Tata Kelola Manajemen Risiko dan Pengendalian Intern - Modul Auditor Ahli...
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
2014
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern Dikeluarkan oleh Pusat Pendidikan dan Pelatihan Pengawasan BPKP dalam rangka Diklat Fungsional Auditor ‐ Diklat Pembentukan Auditor Terampil/Ahli dan Penjenjangan Auditor Muda
Edisi Pertama Perevisi Narasumber Pereviu Penyunting Penata Letak
: Tahun 2014
: : : : :
Lady Martha Boturan Hasian Napitupulu, S.E., Ak., M.A. Andilo Tohom, Ak., M.Si. Dr. Trisacti Wahyuni, Ak., M.Ak. Daissy Erdianthy, S.E., Ak., M.Ak. Didik Hartadi, S.E.
Pusdiklatwas BPKP Jl. Beringin II, Pandansari, Ciawi, Bogor 16720 Telp. (0251) 8249001 ‐ 8249003 Fax. (0251) 8248986 ‐ 8248987 Email :
[email protected] Website : http://pusdiklatwas.bpkp.go.id e‐Learning : http://lms.bpkp.go.id
Dilarang keras mengutip, menjiplak, atau menggandakan sebagian atau seluruh isi modul ini, serta memperjualbelikan tanpa izin tertulis dari Pusat Pendidikan dan Pelatihan Pengawasan BPKP
Kata Pengantar
Peran dan fungsi aparat pengawasan intern pemerintah (APIP) dalam rangka membantu manajemen untuk mencapai tujuan organisasi dilaksanakan melalui pemberian jaminan (assurance activities) dan layanan konsultansi (consulting activities) sesuai standar, sehingga memberikan perbaikan efisiensi dan efektivitas atas tata kelola, manajemen risiko, dan pengendalian intern organisasi. Selain itu, Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah mengatur bahwa pelaksanaan audit intern di lingkungan instansi pemerintah dilaksanakan oleh pejabat yang mempunyai tugas melaksanakan pengawasan yang telah memenuhi syarat kompetensi keahlian sebagai auditor. Hal tersebut selaras dengan komitmen pemerintah untuk mewujudkan pemerintahan yang transparan dan akuntabel serta bebas korupsi, kolusi, dan nepotisme pada berbagai aspek pelaksanaan tugas umum pemerintahan dan pembangunan yang dituangkan dalam Undang‐ Undang No. 28 Tahun 1999 tentang Penyelenggaraan Negara yang Bersih dan Bebas dari KKN. Untuk menjaga tingkat profesionalisme aparat pengawasan, salah satu medianya adalah pendidikan dan pelatihan (diklat) sertifikasi auditor yang bertujuan untuk meningkatkan pengetahuan, keterampilan, dan perubahan sikap/perilaku auditor pada tingkat kompetensi tertentu sesuai dengan perannya sesuai dengan keputusan bersama Kepala Pusat Pembinaan Jabatan Fungsional Auditor dan Kepala Pusat Pendidikan dan Pelatihan Pengawasan Badan Pengawasan Keuangan dan Pembangunan Nomor KEP‐82/JF/1/2014 dan Nomor KEP‐ 168/DL/2/2014 tentang Kurikulum Pendidikan dan Pelatihan Fungsional Auditor. Guna mencapai tujuan di atas, sarana diklat berupa modul dan bahan ajar perlu disajikan dengan sebaik mungkin. Evaluasi terhadap modul perlu dilakukan secara terus menerus untuk menilai relevansi substansi modul terhadap perubahan lingkungan yang terjadi. Modul ini ditujukan untuk memutakhirkan substansi modul agar sesuai dengan perkembangan profesi auditor, dan dapat menjadi referensi yang lebih berguna bagi para peserta diklat sertifikasi auditor. Akhirnya kami mengucapkan terima kasih kepada semua pihak yang telah memberikan kontribusi atas terwujudnya modul ini. Ciawi, 30 April 2014 Kepala Pusdiklat Pengawasan BPKP N u r d i n , Ak., M.B.A.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
i
ii
2014 |Pusdiklatwas BPKP
Daftar Isi
Kata Pengantar .......................................................................................................................... i Daftar Isi.................................................................................................................................. iii Daftar Gambar dan Tabel ......................................................................................................... v Bab I
PENDAHULUAN ........................................................................................................... 1 A. Latar Belakang .......................................................................................................... 1 B. Indikator Keberhasilan ............................................................................................. 1 C. Deskripsi Singkat Struktur Modul ............................................................................ 2 D. Metodologi Pemelajaran ......................................................................................... 3
Bab II TATA KELOLA (GOVERNANCE) ..................................................................................... 5 A. Revolusi Manajemen Sektor Publik ......................................................................... 6 B. Pergeseran Paradigma New Public Management ke Governance .......................... 7 C. Konsep Good Governance (Tata Kelola yang Baik) ................................................ 11 D. Prinsip‐Prinsip Good Governance .......................................................................... 13 Bab III MANAJEMEN RISIKO ................................................................................................. 17 A. Risiko ...................................................................................................................... 18 B. Manajemen Risiko .................................................................................................. 25 C. Dokumentasi Manajemen Risiko ........................................................................... 45 Bab IV PENGENDALIAN INTERN ............................................................................................ 49 A. Definisi Dan Tujuan Pengendalian Intern .............................................................. 49 B. Unsur Pengendalian Intern .................................................................................... 53 C. Keterbatasan Pengendalian Intern ........................................................................ 66 D. Perkembangan Terkini Konsep Pengendalian Intern ............................................ 68 Bab V AUDITOR INTERN DAN TATA KELOLA‐ MANAJEMEN RISIKO‐ PENGENDALIAN .......... 73 A. Hubungan Antara Tata Kelola‐Manajemen Risiko‐Pengendalian.......................... 73 B. Peran Audit Internal dalam Tata Kelola–Manajemen Risiko–Pengendalian ......... 76 Bab VI PEMANTAUAN DAN EVALUASI .................................................................................. 83 A. Pemantauan dan Evaluasi atas Efektivitas Proses Tata Kelola .............................. 84 B. Pemantauan dan Evaluasi atas Efektivitas Manajemen Risiko .............................. 85 C. Pemantauan dan Evaluasi atas Efektivitas Pengendalian Intern ........................... 87 Daftar Pustaka ........................................................................................................................ 91
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
iii
iv
2014 |Pusdiklatwas BPKP
Daftar Gambar dan Tabel Gambar Gambar 2.1
Tiga Pilar Good Governance .......................................................................
9
Gambar 2.2
Konsep Tata Kelola menurut IIA ..................................................................
10
Gambar 2.3
Komponen Kunci Pengawasan Tata Kelola ................................................. 11
Gambar 2.4
Membangun Nilai Tambah Berkelanjutan ..................................................
13
Gambar 3.1
Elemen/Proses Manajemen Risiko..............................................................
33
Gambar 3.2
Peta Risiko ..................................................................................................
40
Gambar 4.1
Sistem Pengendalian Intern Pemerintah ....................................................
53
Gambar 4.2
Hubungan Pengendalian Risiko ...................................................................
58
Gambar 4.3
Siklus Penyelenggaraan SPIP .......................................................................
66
Gambar 4.4
Perbandingan COSO 1992 dan COSO 2013 .................................................
69
Gambar 5.1
Hubungan GRC menurut PP Nomor 60 Tahun 2008 ..................................
74
Gambar 5.2
Hubungan GRC menurut IIA .......................................................................
75
Gambar 5.3
Internal Auditing = Assurance, Insight and Objectivity ...............................
80
Gambar 5.4
ASSURANCE = Governance, Risk and Control ..............................................
81
Gambar 5.5
INSIGHT = Catalyst, Analyses, and Assessments ........................................
81
Gambar 5.6
OBJECTIVITY = Integrity, Accountability, and Independence ......................
82
Tabel 3.1
Skala Dampak Risiko ...................................................................................
39
Tabel 3.2
Skala Kemungkinan Terjadi Risiko ...............................................................
39
Tabel 4.1
Prinsip Pengendalian Intern COSO 2013 ....................................................
71
Tabel
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
v
vi
2014 |Pusdiklatwas BPKP
Bab I PENDAHULUAN
A.
