Saya yakin, Anda yang sudah menggeluti penerapan sistem pengendalian intern dan manajemen risiko organisasi pernah memiliki pertanyaan menyangkut hubungan keduanya seperti judul artikel ini. Saya pun sering ditanya mengenai hal ini. Mana yang lebih tepat, manajemen risiko sebagai bagian dari pengendalian intern atau sebaliknya? Itulah kira-kira pesan kebingungan yang tersirat dari judul di atas. Norman Marks (2013) pernah membahas masalah ini dalam artikel berjudul Is risk management part of internal control or is it the other way around? Tulisannya pendek namun menurut saya bisa menggambarkan masalahnya secara jelas. Karena itu, saya tertarik pula untuk mengulas tema ini.
Prinsipnya, pengendalian intern diciptakan untuk mendukung pencapaian tujuan organisasi. Peran pengendalian intern tersebut adalah mengendalikan risiko agar berada dalam batas wajar yang bisa diterima oleh organisasi. Oleh karena itu, sebelum merancang pengendalian intern ada proses mengidentifikasi, memahami, menilai, dan memetakan risiko terlebih dahulu. Proses ini sebenarnya merupakan ruh dari konsep manajemen risiko. Namun menurut Marks, prosesnya tidak langsung dimulai dari risiko tapi dari penetapan tujuan terlebih dahulu. Maka Marks menyimpulkan, penetapan tujuan adalah pra-kondisi manajemen risiko, dan manajemen risiko adalah pra-kondisi dari pengendalian intern. Sampai di sini masih cukup jelas. Lalu kenapa terjadi kebingungan?
Kerangka Kerja COSO
Timbulnya kebingungan sebenarnya tidak lepas dari "ulah" Committee of Sponsoring Organizations of the Treadway Commission (COSO), organisasi yang dikenal luas menerbitkan kerangka kerja pengendalian intern dan manajemen risiko yang isinya saling bersinggungan. Pada tahun 1992, COSO menerbitkan Internal Control Integrated Framework. Kerangka tersebut memasukkan penilaian risiko (risk assessment) sebagai salah satu komponennya. Lengkapnya, kerangka COSO 1992 terdiri dari lima komponen yaitu control environment, risk assessment, control activities, information and communication, dan monitoring. Jadi bisa dikatakan, kerangka kerja COSO 1992 memasukkan proses manajemen risiko sebagai bagian dari sistem pengendalian intern. Sebagai informasi, saat ini telah ada pengganti COSO 1992 yang diterbitkan pada tahun 2013 (baca: Pengendalian Intern Ala COSO Terbaru).
Lalu pada tahun 2004, COSO menerbitkan Enterprise Risk Management Integrated Framework yang memperluas kerangka kerja pengendalian intern tahun 1992, terutama dengan menambahkan komponen event identification sebelum risk assessment dan risk response setelahnya. Kesan fokus pada risiko memang jadi lebih terlihat. Selebihnya, bisa dikatakan komponen pengendalian intern tahun 1992 tercakup dalam kerangka tahun 2004 tersebut. Komponen kerangka 2004 secara lengkap menjadi internal environment, objective setting, event identification, risk assessment, risk response, control activities, information and communication, dan monitoring. Artinya, dalam kerangka kerja COSO 2004, pengendalian intern menjadi bagian dari manajemen risiko.
Konsep dasar dua kerangka COSO itu membingungkan, menurut Marks. Manajemen risiko menjadi bagian dari kerangka pengendalian intern di satu sisi, sedangkan pengendalian intern masuk ke dalam kerangka manajemen risiko di sisi lain. Terlihat jelas pertentangannya, bukan?
Namun COSO berpendirian, kerangka tahun 2004 tidak menggantikan kerangka tahun 1992. Jadi keduanya masih sahih sebagai acuan. Jika organisasi memakai kerangka COSO 1992–atau kerangka 2013 sebagai gantinya–maka ia harus membangun manajemen risiko sebagai bagian pengendalian intern. Lalu jika mengacu kerangka COSO 2004, organisasi harus membangun pengendalian intern sebagai bagian dari manajemen risiko. Jika kedua kerangka kerja tersebut ingin diacu bersama-sama? Bingung...!!!
