PERBANDINGAN COSO ERM-INTEGRATED FRAMEWORK DENGAN ISO31000: 2009
RISK MANAGEMENT – PRINCIPLES AND GUIDELINES DENGAN
CONTROL OBJECTIVE FOR INFORMATION AND RELATED TECHNOLOGY-COBIT
Tidak dapat dipungkiri bahwa saat ini terdapat
tiga rujukan besar yang dijadikan kiblat penerapan manajemen risiko. Kedua
rujukan tersebut adalah Committee of Sponsoring Organizations of the Treadway
Commission (COSO) Enterprise Risk Management (ERM) – Integrated Framework dan
The International Organization for Standardization (ISO) 31000: 2009 Risk
Management – Principles and Guidelines. COSO ERM dan ISO 31000: 2009 dan
Control Objective for Information and related Technology
(COBIT) merupakan rujukan manajemen risiko yang telah banyak
diadopsi oleh perusahaan-perusahaan dari berbagai belahan dunia. Kedua rujukan
tersebut menyediakan panduan penerapan manajemen risiko dengan tujuan mendukung
efektivitas manajemen risiko bagi para penggunanya. Walau disusun dengan tujuan
serupa, kedua standar tersebut memiliki perbedaan dalam berbagai aspek dan
komponennya.
Keberadaan standar-standar manajemen risiko yang beragam ini
melahirkan perdebatan mengenai standar mana yang lebih baik. “Standar manakah
yang lebih baik dalam mendukung efektivitas penerapan manajemen risiko? Apakah
COSO ERM ? ISO31000:2009? COBIT ? ” Untuk menjawab pertanyaan
tersebut kita perlu memahami terlebih dahulu isi dari ketiga standar tersebut.
COSO ERM – Integrated Framework 2004
Pada tahun 2001, COSO bekerjasama dengan
Pricewaterhouse Coopers memulai proyek untuk mengembangkan sebuah kerangka
kerja manajemen risiko yang dapat digunakan untuk mengevaluasi dan meningkatkan
efektivitas ERM. Kerjasama ini membuahkan hasil pada tahun 2004 dengan
dirilisnya COSO ERM – Integrated Framework, yang mendefinisikan manajemen
risiko sebagai:
“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan
personil lain dalam entitas, diaplikasikan pada pembentukan strategi dan pada
seluruh bagian perusahaan, dirancang untuk mengidentifikasi kejadian potensial
yang dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk
appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran
dari entitas.”
Dalam kerangka manajemen risikonya, COSO ERM
menuntut perusahaan untuk dapat menentukan terlebih dahulu sasaran
perusahaannya, yang terdiri dari empat kategori yaitu:
· Strategis:
sasaran yang mendukung dan selaras dengan misi perusahaan.
· Operasi:
efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.
· Pelaporan:
keterpercayaan dari pelaporan.
· Pemenuhan:
pemenuhan terhadap hukum dan regulasi yang berlaku.
Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen
yang saling terkait, yaitu:
· Lingkungan
internal à Mengidentifikasi kondisi internal perusahaan, meliputi
kekuatan dan kelemahannya, serta pandangan entitas terhadap risiko dan
manajemen risiko.
· Penetapan
sasaran à Sasaran kegiatan manajemen risiko harus sejalan dengan
sasaran dari perusahaan, serta konsisten dengan risk appetite perusahaan.
· Identifikasi
kejadian à Kejadian internal dan eksternal yang dapat mempengaruhi
pencapaian sasaran perusahaan harus diidentifikasi, meliputi risiko dengan
kesempatan yang dapat muncul.
· Penilaian
risiko à Risiko dianalisis berdasarkan kemungkinan dan dampaknya.
Hasil analisis risiko akan dijadikan dasar untuk menentukan perlakuan risiko.
· Perlakuan
risiko à Terdapat empat alternatif pada perlakuan risiko, yaitu
menghindari (avoidance), menerima (acceptance), mengurangi (reduction), dan
membagi risiko (sharing). Pemilihan perlakuan risiko dilakukan dengan
membandingkan hasil analisis risiko dengan risk appetite dan risk tolerance.
· Aktivitas
pengendalian à Membangun dan mengimplementasikan kebijakan dan
prosedur untuk memastikan perlakuan risiko diterapkan dengan efektif.
