategori tujuan tertentu meskipun saling tumpang tindih.
COSO ERM 2004 digambarkan dalam bentuk kubus tiga dimensi. Sisi atas merupakan tujuan organisasi, sisi muka merupakan komponen ERM untuk mencapai tujuan tersebut dan sisi samping menunjukkan lingkup penerapan ERM di dalam organisasi. Tujuan suatu organisasi menurut COSO ERM 2004 dapat dikelompokkan menjadi empat kategori yaitu:
  • Strategis: terkait dengan tujuan level atas yang mendukung dan selaras dengan misi organisasi. 
  • Operasional: terkait dengan efektivitas dan efisiensi dari penggunaan sumber daya. 
  • Pelaporan: terkait dengan keandalan dari pelaporan organisasi. 
  • Kepatuhan: terkait dengan kepatuhan terhadap hukum dan regulasi yang berlaku. 
Pengelompokan tujuan tersebut memungkinkan organisasi untuk merancang fokus manajemen risiko pada aspek-aspek tertentu.

Selanjutnya COSO ERM 2004 menjabarkan delapan komponen manajemen risiko yang saling terkait dan diperlukan organisasi untuk mencapai tujuan baik berupa tujuan strategis, operasional, pelaporan maupun kepatuhan. Kedelapan komponen ini diturunkan dari bagaimana manajemen menjalankan organisasi dan diintegrasikan dengan proses manajemen. Komponen-komponen tersebut adalah:
  1. Lingkungan internal (internal environment): menentukan warna dari suatu organisasi dan memberi dasar bagi cara pandang tiap orang dalam organisasi tersebut terhadap risiko. Unsurnya mencakup filosofi manajemen risiko dan selera risiko, nilai-nilai etika dan integritas, dan lingkungan tempat berjalannya semua itu. 
  2. Penentuan tujuan (objective setting): tujuan organisasi harus ada terlebih dahulu sebelum manajemen dapat mengidentifikasi peristiwa yang berpotensi mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa manajemen menetapkan tujuan dan tujuan tersebut mendukung dan selaras dengan misi organisasi dan konsisten dengan selera risikonya.
  3. Identifikasi peristiwa (event identification): peristiwa internal dan eksternal yang mempengaruhi pencapaian tujuan organisasi harus diidentifikasi dan dibedakan antara yang berupa risiko dan peluang.
  4. Penilaian risiko (risk assessment): risiko dianalisis dengan mempertimbangkan kemungkinan (likelihood) dan dampaknya (impact) sebagai dasar untuk menentukan bagaimana cara mengelolanya.
  5. Respon risiko (risk response): manajemen memilih respon risiko (menghindar, menerima, mengurangi, mengalihkan) dan merancang aksi yang dapat menyesuaikan risiko dengan selera dan toleransi risiko organisasi.
  6. Kegiatan pengendalian (control activities): kebijakan dan prosedur ditetapkan dan diterapkan untuk membantu memastikan respon risiko berjalan dengan efektif.
  7. Informasi dan komunikasi (information and communication): informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya. Komunikasi yang efektif juga terjadi secara lebih luas, mengalir secara vertikal (ke atas dan ke bawah) serta horizontal.
  8. Pemantauan (monitoring): seluruh proses manajemen risiko dipantau dan dimodifikasi apabila dirasa perlu. Pemantauan dilakukan melalui aktivitas manajemen yang melekat/berjalan terus-menerus (ongoing), melalui evaluasi secara khusus/terpisah (separate evaluation), atau dengan keduanya.
COSO ERM 2004 juga mendeskripsikan peran dan tanggung jawab para pihak dalam suatu organisasi terkait penerapan manajemen risiko. Prinsip dasarnya adalah seluruh bagian organisasi bertanggung jawab terhadap ERM. Artinya, penerapan manajemen risiko harus mencakup seluruh level mulai dari entitas, divisi, unit bisnis, hingga cabang, dan mencakup seluruh sumber daya manusia di dalamnya. Adapun pembagian peran dan tanggung jawab masing-masing pihak adalah sebagai berikut: 
  • Board of directors bertanggung jawab dalam melakukan supervisi/pemantauan terhadap keseluruhan penerapan manajemen risiko.
  • Chief executive officer merupakan pemilik dan penanggung jawab utama keseluruhan manajemen risiko organisasi.
  • Manajer lainnya bertanggung jawab dalam mendukung filosofi manajemen risiko organisasi, memastikan kepatuhan terhadap selera risiko, dan mengelola risiko sesuai kewenangannya agar konsisten dengan toleransi risiko.
  • Risk officer, financial officer, dan audit internal memiliki peran kunci dalam mendukung efektivitas penerapan manajemen risiko organisasi.
  • Personil organisasi lainnya bertanggung jawab dalam menerapkan manajemen risiko organisasi sejalan dengan prosedur dan kebijakan yang ditetapkan.
  • Pihak eksternal (seperti pelanggan, vendor, partner, auditor eksternal, regulator, analis keuangan) tidak bertanggung jawab atas efektivitas manajemen risiko organisasi, namun berperan penting dalam menyediakan informasi yang dapat mendukung efektivitas manajemen risiko.

