Judul di atas bukan sekadar click bait. Jika pihak-pihak yang telah berkecimpung di dua hal seru itu, manajemen risiko dan pengendalian internal, dipertemukan, misal di acara Indonesia Lawyer Club (ILC) di TvOne, saya jamin pasti Pak Karni Ilyas pun sampai kerepotan melerai perdebatannya.

Kenapa? Karena kedua pihak memiliki dasar referensi yang sama kuatnya sekaligus sama konyolnya. Keduanya memiliki referensi yang dikeluarkan oleh pihak yang sama, yakni Committee of Sponsoring Organizations of the Treadway Commission (COSO). Jadi, singkat cerita, COSO inilah yang jadi biang keroknya. Lucunya, penjelasan terkait hubungan keduanya pun seakan tidak dapat dijelaskan secara lugas oleh COSO.

 

Semua dimulai oleh COSO

Pada tahun 1992, COSO merilis sebuah kerangka kerja yaitu Internal Control – Integrated Framework. Kerangka kerja ini difokuskan sebagai alat evaluasi bagi organisasi untuk mengetahui bagaimanakah kondisi sistem pengendalian internalnya.

Lalu dua belas tahun kemudian, pada tahun 2004, organisasi yang sama mengeluarkan sebuah kerangka kerja lainnya, yaitu Enterprise Risk Management – Integrated Framework. Nah, kaitan kedua kerangka kerja itu seperti apa versi on the spot? Eh, versi COSO maksudnya.

Sebagai pihak yang menerbitkan kedua framework tersebut, COSO menjelaskan bahwa terdapat hubungan dan perbedaan keduanya, yang dijelaskan pada ERM COSO Framework tahun 2004, bagian appendix C.

Pertama, COSO menegaskan bahwa pengendalian internal merupakan bagian dari dari ERM dimana ERM lebih luas dari pengendalian internal, memperluas, dan mengelaborasi pengendalian internal dalam bentuk konsep yang lebih kuat yang difokuskan sepenuhnya pada risiko-risiko organisasi. Namun, COSO juga menegaskan bahwa IC framework masih relevan bagi organisasi yang ingin memfokuskan pada penguatan pengendalian internalnya.

COSO kemudian mengelaborasi alasan kenapa ERM lebih luas daripada pengendalian internal. Sesuai dengan konsep ERM yang menyatukan seluruh risiko-risiko organisasi dalam sebuah portofolio, COSO memperkenalkan kategori tujuan yang baru yaitu strategic objectives (tujuan strategis) yang berposisi lebih tinggi daripada tiga tujuan yang telah ada sebelumnya (operasi, pelaporan, dan kepatuhan).

Hal itu bertujuan untuk menghubungkan antara implementasi dari ERM sebagai pendukung organisasi dalam pencapaian tujuan strategisnya. Selain itu, dalam kerangka ERM COSO juga diperkenalkan istilah risk appetite dan risk tolerance, dua instrumen yang tidak ada di IC framework.

Keduanya merupakan bagian yang sangat penting dalam penerapan ERM karena merupakan pedoman dari pimpinan untuk dijadikan sebagai dasar penentuan sejauh mana organisasi harus mengambil risiko atau menghindarinya. Termasuk dalam hal tanggung jawab pelaksanaan, ERM COSO menegaskan pentingnya pemilik risiko di setiap level organisasi, dari mulai pemilik risiko di level pimpinan tertinggi sampai dengan pemilik risiko di masing-masing unit organisasi.

 

Hubungan Manajemen Risiko (MR) dan Pengendalian Internal (PI)

Norman Marks (2013) dalam artikel berjudul “Is Risk Management Part Of Internal Control Or Is It The Other Way Around?” berargumen bahwa konsep dasar dua kerangka COSO itu membingungkan karena manajemen risiko menjadi bagian dari kerangka pengendalian internal di satu sisi.

Namun, di sisi lain, pengendalian internal merupakan bagian dari kerangka kerja manajemen risiko. Bahkan Matthew Leitch (2004) dalam artikel berjudul “Risk Management versus Internal Control”, berpendapat bahwa pada prinsipnya, tidak ada bedanya antara manajemen risiko dengan pengendalian internal.

