Prinsip-prinsip pada COSO ERM-Integrating with Strategy and Performance

Warta Ekonomi, Jakarta -

Norman Marks mengutip hasil survei global Deloitte tahun 2013 mengenai risiko strategis bahwa manajemen atau eksekutif senior dan board belum merasakan manfaat dan nilai dari manajemen risiko pada penyusunan dan implementasi strategi.

Elite-elite organisasi masih menganggap manajemen risiko sebagai pemenuhan kepatuhan terhadap suatu regulasi. Pada pembahasan tentang kerangka kerja ERM 2017 sebelumnya, saya menyampaikan perlunya memasukkan kajian risiko secara komprehensif (entuty-wide) dan substansial pada setiap inisiatif strategis dan rencana bisnis organisasi.

Kajian risiko dimaksud mestinya menjadi satu kesatuan dengan inisiatif strategis dan rencana bisnis organisasi. Demikian pula pada saat implementasi atau eksekusinya, kajian risiko dapat senantiasa menyertai sebelum dan selama eksekusi strategi berlangsung. Apabila hal ini dapat dilakukan dengan bantuan sistem informasi ERM yang andal tentu saja persepsi manajemen risiko tidak memberikan nilai tambah dan hanya untuk kepatuhan dapat berkurang.

Melanjutkan informasi sebelumnya bahwa COSO telah memperbaharui kerangka kerja Enterprise Risk Management (ERM) 2017 di mana terdapat lima komponen dan 20 prinsip pada kerangka kerja COSO Enterprise Risk Management-Integrating with Strategy and Performance, artikel ini membahas ke-20 prinsip tersebut.

Komponen pertama COSO ERM 2017 adalah tata kelola dan budaya organisasi. Bahwa agar implementasi strategi dengan ERM berlangsung dengan efektif komponen tata kelola dan budaya organisasi membutuhkan lima prinsip yaitu

• Haruslah board atau dewan pengarah dan pengawas organisasi melakukan pengawasan yang efektif dan memberikan dukungan terhadap implementasi dan pencapaian strategi organisasi yang dilakukan oleh manajemen;
• haruslah ditetapkan struktur organisasi beserta uraian kerja yang memadai dan tanggung jawab dengan jelas atau hubungan dan pembagian kerja yang dapat menjamin eksekusi pencapaian tujuan dan target strategis;
• harus didefinisikan, dibangun, dan diterapkan budaya organisasi yang sesuai dengan strategi dan tujuan atau sasaran organisasi yang dinginkan;
• harus dibuktikan keseriusan atau komitmen terhadap nilai-nilai pokok organisasi
• harus mampu menarik, mengembangkan, dan mempertahankan individu atau personel yang memiliki kemampuan, pengetahuan, ketrampilan, dan kontribusi unggul kepada organisasi.

Komponen kedua adalah penyusunan dan penetapan tujuan dan strategis yang memiliki empat prinsip yaitu

• haruslah dilakukan analisis konteks bisnis atau lingkungan usaha di mana organisasi beroperasi serta mengidentifikasi dampak potensial dari lingkungan usahanya (risiko bisnis) pada profil risikonya;
• haruslah dibuat risk appetite baik secara tingkat entitas maupun di tingkat lebih rendah yang terkait dengan mempertahankan atau memelihara, membuat, dan merealisasi nilai bagi organisasi;
• harus mengindetifikasi dan mengevaluasi strategi-strategi guna mencapai tujuan organisasi yang ditetapkan sambil memperhitungkan dampak potensial yang dapat dijumpai;
• harus merumuskan tujuan atau sasaran organisasi dengan mempertimbangkan risiko yang menyertainya.

Komponen ketiga adalah kinerja yang memiliki lima prinsip yaitu

• harus mengidentifikasi risiko yang berdampak kepada kinerja strategi dan tujuan organisasi;
• harus mementukan prioritas risiko mana yang harus didahulukan mitigasinya;
• harus menentukan bentuk respons terhadap risiko, khususnya risiko yang menempati prioritas utama (risiko signifikan);
• harus mengimplementasikan respons dan mitigasi risiko yang dipilih di mana langkah mitigasi itu semestinya diyakini memadai guna mengurangi dampak dan peluang terjadinya risiko;
• harus mengembangkan metodologi dan sistem pemantauan risiko secara portofolio (portfolio view of risk).

Komponen keempat adalah penelaahan (review) dan revisi yang memiliki tiga prinsip yaitu

• harus selalu mengamati dan mengukur dinamika perubahan yang substansial yang mesti segera diantisipasi oleh organisasi;
• harus menelaah atau mengkaji kinerja beserta risiko-risikonya sebagai langkah melaksanakan strategi untuk mencapai tujuan dan sasaran organisasi;
• harus melakukan perbaikan atau penyempurnaan pada ERM ini.

Komponen kelima yang terakhir adalah informasi, komunikasi, dan pelaporan, yang memiliki tiga prinsip yaitu

• harus memanfaatkan dan mengembangkan teknologi dan sistem informasi yang memadai untuk mendukung ERM;
• harus menggunakan saluran-saluran komunikasi organisasi untuk mendukung ERM;
• harus ada pelaporan atau informasi yang tersebar secara efektif di seluruh jenjang organisasi mengenai kinerja, risiko, dan budaya.

Ke-20 prinsip yang harus ada menjadi kerangka kerja dan metodologi bagi organisasi yang ingin membangun dan mengevaluasi ERM dengan menggunakan COSO ERM. Bagi auditor intern, kerangka kerja ini dapat menjadi dasar mengevaluasi dan menilai kecukupan dan keefektifan ERM di organisasinya.

Kerangka kerja COSO ERM ini dipadukan dengan kerangka kerja COSO ICIF membantu auditor intern menilai suatu strategi dan risiko stratejik secara organisasi (entity wide). Pengalaman penulis, melalui pendekatan audit yang terintegrasi dan dengan menerapkan kerangka kerja COSO dan metodologi audit yang tepat terhadap suatu masalah dan risiko stratejik maka auditor intern dapat memberikan suatu hasil audit yang memiliki nilai untuk manajemen dan dewan komisaris.