· Informasi
dan komunikasi à Informasi yang relevan diidentifikasi, diperoleh,
dan dikomunikasikan dalam bentuk dan waktu yang tepat agar personil dapat
melakukan tanggung jawabnya dengan baik.
· Pemantauan à Seluruh
kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.
Gambar 1. Ilustrasi keterkaitan sasaran, komponen ERM, dan unit
kerja perusahaan
Sumber: COSO Enterprise Risk Management – Integrated Framework
(Executive Summary)
COSO ERM – Integrated Framework juga mendeskripsikan peran dan
tanggung jawab dari unit-unit kerja perusahaan dalam penerapan manajemen
risiko. Satu prinsip dasar yang ditanamkan COSO ERM adalah bahwa “semua bagian
di dalam perusahaan memiliki tanggung jawab terhadap ERM”, yang artinya
implementasi manajemen risiko harus mencakup entity-level, division, business
unit, hingga subsidiary, dan mencakup seluruh seluruh sumber daya manusia di
dalamnya. Walau begitu, terdapat pembagian peran dan tanggung jawab dalam
penerapan ERM. Berikut adalah pembagian peran dan tanggung jawab yang
dijelaskan COSO ERM :
1. Board
of Directors (BoD) memiliki tanggung jawab penting dalam melakukan pemantauan
terhadap penerapan manajemen risiko, dengan turut memperhitungkan risk appetite
dari entitas
2. Chief
Executive Officer (CEO) memiliki tanggung jawab untuk memastikan berjalannya
ERM yang efektif pada keseluruhan perusahaan
3. Manajer
memiliki tanggung jawab dalam mendukung penerapan prinsip ERM perusahaan,
memastikan pemenuhan ERM dengan risk appetite, dan mengelola risiko di ranah
kewenangannya agar konsisten dengan risk tolerance yang dimilikinya
4. Risk
officer, financial officer, dan internal audit memiliki peran kunci dalam
mendukung efektivitas penerapan manajemen risiko perusahaan
5. Petugas
operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam
menerapkan manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan
manajemen risiko perusahaan
6. Pihak
eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan
dalam value chain perusahaan) tidak memiliki tanggung jawab dalam memastikan
efektivitas ERM dari entitas, tetapi pihak-pihak tersebut berperan penting
dalam menyediakan informasi yang dapat mendukung efektivitas manajemen risiko.
ISO 31000: 2009 Risk Management – Principles and Guidelines
ISO 31000: 2009 Risk Management – Principles
and Guidelines merupakan sebuah standar internasional yang disusun dengan
tujuan memberikan prinsip dan panduan generik untuk penerapan manajemen risiko.
Standar internasional yang diterbitkan pada 13 November 2009 ini dapat
digunakan oleh segala jenis organisasi dalam menghadapi berbagai risiko yang
melekat pada aktivitas mereka. Walau ISO 31000: 2009 menyediakan panduan
generik, standar ini tidak ditujukan untuk menyeragamkan manajemen risiko
lintas organisasi, tetapi ditujukan untuk memberikan standar pendukung
penerapan manajemen risiko dalam usaha memberikan jaminan terhadap pencapaian
sasaran organisasi. ISO 31000: 2009 menyediakan prinsip, kerangka kerja, dan
proses manajemen risiko yang dapat digunakan sebagai arsitektur manajemen
risiko dalam usaha menjamin penerapan manajemen risiko yang efektif.
Gambar 2. Hubungan
Antara Prinsip, Kerangka Kerja, dan Proses Manajemen Risiko
Sumber: ISO 31000: 2009 Risk Management – Principles and
Guidelines
Prinsip manajemen risiko merupakan fondasi dari kerangka kerja
dan proses manajemen risiko. Terdapat sebelas prinsip manajemen risiko yang
harus dipegang teguh dan diterapkan saat membangun kerangka kerja dan melakukan
implementasi proses manajemen risiko. Kesebelas prinsip tersebut adalah
1. Memberikan
nilai tambah dan melindungi nilai organsasi
2. Bagian
terpadu dari seluruh proses organisasi
3. Bagian
dari pengambilan keputusan
4. Secara
khusus menangani ketidakpastian
5. Sistematis,
terstruktur, dan tepat waktu
6. Berdasarkan
informasi terbaik yang tersedia
7. Disesuaikan
dengan kebutuhan organisasi
8. Mempertimbangkan
faktor budaya dan manusia
9. Transparan
dan inklusif
10. Dinamis, berulang,
dan responsif terhadap perubahan
11. Memfasilitasi
perbaikan sinambung dan peningkatan organisasi.
Kerangka kerja manajemen risiko merupakan struktur pembangun
proses manajemen risiko. Kerangka kerja dimulai dengan pemberian mandat dan
komitmen, lalu dilanjutkan dengan kerangka implementasi “Plan, Do, Check, Act”,
yang terdiri dari :
1. Perencanaan
kerangka kerja manajemen risiko
2. Penerapan
manajemen risiko
3. Monitoring
dan review terhadap kerangka kerja manajemen risiko
4. Perbaikan
kerangka kerja manajemen risiko secara berkelanjutan.
Proses manajemen risiko merupakan kegiatan kritikal dalam
manajemen risiko, karena merupakan penerapan daripada prinsip dan kerangka
kerja yang telah dibangun. Proses manajemen risiko terdiri dari 5 proses besar
yaitu:
1. Komunikasi
dan konsultasi
2. Penetapan
konteks
3. Penilaian
risiko (terdiri dari identifikasi, analisis, dan evaluasi risiko)
4. Perlakuan
risiko
5. Monitoring
dan review.
Implementasi secara mendetail dan menyeluruh pada prinsip,
kerangka kerja dan proses manajemen risiko berdasarkan ISO 31000: 2009 tersebut
diharapkan dapat meningkatkan efektivitas manajemen risiko organisasi.
COBIT (Control
Objectives for Information and Related Technology)
Control Objective for Information and related Technology, disingkat COBIT, adalah suatu panduan standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.1 merupakan versi terbaru.
Control Objective for Information and related Technology, disingkat COBIT, adalah suatu panduan standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.1 merupakan versi terbaru.
Gambar Framework Manajemen Resiko COBIT
Framework MR COBIT
terdiri dari :
· Pemahaman
objectives
· Identifikasi
resiko
· Penilaian
resiko
· Respon
resiko
· Pemantauan
resiko
Resiko adalah segala
hal yang mungkin berdampak pada kemampuan organisasi dalam mencapai
tujuantujuannya. Framework manajemen resiko TI dengan menggunakan COBIT (lihat
gambar) terdiri dari :
COBIT memiliki 4
cakupan domain, yaitu :
· Perencanaan
dan organisasi (plan and organise)
· Pengadaan
dan implementasi (acquire and implement)
· Pengantaran
dan dukungan (deliver and support)
· Pengawasan
dan evaluasi (monitor and evaluate)
Maksud utama COBIT
ialah menyediakan kebijakan yang jelas dan good practice untuk IT governance,
membantu manajemen senior dalam memahami dan mengelola risiko-risiko yang
berhubungan dengan IT. COBIT menyediakan kerangka IT governance dan petunjuk
control objective yang detail untuk manajemen, pemilik proses bisnis, user dan
auditor.
IT Risk Management
Framework by COBIT
COBIT (Control
Objectives for Information and Related Technology) merupakan standard yang
dikeluarkan oleh ITGI (The IT Governance Institute). COBIT merupakan suatu
koleksi dokumen dan framework yang diklasifikasikan dan secara umum diterima
sebagai best practice untuk tata kelola (IT Governance), kontrol dan jaminan
TI.
Referensi perihal
manajemen resiko secara khusus dibahas pada proses PO9 dalam COBIT.
Prosesproses yang lain juga menjelaskan tentang manajemen resiko namun tidak
terlalu detil.
(1) Penetapan Objektif
Kriteria informasi
dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan objektif TI.
Terdapat tujuh kriteria informasi dari COBIT yaitu : effectiveness, efficiency,
confidentiality, integrity, availability, compliance, dan reliability.
(2) Identifikasi Resiko
TABEL KEJADIAN (EVENTS) YANG MENGGANGU PENCAPAIAN OBJEKTIF
PERUSAHAAN :
Identifikasi resiko merupakan proses untuk mengetahui resiko.
Sumber resiko bisa berasal dari :
· Manusia,
proses dan teknologi
· Internal
(dari dalam perusahaan) dan eksternal(dari luar perusahaan)
· Bencana
(hazard), ketidakpastian (uncertainty) dan kesempatan (opportunity).
Dari ketiga sumber resiko tersebut dapat diketahui
kejadian-kejadian yang dapat mengganggu perusahaan dalam mencapai objektifnya
(lihat tabel event diatas).
(3) Penilaian
Resiko
Proses untuk menilai seberapa sering resiko
terjadi atau seberapa besar dampak dari resiko (tabel 2.2). Dampak resiko
terhadap bisnis (business impact) bisa berupa : dampak terhadap financial,
menurunnya reputasi disebabkan sistem yang tidak aman, terhentinya operasi
bisnis, kegagalan aset yang dapat dinilai (sistem dan data), dan penundaan
proses pengambilan keputusan.
Sedangkan kecenderungan (likelihood) terjadinya resiko dapat
disebabkan oleh sifat alami dari bisnis, struktur dan budaya organisasi, sifat
alami dari sistem (tertutup atau terbuka, teknologi baru dan lama), dan
kendali-kendali yang ada. Proses penilaian resiko bisa berupa resiko yang tidak
dapat dipisahkan (inherent risks) dan sisa resiko (residual risks).
TABEL TINGKATAN BESARNYA DAMPAK RESIKO DAN
FREKUENSI TERJADINYA RESIKO
(4) Respon
Resiko
Untuk melakukan respon terhadap resiko adalah
dengan menerapkan kontrol objektif yang sesuai dalam melakukan manajemen
resiko. Jika sisa resiko masih melebihi resiko yang dapat diterima (acceptable
risks), maka diperlukan respon resiko tambahan. Proses-proses pada framework
COBIT (dari 34 Control Objectives) yang sesuai untuk manajemen resiko adalah :
· PO1
(Define a Stretegic IT Plan) dan PO9 (Assess and Manage Risks)
· AI6
(Manages Change)
· DS5
(Ensure System and Security) dan DS11 (Manage Data)
· ME1
(Monitor and Evaluate IT Performance)
(5) Monitor
Resiko
Setiap langkah dimonitor untuk menjamin bahwa
resiko dan respon berjalan sepanjang waktu.
Menyadari perbedaan yang ada pada COSO ERM – Integrated
Framework, ISO 31000: 2009 Risk Management – Principles and
Guidelines dan COBIT. tentunya terdapat keunggulan dan kelemahan
tersendiri dari kedua standar ini. Berikut adalah tabel yang menggambarkan
perbedaan serta keunggulan dan kelemahan dari ketiga standar tersebut.
Perbedaan
|
COSO ERM –
Integrated Framework
|
ISO 31000: 2009 Risk
Management– Principles and Guidelines
|
COBIT (Control
Objectives for Information and Related Technology)
|
Definisi risiko
|
"Kemungkinan
terjadinya sebuah event yang dapat mempengaruhi pencapaian sasaran
entitas."
Menurut Grant Purdy,
seorang praktisi manajemen risiko veteran di Melbourne, definisi ini gagal
menangkap potensi risiko yang dapat muncul akibat perubahan kondisi yang
terjadi secara perlahan.
|
"Efek dari
ketidakpastian terhadap pencapaian sasaran organisasi."
|
"Resiko adalah
segala hal yang mungkin berdampak pada kemampuan organisasi dalam mencapai
tujuan-tujuannya."
|
Definisimanajemen
risiko
|
“Proses yang
dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam
entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian
perusahaan, dirancang untuk mengidentifikasi kejadian potensial yang dapat
mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite
entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran
dari entitas.”
|
"Aktivitas-aktivitas
terkoordinasi yang dilakukan dalam rangka mengelola dan mengontrol sebuah
organisasi terkait dengan risiko yang dihadapinya."
|
Manajemen Resiko,
Mendefinisikan tingkat resiko yang digunakan danmeningkatkan transparansi
tentang resiko yang mungkin akan muncul dalam perusahaan
|
Komponen manajemen
risiko
|
Proses dan kerangka
kerja manajemen risiko tidak dipaparkan secara terpisah. Menurut Grant Purdy
hal ini dapat menimbulkan kebingungan dan inefektivitas terhadap manajemen
risiko, dimana kerangka kerja seharusnya dirancang pada top level management,
sedangkan proses manajemen risiko seharusnya diterapkan pada proses-proses
organisasi. Standar ini menekankan pada pengembangan pengendalian internal
sebagai upaya perusahaan dalam mengelola risiko.