LATAR BELAKANG
Setiap organisasi pasti menghadapi berbagai risiko, baik dari dalam maupun luar organisasi. Dengan perkembangan lingkungan yang semakin cepat dan kompleks, serta persaingan yang semakin keras, maka risiko‐risiko yang dihadapi suatu organisasi untuk mencapai tujuannya akan semakin kompleks juga. Guna mengantisipasi dan mengatasi risiko‐risiko tersebut, diperlukan praktik tata kelola serta fungsi manajemen risiko yang baik agar risiko‐risiko yang ada tidak menimbulkan kejutan dan tujuan organisasi dapat diyakini tidak terganggu pencapaiannya. Tata kelola merupakan kombinasi proses dan struktur yang diterapkan oleh manajemen untuk menginformasikan, mengarahkan, mengelola, dan memantau kegiatan organisasi dalam rangka pencapaian tujuan. Tata kelola memiliki keterkaitan dengan manajemen risiko dan pengendalian intern. Aktivitas tata kelola yang efektif mempertimbangkan risiko pada saat menyusun strategi. Sebaliknya, manajemen risiko didasarkan pada tata kelola yang efektif (misalnya, tone at the top, selera risiko dan toleransi risiko, budaya risiko, dan pengawasan manajemen risiko). Tata kelola yang efektif juga bergantung pada pengendalian intern dan komunikasi efektivitas pengendalian‐pengendalian tersebut kepada manajemen.
B.
INDIKATOR KEBERHASILAN
Modul ini disusun untuk memenuhi materi pemelajaran pada Diklat Fungsional Pembentukan Auditor Ahli di lingkungan instansi pemerintah. Kompetensi dasar yang ingin dicapai dari diklat ini adalah peserta mampu mengidentifikasi titik‐titik kritis pada pelaksanaan tata kelola organisasi, manajemen risiko, dan pengendalian internal. Sedangkan indikator keberhasilan khusus dari diklat ini adalah setelah mengikuti proses pemelajaran, peserta diklat diharapkan mampu: 1.
menjelaskan mengenai tata kelola organisasi yang baik (good governance);
2.
menjelaskan mengenai manajemen risiko;
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
1
3.
menjelaskan mengenai pengendalian intern;
4.
menjelaskan mengenai hubungan keterkaitan tata kelola, manajemen risiko dan pengendalian intern; dan
5.
menjelaskan mengenai prinsip‐prinsip pemantauan dan evaluasi atas efektivitas proses tata kelola organisasi, manajemen risiko, dan pengendalian intern.
C.
DESKRIPSI SINGKAT STRUKTUR MODUL
Modul ini dirancang untuk membekali peserta dengan pengertian, pemahaman, dan konsep‐ konsep tentang tata kelola, manajemen risiko, pengendalian intern, peran auditor internal dan hubungan antara tata kelola, manajemen risiko, pengendalian intern serta prinsip‐prinsip pemantauan dan evaluasi atas efektivitas tata kelola, manajemen risiko, pengendalian intern yang terdiri atas enam materi bahasan yang dibagi dalam bab berikut. Bab I
Pendahuluan, membahas mengenai latar belakang, indikator keberhasilan, deskripsi singkat struktur modul, dan metodologi pemelajaran.
Bab II
Tata Kelola (Governance), membahas mengenai revolusi manajemen sektor publik, pergeseran paradigma new public management ke governance, konsep tata kelola yang baik (good governance), dan prinsip‐prinsip good governance.
Bab III
Manajemen Risiko, membahas mengenai risiko, manajemen risiko dan dokumentasi manajemen risiko
Bab IV
Pengendalian Intern, membahas mengenai definisi dan tujuan pengendalian intern, unsur pengendalian intern, keterbatasan pengendalian intern, dan perkembangan terkini konsep pengendalian intern.
Bab V
Auditor Intern dan Tata Kelola‐Manajemen Risiko‐Pengendalian, membahas mengenai hubungan antara tata kelola, manajemen risiko, pengendalian intern serta peran auditor intern dalam tata kelola, manajemen risiko, dan pengendalian intern.
Bab VI
Pemantauan dan Evaluasi, membahas mengenai pemantauan dan evaluasi atas efektivitas proses tata kelola, pemantauan dan evaluasi atas efektivitas manajemen risiko, pemantauan dan evaluasi atas efektivitas pengendalian intern.
2
2014 |Pusdiklatwas BPKP
D.
METODOLOGI PEMELAJARAN
Metodologi pemelajaran yang digunakan untuk mencapai tujuan pemelajaran adalah menggunakan pendekatan andragogi. Pendekatan ini disebut pendekatan pemelajaran orang dewasa mengingat peserta didik adalah orang yang telah memiliki pengalaman dan pengetahuan sebelumnya (prior knowledge) terkait dengan beberapa bagian dari materi diklat. Oleh karena itu, metode pemelajaran ini menggunakan kombinasi proses belajar mengajar dengan cara: ceramah, tanya jawab dan diskusi, serta latihan dan kasus. 1.
Ceramah Widyaiswara/instruktur membantu peserta dalam memahami materi dengan ceramah dan dalam proses ini peserta diberi kesempatan untuk mengajukan tanya jawab atau memberikan pendapat dalam sesi curah pendapat. Selain itu, agar proses pendalaman materi dapat berlangsung dengan lebih baik, dilakukan pula diskusi dan latihan secara berkelompok sehingga peserta didik benar‐benar dapat secara aktif terlibat dalam proses belajar mengajar.
2.
Tanya jawab dan diskusi Widyaiswara dan peserta bertanya jawab untuk mendalami permasalahan/kondisi yang terkait dengan tata kelola, pengelolaan risiko dan pengendalian internal.
3.
Latihan Peserta berlatih menyelesaikan soal‐soal yang terkait dengan permasalahan tata kelola, manajemen risiko dan pengendalian intern.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
3
4
2014 |Pusdiklatwas BPKP
Bab II TATA KELOLA (GOVERNANCE) Indikator Keberhasilan Setelah mengikuti pemelajaran ini diharapkan peserta diklat memiliki pengetahuan mengenai tata kelola organisasi yang baik (good governance)
Tuntutan gencar yang dilakukan masyarakat kepada pemerintah untuk menjalankan penyelenggaraan pemerintahan yang baik, sejalan dengan meningkatnya tingkat pengetahuan masyarakat, merupakan hal yang sedang hangat terjadi dalam kehidupan bernegara saat ini. Krisis mutidimensi yang diawali oleh krisis finansial pada tahun 1997‐1998, telah mendorong arus balik yang menuntut perbaikan atau reformasi dalam penyelenggaraan negara termasuk birokrasi pemerintahannya. Salah satu penyebab terjadinya krisis multidimensi yang kita alami tersebut adalah buruknya atau salah kelola dalam penyelengaraan tata kepemerintahan (poor governance), yang antara lain diindikasikan oleh beberapa masalah, antara lain: dominasi kekuasaan oleh satu pihak terhadap pihak‐pihak lainnya, sehingga pengawasan menjadi sulit dilakukan; terjadinya tindakan korupsi, kolusi, dan nepotisme (KKN); dan rendahnya kinerja aparatur termasuk dalam pelayanan kepada publik atau masyarakat di berbagai bidang. Secara eksternal, pengaruh globalisasi juga telah memaksa setiap pimpinan instansi pemerintah untuk menerapkan good governance. Pendekatan atau cara yang digunakan setiap pimpinan instansi dalam menerapkan tata kelola pemerintahan yang baik (good governance) tidak sama, namun semua berorientasi pada masyarakat melalui peningkatan kualitas layanan dan perbaikan sistem manajemen pemerintahan. Pemahaman mengenai revolusi manajemen sektor publik berikut akan memberikan wacana dasar untuk pemelajaran tata kelola (governance).
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
5
A.
