COSO ERM – Integrated Framework 2004
Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse
Coopers memulai proyek untuk mengembangkan sebuah kerangka
kerja manajemen risiko yang dapat digunakan untuk mengevaluasi
dan meningkatkan efektivitas ERM. Kerjasama ini membuahkan
hasil pada tahun 2004 dengan dirilisnya COSO ERM – Integrated
Framework, yang mendefinisikan manajemen risiko sebagai:
“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan
personil lain dalam entitas, diaplikasikan pada pembentukan
strategi dan pada seluruh bagian perusahaan, dirancang untuk
mengidentifikasi kejadian potensial yang dapat mempengaruhi
entitas, dan mengelola risiko selaras dengan risk appetite entitas,
untuk menyediakan jaminan yang wajar terhadap pencapaian
sasaran dari entitas.”
Dalam kerangka manajemen risikonya, COSO ERM menuntut
perusahaan untuk dapat menentukan terlebih dahulu sasaran
perusahaannya, yang terdiri dari empat kategori yaitu:
Strategis: sasaran yang mendukung dan selaras dengan misi
perusahaan.
Operasi: efektivitas dan efisiensi dari penggunaan sumber daya
perusahaan.
Pelaporan: keterpercayaan dari pelaporan.
Pemenuhan: pemenuhan terhadap hukum dan regulasi yang
berlaku.
Dalam kerangka manajemen risikonya, COSO ERM menuntut
perusahaan untuk dapat menentukan terlebih dahulu sasaran
perusahaannya, yang terdiri dari empat kategori yaitu:
1. Strategis: sasaran yang mendukung dan selaras dengan misi
perusahaan.
2. Operasi: efektivitas dan efisiensi dari penggunaan sumber
daya perusahaan.
3. Pelaporan: keterpercayaan dari pelaporan.
4. Pemenuhan: pemenuhan terhadap hukum dan regulasi yang
berlaku.
Dalam COSO ERM, manajemen risiko terdiri dari delapan
komponen yang saling terkait, yaitu:
1. Lingkungan internal
Mengidentifikasi kondisi internal perusahaan, meliputi
kekuatan dan kelemahannya, serta pandangan entitas
terhadap risiko dan manajemen risiko.
2. Penetapan sasaran
Sasaran kegiatan manajemen risiko harus sejalan dengan
sasaran dari perusahaan, serta konsisten dengan risk
appetite perusahaan.
3. Identifikasi kejadian
Kejadian internal dan eksternal yang dapat mempengaruhi
pencapaian sasaran perusahaan harus diidentifikasi, meliputi
risiko dengan kesempatan yang dapat muncul.
4. Penilaian risiko
Risiko dianalisis berdasarkan kemungkinan dan dampaknya.
Hasil analisis risiko akan dijadikan dasar untuk menentukan
perlakuan risiko.
5. Perlakuan risiko
Terdapat empat alternatif pada perlakuan risiko, yaitu
menghindari (avoidance), menerima (acceptance),
mengurangi (reduction), dan membagi risiko (sharing).
Pemilihan perlakuan risiko dilakukan dengan
membandingkan hasil analisis risiko dengan risk
appetite dan risk tolerance.
6. Aktivitas pengendalian
Membangun dan mengimplementasikan kebijakan dan
prosedur untuk memastikan perlakuan risiko diterapkan
dengan efektif.
7. Informasi dan komunikasi
Informasi yang relevan diidentifikasi, diperoleh, dan
dikomunikasikan dalam bentuk dan waktu yang tepat agar
personil dapat melakukan tanggung jawabnya dengan baik.
8. Pemantauan
Seluruh kegiatan ERM harus dipantau, dievaluasi dan
dikembangkan.
Gambar 1. Ilustrasi keterkaitan sasaran, komponen ERM, dan unit
kerja perusahaan
Sumber: COSO Enterprise Risk Management – Integrated
Framework (Executive Summary)
COSO ERM – Integrated Framework juga mendeskripsikan peran
dan tanggung jawab dari unit-unit kerja perusahaan dalam
penerapan manajemen risiko. Satu prinsip dasar yang ditanamkan
COSO ERM adalah bahwa “semua bagian di dalam perusahaan
memiliki tanggung jawab terhadap ERM”, yang artinya
implementasi manajemen risiko harus mencakup entity-level,
division, business unit, hingga subsidiary, dan mencakup seluruh
seluruh sumber daya manusia di dalamnya. Walau begitu, terdapat
pembagian peran dan tanggung jawab dalam penerapan ERM.