|
Memaparkan kerangka
kerja dan proses manajemen risiko secara terpisah. ISO 31000: 2009 juga
menyediakan prinsip manajemen risiko yang harus diterapkan dalam kerangka
kerja dan proses untuk mendukung efektivitas manajemen risiko. Standar ini
menekankan penerapan manajemen risiko sebagai alat penciptaan dan pelindung
nilai organisasi.
|
menyediakan
kebijakan yang jelas dan good practice untuk IT governance, membantu
manajemen senior dalam memahami dan mengelola risiko-risiko yang berhubungan
dengan IT. COBIT menyediakan kerangka IT governance dan petunjuk control
objective yang detail untuk manajemen, pemilik proses bisnis, user dan
auditor
|
Awal proses
\manajemen risiko
|
Dimulai dengan
menetapkan sasaran perusahaan yang terdiri dari empat kategori yaitu
strategis, operasi, pelaporan, dan pemenuhan.
|
Dimulai dengan
membangun konteks untuk mengidentifikasi kondisi internal, kondisi eksternal,
konteks manajemen risiko, dan kriteria risiko.
|
Dimulai dengan
melakukan, pemahaman objectives, Identifikasi resiko, Penilaian resiko,
Respon resiko, Pemantauan resiko
|
Identifikasi konteks
eksternal
|
Sedikit dilakukan.
|
Dilakukan
secara menyeluruh.
|
Sedikit dilakukan
|
Komponen proses
manajemen risiko
|
Terdiri dari 8
komponen, yaitu:
(1) identifikasi
lingkungan internal
(2) penetapan sasaran
manajemen risiko
(3) identifikasi
kejadian
(4) penilaian
risiko, perlakuan risiko;
(5) aktivitas
pengendalian
(6) informasi dan
komunikasi;
(7) dan
pemantauan.
|
Terdiri dari lima
komponen besar, yaitu:
(1) komunikasi
dan konsultasi
(2) membangun
konteks
(3) penilaian risiko
(4) perlakuan risiko
(5)monitoring dan
review.
|
Terdiri dari lima
komponen IT governance yaitu :
(1) Keselarasan strategi
(2) Penyampaian Nilai
(3) Pengelolaan Sumber Daya
(4) Manajemen Resiko,
Mendefinisikan tingkat resiko yang digunakan.
(5) Pengukuran Kinerja
|
Pengertian inherent
risk
|
Inherent risk
diartikan sebagai eksposur perusahaan terhadap risiko secara utuh. (dampak
dari existing control tidak diperhitungkan)
|
Inherent risk
diartikan sebagai eksposur perusahaan terhadap risiko setelah dilakukan
pengendalian internal.
|
Inherent risk
diartikan sebagai eksposur perusahaan terhadap risiko Proses penilaian resiko
bisa berupa resiko yang tidak dapat dipisahkan (inherent risks) dan sisa
resiko (residual risks)
|
Prinsip manajemen
risiko
|
Tidak ada.
|
Tersedia dan menjadi
hal yang harus diterapkan pada kerangka kerja dan proses manajemen risiko
untuk mendukung efektivitas penerapan manajemen risiko.
|
Tersedia namun tidak
di terapkan pada kerangka kerja dan proses manajemen risiko
|
Perbaikan berkelanjutan
|
Perbaikan hanya
dilakukan apabila diperlukan, berdasarkan hasil pemantauan.
|
Memfasilitasi
perbaikan berkelanjutan pada keseluruhan kerangka kerja dan proses manajemen
risiko, sesuai dengan kebutuhan organisasi dan perkembangan konteks.
|
Setiap langkah dimonitor dan dievaluasi untuk menjamin bahwa
resiko dan respon berjalan sepanjang waktu
|
Penyaluran Informasi
|
Informasi hanya
dikomunikasikan kepada pelaku manajemen risiko untuk mendukung pencapaian
sasaran unit-unit tersebut. Keterlibatan stakeholders eksternal tidak
diungkapkan pada standar ini.
|
Informasi mengenai
risiko dan manajemen risiko dikomunikasikan dan dikonsultasikan dengan
seluruh stakeholders perusahaan, baik internal maupun eksternal (sesuai
prinsip “transparan dan inklusif”). Keterlibatan stakeholders diperlukan
untuk mengidentifikasi kepentingan seluruh pihak agar menjadi bahan
pertimbangan pengambilan keputusan.
|
Kriteria informasi
dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan objektif TI.
Terdapat tujuh kriteria informasi dari COBIT yaitu : effectiveness,
efficiency, confidentiality, integrity, availability, compliance, dan reliability.
|
Aspek manusia dan
budaya
|
Aspek manusia
disebutkan sebagai batasan dari manajemen risiko dalam memberikan jaminan
terhadap pencapaian sasaran organisasi.
|
Memperhitungkan
aspek manusia dan budaya ke dalam manajemen risiko (prinsip “mempertimbangkan
faktor budaya dan manusia”). Penerapan manajemen risiko turut
mempertimbangkan kultur, persepsi, dan kapabilitas manusia, termasuk
memperhitungkan perselisihan kepentingan antara organisasi dengan individu di
dalamnya.
|
Identifikasi resiko
merupakan roses untuk mengetahui resiko (baik itu yang sedang terjadi; fakta
dilapangan; ataupun resiko2 yang akan terjadi; dengan melihat 7 komponen dari
pemahaman objectives)
Sumber resiko :
Manusia, proses, dan
teknologi
Internal dan
eksternal
Bencana (hazard),
uncertainty, dan opportunity
|
Perbedaan yang melekat pada ketiga rujukan ini membawa
keunggulan dan kelemahan tersendiri pada COSO ERM – Integrated Framework, ISO
31000: 2009 Risk Management – Principles and Guidelines, COBIT dari hasil
pengamatan penulis, standar ISO 31000: 2009 memiliki keunggulan esensial dalam
memberikan panduan yang lebih mendetail dan komprehensif. Keberadaan prinsip
manajemen risiko, penetapan konteks eksternal, dan pemisahan antara kerangka
kerja dengan proses manajemen risiko menjadi keunggulan kompetitif yang dimiliki
oleh ISO 31000: 2009. Fakta bahwa standar ISO 31000: 2009 telah diakui dan
diadaptasi sebagai standar manajemen risiko di hingga 40 negara juga
menunjukkan bahwa ISO 31000: 2009 telah bertahan dari uji kelayakan oleh
berbagai negara. Namun pada akhirnya, dalam memilih standar terbaik untuk
diimplementasikan, keunikan pada kedua standar tersebut perlu dipertimbangkan
dan disesuaikan dengan sasaran, karakteristik, dan regulasi yang berlaku pada
organisasi. Dalam penerapannya, organisasi juga dapat mengadaptasi dan
mengkombinasikan komponen-komponen tertentu pada ketiga rujukan tersebut
untuk membangun sistem manajemen risiko tersendiri yang efektif bagi
organisasinya.
Contoh Kasus :
Penelitian COSO:
Kasus-kasus Kecurangan Dekade 1998-2007
Penelitian COSO:
Kasus-kasus Kecurangan Dekade 1998-2007
Merujuk pada penelitian terbaru yang dilakukan oleh the Committee of
Sponsoring Organizations of the Treadway Commission (COSO), kecurangan (fraud)
dalam pelaporan keuangan oleh perusahaan-perusahaan publik di Amerika Serikat
memberikan konsekuensi negatif yang signifikan terhadap para investor dan
eksekutif.
Penelitian COSO tersebut, dengan menelaah tuduhan kecurangan laporan
keuangan yang diselidiki oleh Securities and Exchange Commission (SEC) dalam
kurun waktu sepuluh tahun antara tahun 1998 – 2007, menemukan fakta bahwa
berita dugaan kecurangan telah mengakibatkan penurunan abnormal harga saham
rata-rata 16,7% dalam dua hari setelah diumumkan. Perusahaan-perusahaan
yang terlibat dalam kecurangan seringkali mengalami kebangkrutan, delisting
dari bursa efek, atau harus menjual aset, dan sembilan dari sepuluh kasus-kasus
SEC tersebut menyebutkan CEO dan/atau CFO perusahaan yang bersangkutan
diduga terlibat dalam kecurangan.
Chairman COSO, David Landsittel, mengatakan bahwa analisis mendalam dalam
penelitian tersebut terkait tentang sifat, jangkauan, dan karakteristik dari
kecurangan pelaporan keuangan memberikan pemahaman yang sangat membantu tentang
isu-isu baru dan berkelanjutan yang perlu segera ditangani. “Semua pihak
yang terlibat dalam proses pelaporan keuangan harus terus berfokus pada
cara-cara untuk mencegah, menghalangi, dan mendeteksi kecurangan pelaporan
keuangan,” kata Landsittel. “COSO berencana untuk mensponsori penelitian
lanjutan mengenai kecurangan pelaporan keuangan, serta pengembangan lebih
lanjut pedoman pengendalian internal, untuk membantu pihak-pihak yang terlibat
dalam proses pelaporan keuangan.”
Penelitian COSO di atas menelaah hampir 350 kasus dugaan kecurangan
pelaporan keuangan yang diselidiki oleh SEC. Hasil penelitian menunjukkan
bahwa:
·
Kecurangan keuangan memengaruhi
perusahaan dari semua ukuran, dengan median perusahaan memiliki aktiva dan
pendapatan hanya di bawah $100juta.
·
Median kecurangan adalah $12,1 juta
. Lebih dari 30 kasus dengan masing-masing kasus melibatkan jumlah lebih
dari $500 juta.
·
SEC menyebutkan CEO dan/atau CFO
terindikasi terlibat pada 89% dari kasus kecurangan. Dalam waktu dua tahun
penyelesaian penyelidikan SEC, sekitar 20% dari para CEO / CFO berlanjut pada
dakwaan serta lebih dari 60% di antaranya divonis bersalah.
·
Kecurangan mengenai pendapatan tercatat
lebih 60% dari kasus.
·
Banyak karakteristik yang biasanya menjadi
pengamatan umum dewan direktur dan komite audit, seperti: ukuran, frekuensi
rapat, komposisi, serta pengalaman, tidak berbeda secara signifikan antara
perusahaan yang terlibat kecurangan dengan yang tidak. Upaya-upaya
pengaturan tata kelola perusahaan terbaru tampaknya telah mengurangi variasi
dalam karakteristik terkait dewan direktur yang diamati.
·
Dua puluh enam persen dari
perusahaan-perusahaan yang terlibat dalam kecurangan mengganti auditor selama
periode yang diteliti dibandingkan dengan hanya 12 persen dari
perusahaan-perusahaan yang tidak terlibat.
·
Berita awal dalam media massa mengenai
dugaan adanya kecurangan mengakibatkan penurunan tidak normal harga saham
rata-rata sebesar 16,7 persen untuk perusahaan yang terlibat kecurangan, dalam
dua hari setelah pengumuman.
·
Berita mengenai investigasi SEC atau
Departemen Kehakiman mengakibatkan penurunan tidak normal harga saham rata-rata
7,3 persen.
·
Perusahaan yang terlibat dalam
kecurangan sering mengalami kebangkrutan, delisting dari bursa efek, atau
melakukan penjualan aset yang material dengan tingkat yang jauh lebih tinggi
daripada perusahaan yang tidak terlibat kecurangan.
Penelitian COSO dilakukan oleh empat profesor akuntansi: Mark S. Beasley
dari North Carolina State University, Joseph V. Carcello dari University of
Tennessee, Dana R. Hermanson dari Kennesaw State University, dan Terry L. Neal
dari University of Tennessee. Penelitian ini meng-update penelitian COSO
sejenis sebelumnya diterbitkan pada tahun 1999, untuk kasus-kasus kecurangan
pelaporan keuangan dekade 1987-1997.
Profesor Beasley, yang juga merupakan anggota dewan COSO, mencatat bahwa
penelitian tambahan diperlukan untuk lebih memahami perbedaan dalam proses
seputar dewan direksi dan komite audit. “Kita perlu untuk menentukan apakah
ada proses tertentu berkaitan dengan dewan direksi yang dapat memperkuat
pengawasan mereka terhadap risiko-risiko yang mempengaruhi laporan keuangan,”
katanya. “Selain itu, mengingat jumlah kecurangan diperiksa dalam
penelitian ini terbatas dan terkait dengan jangka waktu setelah
penerbitan Sarbanes-Oxley Act of 2002 termasuk implementasi Seksi 404,
penelitian lebih lanjut diperlukan sebelum dapat diambil kesimpulan tentang
dampak SOX tersebut dalam mengurangi kecurangan pelaporan keuangan.”
Dokumen penelitian ini dapat diunduh secara gratis di situs web COSO:
y
Daftar Pustaka :
1.
http://rizkiapriliad.blogspot.com/2017/05/perbandingan-coso-erm-integrated.html
2. http://auditorinternal.com/2010/06/18/penelitian-coso-kasus-kasus-kecurangan-dekade-1998-2007/
Tidak ada komentar:
Posting Komentar