SOA (Sarbanes Oxley Act) dan ERM (Enterprise Risk Management)

A. Latar Belakang SOA (Sarbanes Oxley Act) Sarbanes Oxley Act (SOA) merupakan undang-undang yang diprakarsai oleh Senator Paul Sarbanes (Maryland) dan Representative Michael Oxley (Ohio), dan telah ditandatangani oleh Presiden George W. Bush pada tanggal 30 Juli 2002. Undangundang ini dikeluarkan sebagai respon dari Kongres Amerika Serikat Terhadap berbagai skandal pada beberapa korporasi besar seperti Enron, WorldCom (MCI), AOL TimeWarner, Aura Systems, Citigroup, Computer Associates International, CMS Energy, Global Crossing, HealthSouth, Quest Communication, Safety-Kleen dan Xerox; yang juga melibatkan beberapa KAP yang termasuk dalam the big five seperti: Arthur Andersen, KPMG dan PWC. Semua skandal ini merupakan contoh tragis bagaimana fraud schemes berdampak sangat buruk terhadap pasar, stakeholders dan para pegawai. Salah satu skandal korporasi yang melatarbelakangi diterbitkannya Sarbanes Oxley Act (SOA) adalah kasus Enron yang mulai terungkap pada bulan Desember tahun 2001 dan terus menggelinding pada tahun 2002. Enron merupakan perusahaan dari penggabungan antara InterNorth (penyalur gas alam melalui pipa) dengan Houston Natural Gas. Kedua perusahaan ini bergabung pada tahun 1985. Bisnis inti Enron bergerak dalam industri energi, kemudian melakukan diversifikasi usaha yang sangat luas bahkan sampai pada bidang yang tidak ada kaitannya dengan industri energi. Diversifikasi usaha tersebut antara lain meliputi future transaction, trading commodity non energy, dan kegiatan bisnis keuangan. Kasus Enron mulai terungkap pada bulan Desember tahun 2001 dan terus menggelinding pada tahun 2002 yang berimplikasi sangat luas terhadap pasar keuangan global yang ditandai dengan menurunnya harga saham secara drastis berbagai bursa efek di belahan dunia, mulai dari Amerika, Eropa, sampai ke Asia. Enron, suatu perusahaan yang menduduki ranking tujuh dari lima ratus perusahaan terkemuka di

Amerika Serikat dan merupakan perusahaan energi terbesar di AS jatuh bangkrut dengan meninggalkan utang hampir sebesar USD 31,2 milyar. Dalam kasus Enron diketahui terjadi perilaku moral hazard, diantaranya manipulasi laporan keuangan dengan mencatat keuntungan USD 600 juta padahal perusahaan mengalami kerugian. Manipulasi keuntungan disebabkan keinginan perusahaan agar saham tetap diminati investor, kasus ini konon ikut melibatkan orang dalam gedung putih, termasuk wakil presiden Amerika Serikat. Kronologis, fakta, data, dan informasi dari berbagai sumber yang berkaitan dengan hancurnya Enron dapat diuraikan sebagai berikut: 1. Board of Director (dewan direktur, direktur eksekutif, dan direktur non eksekutif) membiarkan kegiatan-kegiatan bisnis tertentu mengandung unsur konflik kepentingan dan mengijinkan terjadinya transaksi-transaksi berdasarkan informasi yang hanya bisa diakses oleh pihak dalam perusahaan (insider trading), termasuk praktek akuntansi dan bisnis tidak sehat sebelum hal tersebut terungkap kepada publik. 2. Enron merupakan salah satu perusahaan besar pertama yang melakukakn outsourcing secara total atas fungsi internal audit perusahaan. a. Mantan Chief Audit Executive Enron (kepala internal audit) semula adalah partner KAP Andersen yang ditunjuk sebagai akuntan publik perusahaan. b. Direktur keuangan Enron berasal dari KAP Andersen. c. Sebagian besar staf akunting Enron berasal dari KAP Andersen. 3. Pada awal tahun 2001, partner KAP Andersen melakukan evaluasi terhadap kemungkinan mempertahankan atau melepaskan Enron sebagai klien

perusahaan, mengingat risiko yang sangat tinggi berkaitan dengan praktek akuntansi dan bisnis Enron. Dari hasil evaluasi diputuskan untuk tetap mempertahankan Enron sebagai klien KAP Anderson. 4. Salah seorang eksekutif Enron dilaporkan telah mempertanyakan praktek akunting perusahaan yang dinilai tidak sehat dan mengungkapkan kekhawatiran berkaitan dengan hal tersebut kepada CEO dan partner KAP Andersen pada

pertengahan 2001. CEO Enron menugaskan penasehat hukum perusahaan untuk melakukan investigasi atas kekhawatiran tersebut tetapi tidak memperkenankan penasehat hukum untuk mempertanyakan pertimbangan yang melatarbelakangi akuntansi yang dipersoalkan. Hasil investiasi oleh penasehat hukum tersebut menyimpulkan bahwa tidak ada hal-hal yang serius yang perlu diperhatikan. 5. Pada tanggal 16 Oktober 2001, Enron menerbitkan laporan keuangan triwulan ketiga. Dalam laporan itu disebutkan bahwa laba bersih Enron telah meningkat menjadi $ 393 juta, naik $ 100 juta dibandingkan periode sebelumnya. CEO Enron, Kenneth Lay, menyebutkan bahwa Enron secara berkesinambungan memberikan prospek yang sangat baik. Ia tidak menjelaskan secara rinci tentang pembebanan biaya akuntansi khusus (special accounting

charge/expense) sebesar $ 1 milyar yang sesungguhnya menyebabkan hasil aktual pada periode tersebut menjadi rugi $ 644 juta. Para analis dan reporter kemudian mancari tahu lebih jauh mengenai beban $ 1 milyar tersebut, dan ternyata berasal dari transaksi yang dilakukan oleh perusahaan-perusahaan yang didirikan oleh CFO Enron. 6. Pada tanggal 2 Desember 2001, Enron mendaftarkan kebangkrutan perusahaan ke pengadilan dan memecat 5000 pegawai. Pada saat itu terungkap bahwa terdapat utang perusahaan yang tidak dilaporkan senilai lebih dari satu milyar dolar. Dengan pengungkapan ini nilai investasi dan laba yang ditahan (retained earning) berkurang dalam jumlah yang sama. 7. Enron dan KAP Andersen dituduh telah melakukan kriminal dalam bentuk penghancuran dokumen yang berkaitan dengan investigasi atas kebangkrutan Enron (penghambat terhadap proses peradilan). 8. Dana pensiun Enron sebagian besar diinvestasikan dalam bentuk saham Enron. Sementara itu harga saham Enron terus menurun sampai hampir tidak ada nilainya. 9. KAP Andersen diberhentikan sebagai auditor Enron pada pertengahan Juni 2002. Sementara KAP Andersen menyatakan bahwa penugasan audit oleh

Enron telah berakhir pada saat Enron mengajukan proses kebangkrutan pada 2 Desember 2001. 10. CEO Enron, Kenneth Ley, mengundurkan diri pada tanggal 2 Januari 2002 akan tetapi masih dipertahankan posisinya di dewan direktur perusahaan. Pada tanggal 4 Februari 2002, Mr. Lay mengundurkan diri dari dewan direktur perusahaan. 11. Tanggal 28 Februari 2002 KAP Andersen menawarkan ganti rugi USD 750 juta untuk menyelesaikan berbagai gugatan hukum yang diajukan kepada KAP Andersen. 12. Pemerintahan Amerika (The US General Service Aministration) melarang Enron dan KAP Andersen untuk melakukan kontrak pekerjaan dengan lembaga pemerintahan di Amerika. 13. Tanggal 14 Maret 2002 departemen kehakiman Amerika memvonis KAP Andersen bersalah atas tuduhan melakukan penghambatan dalam proses peradilan karena telah menghancurkan dokumen-dokumen yang sedang diselidiki. 14. KAP Andersen terus menerima konsekuensi negatif dari kasus Enron berupa kehilangan klien, pembelotan afiliasi yang bergabung dengan KAP yang lain dan pengungkapkan yang meningkat mengenai keterlibatan pegawai KAP Andersen dalam kasus Enron. 15. Tanggal 22 Maret 2002 mantan ketua Federal Reserve, Paul Volkcer, yang direkrut untuk melakukan revisi terhadap praktek audit dan meningkatkan kembali citra KAP Andersen, mengusulkan agar manajemen KAP Andersen yang ada diberhentikan dan membentuk suatu komite yang diketuai oleh Paul sendiri untuk menyusun manajemen baru. 16. Tanggal 26 Maret 2002 CEO Anderson Joseph Berandino mengundurkan diri dari jabatannya. 17. Tanggal 8 April 2002 seorang partner KAP Andersen, David Duncan, yang bertindak sebagai penanggung jawab audit Enron mengaku bersalah atas

