COSO ERM

1. Latar Belakang Kemunculan COSO ERM COSO atau merupakan akronim dari The Committee of Sponsoring Organizations of The Treadway Commission adalah sebuah organisasi sektor swasta yang sukarela, didirikan di Amerika Serikat, yang bertujuan melakukan riset mengenai fraud dalam pelaporan keuangan (fraudulent on financial reporting) dan membuat rekomendasi dan rerangka acuan yang terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi pendidikan.COSO telah menerbitkan sebuah model pengendalian internal yang umum yang dengannya perusahaan dan organisasi dapat menilai sistem pengendalian mereka. Karena adanya praktik-praktik kampanye politik dari keuangan perusahaan dan praktik-praktik korupsi di dalamnya pada pertengahan dekade 1970-an, SEC di Amerika Serikat dan Kongres AS membuat reformasi hukum kampanye keuangan dan Foreign Corrupt Practices Act (FCPA) tahun 1977 yang mengkriminalisasikan praktik penyuapan antar negara dan mensyaratkan perusahaan-perusahaan untuk mengimplementasikan program pengendalian internal. Sebagai responsnya, the Treadway Commission, insiasi sektor swasta, dibentuk pada tahun 1985 untuk memeriksa, menganalisa, dan membuat rekomendasi pada kecurangan dari pelaporan keuangan perusahaan. The Treadwy Commission mempelajari sistem pelaporan informasi keuangan selama periode Oktober 1985 sampai dengan September 1987 dan mengeluarkan laporan temuan dan rekomendasi pada Oktober 1987 yang berjudul Report of the National Commission on Fraudulent Financial Reporting. Sebagai hasil dari laporan resmi tersebut, COSO dibentuk dan membayar Coopers & Lybrand, perusahaan CPA utama, untuk mempelajari masalah-masalah yang ada dan membuat laporan mengenai kerangka kerja pengendalian internal yang terintegrasi. Pada bulan September 1992, laporan sebanyak empat volume yang berjudul Internal Control Integrated Framework diterbitkan oleh COSO dan kemudian diterbitkan ulang dengan sedikit perubahan pada tahun 1994. Laporan ini menyajikan definisi umum dari pengendalian internal dan menyediakan kerangka kerja yang dengannya pengendalian internal dapat dinilai dan dikembangkan. Pada tahun 2004 organisasi-organisasi praktisi akuntan dan auditor keuangan yang berpengaruh dan tergabung dalam The Committee of Sponsoring Organizations of the Treadway Commission (COSO) menyatakan bahwa ERM

berhubungan dengan risiko dan peluang yang berpotensi mempengaruhi nilai, dan mendefinisikannya sebagai berikut suatu proses yang dipengaruhi oleh dewan direktur, manajemen, dan pihak lain, yang diaplikasikan dalam penentuan strategi perusahaan, yang dirancang untuk mengidentifikasi risiko-risiko yang mungkin mempengaruhi perusahaan, dan mengelola risiko-risiko tersebut tetap berada pada selera risiko perusahaan, serta memberikan pemastian yang memadai bahwa tujuan perusahaan dapat dicapai.

2. Sekilas Tentang ERM ERM bersifat strategis yaitu pencapaian tujuan perusahaan yang lebih baik dan pada akhirnya menciptakan, menambah, dan atau melindungi nilai perusahaan. Pada manajemen risiko tradisional, tujuan terbatas pada mitigasi risiko terbatas pada kegiatan atau unit bisnis tertentu. Beberapa masalah yang mendasari munculnya ERM adalah : 1. Kegagalan manajemen dalam pencapaian tujuan perusahaan 2. Perbedaan visi dan misi di dalam suatu lingkungan Enterprise Business 3. Ketidakmampuan manajemen dalam mempertimbangkan resiko 4. Internal control yang lemah 5. Kesulitan untuk mencapai Goal congruence

3. Model ERM Versi COSO ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini diturunkan dari bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun kepatuhan terhadap ketentuan perundang-undangan. Komponen-komponen tersebut adalah: 1. Lingkungan Internal (Internal Environment) Lingkungan internal sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Di dalam lingkungan internal ini termasuk, filosofi manajemen risiko dan risk appetite, nilai-nilai etika dan integritas, dan lingkungan di mana kesemuanya tersebut berjalan.

2. Penentuan Tujuan (Objective Setting) Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen dapat menidentifikasi kejadian-kejadian yang berpotensi

mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan ddan bahwa tujuan yang dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk appetite-nya. 3. Identifikasi Kejadian (Event Identification) Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang dikembalikan (channeled back) kepada proses penetapan strategi atau tujuan manajemen. 4. Penilaian Risiko (Risk Assessment) Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola. 5. Respons Risiko (Risk Response) Manajemen memilih respons risiko menghindar (avoiding), menerima (accepting), mengurangi (reducing), atau mengalihkan (sharing risk) dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite. 6. Kegiatan Pengendalian (Control Activities) Kebijakan dan prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif. 7. Informasi dan komunikasi (Information and Communication) Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya. 8. Pengawasan (Monitoring) Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan

manajemen yang berjalan terus-menerus, melalui eveluasi secara khusus, atau dengan keduanya. Penerapan komponen dalam berbagai tujuan tersebut dapat dilakukan pada entity-level, divisional, unit bisnis, dan/atau subsidiary. Hubungan antara ketiganya digambarkan oleh COSO dalam kubus tiga dimensi sebagai berikut:

4. Pihak yang Berkepentingan (Stakeholder) Mengaplikasikan model pengendalian internal milik COSO bagi manajemen tidaklah semudah jika dibandingkan dengan menggunakan model tradisional. Model tradisonal, yang utamanya menangani pengendalian keuangan, secara substansial telah meluas. Kerangka kerja COSO mempertimbangkan tidak hanya evaluasi dari pengendalian yang keras (hard control), seperti pemisahan fungsi, tetapi juga pengendalian yang lunak (soft control), seperti kompetensi dan profesionalitas pegawai. Karena mengaplikasikan COSO tidak semudah apa yang ada di teorinya, maka belum ada pendekatan yang standar dalam melakukan audit terhadap pengendalian yang lunak dari COSO seperti integritas dan nilai- nilai etika dari pegawai, filosofi dan gaya kepemimpinan dari manajemen, dan keefektifan dari komunikasi. Dari hal tersebut dapat diketahui bahwa pengaplikasian COSO sesuai dengan yang diteorikan merupakan hal yang sulit bagi manajemen. Demikian juga bagi auditor internal, audit internal yang dirancang untuk mempertimbangkan kosep pengendalian COSOyang baru akan menjadi lebih rumit dibandingkan audit pengendalian internal yang tradisional. COSO dan produk-produk yang dihasilkannya merupakan pelindung bagi investor, pegawai perusahaan, dan pihak-pihak yang berkepentingan lainnya dari mengalami kerugian dari peristiwaperitiwa skandal keuangan yang telah terjadi. COSO memberikan kepastian kepada pihakpihak tersebut sehingga mereka memperoleh bagian haknya dengan sesuai.

5. Apa Saja yang diatur COSO ?

Kerangka kerja COSO terdiri dari beberapa konsep penting, yaitu: 1. Pengendalian internal adalah sebuah proses. Proses itu merupakan alat untuk mencapai akhir, bukan titik akhir dari proses. 2. Pengendalian internal dipengaruhi oleh orang. Hal itu bukan hanya kebijakan, petunjuk manual, dan format, melainkan juga orang-orang di setiap tingkatan dalam organisasi. 3. Pengendalian internal dapat diharapkan untuk menyediakan keyakinan yang beralasan, bukan keyakinan absolut, bagi manajemen perusahaan. 4. Pengendalian internal dilengkapi dengan satu atau lebih kategori yang terpisah namun tumpang tindih untuk pencapaian tujuan tertentu. Kerangka kerja COSO mendefinisikan pengendalian internal sebagai sebuah proses, dipengaruhi oleh dewan direksi, manajemen, dan orangorang lainnya dalam perusahaan. Menurut COSO, komponen tersebut menyediakan kerangka kerja yang efektif untuk menggambarkan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam sebuah organisasi seperti yang disyaratkan oleh peraturan keuangan.

Manajemen Risiko Perusahaan Kerangka Kerja yang Terintegrasi Pada tahun 2001, COSO menginisiasi sebuah proyek, dan meminang

PricewaterhouseCoopers, untuk membangun sebuah kerangka kerja yang siap digunakan oleh manajemen untuk mengevaluasi dan mengembangkan manajemen risiko perusahaan mereka. Kegagalan dan skandal bisnis tingkat tinggi (contohnya Enron, Tyco International, Adelphia, Peregrine Systems, dan WorldCom) merupakan penggilan untuk mengembangkan menajemen risiko dan pengelolaan perusahaan. Sebagai hasilnya, akte Sarbanes-Oxley diterbitkan. Peraturan tersebut memperluas persyaratan jangka panjang dari perusahaan publik untuk menjaga sistem pengendalian internalnya, mensyaratkan manajemen untuk mengakui dan auditor independen untuk menguji kefektifan sistem tersebut. Pengendalian internal kerangka kerja yang terintegrasi terus melayani sebagai standar yang diterima secara luas untuk mencapai persyaratanpersyaratan laporan tersebut, bagaimanapun juga, pada tahun 2004 COSO menerbitkan manajemen risiko perusahaan karangka kerja yang terintegrasi. COSO percaya kerangka kerja ini memperluas pengendalian internal, menyediakan fokus yang lebih kuat dan ekstensif dalam subjek yang lebih luas dari manajemen risiko perusahaan.

Empat Kategori dari Tujuan Bisnis Kerangka kerja manajemen risiko perusahaan ini masih diperalati untuk pencapaian tujuantujuan perusahaan; bagaimanapun juga sekarang ini terdiri dari empat kategori, yaitu: a. Stratejik: sasaran-sasaran tingkat tinggi, dihubungkan dengan dan membantu misi perusahaan. b. Operasi: penggunaan sumber daya perusahaan secara efektif dan efisien. c. Pelaporan: reliabilitas dari pelaporan. d. Kepatuhan: kepatuhan terhadap hukum dan peraturan yang berlaku.

Internal Control

sebuah proses, dipengaruhi oleh dewan direksi, manajemen, dan

orangorang lainnya dalam perusahaan dan dirancang untuk memberikan keyakinan tentang efektivitas dan efisiensi dari operasi, keandalan informasi atau pelaporan keuangan, dan ketaatan pada peraturan dan ketentuan yang berlaku