Comittee of Sponsoring Organizations of the Treadway Commission (COSO) bekerja sama dengan lima organisasi profesi terkemuka di Amerika Serikat yaitu the Institute of Internal Auditors (IIA), the Institute of Management Accountants (IMA), the American Institute of Certified Public Accountants (AICPA), the American Accounting Association (AAA), and Financial Executives International (FEI) menerbitkan suatu framework atau kerangka kerja untuk Enterprise Risk Management (ERM).
Dalam penyusunan framework ini, COSO dibantu oleh PriceWaterHouse Coopers (PwC). Framework ini diberi nama ERM – Integrating with Strategy and Performance. Framework ini merupakan pemutakhiran framework sebelumnya yaitu ERM – integrated Framework yang dipublikasi di tahun 2004.
Pemutakhiran diperlukan untuk menjawab perkembangan ERM baik sebagai suatu sistem, perkembangan risiko bisnis yang cepat dan semakin tak terduga, sementara tuntutan bisnis atau operasional tidak juga berkurang, serta untuk memenuhi aspirasi organisasi yang membutuhkan sistem ERM yang sesuai dengan kekinian.
Pendirian COSO bertujuan untuk memberikan pemikiran konseptual atau kerangka kerja dan pedoman di bidang pengendalian intern, ERM, serta pencegahan dan penjeraan fraud untuk memperbaiki dan meningkatkan kualitas kinerja organisasi dan pengawasannya serta untuk mengurangi risiko fraud di dalam organisasi.
Berbeda dengan COSO ERM – integrated Framework, COSO ERM – Integrating with Strategy and Performance sudah memiliki ciri khas dibandingkan COSO ERM – integrated Framework dan COSO – Internal Control integrated Framework. Banyak sejawat saya membandingkan dan melombakan mana yang terbaik antara COSO ERM – integrated Framework dengan COSO – Internal Control integrated Framework.
Mereka hanya melihat jumlah lapisan (dikenal sebagai komponen) pengendalian dan tujuan/sasaran pencapaian pengendalian yang lebih banyak terdapat di COSO ERM – integrated Framework dari pada COSO – Internal Control integrated Framework.
Perbedaan utama COSO ERM terbaru ini memang fokus kepada bagaimana mengaliansikan dan mengikutsertakan sistem manajemen risiko enterprise ke dalam bisnis dan operasional dimulai dari saat perencaanaan strategi bisnis atau strategi organisasi dan menjadikan ERM atau sistem manajemen risiko enterprise berfungsi efektif di seluruh lapisan atau jajaran organisasi. Konsep ini kelihatan sederhana, namun kenyataannya tidak mudah apabila semua lini three lines of defense (3LoD) merancang dan menerapkannya serta melakukan assurance terhadap ERM.
Menurut pengalaman saya, pernyataan COSO ERM terbaru ini sangat benar karena bisa jadi organisasi merumuskan perencanaan strategi bisnis enterprise dengan sangat baik dengan atau tanpa konsultan ahli. Namun, organisasi tidak secara bersama-sama perencanaan startegi bisnis tersebut merancang strategi pengelolaan risikonya secara enterprise juga.
Kalaupun ada hanya berupa pembuatan risiko seperti biasanya yaitu risiko operasional yang terkotak-kotak pada masing-masing unit kerja. Aktivitas audit intern dapat membantu perancangan dan implementasi ERM yang melekat pada perencanaan strategi bisnis enteprise melalui akivitas consulting-nya maupun assurance-nya.
Justru aktivitas ini memberikan nilai tambah luar biasa bagi outcome audit intern ketimbang audit rutin klasik yang banyak menekankan kepada kepatuhan dan control-centric. Audit intern akan banyak melihat ruang-ruang perbaikan tata kelola, manajemen risiko, dan kontrol itu sendiri apabila berangkat dari ERM dan strategi organisasi secara organization-wide.