tuduhan melakukan hambatan proses peradilan dan setuju untuk menjadi saksi kunci di pengadilan bagi kasus KAP Anderson dan Enron. 18. Tanggal 9 April 2002 Jeffrey McMahon mengumumkan pengunduran diri sebagai presiden dan Chief Operating Officer Enron yang berlaku efektif 1 Juni 2002. 19. Tanggal 15 Juni 2002 juri federal di Houston menyatakan KAP Andersen bersalah telah melakukan hambatan terhadap proses peradilan. Praktek bisnis Enron yang menjadikannya bangkrut dan hancur berimplikasi negatif bagi banyak pihak. Pihak yang dirugikan dari kasus ini tidak hanya investor Enron saja, tetapi terutama karyawan Enron yang menginvestasikan dana pensiunnya dalam saham perusahaan serta investor di pasar modal umumnya (social impact). Milyaran dolar kekayaan investor terhapus seketika dengan meluncurnya harga saham berbagai perusahaan di bursa efek. Jika dilihat dari agency theory, Andersen sebagai KAP telah menciderai kepercayaan dari pihak stock holder atau principal untuk memberikan suatu fairness information mengenai pertanggungjawaban dari pihak agent dalam mengemban amanah dari principal. Pihak agent dalam hal ini manajemen Enron telah bertindak secara rasional untuk kepentingan dirinya (self interest oriented) dengan melupakan norma dan etika bisnis yang sehat. Kasus Enron dan KAP Anderson memberikan dampak di Amerika. Kasus ini mempunyai implikasi terhadap pembaharuan tatanan kondisi maupun regulasi praktek bisnis di Amerika Serikat dengan diterbitkannya Sarbanes Oxley Act (SOA) oleh pemerintah AS untuk melindungi para investor melalui: Pengungkapan keuangan yang lebih: 1. Akurat; 2. Tepat waktu; 3. Komprehensif; dan 4. Dapat dimengerti. Tata kelola perusahaan yang lebih baik.

 Pengawasan yang lebih ketat dengan pembentukan PCAOB (Public Company Accounting Oversight Board) Pengendalian internal yang lebih baik. Berikut implikasi terhadap pembaharuan tatanan kondisi maupun regulasi praktek bisnis di Amerika Serikat dengan diterbitkannya SOA. 1. Perubahan-perubahan yang ditentukan dalam Sarbanse-Oxley Act adalah sebagai berikut: Untuk menjamin independensi auditor, maka KAP dilarang memberikan jasa non audit kepada perusahaan yang diaudit. Berikut ini adalah sejumlah jasa non audit yang dilarang: a. Pembukuan dan jasa lain yang berkaitan. b. Desain dan implementasi sistem informasi keuangan. c. Jasa appraisal dan valuation. d. Opini fairness. e. Fungsi-fungsi berkaitan dengan jasa manajemen. f. Broker, dealer, dan penasehat investasi. Membutuhkan persetujuan dari komite audit perusahaan sebelum melakukan audit. Jika tidak ada, maka seluruh dewan komisaris menjadi komite audit. Melarang KAP memberikan jasa audit jika audit partnernya telah memberikan jasa audit tersebut selama lima tahun berturut-turut kepada klien tersebut. KAP harus segera membuat laporan kepada komite audit yang menunjukkan kebijakan akuntansi yang penting yang digunakan, alternatif perlakuan-perlakuan akuntansi yang sesuai standar dan telah dibicarakan dengan manajemen perusahaan, pemilihannya oleh

manajemen dan preferensi auditor.

