PERBANDINGAN COSO ERM-INTEGRATED FRAMEWORK DENGAN ISO31000: 2009 RISK MANAGEMENT – PRINCIPLES AND GUIDELINES DENGAN CONTROL OBJECTIVE FOR INFORMATION AND RELATED TECHNOLOGY-COBIT
Tidak dapat dipungkiri bahwa saat ini terdapat tiga rujukan besar yang dijadikan kiblat penerapan manajemen risiko. Kedua rujukan tersebut adalah Committee of Sponsoring Organizations of the Treadway Commission (COSO) Enterprise Risk Management (ERM) – Integrated Framework dan The International Organization for Standardization (ISO) 31000: 2009 Risk Management – Principles and Guidelines. COSO ERM dan ISO 31000: 2009 dan Control Objective for Information and related Technology (COBIT) merupakan rujukan manajemen risiko yang telah banyak diadopsi oleh perusahaan-perusahaan dari berbagai belahan dunia. Kedua rujukan tersebut menyediakan panduan penerapan manajemen risiko dengan tujuan mendukung efektivitas manajemen risiko bagi para penggunanya. Walau disusun dengan tujuan serupa, kedua standar tersebut memiliki perbedaan dalam berbagai aspek dan komponennya.
Keberadaan standar-standar manajemen risiko yang beragam ini melahirkan perdebatan mengenai standar mana yang lebih baik. “Standar manakah yang lebih baik dalam mendukung efektivitas penerapan manajemen risiko? Apakah COSO ERM ? ISO31000:2009? COBIT ? ” Untuk menjawab pertanyaan tersebut kita perlu memahami terlebih dahulu isi dari ketiga standar tersebut.
COSO ERM – Integrated Framework 2004
Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai proyek untuk mengembangkan sebuah kerangka kerja manajemen risiko yang dapat digunakan untuk mengevaluasi dan meningkatkan efektivitas ERM. Kerjasama ini membuahkan hasil pada tahun 2004 dengan dirilisnya COSO ERM – Integrated Framework, yang mendefinisikan manajemen risiko sebagai:
“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas.”
Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk dapat menentukan terlebih dahulu sasaran perusahaannya, yang terdiri dari empat kategori yaitu:
· Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.
· Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.
· Pelaporan: keterpercayaan dari pelaporan.
· Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.
Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang saling terkait, yaitu:
· Lingkungan internal à Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan kelemahannya, serta pandangan entitas terhadap risiko dan manajemen risiko.
· Penetapan sasaran à Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan, serta konsisten dengan risk appetite perusahaan.
· Identifikasi kejadian à Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran perusahaan harus diidentifikasi, meliputi risiko dengan kesempatan yang dapat muncul.
· Penilaian risiko à Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko akan dijadikan dasar untuk menentukan perlakuan risiko.
· Perlakuan risiko à Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance), menerima (acceptance), mengurangi (reduction), dan membagi risiko (sharing). Pemilihan perlakuan risiko dilakukan dengan membandingkan hasil analisis risiko dengan risk appetite dan risk tolerance.
· Aktivitas pengendalian à Membangun dan mengimplementasikan kebijakan dan prosedur untuk memastikan perlakuan risiko diterapkan dengan efektif.
· Informasi dan komunikasi à Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan waktu yang tepat agar personil dapat melakukan tanggung jawabnya dengan baik.
· Pemantauan à Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.
