LN 06
LN 06
Week 6
1. Peserta diharapkan mampu menjelaskan konsep dasar Risiko, Tata Kelola, dan Pengendalian
Internal
OUTLINE MATERI :
“Standar” utama COSO, Pengendalian Internal - Kerangka Kerja Terpadu, dirilis pada
tahun 1992 dan menyediakan kerangka kerja yang komprehensif untuk membantu
organisasi menilai dan meningkatkan sistem pengendalian internal mereka. Hal tersebut
kemudian menjadi sangat populer; dalam jajak pendapat tahun 2006, disebutkan 82%
responden menyatakan bahwa mereka menggunakan standar tersebut untuk panduan
aktivitas pengendalian internal dan kepatuhan di organisasi mereka.
Dalam standar awal, ERM terdiri dari empat kategori - Strategis, Operasi, Pelaporan, dan
Kepatuhan - dua diantaranya terkait langsung dengan tata kelola perusahaan.
Seperti yang dijelaskan dalam ringkasan standar 2004 dari NC State ini, standar ERM
hampir seperti versi standar pengendalian internal yang diperluas yang melampaui
laporan keuangan untuk menyertakan laporan di seluruh perusahaan.
Meskipun standar asli memasukkan tujuan strategis sebagai kategori, alasan untuk
memasukkannya adalah untuk memastikan strategi organisasi "selaras dengan operasi,
pelaporan, dan aktivitas kepatuhan".
Pada akhirnya, kerangka COSO ERM tahun 2004 lebih berfokus pada apa yang dapat
diaudit daripada mengidentifikasi ancaman dan peluang, di situlah letak nilai riil dalam
ERM. Standar tersebut cocok untuk organisasi di mana resiko didorong oleh audit.
Dalam umpan baliknya, banyak praktisi menjelaskan bahwa kerangka COSO ERM yang
asli semata-mata berkaitan dengan pengendalian internal.
Untuk mengatasi hal ini dan masalah lainnya, COSO, dalam kemitraan dengan PwC,
merilis standar yang diperbarui pada tahun 2017 dengan judul Manajemen Resiko
Perusahaan - Berintegrasi dengan Strategi dan Kinerja.
Dalam ringkasannya, PwC membahas perbedaan yang signifikan antara standar 2004 dan
2017. Misalnya, strukturnya jauh berbeda. Apabila sebelumnya menggunakan kubus
untuk menggambarkan hubungan antara empat kategori dan delapan komponen dari
proses manajemen resiko, standar baru menggunakan diagram tipe pita yang sekarang
menjalin lima kategori di seluruh siklus hidup organisasi (lihat di bawah). Standar
tersebut menjelaskan bahwa tiga pita dalam diagram ada untuk mewakili proses umum
5. Pemantauan (monitoring).
Sistem pengendalian internal harus dipantau secara berkala. Apabila terjadi
kekurangan yang signifikan, harus segera dilaporkan kepada manajemen puncak
dan ke dewan komisaris.
Dalam menjalankan usahanya, perusahaan selalu menghadapi resiko. Contoh resiko yang
dihadapi perusahaan seperti perusahaan dapat melanggar salah satu peraturan yang
berlaku, tata kelola yang ditetapkan oleh perusahaan tidak mencapai hasil yang
Dengan adanya resiko tersebut maka diperlukan manajemen resiko dalam menjalankan
usahanya; dalam akronim GRC, G adalah singkatan dari Governance. Tata kelola berarti
mengelola bisnis, memastikan bahwa kinerja perusahaan sesuai dengan peraturan
perusahaan dan keputusan Direksi. Governance juga berarti apa yang harus dilakukan
perusahaan (sesuai dengan ekspektasi stakeholder) agar setiap karyawan mengetahui arah
operasional perusahaan.
Sedangkan R adalah singkatan dari Risk. Semua yang dilakukan perusahaan beresiko.
Resiko adalah cara perusahaan melindungi nilai aset yang ada dan menciptakan nilai
dengan mengembangkan perusahaan secara strategis atau menambahkan produk /
layanan baru. C adalah singkatan dari Compliance. Kepatuhan didefinisikan sebagai
kepatuhan terhadap hukum dan peraturan yang berkaitan dengan bisnis dan masyarakat.
Seringkali, C didefinisikan sebagai kontrol kepatuhan. Pengendalian kepatuhan berarti
pengendalian kegiatan untuk memastikan bahwa perusahaan mematuhi hukum dan
peraturan yang berlaku. Contoh: memantau emisi pabrik atau memastikan kertas impor
dan ekspor terstruktur dengan baik, menciptakan kontrol akuntansi internal yang efektif
dan menerapkan peraturan seperti Sarbanes-Oxley secara efektif. GRC tidak hanya
berarti apa yang harus dilakukan untuk menjaga bisnis, tetapi sebuah paradigma untuk
membantu perusahaan berkembang ke arah yang lebih baik.
Banyak perusahaan tidak menganggap GRC sebagai prinsip tunggal. Perusahaan sering
mengatur tata kelola, resiko dan kepatuhan sebagai area terpisah, bukan sebagai prinsip
tunggal. Misalnya, perusahaan diwajibkan untuk mematuhi regulasi yang berlaku, namun
perusahaan tidak terbiasa memadukannya dengan prinsip GRC. Faktanya, GRC
merupakan cara baru bagi perusahaan untuk mengintegrasikan aspek Tata Kelola, Resiko
dan Kepatuhan dalam bisnis
Ketiga prinsip GRC tersebut memiliki hubungan yang berkelanjutan dan saling terkait,
yang kesemuanya memiliki kedudukan penting yang sama. Tata kelola perusahaan /
Gambar di atas adalah Konsep GRC. Aspek konsep GRC sangat terikat satu sama lain.
Pada gambar di atas terlihat bahwa: kebijakan internal merupakan faktor pendukung
utama tata kelola, regulasi eksternal merupakan faktor utama pendukung kepatuhan, risk
appetite perusahaan merupakan faktor utama pendukung pengelolaan resiko.
Di dalam segitiga tersebut terdapat 4 komponen GRC yaitu: strategi, proses efektif,
teknologi, manusia. Bagian kanan segitiga menunjukkan bahwa perusahaan
membutuhkan perhatian dan dukungan manajemen, perilaku etis yang benar, efisiensi
organisasi, dan peningkatan efektivitas untuk mendukung operasi bisnis mereka.
Misi utama dari COSO adalah “Memperbaiki / meningkatkan kualitas laporan keuangan
entitas melalui etika bisnis, pengendalian internal yang efektif, dan tata kelola
perusahaan.”
COSO tidak mengubah lima komponen pengendalian yang telah dipakai sejak COSO
1992. Tentu saja penjelasannya tetap mengalami penyempurnaan. Penjelasan singkat dari
komponen-komponen tersebut adalah sebagai berikut.
Proses GRC dan pengendalian internal yang efektif dapat membantu perusahaan mengubah
operasi bisnisnya dan memiliki wawasan serta kemampuan untuk membuat prediksi yang lebih
dalam tentang proses bisnisnya ketika perusahaan dapat memenuhi tuntutan peraturan hukum
yang berlaku. Penggerak utama bisnis yang dimaksud adalah kemampuan untuk mengelola
informasi aset, menunjukkan kepatuhan terhadap kewajiban dan peraturan hukum yang berlaku,
mengurangi resiko proses pengadilan, mengurangi biaya penyimpanan dan penemuan, dan
menunjukkan akuntabilitas perusahaan.
Jadi untuk mewujudkan manajemen resiko dan proses COSO ERM yang efektif, perusahaan
perlu memiliki proses tata kelola dan kepatuhan yang kuat dengan tujuan membangun program
GRC yang efektif.
Manajemen resiko harus menciptakan nilai dan menjadi bagian integral dari proses organisasi.
Manajemen resiko juga harus menjadi bagian dari proses pengambilan keputusan dan harus
disesuaikan dengan masing-masing perusahaan secara sistematis dan terstruktur sehingga secara
eksplisit dapat menunjukkan ketidakpastian yang dihadapi perusahaan. Proses manajemen resiko
harus dinamis, iteratif, responsif terhadap perubahan, dan dapat terus ditingkatkan, yaitu
perbaikan dan penyempurnaan yang berkelanjutan.