Pada industri perbankan, upaya berpikir preventif ini sudah ada dengan adanya kewajiban analisis risiko atas produk dan aktivitas baru oleh masing-masing bank. Namun menurut hemat saya, kehadiran COSO ERM yang baru ini dapat me-leverage pembenahan pola pikir semua lapisan dan jajaran organisasi termasuk audit intern dan khususnya dewan komisaris dan manajemen untuk melihat secara komprehensif dan terintegrasi apakah ERM-nya menyertai perancangan strategi dan eksekusi strategi organisasi.
Berbeda dengan COSO ERM – inetgrated framework, COSO ERM baru ini menghadirkan lima komponen yang sangat fundamental untuk dipenuhi oleh setiap organisasi yang ingin mengelola risiko, strategi, dan hasil kinerjanya. Lima komponen tersebut adalah
a. Tata kelola dan budaya organisasi yang pantas yang dapat menopang implementasi strategi organisasi dan upaya pencapaian kinerjanya. Apakah organisasi Anda sudah efektif memiliki dan menfungsikan standar nilai dan perilaku yang sesuai dengan visi dan misi organisasi? Apakah struktur dan outcome tata kelola organisasi Anda sudah memadai, contoh bagaimana fungsi pengawasan organisasi sejak dari dewan komisaris sampai dengan organ-organ assurance internal? Komponen pertama ini adalah fondasi bagi komponan lainnya;
b. Perumusan dan penetapan strategi dan tujuan organisasi yang harus mengaliansikan ERM dengan strategi dan tujuan bisnis organisasi dalam proses perencanaan stratejik. Komponen kedua ini menjadi dinding-dinding yang akan menopang COSO ERM;
c. Kinerja yang terlebih dahulu mempertimbangkan risiko sebelum eksekusi strategi bisnis. Ini artinya harus ada kajian risiko (identifikasi, penilaian, dan pengelolaan risiko) agar tujuan bisnis dan kinerja yang ingin dicapai dapat lebih diyakini hasilnya. Pengelolaan risiko yang terkait dengan strategi dan kinerja ini harus bersifat menyeluruh (organization wide) dan dengan portofolio risiko serta risk appetite yang tepat;
d. Penelaahan dan revisi terhadap ERM untuk meyakinkan apakah ERM telah teraliansi dan mampu memberikan nilai dalam siklus perencanaan sampai dengan pencapaian strategi dan tujuan organisasi. Komponen ini menjadi control loop dan penjaminan mutu atas sistem ERM yang dirancang dan diimplementasikan;
e. Informasi dan komunikasi serta pelaporan yang efektif ke semua lapisan dan jajaran organisasi sesuai dengan tingkatan informasi yang dibutuhkan masing-masing secara cepat, lengkap, dan tepat. Meskipun kelihatan hanya berupa penyebaran informasi, namun apakah organisasi sudah yakin penyebaran komunikasi dan feed back-nya dapat mengalir dengan mudah dan cepat? Apakah semua personel dapat memahami dan mengingat dengan utuh apa yang menjadi pesan komunikasi? Untuk organisasi yang besar dan luas operasionalnya, hal ini belum tentu terjadi. Komponen ini adalah atap penutup yang memastikan bahwa semua komponen di atas telah merembes dan mengalir di dalam rumah/organisasi.
Selain lima komponen ERM di atas, COSO merumuskan 20 prinsip yang dapat menjadi dasar pengembangan standar ERM dan pengukuran kualitas ERM di masing-masing organisasi. Prinsip-prinsip tersebut wajib dibangun dan berfungsi agar diperoleh ERM yang dapat diandalkan. Di lain edisi, saya akan menguraikan kedua puluh prinsip tersebut.
Penulis: Diaz Priantara, Ak, BKP, CA, CPA, CICA, CCSA, CRMA, CFSA, CIA, CFE
Tulisan ini sudah dimuat sebelumnya di Warta Ekonomi (https://www.wartaekonomi.co.id/read155153/mengenal-kerangka-kerja-enterprise-risk-management-ala-coso.html) pada Rabu, 20 September 2017.