Beda lagi dengan Karen Hardy (2015) dalam bukunya berjudul “Enterprise Risk Management – A Guide for Government Professionals”, dengan tegas menjelaskan bahwa pengendalian internal adalah bagian dari ERM. Ia berargumen bahwa selama ini ada beberapa kesalahpahaman tentang hubungan antara pengendalian internal dan ERM.

Ia bependapat bahwa secara historis, pengendalian internal dipahami untuk fokus pada pengelolaan risiko yang terkait dengan pelaporan keuangan — salah satu dari banyak kategori di risk universe organisasi.

Nah, kerangka ERM didesain tidak hanya membahas risiko terkait pelaporan keuangan tetapi juga bermaksud untuk mengidentifikasi dan mengelola semua bidang risiko yang relevan yang dihadapi oleh organisasi.

ERM dianggap mampu memberikan nilai tambah bagi organisasi karena mengelola risiko melalui pendekatan kolektif yang memungkinkan para pimpinan organisasi untuk mengelola risiko dalam konteks keseluruhan organisasi, tidak hanya berfokus pada kepatuhan atas undang-undang atau peraturan yang terisolasi. Nah loh, pembaca makin jelas atau makin bingung? Mari kita lanjutkan dengan pembahasan yang lebih implementatif.

 

Implementasi MR dan PI di Amerika Serikat

Kali ini pembahasan kita fokuskan ke Negeri Paman Sam, Amerika Serikat. Pada tahun 1999, United States Government Accountability Office (GAO) merilis “Standards for Internal Control in the Federal Government” atau lebih akrab dikenal “Green Book”, yang merupakan dokumen yang menjadi rujukan implementasi sistem pengendalian internal pemerintah federal di Amerika Serikat (AS).

Isi Green Book mengadopsi isi dari Internal Control – Integrated Framework COSO 1992. Pedoman ini kemudian dilegitimasi oleh Presiden AS melalui Office of Management and Budget (OMB) dalam bentuk OMB Circular, yakni alat yang digunakan oleh Kantor Eksekutif Presiden untuk memberikan arahan manajerial dan kebijakan kepada badan-badan Federalnya. Khusus untuk pedoman pengendalian internal pemerintah federal ini, diatur dalam OMB Circular A-123 – Management’s Responsibility for Internal Control di tahun 2004.

Seiring perubahan lingkungan strategis di lingkungan pemerintah AS, pada tahun 2016, Pemerintah Amerika Serikat melakukan revisi atas OMB Circular No A-123 yang sebelumnya merupakan standar untuk pengendalian internal di pemerintah federal menjadi “Management’s Responsibility for Enterprise Risk Management and Internal Control”. Perubahan tersebut menegaskan bahwa perlunya integrasi manajemen risiko dan sistem pengendalian internal dalam kerangka kerja ERM, di mana pengendalian internal merupakan bagian dari ERM.

Seperti ini kira-kira bentuk hubungan yang dinyatakan dalam OMB Circular di atas:

Pada Bagian I OMB Circular tersebut, para pemimpin dan manajer pada pemerintah federal bertanggung jawab untuk menetapkan dan mencapai tujuan dan sasaran, mengoptimalkan peluang untuk meningkatkan efektivitas dan efisiensi operasi, menyediakan pelaporan yang andal, dan memelihara kepatuhan terhadap hukum dan peraturan yang relevan.

Mereka juga bertanggung jawab untuk menerapkan praktik manajemen yang secara efektif mengidentifikasi, menilai, merespon, dan melaporkan risiko, baik yang timbul dari lingkungan eksternal maupun internal.

Kemudian pada Bagian II, didefinisikan bagaimana tanggung jawab manajemen dalam kerangka kerja ERM, yaitu tentang tata kelolanya, profil risiko, implementasinya, dan peran auditor internal dalam ERM.

