Enterprise Risk Management (ERM) dan Sarbanes Oxley Act (SOA)

Disusun Oleh Kelompok 3

Andre Sabam P Munthe Andi Asriani

Muhammad Sholich

BAB II

PEMBAHASAN

2.1 Latar Belakang Sarbanes Oxley Act

Sarbanes Oxley Act (SOA) merupakan undang-undang yang diprakarsai oleh

Senator Paul Sarbanes (Maryland) dan Representative Michael Oxley (Ohio), dan telah

ditandatangani oleh Presiden George W. Bush pada tanggal 30 Juli 2002. Undang-

undang ini dikeluarkan sebagai respon dari Kongres Amerika Serikat Terhadap berbagai

skandal pada beberapa korporasi besar seperti Enron, WorldCom (MCI), AOL

TimeWarner, Aura Systems, Citigroup, Computer Associates International, CMS

Energy, Global Crossing, HealthSouth, Quest Communication, Safety-Kleen dan Xerox;

yang juga melibatkan beberapa KAP yang termasuk dalam “the big five” seperti: Arthur

Andersen, KPMG dan PWC. Semua skandal ini merupakan contoh tragis bagaimana

fraud schemes berdampak sangat buruk terhadap pasar, stakeholders dan para pegawai.

Salah satu skandal korporasi yang melatarbelakangi diterbitkannya Sarbanes Oxley

Act (SOA) adalah kasus Enron yang mulai terungkap pada bulan Desember tahun 2001

dan terus menggelinding pada tahun 2002.

Enron merupakan perusahaan dari penggabungan antara InterNorth (penyalur gas

alam melalui pipa) dengan Houston Natural Gas. Kedua perusahaan ini bergabung pada

tahun 1985. Bisnis inti Enron bergerak dalam industri energi, kemudian melakukan

diversifikasi usaha yang sangat luas bahkan sampai pada bidang yang tidak ada

kaitannya dengan industri energi. Diversifikasi usaha tersebut antara lain meliputi future

transaction, trading commodity non energy, dan kegiatan bisnis keuangan. Kasus Enron

mulai terungkap pada bulan Desember tahun 2001 dan terus menggelinding pada tahun

2002 yang berimplikasi sangat luas terhadap pasar keuangan global yang ditandai dengan

menurunnya harga saham secara drastis berbagai bursa efek di belahan dunia, mulai dari

Amerika, Eropa, sampai ke Asia. Enron, suatu perusahaan yang menduduki ranking

tujuh dari lima ratus perusahaan terkemuka di Amerika Serikat dan merupakan

perusahaan energi terbesar di AS jatuh bangkrut dengan meninggalkan utang hampir

sebesar USD 31,2 milyar.

Dalam kasus Enron diketahui terjadi perilaku moral hazard, diantaranya manipulasi

laporan keuangan dengan mencatat keuntungan USD 600 juta padahal perusahaan

mengalami kerugian. Manipulasi keuntungan disebabkan keinginan perusahaan agar

saham tetap diminati investor, kasus ini konon ikut melibatkan orang dalam gedung

putih, termasuk wakil presiden Amerika Serikat. Kronologis, fakta, data, dan informasi

dari berbagai sumber yang berkaitan dengan hancurnya Enron dapat diuraikan sebagai

berikut:

1. Board of Director (dewan direktur, direktur eksekutif, dan direktur non eksekutif)

membiarkan kegiatan-kegiatan bisnis tertentu mengandung unsur konflik

kepentingan dan mengijinkan terjadinya transaksi-transaksi berdasarkan informasi

yang hanya bisa diakses oleh pihak dalam perusahaan (insider trading), termasuk

praktek akuntansi dan bisnis tidak sehat sebelum hal tersebut terungkap kepada

publik.

2. Enron merupakan salah satu perusahaan besar pertama yang melakukakn

outsourcing secara total atas fungsi internal audit perusahaan.

a. Mantan Chief Audit Executive Enron (kepala internal audit) semula adalah partner

KAP Andersen yang ditunjuk sebagai akuntan publik perusahaan.

b. Direktur keuangan Enron berasal dari KAP Andersen.

c. Sebagian besar staf akunting Enron berasal dari KAP Andersen.