REVOLUSI MANAJEMEN SEKTOR PUBLIK
Seiring dengan meningkatnya peran swasta dan masyarakat dalam penyelenggaraan pemerintahan, manajemen sektor publik telah mengalami perubahan yang cukup signifikan. Hal ini antara lain dipicu oleh pemikiran Osborne dan Gaebler dalam bukunya Reinventing Government (1992) atau pemerintahan wirausaha. Perubahan tersebut pada dasarnya diarahkan pada penciptaan manajemen publik yang handal dan peningkatan kualitas penyelenggaraan administrasi publik. Konsep dan sistem administrasi publik yang kaku, struktural/hirarkis, dan birokratis telah ditinggalkan dan sebagai gantinya telah dikembangkan suatu konsep manajemen publik yang fleksibel dan berorientasi kepada pasar. Dalam paradigma manajemen sektor publik yang baru, birokrasi pemerintah dibuat seefisien dan seefektif mungkin sehingga dapat bergerak fleksibel dalam mengikuti tuntutan masyarakat dan perubahan lingkungan. Paradigma baru ini dianggap sebagai solusi atas berbagai label negatif yang melekat pada sektor publik yaitu dengan mengacu pada kaidah‐kaidah new public management (NPM). Menurut C. Hood (1991) terdapat 7 karakteristik New Public Management, yaitu: 1.
Hands‐on professional management (Pelaksanaan tugas manajemen pemerintahaan diserahkan kepada manajer profesional).
2.
Explicit standards and measures of performance (Adanya standar dan ukuran kinerja yang jelas).
3.
Greater emphasis on output controls (Lebih ditekankan pada pengendalian hasil/keluaran).
4.
A shift to desegregations of units in the public sector (Pembagian tugas ke dalam unit‐unit yang di bawah).
5.
A shift to greater competition in the public sector (Ditumbuhkannya persaingan di sektor publik).
6.
A stress on private sectore styles of management practice (Lebih menekankan diterapkannya gaya manajemen sektor privat).
6
2014 |Pusdiklatwas BPKP
7.
A stress on greater discipline and parsimony in resource use (Lebih menekankan pada kedisiplinan yang tinggi dan tidak boros dalam menggunakan berbagai sumber). Sektor publik seyogianya bekerja lebih keras dengan sumber‐sumber yang terbatas (to do more with less).
Perubahan ini bukan perubahan sederhana dalam “management style” administrasi publik. Akan tetapi, perubahan ini merupakan perubahan peranan pemerintah dalam masyarakat dan hubungan antara pemerintah dengan masyarakatnya. Paradigma baru ini merupakan tantangan langsung atas berbagai prinsip administrasi publik yang telah diyakini sebagai paradigma terpenting selama hampir 20 abad. Dalam paradigma baru, birokrat dan pemerintah bukanlah satu‐satunya penyedia barang dan jasa masyarakat. Perspektif ini menempatkan organisasi swasta sebagai mitra pemerintah untuk menyediakan berbagai kebutuhan publik. Pemerintah berperan dalam memfasilitasi kebutuhan masyarakatnya melalui subsidi, pengaturan perundang‐undangan dan pengaturan kontrak. Keterbukaan pemerintah juga ditekankan dalam paradigma baru ini, yang ditunjukkan dengan diadopsinya berbagai prinsip dan sistem manajemen sektor swasta ke dalam sektor publik untuk memperbaiki kinerja birokrasi. Dalam mekanisme dan pola hubungan ini akuntabilitas yang ada tidak hanya mengalir dari bawah ke atas, dalam arti pegawai secara hierarkis mempertanggungjawabkan kegiatan yang dilakukannya kepada pejabat di atasnya, namun pertanggungjawaban juga dilakukan kepada pihak luar (eksternal) organisasi publik (misalnya masyarakat ataupun kepada sektor swasta).
B.
PERGESERAN PARADIGMA NEW PUBLIC MANAGEMENT KE GOVERNANCE
Orientasi “privatisasi” yang terdapat pada new public management tidak berarti bahwa peran pemerintah berkurang. Peran pemerintah ini tetap terwujud dengan munculnya peranan pengaturan (regulations) terhadap keterlibatan sektor swasta dan juga dengan mengelola respon yang efektif terhadap tuntuntan sosial dan ekonomi masyarakat. World Bank (1997) menyebutkan bahwa meskipun terjadi kecenderungan “privatisasi” terhadap berbagai kegiatan pemerintah, hal ini tidak berarti bahwa peran pemerintah menjadi berkurang. Peran pemerintah masih sangat penting/dominan dalam manajemen pembangunan. Peran pemerintah mungkin akan berkurang dalam memberikan arahan dan petunjuk dari pusat pemerintahan. Akan tetapi, pemerintah masih tetap bertanggung jawab terhadap perancangan dan pelaksanaan kebijakan publik, terutama yang berkaitan dengan transformasi ekonomi,
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
7
pengurangan kemiskinan, peningkatan kinerja sektor pertanian, ketenagakerjaan, fasilitas sosial dan umum, serta pengelolaan lingkungan hidup. Hal lain yang mendukung bahwa peran pemerintah masih sangat dibutuhkan dalam pelayanan publik adalah kenyataan bahwa prinsip ekonomi dan efisiensi tidak selalu dapat diterapkan pada semua aktivitas pemerintah (misalnya fasilitas sosial dan fasilitas umum). Pemerintahan yang modern tidak hanya mencakup efisiensi dan peningkatan keekonomisan, tetapi juga merupakan hubungan akuntabilitas antara negara dengan warga negara, dimana warga negara tidak diberlakukan hanya sebagai konsumen tapi juga sebagai warga negara yang memiliki hak untuk mendapatkan jaminan atas kebutuhan dasar dan menuntut pemerintah untuk bertanggung jawab atas berbagai kebijakan yang dilakukan. Hal ini merupakan perubahan pandangan dalam manajemen publik dari penekanan pada hubungan antara negara dengan pasar ke hubungan antara negara dengan warga negaranya. Pandangan ini dikenal dengan governance. World Bank mendefinisikan governance sebagai: “the way state power is used in managing economic and social resources for development of society”; suatu penyelenggaraan manajemen pembangunan yang solid dan bertanggungjawab yang sejalan dengan prinsip demokrasi dan pasar yang efisien, penghindaran salah alokasi dana investasi, dan pencegahan korupsi baik secara politik maupun administratif, menjalankan disiplin anggaran serta penciptaan legal and political framework bagi tumbuhnya aktivitas usaha Governance atau kepemerintahan diartikan oleh UNDP (United Nations Development Programme) sebagai “… the exercise of political, economic and administrative authority in the management of a country’s affairs at all level…comprises the complex mechanisms, processes and institutions through which citizens and groups articulate their interests, mediate their differences and exercise legal rights and obligations” (UNDP, 1995). Dengan kata lain, governance meliputi berbagai kewenangan baik yang menyangkut kewenangan politik, ekonomi, dan administrasi berinteraksi satu dengan lainnya. Hubungan ini mencakup hubungan yang komplek antar berbagai kewenangan dalam semua level pemerintahan dalam bentuk mekanisme, proses dan pembentukan institusi dimana masyarakat dan kelompok masyarakat dapat menyampaikan keinginan, mengatur berbagai perbedaan, dan juga mendapatkan jaminan hukum (dan pengaturannya). Pengertian governance yang dijelaskan oleh UNDP mengandung aspek politik, ekonomi dan administratif, yang disebut dengan three legs (tiga kaki), yaitu economic, political, dan 8
2014 |Pusdiklatwas BPKP
administrative. Economic governance meliputi proses‐proses pembuatan keputusan (decision making process) yang memfasilitasi aktivitas ekonomi di dalam negeri dan interaksi di antara penyelenggara ekonomi. Karena itulah, economic governance mempunyai pengaruh atau implikasi terhadap equity, poverty, dan quality of life. Political governance adalah proses‐proses pembuatan keputusan untuk formulasi kebijakan. Dengan kata lain, political governance menunjuk pada proses pembuatan keputusan dan implementasi kebijakan suatu negara yang legitimate dan authoritatif. Itu sebabnya, di sini negara terdiri dari tiga lembaga negara yang terpisah yaitu legislatif, eksekutif dan yudikatif. Administrative governance adalah sistem implementasi proses kebijakan yang melaksanakan sektor publik secara efisien, tidak memihak, akuntabel dan terbuka.
