COSO ERM: Kontrol Risiko Perusahaan

1. Pendahuluan: Memahami Kontrol Risiko Perusahaan dan COSO ERM

Latar belakang dunia bisnis modern ditandai dengan lanskap yang dinamis dan penuh ketidakpastian. Organisasi dari berbagai skala dan industri terus-menerus dihadapkan pada berbagai risiko yang dapat secara signifikan mempengaruhi kemampuan mereka untuk mencapai tujuan yang telah ditetapkan ¹. Ketidakpastian ini dapat muncul dari berbagai sumber, termasuk perubahan kondisi pasar, inovasi teknologi yang disruptif, tekanan regulasi yang meningkat, dan bahkan peristiwa geopolitik yang tidak terduga. Oleh karena itu, manajemen risiko yang efektif bukan lagi sekadar pilihan, melainkan suatu keharusan strategis untuk keberlanjutan dan kesuksesan jangka panjang sebuah organisasi ².

Sejarah mencatat berbagai kegagalan bisnis besar yang sebagian besar disebabkan oleh kurangnya sistem manajemen risiko yang memadai. Peristiwa-peristiwa seperti krisis keuangan global dan skandal korporasi di masa lalu, termasuk kebangkrutan Enron dan WorldCom pada awal tahun 2000-an ², telah menggarisbawahi pentingnya organisasi untuk memiliki mekanisme kontrol risiko yang kuat. Kegagalan-kegagalan ini memicu pembentukan dan evolusi berbagai kerangka kerja dan standar manajemen risiko, yang bertujuan untuk membantu organisasi mengidentifikasi, menilai, dan memitigasi potensi ancaman terhadap tujuan mereka.

Dalam konteks ini, regulasi dan ekspektasi dari para pemangku kepentingan, termasuk investor, regulator, dan masyarakat umum, terus meningkat. Mereka semakin menuntut transparansi dan akuntabilitas yang lebih besar dalam bagaimana organisasi mengelola risiko. Adanya undang-undang seperti Sarbanes-Oxley Act (SOX) di Amerika Serikat ⁴ merupakan contoh bagaimana tekanan regulasi mendorong perusahaan, terutama perusahaan publik, untuk mengadopsi praktik pengendalian internal dan manajemen risiko yang lebih ketat. Ekspektasi yang meningkat ini semakin menekankan pentingnya bagi organisasi untuk memiliki pendekatan kontrol risiko yang terstruktur dan komprehensif.

Salah satu kerangka kerja manajemen risiko yang paling diakui dan banyak digunakan secara global adalah COSO Enterprise Risk Management (ERM) Framework. COSO, yang merupakan singkatan dari Committee of Sponsoring Organizations of the Treadway Commission, adalah sebuah organisasi sektor swasta yang didirikan pada tahun 1985 ⁵. Misinya adalah untuk mengembangkan panduan dan kepemimpinan pemikiran di bidang pengendalian internal, manajemen risiko, tata kelola perusahaan, dan pencegahan kecurangan ⁸. Sejak didirikan, COSO telah menjadi sumber daya yang berharga bagi organisasi yang ingin meningkatkan praktik tata kelola dan manajemen risiko mereka.

Kerangka kerja COSO ERM adalah salah satu dari dua standar populer yang digunakan oleh perusahaan di seluruh dunia untuk membantu mereka mengelola risiko bisnis. Standar populer lainnya adalah ISO 31000 ². COSO ERM menawarkan pendekatan yang komprehensif dan terintegrasi untuk mengidentifikasi, menilai, merespons, dan memantau risiko di seluruh tingkatan dan unit organisasi ¹. Kerangka kerja ini tidak hanya berfokus pada perlindungan terhadap potensi kerugian, tetapi juga menekankan pada penciptaan dan pemeliharaan nilai bagi para pemangku kepentingan organisasi ¹.

COSO ERM telah mengalami evolusi yang signifikan sejak pertama kali diperkenalkan. Awalnya, fokus COSO adalah pada studi tentang penyebab pelaporan keuangan yang curang ². Namun, seiring dengan perkembangan lanskap bisnis dan pemahaman yang lebih dalam tentang pentingnya manajemen risiko yang holistik, misi COSO pun meluas. Kerangka kerja ERM yang pertama kali diterbitkan pada tahun 2004 ¹ merupakan respons terhadap kebutuhan akan panduan berbasis prinsip untuk manajemen risiko di seluruh perusahaan. Kemudian, pada tahun 2017, kerangka kerja ini diperbarui ¹ untuk lebih menekankan integrasi risiko dengan penetapan strategi dan kinerja organisasi, yang mencerminkan pemahaman bahwa manajemen risiko adalah bagian integral dari pencapaian tujuan strategis.

Laporan ini bertujuan untuk memberikan pemahaman yang mendalam dan komprehensif mengenai COSO ERM Framework. Secara khusus, laporan ini akan menjawab pertanyaan-pertanyaan kunci yang diajukan, termasuk definisi dan penjelasan lengkap mengenai COSO ERM, tujuan dan manfaat utama penerapannya, delapan komponen utama dalam kerangka kerja (model 2004) dan lima komponen utama (model 2017), tahapan-tahapan implementasi, contoh studi kasus perusahaan yang berhasil menerapkan COSO ERM, bagaimana kerangka kerja ini membantu dalam pengelolaan berbagai jenis risiko, hubungan antara COSO ERM dengan kerangka kerja pengendalian internal COSO, tantangan dan kendala dalam adopsi COSO ERM, sumber daya dan panduan praktis yang tersedia, serta rangkuman poin-poin penting mengenai penerapan kontrol risiko perusahaan berdasarkan COSO ERM.

2. Definisi dan Penjelasan Lengkap COSO ERM

COSO Enterprise Risk Management (ERM) Framework adalah sebuah kerangka kerja yang dirancang untuk membantu organisasi dalam mengidentifikasi, menilai, merespons, dan memantau risiko yang dapat mempengaruhi pencapaian tujuan bisnis mereka ¹. Lebih dari sekadar seperangkat aturan atau prosedur, COSO ERM merupakan suatu proses berkelanjutan yang melibatkan perencanaan, pengorganisasian, dan kepemimpinan tindakan organisasi untuk mendukung pencapaian tujuannya sambil meminimalkan potensi hambatan yang dapat dihindari ¹⁵. Kerangka kerja ini secara inheren mengintegrasikan manajemen risiko dengan tujuan strategis organisasi, memastikan bahwa pertimbangan risiko menjadi bagian yang tidak terpisahkan dari pengambilan keputusan dan proses bisnis inti ¹⁶.

Salah satu konsep dasar dari COSO ERM adalah pandangannya yang seimbang terhadap risiko. Risiko tidak hanya dipandang sebagai potensi ancaman terhadap pencapaian tujuan, tetapi juga sebagai sumber peluang yang dapat dimanfaatkan oleh organisasi untuk menciptakan nilai ¹. Dengan mengelola risiko secara proaktif dan efektif, organisasi dapat membuat keputusan yang lebih tepat, melindungi diri dari potensi kerugian, dan pada akhirnya meningkatkan kinerja secara keseluruhan.

COSO ERM menekankan bahwa manajemen risiko bukan hanya tentang menghindari atau meminimalkan kerugian. Lebih dari itu, kerangka kerja ini bertujuan untuk membantu organisasi dalam menciptakan, mempertahankan, dan mewujudkan nilai bagi para pemangku kepentingan mereka ¹. Pembaruan kerangka kerja pada tahun 2017 semakin memperjelas peran ERM sebagai aktivitas yang secara langsung berkontribusi pada penciptaan dan perlindungan nilai organisasi ¹¹. Ini berarti bahwa manajemen risiko yang efektif harus selaras dengan strategi organisasi dan berkontribusi pada pencapaian tujuan strategisnya.

Sejarah COSO ERM dimulai pada pertengahan tahun 1980-an ketika Committee of Sponsoring Organizations of the Treadway Commission didirikan oleh lima asosiasi akuntansi dan keuangan terkemuka di Amerika Serikat: American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), American Accounting Association (AAA), Institute of Internal Auditors (IIA), dan Institute of Management Accountants (IMA) ¹. Tujuan awal pendirian COSO adalah untuk meneliti penyebab pelaporan keuangan yang curang dan mengusulkan cara untuk mencegah aktivitas tersebut ².

Kerangka kerja pertama yang diterbitkan oleh COSO adalah “Internal Control–Integrated Framework” pada tahun 1992 ². Kerangka kerja ini menjadi standar yang banyak digunakan untuk merancang, mengimplementasikan, dan mengevaluasi sistem pengendalian internal. Seiring dengan perkembangan pemahaman tentang manajemen risiko, COSO kemudian mengembangkan kerangka kerja yang lebih komprehensif yang secara khusus berfokus pada manajemen risiko perusahaan.