3. Pada awal tahun 2001, partner KAP Andersen melakukan evaluasi terhadap

kemungkinan mempertahankan atau melepaskan Enron sebagai klien perusahaan,

mengingat risiko yang sangat tinggi berkaitan dengan praktek akuntansi dan bisnis

Enron. Dari hasil evaluasi diputuskan untuk tetap mempertahankan Enron sebagai

klien KAP Anderson.

4. Salah seorang eksekutif Enron dilaporkan telah mempertanyakan praktek akunting

perusahaan yang dinilai tidak sehat dan mengungkapkan kekhawatiran berkaitan

dengan hal tersebut kepada CEO dan partner KAP Andersen pada pertengahan 2001.

CEO Enron menugaskan penasehat hukum perusahaan untuk melakukan investigasi

atas kekhawatiran tersebut tetapi tidak memperkenankan penasehat hukum untuk

mempertanyakan pertimbangan yang melatarbelakangi akuntansi yang dipersoalkan.

Hasil investiasi oleh penasehat hukum tersebut menyimpulkan bahwa tidak ada hal-

hal yang serius yang perlu diperhatikan.

5. Pada tanggal 16 Oktober 2001, Enron menerbitkan laporan keuangan triwulan

ketiga. Dalam laporan itu disebutkan bahwa laba bersih Enron telah meningkat

menjadi $ 393 juta, naik $ 100 juta dibandingkan periode sebelumnya. CEO Enron,

Kenneth Lay, menyebutkan bahwa Enron secara berkesinambungan memberikan

prospek yang sangat baik. Ia tidak menjelaskan secara rinci tentang pembebanan

biaya akuntansi khusus (special accounting charge/expense) sebesar $ 1 milyar yang

sesungguhnya menyebabkan hasil aktual pada periode tersebut menjadi rugi $ 644

juta. Para analis dan reporter kemudian mancari tahu lebih jauh mengenai beban $ 1

milyar tersebut, dan ternyata berasal dari transaksi yang dilakukan oleh perusahaan-

perusahaan yang didirikan oleh CFO Enron.

6. Pada tanggal 2 Desember 2001, Enron mendaftarkan kebangkrutan perusahaan ke

pengadilan dan memecat 5000 pegawai. Pada saat itu terungkap bahwa terdapat

utang perusahaan yang tidak dilaporkan senilai lebih dari satu milyar dolar. Dengan

pengungkapan ini nilai investasi dan laba yang ditahan (retained earning) berkurang

dalam jumlah yang sama.

7. Enron dan KAP Andersen dituduh telah melakukan kriminal dalam bentuk

penghancuran dokumen yang berkaitan dengan investigasi atas kebangkrutan Enron

(penghambat terhadap proses peradilan).

8. Dana pensiun Enron sebagian besar diinvestasikan dalam bentuk saham Enron.

Sementara itu harga saham Enron terus menurun sampai hampir tidak ada nilainya.

9. KAP Andersen diberhentikan sebagai auditor Enron pada pertengahan Juni 2002.

Sementara KAP Andersen menyatakan bahwa penugasan audit oleh Enron telah

berakhir pada saat Enron mengajukan proses kebangkrutan pada 2 Desember 2001.

10. CEO Enron, Kenneth Ley, mengundurkan diri pada tanggal 2 Januari 2002 akan

tetapi masih dipertahankan posisinya di dewan direktur perusahaan. Pada tanggal 4

Februari 2002, Mr. Lay mengundurkan diri dari dewan direktur perusahaan.

11. Tanggal 28 Februari 2002 KAP Andersen menawarkan ganti rugi USD 750 juta

untuk menyelesaikan berbagai gugatan hukum yang diajukan kepada KAP

Andersen.

12. Pemerintahan Amerika (The US General Service Aministration) melarang Enron dan

KAP Andersen untuk melakukan kontrak pekerjaan dengan lembaga pemerintahan

di Amerika.

13. Tanggal 14 Maret 2002 departemen kehakiman Amerika memvonis KAP Andersen

bersalah atas tuduhan melakukan penghambatan dalam proses peradilan karena telah

menghancurkan dokumen-dokumen yang sedang diselidiki.

14. KAP Andersen terus menerima konsekuensi negatif dari kasus Enron berupa

kehilangan klien, pembelotan afiliasi yang bergabung dengan KAP yang lain dan

pengungkapkan yang meningkat mengenai keterlibatan pegawai KAP Andersen

dalam kasus Enron.

