Penulis: Charles R. Vorst, MM., BCCS, CERG, ERMCP, QCRO, QRGP, CCGO, CGOP – Sekretaris Jenderal IRMAPA.
Beberapa waktu lalu penulis sempat beberapa kali mendapatkan pertanyaan ‘klasik’ mengenai rujukan mana yang lebih tepat bagi organisasi di Indonesia untuk diadopsi dalam penerapan manajemen risiko, COSO ERM Integrated Framework atau ISO 31000. Beranjak dari pertanyaan-pertanyaan tersebut, penulis menyajikan artikel ini dengan harapan bahwa artikel ini dapat membantu para praktisi dalam menentukan pilihannya. Adapun artikel ini tidak ditujukan untuk menunjukkan bahwa satu rujukan lebih baik dari yang lain, meski kesan tersebut mungkin tidak terelakkan dapat terpicu dari komparasi-komparasi yang penulis sajikan di dalam artikel. Agar artikel ini tidak menjadi terlalu panjang untuk dibaca sekaligus, penulis membagi ulasan ke dalam 3 (tiga) bagian artikel. Berikut adalah bagian pertama artikel.
Adalah suatu hal yang wajar bagi para profesional untuk memilah dan memilih sebuah rujukan ketika hendak memulai penerapan sebuah sistem di lingkungan organisasi guna menentukan rujukan mana yang kemudian akan diadopsi ke dalam praktik penerapan. Hal inipun berlaku bagi para praktisi manajemen risiko di berbagai jenis organisasi di Indonesia, di mana dua rujukan yang paling sering bersanding sebagai opsi pilihan adalah COSO ERM, atau ISO 31000. Sehubungan dengan hal tersebut, beberapa poin di bawah ini dapat menjadi referensi bagi para praktisi manajemen risiko di Indonesia untuk menentukan rujukan yang akan dipilih.
- Perumusan COSO ERM ditujukan untuk memperkuat pencegahan fraud atas pelaporan keuangan perusahaan publik di Amerika, dan bukan sebagai standar internasional.
Keberterimaan COSO ERM – Integrated Framework sebagai rujukan yang diadopsi oleh banyak perusahaan terbuka di Amerika Serikat (AS), dan selanjutnya beragam perusahaan di luar AS yang terafiliasi dengan perusahaan Amerika, dipicu oleh keberadaan Bagian 404 SOX dan Standar Pengauditan No. 2 dari Public Company Accounting Oversight Board (PCAOB) mengenai laporan atas pengendalian internal perusahaan yang harus dipatuhi oleh perusahaan – perusahaan publik yang sahamnya tercatat pada pasar modal AS.
COSO, atau lengkapnya Committee of Sponsoring Organizations of Treadway Commission, merupakan lembaga independen swasta yang dibentuk pada tahun 1985 atas inisiatif 5 (lima) asosiasi profesi di AS, yakni American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Financial Executives Internasional (FEI), Institute of Internal Auditors (IIA), dan National Association of Accountants yang sekarang bernama Institute of Management Accountants (IMA). Sesuai namanya, pembentukan COSO ditujukan untuk mensponsori National Commission on Fraudulent Financial Reporting (NCFFR), atau lebih dikenal dengan nama Treadway Commission sesuai nama chairman pertamanya, James C. Treadway, Jr., yang pada waktu itu menjabat sebagai anggota Dewan Komisioner Securities & Exchange Commission (SEC). Adapun NCFFR sendiri dibentuk untuk melakukan studi dan merumuskan rekomendasi bagi penanggulangan kecurangan atau penipuan (fraud) pada pelaporan keuangan yang terjadi pada banyak kasus kegagalan dan kebangkrutan perusahaan publik di AS pada era 80-an.
Oktober 1987, NCFFR mengeluarkan laporan pertamanya yang dikenal dengan nama Treadway Report I, di mana salah satu isinya berupa rekomendasi yang ditujukan kepada: (1) perusahaan publik, bahwa upaya pencegahan dan pendeteksian kecurangan pada pelaporan keuangan harus menjadi inisiatif perusahaan yang menyusun laporan keuangan tersebut; (2) akuntan publik, bahwa akuntan publik sebagai pihak independen memainkan peranan krusial dalam mendeteksi dan mencegah fraud pada pelaporan keuangan; serta kepada (3) SEC, bahwa penguatan lingkungan peraturan dan hukum diperlukan untuk mencegah, bahkan hingga menimbulkan efek jera, terhadap kecurangan pada pelaporan keuangan. Berbagai upaya untuk memahami dan mencegah kecurangan pada pelaporan keuangan dilakukan oleh regulator dan lembaga independen sebagai tanggapan atas Treadway Report di atas, namun hingga akhir dekade 80-an belum ada suatu perubahan mendasar terkait peran pengendalian internal perusahaan, khususnya perusahaan terbuka, dalam rangka pencegahan fraud pada laporan keuangan. Hal ini yang kemudian mendorong COSO pada tahun 1992 merilis Internal Control – Integrated Framework sebagai rujukan sistem pengendalian internal yang efektif bagi perusahaan di AS untuk mencapai sasaran berikut: (1) keandalan pelaporan keuangan, (2) kepatuhan terhadap peraturan dan hukum yang berlaku, serta (3) efektivitas dan efisiensi operasional.
Berbagai upaya pencegahan fraud pada pelaporan keuangan perusahaan publik di AS terus berlanjut, beberapa di antaranya dipicu oleh hasil studi COSO tahun 1999 berjudul Fraudulent Financial Reporting 1987 – 1997: An Analysis of U.S. Public Companies, maupun laporan Blue-Ribbon Panel, atau yang lebih dikenal dengan nama Blue-Ribbon Committee bentukan New York Stock Exchange dan National Association of Securities Dealers, yang juga terbit tahun 1999, yang merekomendasikan peningkatan peran auditor dan komite audit perusahaan. Namun berbagai upaya di atas belum cukup untuk mencegah terjadinya skandal Enron yang mencuat di bulan Oktober 2001. Saat itu, skandal Enron tercatat sebagai kebangkrutan terbesar dalam sejarah AS dan kegagalan terbesar audit, sebelum di tahun berikutnya terjadi skandal WorldCom yang mengalahkan ‘rekor’ Enron. Menyikapi skandal yang terjadi, serta menyadari bahwa sistem pengendalian internal saja belumlah cukup tanpa keberadaan sebuah sistem manajemen risiko yang efektif, di mana pada waktu itu perusahaan terbuka di AS mengembangkan sendiri – sendiri model bagi sistem manajemen risiko untuk mengakomodasi praktik asesmen risiko yang menjadi salah satu komponen penerapan COSO Internal Control – Integrated Framework, pada tahun 2001 COSO menunjuk PricewaterhouseCoopers (PwC) untuk menyusun sebuah kerangka kerja yang diharapkan dapat menjadi rujukan dan membantu perusahaan publik di AS untuk mengevaluasi dan meningkatkan efektivitas sistem Enterprise Risk Management (ERM) perusahaan. Sebagai hasilnya, COSO menerbitkan ERM – Integrated Framework yang dirilis pada tahun 2004.
Sementara itu, demi memulihkan kepercayaan publik terhadap pasar modal AS setelah terjadinya berbagai skandal di pasar modal, pemerintah federal AS menerbitkan Sarbanes-Oxley Act, yang dikenal juga dengan nama SOX atau terkadang Sarbox, pada bulan Juli 2002. Dinamakan sesuai nama Senator AS yang melakukan legal drafting, Paul Sarbanes dan Michael Oxley, SOX diberlakukan kepada perusahaan publik dan kantor akuntan publik, dan menetapkan pendirian lembaga semi-pemerintah PCAOB yang bertugas mengawasi, mengatur, memeriksa, dan mendisiplinkan kantor-kantor akuntan publik dalam menjalankan peranan mereka sebagai auditor terhadap laporan keuangan perusahaan publik. Pada Bagian 404 pada SOX, dan selanjutnya menyusul Standar Pengauditan No. 2 dari PCAOB tahun 2004, mengharuskan manajemen perusahaan publik di AS mengeluarkan laporan manajemen atas efektivitas pengendalian internal perusahaan terhadap laporan keuangan perusahaan, dan kantor akuntan publik yang mengaudit laporan keuangan perusahaan publik tersebut untuk mengeluarkan opini atas kewajaran laporan manajemen di atas berdasarkan praktik audit secara independen, yang keduanya harus diserahkan kepada SEC bersama – sama dengan laporan tahunan perusahaan. Dalam rangka memenuhi ketentuan inilah mayoritas perusahaan publik yang tercatat pada pasar modal AS kemudian mengadopsi COSO Internal Control – Integrated Framework sebagai rujukan bagi sistem pengendalian internal perusahaan, yang kemudian juga mengadopsi COSO ERM – Integrated Framework ketika rujukan ini diterbitkan.
Banyaknya perusahaan pada pasar modal AS yang juga beroperasi, dan atau berafiliasi dengan perusahaan lainnya, di luar negeri selanjutnya mendorong meluasnya adopsi terhadap kerangka kerja terintegrasi dari COSO hingga ke luar wilayah AS, di mana ketentuan SOX dan PCAOB di atas tetap mengikat walau di negara setempat memiliki rujukan lain yang harus dipatuhi. Secara khusus di bidang manajemen risiko, luasnya keberterimaan COSO ERM Integrated Framework di beragam perusahaan di berbagai negara inilah yang kemudian dilihat oleh banyak praktisi manajemen risiko, termasuk di Indonesia, dan mempersepsikan COSO ERM merupakan sebuah ‘standar internasional manajemen risiko’.
Bersambung…