Konsep Perubahan COSO ERM

COSO telah merilis exposure draft perubahan kerangka kerja manajemen risiko pada pertengahan Juni 2016.  Menurut news release yang dikeluarkan COSO, perubahan kerangka kerja dirancang untuk memenuhi kebutuhan semua organisasi di dalam memperbaiki pendekatan pengelolaan terhadap risiko baru maupun yang sudah ada agar dapat membantu menciptakan, memelihara, mempertahankan dan mewujudkan nilai bagi organisasi. Perubahan yang paling mudah dilihat adalah perubahan nama kerangka kerja, yaitu menjadi “Enterprise Risk Management - Aligning Risk with Strategy and Performance”. Perubahan tersebut merefleksikan pentingnya kaitan antara strategi dan kinerja, menawarkan perspektif konsep dan aplikasi manajemen risiko yang saat ini ada dan berkembang, serta memperbarui definisi inti dari risiko dan manajemen risiko organisasi. Salah satu penyempurnaan yang paling signifikan adalah pengenalan komponen dan prinsip-prinsip pendukung yang mencerminkan evolusi pemikiran dan praktik manajemen risiko.

Penjelasan lebih rinci mengenai pokok-pokok usulan penyempurnaan tersebut di antaranya adalah:
  • Menekankan aspek strategi dan tujuan di dalam definisi risiko. Risiko didefinisikan sebagai "kemungkinan peristiwa akan terjadi dan berpengaruh pada strategi dan tujuan bisnis". Organisasi didorong untuk mempertimbangkan misi utamanya saat memilih strategi risiko serta mempertimbangkan bagaimana pengaruh pendekatan pengelolaan risiko terhadap profil risiko dan hambatan apa yang mungkin dihadapi saat menjalankan pendekatan tersebut. 
  • Menyederhanakan definisi ERM yaitu menjadi "budaya, kapabilitas, dan praktik yang terintegrasi dengan penentuan dan eksekusi strategi, yang diandalkan oleh organisasi untuk mengelola risiko dalam menciptakan, memelihara, dan mewujudkan nilai."
  • Menghilangkan penjelasan eksplisit empat kategori tujuan organisasi yang hendak dicapai melalui ERM yang sebelumnya ada pada kerangka 2004.
  • Mengubah komponen ERM yang semula terdiri dari delapan menjadi lima komponen yaitu: (1) tata kelola dan budaya risiko (risk governance and culture); (2) risiko, strategi dan penentuan tujuan (risk, strategy, and objective-setting); (3) risiko dalam pelaksanaan (risk in execution); (4) informasi, komunikasi, dan pelaporan risiko (risk information, communication, and reporting); (5) pemantauan kinerja ERM (monitoring ERM performance).
  • Mendorong pengguna untuk memperlakukan ERM sebagai bagian dari proses manajemen organisasi dan bukan sebagai aktivitas yang terpisah atau silo.
  • Mengangkat pembahasan tentang strategi dengan fokus pada tiga konsep, yaitu kemungkinan strategi dan tujuan tidak selaras dengan misi, visi, dan nilai-nilai; implikasi dari strategi yang dipilih; dan risiko pelaksanaan strategi tersebut.
  • Memperkuat keterkaitan antara kinerja dan ERM dengan fokus pada peran risiko sebagai bagian integral dari penentuan tujuan organisasi.
  • Mengkaji peran budaya yang mencakup nilai etika organisasi, perilaku yang harapkan, dan pemahaman tentang risiko. Hubungan antara budaya dan konteks bisnis mempengaruhi pemilihan dan pelaksanaan strategi.
  • Menghubungkan secara lebih eksplisit antara ERM dengan pengambilan keputusan. Keputusan mengenai berbagai hal seperti pemilihan strategi, penetapan tujuan dan target kinerja, dan alokasi sumber daya akan memiliki informasi yang lebih kaya jika informasi tentang risiko di-share.
  • Memperjelas perbedaan antara selera risiko dan variasi yang dapat diterima dalam kinerja atau sering disebut toleransi risiko. Selera risiko adalah jumlah risiko yang siap diterima organisasi dalam mencapai strategi dan tujuan. Sementara toleransi risiko bukan merupakan versi lebih rinci dari selera risiko melainkan penentuan besaran risiko yang dapat diterima untuk tingkat kinerja tertentu. Risiko dan kinerja tidak dianggap statis dan terpisah tapi selalu berubah dan mempengaruhi satu sama lain.
Permintaan tanggapan kepada publik atas draft kerangka kerja ini ditutup pada akhir September 2016. Kita nantikan saja bagaimana versi finalnya.

Referensi:
  • COSO (2004). Enterprise Risk Management - Integrated Framework.
  • COSO (2016). Enterprise Risk Management - Aligning Risk with Strategy and Performance. Exposure Draft per Juni 2016.

Penikmat kedamaian, kenyamanan, dan kemapanan. Juga pemerhati praktik governance, risk, control, audit, akuntansi, dan manajemen sektor publik.

Google
Disqus
Pilih Sistem Komentar

No comments

Silakan berkomentar melalui kolom berikut ini.