 KAP dilarang memberikan jasa audit jika CEO, CFO, Chief Accounting Officer, dan controller klien sebelumnya berkerja di KAP tersebut dan mengaudit klien tersebut setahun sebelumnya. 2. SOA melarang pemusnahan atau manipulasi dokumen yang dapat menghalangi investigasi pemerintah kepada perusahaan yang menyatakan bangkrut. Setelah itu, kini CEO dan CFO harus membuat surat pernyataan bahwa laporan keuangan yang mereka laporkan adalah sesuai dengan peraturan SEC dan semua informasi yang dilaporkan adalah wajar dan tidak ada kesalahan material. Sebagai tambahan, menjadi semakin banyak ancaman pidana bagi mereka yang melakukan pelangaran ini. 3. Sarbanes-Oxley merekomendasikan pembentukan badan pengawas akuntan publik di pasar modal. Sarbanes Oxley Act mengikat semua perusahaan publik yang mencatatkan bursanya di pasar modal Amerika Serikat (NYSE dan NASDAQ) dan kantor akuntan yang memeriksanya baik kantor akuntan tersebut berada dalam yurisdiksi Amerika Serikat maupun bukan. Peraturan ini mulai berlaku 15 November 2004 untuk perusahaan yang memiliki float melebihi USD75 juta dan 15 Juli 2005 untuk sisa perusahaan lainnya. B. SOA dan Lingkungan Pengendalian yang Berbasis ERM (Enterprise Risk Management) Dunia bisnis di Amerika terguncang dengan adanya kasus Enron yang terkuak pada akhir tahun 2001. Sebuah kasus rekayasa keuangan dan malpraktik akuntansi, yang kemudian diikuti oleh terkuaknya kasus-kasus lain sejenis seperti kasus WorldCom, Merck, dan sebagainya. Salah satu faktor penting yang menyebabkan itu semua, menurut Hamilton dan Francis (2003) mengutip laporan William C. Powers, Dekan Law School University of Texas, yang juga mengetuai Komite Investigasi KhususBoard of Directors Enron Corporation, adalah kelemahan sistem pengendalian intern dan proses manajemen risiko dalam memitigasi risiko.

Seperti yang telah disebutkan sebelumnya bahwa pada tanggal 23 Januari 2002 kongres Amerika Serikat (AS) mengesahkan sebuah undang-undang perlindungan bagi para investor yang secara singkat disebut Sarbanes-Oxley Act of 2002 (SOA) sebagai respon atas kasus-kasus yang terkuak di AS seperti kasus Enron. Undang-undang ini merupakan reformasi pengaturan corporate governance terbesar setelah Securities Act of 1933 dan Securities Exhange Act of 1934. SOA menjadi sangat penting karena sifatnya yang mengikat sebagai hukum. Dengan adanya kewajiban tersebut, perhatian berbagai kalangan terhadap pengendalian intern, manajemen risiko, dan good governance, sesuai pengaturan Seksi 404 dari undang-undang tersebut, semakin meningkat (DeLoach, 2003). Meningkatnya perhatian terhadap pengendalian intern, manajemen risiko, dan good governance tersebut direspon oleh The Committee of Sponsoring Organizations of the Treadway Commission (COSO) dengan menerbitkan Enterprise Risk Management (ERM)Integrated Framework pada bulan September 2004. Menyusul kemudian pada November 2009, International Organization for Standardization (ISO) juga mengeluarkan ISO 31000: Risk Management Principles and Guidelines on Implementation. Terminologi Dalam berbagai artikel, ERM kadang kala muncul dalam istilah lain seperti strategic risk management, integrated risk management, atau holistic risk management. Semua istilah tersebut mengacu pada konsep yang sama yaitu bahwa semuanya memandang risiko dan manajemen risiko secara komprehensif, bukan lagi dengan pendekatan silo dimana risiko dikelola secara terpisah dan berbeda-beda di dalam organisasi. Lebih jauh lagi, adanya kesamaan pandangan dalam berbagai istilah tersebut bahwa manajemen risiko bukan hanya merupakan proses mitigasi risiko, namun juga penciptaan nilai (value-creating) (CAS, 2003). Selain istilah-istilah tersebut, DArcy dan Brogan (2001) menyatakan bahwa ERM merupakan istilah mutakhir dari istilah-istilah tersebut, termasuk istilah setara lainnya yaitu corporate risk management dan business risk management.

Sebagai sebuah terminologi yang relatif baru, belum terdapat sebuah definisi yang berlaku umum dan diakui oleh semua kalangan, baik praktisi maupun akademisi. Kalangan akademisi seperti Meulbroek (2002), dengan menggunakan istilah integrated risk management, mendefinisikannya sebagai berikut: Identifikasi dan penilaian risiko-risiko yang mungkin mempengaruhi nilai perusahaan secara kolektif, dan mengimplementasikan strategi pada tingkat keseluruhan perusahaan untuk mengelola risiko-risiko tersebut. Sedangkan Vedpuriswar et.al. (2001) mendefinisikannya sebagai berikut: Suatu proses perencanaan, pengorganisasian, dan pengendalian kegiatan-kegiatan organisasi dalam rangka meminimalkan pengaruh risiko terhadap perusahaan baik dalam jangka pendek maupun dalam jangka panjang. Sementara itu, media massa yang melakukan riset terhadap praktik manajemen risiko seperti majalah CFO (2002) mendefinisikan strategic risk management sebagai berkut: Suatu metode manajemen risiko yang menggunakan pendekatan pada tingkat keseluruhan perusahaan untuk mengawasi dan mengelola risiko dalam rangka mendukung tujuan stratejiknya. Sementara itu di kalangan praktisi aktuaria, sebagaimana didefinisikan oleh Casualty Actuarial Society (2003), ERM adalah sebuah proses atau disiplin dengannya organisasi-organisasi di semua industri menaksir, mengendalikan, mengeksploitasi, membiayai, dan mengawasi risiko dari semua sumbernya dengan tujuan untuk meningkatkan nilai perusahaan baik dalam jangka pendek maupun jangka panjang. Sedangkan praktisi perbankan, sekuritas, dan asuransi, mendefinisikan integrated risk management sebagai suatu sistem yang memastikan keberadaan dan berjalannya kebijakan dan prosedur yang dirancang untuk meningkatkan perhatian dan tanggung jawab pemilikan risiko di seluruh perusahaan, serta untuk mengembangkan perangkatperangkat yang diperlukan untuk menangani risiko-risiko tersebut.

Sedikit berbeda dengan definisi tersebut, organisasi-organisasi praktisi akuntan dan auditor keuangan yang berpengaruh dan tergabung dalam The Committee of Sponsoring Organizations of the Treadway Commission (COSO)(2004), menyatakan bahwa ERM berhubungan dengan risiko dan peluang yang berpotensi mempengaruhi nilai, dan mendefinisikannya sebagai berikut: Suatu proses yang dipengaruhi oleh dewan direktur, manajemen, dan pihak lain, yang diaplikasikan dalam penentuan strategi perusahaan, yang dirancang untuk mengidentifikasi risiko-risiko yang mungkin

mempengaruhi perusahaan, dan mengelola risiko-risiko tersebut tetap berada pada selera risiko perusahaan, serta memberikan pemastian yang memadai bahwa tujuan perusahaan dapat dicapai. Definisi paling mutakhir diberikan oleh ISO, di mana manajemen risiko didefinisikan sebagai upaya terkoordinasi untuk mengarahkan dan mengendalikan kegiatan-kegiatan organisasi terkait dengan risiko (ISO Guide 73). Dari berbagai definisi tersebut, walaupun dari sisi redaksional berbeda, namun dapat diambil beberapa hal yang relatif sama yang membedakannya dengan manajemen risiko tradisional, yaitu bahwa: 1. Proses dan sisteam dari ERM bersifat komrpehensif, integratif, dan lintas divisional pada manajemen risiko tradisional, risiko dikelola secara parsial (silo based). 2. Tujuan dari ERM bersifat strategis yaitu pencapaian tujuan perusahaan yang lebih baik dan pada akhirnya menciptakan, menambah, dan atau melindungi nilai perusahaan. Pada manajemen risiko tradisional, tujuan terbatas pada mitigasi risiko terbatas pada kegiatan atau unit bisnis tertentu. Kerangka Ada beberapa kerangka (framework) yang dikembangkan oleh beberapa pihak seperti oleh COSO (2004), CAS (2003), atau oleh Miccolis dan Shah (2000), dan terakhir yang dikeluarkan oleh ISO (2009). Kerangka yang dikembangkan oleh COSO

10

telah menjadi leader sejak tahun 2004 hingga saat ini. Hal ini dapat dimaklumi karena kerangka dari COSO di-endorse oleh profesi-profesi terkait dengan akuntansi dan keuangan serta pasar modal yang berpengaruh secara global. Namun kerangka ISO juga tampaknya akan segera menjadi alternatif kerangka yang dapat dipakai dalam manajemen risiko, mengingat ISO memiliki reputasi dan pengaruh yang besar dalam harmonisasi standar di seluruh dunia. Berikut ini uraian ringkas kedua kerangka tersebut. Model COSO ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini diturunkan dari bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun kepatuhan terhadap ketentuan perundang-undangan. Komponenkomponen tersebut adalah: 1. Lingkungan Internal (Internal Environment) Lingkungan internal sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Di dalam lingkungan internal ini termasuk, filosofi manajemen risiko dan risk appetite, nilai-nilai etika dan integritas, dan lingkungan di mana kesemuanya tersebut berjalan. 2. Penentuan Tujuan (Objective Setting) Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen dapat menidentifikasi kejadian-kejadian yang berpotensi mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan ddan bahwa tujuan yang dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk appetite-nya. 3. Identifikasi Kejadian (Event Identification) Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan

11

dibedakan antara risiko dan peluang. Peluang dikembalikan (channeled back) kepada proses penetapan strategi atau tujuan manajemen. 4. Penilaian Risiko (Risk Assessment) Risiko dianalisis dengan

memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola. 5. Respons Risiko (Risk Response) Manajemen memilih respons risiko menghindar (avoiding), menerima (accepting), mengurangi (reducing), atau mengalihkan (sharing risk) dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite. 6. Kegiatan Pengendalian (Control Activities) Kebijakan dan prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif. 7. Informasi dan komunikasi (Information and Communication) Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya. 8. Pengawasan (Monitoring) Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui eveluasi secara khusus, atau dengan keduanya. Penerapan komponen dalam berbagai tujuan tersebut dapat dilakukan pada entity-level, divisional, unit bisnis, dan/atau subsidiary. Hubungan antara ketiganya digambarkan oleh COSO dalam kubus tiga dimensi sebagai berikut:

12

Model ISO Sementara itu, ISO sebagaimana diterjemahkan secara bebas oleh Susilo et.al (2010) membedakan kerangka manajemen risiko sendiri, dengan prinsip dan juga proses manajemen risiko.

Menurut ISO, manajemen risiko suatu organisasi hanya dapat efektif bila mampu menganut prinsip-prinsipbahwa manajemen risiko: 1. harus memberi nilai tambah; 2. adalah bagian terpadu dari proses organisasi; 3. adalah bagian dari proses pengambilan keputusan; 4. secara khusus menangani aspek ketidakpastian; 5. bersifat sistematik, terstruktur, dan tepat waktu; 6. berdasarkan pada informasi terbaik yang tersedia; 7. adalah khas untuk penggunaannya; 8. mempertimbangkan faktor manusia dan budaya; 9. harus transparan dan inklusif; 10. bersifat dinamis, berulang, dan tanggap terhadap perubahan; dan

13

11. harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berlanjut. Selanjutnya, agar dapat berhasil baik, manajemen risiko harus diletakkan dalam suatu kerangka manajemen risiko. Kerangka ini akan menjadi dasar dan penataan yang mencakup seluruh kegiatan manajemen risiko di segala tingkatan organisasi. Kerangka manajemen risiko ini disusun khas ISO yaitu berdasarkan siklus Plan(mendesain kerangka manajemen risiko) Do (mengimplementasikan kerangka manajemen risiko) Check(memonitor dan mereview kerangka manajemen risiko) Act (perbaikan terus menerus kerangka manajemen risiko), dengan sebelumnya harus mendapatkan mandat dan komitmen berlanjut dari manajemen organisasi. Siklus kerangka manajemen risiko tersebut dapat digambarkan sebagai berikut:

Kerangka kerja ini akan membantu organisasi mengelola risiko secara efektif melalui penerapan proses manajemen risiko. Proses manajemen risiko hendaknya merupakan