Pemerintah (Good Public Governance)
Dunia Usaha Swasta (Good Corporate Governance)
Masyarakat
Gambar 2.1 Tiga Pilar Good Governance
Konsep ini lebih luas dari fungsi dan kapasitas sektor publik, akan tetapi konsep ini berkaitan dengan manajemen proses pembangunan yang melibatkan pemerintah, swasta, dan masyarakat sebagai pilar good governance (lihat gambar 2.1). Idealnya, hubungan semua pihak ini bukan merupakan kerangka kegiatan yang terpisah melainkan dalam kerangka keterpaduan dan kerja sama yang harmonis untuk pencapaian tujuan dan kepentingan bersama. Tujuan interaksi sosial‐politik‐ekonomi dalam pengertian ini adalah tercapainya suatu keseimbangan dan sinergi dalam pemenuhan kebutuhan dan kepentingan masing‐masing institusi dalam satu keselarasan dan keseimbangan. Sedangkan konsep governance menurut IIA adalah sebagai berikut.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
9
The combination of processes and structures implemented by the board of directors in order to inform, direct, manage and monitor the activities of the organization toward achieving its objectives. Menurut IIA, tata kelola adalah kombinasi dari proses dan struktur yang dilaksanakan oleh dewan direksi untuk menginformasikan, mengarahkan, mengelola dan memantau kegiatan organisasi dalam mencapai tujuannya. Secara garis besar, konsep tata kelola menurut IIA dapat digambarkan sebagai berikut.
Governance Umbrella Board of Directors
Strategic Direction
Governance Oversight
Gambar 2.2 Konsep Tata Kelola Menurut IIA
Gambar 2.2 menunjukkan bahwa ada dua area penting dari tata kelola, yaitu arah strategis (strategic direction) dan pengawasan tata kelola (governance oversight). Poin penting dari gambar tersebut adalah sebagai berikut: •
Tata kelola dimulai dari pimpinan organisasi dan jajarannya, berperan sebagai ‘payung’ bagi organisasi. Jajaran pimpinan memberi arah kepada manajemen, memberikan wewenang kepada manajemen untuk bertindak dan mengawasi hasilnya. (Lihat gambar 2.3)
•
Jajaran pimpinan harus mengetahui dan fokus terhadap pemenuhan kebutuhan stakeholders.
•
Secara harian, tata kelola dilaksanakan oleh manajemen melalui kegiatan manajemen risiko.
10
2014 |Pusdiklatwas BPKP
•
Aktivitas internal dan eksternal memberikan jaminan kepada manajemen dan pimpinan terhadap efektivitas proses tata kelola
Untuk pengawasan terhadap tata kelola, bisa digambarkan sebagai berikut. Stakeholders
Governance Umbrella Board of Directors
Risk Management
Assurance
Senior Management
Risk Owner
Internal Activitie
External Activities
Gambar 2.3 Komponen Kunci Pengawasan Tata Kelola
C.
KONSEP GOOD GOVERNANCE (TATA KELOLA YANG BAIK)
Menurut Bank Dunia (World Bank), good governance merupakan cara kekuasaan yang digunakan dalam mengelola berbagai sumber daya sosial dan ekonomi untuk pengembangan masyarakat (Mardoto, 2009). Sedangkan menurut UNDP (United National Development Planning), good governance merupakan praktek penerapan kewenangan pengelolaan berbagai urusan penyelenggaraan negara secara politik, ekonomi dan administratif di semua tingkatan. Dalam konsep di atas, ada tiga pilar good governance yang penting, yaitu: a.
Kesejahteraan rakyat (economic governance).
b.
Proses pengambilan keputusan (political governance).
c.
Tata laksana pelaksanaan kebijakan (administrative governance) (Prasetijo, 2009).
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
11
Menurut Bappenas, penerapan tata kepemerintahan yang baik di lingkungan pemerintahan tidak terlepas dari penerapan sistem manajemen kepemerintahan yang merupakan rangkaian hasil dari pelaksanaan fungsi‐fungsi manajemen (planning, organizing, actuating, dan controlling) yang dilaksanakan secara profesional dan konsisten. Penerapan sistem manajemen tersebut mampu menghasilkan kemitraan positif antara pemerintah, dunia usaha swasta, dan masyarakat. Dengan demikian, lingkungan instansi pemerintah diharapkan dapat memberikan pelayanan prima kepada masyarakat. Gambar 2.2 menjelaskan proses pengembangan nilai tambah berkelanjutan di antara tiga pilar tata kepemerintahan yang baik, yakni pemerintah, dunia usaha swasta, dan masyarakat. Kepercayaan, dukungan, dan legitimasi politik dari masyarakat akan diperoleh apabila pemerintah dapat menyediakan pelayanan publik yang memadai dan menjalankan fungsi perlindungan pada masyarakat. Di sisi lain pemerintah juga harus mampu menciptakan stabilitas politik, hukum, pertahanan dan keamanan, ekonomi, serta sosial dan budaya untuk mendorong peran dunia usaha swasta dalam pembangunan ekonomi. Dunia usaha swasta yang sehat akan menghasilkan kualitas layanan serta memberikan nilai tambah yang positif bagi masyarakat. Hal ini tentunya juga akan menghasilkan pertumbuhan kegiatan usaha yang tinggi sehingga dapat menumbuhkan loyalitas konsumen dan kontribusi keuntungan yang lebih besar dari masyarakat sebagai target pasar. Integrasi pengelolaan ketiga rantai nilai tersebut secara selaras akan menghasilkan nilai tambah bagi masyarakat.
12
2014 |Pusdiklatwas BPKP
Gambar 2.4 Membangun Nilai Tambah Berkelanjutan
D.
PRINSIP‐PRINSIP GOOD GOVERNANCE
Kunci utama untuk memahami good governance adalah pemahaman terhadap kaidah‐kaidah yang ada di dalamnya. Pengertian kaidah sendiri menurut Kamus Besar Bahasa Indonesia adalah rumusan asas yang menjadi hukum, aturan yang sudah pasti, patokan. Dengan demikian, prinsip berarti asas (kebenaran yang menjadi pokok dasar berpikir, bertindak, dan sebagainya). Bertolak dari prinsip‐prinsip ini akan didapatkan tolok ukur kinerja suatu pemerintahan. Baik‐buruknya pemerintahan bisa dinilai bila ia telah bersinggungan dengan semua unsur prinsip‐prinsip good governance.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
13
Menyadari pentingnya masalah ini dan dalam rangka mengembangkan strategi yang lebih implementatif, terdapat banyak karakteristik dan prinsip tentang good governance. Prinsip‐ prinsip good governance yang dikemukakan oleh UNDP adalah sebagai berikut: 1.
Partisipasi (Participation) Terdapat jaminan kesamaan hak bagi setiap individu dalam pengambilan keputusan (baik secara langsung maupun melalui lembaga perwakilan). Dalam kaitannya dengan partisipasi ini, terdapat tuntutan agar pemerintah meningkatkan fungsi kontrol terhadap manajemen pemerintah dan pembangunan dengan melibatkan organisasi non‐ pemerintah. Peran organisasi non‐pemerintah sangat penting dalam konteks ini karena diyakini organisasi ini memiliki kontak yang lebih baik dengan masyarakat miskin, memiliki hubungan yang baik dengan daerah pedalaman dan pedesaan, mampu menyediakan metode alternatif pelayanan publik dengan harga yang murah dan sebagai mediator dalam menyampaikan berbagai pandangan dan kebutuhan masyarakat.
2.
Penegakan Hukum (Rule of Law) Kerangka hukum harus adil dan diberlakukan tanpa pandang bulu, termasuk di dalamnya hukum‐hukum yang menyangkut hak asasi manusia.
3.
Transparansi (Transparency) Adanya kebebasan dan kemudahan dalam memperoleh informasi yang akurat dan memadai bagi mereka yang memerlukan. Informatif, mutakhir, dapat diandalkan, mudah diperoleh dan dimengerti adalah beberapa parameter yang digunakan untuk mengecek keberhasilan tranparansi.
4.
Daya Tanggap (Responsiveness) Dalam melaksanakan kepemerintahan semua institusi dan proses yang dilaksanakan pemerintah harus melayani semua stakeholders secara tepat, baik dan dalam waktu yang tepat (tanggap terhadap kemauan masyarakat).
14
2014 |Pusdiklatwas BPKP
5.
Orientasi pada Kesepakatan (Consensus Orientation) Tata pemerintahan yang baik menjembatani kepentingan‐kepentingan yang berbeda demi terbangunnya suatu konsensus menyeluruh dalam hal apa yang terbaik bagi kelompok‐ kelompok masyarakat, dan bila mungkin, konsensus dalam hal kebijakan‐kebijakan dan prosedur‐prosedur.