Saat ini COSO sedang merevisi kerangka kerja manajemen risiko tahun 2004-nya (baca: Manajemen Risiko Ala COSO-Dulu dan Nanti). Semoga hasil revisi ini akan memberi petunjuk yang lebih mencerahkan. Jika ingin kedua kerangkanya tetap eksis bersama-sama, semestinya COSO membagi kapling, mana wilayah manajemen risiko dan mana wilayah pengendalian intern. Jangan membuat duplikasi yang membingungkan.
Sumber Lainnya
Di Kanada, dikenal pedoman terkait pengendalian intern yang disebut Criteria of Control (COCO). Dalam COCO Guidance on Control (CICA, 1995) dinyatakan:
Control therefore includes the identification and mitigation of risks.
Pengendalian mencakup identifikasi dan mitigasi risiko. Kalimat ini menyiratkan manajemen risiko menjadi bagian dari pengendalian. Jika dirunut, terbitnya pedoman ini adalah sebelum COSO 2004. Pantaslah ia sejalan dengan COSO 1992.
Sebaliknya, International Federation of Accountants (IFAC) termasuk yang menganut bahwa pengendalian intern adalah bagian dari manajemen risiko. Anda bisa cek di Good Practice Guidance berjudul Evaluating and Improving Internal Control in Organizations yang diterbitkan IFAC tahun 2012. Dalam pedoman ini digambarkan, pengendalian intern menjadi bagian dari manajemen risiko dan selanjutnya manajemen risiko menjadi bagian integral dari sistem tata kelola (governance) organisasi.
Ada lagi standar internasional yang layak diperhitungkan, yaitu ISO 31000:2009. Sebagai standar manajemen risiko, ia memang tidak rinci membahas sisi pengendalian intern. Namun pada proses analisis risiko (risk analysis), standar ini menyinggung perlunya menilai efektivitas dan efisiensi pengendalian yang ada dalam menjaga risiko. Selain itu, untuk menangani risiko (risk treatment), salah satu bentuknya adalah menambah atau mengubah pengendalian. Menurut saya, standar ini punya kecenderungan memasukkan pengendalian intern sebagai bagian manajemen risiko.
Di Inggris, dikenal pedoman pengendalian intern yang disebut Turnbull Report (ICAEW, 1999) atau Internal Control Guidance for Directors on the Combined Code. Di dalam pedoman ini disebutkan:
A company’s system of internal control has a key role in the management of risks that are significant to the fulfilment of its business objectives.
Kalimat ini sulit dipakai untuk mengidentifikasi mana yang lebih luas antara manajemen risiko dengan pengendalian intern. Ia lebih menunjukkan kaitan erat keduanya. Bahkan, pedoman pengganti Turnbull Report yang terbit tahun 2014–Guidance on Risk Management, Internal Control and Related Financial and Business Reporting–mengarahkan agar manajemen risiko dan pengendalian intern dijalankan bersama-sama sebagai kesatuan yang tak terpisah.
Maka tidak salah pula beberapa kalangan yang menyebut manajemen risiko dan pengendalian intern seperti dua sisi mata uang yang sama. Manajemen risiko berfokus pada identifikasi ancaman dan peluang, sedangkan pengendalian dirancang untuk secara efektif melawan ancaman dan memanfaatkan peluang tersebut.
Yang kemudian menggelitik adalah pernyataan, “Jangan-jangan keduanya adalah barang yang sama!” Dan Matthew Leitch (2004) telah membahas hal ini dalam artikel berjudul Risk Management versus Internal Control. Ia berpendapat:
In principle, there is no difference between a risk management system and an internal control system.
Secara prinsip keduanya sama saja. Cakupan keduanya cenderung makin meluas dan mengarah ke konvergensi. Perbedaannya terletak pada sisi penekanan mereka saja, seperti diungkap Leitch pada tabel berikut. Silakan Anda renungkan dan rasakan sendiri!
Risk Management Favorites | Internal Control Favorites |
---|---|
Nonroutine | Routine |
Management | Clerical |
Thinking | Procedures |
Flipcharts | Documents |
Change | Business as usual |
Projects | Processes (accounting cycles) |
Objectives | Constraints |
Achievement | Compliance |
What could happen | What could go wrong |
Running the business | Maintaining the control system |
Nampaknya Leitch serius dengan pemikirannya. Pada tahun 2008, ia menulis buku berjudul Intelligent Internal Control and Risk Management yang memaparkan integrasi penerapan manajemen risiko dan pengendalian intern dengan memakai terminologi "risk control". Bagi yang menyukai kepraktisan, tentu hal ini sangat menarik. Jika manajemen risiko dan pengendalian intern bisa ditempuh melalui satu jalan, pastinya lebih efisien.