Gambar 1. Ilustrasi keterkaitan sasaran, komponen ERM, dan unit kerja perusahaan
Sumber: COSO Enterprise Risk Management – Integrated Framework (Executive Summary)
COSO ERM – Integrated Framework juga mendeskripsikan peran dan tanggung jawab dari unit-unit kerja perusahaan dalam penerapan manajemen risiko. Satu prinsip dasar yang ditanamkan COSO ERM adalah bahwa “semua bagian di dalam perusahaan memiliki tanggung jawab terhadap ERM”, yang artinya implementasi manajemen risiko harus mencakup entity-level, division, business unit, hingga subsidiary, dan mencakup seluruh seluruh sumber daya manusia di dalamnya. Walau begitu, terdapat pembagian peran dan tanggung jawab dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung jawab yang dijelaskan COSO ERM :
1. Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan pemantauan terhadap penerapan manajemen risiko, dengan turut memperhitungkan risk appetite dari entitas
2. Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan berjalannya ERM yang efektif pada keseluruhan perusahaan
3. Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan mengelola risiko di ranah kewenangannya agar konsisten dengan risk tolerance yang dimilikinya
4. Risk officer, financial officer, dan internal audit memiliki peran kunci dalam mendukung efektivitas penerapan manajemen risiko perusahaan
5. Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam menerapkan manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan manajemen risiko perusahaan
6. Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan dalam value chain perusahaan) tidak memiliki tanggung jawab dalam memastikan efektivitas ERM dari entitas, tetapi pihak-pihak tersebut berperan penting dalam menyediakan informasi yang dapat mendukung efektivitas manajemen risiko.
ISO 31000: 2009 Risk Management – Principles and Guidelines
ISO 31000: 2009 Risk Management – Principles and Guidelines merupakan sebuah standar internasional yang disusun dengan tujuan memberikan prinsip dan panduan generik untuk penerapan manajemen risiko. Standar internasional yang diterbitkan pada 13 November 2009 ini dapat digunakan oleh segala jenis organisasi dalam menghadapi berbagai risiko yang melekat pada aktivitas mereka. Walau ISO 31000: 2009 menyediakan panduan generik, standar ini tidak ditujukan untuk menyeragamkan manajemen risiko lintas organisasi, tetapi ditujukan untuk memberikan standar pendukung penerapan manajemen risiko dalam usaha memberikan jaminan terhadap pencapaian sasaran organisasi. ISO 31000: 2009 menyediakan prinsip, kerangka kerja, dan proses manajemen risiko yang dapat digunakan sebagai arsitektur manajemen risiko dalam usaha menjamin penerapan manajemen risiko yang efektif.
Gambar 2. Hubungan Antara Prinsip, Kerangka Kerja, dan Proses Manajemen Risiko
Sumber: ISO 31000: 2009 Risk Management – Principles and Guidelines
Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan proses manajemen risiko. Terdapat sebelas prinsip manajemen risiko yang harus dipegang teguh dan diterapkan saat membangun kerangka kerja dan melakukan implementasi proses manajemen risiko. Kesebelas prinsip tersebut adalah
1. Memberikan nilai tambah dan melindungi nilai organsasi
2. Bagian terpadu dari seluruh proses organisasi
3. Bagian dari pengambilan keputusan
4. Secara khusus menangani ketidakpastian
5. Sistematis, terstruktur, dan tepat waktu
6. Berdasarkan informasi terbaik yang tersedia
7. Disesuaikan dengan kebutuhan organisasi
8. Mempertimbangkan faktor budaya dan manusia
9. Transparan dan inklusif
10. Dinamis, berulang, dan responsif terhadap perubahan
11. Memfasilitasi perbaikan sinambung dan peningkatan organisasi.
Kerangka kerja manajemen risiko merupakan struktur pembangun proses manajemen risiko. Kerangka kerja dimulai dengan pemberian mandat dan komitmen, lalu dilanjutkan dengan kerangka implementasi “Plan, Do, Check, Act”, yang terdiri dari :
1. Perencanaan kerangka kerja manajemen risiko
2. Penerapan manajemen risiko
3. Monitoring dan review terhadap kerangka kerja manajemen risiko
4. Perbaikan kerangka kerja manajemen risiko secara berkelanjutan.
Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko, karena merupakan penerapan daripada prinsip dan kerangka kerja yang telah dibangun. Proses manajemen risiko terdiri dari 5 proses besar yaitu:
1. Komunikasi dan konsultasi
2. Penetapan konteks
3. Penilaian risiko (terdiri dari identifikasi, analisis, dan evaluasi risiko)
4. Perlakuan risiko
5. Monitoring dan review.
Implementasi secara mendetail dan menyeluruh pada prinsip, kerangka kerja dan proses manajemen risiko berdasarkan ISO 31000: 2009 tersebut diharapkan dapat meningkatkan efektivitas manajemen risiko organisasi.