6.
Kesetaraan (Equity) Terdapat jaminan bagi masyarakat untuk mendapatkan pelayanan dan kesempatan yang sama dalam menjalankan kehidupannya. Sifat adil ini diperoleh dari aspek ekonomi, sosial dan politik. Adil ini juga berarti terdapat jaminan akan kesejahteraan masyarakat dimana semua masyarakat merasa bahwa mereka memiliki hak dan tidak merasa diasingkan dari kehidupan masyarakat.
7.
Efektivitas dan Efisiensi (Effectiveness and Efficiency) Proses‐proses pemerintahan dan lembaga‐lembaga membuahkan hasil sesuai kebutuhan warga masyarakat dan dengan menggunakan sumber‐sumber daya yang ada seoptimal mungkin.
8.
Akuntabilitas (Accountability) Semua pihak (baik pemerintah, swasta dan masyarakat) harus mampu memberikan pertanggungjawaban atas mandat yang diberikan kepadanya (stakeholders‐nya). Secara umum organisasi atau institusi harus akuntabel kepada mereka yang terpengaruh dengan keputusan atau aktivitas yang mereka lakukan.
9.
Visi Strategis (Strategic Vision) Para pemimpin dan masyarakat memiliki perspektif yang luas dan jauh ke depan atas tata pemerintahan yang baik dan pembangunan manusia, serta kepekaan akan apa saja yang dibutuhkan untuk mewujudkan perkembangan tersebut. Selain itu mereka juga harus memiliki pemahaman atas kompleksitas kesejarahan, budaya dan sosial yang menjadi dasar bagi perspektif tersebut.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
15
Berdasarkan konsep di atas, dapat dilihat bahwa good governance mempunyai tujuan yang lebih besar dari sekedar manajemen yang efisien dan penggunaan sumber daya yang ekonomis. Good governance adalah strategi untuk menciptakan institusi masyarakat yang kuat, dan juga untuk membuat pemerintah/publik sektor semakin terbuka, responsif, akuntabel dan demokratis. Di samping itu, konsep good governance jika dikembangkan akan menciptakan modern governance (baik good ‘national’ governance maupun good local governance) yang handal yang tidak hanya menekankan aktivitasnya dalam kerangka efisiensi tetapi juga akuntabilitasnya di mata publik. Yang tidak kalah pentingnya, penerapan good governance sangat berperan dalam pencegahan dan pemberantasan praktik‐praktik KKN. Hal ini berarti bahwa dengan adanya good governance maka penyalahgunaan fasilitas publik untuk kepentingan pribadi dapat dihindarkan semaksimal mungkin. Hal tersebut selaras dengan sasaran penciptaan tata kepemerintahan yang baik yaitu: 1.
berkurangnya secara nyata praktik korupsi kolusi dan nepotisme di birokrasi, yang dimulai dari jajaran pejabat yang paling atas;
2.
terciptanya sistem kelembagaan & ketatalaksanaan pemerintah yang efisien, efektif dan profesional transparan dan akuntabel;
3.
terhapusnya peraturan dan praktik yang bersifat diskriminatif terhadap warga negara;
4.
meningkatnya partisipasi masyarakat dalam pengambilan kebijakan publik;
5.
terjaminnya konsistensi seluruh peraturan pusat dan daerah
Penerapan good governance tidak hanya di tingkat institusi, misalnya pemerintah daerah dan kementerian/ lembaga namun harus dilaksanakan juga di tingkat unit kerja, misalnya organisasi APIP, dinas ataupun direktorat teknis.
16
2014 |Pusdiklatwas BPKP
Bab III MANAJEMEN RISIKO Indikator Keberhasilan Setelah mengikuti pemelajaran ini diharapkan peserta diklat mampu menjelaskan mengenai manajemen risiko
Aktivitas organisasi sektor publik dan bisnis senantiasa berubah dan berkembang seiring dengan perubahan di lingkungan internal dan eksternal organisasi. Perubahan di lingkungan internal biasanya dapat dikendalikan oleh manajemen. Sedangkan perubahan di lingkungan eksternal, seperti perubahan iklim demokrasi dan peraturan, berada di luar kontrol organisasi. Tuntutan perubahan dan peningkatan kapabilitas organisasi memunculkan risiko (risk) dan sekaligus peluang (opportunities) bagi organisasi. Risiko berkenaan dengan kemungkinan terjadinya kegagalan dan kerugian bagi organisasi. Risiko berskala rendah tidak mengkuatirkan bagi organisasi. Namun, risiko berskala besar dapat berdampak pada tidak tercapainya tujuan dan misi organisasi. Kegagalan tujuan dan misi bagi organisasi publik dapat mengakibatkan ketidakpercayaan (distrust) dari publik atas pelayanan yang diberikan. Dalam kondisi terjelek dan sebagaimana yang pernah terjadi, distrust dapat menyebabkan hilangnya organisasi yang bersangkutan. Manajemen risiko (risk management) menjadi kebutuhan yang strategis dan menentukan perbaikan kinerja dari organisasi. Risiko yang dikelola dengan optimal bahkan memunculkan berbagai peluang bagi organisasi yang bersangkutan. Manajemen risiko diperlukan untuk mengoptimalkan penggunaan sumber daya terbatas yang dimiliki organisasi. Pengalokasian sumber daya didasarkan pada prioritas risiko yang dimulai dari risiko skala tertinggi. Demikian pula, manajemen risiko yang ada perlu dievaluasi secara periodik melalui aktivitas pengendalian (internal control).
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
17
A.
RISIKO
1.
Pengertian Risiko Banyak definisi atau pengertian yang diberikan oleh para ahli mengenai risiko sesuai dengan disiplin keilmuan dan lingkup keahliannya. Risiko memiliki keterkaitan dengan ketidakpastian. Peraturan Pemerintah Nomor 60 Tahun 2008 menyatakan bahwa risiko adalah suatu kejadian yang mungkin terjadi dan apabila terjadi akan memberikan dampak negatif pada pencapaian tujuan instansi pemerintah. Menurut Badan Sertifikasi Manajemen Risiko (2007), definisi risiko adalah peluang terjadinya bencana, kerugian atau hasil yang buruk. Risiko terkait dengan situasi dimana hasil negatif dapat terjadi dan besar kecilnya kemungkinan terjadinya hasil tersebut dapat diperkirakan. Menurut Namee dan Salim (1998) dalam makalah “Risk Management, Changing the Auditor Paradigm”, pengertian risiko (risk) adalah: “Risk is a concept used to express uncertainty about events and/ or their outcomes that could have a material effect on the goals of the organizations.” Adapun definisi risiko menurut AS/NZS 4360:2004 adalah “the chance of something happening that will have an impact on objectives.” Sedangkan definisi risiko menurut Enterprise Risk Management ‐ COSO adalah “events with a negative impact represent risks, which can prevent value creation or erode existing value.” Kemungkinan terjadinya peristiwa
Yang membawa akibat yang tidak diinginkan
Tujuan Strategi Sasaran dan atau Target
Dari berbagai definisi tersebut, risiko selalu dihubungkan dengan kemungkinan terjadinya akibat buruk (kerugian) yang tidak diinginkan, atau tidak terduga. Dengan kata lain, risiko terdiri dari unsur‐unsur berikut ini. 18
2014 |Pusdiklatwas BPKP
•
Kemungkinan kejadian atau peristiwa
•
Dampak atau konsekuensi (jika terjadi, risiko akan membawa akibat atau konsekuensi)
•
Kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk probabilitas)
Contoh: “Risiko kebakaran akan berdampak kerugian material dan korban jiwa, dengan kemungkinan kejadian tinggi pada musim kemarau.” Semua unsur risiko terpenuhi: •
adanya kejadian atau peristiwa yang mungkin terjadi: risiko kebakaran;
•
adanya dampak: kerugian material dan korban jiwa;
•
adanya probabilitas/kemungkinan kejadian: potensi kejadian tinggi pada musim kemarau.
