Oleh: Muhammad Arif (Kepala Bidang SKKI Kanwil DJPb Provinsi Aceh)

Manajemen risiko dan pengendalian internal sangat esensial untuk mendeteksi risiko sedini mungkin (early detection of risks). Kementerian Keuangan telah mengimplementasikan manajemen risiko dan pengendalian internal serta melakukan beberapa kali penyempurnaan regulasinya sejak tahun 2016. Regulasi manajemen risiko dan pengendalian internal terkini diatur dengan Peraturan Menteri Keuangan (PMK) Nomor 105 Tahun 2022 tentang Petunjuk Pelaksanaan Manajemen Risiko Pengelolaan Keuangan Negara dan PMK Nomor 477 Tahun 2021 tentang Pedoman Pemantauan Penerapan Sistem Pengendalian Intern di Lingkungan Kementerian Keuangan. Adapun petunjuk teknis manajemen risiko di lingkungan Direktorat Jenderal Perbendaharaan (DJPb) ditetapkan melalui Keputusan Direktur Jenderal Perbendaharaan Nomor 252 Tahun 2022 tentang Petunjuk Teknis Pelaksanaan Manajemen Risiko Pengelolaan Keuangan Negara. 

Manajemen risiko dan pengendalian internal yang tepat diharapkan mampu mendukung pencapaian sasaran dan kinerja, meningkatkan governance dan compliance, serta mampu memitigasi risiko yang dapat memengaruhi tujuan organisasi. Namun demikian, terdapat beberapa tantangan implementasi pengelolaan risiko dan pengendalian internal di Kementerian Keuangan. Tantangan pertama adalah pelaksanaan manajemen risiko dan pengendalian internal cenderung belum dilakukan secara terintegrasi. Seyogianya, pengelolaan manajemen risiko dan pengendalian internal terkait satu sama lain karena dalam komponen pengendalian internal terdapat komponen risk assessment, demikian pula sebaliknya. 

Tantangan kedua adalah banyaknya laporan pengendalian internal yang harus dibuat oleh Unit Kepatuhan Internal (UKI). Sebagai contoh, UKI II yaitu yang berada di Kantor Wilayah harus menyusun dan menyampaikan sebanyak ±126 laporan yang terkait kepatuhan internal dalam setahun. Dari 126 laporan tersebut, terdapat laporan yang disampaikan bulanan, triwulanan, semesteran, dan tahunan. Laporan yang banyak tersebut cenderung menyebabkan pengelola UKI lebih fokus pada aspek administratif dibandingkan dengan pada aspek yang lebih strategis. 

Tantangan ketiga adalah belum adanya sistem yang dapat mengintegrasikan antara manajemen risiko dan pengendalian internal sehingga memudahkan pengelola Unit Pemilik Risiko (UPR) dan UKI untuk mengelolanya. Tantangan keempat adalah munculnya potensi “silo” yang menganggap bahwa manajemen risiko lebih penting daripada pengendalian internal, atau sebaliknya yang menganggap bahwa pengendalian internal lebih penting daripada manajemen risiko. 

Mempertimbangkan permasalahan tersebut di atas, penulis melakukan kajian literatur perkembangan dan implementasi manajemen risiko dan pengendalian internal di negara-negara maju sehingga diharapkan dapat meningkatkan optimalisasi manajemen risiko dan pengendalian internal di lingkungan Kementerian Keuangan RI. Australia, Amerika Serikat, Inggris, dan Kanada merupakan negara-negara maju yang dapat dijadikan referensi dalam peningkatan kualitas manajemen risiko dan pengendalian internal di sektor publik di Indonesia.

Manajemen Risiko dan Pengendalian Internal Sektor Publik di Negara-Negara Maju

Pada tahun 1992 The Committee of Sponsoring Organizations (COSO) memperkenalkan internal control framework dengan lima indikator pengendalian internal yaitu control environment, risk assessment, control activities, information and communication, dan monitoring activities.  Lima indikator yang saling berkaitan tersebut dibangun dengan tujuan untuk meningkatkan performance dan governance organisasi serta mengidentifikasi dan menghilangkan potensi fraud. 

Selanjutnya, untuk memenuhi kebutuhan organisasi yang makin dinamis, pada tahun 2004 COSO mengembangkan Enterprise Risk Management — Integrated Framework yaitu sebuah konsep manajemen risiko organisasi. ERM yang dibangun tersebut terdiri atas delapan komponen, yaitu internal environment, objective setting, event identification, risk assessment, risk response, control activities, information and communication, dan monitoring. 