14

bagian yang tak terpisahkan dari proses manajemen umum. Manajemen risiko harus masuk dan menjadi bagian dari budaya organisasi, praktik terbaik organisasi, dan proses bisnis organisasi. Proses manajemen risiko menurut ISO meliputi 5 kegiatan, yaitu: 1. Komunikasi dan konsultasi, yaitu komunikasi dan konsultasi di antara para pemangku kepentingan, internal maupun eksternal, yang harus dilakukan seekstensif mungkin sesuai dengan kebutuhan dan pada setiap tahapan proses manajemen risiko. 2. Menentukan konteks, yaitu menentukan batasan atau parameter internal dan eksternal yang akan dijadikan pertimbangan dalam manajemen risiko, menentukan lingkup kerja, dan kriteria risiko untuk proses-proses selanjutnya. 3. Asesmen risiko, yaitu mengidentifikasi risiko, menganalisis risiko, serta mengevaluasi risiko. Mengidentifikasi risiko dilakukan dengan mengidentifikasi sumber risiko, area dampak risiko, peristiwa dan penyebabnya, serta potensi penyebabnya, sehingga bisa didapatkan sebuah daftar risiko. Analisis risiko adalah upaya memahami risiko yang sudah diidentifikasi secara lebih mendalam yang hasilnya akan menjadi masukan bagi evaluasi risiko. Sedangkan evaluasi risiko adalah menentukan risiko-risiko mana yang memerlukan perlakuan dan bagaimana prioritas implementasinya. 4. Perlakuan risiko, meliputi upaya untuk menyeleksi pilihan-pilihan yang dapat mengurangi atau meniadakan dampak serta kemungkinan terjadinya risiko, kemudian menerapkan pilihan tersebut. 5. Monitoring dan review, bisa berupa pemeriksaan biasa atau oengamatan terhadap apa yang sudah ada, baik secara berkala atau secara khusus. Kedua bentuk ini harus dilakukan secara terencana. Keseluruhan proses manajemen risiko menurut ISO tersebut dapat digambarkan sebagai berikut:

15

Implementasi Penerapan ERM pada suatu organisasi sudah barang tentu adalah sebuah kemewahan yang manfaatnya sudah dijanjikan oleh pihak-pihak promotor model atau kerangka manajemen risiko. Apakah janji pasti terealisasi? Tidak ada yang menggaransi. Apapun model yang akan diterapkan, manajemen risiko yang intensional, sistematik dan terstruktur, bukanlah projek yang mudah dan murah. Yang sudah pasti harus ada adalah komitmen dari seluruh pihak di dalam organisasi yang berkelanjutan, yang merasuk dalam proses bisnis, yang menjadi budaya dan gaya organisasi, bahwa risiko adalah ibarat sebuah pedang. Tanpa risiko, organisasi akan stagnan karena tidak ada tantangan. Namun karena risiko pula, organisasi akan bisa berjatuhan. Risiko harus ada, tapi harus pula dikelola. Untuk itulah manajemen risiko.

16

Sumber: 1. Uwiiiis Blog http://uwiiii.wordpress.com/2009/11/14/kasus-enron-dan-kap-arthur-andersen/ Referensi: Blog Dr. Dedi Kusmayadi, S.E., M.Si., Ak.

2.

http://auditorinternal.com/2010/02/15/mengenal-erm/ Referensi: Basel Committee on Banking Supervision. The Joint Forum with International Association of Securities Commissions and International Association of Insurance Supervisors. 2003. Trends in Risk Integration and Aggregation. Bank for International Settlements. Basel, Switzerland. CAS (The Casualty Actuarial Society). Enterprise Risk Management Committee. 2003. Overview of Enterprise Risk Management. http://www.casact.org COSO (The Committee of Sponsoring Organization) of the Treadway Commission. 2004a. Enterprise Risk Management Integrated Framework. PDF Version. http://www.coso.org COSO (The Committee of Sponsoring Organization) of the Treadway Commission. 2004b. Enterprise Risk Management Integrated Framework. Application Techniques. PDF Version. http://www.coso.org DArcy, S. P.dan J. C. Brogan. 2001.Enterprise Risk Management. Journal of Risk Management of Korea. Volume 12, Number 1. DeLoach, J. W. 2003. Building Enterprise Risk Management on the Foundation Laid by Sarbanes-Oxley.http://www.protiviti.com Hamilton, S., dan I. Francis. 2003. The Enron Collapse, International Institute for Management Development. Lausanne. Swiss. Internal Auditor. 2005. ERM: a Status Report. February 2005. The Institute of Internal auditor. Florida. Meulbroek, L. K.2002. Integrated Risk Management for the Firm: A Senior Managers Guide (working paper draft). Harvard Business School. Boston Miccolis, J. dan S. Shah. 2000. Enterprise Risk Management An Analytic Approach. Tillinghast-Towers Perrin. http://www.tillinghast.com Susilo, Leo J. dan Victor Riwu Kaho.2010. Manajemen Risiko Berbasis ISO 31000. Ppm Manajemen. Jakarta. Vedpuriswar, A.V, P. Madhav, dan N. V. Chowdary. 2001. A strategic approach to Enterprise Risk Management. Icfaian School of Management. Hyderabad.

17