Risiko dapat terjadi pada pelayanan, kinerja, dan reputasi dari institusi yang bersangkutan. Risiko yang terjadi dapat disebabkan oleh berbagai faktor antara lain kejadian alam, operasional, manusia, politik, teknologi, pegawai, keuangan, hukum, dan manajemen dari organisasi. Suatu risiko yang terjadi dapat berasal dari risiko lainnya, dan dapat disebabkan oleh berbagai faktor. Risiko rendahnya kinerja suatu instansi berasal dari risiko rendahnya mutu pelayanan kepada publik. Risiko terakhir disebabkan oleh faktor‐faktor sumber daya manusia yang dimiliki organisasi dan operasional seperti keterbatan fasilitas kantor. Risiko yang terjadi akan berdampak pada tidak tercapainya misi dan tujuan dari instansi tersebut, dan timbulnya ketidakpercayaan dari publik. Risiko berbeda dengan masalah. Apabila salah satu dari ketiga unsur risiko tidak terpenuhi, maka suatu pernyataan tidak dapat dikategorikan sebagai risiko, melainkan suatu masalah. Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
19
Contoh: Koran Tempo, tanggal 20 Januari 2009 halaman 1 menyajikan sebuah berita yang bertajuk “Petaka 21.30”, sebagai berikut: “Sebuah ledakan besar mengawali terbakarnya tangki bahan bakar di Depo Unit Pemasaran dan Pembekalan Dalam Negeri III Plumpang, Jakarta, Ahad malam lalu sekitar pukul 21.30. Ledakan itu kemudian disusul lidah api yang menjilat tangki nomor 24 yang berisi 1.500 ‐ 2.000 kiloliter premium. Baru sepuluh jam kemudian api akhirnya padam. Seorang pegawai ditemukan tewas terbakar dan kerugian diperkirakan mencapai Rp15 miliar .... “ Pertanyaan: Risiko apa saja yang akan dihadapi Pertamina atas kejadian kebakaran tersebut? Untuk menjawabnya, harus dilakukan analisis terlebih dahulu terhadap pemenuhan unsur‐unsur risiko, sebagai berikut: Pertama
: Apakah terjadinya kebakaran di Depo Plumpang adalah sebuah kejadian? Jawabannya ya.
Kedua
: Apakah kebakaran tersebut merupakan kemungkinan? Tidak, karena sudah terjadi.
Ketiga
: Apakah terjadi kerugian? Ya.
Karena salah satu dari tiga kriteria yang ada mengenai risiko tidak terpenuhi, maka pernyataan tersebut tidak bisa dikategorikan sebagai risiko. Berkenaan dengan sektor publik yang menuntut transparansi dan peningkatan kinerja dengan dana yang terbatas, risiko yang dihadapi instansi pemerintah akan semakin bertambah dan meningkat. Oleh karenanya, pemahaman terhadap risiko menjadi suatu keharusan untuk dapat menentukan prioritas strategi dan program dalam pencapaian tujuan organisasi.
20
2014 |Pusdiklatwas BPKP
2.
Perilaku Organisasi terhadap Risiko a.
Risk Appetite Risk appetite (selera risiko) adalah suatu tingkatan dari sekelompok risiko dimana organisasi akan menerima dan dapat mengelola dalam suatu periode tertentu. Dengan kata lain, risk appetite adalah sejumlah risiko dalam organisasi yang akan diterima dalam rangka pencapaian misi atau visi. Hal itu mencerminkan sikap organisasi terhadap risiko dan akan mepengaruhi budaya dan gaya pengoperasian organisasi tersebut. Salah satu cara yang paling jitu ketika sebuah organisasi dapat menanamkan pertimbangan risiko ke dalam proses eksekusi strategi adalah melalui penyataan tertulis perihal risk appetite. Hal ini akan memberikan jaminan yang cukup kuat kepada stakeholders bahwa organisasi telah sangat paham dengan sejumlah risiko yang dihadapi dan risiko‐risiko tersebut berada dalam pengendalian yang tepat dan cermat. Bukan sekadar strategi sederhana menjadi seperangkat tujuan dan mendefinisikan key performance indicator (KPI), seperti pada pendekatan balanced scorecard, organisasi harus mengambil langkah tambahan: mengevaluasi tingkat risiko yang akan mereka ambil untuk mencapai tujuan mereka. Dengan mengambil langkah ini, organisasi‐organisasi telah berada pada proses pengembangan dari pendekatan terintegrasi dan selaras dengan pelaksanaan strategi yang menggabungkan risiko dan tata kelola organisasi. Risk appetite bisa dinyatakan secara kuantitatif dan kualitatif tergantung pada kualitas tingkat pengukuran risiko di suatu organisasi. Intinya, risk appetite harus mencerminkan strategi bisnis, ekspektasi dari stakeholders, sifat dan karakteristik risiko yang diambil, dan kemungkinan contagion dari situasi risiko tertentu lintas unit organisasi. Proses pendefinisian risk appetite ini tentu harus didahului dengan terdapatnya perangkat untuk menentukan profil risiko pada suatu organisasi untuk semua kategori risiko yang dianggap dapat berpengaruh pada pencapaian tujuan organisasi yang tercantum dalam pernyataan visi dan misi organisasi.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
21
b.
Risk Tolerance Risk tolerance ( toleransi risiko) sering digunakan bergantian dengan istilah ambang risiko atau limit risiko. Risk tolerance meliputi pemahaman tentang jenis risiko, cara menyikapi risiko, dan metode pengambilan risiko. Risk tolerance adalah batas pengambilan risiko yang dapat diterima dari variasi relatif pada pencapaian tujuan dalam tingkat toleransi yang diperkenankan dalam konteks organisasi secara keseluruhan. Suatu organisasi harus membuat ketentuan yang informatif tentang seberapa besar risiko dapat diterima (acceptable) sebagai bagian dari praktik manajemen organisasi yang wajar. Tingkat risiko yang dapat diterima tersebut dikenal sebagai risiko yang ditoleransi atau tingkat toleransi risiko. Toleransi terhadap risiko merupakan salah satu faktor yang mempengaruhi sikap pengambilan risiko, di samping faktor keterampilan kerja, pendidikan, intelegensi, lingkungan kerja, rasa aman, dan kemampuan dalam pengambilan keputusan. Contoh: Terhadap risiko “kebakaran di gedung kantor instansi”, instansi A berbeda risk appetite‐nya dibandingkan instansi B. instansi A: risk taker, lebih banyak mengalokasikan sumber daya yang dimilikinya untuk menghadapi risiko kebakaran setelah mempertimbangkan toleransi instansi tersebut terhadap risikonya. Misalnya akan lebih banyak memasang alat pemadam kebakaran di lingkungan kantornya, memasang petunjuk evakuasi, menyelenggarakan pelatihan simulasi situasi gawat darurat secara berkala, dan selalu mengecek kesiapan alat damkarnya. instansi B: risk avoidance, cenderung membatasi risiko kebakaran. Misalnya tidak memperbolehkan peralatan atau benda/material yang mudah menimbulkan kebakaran di lingkungan kantornya, pelarangan kegiatan yang dapat menimbulkan percikan atau yang menggunakan api.
22
2014 |Pusdiklatwas BPKP
3.
Klasifikasi Risiko Ada beberapa kategori risiko, tergantung dari sudut pandang kita melihatnya. a.
Risiko dari Sudut Pandang Penyebab Dilihat dari sebab terjadinya, ada dua macam risiko, yaitu: 1)
Risiko keuangan : Risiko yang disebabkan oleh faktor‐faktor keuangan.
2)
Risiko operasional : Risiko yang disebabkan oleh faktor‐faktor non keuangan, misalnya manusia, teknologi, sistem dan prosedur, dan alam.
b.
Risiko dari Sudut Pandang Akibat Dilihat dari akibat yang ditimbulkan, ada dua macam risiko, yaitu: 1)
Risiko murni
: Apabila suatu kejadian berakibat hanya merugikan dan tidak memungkinkan adanya keuntungan, misalnya terjadi kebakaran.
2)
Risiko spekulatif : Risiko yang tidak saja memungkinkan terjadinya kerugian tetapi juga memungkinkan terjadinya keuntungan, misalnya risiko melakukan investasi.
c.
Risiko dari Sudut Pandang Aktivitas Ada berbagai macam aktivitas yang dapat menimbulkan risiko, misalnya aktivitas pemberian kredit oleh bank, aktivitas pelayanan kepada masyarakat.
d.
Aktivitas dari Sudut Pandang Kejadian Risiko dilihat dari sudut pandang kejadiannya, misalnya risiko kebakaran.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
23
e.
