Upload
rahman
View
30
Download
0
Embed Size (px)
Citation preview
COSO ERM
1. Latar Belakang Kemunculan COSO ERM
COSO atau merupakan akronim dari The Committee of Sponsoring Organizations of
The Treadway Commission adalah sebuah organisasi sektor swasta yang sukarela, didirikan
di Amerika Serikat, yang bertujuan melakukan riset mengenai fraud dalam pelaporan
keuangan (fraudulent on financial reporting) dan membuat rekomendasi dan rerangka acuan
yang terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi
pendidikan.COSO telah menerbitkan sebuah model pengendalian internal yang umum yang
dengannya perusahaan dan organisasi dapat menilai sistem pengendalian mereka. Karena
adanya praktik-praktik kampanye politik dari keuangan perusahaan dan praktik-praktik
korupsi di dalamnya pada pertengahan dekade 1970-an, SEC di Amerika Serikat dan
Kongres AS membuat reformasi hukum kampanye keuangan dan Foreign Corrupt Practices
Act (FCPA) tahun 1977 yang mengkriminalisasikan praktik penyuapan antar negara dan
mensyaratkan perusahaan-perusahaan untuk mengimplementasikan program pengendalian
internal. Sebagai responsnya, the Treadway Commission, insiasi sektor swasta, dibentuk pada
tahun 1985 untuk memeriksa, menganalisa, dan membuat rekomendasi pada kecurangan dari
pelaporan keuangan perusahaan. The Treadwy Commission mempelajari sistem pelaporan
informasi keuangan selama periode Oktober 1985 sampai dengan September 1987 dan
mengeluarkan laporan temuan dan rekomendasi pada Oktober 1987 yang berjudul Report of
the National Commission on Fraudulent Financial Reporting. Sebagai hasil dari laporan
resmi tersebut, COSO dibentuk dan membayar Coopers & Lybrand, perusahaan CPA utama,
untuk mempelajari masalah-masalah yang ada dan membuat laporan mengenai kerangka
kerja pengendalian internal yang terintegrasi.
Pada bulan September 1992, laporan sebanyak empat volume yang berjudul Internal
Control – Integrated Framework diterbitkan oleh COSO dan kemudian diterbitkan ulang
dengan sedikit perubahan pada tahun 1994. Laporan ini menyajikan definisi umum dari
pengendalian internal dan menyediakan kerangka kerja yang dengannya pengendalian
internal dapat dinilai dan dikembangkan. Pada tahun 2004 organisasi-organisasi praktisi
akuntan dan auditor keuangan yang berpengaruh dan tergabung dalam The Committee of
Sponsoring Organizations of the Treadway Commission (COSO) menyatakan bahwa ERM
berhubungan dengan risiko dan peluang yang berpotensi mempengaruhi nilai, dan
mendefinisikannya sebagai berikut suatu proses yang dipengaruhi oleh dewan direktur,
manajemen, dan pihak lain, yang diaplikasikan dalam penentuan strategi perusahaan, yang
dirancang untuk mengidentifikasi risiko-risiko yang mungkin mempengaruhi perusahaan,
dan mengelola risiko-risiko tersebut tetap berada pada selera risiko perusahaan, serta
memberikan pemastian yang memadai bahwa tujuan perusahaan dapat dicapai.
2. Sekilas Tentang ERM
ERM bersifat strategis yaitu pencapaian tujuan perusahaan yang lebih baik dan pada
akhirnya menciptakan, menambah, dan atau melindungi nilai perusahaan. Pada manajemen
risiko tradisional, tujuan terbatas pada mitigasi risiko terbatas pada kegiatan atau unit bisnis
tertentu. Beberapa masalah yang mendasari munculnya ERM adalah :
1. Kegagalan manajemen dalam pencapaian tujuan perusahaan
2. Perbedaan visi dan misi di dalam suatu lingkungan Enterprise Business
3. Ketidakmampuan manajemen dalam mempertimbangkan resiko
4. Internal control yang lemah
5. Kesulitan untuk mencapai Goal congruence
3. Model ERM Versi COSO
ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini
diturunkan dari bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan
proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan
perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun kepatuhan
terhadap ketentuan perundang-undangan. Komponen-komponen tersebut adalah:
1. Lingkungan Internal (Internal Environment) – Lingkungan internal sangat menentukan
warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari
setiap orang dalam organisasi tersebut. Di dalam lingkungan internal ini termasuk,
filosofi manajemen risiko dan risk appetite, nilai-nilai etika dan integritas, dan
lingkungan di mana kesemuanya tersebut berjalan.
2. Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada terlebih dahulu
sebelum manajemen dapat menidentifikasi kejadian-kejadian yang berpotensi
mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa manajemen
memiliki sebuah proses untuk menetapkan tujuan ddan bahwa tujuan yang dipilih atau
ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk
appetite-nya.
3. Identifikasi Kejadian (Event Identification) – Kejadian internal dan eksternal yang
mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara
risiko dan peluang. Peluang dikembalikan (channeled back) kepada proses penetapan
strategi atau tujuan manajemen.
4. Penilaian Risiko (Risk Assessment) – Risiko dianalisis dengan memperhitungkan
kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan
bagaimana seharusnya risiko tersebut dikelola.
5. Respons Risiko (Risk Response) – Manajemen memilih respons risiko –menghindar
(avoiding), menerima (accepting), mengurangi (reducing), atau mengalihkan (sharing
risk) – dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi
(risk tolerance) dan risk appetite.
6. Kegiatan Pengendalian (Control Activities) – Kebijakan dan prosedur yang ditetapkan
dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan
efektif.
7. Informasi dan komunikasi (Information and Communication) – Informasi yang relevan
diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang
memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring) – Keseluruhan proses ERM dimonitor dan modifikasi
dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan
manajemen yang berjalan terus-menerus, melalui eveluasi secara khusus, atau dengan
keduanya.
Penerapan komponen dalam berbagai tujuan tersebut dapat dilakukan pada entity-level,
divisional, unit bisnis, dan/atau subsidiary. Hubungan antara ketiganya digambarkan oleh
COSO dalam kubus tiga dimensi sebagai berikut:
4. Pihak yang Berkepentingan (Stakeholder)
Mengaplikasikan model pengendalian internal milik COSO bagi manajemen tidaklah
semudah jika dibandingkan dengan menggunakan model tradisional. Model tradisonal, yang
utamanya menangani pengendalian keuangan, secara substansial telah meluas. Kerangka
kerja COSO mempertimbangkan tidak hanya evaluasi dari pengendalian yang keras (hard
control), seperti pemisahan fungsi, tetapi juga pengendalian yang lunak (soft control), seperti
kompetensi dan profesionalitas pegawai. Karena mengaplikasikan COSO tidak semudah apa
yang ada di teorinya, maka belum ada pendekatan yang standar dalam melakukan audit
terhadap pengendalian yang lunak dari COSO seperti integritas dan nilai- nilai etika dari
pegawai, filosofi dan gaya kepemimpinan dari manajemen, dan keefektifan dari komunikasi.
Dari hal tersebut dapat diketahui bahwa pengaplikasian COSO sesuai dengan yang diteorikan
merupakan hal yang sulit bagi manajemen. Demikian juga bagi auditor internal, audit internal
yang dirancang untuk mempertimbangkan kosep pengendalian COSOyang baru akan
menjadi lebih rumit dibandingkan audit pengendalian internal yang tradisional. COSO dan
produk-produk yang dihasilkannya merupakan pelindung bagi investor, pegawai perusahaan,
dan pihak-pihak yang berkepentingan lainnya dari mengalami kerugian dari peristiwa-
peritiwa skandal keuangan yang telah terjadi. COSO memberikan kepastian kepada pihak-
pihak tersebut sehingga mereka memperoleh bagian haknya dengan sesuai.
