Tiga kalimat:
Dokumen tersebut membandingkan dua standar manajemen risiko terkemuka yaitu ISO 31000 dan COSO, dengan membahas persamaan dan perbedaan antara kedua standar tersebut dalam hal struktur, geografi, target audiens, fokus, kerangka dan proses, serta pendekatan terhadap risiko dan keberhasilan organisasi. Dokumen tersebut menyimpulkan bahwa tidak ada standar yang lebih baik, tetapi organisasi dapat men
1. ISO 31000 VS. COSO 1
ISO 31000 VS. COSO – MEMBANDINGKAN DAN
MENGONTRASKAN STANDAR MANAJEMEN RISIKO
TERKEMUKA DI DUNIA
VS
Tidak ada keraguan di antara para profesional risiko dengan ISO 31000 dan COSO
sebagai dasar untuk menentukan apa yang harus dilakukan terkait standar
manajemen risiko
ISO 31000 dan COSO adalah dua standar manajemen risiko terkemuka di dunia saat
ini.
Tujuan artikel ini adalah untuk membandingkan dan membedakan setiap standar…
Namun sebelum kita membahas persamaan dan perbedaan ini, mari kita bahas
terlebih dahulu apa yang harus dilakukan oleh standar manajemen risiko.
Dalam webinar yang disponsori oleh OCEG, tiga pakar manajemen risiko yang dikenal
luas – Norman Marks, Alex Sidorenko, dan Tim Leech – masing-masing memberikan
pandangan mereka…
Norman Marks menjelaskan bahwa upaya untuk mengidentifikasi, menilai, dan
menangani risiko harus tentang membantu perusahaan untuk sukses, bukan
menghindari kegagalan.
Setiap orang mengambil risiko untuk mengejar tujuan. Kunci dan tujuan akhir dari
standar manajemen risiko adalah untuk memastikan organisasi “…mengambil risiko
yang tepat pada tingkat yang tepat.”
2. ISO 31000 VS. COSO 2
Alex Sidorenko dari Risk Academy menjelaskan bahwa tujuan utama standar
manajemen risiko adalah untuk mendukung tidak hanya pengambilan keputusan,
tetapi setiap aktivitas di tingkat organisasi mana pun yang memiliki ketidakpastian
terkait dengan risiko.
Tim Leech dari Risk Oversight Solutions sependapat dengan pemikiran Norman dan
Alex tentang pertanyaan ini, tetapi menambahkan bahwa standar manajemen risiko
juga harus memberikan kejelasan kepada semua orang di organisasi tentang apa yang
ingin dicapai organisasi dan alat untuk mempertimbangkan risiko yang dapat
menghambat tujuan.
Selain itu, informasi risiko harus real-time agar menjadi berharga.
Pada akhirnya, apakah Anda menggunakan ISO 31000, COSO, standar manajemen
risiko lain, atau kombinasi dari dua atau lebih standar, tujuan menyeluruh dari aktivitas
terkait risiko Anda adalah untuk mendukung pengambilan keputusan dengan
membantu mengidentifikasi dan menilai kedua risiko dengan benar dan peluang untuk
mencapai tujuan strategis.
Sekarang setelah kita meletakkan dasar untuk apa yang harus dilakukan oleh standar
manajemen risiko, mari kita bahas beberapa persamaan dan perbedaan antara dua
standar manajemen risiko terkemuka di dunia.
ISO 31000 vs. COSO – Persamaan
Setiap standar, baik ISO 31000 dan COSO dikembangkan oleh organisasi yang berbeda
dengan berbagai latar belakang profesional. Namun, mereka memiliki beberapa
kesamaan, termasuk:
1. Kedua standar tersebut memperluas cakupan manajemen risiko.
Daripada hanya membatasi risiko negatif, kedua standar membantu memandu dan
mendorong pengambilan risiko. Buku “Prepare to Dare” dari Hans Læssøe
menyertakan contoh dari sebuah organisasi tentang apa artinya…
“Kami menghasilkan uang dengan mengambil risiko, dan kami
kehilangan uang, ketika kami tidak mengelola risiko yang kami
ambil.”
Inti dari mengambil risiko untuk sukses adalah hal yang terus kita lihat berulang-
ulang…ini menjadi semakin relevan dari hari ke hari.
3. ISO 31000 VS. COSO 3
2. Kedua versi dimaksudkan sebagai pedoman.
Baik ISO 31000 maupun COSO tidak dirancang bagi organisasi untuk mendapatkan
sertifikasi kepatuhan. ISO 31000 secara khusus dimaksudkan untuk memberikan
panduan tingkat tinggi tentang komponen kerangka kerja manajemen risiko. Di
mana, manajemen risiko harus disesuaikan dengan masing-masing organisasi, jadi
masuk akal jika standar itu benar-benar adalah pedoman. Merupakan tanggung
jawab Anda untuk menentukan suatu "standar" dan mempraktikkannya,
memastikannya sesuai dengan kebutuhan dan budaya organisasi Anda.
3. Kedua versi saat ini merupakan improvmen yang dramatis.
Versi COSO yang diperbarui dirilis pada tahun 2017 dan ISO 31000 yang diperbarui
pada tahun 2018. Setiap sumber daya yang menyebutkan bahwa kedua standar
tersebut merupakan improvmen yang dramatis. Versi COSO 2004 misalnya
menggunakan "kubus" tiga dimensi yang banyak membingungkan untuk
menggambarkan prinsip-prinsip kerangka kerja.
4. Kedua standar tersebut menanamkan manajemen risiko dalam proses pengambilan
keputusan.
Menanamkan risiko ke dalam proses pengambilan keputusan organisasi adalah
bagian penting untuk memastikan organisasi menentukan risiko yang tepat dalam
jumlah yang tepat. Baik ISO 31000 dan COSO menyebutkan pentingnya hal ini – ISO
31000 menyebutkannya 17 kali sementara COSO membahas pengambilan
keputusan tetapi tidak terlalu menonjol.
Meskipun setiap standar menyebutkan pentingnya memfaktorkan risiko ke dalam
proses pengambilan keputusan, keduanya mengabaikan ilmu pengambilan
keputusan sama sekali. Seperti yang dijelaskan oleh Alex Sidorenko, ISO 31000
menguraikan proses risiko yang sangat tradisional (identifikasi, penilaian, dll.),
padahal kenyataannya, ada "urutan kejadian yang berbeda" saat membuat
keputusan.
ISO 31000 vs. COSO – Perbedaan
Perbedaan antara ISO 31000 dan COSO jauh lebih banyak daripada persamaannya.
Inilah salah satu alasan mengapa banyak organisasi mengatakan bahwa mereka
menggunakan kombinasi kedua standar tersebut. Beberapa perbedaan tersebut antara
lain:
4. ISO 31000 VS. COSO 4
1. Struktur
Versi terbaru ISO 31000 lebih terstandarisasi daripada COSO, kemungkinan karena
dikembangkan oleh organisasi standar internasional. Standar ISO hanya 16
halaman dan dapat dibaca dalam waktu kurang dari satu jam.
COSO di sisi lain lebih dari 100 halaman. Meskipun menyertakan lebih banyak
visual, itu tidak mengikuti standar "struktural" umum apa pun.
2. Geografi
ISO 31000 telah diadopsi sebagai standar manajemen risiko resmi oleh organisasi
standar nasional di sekitar 57 negara pada akhir tahun 2015. Saat mengembangkan
versi 2018, Organisasi Internasional untuk Standardisasi menerima lebih dari 5000
komentar dari 70+ negara.
COSO, di sisi lain, dikembangkan dalam kemitraan dengan PwC, salah satu
perusahaan akuntansi dan konsultan "Empat Besar". Hampir semua kontributor
utama untuk pembaruan 2017 berlokasi di Washington, D.C. atau New York City.
3. Target audiens
Karena COSO (sebagai organisasi, bukan standar) memiliki asal-usul yang berfokus
pada penyediaan kerangka pengendalian internal, standar ERM COSO lebih
ditujukan kepada orang-orang di bidang akuntansi dan audit. Hans Læssøe, mantan
direktur senior manajemen risiko strategis di LEGO dan penulis dari buku “Prepare
to Dare”, menyatakan bahwa COSO “…diciptakan oleh dan berfokus pada kebutuhan
auditor.” Meskipun versi 2017 yang diperbarui lebih menekankan pada strategi, versi
ini masih sangat condong ke sisi ERM yang dapat diaudit.
Di sisi lain, ISO 31000 ditulis untuk siapa saja yang tertarik dengan manajemen
risiko. Banyak organisasi memilih untuk sangat bergantung padanya karena banyak
standar ISO lain yang juga mungkin mereka gunakan.
4. Fokus
Bisa jadi karena asal-usulnya dalam audit dan pengendalian internal, COSO lebih
berfokus pada tata kelola perusahaan secara umum. Alex Sidorenko menjelaskan
bahwa 50+ persen materi COSO membahas hal-hal seperti bagaimana dewan
(direksi dan pengawas/komisaris) harus mengawasi seluruh organisasi, tidak harus
risiko. Banyak yang merasa dewan akan berjuang untuk melihat bagaimana risiko
dapat dan seharusnya tidak hanya sekadar proses tambahan.
5. ISO 31000 VS. COSO 5
ISO berfokus hampir secara eksklusif pada risiko dan memasukkannya ke dalam
proses perencanaan strategis. Ini juga memberikan informasi yang lebih spesifik
untuk membantu dewan mendefinisikan dan memenuhi tanggung jawab
pengawasan risiko mereka dengan lebih baik.
5. Kerangka dan Proses
ISO memberikan perbedaan yang jelas antara kerangka kerja dan proses. Meskipun
proses yang digariskannya masih sangat tradisional, proses ini lebih detail tentang
dasar sebenarnya dari identifikasi risiko, penilaian, dan lain-lain.
COSO menggabungkan dua konsep kerangka kerja dan proses ini. Namun, hanya
satu dari lima komponen kerangka kerja yang menyebutkan proses manajemen
risiko.
6. Selera risiko (risk appetite)
Standar manajemen risiko asli ISO yang dirilis pada tahun 2009 tidak menyebutkan
konsep selera risiko sama sekali. Versi 2018 secara singkat menyebutkan topik
"kriteria" risiko, itupun sangat minimal dan menggunakan terminologi yang berbeda
dari sumber daya lainnya.
Versi COSO 2017 membahas selera risiko secara lebih panjang dan memberikan
banyak contoh visual tentang konsep selera risiko, toleransi, dan kapasitas.
7. Risiko vs. Berpusat pada Keberhasilan
Meskipun pembaruan COSO 2017 lebih berfokus pada pencapaian tujuan, banyak
yang merasa itu masih mendorong "perburuan" risiko atau berpusat pada risiko.
Seperti yang dijelaskan Hans Læssøe, tujuan manajemen risiko adalah untuk
“…menciptakan dan melindungi nilai, bukan meminimalkan pengambilan risiko.” (Ini
yang saya sangat setuju!)
Meskipun tidak pada tingkat yang diinginkan banyak orang, ISO 31000 lebih
menekankan pada membantu organisasi mencapai tujuannya daripada sekadar
menghindari konsekuensi negatif dari risiko.
Perbandingan di atas bukanlah daftar karakteristik yang lengkap, hanya mungkin yang
lebih penting. Anda bisa menghabiskan banyak waktu untuk menyusun daftar
karakteristik di antara kedua standar tersebut.
6. ISO 31000 VS. COSO 6
Jadi... mana yang Anda pilih?
Secara pribadi, saya tidak memiliki preferensi dan saya sangat percaya dalam
menggunakan apa yang sesuai dengan kebutuhan dan budaya organisasi. (Ya, saya
akan terus mengulangi mantra ini!)
Pada saat melakukan penyesuaian organisasi, salah satu klien saya membaca
ringkasan untuk kedua standar dan menemukan bahwa COSO lebih masuk akal,
meskipun fakta organisasi mereka tidak di industri keuangan, yang mana COSO benar-
benar mengena.
Tapi apakah harus memilih salah satu saja? Tidak!
Tim Leech percaya bahwa setiap standar mengandung "nugget yang baik" tetapi tidak
dapat diambil dan diterapkan secara eksklusif. Dan Norman Marks mengatakan bahwa
kedua standar tersebut berguna untuk dibaca dan dipahami, dan meskipun ada
perbaikan dari versi aslinya, praktik manajemen risiko terbaik jauh lebih baik daripada
ISO 31000 dan COSO.
Dalam hal kepraktisan, saya sepenuhnya setuju dengan komentar Tim dan Norman,
tetapi saya akan menambahkan perspektif saya sendiri.
Bagaimana Anda menggunakan standar ISO 31000 dan/atau COSO ERM agar sesuai
dengan kebutuhan organisasi Anda? Saya tertarik untuk mendengar pemikiran Anda
tentang topik yang luas ini. Jangan ragu untuk meninggalkan komentar di bawah, atau
bergabung dengan percakapan di LinkedIn.
Dikompilasi
Oleh : Kanaidi, SE., M.Si., cSAP
Dari : Carol Williams, April 8, 2019, ISO 31000 VS. COSO – COMPARING AND
CONTRASTING THE WORLD’S LEADING RISK MANAGEMENT STANDARDS –
ERM Insights - https://www.erminsightsbycarol.com/iso-31000-vs-coso/