OPINI: Manajemen Risiko dan Pengendalian Pemerintah

Pada suatu ketika, penulis memperoleh kesempatan untuk berdiskusi dengan salah seorang pegawai di sebuah organisasi pemerintah tentang penerapan manajemen risiko di sektor publik.

Saat itu penulis mendapatkan kesan sang pejabat tersebut masih belum mendapatkan gambaran tentang topik yang sedang kami perbincangkan karena kemudian diskusi bergeser ke SPIP. Namun terkesan bahwa pemahaman beliau tentang SPIP sebagai sarana pengendalian internal pemerintah pun masih belum mendekati spirit regulasi yang terkait. Gaung implementasi manajemen risiko sektor publik memang baru berkembang pada beberapa tahun terakhir, tetapi SPIP sudah lama diterapkan yaitu sejak tahun 2008 ketika PP 60 Tahun 2008 disahkan.

Pengendalian Internal

SPIP merupakan sistem kendali yang berlaku di lingkungan pemerintah baik pusat maupun daerah. Secara teoritis, SPIP mengacu kepada COSO ERM yang terdiri dari beberapa komponen yang salah satu diantaranya adalah penilaian risiko. Dalam konteks pemerintahan, penilaian risiko inilah yang menjadi dasar penerapan manajemen risiko yang mulai berkembang pada beberapa tahun terakhir. Perkembangan tersebut terutama didorong oleh RPJMN tahun 2020-2024 yang merumuskan bahwa penerapan manajemen risiko pada instansi pemerintah adalah salah satu strategi untuk mencapai tata kelola pemerintahan yang baik. Namun disisi lain, disinilah diperlukan kejelasan antara lingkup tata kelola (governance), manajemen risiko (risk management) dan pengendalian internal (control).

Pada umumnya telah disepakati oleh para praktisi dan akademisi bahwa diantara ketiga unsur tersebut yang memiliki lingkup paling luas adalah tata kelola. Tetapi tidak demikian halnya dengan manajemen risiko dan pengendalian internal. Satu pihak berpemahaman bahwa cakupan manajemen risiko lebih luas dibandingkan dengan pengendalian internal dan pihak yang lain berpemahaman sebaliknya. Diskusi tentang hal ini cukup luas dan banyak terjadi di kalangan praktisi dan akademisi. Salah satunya terdapat pada artikel yang ditulis oleh Norman Marks (2013) dengan judul Is risk management part of internal control or is it the other way around?

Pada tulisan tersebut Marks menyinggung tentang timbulnya ketidakjelasan itu dimulakan dari penerbitan kerangka pengendalian internal dan manajemen risiko oleh COSO yang isinya saling bersinggungan antara satu dengan yang lain. COSO menerbitkan Internal Control Integrated Framework pada tahun 1992  yang terdiri dari control environment, risk assessment, control activities, information and communication, dan monitoring. Jadi pada kerangka ini manajemen risiko merupakan bagian dari pengendalian internal. Kemudian, COSO menerbitkan Enterprise Risk Management Integrated Framework pada tahun 2004 (COSO ERM) yang merupakan pengembangan dari kerangka kerja pengendalian internal versi tahun 1992, yaitu dengan menambahkan komponen event identification sebelum risk assessment dan risk response setelahnya. Sehingga menurut sudut pandang dari kerangka ini pengendalian internal menjadi bagian dari manajemen risiko.

Penerapan Manajemen Risiko

Satu hal lain yang menarik yang terjadi pada penerapan manajemen risiko pada instansi pemerintah adalah penerapan manajemen risiko tersebut dilakukan menggunakan kerangka kerja di luar COSO yaitu ISO 31000. Meskipun ISO 31000 memiliki pandangan serupa dengan COSO ERM bahwa pengendalian internal menjadi bagian dari manajemen risiko, namun pada dasarnya merupakan kerangka kerja yang berbeda dari COSO ERM. ISO 31000 berisi tentang panduan penerapan risiko yang dikeluarkan oleh The International Organization for Standardization, yang terdiri dari tiga komponen, yaitu prinsip, kerangka kerja dan proses. Prinsip merupakan filosofi dari manajemen risiko yang kemudian direpresentasikan ke dalam suatu kerangka secara terstruktur dan sistematis untuk kemudian dilaksanakan melalui proses manajemen risiko. ISO 31000 merupakan kerangka kerja yang berbeda dari COSO ERM. Selain dari arsitekturnya, salah satu hal yang paling menonjol adalah perbedaan tentang definisi risiko. Risiko menurut COSO ERM adalah sutau kejadian atau peristiwa yang memiliki dampak negatif yang dapat mencegah penciptaan nilai atau mengikis nilai yang ada. Sedangkan defisini risiko menurut ISO 31000 adalah dampak dari ketidakpastian terhadap pencapaian tujuan. Dari uraian defisini tersebut dapat kita lihat bahwa kedua kerangka kerja tersebut memandang risiko sebagai dua hal yang berbeda.

Seharusnya penerapan manajemen risiko pada sebuah organisasi itu dilakukan secara konsisten menggunakan satu kerangka kerja yang sudah dipilih. Sebab, apabila kita mengkombinasikan dua kerangka kerja yang berbeda tanpa mendasarkan kepada pemahaman yang memadai, barangkali akan menyebabkan tujuan dari kegiatan tersebut belum dapat dicapai secara optimal. Dan penggunaan istilah manajemen risiko dan pengendalian internal barangkali dapat diselaraskan sesuai dengan situasi dan kondisi yang mendasari sehingga dapat memberikan kejelasan bagi penerapannya di lapangan. Dalam konsteks pemerintahan, bisa jadi banyak pihak yang berpemahaman bahwa manajemen risiko merupakan pengendalian internal karena mendasarkan kepada penamaan dari regulasi yang ada. Meskipun hal tersebut merupakan hal yang berbeda dari kerangka kerja yang diacu dan kerangka kerja yang digunakan untuk menerapkan manajemen risiko.

Penutup

Pada akhirnya, mengambil analogi dari Romeo,”What’s in a name?”, apalah arti dari sebuah istilah, maka daripada berpolemik tentang istilah ada baiknya kita cukup melihat saja pada substansinya. Sebagaimana yang diungkap oleh Norman Marks pada penghujung tulisannya, bahwa yang penting bagi organisasi adalah untuk menerapkan mekanisme yang efektif untuk melakukan identifikasi dan menilai risiko yang terkait penetapan dan pencapaian tujuan organisasi. Penilaian risiko tersebut harus dipastikan telah diterapkan sebagai bagian yang menyatu dengan pengelolaan organisasi dan pengambilan keputusan sehari-hari. Dan untuk mendukung hal itu maka suatu organisasi harus pula menerapkan pengendalian intern yang efektif dan efisien dalam rangka pengelolaan risiko-risiko yang terkait dengan penetapan tujuan, identifikasi risiko, penilaian risiko dan pencapaian tujuan organisasi.

Cek Berita dan Artikel yang lain di Google News