Anda di halaman 1dari 12

PERBANDINGAN COSO ERM-INTEGRATED FRAMEWORK DAN ISO 31000: 2009

RISK MANAGEMENT PRINCIPLES AND GUIDELINES

Tugas Manajemen Keuangan dan Resiko

Dosen Pengampu : Dr.Erma Setiawati,M.M.

Oleh :

Arif Dwisantoso

(W100170022)

MAGISTER AKUNTANSI

UNIVERSITAS MUHAMMADIYAH SURAKARTA

2018
Latar Belakang

Risiko merupakan adanya berbagai kemungkinan yang terjadi pada periode tertentu. Risiko sering
kali dikaitkan dengan kerugian. Jadi,risiko merupakan ketidakpastian yang mungkin
menyebabkan adanya peluang terjadinya kerugian. Dimanapun wilayahnya,dunia usaha akan
selalu diliputi dengan adanya ketidakpastian yang dipenuhi dengan berbagai risiko yang saling
berkaitan satu dengan yang lainnya. Dalam suatu kegiatan perusahaan/organiasasi tidak hanya
memiliki satu jenis risiko saja, tetapi dapat menyebabkan risiko-risiko lain. Setiap organisasi
perusahaan selalu menanggung risiko. Risiko investasi, kecelakaan kerja, bencana alam,
perampokan, dan pencurian, kebangkrutan hanya beberapa contoh dari risiko yang seringkali
terjadi di dalam perusahaan.

Manajemen risiko menjadi salah satu elemen penting dalam menjalankan bisnis perusahaan
karena semakin berkembangnya dunia perusahaan serta meningkatnya kompleksitas aktivitas
perusahaan mengakibatkan meningkatnya tingkat risiko yang dihadapi perusahaan. Sasaran
utama dari implementasi manajemen risiko adalah melindungi perusahaan terhadap kerugian
yang mungkin timbul. Lembaga perusahaan mengelola risiko dengan menyeimbangkan antara
strategi bisnis dengan pengelolaan risikonya sehingga perusahaan akan mendapatkan hasil
optimal dari operasionalnya.

Tidak dapat dipungkiri bahwa saat ini terdapat dua rujukan besar yang dijadikan kiblat penerapan
manajemen risiko. Kedua rujukan tersebut adalah Committee of Sponsoring Organizations of the
Treadway Commission (COSO) Enterprise Risk Management (ERM) – Integrated Framework
dan The International Organization for Standardization (ISO) 31000: 2009 Risk Management –
Principles and Guidelines. COSO ERM dan ISO 31000: 2009 merupakan rujukan manajemen
risiko yang telah banyak diadopsi oleh perusahaan-perusahaan dari berbagai belahan dunia.
Kedua rujukan tersebut menyediakan panduan penerapan manajemen risiko dengan tujuan
mendukung efektivitas manajemen risiko bagi para penggunanya. Walau disusun dengan tujuan
serupa, kedua standar tersebut memiliki perbedaan dalam berbagai aspek dan komponennya.
COSO ERM – Integrated Framework 2004

Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai proyek untuk
mengembangkan sebuah kerangka kerja manajemen risiko yang dapat digunakan untuk
mengevaluasi dan meningkatkan efektivitas ERM. Kerjasama ini membuahkan hasil pada tahun
2004 dengan dirilisnya COSO ERM – Integrated Framework, yang mendefinisikan manajemen
risiko sebagai:

“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas,
diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk
mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko
selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian
sasaran dari entitas.”

Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk dapat
menentukan terlebih dahulu sasaran perusahaannya, yang terdiri dari empat kategori yaitu:

1. Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.

2. Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.

3. Pelaporan: keterpercayaan dari pelaporan.

4. Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.

Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang saling terkait, yaitu:

1. Lingkungan internal

Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan kelemahannya, serta


pandangan entitas terhadap risiko dan manajemen risiko.

2. Penetapan sasaran

Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan, serta
konsisten dengan risk appetite perusahaan.

3. Identifikasi kejadian

Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran perusahaan
harus diidentifikasi, meliputi risiko dengan kesempatan yang dapat muncul.
4. Penilaian risiko

Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko akan
dijadikan dasar untuk menentukan perlakuan risiko.

5. Perlakuan risiko

Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance), menerima
(acceptance), mengurangi (reduction), dan membagi risiko (sharing). Pemilihan perlakuan
risiko dilakukan dengan membandingkan hasil analisis risiko dengan risk appetite dan risk
tolerance.

6. Aktivitas pengendalian

Membangun dan mengimplementasikan kebijakan dan prosedur untuk memastikan perlakuan


risiko diterapkan dengan efektif.

7. Informasi dan komunikasi

Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan
waktu yang tepat agar personil dapat melakukan tanggung jawabnya dengan baik.

8. Pemantauan
Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.

Gambar 1. Ilustrasi keterkaitan sasaran, komponen ERM, dan unit kerja perusahaan

Sumber: COSO Enterprise Risk Management – Integrated Framework (Executive Summary)


COSO ERM – Integrated Framework juga mendeskripsikan peran dan tanggung jawab dari unit-
unit kerja perusahaan dalam penerapan manajemen risiko. Satu prinsip dasar yang ditanamkan
COSO ERM adalah bahwa “semua bagian di dalam perusahaan memiliki tanggung jawab
terhadap ERM”, yang artinya implementasi manajemen risiko harus mencakup entity-level,
division, business unit, hingga subsidiary, dan mencakup seluruh seluruh sumber daya manusia
di dalamnya. Walau begitu, terdapat pembagian peran dan tanggung jawab dalam penerapan
ERM. Berikut adalah pembagian peran dan tanggung jawab yang dijelaskan COSO ERM:

 Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan


pemantauan terhadap penerapan manajemen risiko, dengan turut memperhitungkan risk
appetite dari entitas;

 Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan berjalannya
ERM yang efektif pada keseluruhan perusahaan;

 Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM


perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan mengelola risiko di
ranah kewenangannya agar konsisten dengan risk tolerance yang dimilikinya;

 Risk officer, financial officer, dan internal audit memiliki peran kunci dalam mendukung
efektivitas penerapan manajemen risiko perusahaan;

 Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam
menerapkan manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan
manajemen risiko perusahaan;

Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan dalam value
chain perusahaan) tidak memiliki tanggung jawab dalam memastikan efektivitas ERM dari
entitas, tetapi pihak-pihak tersebut berperan penting dalam menyediakan informasi yang dapat
mendukung efektivitas manajemen risiko.
ISO 31000: 2009 Risk Management – Principles and Guidelines

ISO 31000: 2009 Risk Management – Principles and Guidelines merupakan sebuah standar
internasional yang disusun dengan tujuan memberikan prinsip dan panduan generik untuk
penerapan manajemen risiko. Standar internasional yang diterbitkan pada 13 November 2009 ini
dapat digunakan oleh segala jenis organisasi dalam menghadapi berbagai risiko yang melekat
pada aktivitas mereka. Walau ISO 31000: 2009 menyediakan panduan generik, standar ini tidak
ditujukan untuk menyeragamkan manajemen risiko lintas organisasi, tetapi ditujukan untuk
memberikan standar pendukung penerapan manajemen risiko dalam usaha memberikan jaminan
terhadap pencapaian sasaran organisasi. ISO 31000: 2009 menyediakan prinsip, kerangka kerja,
dan proses manajemen risiko yang dapat digunakan sebagai arsitektur manajemen risiko dalam
usaha menjamin penerapan manajemen risiko yang efektif.

Gambar 2. Hubungan Antara Prinsip, Kerangka Kerja, dan Proses Manajemen Risiko

Sumber: ISO 31000: 2009 Risk Management – Principles and Guidelines


Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan proses manajemen risiko.
Terdapat sebelas prinsip manajemen risiko yang harus dipegang teguh dan diterapkan saat
membangun kerangka kerja dan melakukan implementasi proses manajemen risiko. Kesebelas
prinsip tersebut adalah

1. Memberikan nilai tambah dan melindungi nilai organsasi;

2. Bagian terpadu dari seluruh proses organisasi;

3. Bagian dari pengambilan keputusan;

4. Secara khusus menangani ketidakpastian;

5. Sistematis, terstruktur, dan tepat waktu;

6. Berdasarkan informasi terbaik yang tersedia;

7. Disesuaikan dengan kebutuhan organisasi;

8. Mempertimbangkan faktor budaya dan manusia;

9. Transparan dan inklusif;

10. Dinamis, berulang, dan responsif terhadap perubahan;

11. Memfasilitasi perbaikan sinambung dan peningkatan organisasi.

Kerangka kerja manajemen risiko merupakan struktur pembangun proses manajemen risiko.
Kerangka kerja dimulai dengan pemberian mandat dan komitmen, lalu dilanjutkan dengan
kerangka implementasi “Plan, Do, Check, Act”, yang terdiri dari:

1. Perencanaan kerangka kerja manajemen risiko;

2. Penerapan manajemen risiko;

3. Monitoring dan review terhadap kerangka kerja manajemen risiko;

4. Perbaikan kerangka kerja manajemen risiko secara berkelanjutan.

Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko, karena
merupakan penerapan daripada prinsip dan kerangka kerja yang telah dibangun. Proses
manajemen risiko terdiri dari 5 proses besar yaitu:
1. Komunikasi dan konsultasi;

2. Penetapan konteks;

3. Penilaian risiko (terdiri dari identifikasi, analisis, dan evaluasi risiko);

4. Perlakuan risiko;

5. Monitoring dan review.

Implementasi secara mendetail dan menyeluruh pada prinsip, kerangka kerja dan proses
manajemen risiko berdasarkan ISO 31000: 2009 tersebut diharapkan dapat meningkatkan
efektivitas manajemen risiko organisasi.

Keunggulan dan Kelemahan dari COSO ERM – Integrated Framework dan ISO 31000:
2009 Risk Management – Principles and Guidelines

Menyadari perbedaan yang ada pada COSO ERM – Integrated Framework dan ISO 31000:
2009 Risk Management – Principles and Guidelines, tentunya terdapat keunggulan dan
kelemahan tersendiri dari kedua standar ini. Berikut adalah tabel yang menggambarkan perbedaan
serta keunggulan dan kelemahan dari kedua standar tersebut.

ISO 31000: 2009 Risk


Perbedaan COSO ERM – Integrated Framework Management– Principles and
Guidelines

“Kemungkinan terjadinya sebuah event “Efek dari ketidakpastian


Definisi risiko yang dapat mempengaruhi pencapaian terhadap pencapaian sasaran
sasaran entitas.” organisasi.”

“Proses yang dipengaruhi oleh Board of


Directors, manajemen, dan personil lain “Aktivitas-aktivitas terkoordinasi
dalam entitas, diaplikasikan pada yang dilakukan dalam rangka
Definisi manajemen pembentukan strategi dan pada seluruh mengelola dan mengontrol sebuah
risiko bagian perusahaan, dirancang untuk organisasi terkait dengan risiko
mengidentifikasi kejadian potensial yang yang dihadapinya.”
dapat mempengaruhi entitas, dan mengelola
risiko selaras dengan risk appetite entitas,
untuk menyediakan jaminan yang wajar
terhadap pencapaian sasaran dari entitas.”

Proses dan kerangka kerja manajemen


Memaparkan kerangka kerja dan
risiko tidak dipaparkan secara terpisah.
proses manajemen risiko secara
Menurut Grant Purdy hal ini dapat
terpisah. ISO 31000: 2009 juga
menimbulkan kebingungan dan
menyediakan prinsip manajemen
inefektivitas terhadap manajemen risiko,
risiko yang harus diterapkan
dimana kerangka kerja seharusnya
Komponen dalam kerangka kerja dan proses
dirancang pada top level management,
manajemen risiko untuk mendukung efektivitas
sedangkan proses manajemen risiko
manajemen risiko. Standar ini
seharusnya diterapkan pada proses-proses
menekankan penerapan
organisasi. Standar ini menekankan pada
manajemen risiko sebagai alat
pengembangan pengendalian internal
penciptaan dan pelindung nilai
sebagai upaya perusahaan dalam mengelola
organisasi.
risiko.

Dimulai dengan membangun


Dimulai dengan menetapkan sasaran
konteks untuk mengidentifikasi
Awal proses perusahaan yang terdiri dari empat kategori
kondisi internal, kondisi eksternal,
manajemen risiko yaitu strategis, operasi, pelaporan, dan
konteks manajemen risiko, dan
pemenuhan.
kriteria risiko.

Identifikasi konteks
Sedikit dilakukan. Dilakukan secara menyeluruh.
eksternal

Terdiri dari 8 komponen, yaitu:


Terdiri dari lima komponen besar,
(1) identifikasi lingkungan internal;
yaitu:
(2) penetapan sasaran manajemen risiko;
(1) komunikasi dan konsultasi;
Komponen proses (3) identifikasi kejadian;
(2) membangun konteks;
manajemen risiko (4) penilaian risiko, perlakuan risiko;
(3) penilaian risiko;
(5) aktivitas pengendalian;
(4) perlakuan risiko; dan
(6) informasi dan komunikasi;
(5)monitoring dan review.
(7) dan pemantauan.