Risiko dari Sudut Pandang Jenis Risiko Risiko dari sudut pandang jenis risikonya, mencakup:
f.
1)
Risiko teknologi
2)
Risiko keuangan/ ekonomi
3)
Risiko sumber daya manusia (kapasitas, hak intelektual)
4)
Risiko kesehatan
5)
Risiko politik
6)
Risiko hukum
7)
Risiko keamanan, dan lain‐lain.
Risiko dari Sudut Pandang Sumbernya Risiko dari sudut pandang sumbernya, meliputi: 1)
Risiko eksternal (politik, ekonomi, bencana alam)
2)
Risiko internal (reputasi, keamanan, manajemen, informasi untuk pengambilan keputusan)
g.
Risiko dari Sudut Pandang Penerima Risiko Risiko dari sudut pandang penerima risiko mencakup orang (human risk), risiko reputasi, hasil program, bangunan dan aset, lingkungan, peyananan dan lain lain.
h.
Risiko dari Sudut Pandang Tingkat Kemungkinan (Level/Status Risiko): 1)
Risiko rendah
2)
Risiko menengah
3)
Risiko tinggi
24
2014 |Pusdiklatwas BPKP
i.
j.
k.
Risiko dari Sudut Pandang Kemampuan Mengendalikan: 1)
Risiko yang dangat terkendali (highly controllable risk)
2)
Risiko yang kurang terkendali (low controllable risk)
3)
Risiko yang tidak atau sangat sulit dikendalikan (uncontrollable risk)
Risiko dari Sudut Pandang Hierarki Risiko: 1)
Risiko Strategis
2)
Risiko Program
3)
Risiko Proyek
4)
Risiko Operasional
Risiko dari Sudut Pandang Penetapan Tujuan Organisasi: 1)
Risiko Strategis, berhubungan dengan keselarasan dengan selera risiko
2)
Risiko Operasional, berhubungan dengan efektivitas dan efisiensi aktivitas operasi
3)
Risiko Pelaporan, berhubungan dengan keandalan dalam proses pengambilan keputusan
4)
Risiko Ketaatan, berhubungan dengan kesesuaian terhadap regulasi yang berlaku.
B.
MANAJEMEN RISIKO
1.
Pengertian Manajemen Risiko Risiko tidak tercapainya tujuan dan program organisasi tidak semata terjadi di sektor bisnis, namun juga di sektor publik. Oleh karena itu, instansi pemerintah perlu menyelenggarakan manajemen risiko. Definisi Manajemen Risiko menurut AS/NZ Standard 4360: 2004 adalah “the culture, processes, structures that are directed towards realizing potential opportunities whils
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
25
managing adverse effects.” Sedangkan menurut COSO, risk management (manajemen resiko) dapat diartikan sebagai “a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, manage risk to be within its risk appetite, and provide reasonable assurance regarding the achievement of entity objectives.” Definisi manajemen risiko di atas dapat dijabarkan lebih lanjut berdasarkan kata‐kata kunci sebagai berikut: •
On Going Process Manajemen risiko dilaksanakan secara terus menerus dan dimonitor secara berkala. Manajemen risiko bukanlah suatu kegiatan yang dilakukan sesekali (one time event).
•
Effected by People Manajemen risiko ditentukan oleh pihak‐pihak yang berada di lingkungan organisasi. Untuk lingkungan institusi pemerintah, Manajemen risiko dirumuskan oleh pimpinan dan pegawai institusi/ departemen yang bersangkutan.
•
Applied in Strategy Setting Manajemen risiko telah disusun sejak dari perumusan strategi organisasi oleh manajemen puncak organisasi. Dengan penggunaan manajemen risiko, strategi yang disiapkan disesuaikan dengan risiko yang dihadapi oleh masing‐masing bagian/unit dari organisasi.
•
Applied Across The Enterprise Strategi yang telah dipilih berdasarkan manajemen risiko diaplikasikan dalam kegiatan operasional, dan mencakup seluruh bagian/unit pada organisasi. Mengingat risiko masing‐masing bagian berbeda, maka penerapan manajemen risiko berdasarkan penentuan risiko oleh masing‐masing bagian.
26
2014 |Pusdiklatwas BPKP
•
Designed to Identify Potential Events Manajemen risiko dirancang untuk mengidentifikasi kejadian atau keadaan yang secara potensial menyebabkan terganggunya pencapaian tujuan organisasi.
•
Provide Reasonable Assurance Risiko yang dikelola dengan tepat dan wajar akan menyediakan jaminan bahwa kegiatan dan pelayanan oleh organisasi dapat berlangsung secara optimal.
•
Geared to Achieve Objectives Manajemen risiko diharapkan dapat menjadi pedoman bagi organisasi dalam mencapai tujuan yang telah ditentukan.
Manajemen risiko yang dilaksanakan secara efektif dan wajar dapat memberikan manfaat bagi organisasi, yakni: •
Membantu pencapaian tujuan organisasi.
•
Mencapai kesinambungan pemberian pelayanan kepada stakeholder, sehingga meningkatkan kualitas dan nilai organisasi.
•
Mencapai hasil yang lebih baik berupa efisiensi dan efektivitas pelayanan, seperti: meningkatkan pelayanan kepada publik dan atau meningkatkan penggunaan sumber daya yang lebih baik (masyarakat, informasi, dana, dan peralatan).
•
Memberikan dasar penyusunan rencana strategi sebagai hasil dari pertimbangan yang terstruktur terhadap unsur kunci risiko.
•
Menghindari biaya‐biaya yang mengejutkan, karena perusahaan mengidentifikasi dan mengelola risiko yang tidak diperlukan, termasuk menghindari biaya dan waktu yang dihabiskan dalam suatu perkara.
•
Menghindari pemborosan, dan membuka peluang bagi organisasi untuk memberikan pelayanan yang terbaik.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
27
•
Mencapai pengambilan keputusan yang terbuka dan berjalannya proses manajemen.
•
Meningkatkan akuntabilitas dan corporate governance.
•
Mengubah pandangan terhadap risiko menjadi lebih terbuka, ada toleransi terhadap kesalahan tapi tidak terhadap kekeliruan yang disembunyikan. Perubahan pandangan ini memungkinkan organisasi belajar dari kesalahan masa lalunya untuk terus memperbaiki kinerjanya.
•
Organisasi akan lebih fokus dalam melaksanakan kebijakan‐kebijakannya sehingga dapat meminimalkan ‘gangguan‐gangguan’ yang tidak dikehendaki.
Selain itu, agar manajemen rirsko dapat terlaksana secara efektif, suatu organisasi harus mengikuti prinsip‐prinsip dasar sebagai berikut: a.
Manajemen risiko menciptakan nilai tambah (creates value) Manajemen risiko berkontribusi terhadap pencapaian nyata objektif dan peningkatan, antara lain, kesehatan dan keselamatan manusia, kepatuhan terhadap hukum dan peraturan, penerimaan publik, perlindungan lingkungan, kinerja keuangan, kualitas produk, efisiensi operasi, serta tata kelola dan reputasi perusahaan.
b.
Manajemen risiko adalah bagian integral proses dalam organisasi (an integral part of organizational processes) Manajemen risiko adalah bagian tanggung jawab manajemen dan merupakan suatu bagian integral dalam proses normal organisasi seperti juga merupakan bagian dari seluruh proses proyek dan manajemen perubahan. Manajemen risiko bukanlah merupakan aktivitas yang berdiri sendiri yang terpisah dari aktivitas‐aktivitas utama dan proses dalam organisasi.
28
2014 |Pusdiklatwas BPKP
c.
Manajemen risiko adalah bagian dari pengambilan keputusan (part of decision making) Manajemen risiko membantu pengambil keputusan mengambil keputusan dengan informasi yang cukup. Manajemen risiko dapat membantu memprioritaskan tindakan dan membedakan berbagai pilihan alternatif tindakan. Pada akhirnya, manajemen risiko dapat membantu memutuskan apakah suatu risiko dapat diterima atau apakah suatu penanganan risiko telah memadai dan efektif.
d.
Manajemen risiko secara eksplisit menangani ketidakpastian (explicitly addresses uncertainty) Manajemen risiko menangani aspek‐aspek ketidakpastian dalam pengambilan keputusan, sifat alami dari ketidakpastian itu, dan bagaimana menanganinya.
e.