Pada dasarnya, komponen manajemen risiko dan pengendalian internal yang dikembangkan COSO sangat identik karena terdapat irisan yang sangat jelas di antara keduanya sebagaimana terlihat pada Gambar 1. Dalam ERM 2004, hanya tiga komponen yang berbeda dengan framework pengendalian internal, yaitu komponen internal environment, objective setting, dan event identification. Namun demikian, COSO mengklaim bahwa hubungan manajemen risiko dan pengendalian internal tidak supersedes atau tidak menggantikan satu sama lain. 

Setelah tiga belas tahun framework ERM 2004 digulirkan, COSO menerbitkan edisi ERM 2017 dengan tujuan untuk mengintegrasikan pengelolaan risiko dengan pencapaian kinerja dan strategi organisasi. Dalam praktiknya, manajemen risiko dan pengendalian internal pada sektor publik di negara-negara maju seperti Australia, Amerika Serikat, Inggris, dan Kanada, memiliki pendekatan yang berbeda-beda. 

Contohnya, pemisahan antara manajemen risiko dengan pengendalian internal diadopsi oleh sektor pemerintahan di Australia dengan alasan bahwa pada unit organisasi yang besar dan kritikal cenderung kurang tepat apabila dilakukan kolokasi manajemen risiko dan pengendalian internal (IIA, 2023). Sedangkan Pemerintah Federal Amerika Serikat mengintegrasikan framework manajemen risiko dan pengendalian internal (Green Book) tersebut, sebagaimana dituangkan dalam salah satu surat edaran dari Office of Management and Budget yaitu OMB Circular No. A-123. Hal ini dapat mengurangi terjadinya overlap pengukuran antara manajemen risiko dan pengendalian internal. 

Berbeda dengan COSO, Australia, dan Amerika Serikat, the Criteria of Control Committee (CoCo) of Canada menyatakan bahwa pengendalian internal justru telah mencakup manajemen risiko. Artinya komponen pengendalian internal lebih komprehensif dibandingkan dengan manajemen risiko. Adapun sektor pemerintahan di Inggris menggunakan Orange Book sebagai panduan dalam pengelolaan risiko dan pengendalian internal yang meleburkan pengendalian internal ke dalam manajemen risiko (Crown, 2023). Orange Book ini merupakan bagian integral dari perencanaan dan pengambilan keputusan yang memperkuat kemampuan organisasi yang makin agile dan responsif terhadap tantangan yang dihadapi.

Strategi Manajemen Risiko dan Pengendalian Internal DJPb

Perdebatan mengenai hubungan antara manajemen risiko dan pengendalian internal menjadi diskursus yang sangat menarik. Berdasarkan hasil kajian literatur, penulis berpendapat bahwa terdapat tiga madzhab yang menyikapi hubungan antara manajemen risiko dan pengendalian internal. 

Mazhab pertama adalah yang memisahkan antara manajemen risiko dan pengendalian internal, contohnya COSO dan sektor publik di Australia. Mazhab kedua adalah yang mengintegrasikan antara manajemen risiko dan pengendalian internal, misalnya Pemerintah Federal Amerika Serikat. Mazhab ketiga adalah yang melakukan merger antara manajemen risiko dan pengendalian internal menjadi satu framework, contohnya Inggris dan Kanada. 

Untuk menyikapi tantangan implementasi manajemen risiko dan pengendalian internal di lingkup DJPb, penulis berpendapat bahwa terdapat beberapa strategi yang kiranya dapat dipertimbangkan. Pertama, mengintegrasikan manajemen risiko dan pengendalian internal. Terintegrasinya manajemen risiko dan pengendalian internal dapat menyediakan informasi yang lebih komprehensif, cepat, dan tepat dalam pengambilan kebijakan serta mengurangi potensi “silo” dalam pengelolaan manajemen risiko dan pengendalian internal. 

Kedua, diperlukan adanya penajaman dan simplifikasi jumlah laporan. Hal ini diharapkan akan lebih mempertajam pengelolaan manajemen risiko dan pengendalian internal serta meminimalisasi laporan yang bersifat administratif dan rutinitas. Ketiga, diperlukan pengembangan sistem yang dapat mengintegrasikan manajemen risiko dan pengendalian internal ke dalam satu platform. 

Keempat, dibutuhkan pengembangan artificial intelligence (AI) untuk manajemen risiko dan pengendalian internal yang makin agile. Keberadaan AI diharapkan dapat mendukung automatic detection terhadap risiko, potensi fraud¸serta proses pengendalian internal lainnya. Proses automatic detection ini dianalogikan seperti pada proses auto detection yang dikembangkan dalam bidang industri sehingga secara otomatis sistem bisa mendeteksi dan memilah produk yang sesuai dengan standar dan mana produk yang defect.   

Disclaimer: Tulisan ini merupakan opini pribadi penulis dan tidak mewakili pandangan organisasi