COBIT (Control Objectives for Information and Related Technology)
Control Objective for Information and related Technology, disingkat COBIT, adalah suatu panduan standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.1 merupakan versi terbaru.
Control Objective for Information and related Technology, disingkat COBIT, adalah suatu panduan standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.1 merupakan versi terbaru.
Gambar Framework Manajemen Resiko COBIT
Framework MR COBIT terdiri dari :
· Pemahaman objectives
· Identifikasi resiko
· Penilaian resiko
· Respon resiko
· Pemantauan resiko
Resiko adalah segala hal yang mungkin berdampak pada kemampuan organisasi dalam mencapai tujuantujuannya. Framework manajemen resiko TI dengan menggunakan COBIT (lihat gambar) terdiri dari :
COBIT memiliki 4 cakupan domain, yaitu :
· Perencanaan dan organisasi (plan and organise)
· Pengadaan dan implementasi (acquire and implement)
· Pengantaran dan dukungan (deliver and support)
· Pengawasan dan evaluasi (monitor and evaluate)
Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola risiko-risiko yang berhubungan dengan IT. COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor.
IT Risk Management Framework by COBIT
COBIT (Control Objectives for Information and Related Technology) merupakan standard yang dikeluarkan oleh ITGI (The IT Governance Institute). COBIT merupakan suatu koleksi dokumen dan framework yang diklasifikasikan dan secara umum diterima sebagai best practice untuk tata kelola (IT Governance), kontrol dan jaminan TI.
Referensi perihal manajemen resiko secara khusus dibahas pada proses PO9 dalam COBIT. Prosesproses yang lain juga menjelaskan tentang manajemen resiko namun tidak terlalu detil.
(1) Penetapan Objektif
Kriteria informasi dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan objektif TI. Terdapat tujuh kriteria informasi dari COBIT yaitu : effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability.
(2) Identifikasi Resiko
TABEL KEJADIAN (EVENTS) YANG MENGGANGU PENCAPAIAN OBJEKTIF PERUSAHAAN :
Identifikasi resiko merupakan proses untuk mengetahui resiko. Sumber resiko bisa berasal dari :
· Manusia, proses dan teknologi
· Internal (dari dalam perusahaan) dan eksternal(dari luar perusahaan)
· Bencana (hazard), ketidakpastian (uncertainty) dan kesempatan (opportunity).
Dari ketiga sumber resiko tersebut dapat diketahui kejadian-kejadian yang dapat mengganggu perusahaan dalam mencapai objektifnya (lihat tabel event diatas).
(3) Penilaian Resiko
Proses untuk menilai seberapa sering resiko terjadi atau seberapa besar dampak dari resiko (tabel 2.2). Dampak resiko terhadap bisnis (business impact) bisa berupa : dampak terhadap financial, menurunnya reputasi disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan aset yang dapat dinilai (sistem dan data), dan penundaan proses pengambilan keputusan.
Sedangkan kecenderungan (likelihood) terjadinya resiko dapat disebabkan oleh sifat alami dari bisnis, struktur dan budaya organisasi, sifat alami dari sistem (tertutup atau terbuka, teknologi baru dan lama), dan kendali-kendali yang ada. Proses penilaian resiko bisa berupa resiko yang tidak dapat dipisahkan (inherent risks) dan sisa resiko (residual risks).
TABEL TINGKATAN BESARNYA DAMPAK RESIKO DAN FREKUENSI TERJADINYA RESIKO
(4) Respon Resiko
Untuk melakukan respon terhadap resiko adalah dengan menerapkan kontrol objektif yang sesuai dalam melakukan manajemen resiko. Jika sisa resiko masih melebihi resiko yang dapat diterima (acceptable risks), maka diperlukan respon resiko tambahan. Proses-proses pada framework COBIT (dari 34 Control Objectives) yang sesuai untuk manajemen resiko adalah :
· PO1 (Define a Stretegic IT Plan) dan PO9 (Assess and Manage Risks)
· AI6 (Manages Change)
· DS5 (Ensure System and Security) dan DS11 (Manage Data)
· ME1 (Monitor and Evaluate IT Performance)
(5) Monitor Resiko
Setiap langkah dimonitor untuk menjamin bahwa resiko dan respon berjalan sepanjang waktu.
Menyadari perbedaan yang ada pada COSO ERM – Integrated Framework, ISO 31000: 2009 Risk Management – Principles and Guidelines dan COBIT. tentunya terdapat keunggulan dan kelemahan tersendiri dari kedua standar ini. Berikut adalah tabel yang menggambarkan perbedaan serta keunggulan dan kelemahan dari ketiga standar tersebut.
Perbedaan
|
COSO ERM – Integrated Framework
|
ISO 31000: 2009 Risk Management– Principles and Guidelines
|
COBIT (Control Objectives for Information and Related Technology)
|
Definisi risiko
|
"Kemungkinan terjadinya sebuah event yang dapat mempengaruhi pencapaian sasaran entitas."
Menurut Grant Purdy, seorang praktisi manajemen risiko veteran di Melbourne, definisi ini gagal menangkap potensi risiko yang dapat muncul akibat perubahan kondisi yang terjadi secara perlahan.
|
"Efek dari ketidakpastian terhadap pencapaian sasaran organisasi."
|
"Resiko adalah segala hal yang mungkin berdampak pada kemampuan organisasi dalam mencapai tujuan-tujuannya."
|
Definisimanajemen risiko
|
“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas.”
|
"Aktivitas-aktivitas terkoordinasi yang dilakukan dalam rangka mengelola dan mengontrol sebuah organisasi terkait dengan risiko yang dihadapinya."
|
Manajemen Resiko, Mendefinisikan tingkat resiko yang digunakan danmeningkatkan transparansi tentang resiko yang mungkin akan muncul dalam perusahaan
|
Komponen manajemen risiko
|
Proses dan kerangka kerja manajemen risiko tidak dipaparkan secara terpisah. Menurut Grant Purdy hal ini dapat menimbulkan kebingungan dan inefektivitas terhadap manajemen risiko, dimana kerangka kerja seharusnya dirancang pada top level management, sedangkan proses manajemen risiko seharusnya diterapkan pada proses-proses organisasi. Standar ini menekankan pada pengembangan pengendalian internal sebagai upaya perusahaan dalam mengelola risiko.
|
Memaparkan kerangka kerja dan proses manajemen risiko secara terpisah. ISO 31000: 2009 juga menyediakan prinsip manajemen risiko yang harus diterapkan dalam kerangka kerja dan proses untuk mendukung efektivitas manajemen risiko. Standar ini menekankan penerapan manajemen risiko sebagai alat penciptaan dan pelindung nilai organisasi.
|
menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola risiko-risiko yang berhubungan dengan IT. COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor
|
Awal proses \manajemen risiko
|
Dimulai dengan menetapkan sasaran perusahaan yang terdiri dari empat kategori yaitu strategis, operasi, pelaporan, dan pemenuhan.
|
Dimulai dengan membangun konteks untuk mengidentifikasi kondisi internal, kondisi eksternal, konteks manajemen risiko, dan kriteria risiko.
|
Dimulai dengan melakukan, pemahaman objectives, Identifikasi resiko, Penilaian resiko, Respon resiko, Pemantauan resiko
|
Identifikasi konteks eksternal
|
Sedikit dilakukan.
|
Dilakukan secara menyeluruh.
|
Sedikit dilakukan
|
Komponen proses manajemen risiko
|
Terdiri dari 8 komponen, yaitu:
(1) identifikasi lingkungan internal
(2) penetapan sasaran manajemen risiko
(3) identifikasi kejadian
(4) penilaian risiko, perlakuan risiko;
(5) aktivitas pengendalian
(6) informasi dan komunikasi;
(7) dan pemantauan.
|
Terdiri dari lima komponen besar, yaitu:
(1) komunikasi dan konsultasi
(2) membangun konteks
(3) penilaian risiko
(4) perlakuan risiko
(5)monitoring dan review.
|
Terdiri dari lima komponen IT governance yaitu :
(1) Keselarasan strategi
(2) Penyampaian Nilai
(3) Pengelolaan Sumber Daya
(4) Manajemen Resiko, Mendefinisikan tingkat resiko yang digunakan.
(5) Pengukuran Kinerja
|
Pengertian inherent risk
|
Inherent risk diartikan sebagai eksposur perusahaan terhadap risiko secara utuh. (dampak dari existing control tidak diperhitungkan)
|
Inherent risk diartikan sebagai eksposur perusahaan terhadap risiko setelah dilakukan pengendalian internal.
|
Inherent risk diartikan sebagai eksposur perusahaan terhadap risiko Proses penilaian resiko bisa berupa resiko yang tidak dapat dipisahkan (inherent risks) dan sisa resiko (residual risks)
|
Prinsip manajemen risiko
|
Tidak ada.
|
Tersedia dan menjadi hal yang harus diterapkan pada kerangka kerja dan proses manajemen risiko untuk mendukung efektivitas penerapan manajemen risiko.
|
Tersedia namun tidak di terapkan pada kerangka kerja dan proses manajemen risiko
|
Perbaikan berkelanjutan
|
Perbaikan hanya dilakukan apabila diperlukan, berdasarkan hasil pemantauan.
|
Memfasilitasi perbaikan berkelanjutan pada keseluruhan kerangka kerja dan proses manajemen risiko, sesuai dengan kebutuhan organisasi dan perkembangan konteks.
|
Setiap langkah dimonitor dan dievaluasi untuk menjamin bahwa resiko dan respon berjalan sepanjang waktu
|
Penyaluran Informasi
|
Informasi hanya dikomunikasikan kepada pelaku manajemen risiko untuk mendukung pencapaian sasaran unit-unit tersebut. Keterlibatan stakeholders eksternal tidak diungkapkan pada standar ini.
|
Informasi mengenai risiko dan manajemen risiko dikomunikasikan dan dikonsultasikan dengan seluruh stakeholders perusahaan, baik internal maupun eksternal (sesuai prinsip “transparan dan inklusif”). Keterlibatan stakeholders diperlukan untuk mengidentifikasi kepentingan seluruh pihak agar menjadi bahan pertimbangan pengambilan keputusan.
|
Kriteria informasi dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan objektif TI. Terdapat tujuh kriteria informasi dari COBIT yaitu : effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability.
|
Aspek manusia dan budaya
|
Aspek manusia disebutkan sebagai batasan dari manajemen risiko dalam memberikan jaminan terhadap pencapaian sasaran organisasi.
|
Memperhitungkan aspek manusia dan budaya ke dalam manajemen risiko (prinsip “mempertimbangkan faktor budaya dan manusia”). Penerapan manajemen risiko turut mempertimbangkan kultur, persepsi, dan kapabilitas manusia, termasuk memperhitungkan perselisihan kepentingan antara organisasi dengan individu di dalamnya.
|
Identifikasi resiko merupakan roses untuk mengetahui resiko (baik itu yang sedang terjadi; fakta dilapangan; ataupun resiko2 yang akan terjadi; dengan melihat 7 komponen dari pemahaman objectives)
Sumber resiko :
Manusia, proses, dan teknologi
Internal dan eksternal
Bencana (hazard), uncertainty, dan opportunity
|
Perbedaan yang melekat pada ketiga rujukan ini membawa keunggulan dan kelemahan tersendiri pada COSO ERM – Integrated Framework, ISO 31000: 2009 Risk Management – Principles and Guidelines, COBIT dari hasil pengamatan penulis, standar ISO 31000: 2009 memiliki keunggulan esensial dalam memberikan panduan yang lebih mendetail dan komprehensif. Keberadaan prinsip manajemen risiko, penetapan konteks eksternal, dan pemisahan antara kerangka kerja dengan proses manajemen risiko menjadi keunggulan kompetitif yang dimiliki oleh ISO 31000: 2009. Fakta bahwa standar ISO 31000: 2009 telah diakui dan diadaptasi sebagai standar manajemen risiko di hingga 40 negara juga menunjukkan bahwa ISO 31000: 2009 telah bertahan dari uji kelayakan oleh berbagai negara. Namun pada akhirnya, dalam memilih standar terbaik untuk diimplementasikan, keunikan pada kedua standar tersebut perlu dipertimbangkan dan disesuaikan dengan sasaran, karakteristik, dan regulasi yang berlaku pada organisasi. Dalam penerapannya, organisasi juga dapat mengadaptasi dan mengkombinasikan komponen-komponen tertentu pada ketiga rujukan tersebut untuk membangun sistem manajemen risiko tersendiri yang efektif bagi organisasinya.
Contoh Kasus :
Penelitian COSO: Kasus-kasus Kecurangan Dekade 1998-2007
Penelitian COSO: Kasus-kasus Kecurangan Dekade 1998-2007
Merujuk pada penelitian terbaru yang dilakukan oleh the Committee of Sponsoring Organizations of the Treadway Commission (COSO), kecurangan (fraud) dalam pelaporan keuangan oleh perusahaan-perusahaan publik di Amerika Serikat memberikan konsekuensi negatif yang signifikan terhadap para investor dan eksekutif.
Penelitian COSO tersebut, dengan menelaah tuduhan kecurangan laporan keuangan yang diselidiki oleh Securities and Exchange Commission (SEC) dalam kurun waktu sepuluh tahun antara tahun 1998 – 2007, menemukan fakta bahwa berita dugaan kecurangan telah mengakibatkan penurunan abnormal harga saham rata-rata 16,7% dalam dua hari setelah diumumkan. Perusahaan-perusahaan yang terlibat dalam kecurangan seringkali mengalami kebangkrutan, delisting dari bursa efek, atau harus menjual aset, dan sembilan dari sepuluh kasus-kasus SEC tersebut menyebutkan CEO dan/atau CFO perusahaan yang bersangkutan diduga terlibat dalam kecurangan.
Chairman COSO, David Landsittel, mengatakan bahwa analisis mendalam dalam penelitian tersebut terkait tentang sifat, jangkauan, dan karakteristik dari kecurangan pelaporan keuangan memberikan pemahaman yang sangat membantu tentang isu-isu baru dan berkelanjutan yang perlu segera ditangani. “Semua pihak yang terlibat dalam proses pelaporan keuangan harus terus berfokus pada cara-cara untuk mencegah, menghalangi, dan mendeteksi kecurangan pelaporan keuangan,” kata Landsittel. “COSO berencana untuk mensponsori penelitian lanjutan mengenai kecurangan pelaporan keuangan, serta pengembangan lebih lanjut pedoman pengendalian internal, untuk membantu pihak-pihak yang terlibat dalam proses pelaporan keuangan.”
Penelitian COSO di atas menelaah hampir 350 kasus dugaan kecurangan pelaporan keuangan yang diselidiki oleh SEC. Hasil penelitian menunjukkan bahwa:
· Kecurangan keuangan memengaruhi perusahaan dari semua ukuran, dengan median perusahaan memiliki aktiva dan pendapatan hanya di bawah $100juta.
· Median kecurangan adalah $12,1 juta . Lebih dari 30 kasus dengan masing-masing kasus melibatkan jumlah lebih dari $500 juta.
· SEC menyebutkan CEO dan/atau CFO terindikasi terlibat pada 89% dari kasus kecurangan. Dalam waktu dua tahun penyelesaian penyelidikan SEC, sekitar 20% dari para CEO / CFO berlanjut pada dakwaan serta lebih dari 60% di antaranya divonis bersalah.
· Kecurangan mengenai pendapatan tercatat lebih 60% dari kasus.
· Banyak karakteristik yang biasanya menjadi pengamatan umum dewan direktur dan komite audit, seperti: ukuran, frekuensi rapat, komposisi, serta pengalaman, tidak berbeda secara signifikan antara perusahaan yang terlibat kecurangan dengan yang tidak. Upaya-upaya pengaturan tata kelola perusahaan terbaru tampaknya telah mengurangi variasi dalam karakteristik terkait dewan direktur yang diamati.
· Dua puluh enam persen dari perusahaan-perusahaan yang terlibat dalam kecurangan mengganti auditor selama periode yang diteliti dibandingkan dengan hanya 12 persen dari perusahaan-perusahaan yang tidak terlibat.
· Berita awal dalam media massa mengenai dugaan adanya kecurangan mengakibatkan penurunan tidak normal harga saham rata-rata sebesar 16,7 persen untuk perusahaan yang terlibat kecurangan, dalam dua hari setelah pengumuman.
· Berita mengenai investigasi SEC atau Departemen Kehakiman mengakibatkan penurunan tidak normal harga saham rata-rata 7,3 persen.
· Perusahaan yang terlibat dalam kecurangan sering mengalami kebangkrutan, delisting dari bursa efek, atau melakukan penjualan aset yang material dengan tingkat yang jauh lebih tinggi daripada perusahaan yang tidak terlibat kecurangan.
Penelitian COSO dilakukan oleh empat profesor akuntansi: Mark S. Beasley dari North Carolina State University, Joseph V. Carcello dari University of Tennessee, Dana R. Hermanson dari Kennesaw State University, dan Terry L. Neal dari University of Tennessee. Penelitian ini meng-update penelitian COSO sejenis sebelumnya diterbitkan pada tahun 1999, untuk kasus-kasus kecurangan pelaporan keuangan dekade 1987-1997.
Profesor Beasley, yang juga merupakan anggota dewan COSO, mencatat bahwa penelitian tambahan diperlukan untuk lebih memahami perbedaan dalam proses seputar dewan direksi dan komite audit. “Kita perlu untuk menentukan apakah ada proses tertentu berkaitan dengan dewan direksi yang dapat memperkuat pengawasan mereka terhadap risiko-risiko yang mempengaruhi laporan keuangan,” katanya. “Selain itu, mengingat jumlah kecurangan diperiksa dalam penelitian ini terbatas dan terkait dengan jangka waktu setelah penerbitan Sarbanes-Oxley Act of 2002 termasuk implementasi Seksi 404, penelitian lebih lanjut diperlukan sebelum dapat diambil kesimpulan tentang dampak SOX tersebut dalam mengurangi kecurangan pelaporan keuangan.” Dokumen penelitian ini dapat diunduh secara gratis di situs web COSO:
y
Daftar Pustaka :
1. http://rizkiapriliad.blogspot.com/2017/05/perbandingan-coso-erm-integrated.html
2. http://auditorinternal.com/2010/06/18/penelitian-coso-kasus-kasus-kecurangan-dekade-1998-2007/