15. Tanggal 22 Maret 2002 mantan ketua Federal Reserve, Paul Volkcer, yang direkrut

untuk melakukan revisi terhadap praktek audit dan meningkatkan kembali citra KAP

Andersen, mengusulkan agar manajemen KAP Andersen yang ada diberhentikan

dan membentuk suatu komite yang diketuai oleh Paul sendiri untuk menyusun

manajemen baru.

16. Tanggal 26 Maret 2002 CEO Anderson Joseph Berandino mengundurkan diri dari

jabatannya.

17. Tanggal 8 April 2002 seorang partner KAP Andersen, David Duncan, yang

bertindak sebagai penanggung jawab audit Enron mengaku bersalah atas tuduhan

melakukan hambatan proses peradilan dan setuju untuk menjadi saksi kunci di

pengadilan bagi kasus KAP Anderson dan Enron.

18. Tanggal 9 April 2002 Jeffrey McMahon mengumumkan pengunduran diri sebagai

presiden dan Chief Operating Officer Enron yang berlaku efektif 1 Juni 2002.

19. Tanggal 15 Juni 2002 juri federal di Houston menyatakan KAP Andersen bersalah

telah melakukan hambatan terhadap proses peradilan.

Praktek bisnis Enron yang menjadikannya bangkrut dan hancur berimplikasi

negatif bagi banyak pihak. Pihak yang dirugikan dari kasus ini tidak hanya investor

Enron saja, tetapi terutama karyawan Enron yang menginvestasikan dana pensiunnya

dalam saham perusahaan serta investor di pasar modal umumnya (social impact).

Milyaran dolar kekayaan investor terhapus seketika dengan meluncurnya harga saham

berbagai perusahaan di bursa efek. Jika dilihat dari agency theory, Andersen sebagai

KAP telah menciderai kepercayaan dari pihak stock holder atau principal untuk

memberikan suatu fairness information mengenai pertanggungjawaban dari pihak agent

dalam mengemban amanah dari principal. Pihak agent dalam hal ini manajemen Enron

telah bertindak secara rasional untuk kepentingan dirinya (self interest oriented) dengan

melupakan norma dan etika bisnis yang sehat.

Kasus Enron dan KAP Anderson memberikan dampak di Amerika. Kasus ini

mempunyai implikasi terhadap pembaharuan tatanan kondisi maupun regulasi praktek

bisnis di Amerika Serikat dengan diterbitkannya Sarbanes Oxley Act (SOA) oleh

pemerintah AS untuk melindungi para investor melalui:

Pengungkapan keuangan yang lebih:

1. Akurat;

2. Tepat waktu;

3. Komprehensif; dan

4. Dapat dimengerti.

Tata kelola perusahaan yang lebih baik.

Pengawasan yang lebih ketat dengan pembentukan PCAOB (Public Company

Accounting Oversight Board)

Pengendalian internal yang lebih baik.

Berikut implikasi terhadap pembaharuan tatanan kondisi maupun regulasi praktek

bisnis di Amerika Serikat dengan diterbitkannya SOA.

1. Perubahan-perubahan yang ditentukan dalam Sarbanse-Oxley Act adalah sebagai

berikut:

Untuk menjamin independensi auditor, maka KAP dilarang memberikan jasa

non audit kepada perusahaan yang diaudit. Berikut ini adalah sejumlah jasa

non audit yang dilarang:

a. Pembukuan dan jasa lain yang berkaitan.

b. Desain dan implementasi sistem informasi keuangan.

c. Jasa appraisal dan valuation.

d. Opini fairness.

e. Fungsi-fungsi berkaitan dengan jasa manajemen.

f. Broker, dealer, dan penasehat investasi.

Membutuhkan persetujuan dari komite audit perusahaan sebelum melakukan

audit. Jika tidak ada, maka seluruh dewan komisaris menjadi komite audit.

Melarang KAP memberikan jasa audit jika audit partnernya telah memberikan

jasa audit tersebut selama lima tahun berturut-turut kepada klien tersebut.

KAP harus segera membuat laporan kepada komite audit yang menunjukkan

kebijakan akuntansi yang penting yang digunakan, alternatif perlakuan-

perlakuan akuntansi yang sesuai standar dan telah dibicarakan dengan

manajemen perusahaan, pemilihannya oleh manajemen dan preferensi auditor.

KAP dilarang memberikan jasa audit jika CEO, CFO, Chief Accounting

Officer, dan controller klien sebelumnya berkerja di KAP tersebut dan

mengaudit klien tersebut setahun sebelumnya.

2. SOA melarang pemusnahan atau manipulasi dokumen yang dapat menghalangi

investigasi pemerintah kepada perusahaan yang menyatakan bangkrut. Setelah itu,

kini CEO dan CFO harus membuat surat pernyataan bahwa laporan keuangan

yang mereka laporkan adalah sesuai dengan peraturan SEC dan semua informasi

yang dilaporkan adalah wajar dan tidak ada kesalahan material. Sebagai

tambahan, menjadi semakin banyak ancaman pidana bagi mereka yang melakukan

pelangaran ini.

3. Sarbanes-Oxley merekomendasikan pembentukan badan pengawas akuntan publik

di pasar modal.

Sarbanes Oxley Act mengikat semua perusahaan publik yang mencatatkan

bursanya di pasar modal Amerika Serikat (NYSE dan NASDAQ) dan kantor akuntan

yang memeriksanya baik kantor akuntan tersebut berada dalam yurisdiksi Amerika

Serikat maupun bukan. Peraturan ini mulai berlaku 15 November 2004 untuk perusahaan

yang memiliki float melebihi USD75 juta dan 15 Juli 2005 untuk sisa perusahaan

lainnya.

2.2 SOA dan Lingkungan Pengendalian yang Berbasis ERM (Enterprise Risk Management)

Dunia bisnis di Amerika terguncang dengan adanya kasus Enron yang terkuak pada

akhir tahun 2001. Sebuah kasus rekayasa keuangan dan malpraktik akuntansi, yang

kemudian diikuti oleh terkuaknya kasus-kasus lain sejenis seperti kasus WorldCom,

Merck, dan sebagainya. Salah satu faktor penting yang menyebabkan itu semua, menurut

Hamilton dan Francis (2003) mengutip laporan William C. Powers, Dekan Law School

University of Texas, yang juga mengetuai Komite Investigasi Khusus―Board of

Directors Enron Corporation, adalah kelemahan sistem pengendalian intern dan proses

manajemen risiko dalam memitigasi risiko.

Seperti yang telah disebutkan sebelumnya bahwa pada tanggal 23 Januari 2002

kongres Amerika Serikat (AS) mengesahkan sebuah undang-undang perlindungan bagi

para investor yang secara singkat disebut “Sarbanes-Oxley Act of 2002” (SOA) sebagai

respon atas kasus-kasus yang terkuak di AS seperti kasus Enron. Undang-undang ini

merupakan reformasi pengaturan corporate governance terbesar setelah Securities Act of

1933 dan Securities Exhange Act of 1934. SOA menjadi sangat penting karena sifatnya

yang mengikat sebagai hukum. Dengan adanya kewajiban tersebut, perhatian berbagai

kalangan terhadap pengendalian intern, manajemen risiko, dan good governance, sesuai

pengaturan Seksi 404 dari undang-undang tersebut, semakin meningkat (DeLoach, 2003).

Meningkatnya perhatian terhadap pengendalian intern, manajemen risiko, dan good

governance tersebut direspon oleh The Committee of Sponsoring Organizations of the

Treadway Commission (COSO) dengan menerbitkan Enterprise Risk Management

(“ERM”)–Integrated Framework pada bulan September 2004. Menyusul kemudian pada

November 2009, International Organization for Standardization (ISO) juga mengeluarkan

ISO 31000: Risk Management – Principles and Guidelines on Implementation.

2.2.1 Terminologi

Dalam berbagai artikel, ERM kadang kala muncul dalam istilah lain seperti

“strategic risk management”, “integrated risk management”, atau “holistic risk

management”. Semua istilah tersebut mengacu pada konsep yang sama yaitu bahwa

semuanya memandang risiko dan manajemen risiko secara komprehensif, bukan lagi

dengan pendekatan “silo” dimana risiko dikelola secara terpisah dan berbeda-beda di

dalam organisasi. Lebih jauh lagi, adanya kesamaan pandangan dalam berbagai istilah

tersebut bahwa manajemen risiko bukan hanya merupakan proses mitigasi risiko, namun

juga penciptaan nilai (value-creating) (CAS, 2003). Selain istilah-istilah tersebut, D’Arcy

dan Brogan (2001) menyatakan bahwa ERM merupakan istilah mutakhir dari istilah-

istilah tersebut, termasuk istilah setara lainnya yaitu “corporate risk management” dan

“business risk management”.

Sebagai sebuah terminologi yang relatif baru, belum terdapat sebuah definisi yang

berlaku umum dan diakui oleh semua kalangan, baik praktisi maupun akademisi.

Kalangan akademisi seperti Meulbroek (2002), dengan menggunakan istilah integrated

risk management, mendefinisikannya sebagai berikut:

“Identifikasi dan penilaian risiko-risiko yang mungkin mempengaruhi nilai

perusahaan secara kolektif, dan mengimplementasikan strategi pada tingkat

keseluruhan perusahaan untuk mengelola risiko-risiko tersebut”.

Sedangkan Vedpuriswar et.al. (2001) mendefinisikannya sebagai berikut:

“Suatu proses perencanaan, pengorganisasian, dan pengendalian kegiatan-

kegiatan organisasi dalam rangka meminimalkan pengaruh risiko terhadap

perusahaan baik dalam jangka pendek maupun dalam jangka panjang”.

Sementara itu, media massa yang melakukan riset terhadap praktik manajemen risiko

seperti majalah CFO (2002) mendefinisikan strategic risk management sebagai berkut:

“Suatu metode manajemen risiko yang menggunakan pendekatan pada tingkat

keseluruhan perusahaan untuk mengawasi dan mengelola risiko dalam rangka

mendukung tujuan stratejiknya”.

Sementara itu di kalangan praktisi aktuaria, sebagaimana didefinisikan oleh Casualty

Actuarial Society (2003), ERM adalah sebuah proses atau disiplin dengannya organisasi-

organisasi di semua industri menaksir, mengendalikan, mengeksploitasi, membiayai, dan

mengawasi risiko dari semua sumbernya dengan tujuan untuk meningkatkan nilai

perusahaan baik dalam jangka pendek maupun jangka panjang.

Sedangkan praktisi perbankan, sekuritas, dan asuransi, mendefinisikan integrated risk

management sebagai suatu sistem yang memastikan keberadaan dan berjalannya kebijakan

dan prosedur yang dirancang untuk meningkatkan perhatian dan tanggung jawab

pemilikan risiko di seluruh perusahaan, serta untuk mengembangkan perangkat-perangkat

yang diperlukan untuk menangani risiko-risiko tersebut.

Sedikit berbeda dengan definisi tersebut, organisasi-organisasi praktisi akuntan dan

auditor keuangan yang berpengaruh dan tergabung dalam The Committee of Sponsoring

Organizations of the Treadway Commission (COSO)(2004), menyatakan bahwa ERM

berhubungan dengan risiko dan peluang yang berpotensi mempengaruhi nilai, dan

mendefinisikannya sebagai berikut:

“Suatu proses yang dipengaruhi oleh dewan direktur, manajemen, dan pihak

lain, yang diaplikasikan dalam penentuan strategi perusahaan, yang dirancang

untuk mengidentifikasi risiko-risiko yang mungkin mempengaruhi perusahaan,

dan mengelola risiko-risiko tersebut tetap berada pada selera risiko

perusahaan, serta memberikan pemastian yang memadai bahwa tujuan

perusahaan dapat dicapai”.

Definisi paling mutakhir diberikan oleh ISO, di mana manajemen risiko

didefinisikan sebagai upaya terkoordinasi untuk mengarahkan dan mengendalikan

kegiatan-kegiatan organisasi terkait dengan risiko (ISO Guide 73).

Dari berbagai definisi tersebut, walaupun dari sisi redaksional berbeda, namun dapat

diambil beberapa hal yang relatif sama yang membedakannya dengan manajemen risiko

tradisional, yaitu bahwa:

1. Proses dan sisteam dari ERM bersifat komprehensif, integratif, dan lintas

divisional pada manajemen risiko tradisional, risiko dikelola secara parsial (silo

based).

2. Tujuan dari ERM bersifat strategis yaitu pencapaian tujuan perusahaan yang lebih

baik dan pada akhirnya menciptakan, menambah, dan atau melindungi nilai

perusahaan. Pada manajemen risiko tradisional, tujuan terbatas pada mitigasi risiko

terbatas pada kegiatan atau unit bisnis tertentu.

2.2.3 Kerangka

Ada beberapa kerangka (framework) yang dikembangkan oleh beberapa pihak

seperti oleh COSO (2004), CAS (2003), atau oleh Miccolis dan Shah (2000), dan

terakhir yang dikeluarkan oleh ISO (2009). Kerangka yang dikembangkan oleh COSO

telah menjadi leader sejak tahun 2004 hingga saat ini. Hal ini dapat dimaklumi karena

kerangka dari COSO di-endorse oleh profesi-profesi terkait dengan akuntansi dan

keuangan serta pasar modal yang berpengaruh secara global. Namun kerangka ISO juga

tampaknya akan segera menjadi alternatif kerangka yang dapat dipakai dalam

manajemen risiko, mengingat ISO memiliki reputasi dan pengaruh yang besar dalam

harmonisasi standar di seluruh dunia. Berikut ini uraian ringkas kedua kerangka

tersebut.

2.2.3.1 Framework Model COSO

ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan

komponen ini diturunkan dari bagaimana manajemen menjalankan perusahaan dan

diintegrasikan dengan proses manajemen. Kedelapan komponen ini diperlukan untuk

mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan

keuangan, maupun kepatuhan terhadap ketentuan perundang-undangan. Komponen-

komponen tersebut adalah:

1. Lingkungan Internal (Internal Environment) – Lingkungan internal sangat

menentukan warna dari sebuah organisasi dan memberi dasar bagi cara

pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Di

dalam lingkungan internal ini termasuk, filosofi manajemen risiko dan risk

appetite, nilai-nilai etika dan integritas, dan lingkungan di mana kesemuanya

tersebut berjalan.

2. Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada

terlebih dahulu sebelum manajemen dapat menidentifikasi kejadian-kejadian

yang berpotensi mempengaruhi pencapaian tujuan tersebut.  ERM

memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan

tujuan ddan bahwa tujuan yang dipilih atau ditetapkan tersebut terkait dan

mendukung misi perusahaan dan konsisten dengan risk appetite-nya.

3. Identifikasi Kejadian (Event Identification) – Kejadian internal dan

eksternal yang mempengaruhi pencapaian tujuan perusahaan harus

diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang

dikembalikan (channeled back) kepada proses penetapan strategi atau tujuan

manajemen.

4. Penilaian Risiko (Risk Assessment) – Risiko dianalisis dengan

memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya

(impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut

dikelola.

5. Respons Risiko (Risk Response) – Manajemen memilih respons risiko –

menghindar (avoiding), menerima (accepting), mengurangi (reducing), atau

mengalihkan (sharing risk)  – dan mengembangkan satu set kegiatan agar

risiko tersebut sesuai dengan toleransi (risk tolerance) dan risk appetite.

6. Kegiatan Pengendalian (Control Activities) – Kebijakan dan prosedur yang

ditetapkan dan diimplementasikan untuk membantu memastikan respons

risiko berjalan dengan efektif.

7. Informasi dan komunikasi (Information and Communication) – Informasi

yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk

dan waktu yang memungkinkan setiap orang menjalankan tanggung

jawabnya.

8. Pengawasan (Monitoring) – Keseluruhan proses ERM dimonitor dan

modifikasi dilakukan apabila perlu.  Pengawasan dilakukan secara melekat

pada kegiatan manajemen yang berjalan terus-menerus, melalui eveluasi

secara khusus,  atau dengan keduanya.

2.2.3.2 Framework Model ISO

Sementara itu, ISO sebagaimana diterjemahkan secara bebas oleh Susilo et.al

(2010) membedakan kerangka manajemen risiko sendiri, dengan prinsip dan juga

proses manajemen risiko.

Menurut ISO, manajemen risiko suatu organisasi hanya dapat efektif bila mampu

menganut prinsip-prinsipbahwa manajemen risiko:

1. harus memberi nilai tambah;

2. adalah bagian terpadu dari proses organisasi;

3. adalah bagian dari proses pengambilan keputusan;

4. secara khusus menangani aspek ketidakpastian;

5. bersifat sistematik, terstruktur, dan tepat waktu;

6. berdasarkan pada informasi terbaik yang tersedia;

7. adalah khas untuk penggunaannya;

8. mempertimbangkan faktor manusia dan budaya;

9. harus transparan dan inklusif;

10. bersifat dinamis, berulang, dan tanggap terhadap perubahan; dan

11. harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara

berlanjut.