Lalu pada Bagian III sampai dengan V, berisi pedoman untuk menetapkan pengendalian internal untuk risiko-risiko yang diidentifikasi oleh manajemen, untuk memberikan jaminan yang memadai bahwa tujuan dapat tercapai. Kemudian mengatur juga tentang bagaimana menilai efektivitas implementasi sistem pengendalian internal merujuk pada tujuan pengendalian internal sebagai bagian dari profil risiko organisasi.

Dalam OMB Circular ini, sistem pengendalian internal yang dibangun merujuk pada “Standards of Internal Control in the Federal Government” yang dirilis oleh GAO, dalam hal ini adalah edisi revisi yang dirilis pada tahun 2014.

Dari penjelasan di atas, pesan tegas yang ingin disampaikan dalam revisi OMB Circular A-123 tersebut adalah urgensi implementasi ERM sebagai upaya organisasi untuk mencapai tujuan strategisnya, termasuk membangun pengendalian internal sebagai bagian dari profil risiko organisasi.

Pesan lain yang tergambar dalam OMB Circular A-123 edisi revisi tahun 2016 adalah lembaga federal tetap diwajibkan menerapkan sistem pengendalian internalnya merujuk pada Green Book.

Dengan kata lain, meskipun dinyatakan pengendalian internal merupakan bagian dari ERM, bukan berarti pengendalian internal tidak relevan lagi diimplementasikan. Bahkan, justru perannya semakin ditekankan, bahwa untuk membangun manajemen risiko yang baik, perlu adanya pengendalian internal yang baik pula.

Begitu kira-kira pesannya. Pemerintah AS juga terlihat bijaksana dalam menyikapi adanya dua kerangka kerja yang dirilis oleh COSO, yaitu kerangka kerja IC dan ERM. Alih-alih menyatakan Green Book tidak relevan lagi, dan menggantinya dengan pedoman terkait ERM, entah dengan nama apa, mungkin Orange Book seperti di United Kingdom. Namun langkah itu tidak dipilih. Pemerintah AS justru memilih jalan tengah yaitu mengintegrasikan ERM dengan IC, seperti yang tertuang dalam OMB yang kita bahas di atas.

Tentu ini lebih mudah diterima dibandingkan dengan penjelasan yang disampaikan oleh COSO (Pada ERM COSO Framework tahun 2004 bagian appendix C yang telah dibahas disebelumnya). Hal ini juga didukung oleh Karen Hardy (2015) yang menjelaskan bahwa karena pengendalian internal merupakan bagian yang kompleks dalam ERM yang efektif, maka menilai struktur pengendalian internal merupakan suatu hal yang sangat penting pula. Hal ini karena pengendalian internal merupakan suatu mekanisme dalam mengelola risiko. Sehingga memiliki pengendalian internal yang kuat dan efektif merupakan suatu hal yang esensial.

 

Epilog

Berdasarkan penjelasan yang cukup gamblang di atas, baik yang berasal dari para pakar maupun contoh implementasinya di Amerika Serikat, tentu memberikan dasar bagi pembaca untuk memberikan simpulan atas perdebatan yang masih hangat sampai dengan saat ini.

Hal ini juga sangat relevan dengan kondisi yang ada di Indonesia, terutama di sektor pemerintah. Sistem pengendalian internal pemerintah, selama ini telah dibangun mengacu pada Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP). Di sisi lain, kesadaran Pemerintah tentang pentingnya manajemen risiko di sektor pemerintah, seperti yang tergambar dengan adanya target capaian keberhasilan pembangunan manajemen risiko kementerian,

Lembaga, dan pemerintah daerah dalam proyek prioritas RPJMN 2020-2024, menjadi legitimasi bahwa manajemen risiko harus dibangun dan diimplementasikan. Nah, bagaimana pembaca melihat posisi keduanya, SPIP dan MR di Indonesia? Kembali lagi, penjelasan di atas tentu bisa menjadi modal berharga dalam menjawabnya.

 

 

 

3
0

Seorang ASN di Instansi Pemerintah Pusat yang baru saja menyelesaikan petualangan keilmuannya di University of Nottingham di bidang Manajemen Risiko. Profilnya dapat digambarkan dalam sebuah kalimat, "Auditor by day, writer by night, husband and father wholelife".

error: