BAB 13 Konsep dan Kerangka Kerja ERM serta pentingnya dalam mengelola risiko agar tujuan organisasi / perusahaan dapat dicapai dengan efektif dan efisien

Dunia bisnis di Amerika terguncang dengan adanya kasus Enron yang terkuak pada akhir tahun 2001. Sebuah kasus rekayasa keuangan dan malpraktik akuntansi, yang kemudian diikuti oleh terkuaknya kasus-kasus lain sejenis seperti kasus WorldCom, Merck, dan sebagainya.  Salah satu faktor penting yang menyebabkan itu semua, menurut Hamilton dan Francis (2003) mengutip laporan William C. Powers, Dekan Law School University of Texas, yang juga mengetuai Komite Investigasi Khusus – Board of Directors Enron Corporation, adalah kelemahan sistem pengendalian intern dan proses manajemen risiko dalam memitigasi risiko.

Sebagai respons atas kasus-kasus tersebut, kongres Amerika Serikat (AS) pada tanggal 23 Januari 2002 mengesahkan sebuah undang-undang perlindungan bagi para investor yang secara singkat disebut “Sarbanes-Oxley Act of 2002” (SOA). Undang-undang ini merupakan reformasi pengaturan corporate governanceterbesar setelah Securities Act of 1933 dan Securities Exhange Act of 1934. SOA menjadi sangat penting karena sifatnya yang mengikat sebagai hukum positif. Dengan adanya kewajiban tersebut, perhatian berbagai kalangan terhadap pengendalian intern, manajemen risiko, dan good governance, sesuai pengaturan Seksi 404 dari undang-undang tersebut, semakin meningkat (DeLoach, 2003). Meningkatnya perhatian terhadap pengendalian intern, manajemen risiko, dan good governance tersebut direspons oleh The Committee of Sponsoring Organizations of the Treadway Commission (COSO) dengan menerbitkan Enterprise Risk Management (“ERM”) – Integrated Framework pada bulan September 2004. Menyusul kemudian pada November 2009, International Organization for Standardization (ISO) juga mengeluarkan ISO 31000: Risk Management – Principles and Guidelines on Implementation.

Terminologi

Dalam berbagai artikel, ERM kadangkala muncul dalam istilah lain seperti “strategic risk management”, “integrated risk management”, atau “holistic risk management”. Semua istilah tersebut mengacu pada konsep yang sama yaitu bahwa semuanya memandang risiko dan manajemen risiko secara komprehensif, bukan lagi dengan pendekatan “silo” dimana risiko dikelola secara terpisah dan berbeda-beda di dalam organisasi. Lebih jauh lagi, adanya kesamaan pandangan dalam berbagai istilah tersebut bahwa manajemen risiko bukan hanya merupakan proses mitigasi risiko, namun juga penciptaan nilai (value-creating) (CAS, 2003). Selain istilah-istilah tersebut, D’Arcy dan Brogan (2001) menyatakan bahwa ERM merupakan istilah mutakhir dari istilah-istilah tersebut, termasuk istilah setara lainnya yaitu “corporate risk management” dan “business risk management”.

Sebagai sebuah terminologi yang relatif baru, belum terdapat sebuah definisi yang berlaku umum dan diakui oleh semua kalangan, baik praktisi maupun akademisi. Kalangan akademisi seperti Meulbroek (2002), dengan menggunakan istilah integrated risk management, mendefinisikannya sebagai identifikasi dan penilaian risiko-risiko yang mungkin mempengaruhi nilai perusahaan secara kolektif, dan mengimplementasikan strategi pada tingkat keseluruhan perusahaan untuk mengelola risiko-risiko tersebut. Sedangkan Vedpuriswar et.al. (2001) mendefinisikannya sebagai suatu proses perencanaan, pengorganisasian, dan pengendalian kegiatan-kegiatan organisasi dalam rangka meminimalkan pengaruh risiko terhadap perusahaan baik dalam jangka pendek maupun dalam jangka panjang. Sementara itu, media massa yang melakukan riset terhadap praktik manajemen risiko seperti majalah CFO (2002) mendefinisikan strategic risk management sebagai suatu metode manajemen risiko yang menggunakan pendekatan pada tingkat keseluruhan perusahaan untuk mengawasi dan mengelola risiko dalam rangka mendukung tujuan stratejiknya.

Sementara itu di kalangan praktisi aktuaria, sebagaimana didefinisikan oleh Casualty Actuarial Society (2003), ERM adalah sebuah proses atau disiplin dengannya organisasi-organisasi di semua industri menaksir, mengendalikan, mengeksploitasi, membiayai, dan mengawasi risiko dari semua sumbernya dengan tujuan untuk meningkatkan nilai perusahaan baik dalam jangka pendek maupun jangka panjang. Sedangkan praktisi perbankan, sekuritas dan asuransi, sebagaimana terlihat pada laporan survey yang dilakukan oleh joint forum antara BaselCommittee on Banking Supervision, International Organisation of Securities Commissions, dan International Association of Insurance Supervisors yang dikoordinasikan oleh Bank for International Settlements (2003), mendefinisikan integrated risk management sebagai  suatu sistem yang memastikan keberadaan dan berjalannya kebijakan dan prosedur yang dirancang untuk meningkatkan perhatian dan tanggung jawab pemilikan risiko di seluruh perusahaan, serta untuk mengembangkan perangkat-perangkat yang diperlukan untuk menangani risiko-risiko tersebut. Sedikit berbeda dengan definisi tersebut, organisasi-organisasi praktisi akuntan dan auditor keuangan yang berpengaruh dan tergabung dalam The Committee of Sponsoring Organizations of the Treadway Commission (COSO)(2004), menyatakan bahwa ERM berhubungan dengan risiko dan peluang yang berpotensi mempengaruhi nilai, dan mendefinisikannya sebagai berikut suatu proses yang dipengaruhi oleh dewan direktur, manajemen, dan pihak lain, yang diaplikasikan dalam penentuan strategi perusahaan, yang dirancang untuk mengidentifikasi risiko-risiko yang mungkin mempengaruhi perusahaan, dan mengelola risiko-risiko tersebut tetap berada pada selera risiko perusahaan, serta memberikan pemastian yang memadai bahwa tujuan perusahaan dapat dicapai. Definisi paling mutakhir diberikan oleh ISO, di mana manajemen risiko didefinisikan sebagai upaya terkoordinasi untuk mengarahkan dan mengendalikan kegiatan-kegiatan organisasi terkait dengan risiko (ISO Guide 73).

Dari berbagai definisi tersebut, walaupun dari sisi redaksional berbeda, namun dapat diambil beberapa hal yang relatif sama yang membedakannya dengan manajemen risiko tradisional, yaitu bahwa:

1. Proses dan sistem dari ERM bersifat komprehensif, integratif, dan lintas divisional. Pada manajemen risiko tradisional, risiko dikelola secara parsial (silo-based).
2. Tujuan dari ERM bersifat strategis yaitu pencapaian tujuan perusahaan yang lebih baik dan pada akhirnya menciptakan, menambah, dan atau melindungi nilai perusahaan. Pada manajemen risiko tradisional, tujuan terbatas pada mitigasi risiko terbatas pada kegiatan atau unit bisnis tertentu.

Kerangka

Ada beberapa kerangka (framework) yang dikembangkan oleh beberapa pihak seperti oleh COSO (2004), CAS (2003), atau oleh Miccolis dan Shah (2000), dan terakhir yang dikeluarkan oleh ISO (2009). Kerangka yang dikembangkan oleh COSO telah menjadi leader sejak tahun 2004 hingga saat ini. Hal ini dapat dimaklumi karena kerangka dari COSO di-endorse oleh profesi-profesi terkait dengan akuntansi dan keuangan serta pasar modal yang berpengaruh secara global. Namun kerangka ISO juga tampaknya akan segera menjadi alternatif kerangka yang dapat dipakai dalam manajemen risiko, mengingat ISO memiliki reputasi dan pengaruh yang besar dalam harmonisasi standar di seluruh dunia. Berikut ini uraian ringkas kedua kerangka tersebut.

Model COSO

ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini diturunkan dari bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun kepatuhan terhadap ketentuan perundang-undangan. Komponen-komponen tersebut adalah:

1. Lingkungan Internal (Internal Environment) – Lingkungan internal sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Di dalam lingkungan internal ini termasuk, filosofi manajemen risiko dan risk appetite, nilai-nilai etika dan integritas, dan lingkungan di mana kesemuanya tersebut berjalan.
2. Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen dapat menidentifikasi kejadian-kejadian yang berpotensi mempengaruhi pencapaian tujuan tersebut.  ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan ddan bahwa tujuan yang dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
3. Identifikasi Kejadian (Event Identification) – Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang dikembalikan (channeled back) kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian Risiko (Risk Assessment) – Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola.
5. Respons Risiko (Risk Response) – Manajemen memilih respons risiko –menghindar (avoiding), menerima (accepting), mengurangi (reducing), atau mengalihkan (sharing risk)  – dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite.
6. Kegiatan Pengendalian (Control Activities) – Kebijakan dan prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.
7. Informasi dan komunikasi (Information and Communication) – Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring) – Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu.  Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui eveluasi secara khusus,  atau dengan keduanya.

Penerapan komponen dalam berbagai tujuan tersebut dapat dilakukan pada entity-level, divisional, unit bisnis, dan/atau subsidiary. Hubungan antara ketiganya digambarkan oleh COSO dalam kubus tiga dimensi sebaga

sumber 

http://auditorinternal.com/2010/02/15/mengenal-erm/