Berikut adalah pembagian peran dan tanggung jawab yang
dijelaskan COSO ERM:

Board of Directors (BoD) memiliki tanggung jawab penting
dalam melakukan pemantauan terhadap penerapan
manajemen risiko, dengan turut memperhitungkan risk
appetite dari entitas;

Chief Executive Officer (CEO) memiliki tanggung jawab untuk
memastikan berjalannya ERM yang efektif pada keseluruhan
perusahaan;

Manajer memiliki tanggung jawab dalam mendukung
penerapan prinsip ERM perusahaan, memastikan pemenuhan
ERM dengan risk appetite, dan mengelola risiko di ranah
kewenangannya agar konsisten dengan risk tolerance yang
dimilikinya;

Risk officer, financial officer, dan internal audit memiliki
peran kunci dalam mendukung efektivitas penerapan
manajemen risiko perusahaan;

Petugas operasional (atau biasa disebut risk coordinator)
bertanggung jawab dalam menerapkan manajemen risiko
perusahaan sejalan dengan prosedur dan kebijakan
manajemen risiko perusahaan;

Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan
pihak yang berperan dalam value chain perusahaan) tidak
memiliki tanggung jawab dalam memastikan efektivitas ERM
dari entitas, tetapi pihak-pihak tersebut berperan penting
dalam menyediakan informasi yang dapat mendukung
efektivitas manajemen risiko.
ISO 31000: 2009 Risk Management – Principles and Guidelines
ISO 31000: 2009 Risk Management – Principles and Guidelines
merupakan sebuah standar internasional yang disusun dengan
tujuan memberikan prinsip dan panduan generik untuk penerapan
manajemen risiko. Standar internasional yang diterbitkan pada 13
November 2009 ini dapat digunakan oleh segala jenis organisasi
dalam menghadapi berbagai risiko yang melekat pada aktivitas
mereka. Walau ISO 31000: 2009 menyediakan panduan generik,
standar ini tidak ditujukan untuk menyeragamkan manajemen
risiko lintas organisasi, tetapi ditujukan untuk memberikan standar
pendukung penerapan manajemen risiko dalam usaha memberikan
jaminan terhadap pencapaian sasaran organisasi. ISO 31000:
2009 menyediakan prinsip, kerangka kerja, dan proses
manajemen risiko yang dapat digunakan sebagai arsitektur
manajemen risiko dalam usaha menjamin penerapan manajemen
risiko yang efektif.
Gambar 2. Hubungan Antara Prinsip, Kerangka Kerja, dan Proses
Manajemen Risiko
Sumber: ISO 31000: 2009 Risk Management – Principles and
Guidelines
Prinsip manajemen risiko merupakan fondasi dari kerangka kerja
dan proses manajemen risiko. Terdapat sebelas prinsip manajemen
risiko yang harus dipegang teguh dan diterapkan saat membangun
kerangka kerja dan melakukan implementasi proses manajemen
risiko. Kesebelas prinsip tersebut adalah
1. Memberikan nilai tambah dan melindungi nilai organsasi;
2. Bagian terpadu dari seluruh proses organisasi;
3. Bagian dari pengambilan keputusan;
4. Secara khusus menangani ketidakpastian;
5. Sistematis, terstruktur, dan tepat waktu;
6. Berdasarkan informasi terbaik yang tersedia;
7. Disesuaikan dengan kebutuhan organisasi;
8. Mempertimbangkan faktor budaya dan manusia;
9. Transparan dan inklusif;
10. Dinamis, berulang, dan responsif terhadap perubahan;
11. Memfasilitasi perbaikan sinambung dan peningkatan
organisasi.
Kerangka kerja manajemen risiko merupakan struktur pembangun
proses manajemen risiko. Kerangka kerja dimulai dengan
pemberian mandat dan komitmen, lalu dilanjutkan dengan
kerangka implementasi “Plan, Do, Check, Act”, yang terdiri dari:
1. Perencanaan kerangka kerja manajemen risiko;
2. Penerapan manajemen risiko;
3. Monitoring dan review terhadap kerangka kerja manajemen
risiko;
4. Perbaikan kerangka kerja manajemen risiko secara
berkelanjutan.
Proses manajemen risiko merupakan kegiatan kritikal dalam
manajemen risiko, karena merupakan penerapan daripada prinsip
dan kerangka kerja yang telah dibangun. Proses manajemen risiko
terdiri dari 5 proses besar yaitu:
1. Komunikasi dan konsultasi;
2. Penetapan konteks;
3. Penilaian risiko (terdiri dari identifikasi, analisis, dan evaluasi
risiko);
4. Perlakuan risiko;
5. Monitoring dan review.
Implementasi secara mendetail dan menyeluruh pada prinsip,
kerangka kerja dan proses manajemen risiko berdasarkan ISO
31000: 2009 tersebut diharapkan dapat meningkatkan efektivitas
manajemen risiko organisasi.
Keunggulan dan Kelemahan dari COSO ERM – Integrated
Framework dan ISO 31000: 2009 Risk Management – Principles
and Guidelines
Menyadari perbedaan yang ada pada COSO ERM – Integrated
Framework dan ISO 31000: 2009 Risk Management – Principles
and Guidelines, tentunya terdapat keunggulan dan kelemahan
tersendiri dari kedua standar ini. Berikut adalah tabel yang
menggambarkan perbedaan serta keunggulan dan kelemahan dari
kedua standar tersebut.
Integrated Framework
ISO 31000: 2009
Risk Management– Principles and Gu
edaan
COSO ERM –
i risiko
“Kemungkinan terjadinya sebuah
event yang dapat mempengaruhi
pencapaian sasaran entitas.”
Menurut Grant Purdy, seorang
praktisi manajemen risiko veteran
di Melbourne, definisi ini gagal
menangkap potensi risiko yang
dapat muncul akibat perubahan
kondisi yang terjadi secara
perlahan.
“Efek dari ketidakpastian terhadap pencapaian sasara
organisasi.”
manajemen
siko
“Proses yang dipengaruhi
oleh Board of Directors,
“Aktivitas-aktivitas terkoordinasi yang dilakukan da
rangka mengelola dan mengontrol sebuah organisasi ter
manajemen, dan personil lain
dalam entitas, diaplikasikan pada
pembentukan strategi dan pada
seluruh bagian perusahaan,
dirancang untuk mengidentifikasi
kejadian potensial yang dapat
mempengaruhi entitas, dan
mengelola risiko selaras
dengan risk appetite entitas,
untuk menyediakan jaminan yang
wajar terhadap pencapaian sasaran
dari entitas.”
Komponen manajemen
risiko
Awal proses
manajemen risiko
dengan risiko yang dihadapinya.”
Proses dan kerangka
kerja manajemen risiko
tidak dipaparkan
secara terpisah.
Menurut Grant Purdy
hal ini dapat
menimbulkan
kebingungan dan
inefektivitas terhadap
manajemen risiko,
dimana kerangka kerja
seharusnya dirancang
pada top level
management, sedangkan
proses manajemen
risiko seharusnya
diterapkan pada
proses-proses
organisasi. Standar
ini menekankan pada
pengembangan
pengendalian internal
sebagai upaya
perusahaan dalam
mengelola risiko.
Memaparkan kerangka kerja dan proses
manajemen risiko secara terpisah. ISO
31000: 2009 juga menyediakan prinsip
manajemen risiko yang harus diterapkan
dalam kerangka kerja dan proses untuk
mendukung efektivitas manajemen risiko.
Standar ini menekankan penerapan
manajemen risiko sebagai alat penciptaan
dan pelindung nilai organisasi.
Dimulai dengan
menetapkan sasaran
perusahaan yang
terdiri dari empat
Dimulai dengan membangun konteks untuk
mengidentifikasi kondisi internal,
kondisi eksternal, konteks manajemen
risiko, dan kriteria risiko.
kategori yaitu
strategis, operasi,
pelaporan, dan
pemenuhan.
Identifikasi konteks
eksternal
Komponen proses
manajemen risiko
Sedikit dilakukan.
Dilakukan secara menyeluruh.
Terdiri dari 8
komponen, yaitu:
(1) identifikasi
lingkungan internal;
(2) penetapan sasaran
manajemen risiko;
(3) identifikasi
kejadian;
(4) penilaian risiko,
perlakuan risiko;
(5) aktivitas
pengendalian;
(6) informasi dan
komunikasi;
(7) dan pemantauan.
Terdiri dari lima komponen besar, yaitu:
(1) komunikasi dan konsultasi;
(2) membangun konteks;
(3) penilaian risiko;
(4) perlakuan risiko; dan
(5)monitoring dan review.
Inherent
risk diartikan
Pengertian
inherent
risk
Prinsip manajemen
risiko
Perbaikan
berkelanjutan
sebagai eksposur
perusahaan terhadap
risiko secara utuh.
(dampak dari existing
control tidak
diperhitungkan)
Inherent risk diartikan sebagai
eksposur perusahaan terhadap risiko
setelah dilakukan pengendalian internal.
Tidak ada.
Tersedia dan menjadi hal yang harus
diterapkan pada kerangka kerja dan
proses manajemen risiko untuk mendukung
efektivitas penerapan manajemen risiko.
Perbaikan hanya
dilakukan apabila
diperlukan,
berdasarkan hasil
pemantauan.
Memfasilitasi perbaikan berkelanjutan
pada keseluruhan kerangka kerja dan
proses manajemen risiko, sesuai dengan
kebutuhan organisasi dan perkembangan
konteks.
Penyaluran Informasi
Aspek manusia dan
budaya
Informasi hanya
dikomunikasikan kepada
pelaku manajemen
risiko untuk mendukung
pencapaian sasaran
unit-unit tersebut.
Keterlibatan
stakeholders eksternal
tidak diungkapkan pada
standar ini.
Informasi mengenai risiko dan manajemen
risiko dikomunikasikan dan
dikonsultasikan dengan
seluruh stakeholders perusahaan, baik
internal maupun eksternal (sesuai
prinsip “transparan dan inklusif”).
Keterlibatan stakeholders diperlukan
untuk mengidentifikasi kepentingan
seluruh pihak agar menjadi bahan
pertimbangan pengambilan keputusan.
Aspek manusia
disebutkan sebagai
batasan dari manajemen
risiko dalam
memberikan jaminan
terhadap pencapaian
sasaran organisasi.
Memperhitungkan aspek manusia dan budaya
ke dalam manajemen risiko (prinsip
“mempertimbangkan faktor budaya dan
manusia”). Penerapan manajemen risiko
turut mempertimbangkan kultur, persepsi,
dan kapabilitas manusia, termasuk
memperhitungkan perselisihan kepentingan
antara organisasi dengan individu di
dalamnya.
Perbedaan yang melekat pada kedua rujukan ini membawa
keunggulan dan kelemahan tersendiri pada COSO ERM –
Integrated Framework dan ISO 31000: 2009 Risk Management –
Principles and Guidelines dari hasil pengamatan penulis, standar
ISO 31000: 2009 memiliki keunggulan esensial dalam
memberikan panduan yang lebih mendetail dan komprehensif.
Keberadaan prinsip manajemen risiko, penetapan konteks eksternal,
dan pemisahan antara kerangka kerja dengan proses manajemen
risiko menjadi keunggulan kompetitif yang dimiliki oleh ISO 31000:
2009.
Fakta bahwa standar ISO 31000: 2009 telah diakui dan
diadaptasi sebagai standar manajemen risiko di hingga 40 negara
juga menunjukkan bahwa ISO 31000: 2009 telah bertahan dari
uji kelayakan oleh berbagai negara. Namun pada akhirnya, dalam
memilih standar terbaik untuk diimplementasikan, keunikan pada
kedua standar tersebut perlu dipertimbangkan dan disesuaikan
dengan sasaran, karakteristik, dan regulasi yang berlaku pada
organisasi. Dalam penerapannya, organisasi juga dapat
mengadaptasi dan mengkombinasikan komponen-komponen
tertentu pada kedua rujukan tersebut untuk membangun sistem
manajemen risiko tersendiri yang efektif bagi organisasinya.