Kerangka kerja COSO ERM yang pertama kali diterbitkan pada tahun 2004 adalah “Enterprise Risk Management–Integrated Framework” ¹. Kerangka kerja ini dikembangkan sebagai respons terhadap kebutuhan akan panduan berbasis prinsip untuk membantu organisasi mengelola risiko di seluruh perusahaan secara efektif ¹². Model tahun 2004 ini menggunakan diagram yang dikenal sebagai “COSO Cube” untuk menggambarkan sifat multidimensi dari manajemen risiko dalam organisasi ¹. Bagian atas kubus mengidentifikasi tujuan organisasi (strategis, operasi, pelaporan, dan kepatuhan), bagian depan mencantumkan delapan komponen utama ERM, dan sisi-sisi lainnya merepresentasikan struktur organisasi.

Pada tahun 2017, COSO memperbarui kerangka kerja ERM untuk menekankan integrasi risiko dengan penetapan strategi dan kinerja organisasi ¹. Pembaruan ini, yang berjudul “Enterprise Risk Management—Integrating with Strategy and Performance” ¹⁰, mengakui bahwa risiko bukan hanya tentang mencegah kerugian, tetapi juga merupakan bagian intrinsik dari penciptaan dan pemeliharaan nilai organisasi ¹. Model tahun 2017 ini menggunakan diagram pita yang saling terkait untuk menggambarkan lima komponen utama ERM: Tata Kelola dan Budaya, Strategi dan Penetapan Tujuan, Kinerja, Peninjauan dan Revisi, serta Informasi, Komunikasi, dan Pelaporan ¹. Evolusi kerangka kerja COSO ERM ini mencerminkan respons terhadap perubahan lingkungan bisnis yang terus menerus dan pemahaman yang semakin mendalam tentang peran penting manajemen risiko dalam membantu organisasi mencapai tujuan mereka dan menciptakan nilai bagi para pemangku kepentingan.

Meskipun COSO ERM adalah kerangka kerja yang sangat populer, penting untuk dicatat bahwa ada kerangka kerja manajemen risiko lain yang juga digunakan secara luas, salah satunya adalah ISO 31000 ². Baik COSO ERM maupun ISO 31000 bertujuan untuk menyediakan pendekatan terstruktur untuk mengelola risiko secara efektif. Namun, terdapat beberapa perbedaan utama di antara keduanya. Banyak perusahaan publik, terutama di Amerika Serikat, lebih memilih COSO ERM karena dianggap lebih komprehensif dan telah menjadi standar de facto untuk manajemen risiko ². ISO 31000, di sisi lain, menawarkan pendekatan yang lebih fleksibel dan berbasis prinsip, yang membuatnya dapat diterapkan pada berbagai jenis organisasi dan risiko, terlepas dari ukuran, sektor, atau lokasi geografis ¹⁶.

COSO ERM cenderung memberikan panduan yang lebih rinci dan spesifik mengenai berbagai aspek manajemen risiko, termasuk tata kelola perusahaan dan pengembangan budaya sadar risiko ¹⁶. Kerangka kerja ini secara eksplisit mengintegrasikan manajemen risiko dengan strategi dan kinerja organisasi, menjadikannya pilihan yang ideal bagi perusahaan yang ingin menanamkan prinsip-prinsip manajemen risiko secara mendalam ke dalam proses strategis mereka ¹⁶. Sementara itu, ISO 31000 lebih berfokus pada penyediaan prinsip-prinsip dasar dan panduan umum untuk manajemen risiko, yang dapat disesuaikan oleh organisasi sesuai dengan kebutuhan spesifik mereka ¹⁶. Meskipun demikian, kedua kerangka kerja ini memiliki tujuan yang sama, yaitu membantu organisasi untuk mengelola risiko secara efektif dan mencapai tujuan mereka dalam lingkungan yang penuh ketidakpastian.

3. Tujuan dan Manfaat Utama Penerapan COSO ERM

Penerapan COSO Enterprise Risk Management (ERM) Framework memiliki berbagai tujuan strategis dan memberikan manfaat signifikan bagi organisasi di berbagai aspek operasional, kepatuhan, pelaporan, pengambilan keputusan, dan hubungan dengan pemangku kepentingan.

Salah satu tujuan strategis utama dari penerapan COSO ERM adalah untuk menyelaraskan manajemen risiko dengan strategi dan tujuan perusahaan secara keseluruhan ². Ini memastikan bahwa risiko dipertimbangkan secara eksplisit ketika organisasi mengevaluasi berbagai alternatif strategis dan menetapkan tujuan yang ingin dicapai ¹². Dengan mengintegrasikan manajemen risiko ke dalam proses strategis, organisasi dapat membuat keputusan yang lebih terinformasi dan meningkatkan kemungkinan keberhasilan dalam mencapai tujuan mereka.

Selain itu, COSO ERM bertujuan untuk meningkatkan kualitas pengambilan keputusan di semua tingkatan organisasi ¹. Dengan mengidentifikasi dan mengklarifikasi risiko yang terkait dengan berbagai pilihan yang tersedia, para pengambil keputusan dapat lebih memahami potensi konsekuensi dari tindakan mereka dan membuat pilihan yang lebih tepat dan sesuai dengan selera risiko organisasi ¹.

Tujuan fundamental lain dari COSO ERM adalah untuk menciptakan dan melindungi nilai bagi para pemangku kepentingan organisasi ¹. Dengan mengelola risiko secara proaktif dan efektif, organisasi dapat meminimalkan potensi kerugian dan memaksimalkan peluang untuk pertumbuhan dan inovasi ¹. Kerangka kerja ini membantu organisasi untuk tidak hanya melindungi nilai yang sudah ada, tetapi juga untuk mengidentifikasi dan memanfaatkan risiko sebagai sumber potensial untuk menciptakan nilai baru.

Penerapan COSO ERM juga bertujuan untuk meningkatkan kinerja organisasi secara keseluruhan ³. Dengan membantu manajemen dan dewan direksi dalam membuat keputusan yang lebih baik dan mengelola risiko secara lebih efektif, kerangka kerja ini berkontribusi pada peningkatan efisiensi, efektivitas, dan pencapaian tujuan strategis organisasi ¹¹. Pada akhirnya, COSO ERM mendukung pencapaian misi dan visi organisasi dengan memastikan bahwa risiko yang dapat menghambat kemajuan dikelola dengan tepat ².

Dari perspektif operasional, kepatuhan, dan pelaporan, penerapan COSO ERM memberikan berbagai manfaat nyata. Dalam hal operasional, kerangka kerja ini membantu meningkatkan efisiensi dengan menyelaraskan kontrol internal dengan tujuan organisasi, sehingga merampingkan proses dan meminimalkan inefisiensi ¹⁷. Dalam hal kepatuhan, COSO ERM meningkatkan kemampuan organisasi untuk mematuhi berbagai peraturan perundang-undangan yang berlaku, baik di bidang keuangan maupun non-keuangan, sehingga mengurangi risiko hukum dan potensi sanksi ². Selain itu, kerangka kerja ini memperbaiki keandalan pelaporan keuangan dan non-keuangan organisasi dengan memastikan akurasi dan integritas data yang disajikan ⁵. COSO ERM juga membantu mengurangi kejutan operasional dan potensi kerugian dengan meningkatkan kemampuan organisasi untuk mengidentifikasi potensi kejadian dan menetapkan respons yang tepat ¹². Terakhir, kerangka kerja ini dapat meningkatkan alokasi sumber daya organisasi dengan memberikan kerangka kerja yang jelas untuk pengambilan keputusan dan memprioritaskan investasi berdasarkan tingkat risiko yang dimitigasi ¹⁷.

COSO ERM juga memainkan peran penting dalam meningkatkan pengambilan keputusan dan ketahanan organisasi. Dengan mempertimbangkan ketidakpastian dalam proses pengambilan keputusan, organisasi dapat membuat pilihan yang lebih tepat dan terinformasi ¹. Kerangka kerja ini juga meningkatkan kesiapan organisasi dalam menghadapi peristiwa tak terduga dengan mendorong identifikasi proaktif terhadap potensi kejadian dan penilaian terhadap dampaknya ¹. Akibatnya, organisasi menjadi lebih tahan dan mampu beradaptasi terhadap perubahan lingkungan bisnis yang dinamis ¹⁰. COSO ERM memungkinkan organisasi untuk mengidentifikasi dan mengelola berbagai jenis risiko secara proaktif, sehingga mereka dapat mengambil tindakan pencegahan atau respons yang tepat waktu ¹.

