Manajemen Risiko Perusahaan: Kerangka Kerja, Elemen, dan Integrasi (Part 3)
Integrasi Manajemen Risiko Perusahaan COSO dengan Strategi dan Kinerja
COSO menerbitkan Kerangka Kerja Terpadu Pengendalian Internal pada tahun 1992. Hal ini menyusul pada tahun 2004 dengan publikasi kerangka ERM-nya, Enterprise Risk Management Integrated Framework. Kerangka kerja itu diperbarui pada tahun 2017 dengan Manajemen Risiko Perusahaan yang Mengintegrasikan dengan Strategi dan Kinerja (lihat Pameran 3 dan 4). Seperti disebutkan sebelumnya, definisi COSO dari ERM sangat luas. Kerangka kerja ERM jelas berbeda dari kerangka kerja pengendalian internal COSO. Saat ini, SEC mengharuskan perusahaan membuktikan secara tertulis bahwa sistem pengendalian internal mereka atas pelaporan keuangan efektif sesuai dengan kerangka kerja yang “sesuai” seperti kerangka kerja pengendalian internal COSO tahun 1992. COSO menganggap kerangka kerja ERM jauh lebih luas daripada pengendalian internal dan kontrol atas pelaporan keuangan. COSO telah menerbitkan panduan ERM tambahan tentang banyak topik termasuk selera risiko, pengawasan risiko dewan, dan penilaian risiko.
Kerangka kerja COSO ERM memiliki lima komponen yang saling terkait (lihat Exhibit 3). Fokus pada kerangka kerja ini adalah pada integrasi manajemen risiko dalam kegiatan dan proses bisnis. Integrasi itu harus lintas misi, strategi, tujuan bisnis, kinerja, dan nilai. Itu tidak statis. Sekali lagi, COSO menekankan bahwa ERM mencakup budaya, kemampuan, dan praktik organisasi.
Kerangka kerja COSO ERM didukung oleh 20 prinsip yang berlaku di berbagai tingkat entitas dan lintas fungsi (lihat Exhibit 4), dan setiap komponen memiliki prinsipnya sendiri. Exhibit 4 menunjukkan, prinsip-prinsip tersebut mencakup (antara lain) bidang-bidang seperti:
- Latihan dewan pengawasan risiko,
- Mengevaluasi strategi alternatif,
- Mengidentifikasi risiko,
- Laporan tentang risiko, budaya, dan kinerja.
Komponen pertama, Tata Kelola dan Budaya, sangat penting dan menetapkan panggung untuk ERM lainnya. Itu mencakup asas-asas (lihat Exhibit 4): Melatih pengawasan risiko dewan, membangun struktur operasi, mendefinisikan budaya yang diinginkan, menunjukkan komitmen terhadap nilai-nilai inti, dan menarik, mengembangkan, dan mempertahankan individu yang cakap. Sekali lagi, komponen ini adalah awal dan fondasi untuk semua komponen lainnya. COSO menekankan bahwa nada diatur di sini, signifikansi ERM ditetapkan, dan setiap tanggung jawab pengawasan yang diperlukan diberlakukan. Selain itu, manajemen dan dewan harus mendefinisikan budaya dan perilaku yang diinginkan dan dengan jelas menetapkan pentingnya budaya dan pengaruhnya dalam mengidentifikasi risiko, menerima risiko, dan mengelola risiko.
Menilai ERM
Meskipun tentu saja diperdebatkan tentang mandat hukum atau peraturan semacam itu untuk ERM di setiap industri, COSO masih memberikan pendekatan sukarela untuk menilai ERM yang mencakup tiga pertimbangan. Pertama, untuk menilai ERM, organisasi dapat menentukan apakah semua komponen dan prinsip yang relevan ada dan berfungsi. Kedua, komponen harus bekerja secara terintegrasi (bukan dalam silo). Ketiga, kontrol yang diperlukan untuk prinsip-prinsip yang relevan harus ada dan berfungsi. Organisasi lain telah mengembangkan model kematangan ERM yang dapat digunakan untuk mengukur kemajuan ERM.
Protiviti memiliki kerangka kerja kematangan kapabilitas yang dirancang untuk membantu manajemen menentukan kematangan manajemen risikonya dengan memeriksa kemampuan manajemen risiko untuk setiap jenis risiko. Pendekatannya juga membantu manajemen memutuskan keadaan yang diinginkan dibandingkan dengan keadaan saat ini dan kemudian mengarahkan manajemen ke arah tindakan untuk mempertimbangkan menutup kesenjangan. Deloitte juga memiliki model kematangan risiko yang mencakup tahapan-tahapan seperti: awal, terfragmentasi, top down, terintegrasi, dan cerdas risiko (level tertinggi). Setiap tahap dibangun di atas serangkaian atribut yang menunjukkan organisasi berada dalam tahap itu. Deloitte berpendapat bahwa pendorong utama kematangan risiko adalah manajemen dan sikap dewan tentang “peran dan prioritas manajemen risiko.” Selain itu, RIMS memiliki alat penilaian model kematangan risiko yang dapat digunakan organisasi untuk menilai program mereka dengan menjawab serangkaian pertanyaan yang dirancang untuk mengukur atribut risiko tertentu.
Standard & Poor’s and ERM
Standard & Poor’s (S&P) sudah mulai memasukkan praktik ERM perusahaan ke dalam peringkat S&P perusahaan. S&P saat ini menerapkan peringkat ini untuk lembaga keuangan dan perusahaan asuransi. Kerangka kerjanya untuk mengevaluasi ERM di bank meliputi tinjauan kebijakan ERM, infrastruktur ERM, dan metodologi ERM. Kebijakan ERM harus membahas budaya risiko, selera, dan strategi; kontrol dan pemantauan; serta pengungkapan dan kesadaran. Infrastruktur ERM mencakup teknologi risiko, operasi, dan pelatihan risiko. Metodologi ERM mengacu pada alokasi modal, pemeriksaan model, dan metode penilaian. Kerangka kerja untuk mengevaluasi perusahaan asuransi meliputi penilaian budaya manajemen risiko, pengendalian risiko, manajemen risiko yang muncul, model risiko dan modal, dan manajemen risiko strategis. S&P telah menyatakan bahwa perusahaan asuransi dinilai lemah, memadai, kuat, atau sangat baik. Peringkat yang memadai berarti perusahaan asuransi memiliki “sistem pengendalian risiko yang berfungsi penuh untuk semua risiko utama.”
Referensi:
- American Institute of Certified Public Accountants (AICPA) and Canadian Institute of Chartered Accountants (CICA), Managing Risk in the New Economy, AICPA, New York, 2000.
- Augustine, N.R., “Managing the Crisis You Tried to Prevent,” Harvard Business Review, November-December 1995, pp. 147-158
- COSO, Enterprise Risk Management—Integrated Framework: Executive Summary, AICPA, New York, 2004
- Epstein, Marc J., and Adriana Rejc, Identifying, Measuring, and Managing Organizational Risks for Improved Performance, Society of Management Accountants of Canada and AICPA, 2005
- Image, 2022. Google Image.
- Institute of Chartered Accountants in England and Wales (ICAEW), No Surprises: The Case for Better Risk Reporting, ICAEW, London, 1999.