5. Apa Saja yang diatur COSO ?
Kerangka kerja COSO terdiri dari beberapa konsep penting, yaitu:
1. Pengendalian internal adalah sebuah proses. Proses itu merupakan alat untuk mencapai
akhir, bukan titik akhir dari proses.
2. Pengendalian internal dipengaruhi oleh orang. Hal itu bukan hanya kebijakan, petunjuk
manual, dan format, melainkan juga orang-orang di setiap tingkatan dalam organisasi.
3. Pengendalian internal dapat diharapkan untuk menyediakan keyakinan yang beralasan,
bukan keyakinan absolut, bagi manajemen perusahaan.
4. Pengendalian internal dilengkapi dengan satu atau lebih kategori yang terpisah namun
tumpang tindih untuk pencapaian tujuan tertentu.
Kerangka kerja COSO mendefinisikan pengendalian internal sebagai sebuah proses,
dipengaruhi oleh dewan direksi, manajemen, dan orangorang lainnya dalam perusahaan.
Menurut COSO, komponen tersebut menyediakan kerangka kerja yang efektif untuk
menggambarkan dan menganalisa sistem pengendalian internal yang diimplementasikan
dalam sebuah organisasi seperti yang disyaratkan oleh peraturan keuangan.
Manajemen Risiko Perusahaan – Kerangka Kerja yang Terintegrasi
Pada tahun 2001, COSO menginisiasi sebuah proyek, dan meminang
PricewaterhouseCoopers, untuk membangun sebuah kerangka kerja yang siap digunakan
oleh manajemen untuk mengevaluasi dan mengembangkan manajemen risiko perusahaan
mereka. Kegagalan dan skandal bisnis tingkat tinggi (contohnya Enron, Tyco International,
Adelphia, Peregrine Systems, dan WorldCom) merupakan penggilan untuk mengembangkan
menajemen risiko dan pengelolaan perusahaan. Sebagai hasilnya, akte Sarbanes-Oxley
diterbitkan. Peraturan tersebut memperluas persyaratan jangka panjang dari perusahaan
publik untuk menjaga sistem pengendalian internalnya, mensyaratkan manajemen untuk
mengakui dan auditor independen untuk menguji kefektifan sistem tersebut. Pengendalian
internal – kerangka kerja yang terintegrasi terus melayani sebagai standar yang diterima
secara luas untuk mencapai persyaratanpersyaratan laporan tersebut, bagaimanapun juga,
pada tahun 2004 COSO menerbitkan manajemen risiko perusahaan – karangka kerja yang
terintegrasi. COSO percaya kerangka kerja ini memperluas pengendalian internal,
menyediakan fokus yang lebih kuat dan ekstensif dalam subjek yang lebih luas dari
manajemen risiko perusahaan.
Empat Kategori dari Tujuan Bisnis
Kerangka kerja manajemen risiko perusahaan ini masih diperalati untuk pencapaian tujuan-
tujuan perusahaan; bagaimanapun juga sekarang ini terdiri dari empat kategori, yaitu:
a. Stratejik: sasaran-sasaran tingkat tinggi, dihubungkan dengan dan membantu misi
perusahaan.
b. Operasi: penggunaan sumber daya perusahaan secara efektif dan efisien.
c. Pelaporan: reliabilitas dari pelaporan.
d. Kepatuhan: kepatuhan terhadap hukum dan peraturan yang berlaku.
• Internal Control è sebuah proses, dipengaruhi oleh dewan direksi, manajemen, dan
orangorang lainnya dalam perusahaan dan dirancang untuk memberikan keyakinan
tentang efektivitas dan efisiensi dari operasi, keandalan informasi atau pelaporan
keuangan, dan ketaatan pada peraturan dan ketentuan yang berlaku