Sekarang Anda boleh pula iseng, mengumpulkan lebih banyak lagi pendapat pakar atau pedoman lainnya yang pro dan kontra bahwa pengendalian adalah bagian dari manajemen risiko. Ataupun mencari lagi pihak yang sejalan dengan Leitch. Bagi saya, rasanya cukuplah kita tahu bahwa memang hal ini masih menjadi perdebatan.
Rumit
Percaya atau tidak, selain masalah "apa menjadi bagian apa", sebenarnya ada masalah teknis yang lebih rumit lagi. Bukan saya yang menemukannya! Lagi-lagi si Norman Marks yang saya sebut di awal. Marks berangkat dari konsep sekuen proses "penetapan tujuan–manajemen risiko–pengendalian intern". Kenyataannya, menurut Marks, penetapan tujuan sendiri ada risikonya. Misalnya, tujuannya tidak jelas. Demikian pula, pelaksanaan manajemen risiko dan pengendalian juga ada risikonya. Marks mencontohkan, risiko dari proses manajemen risiko adalah manajer tak mempertimbangkan risiko dalam membuat keputusan dan informasi yang dipakai untuk menilai risiko ternyata salah. Sedangkan contoh risiko pelaksanaan pengendalian adalah kegagalan mempertahankan personil yang kompeten.
Jadi, dalam masing-masing sekuen proses itu semestinya diperhatikan pula risiko dan pengendaliannya. Ada risiko dan pengendalian dari penetapan tujuan; ada risiko dan pengendalian dari pelaksanaan manajemen risiko; serta ada pula risiko dan pengendalian dari pelaksanaan pengendalian. Nampak semakin rumit, bukan? Ya sudahlah... Berhasil saya berbagi kebingungan.
Penutup
Setelah menyadari adanya berbagai sudut pandang dan kerumitan manajemen risiko dan pengendalian intern, maka kita tak perlu "ngotot" pada pendapat kita, kecuali bagi yang sudah merasa pakar. Ikut pandangan manapun bagi saya tidak masalah. Yang penting, aspek risiko, pengendalian dan pencapaian tujuan organisasi tidak ada yang terlewat.
Saya ingin akhiri tulisan ini dengan mengingatkan poin-poin penting yang perlu dijaga dengan baik terkait penerapan manajemen risiko dan pengendalian intern. Poin ini saya pilih dari kesimpulan Marks.
- Pastikan organisasi memiliki mekanisme yang efektif untuk mengidentifikasi, memahami, dan menilai risiko terkait penetapan dan pencapaian tujuan organisasi.
- Pastikan penilaian risiko menjadi bagian integral pengelolaan organisasi dan pengambilan keputusan sehari-hari.
- Pastikan terdapat pengendalian intern yang efektif dan efisien untuk mengelola risiko terkait penetapan tujuan, identifikasi dan penilaian risiko, serta pencapaian tujuan organisasi. Termasuk yang perlu dikelola adalah risiko terkait pelaksanaan pengendalian intern itu sendiri.
Semoga bermanfaat! (hrs)
Referensi:- CICA. (1995). Guidance on Control.
- COSO. (1992). Internal Control Integrated Framework.
- COSO. (2004). Enterprise Risk Management Integrated Framework.
- FRC. (2014). Guidance on Risk Management, Internal Control and Related Financial and Business Reporting.
- ICAEW. (1999). Internal Control Guidance for Directors on the Combined Code.
- IFAC. (2012). Evaluating and Improving Internal Control in Organizations.
- ISO 31000 (2009). Risk Management - Principles and guidelines.
- Leitch, M.(2004). Risk Management versus Internal Control. https://www.irmi.com
- Leitch, M.(2008). Intelligent Internal Control and Risk Management. Gower Publishing Limited.
- Marks, N. (2013). Is Risk Management Part of Internal Control or Is It the Other Way Around? https://iaonline.theiia.org