Manfaat penting lainnya dari penerapan COSO ERM adalah peningkatan kepercayaan dari para pemangku kepentingan. Dengan menunjukkan komitmen yang kuat terhadap identifikasi dan pengelolaan risiko yang efektif, organisasi dapat meningkatkan kepercayaan investor, regulator, dan pemangku kepentingan lainnya ¹. Kerangka kerja ini juga meningkatkan transparansi dan akuntabilitas organisasi melalui pelaporan yang jelas dan penetapan tanggung jawab yang terdefinisi dengan baik ¹. Pada akhirnya, penerapan COSO ERM membantu membangun reputasi perusahaan yang kuat dan etis di mata publik dan para pemangku kepentingan ².

4. Delapan Komponen Utama Kerangka Kerja COSO ERM (Model 2004)

Kerangka kerja COSO ERM yang pertama kali diterbitkan pada tahun 2004 mengidentifikasi delapan komponen utama yang saling terkait dan bekerja bersama untuk mencapai tujuan organisasi. Kedelapan komponen ini adalah:

1. Lingkungan Internal (Internal Environment): Komponen ini menetapkan dasar bagi semua komponen ERM lainnya dengan mempengaruhi bagaimana risiko dipandang dan ditangani oleh organisasi ². Lingkungan internal mencakup budaya organisasi, filosofi manajemen risiko, selera risiko, integritas, dan nilai-nilai etika perusahaan ¹. Ini juga berfokus pada nilai-nilai etika kepemimpinan perusahaan, struktur organisasi, serta perekrutan dan retensi anggota tim yang kompeten dan jujur ². “Tone at the top” yang ditetapkan oleh manajemen senior dan dewan direksi sangat penting dalam membentuk lingkungan internal yang mendukung manajemen risiko yang efektif ².
2. Penetapan Tujuan (Objective Setting): Komponen ini memastikan bahwa manajemen senior memiliki arah yang jelas dan bahwa risiko diidentifikasi dan dinilai dalam konteks tujuan organisasi ¹. Dewan direksi harus menetapkan tujuan yang mendukung misi organisasi dan konsisten dengan selera risiko yang telah ditetapkan ⁸. Penetapan tujuan juga melibatkan pemahaman proses untuk mengidentifikasi, menilai, dan menanggapi risiko, mendefinisikan selera risiko organisasi, dan merencanakan tujuan bisnis yang selaras dengan strategi keseluruhan perusahaan ².
3. Identifikasi Kejadian (Event Identification): Komponen ini melibatkan identifikasi potensi kejadian, baik yang berasal dari dalam maupun luar organisasi, yang dapat mempengaruhi pencapaian tujuan organisasi ¹. Ini mencakup pemahaman tentang bagaimana faktor-faktor internal dan eksternal berinteraksi dan mempengaruhi profil risiko entitas ²⁰. Selain itu, komponen ini juga menekankan pada pembedaan antara risiko, yang merupakan potensi kejadian negatif, dan peluang, yang merupakan potensi kejadian positif yang dapat dimanfaatkan oleh organisasi ²⁰.
4. Penilaian Risiko (Risk Assessment): Setelah kejadian-kejadian potensial diidentifikasi, langkah selanjutnya adalah menilai risiko yang terkait dengan kejadian tersebut. Penilaian risiko melibatkan analisis kejadian yang teridentifikasi untuk menentukan kemungkinan terjadinya dan potensi dampaknya terhadap pencapaian tujuan organisasi ¹. Proses ini seringkali melibatkan pengukuran dampak potensi kejadian dalam hal kemungkinan dan besarnya konsekuensi, baik menggunakan teknik kualitatif maupun kuantitatif ²⁰. Hasil dari penilaian risiko ini membantu organisasi untuk memahami tingkat keparahan risiko yang dihadapi dan memprioritaskan respons yang tepat.
5. Respons Risiko (Risk Response): Berdasarkan hasil penilaian risiko, organisasi harus memutuskan bagaimana merespons risiko-risiko yang telah teridentifikasi ¹. Terdapat beberapa pilihan respons risiko yang dapat dipertimbangkan, termasuk menghindari risiko (menghentikan aktivitas yang menimbulkan risiko), menerima risiko (mengambil risiko dan menanggung potensi konsekuensinya), mengurangi risiko (mengambil tindakan untuk mengurangi kemungkinan atau dampak risiko), dan berbagi risiko (mentransfer sebagian risiko kepada pihak lain, misalnya melalui asuransi atau outsourcing) ¹. Pemilihan respons risiko yang paling tepat akan tergantung pada berbagai faktor, termasuk analisis biaya dan manfaat serta efek yang diinginkan terhadap kemungkinan dan dampak risiko ²⁰.
6. Aktivitas Pengendalian (Control Activities): Komponen ini mencakup tindakan, kebijakan, dan prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan bahwa respons risiko yang telah dipilih dilaksanakan secara efektif ¹. Aktivitas pengendalian dapat berupa berbagai macam tindakan, termasuk persetujuan, otorisasi, verifikasi, rekonsiliasi, tinjauan kinerja operasional, perlindungan aset perusahaan, dan pemisahan tugas ⁹. Aktivitas pengendalian harus terjadi di seluruh organisasi, di semua tingkatan dan di semua fungsi, untuk memastikan bahwa risiko dikelola dengan tepat ²⁰.
7. Informasi dan Komunikasi (Information and Communication): Informasi yang relevan tentang risiko perlu ditangkap, diproses, dan dikomunikasikan kepada pihak-pihak yang tepat di seluruh organisasi agar mereka dapat membuat keputusan yang tepat ¹. Komponen ini memastikan bahwa terdapat saluran komunikasi yang efektif untuk menyampaikan informasi risiko baik ke atas, ke bawah, maupun di seluruh organisasi ²⁰. Informasi yang disampaikan harus relevan, andal, dan tepat waktu untuk mendukung semua aspek manajemen risiko.
8. Pemantauan (Monitoring): Komponen terakhir dari kerangka kerja COSO ERM (model 2004) adalah pemantauan. Pemantauan melibatkan proses berkelanjutan untuk mengevaluasi efektivitas komponen-komponen ERM lainnya dari waktu ke waktu ¹. Ini dapat dilakukan melalui tinjauan rutin, audit internal, atau evaluasi terpisah lainnya. Jika ditemukan kelemahan atau area yang perlu ditingkatkan, tindakan korektif harus diambil untuk memastikan bahwa kerangka kerja ERM tetap relevan dan efektif dalam merespons perubahan lingkungan internal dan eksternal organisasi ¹. Lingkup dan frekuensi kegiatan pemantauan akan tergantung pada penilaian risiko organisasi dan efektivitas pengawasan berkelanjutan ²⁰.

Setiap komponen dari kerangka kerja COSO ERM (model 2004) berkontribusi secara unik dan saling terkait dalam menciptakan kontrol risiko perusahaan yang efektif ¹. Meskipun masing-masing komponen mempengaruhi manajemen risiko secara berbeda, mereka semua saling berhubungan. Ini berarti bahwa kekuatan keseluruhan kerangka kerja COSO ERM akan sangat bergantung pada kekuatan setiap komponen; kelemahan pada satu komponen dapat mempengaruhi efektivitas keseluruhan kerangka kerja ². Oleh karena itu, untuk mencapai kontrol risiko yang kuat, organisasi perlu memastikan implementasi dan integrasi yang efektif dari kedelapan komponen ini.

5. Lima Komponen Utama Kerangka Kerja COSO ERM (Model 2017)

Kerangka kerja COSO ERM yang diperbarui pada tahun 2017 menyederhanakan struktur menjadi lima komponen utama yang saling terkait, yang mencerminkan evolusi pemikiran tentang manajemen risiko dan integrasinya dengan strategi dan kinerja organisasi. Kelima komponen ini adalah:

1. Tata Kelola dan Budaya (Governance and Culture): Komponen ini menetapkan “tone at the top” organisasi, mengawasi tanggung jawab manajemen risiko, dan menetapkan budaya risiko yang diinginkan ¹⁵. Ini menekankan pentingnya pengawasan dewan direksi, penetapan struktur operasi yang jelas, nada kepemimpinan yang mendukung manajemen risiko, serta upaya untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten ¹. Tata kelola dan budaya mencakup filosofi manajemen risiko organisasi, selera risiko yang ditetapkan, serta nilai-nilai etika yang mendasarinya ¹. Budaya organisasi yang kuat dan sadar risiko adalah landasan bagi manajemen risiko yang efektif dalam model 2017 ¹⁵.
2. Strategi dan Penetapan Tujuan (Strategy and Objective-Setting): Komponen ini berfokus pada integrasi manajemen risiko dengan perencanaan strategis organisasi dan proses penetapan tujuan ¹. Ini melibatkan pemahaman konteks bisnis organisasi, baik internal maupun eksternal, pendefinisian selera risiko, dan formulasi tujuan bisnis yang selaras dengan strategi yang dipilih ⁴. Dewan direksi harus menetapkan tujuan yang mendukung misi organisasi dan konsisten dengan tingkat risiko yang bersedia mereka ambil ⁸. Integrasi manajemen risiko dengan strategi dan penetapan tujuan merupakan fokus utama dalam pembaruan kerangka kerja tahun 2017 ¹.
3. Kinerja (Performance): Komponen ini berkaitan dengan implementasi strategi dan tujuan organisasi, termasuk identifikasi risiko yang dapat mempengaruhi kinerja, penilaian tingkat keparahan risiko, prioritisasi risiko, implementasi respons risiko, dan pengembangan pandangan portofolio risiko ¹. Ini menekankan pada penerapan praktik manajemen risiko dalam operasi sehari-hari organisasi untuk memastikan bahwa tujuan bisnis dapat dicapai secara efektif ¹⁵.
4. Peninjauan dan Revisi (Review and Revision): Komponen ini mengakui bahwa manajemen risiko adalah proses yang dinamis dan memerlukan peninjauan serta revisi berkelanjutan dari waktu ke waktu ¹. Ini melibatkan penilaian terhadap perubahan substansial yang mungkin terjadi dalam lingkungan bisnis organisasi, peninjauan kinerja manajemen risiko, dan upaya untuk terus meningkatkan praktik manajemen risiko ². Organisasi perlu mengevaluasi efektivitas komponen ERM dari waktu ke waktu dan memahami bagaimana tingkat risiko dapat berfluktuasi sebagai respons terhadap keputusan bisnis dan perubahan operasional ²⁷.
5. Informasi, Komunikasi, dan Pelaporan (Information, Communication, and Reporting): Komponen ini menekankan pentingnya informasi yang relevan, baik dari sumber internal maupun eksternal, yang ditangkap, diproses, dan dikomunikasikan kepada para pemangku kepentingan yang sesuai secara tepat waktu ¹. Komunikasi dan pelaporan yang efektif mendukung pengambilan keputusan yang terinformasi dan mendorong transparansi serta kepercayaan dengan para pemangku kepentingan, termasuk investor, regulator, dan publik ¹. Organisasi juga perlu memastikan bahwa fungsi kepatuhan memiliki akses mudah ke data yang relevan untuk manajemen risiko dan menggunakan analitik data serta teknologi yang relevan untuk tujuan pemantauan dan audit ²⁶.

Perbandingan antara model COSO ERM tahun 2004 dan 2017 menunjukkan penyederhanaan kerangka kerja dari delapan menjadi lima komponen yang saling terkait ². Pembaruan tahun 2017 secara lebih eksplisit menghubungkan ERM dengan strategi dan kinerja organisasi ¹. Kedua model ini bertujuan untuk meningkatkan kontrol risiko perusahaan dengan menyediakan kerangka kerja yang komprehensif untuk mengelola risiko. Namun, model 2017 lebih menekankan pada integrasi manajemen risiko ke dalam inti proses bisnis dan pengambilan keputusan strategis organisasi ¹.

Tabel berikut merangkum perbandingan antara komponen-komponen COSO ERM model 2004 dan 2017:

Komponen COSO ERM (Model 2004)	Komponen COSO ERM (Model 2017)	Deskripsi Singkat
Lingkungan Internal	Tata Kelola dan Budaya	Menetapkan dasar organisasi untuk manajemen risiko, termasuk nilai etika, budaya risiko, dan struktur organisasi.
Penetapan Tujuan	Strategi dan Penetapan Tujuan	Memastikan tujuan organisasi selaras dengan misi dan selera risiko, serta mengintegrasikan manajemen risiko dengan perencanaan strategis.
Identifikasi Kejadian	Kinerja	Mengidentifikasi dan menilai risiko yang dapat mempengaruhi pencapaian tujuan organisasi, serta memilih respons risiko yang tepat.
Penilaian Risiko	Kinerja	(Digabungkan dalam Kinerja)
Respons Risiko	Kinerja	(Digabungkan dalam Kinerja)
Aktivitas Pengendalian		(Aspek pengendalian diintegrasikan di seluruh lima komponen model 2017)
Informasi dan Komunikasi	Informasi, Komunikasi, dan Pelaporan	Memastikan bahwa informasi yang relevan tentang risiko dikomunikasikan secara efektif di seluruh organisasi.
Pemantauan	Peninjauan dan Revisi	Mengevaluasi efektivitas komponen ERM dari waktu ke waktu dan melakukan revisi yang diperlukan untuk meningkatkan manajemen risiko.

6. Tahapan-Tahapan Umum dalam Proses Implementasi COSO ERM

Implementasi COSO Enterprise Risk Management (ERM) Framework adalah sebuah perjalanan yang memerlukan perencanaan yang matang, komitmen dari seluruh organisasi, dan pendekatan yang sistematis. Meskipun setiap organisasi mungkin memiliki kebutuhan dan konteks yang unik, terdapat beberapa tahapan umum yang biasanya dilalui dalam proses implementasi COSO ERM:

1. Mendapatkan Dukungan Eksekutif dan Pembentukan Tim: Tahap pertama dan krusial dalam implementasi COSO ERM adalah mendapatkan dukungan penuh dari eksekutif puncak dan dewan direksi ²⁸. Tanpa dukungan ini, sulit untuk mengalokasikan sumber daya yang diperlukan dan mendorong budaya sadar risiko di seluruh organisasi ²⁸. Setelah dukungan diperoleh, langkah selanjutnya adalah membentuk tim lintas fungsi yang terdiri dari para profesional manajemen risiko, pemangku kepentingan utama dari berbagai departemen, dan perwakilan dari unit bisnis yang relevan ²⁸. Tim ini akan bertanggung jawab untuk memimpin dan mengawasi proses implementasi ERM. Peran dan tanggung jawab yang jelas harus ditetapkan untuk setiap anggota tim untuk memastikan akuntabilitas dan efektivitas kerja ²⁹.
2. Penilaian Kesenjangan dan Kematangan Manajemen Risiko Saat Ini: Sebelum mengimplementasikan kerangka kerja COSO ERM, organisasi perlu memahami kondisi manajemen risiko mereka saat ini. Ini melibatkan pelaksanaan tinjauan komprehensif terhadap praktik, alat, dan budaya manajemen risiko yang sudah ada ²⁹. Model kematangan manajemen risiko dapat digunakan untuk menentukan tingkat kematangan organisasi saat ini dalam hal manajemen risiko ²⁹. Selanjutnya, analisis kesenjangan perlu dilakukan untuk mengidentifikasi perbedaan antara praktik manajemen risiko saat ini dengan praktik terbaik yang direkomendasikan oleh COSO ERM dan persyaratan peraturan yang berlaku ²⁹. Hasil dari penilaian ini akan membantu organisasi untuk memahami area mana yang perlu ditingkatkan dan menjadi dasar untuk mengembangkan rencana implementasi yang efektif.
3. Pengembangan Kebijakan dan Prosedur Manajemen Risiko: Berdasarkan hasil penilaian kesenjangan, organisasi perlu mengembangkan kebijakan dan prosedur manajemen risiko yang komprehensif ²⁹. Kebijakan ini harus mencakup semua risiko signifikan yang telah diidentifikasi dan menetapkan panduan yang jelas untuk bagaimana risiko tersebut akan dikelola. Prosedur yang terstandarisasi perlu dikembangkan untuk melakukan penilaian risiko, termasuk penggunaan register risiko, matriks risiko, dan alat penilaian kualitatif serta kuantitatif ²⁹. Kebijakan dan prosedur ini harus selaras dengan standar industri dan persyaratan peraturan yang berlaku ²⁹. Dokumentasi yang baik dari kebijakan dan prosedur manajemen risiko akan memberikan kerangka kerja yang konsisten untuk pengelolaan risiko di seluruh organisasi.
4. Integrasi Manajemen Risiko dengan Perencanaan Strategis dan Proses Bisnis: Salah satu prinsip utama dari COSO ERM (terutama model 2017) adalah integrasi manajemen risiko ke dalam perencanaan strategis dan proses bisnis inti organisasi ²⁸. Ini berarti bahwa pertimbangan risiko harus menjadi bagian integral dari setiap tahap perencanaan strategis dan pengambilan keputusan. Manajemen risiko harus selaras dengan tujuan organisasi secara keseluruhan ²⁶ dan aktivitas manajemen risiko harus diintegrasikan ke dalam proses bisnis sehari-hari ²⁸. Dengan melakukan ini, organisasi dapat memastikan bahwa risiko dipertimbangkan secara proaktif dan bahwa respons risiko yang tepat diimplementasikan sebagai bagian dari operasi normal.
5. Implementasi Kontrol Risiko: Setelah strategi respons risiko ditetapkan, langkah selanjutnya adalah mengimplementasikan kontrol risiko yang diperlukan ²⁹. Ini mungkin melibatkan penerapan berbagai strategi mitigasi risiko, seperti penghindaran risiko, pengurangan risiko, transfer risiko, atau penerimaan risiko ²⁹. Organisasi juga perlu menetapkan kontrol preventif (untuk mencegah risiko terjadi), kontrol detektif (untuk mendeteksi risiko jika terjadi), dan kontrol korektif (untuk memperbaiki dampak risiko setelah terjadi) ²⁹. Jika memungkinkan, penggunaan kontrol otomatis dapat dipertimbangkan untuk mengurangi risiko kesalahan manusia dan meningkatkan efisiensi ²⁶.
6. Pemantauan dan Pelaporan Berkelanjutan: Manajemen risiko bukanlah aktivitas satu kali, melainkan proses yang berkelanjutan. Oleh karena itu, organisasi perlu menetapkan mekanisme untuk pemantauan dan pelaporan risiko yang berkelanjutan ¹⁵. Indikator risiko utama (KRIs) dan indikator kinerja utama (KPIs) harus ditetapkan untuk melacak risiko dan efektivitas strategi mitigasi risiko dari waktu ke waktu ¹⁵. Audit dan peninjauan rutin perlu dilakukan untuk memastikan kepatuhan terhadap kebijakan dan prosedur manajemen risiko serta untuk mengidentifikasi area yang memerlukan perbaikan ²⁶. Laporan mengenai status risiko dan efektivitas manajemen risiko harus dibagikan secara teratur dengan manajemen eksekutif, dewan direksi, dan pihak-pihak lain yang berkepentingan ²⁶.

Evaluasi dan Peningkatan Berkelanjutan: Tahap terakhir dalam proses implementasi COSO ERM adalah evaluasi dan peningkatan berkelanjutan ². Organisasi perlu secara berkala mengevaluasi kerangka kerja ERM mereka untuk mengidentifikasi area di mana perbaikan dapat dilakukan ². Kerangka kerja ERM harus cukup fleksibel untuk diadaptasi sesuai dengan perubahan kebutuhan organisasi dan lingkungan bisnis yang terus berkembang ¹. Organisasi harus mendorong budaya peningkatan berkelanjutan dalam proses manajemen risiko mereka untuk memastikan bahwa mereka tetap efektif dan relevan dari waktu ke waktu ⁴.

Penting untuk dicatat bahwa implementasi COSO ERM bukanlah proses linier, melainkan sebuah siklus yang berkelanjutan. Tahapan-tahapan ini mungkin perlu diulang dan disesuaikan seiring dengan perkembangan organisasi dan perubahan lingkungan risiko. Dukungan kepemimpinan yang kuat dan tim yang berdedikasi adalah faktor kunci untuk keberhasilan implementasi COSO ERM.

7. Studi Kasus Perusahaan yang Berhasil Menerapkan COSO ERM

Berbagai perusahaan dari berbagai industri dan ukuran telah berhasil menerapkan COSO Enterprise Risk Management (ERM) Framework untuk meningkatkan kontrol risiko mereka. Analisis terhadap beberapa contoh studi kasus ini dapat memberikan wawasan berharga tentang bagaimana kerangka kerja ini dapat diterapkan dalam praktik dan manfaat yang dapat dicapai.

Salah satu contoh terkenal adalah Coca-Cola, sebuah perusahaan minuman multinasional. Coca-Cola menggunakan kerangka kerja COSO untuk meningkatkan pelaporan keuangan dan memastikan kepatuhan terhadap peraturan Sarbanes-Oxley (SOX) ¹⁷. Perusahaan ini memulai program ERM pada tahun 2003 dan terus melakukan perubahan untuk memposisikan ERM secara lebih strategis di seluruh operasi globalnya, memastikan transparansi dan akuntabilitas di semua tingkatan ¹⁷.

General Electric (GE), sebuah perusahaan konglomerat multinasional, juga memanfaatkan kerangka kerja COSO untuk menangani proses manajemen risiko dan tata kelola yang kompleks ¹⁷. Dengan mengatasi defisiensi kontrol, GE telah meningkatkan pengawasan di seluruh operasinya dan merampingkan proses internal untuk mencapai efisiensi yang lebih besar ¹⁷.

Mars Inc., sebuah perusahaan makanan dan permen internasional, mengembangkan proses ERM berdasarkan COSO melalui serangkaian lokakarya dengan tim lintas fungsi dari berbagai wilayah geografis, produk, dan fungsi perusahaan ³⁴. Pendekatan ini membantu Mars dalam mempromosikan budaya sadar risiko dan memastikan kepatuhan terhadap peraturan seperti GDPR ¹⁷.

Statoil, sebuah produsen minyak global utama dari Norwegia, menonjol karena cara mereka mempraktikkan ERM dengan melihat baik risiko kerugian maupun potensi keuntungan. Perusahaan ini mengembangkan kerangka kerjanya sendiri yang didasarkan pada COSO, dengan fokus utama pada penciptaan nilai dan pencegahan kecelakaan. Statoil memetakan risiko pada sisi positif dan negatif untuk pengambilan keputusan yang lebih baik ³⁴.

Lego, perusahaan mainan dari Denmark, mengembangkan program ERM mereka dalam empat fase, termasuk manajemen risiko strategis dan penggunaan simulasi Monte Carlo untuk memodelkan volatilitas kinerja keuangan. Lego menggunakan pemodelan skenario untuk mempersiapkan diri menghadapi ketidakpastian dan memastikan bahwa strategi jangka panjang mereka tetap relevan dalam berbagai kondisi ³⁴.

Johnson & Johnson, sebuah perusahaan farmasi, perangkat medis, dan barang konsumen multinasional, memiliki visi manajemen risiko yang konsisten, kolaboratif, dan berorientasi ke depan berdasarkan COSO ERM ²². Kerangka kerja mereka berfokus pada pengamanan aset perusahaan dan pemeliharaan kesinambungan bisnis bahkan dalam kondisi yang menantang ²².

Lockheed Martin, sebuah perusahaan kontraktor pertahanan dan dirgantara, juga menggunakan COSO ERM dan memiliki seperangkat alat ERM yang mencakup wawancara dengan para eksekutif, pemantauan tren berita, dan identifikasi potensi risiko yang tidak terduga ³³.

Advance Auto Parts, sebuah peritel suku cadang otomotif, mengimplementasikan program ERM yang serupa dengan kerangka kerja COSO, meskipun dengan sumber daya yang lebih terbatas dibandingkan dengan perusahaan-perusahaan yang lebih besar ³³.

Studi kasus ini menunjukkan bahwa perusahaan dari berbagai ukuran dan industri telah berhasil menerapkan COSO ERM untuk meningkatkan kontrol risiko mereka. Penerapan kerangka kerja ini telah membantu perusahaan-perusahaan ini dalam berbagai cara, termasuk memperkuat manajemen risiko dan pengawasan, meningkatkan efisiensi operasional, meningkatkan kualitas pengambilan keputusan terkait risiko, dan memastikan kepatuhan terhadap peraturan yang berlaku.

Beberapa pelajaran penting yang dapat dipetik dari studi kasus ini adalah bahwa dukungan kepemimpinan yang kuat sangat penting untuk keberhasilan implementasi ERM. Selain itu, integrasi ERM ke dalam strategi dan operasi bisnis organisasi menghasilkan manfaat yang lebih besar. Fleksibilitas dan kemampuan beradaptasi dari kerangka kerja COSO memungkinkan perusahaan untuk menyesuaikannya dengan kebutuhan spesifik mereka. Terakhir, pemantauan dan peninjauan berkelanjutan sangat penting untuk memastikan efektivitas ERM dari waktu ke waktu. Keberhasilan implementasi COSO ERM seringkali bergantung pada faktor-faktor seperti komitmen organisasi, integrasi yang efektif, dan adaptasi terhadap konteks bisnis spesifik perusahaan. Pengalaman dan pelajaran yang dibagikan oleh perusahaan-perusahaan besar ini dapat diadaptasi untuk memenuhi kebutuhan dan anggaran perusahaan yang lebih kecil ³³.

8. Peran COSO ERM dalam Mengidentifikasi, Menilai, Merespons, dan Memantau Risiko

COSO Enterprise Risk Management (ERM) Framework menyediakan pendekatan yang terstruktur dan komprehensif untuk mengelola risiko di seluruh organisasi. Kerangka kerja ini memainkan peran penting dalam setiap tahap siklus manajemen risiko, termasuk identifikasi, penilaian, respons, dan pemantauan risiko.

Dalam hal identifikasi risiko, COSO ERM membantu organisasi untuk mengidentifikasi berbagai jenis risiko yang mungkin dihadapi, termasuk risiko strategis (terkait dengan keputusan strategis dan ketidakpastian pasar), risiko operasional (terkait dengan proses bisnis dan operasional sehari-hari), risiko keuangan (terkait dengan pengelolaan keuangan dan pasar keuangan), dan risiko kepatuhan (terkait dengan peraturan perundang-undangan dan standar etika) ¹⁸. Kerangka kerja ini mendorong organisasi untuk mempertimbangkan baik risiko internal (berasal dari dalam organisasi) maupun risiko eksternal (berasal dari luar organisasi). Berbagai teknik dapat digunakan untuk mengidentifikasi risiko, seperti analisis SWOT (Strengths, Weaknesses, Opportunities, Threats) dan analisis PESTLE (Political, Economic, Social, Technological, Legal, Environmental) ²⁸, serta lokakarya risiko dan wawancara dengan para pemangku kepentingan ²⁸. COSO ERM memastikan bahwa proses identifikasi risiko bersifat sistematis dan mencakup seluruh organisasi.

Setelah risiko diidentifikasi, langkah selanjutnya adalah penilaian risiko. COSO ERM menekankan pada penilaian risiko berdasarkan dua dimensi utama: kemungkinan terjadinya risiko dan potensi dampaknya terhadap tujuan organisasi ¹. Penilaian ini dapat dilakukan menggunakan metode kualitatif (misalnya, dengan mengkategorikan kemungkinan dan dampak sebagai tinggi, sedang, atau rendah) maupun kuantitatif (misalnya, dengan memperkirakan kemungkinan dalam persentase dan dampak dalam nilai moneter) ²⁰. Matriks risiko atau peta panas sering digunakan untuk memvisualisasikan dan memprioritaskan risiko berdasarkan tingkat kemungkinan dan dampaknya ²⁸. COSO ERM mendorong organisasi untuk melakukan penilaian risiko yang terstruktur untuk memahami signifikansi setiap risiko yang telah diidentifikasi.

Setelah risiko dinilai, organisasi perlu mengembangkan strategi respons risiko yang tepat. COSO ERM menguraikan beberapa pilihan respons risiko utama, termasuk menghindari risiko (menghentikan aktivitas yang menimbulkan risiko), menerima risiko (menanggung potensi konsekuensinya), mengurangi risiko (mengambil tindakan untuk mengurangi kemungkinan atau dampak risiko), dan berbagi risiko (mentransfer sebagian risiko kepada pihak lain) ¹. Pemilihan strategi respons risiko yang paling sesuai akan tergantung pada selera risiko organisasi, hasil penilaian risiko (tingkat kemungkinan dan dampak), serta analisis biaya dan manfaat dari setiap opsi respons ²⁰. COSO ERM menyediakan kerangka kerja bagi organisasi untuk mempertimbangkan berbagai pendekatan dalam mengelola risiko yang telah diidentifikasi sesuai dengan toleransi risiko mereka.

Strategi Respons Risiko	Contoh Penerapan
Menghindari Risiko	Menghentikan produksi lini produk yang tidak menguntungkan dan memiliki risiko hukum yang tinggi.
Menerima Risiko	Menerima risiko kerugian kecil akibat keterlambatan pengiriman dari pemasok karena biaya untuk sepenuhnya menghilangkan risiko ini lebih besar daripada potensi kerugian.
Mengurangi Risiko	Mengimplementasikan langkah-langkah keamanan siber yang lebih ketat untuk mengurangi risiko kebocoran data pelanggan. Melakukan pelatihan rutin kepada karyawan tentang prosedur keselamatan kerja untuk mengurangi risiko kecelakaan kerja.
Berbagi Risiko	Membeli asuransi untuk melindungi diri dari potensi kerugian finansial akibat bencana alam. Menggunakan kontrak outsourcing dengan klausul yang mentransfer sebagian risiko operasional kepada pihak ketiga.

Tahap terakhir dalam siklus manajemen risiko adalah pemantauan. COSO ERM menekankan pentingnya implementasi kontrol risiko yang efektif untuk memastikan bahwa respons risiko dilaksanakan sesuai rencana ¹. Selain itu, pemantauan berkelanjutan dan evaluasi terpisah perlu dilakukan untuk memastikan bahwa kontrol risiko tetap efektif dari waktu ke waktu dan bahwa kerangka kerja ERM secara keseluruhan tetap relevan dan responsif terhadap perubahan lingkungan bisnis dan risiko ¹. Kekurangan dalam kontrol internal harus diidentifikasi dan dikomunikasikan secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif ⁵. Dengan demikian, COSO ERM memastikan bahwa risiko dikelola dengan baik secara berkelanjutan.

9. Hubungan antara COSO ERM dan Kerangka Kerja Pengendalian Internal COSO (Internal Control – Integrated Framework)

COSO Enterprise Risk Management (ERM) Framework dan COSO Internal Control – Integrated Framework adalah dua kerangka kerja yang dikembangkan oleh Committee of Sponsoring Organizations of the Treadway Commission (COSO) dan keduanya bertujuan untuk membantu organisasi meningkatkan kinerja dan tata kelola mereka ⁵. Meskipun keduanya memiliki tujuan yang serupa, terdapat perbedaan signifikan dalam cakupan dan fokusnya.

Kerangka kerja pengendalian internal COSO, yang pertama kali diterbitkan pada tahun 1992 dan diperbarui pada tahun 2013, berfokus pada penetapan kontrol internal yang efektif untuk mencapai tujuan organisasi dalam tiga kategori: operasional, pelaporan (termasuk pelaporan keuangan), dan kepatuhan terhadap peraturan perundang-undangan ². Model pengendalian internal COSO terdiri dari lima komponen yang saling terkait: lingkungan pengendalian, penilaian risiko, aktivitas pengendalian, informasi dan komunikasi, serta pemantauan ⁵.

Di sisi lain, COSO ERM Framework, yang pertama kali diterbitkan pada tahun 2004 dan diperbarui pada tahun 2017, memiliki cakupan yang lebih luas dan mencakup seluruh aspek manajemen risiko perusahaan ¹. ERM tidak hanya berfokus pada pengendalian untuk mencapai tujuan, tetapi juga mempertimbangkan bagaimana risiko dapat mempengaruhi strategi dan kinerja organisasi secara keseluruhan. Model ERM COSO (2004) memiliki delapan komponen, sementara model 2017 menyederhanakannya menjadi lima komponen yang diperbarui ¹. Tiga komponen baru yang diperkenalkan dalam ERM dibandingkan dengan pengendalian internal adalah penetapan tujuan, identifikasi kejadian, dan respons risiko ¹².

Meskipun demikian, COSO ERM tidak menggantikan kerangka kerja pengendalian internal; sebaliknya, ERM membangun dan memperluas konsep pengendalian internal ²⁰. Manajemen risiko perusahaan yang efektif membutuhkan fondasi pengendalian internal yang kuat ²⁰. ERM memperluas pengendalian internal dengan memasukkan konsep-konsep tambahan seperti selera risiko organisasi, proses identifikasi kejadian potensial, dan pengembangan respons risiko yang tepat ¹². Selain itu, ERM menekankan pada integrasi risiko dengan penetapan strategi dan kinerja organisasi, yang melampaui fokus tradisional pengendalian internal pada pelaporan keuangan dan kepatuhan ².

Organisasi dapat menggunakan kedua kerangka kerja ini secara bersamaan untuk mencapai kontrol yang lebih efektif atas risiko dan tujuan mereka ³. Pengendalian internal yang kuat merupakan hal mendasar bagi manajemen risiko perusahaan yang efektif ²⁰. Dengan mengadopsi pendekatan terintegrasi yang menggabungkan prinsip-prinsip pengendalian internal dan manajemen risiko, organisasi dapat membangun fondasi yang kokoh untuk tata kelola perusahaan yang baik dan mencapai kinerja yang berkelanjutan ³. Penerapan kedua kerangka kerja ini secara bersamaan memungkinkan organisasi untuk tidak hanya memastikan bahwa kontrol yang tepat ada untuk mencapai tujuan, tetapi juga untuk secara proaktif mengidentifikasi dan mengelola risiko yang dapat mempengaruhi kemampuan mereka untuk mencapai tujuan strategis dan menciptakan nilai.

10. Tantangan dan Kendala dalam Mengadopsi dan Mengimplementasikan COSO ERM

Meskipun COSO Enterprise Risk Management (ERM) Framework menawarkan banyak manfaat bagi organisasi, proses adopsi dan implementasinya tidak selalu mudah dan dapat menghadapi berbagai tantangan dan kendala.

Salah satu tantangan utama adalah kurangnya dukungan dari manajemen senior ². Implementasi ERM yang berhasil memerlukan komitmen dan dukungan berkelanjutan dari manajemen di tingkat tertinggi organisasi ². Tanpa dukungan ini, sulit untuk mengalokasikan sumber daya yang diperlukan (termasuk anggaran, waktu, dan personel) dan untuk mendorong budaya sadar risiko di seluruh organisasi ²⁸. Manajemen senior perlu memahami nilai strategis ERM dan secara aktif mempromosikannya di seluruh organisasi.

Tantangan lain yang sering dihadapi adalah resistensi terhadap perubahan dalam budaya organisasi ². Menerapkan ERM seringkali memerlukan perubahan signifikan dalam cara organisasi beroperasi, mengambil keputusan, dan memandang risiko ². Beberapa karyawan dan bahkan manajemen mungkin resisten terhadap perubahan ini, terutama jika mereka tidak memahami manfaat ERM atau merasa terancam oleh proses baru tersebut ⁸. Mengubah budaya organisasi agar lebih sadar risiko membutuhkan waktu, komunikasi yang efektif, dan upaya yang konsisten dari semua pihak.

Kompleksitas implementasi dan kebutuhan sumber daya juga dapat menjadi kendala signifikan ³¹. Kerangka kerja COSO ERM bisa menjadi kompleks, terutama bagi organisasi yang baru pertama kali menerapkan manajemen risiko formal ³². Implementasi yang efektif memerlukan sumber daya keuangan, waktu, dan personel yang memadai ²⁸. Organisasi mungkin perlu membentuk tim khusus, melatih karyawan, dan bahkan menginvestasikan dalam perangkat lunak atau teknologi untuk mendukung proses ERM. Kurangnya sumber daya yang memadai dapat menghambat keberhasilan implementasi.

Selain itu, kesulitan dalam mengukur efektivitas ERM dapat menjadi tantangan tersendiri ¹⁵. Mengukur dampak dan nilai tambah dari program ERM tidak selalu mudah. Organisasi mungkin kesulitan dalam menetapkan metrik yang jelas dan indikator kinerja utama (KPIs) yang dapat digunakan untuk menunjukkan efektivitas upaya ERM ¹⁵. Tanpa kemampuan untuk mengukur efektivitas, sulit untuk mendapatkan dukungan berkelanjutan dari manajemen dan para pemangku kepentingan.

Tantangan lain yang mungkin dihadapi termasuk kurangnya pemahaman yang mendalam tentang kerangka kerja COSO ERM, kesulitan dalam mengintegrasikan ERM dengan proses bisnis yang ada, dan resistensi dari unit bisnis yang mungkin melihat ERM sebagai beban tambahan. Mengatasi tantangan-tantangan ini memerlukan perencanaan yang cermat, komunikasi yang efektif, komitmen dari seluruh organisasi, dan pendekatan yang fleksibel dan adaptif.

11. Sumber Daya dan Panduan Praktis untuk Implementasi COSO ERM

Bagi perusahaan yang ingin menerapkan COSO Enterprise Risk Management (ERM) Framework, terdapat berbagai sumber daya dan panduan praktis yang tersedia untuk membantu mereka melalui proses tersebut.

Sumber daya utama adalah publikasi dan dokumen resmi yang dikeluarkan langsung oleh COSO ². Ini termasuk dokumen kerangka kerja utama, seperti “Enterprise Risk Management—Integrated Framework” (2004) dan “Enterprise Risk Management—Integrating with Strategy and Performance” (2017) ¹⁰. COSO juga menyediakan suplemen dengan contoh-contoh penerapan prinsip-prinsip ERM dalam praktik sehari-hari, serta berbagai publikasi dan kertas pemikiran tentang topik-topik terkait manajemen risiko ¹³. Situs web resmi COSO (www.coso.org) adalah sumber informasi yang sangat berharga.

Berbagai organisasi profesional juga menawarkan panduan dan alat untuk membantu perusahaan menerapkan COSO ERM. Misalnya, American Institute of Certified Public Accountants (AICPA) dan Institute of Internal Auditors (IIA) menyediakan sumber daya, pelatihan, dan bahkan program sertifikasi yang terkait dengan COSO ERM ². American Society for Health Care Risk Management (ASHRM) juga telah mengembangkan sumber daya ERM khusus untuk organisasi perawatan kesehatan yang didasarkan pada kerangka kerja COSO ⁴⁰.

Perusahaan dapat mempertimbangkan untuk menggunakan jasa konsultan dan penyedia layanan ERM untuk membantu mereka dalam merancang dan mengimplementasikan program ERM berdasarkan COSO. Banyak perusahaan konsultan memiliki keahlian dan pengalaman dalam membantu organisasi dari berbagai industri dalam menerapkan praktik manajemen risiko yang efektif. Selain itu, penyedia perangkat lunak Governance, Risk, and Compliance (GRC) menawarkan berbagai alat dan platform yang dapat mendukung implementasi dan pengelolaan COSO ERM, termasuk fitur untuk penilaian risiko, manajemen kontrol, dan pelaporan ¹.

Bagi individu yang ingin meningkatkan pengetahuan dan keahlian mereka dalam COSO ERM, tersedia berbagai program pelatihan dan sertifikasi ²⁶. Mengikuti program pelatihan dan memperoleh sertifikasi dapat membantu para profesional untuk menunjukkan kompetensi mereka dalam manajemen risiko dan meningkatkan pemahaman mereka tentang kerangka kerja COSO ERM.

Tabel berikut merangkum beberapa jenis sumber daya COSO ERM yang tersedia:

Jenis Sumber Daya	Contoh
Publikasi Resmi COSO	Enterprise Risk Management—Integrated Framework (2004), Enterprise Risk Management—Integrating with Strategy and Performance (2017), Compendium of Examples
Panduan Organisasi Profesional	AICPA resources, IIA COSO Enterprise Risk Management Certificate Program, ASHRM ERM resources for healthcare
Konsultan ERM	Berbagai firma konsultasi yang menawarkan layanan implementasi ERM
Perangkat Lunak GRC	Platform yang menyediakan alat untuk penilaian risiko, manajemen kontrol, dan pelaporan
Program Pelatihan dan Sertifikasi	Program sertifikasi COSO ERM yang ditawarkan oleh berbagai organisasi

12. Kesimpulan: Poin-Poin Penting Penerapan Kontrol Risiko Perusahaan Berdasarkan COSO ERM

Penerapan kontrol risiko perusahaan berdasarkan COSO Enterprise Risk Management (ERM) Framework merupakan pendekatan yang komprehensif dan terintegrasi untuk mengelola ketidakpastian dan mencapai tujuan organisasi. Kerangka kerja ini menawarkan berbagai manfaat utama, termasuk peningkatan manajemen risiko dan tata kelola perusahaan, pengambilan keputusan dan kinerja yang lebih baik, peningkatan kepatuhan terhadap peraturan dan pengurangan risiko kerugian, peningkatan kepercayaan dari para pemangku kepentingan, serta penciptaan dan perlindungan nilai organisasi.

Penting untuk ditekankan bahwa keberhasilan penerapan COSO ERM sangat bergantung pada integrasi manajemen risiko ke dalam strategi dan operasi inti organisasi. Budaya sadar risiko yang tertanam di seluruh tingkatan organisasi juga merupakan faktor krusial. Selain itu, dukungan kepemimpinan yang kuat dari manajemen senior dan dewan direksi adalah prasyarat yang tidak dapat diabaikan.

Bagi organisasi yang berencana untuk mengimplementasikan COSO ERM, beberapa rekomendasi dapat dipertimbangkan. Pertama, mulailah dengan melakukan penilaian yang komprehensif terhadap kondisi manajemen risiko saat ini untuk mengidentifikasi area yang perlu ditingkatkan. Kedua, libatkan semua pemangku kepentingan yang relevan dalam proses implementasi untuk memastikan buy-in dan perspektif yang beragam. Ketiga, sesuaikan kerangka kerja COSO ERM dengan kebutuhan dan konteks spesifik organisasi Anda, karena tidak ada pendekatan “satu ukuran untuk semua”. Keempat, fokus pada peningkatan berkelanjutan dan adaptasi kerangka kerja seiring dengan perubahan lingkungan bisnis dan risiko. Terakhir, manfaatkan berbagai sumber daya dan panduan yang tersedia dari COSO, organisasi profesional, konsultan, dan penyedia teknologi untuk mendukung perjalanan implementasi Anda.

Dengan mengikuti prinsip-prinsip COSO ERM dan mengadopsi pendekatan yang terstruktur dan berkelanjutan terhadap manajemen risiko, organisasi dapat meningkatkan kemampuan mereka untuk mengidentifikasi, menilai, merespons, dan memantau risiko secara efektif. Pada akhirnya, ini akan berkontribusi pada pencapaian tujuan strategis, peningkatan kinerja, dan penciptaan nilai jangka panjang bagi semua pemangku kepentingan.

Works cited

1. Effective Risk Management: The COSO ERM Framework | UpGuard, accessed March 26, 2025, https://www.upguard.com/blog/coso-erm-framework
2. What You Need To Know About the COSO ERM Framework – FloQast, accessed March 26, 2025, https://floqast.com/blog/coso-erm-framwork-risk-management-excellence/
3. The Relationship between Internal Controls, ERM, and the Business Model, accessed March 26, 2025, https://erm.ncsu.edu/resource-center/the-relationship-between-internal-controls-erm-and-the-business-model/
4. COSO ERM Guidance – Background & Overview – Strategic Decision Solutions, accessed March 26, 2025, https://strategicdecisionsolutions.com/coso-erm-guidance/
5. Committee of Sponsoring Organizations of the Treadway Commission – Wikipedia, accessed March 26, 2025, https://en.wikipedia.org/wiki/Committee_of_Sponsoring_Organizations_of_the_Treadway_Commission
6. COSO The Committee of Sponsoring Organizations of the Treadway Commission (COSO) is a voluntary private-sector organization, est – Office of Internal Audit, accessed March 26, 2025, https://audit.org.uiowa.edu/sites/audit.org.uiowa.edu/files/2020-04/COSO.pdf
7. COSO: Home, accessed March 26, 2025, https://www.coso.org/
8. COSO’s enterprise risk management framework – ACCA Global, accessed March 26, 2025, https://www.accaglobal.com/gb/en/student/exam-support-resources/professional-exams-study-resources/strategic-business-leader/technical-articles/coso-enterprise-risk-management-framework.html
9. 7 Proven Benefits Of The COSO Control Framework – Pathlock, accessed March 26, 2025, https://pathlock.com/learn/7-proven-benefits-of-the-coso-framework/
10. Enterprise risk management 101: COSO – Ncontracts, accessed March 26, 2025, https://www.ncontracts.com/nsight-blog/erm-101-whats-coso-and-why-should-i-care
11. creating and protecting value | famu, accessed March 26, 2025, https://www.famu.edu/administration/audit/enterprise_risk_management/erm_publications/erm_toolbox/COSO-ERM-Creating-and-Protecting-Value.pdf
12. 2004 Enterprise Risk Management (ERM) COSO Framework – Sox-Online, accessed March 26, 2025, https://www.sox-online.com/coso_2004_coso_framework/
13. Enterprise Risk Management – COSO.org, accessed March 26, 2025, https://www.coso.org/guidance-erm
14. Enterprise Risk Management – COSO, accessed March 26, 2025, https://www.coso.org/enterprise-risk-management
15. Understanding the Foundations of the COSO ERM Framework to Maximize Value | SC&H, accessed March 26, 2025, https://www.schgroup.com/insights/blog/risk/understand-coso-erm-framework-maximize-value/
16. Risk management principles: Understanding ISO 31000 and COSO ERM – Wolters Kluwer, accessed March 26, 2025, https://www.wolterskluwer.com/en/expert-insights/risk-management-principles-understanding-iso-31000-and-coso-erm
17. 7 Strategic Benefits of the COSO Framework for Your Business | GRSee, accessed March 26, 2025, https://grsee.com/resources/compliance/strategic-benefits-of-the-coso-framework/
18. 10 Benefits Of Enterprise Risk Management (ERM]) – Sprinto, accessed March 26, 2025, https://sprinto.com/blog/benefits-of-erm/
19. Mature your use of the COSO Framework | Wolters Kluwer, accessed March 26, 2025, https://www.wolterskluwer.com/en/expert-insights/mature-your-use-of-the-coso-framework
20. The COSO Risk Framework: A reference for internal control ? – Economia Tor Vergata, accessed March 26, 2025, https://economia.uniroma2.it/corso/asset/YTo0OntzOjI6ImlkIjtzOjM6Ijg5NiI7czozOiJpZGEiO3M6NToiNjM1NzQiO3M6MjoiZW0iO047czoxOiJjIjtzOjU6IjFhY2RkIjt9
21. 12 Benefits of ERM (Enterprise Risk Management) | JWU CPS, accessed March 26, 2025, https://online.jwu.edu/blog/benefits-enterprise-risk-management/
22. Unlocking Success: Exploring the Benefits of ERM for Your Organization – Bryghtpath, accessed March 26, 2025, https://bryghtpath.com/benefits-of-erm/
23. Enterprise Risk Management (ERM) Fundamentals | AuditBoard, accessed March 26, 2025, https://www.auditboard.com/blog/enterprise-risk-management/
24. Enterprise Risk Management Framework, accessed March 26, 2025, https://www.jnj.com/about-jnj/enterprise-risk-management-framework
25. The Ultimate Guide to Enterprise Risk Management Strategy – Hyperproof, accessed March 26, 2025, https://hyperproof.io/resource/the-ultimate-guide-to-enterprise-risk-management/
26. Complete Guide on COSO ERM – Sprinto, accessed March 26, 2025, https://sprinto.com/blog/coso-erm/
27. How to align your operations with COSO requirements – Camms, accessed March 26, 2025, https://cammsgroup.com/blog/how-to-align-your-operations-with-coso-requirements/
28. Your Essential Guide to the ERM Implementation – Metricstream, accessed March 26, 2025, https://www.metricstream.com/learn/erm-implementation.html
29. Aevitium LTD’s Guide to ERM Framework Implementation, accessed March 26, 2025, https://www.aevitium.com/post/how-to-implement-an-enterprise-risk-management-erm-framework
30. How to Implement an Enterprise Risk Management Framework | UpGuard, accessed March 26, 2025, https://www.upguard.com/blog/how-to-implement-an-enterprise-risk-management-framework
31. How to implement the COSO framework – Polonious Systems, accessed March 26, 2025, https://www.polonious-systems.com/blog/how-to-implement-the-coso-framework/
32. Fundamentals of the COSO Framework: Building Blocks for Integrated Internal Controls, accessed March 26, 2025, https://www.auditboard.com/blog/coso-framework-fundamentals/
33. Companies shape enterprise risk management to fit their culture, accessed March 26, 2025, https://www.fm-magazine.com/news/2012/apr/companies-shape-enterprise-risk-management/
34. Enterprise Risk Management Examples l Smartsheet, accessed March 26, 2025, https://www.smartsheet.com/content/enterprise-risk-management-examples
35. ERM Implementation: A Roadmap for Success – Certa, accessed March 26, 2025, https://www.certa.ai/blogs/erm-implementation-a-roadmap-for-success
36. Guide to COSO Framework and Compliance – ZenGRC, accessed March 26, 2025, https://www.zengrc.com/blog/guide-to-coso-framework-and-compliance/
37. Practical Plans for Implementing the COSO ERM Model – FAMU, accessed March 26, 2025, https://www.famu.edu/administration/audit/enterprise_risk_management/erm_images/other/AGA%20Practical%20Plans%20COSO%20ERM.pdf
38. COSO ERM: Compendium of Examples – Galasso Learning Solutions, accessed March 26, 2025, https://galassolearningsolutions.com/auditing/coso-erm-compendium-of-examples/
39. COSO Enterprise Risk Management Certificate – The Institute of Internal Auditors, accessed March 26, 2025, https://www.theiia.org/en/products/learning-solutions/course/coso-enterprise-risk-management-certificate/
40. Enterprise Risk Management (ERM) Resources – ASHRM, accessed March 26, 2025, https://www.ashrm.org/resources/erm-resources