Selanjutnya, agar dapat berhasil baik, manajemen risiko harus diletakkan dalam

suatu kerangka manajemen risiko. Kerangka ini akan menjadi dasar dan penataan

yang mencakup seluruh kegiatan manajemen risiko di segala tingkatan organisasi.

Kerangka manajemen risiko ini disusun khas ISO yaitu berdasarkan

siklus Plan(mendesain kerangka manajemen risiko) – Do (mengimplementasikan

kerangka manajemen risiko) –Check(memonitor dan mereview kerangka manajemen

risiko) – Act (perbaikan terus menerus kerangka manajemen risiko), dengan

sebelumnya harus mendapatkan mandat dan komitmen berlanjut dari manajemen

organisasi. Siklus kerangka manajemen risiko tersebut dapat digambarkan sebagai

berikut:

Kerangka kerja ini akan membantu organisasi mengelola risiko secara efektif

melalui penerapan proses manajemen risiko. Proses manajemen risiko hendaknya

merupakan bagian yang tak terpisahkan dari proses manajemen umum. Manajemen

risiko harus masuk dan menjadi bagian dari budaya organisasi, praktik terbaik

organisasi, dan proses bisnis organisasi.

Proses manajemen risiko menurut ISO meliputi 5 kegiatan, yaitu:

1. Komunikasi dan konsultasi, yaitu komunikasi dan konsultasi di antara para

pemangku kepentingan, internal maupun eksternal, yang harus dilakukan

seekstensif mungkin sesuai dengan kebutuhan dan pada setiap tahapan proses

manajemen risiko.

2. Menentukan konteks, yaitu menentukan batasan atau parameter internal dan

eksternal yang akan dijadikan pertimbangan dalam manajemen risiko,

menentukan lingkup kerja, dan kriteria risiko untuk proses-proses selanjutnya.

3. Asesmen risiko, yaitu mengidentifikasi risiko, menganalisis risiko, serta

mengevaluasi risiko. Mengidentifikasi risiko dilakukan dengan

mengidentifikasi sumber risiko, area dampak risiko, peristiwa dan

penyebabnya, serta potensi penyebabnya, sehingga bisa didapatkan sebuah

daftar risiko. Analisis risiko adalah upaya memahami risiko yang sudah

diidentifikasi secara lebih mendalam yang hasilnya akan menjadi masukan

bagi evaluasi risiko. Sedangkan evaluasi risiko adalah menentukan risiko-

risiko mana yang memerlukan perlakuan dan bagaimana  prioritas

implementasinya.

4. Perlakuan risiko, meliputi upaya untuk menyeleksi pilihan-pilihan yang

dapat mengurangi atau meniadakan dampak serta kemungkinan terjadinya

risiko, kemudian menerapkan pilihan tersebut.

5. Monitoring dan review, bisa berupa pemeriksaan biasa atau oengamatan

terhadap apa yang sudah ada, baik secara berkala atau secara khusus. Kedua

bentuk ini harus dilakukan secara terencana.

Keseluruhan proses manajemen risiko menurut ISO tersebut dapat digambarkan

sebagai berikut:

2.2.4 ImplementasiPenerapan ERM pada suatu organisasi sudah barang tentu adalah sebuah

kemewahan yang manfaatnya sudah dijanjikan oleh pihak-pihak promotor model atau kerangka manajemen risiko. Apakah janji pasti terealisasi? Tidak  ada yang menggaransi. Apapun model yang akan diterapkan, manajemen risiko yang intensional, sistematik dan terstruktur, bukanlah projek yang mudah dan murah. Yang sudah pasti

harus ada adalah komitmen dari seluruh pihak di dalam organisasi yang berkelanjutan, yang merasuk dalam proses bisnis, yang menjadi budaya dan gaya organisasi, bahwa risiko adalah ibarat sebuah pedang. Tanpa risiko, organisasi akan stagnan karena tidak ada tantangan. Namun karena risiko pula, organisasi akan bisa berjatuhan. Risiko harus ada, tapi harus pula dikelola. Untuk itulah manajemen risiko.