Pengertian inherent Inherent risk diartikan sebagai eksposur Inherent risk diartikan sebagai
risk perusahaan terhadap risiko secara utuh. eksposur perusahaan terhadap
(dampak dari existing control tidak risiko setelah dilakukan
diperhitungkan) pengendalian internal.

Tersedia dan menjadi hal yang


harus diterapkan pada kerangka
Prinsip manajemen kerja dan proses manajemen
Tidak ada.
risiko risiko untuk mendukung
efektivitas penerapan manajemen
risiko.

Memfasilitasi perbaikan
berkelanjutan pada keseluruhan
Perbaikan Perbaikan hanya dilakukan apabila kerangka kerja dan proses
berkelanjutan diperlukan, berdasarkan hasil pemantauan. manajemen risiko, sesuai dengan
kebutuhan organisasi dan
perkembangan konteks.

Informasi mengenai risiko dan


manajemen risiko
dikomunikasikan dan
dikonsultasikan dengan
Informasi hanya dikomunikasikan kepada seluruh stakeholders perusahaan,
pelaku manajemen risiko untuk mendukung baik internal maupun eksternal
Penyaluran
pencapaian sasaran unit-unit tersebut. (sesuai prinsip “transparan dan
Informasi
Keterlibatan stakeholders eksternal tidak inklusif”). Keterlibatan
diungkapkan pada standar ini stakeholders diperlukan untuk
mengidentifikasi kepentingan
seluruh pihak agar menjadi bahan
pertimbangan pengambilan
keputusan.

Memperhitungkan aspek manusia


Aspek manusia disebutkan sebagai batasan dan budaya ke dalam manajemen
Aspek manusia dan dari manajemen risiko dalam memberikan risiko (prinsip
budaya jaminan terhadap pencapaian sasaran “mempertimbangkan faktor
organisasi. budaya dan manusia”). Penerapan
manajemen risiko turut
mempertimbangkan kultur,
persepsi, dan kapabilitas manusia,
termasuk memperhitungkan
perselisihan kepentingan antara
organisasi dengan individu di
dalamnya.

Perbedaan yang melekat pada kedua rujukan ini membawa keunggulan dan kelemahan tersendiri
pada COSO ERM – Integrated Framework dan ISO 31000: 2009 Risk Management – Principles
and Guidelines dari hasil pengamatan penulis, standar ISO 31000: 2009 memiliki keunggulan
esensial dalam memberikan panduan yang lebih mendetail dan komprehensif. Keberadaan prinsip
manajemen risiko, penetapan konteks eksternal, dan pemisahan antara kerangka kerja dengan
proses manajemen risiko menjadi keunggulan kompetitif yang dimiliki oleh ISO 31000: 2009.

Fakta bahwa standar ISO 31000: 2009 telah diakui dan diadaptasi sebagai standar manajemen
risiko di hingga 40 negara juga menunjukkan bahwa ISO 31000: 2009 telah bertahan dari uji
kelayakan oleh berbagai negara. Namun pada akhirnya, dalam memilih standar terbaik untuk
diimplementasikan, keunikan pada kedua standar tersebut perlu dipertimbangkan dan disesuaikan
dengan sasaran, karakteristik, dan regulasi yang berlaku pada organisasi. Dalam penerapannya,
organisasi juga dapat mengadaptasi dan mengkombinasikan komponen-komponen tertentu pada
kedua rujukan tersebut untuk membangun sistem manajemen risiko tersendiri yang efektif bagi
organisasinya.
Referensi :

COSO ERM Executive


Summary (http://www.coso.org/documents/coso_erm_executivesummary.pdf ).

International Organization for Standardization (ISO). “ISO 13000:2009—Risk Management:


Principles and Guidelines.” Geneva,
2009. (http://www.iso.org/iso/home/standards/iso31000.htm).

Kevin W Knight AM “Applying ISO 31000:2009 in Regulatory Work”.

Diane Christina “Asesmen Manajemen Risiko berbasis COSO ERM“.

Diane Christina “Asesmen Manajemen Risiko berbasis ISO 31000:2009“.

Marjan, Mutmainnah, Restu. 2014. RMK ERM. (Online)


(http://dokumen.tips/download/link/rmk-erm-restu-mutmainnah-marjandocx.