Manajemen risiko bersifat sistematis, terstruktur, dan tepat waktu (systematic, structured and timely) Suatu pendekatan sistematis, tepat waktu, dan terstruktur terhadap manajemen risiko memiliki kontribusi terhadap efisiensi dan hasil yang konsisten, dapat dibandingkan, serta andal.
f.
Manajemen risiko berdasarkan informasi terbaik yang tersedia (based on the best available information) Masukan untuk proses pengelolaan risiko didasarkan oleh sumber informasi seperti pengalaman, umpan balik, pengamatan, prakiraan, dan pertimbangan pakar. Meskipun demikian, pengambil keputusan harus terinformasi dan harus mempertimbangkan segala keterbatasan data atau model yang digunakan atau kemungkinan perbedaan pendapat antar pakar.
g.
Manajemen risiko dibuat sesuai kebutuhan (tailored) Manajemen risiko diselaraskan dengan konteks eksternal dan internal organisasi serta profil risikonya.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
29
h.
Manajemen risiko memperhitungkan faktor manusia dan budaya (takes human and cultural factors into account) Manajemen risiko organisasi mengakui kapabilitas, persepsi, dan tujuan pihak‐ pihak eksternal dan internal yang dapat mendukung atau malah menghambat pencapaian tujuan organisasi.
i.
Manajemen risiko bersifat transparan dan inklusif (transparent and inclusive) Pelibatan para pemangku kepentingan, terutama pengambil keputusan, dengan sesuai dan tepat waktu pada semua tingkatan organisasi, memastikan manajemen risiko tetap relevan dan mengikuti perkembangan. Pelibatan ini juga memungkinkan pemangku kepentingan untuk cukup terwakili dan diperhitungkan sudut pandangnya dalam menentukan kriteria risiko.
j.
Manajemen risiko bersifat dinamis, iteratif, dan responsif terhadap perubahan (dynamic, iterative and responsive to change) Seiring dengan timbulnya peristiwa internal dan eksternal, perubahan konteks dan pengetahuan, serta diterapkannya pemantauan dan peninjauan, risiko‐risiko baru bermunculan, sedangkan yang ada bisa berubah atau hilang. Karenanya, suatu organisasi harus memastikan bahwa manajemen risiko terus menerus memantau dan menanggapi perubahan.
k.
Manajemen risiko memfasilitasi perbaikan dan pengembangan berkelanjutan organisasi (facilitates continual improvement and enhancement of the organization) Organisasi harus mengembangkan dan mengimplementasikan strategi untuk memperbaiki kematangan manajemen risiko mereka bersama aspek‐aspek lain dalam organisasi mereka.
2.
Elemen Manajemen Risiko Pemahaman manajemen risiko memungkinkan manajemen untuk terlibat secara efektif dalam menghadapi ketidakpastian atas risiko dan peluang yang terkait dan meningkatkan kemampuan organisasi untuk memberikan nilai tambah. Ada beberapa kerangka
30
2014 |Pusdiklatwas BPKP
(framework) yang dikembangkan oleh beberapa pihak seperti oleh AS/NZS, COSO, CAS, dan terakhir yang dikeluarkan oleh ISO. Pada tahun 1995 sebuah task‐force mengembangkan The Australian and New Zealand Standard for risk management – AS/NZS 4360:1995. Standard ini kemudian disempurnakan pada tahun 1999 menjadi AS/NZS4360:1999, terakhir disempurnakan lagi pada tahun 2004 menjadi AS/NZS 4360:2004. Menurut AS/NZS, elemen‐elemen dalam manajemen risiko (Gambar 2.1) dapat dijelaskan sebagai berikut: a.
Komunikasi dan Konsultasi Proses komunikasi dan konsultasi bertujuan memperoleh informasi yang relevan serta mengkomunikasikan setiap tahapan proses manajemen risiko sehingga pihak‐ pihak yang terkait dapat menjalankan tanggungjawabnya dengan baik. Proses yang melekat pada seluruh proses manajemen risiko ini dilakukan dengan cara mengembangkan komunikasi dengan stakeholder internal maupun eksternal.
b.
Penetapan Konteks Penetapan konteks bertujuan untuk mengidentifikasi dan menganalisis organisasi sebagai lingkungan tempat manajemen risiko akan diterapkan. Dalam proses ini diidentifikasi pihak‐pihak yang paling berkepentingan dengan proses penerapan manajemen risiko, ruang lingkup dan tujuan proses, kondisi yang membatasi, serta hasil yang diharapkan dari penerapan manajemen risiko. Sebagai bagian dari penetapan konteks, disusunlah kriteria untuk menganalisis dan mengevaluasi risiko.
c.
Identifikasi Risiko Identifikasi risiko bertujuan untuk mengidentifikasi seluruh jenis risiko yang berpotensi menghalangi, menurunkan, atau menunda tercapainya sasaran Unit Pemilik Risiko yang ada dalam organisasi. Proses ini dilakukan dengan cara mengidentifikasi lokasi, waktu, sebab dan proses terjadinya peristiwa risiko yang dapat menghalangi, menurunkan, atau menunda tercapainya sasaran.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
31
d.
Analisis Risiko Analisis risiko bertujuan untuk mengetahui profil dan peta dari risiko‐risiko yang ada di organisasi dan akan digunakan dalam proses evaluasi dan strategi penanganan risiko. Proses analisis risiko dilakukan dengan cara mencermati sumber risiko dan tingkat pengendalian yang ada serta dilanjutkan dengan menilai risiko dari sisi konsekuensi dan kemungkinan terjadinya.
e.
Evaluasi Risiko Evaluasi risiko bertujuan untuk menetapkan prioritas risiko yang telah diidentifikasi dan dianalisis. Evaluasi risiko dilakukan agar para pengambil keputusan di organisasi bisa mempertimbangkan perlu tidaknya dilakukan penanganan risiko lebih lanjut serta prioritas penanganannya. pada langkah ini dilakukan pembandingan antara nilai patokan resiko yang ingin dicapai organisasi (lihat langkah 1) dengan nilai hasil perhitungan resiko yang dihasilkan langkah 3 di atas. Setelah itu dipilah‐pilah mana resiko yang masuk dalam kriteria organisasi dan mana yang tidak masuk kriteria.
f.
Penanganan Risiko Proses penanganan risiko bertujuan menentukan jenis penanganan yang efektif dan efisien untuk suatu risiko. Penanganan risiko dilakukan dengan mengidentifikasi berbagai opsi penanganan risiko yang tersedia dan memutuskan opsi penanganan risiko yang terbaik yang dilanjutkan dengan pengembangan rencana mitigasi risiko.
g.
Monitoring dan Review Monitoring dan review bertujuan mengantisipasi perubahan risiko yang bersifat mendadak dan persistent baik pada tingkat risiko maupun arah risiko yang berdampak negatif pada profil risiko. Proses monitoring dan review dilakukan dengan cara memantau efektivitas rencana penanganan risiko, strategi, dan sistem manajemen risiko.
32
2014 |Pusdiklatwas BPKP
Penetapan Konteks
Identifikasi Risiko
Analisis Risiko
Evaluasi Risiko
Penanganan Risiko
Komunikasi & Konsultansi
Monitor & Reviu
Analisis risiko
Evaluasi risiko
Monitoring dan reviu
Identifikasi risiko
Penilaian risiko
Komunikasi dan Konsultansi
Penetapan konteks
Penanganan risiko
Gambar 3.1 Elemen/Proses Manajemen Risiko
Secara detail akan dijelaskan di bawah ini. a.
Komunikasi dan Konsultasi Komunikasi dan konsultasi melekat di setiap tahap proses manajemen risiko. Komunikasi dan konsultasi harus melibatkan dialog dua arah dengan stakeholders, difokuskan pada konsultasi daripada dialog satu arah dari pembuat keputusan kepada stakeholders. Sangatlah penting untuk mengembangkan rencana komunikasi kepada stakeholders internal maupun eksternal di tahap awal proses manajemen risiko. Rencana tersebut harus mengakomodir hal yang berkaitan dengan risiko dan proses untuk mengelolanya. Komunikasi internal maupun eksternal yang efektif sangat penting untuk memastikan bahwa pihak‐pihak yang bertanggung jawab atas implementasi manajemen risiko mengerti terhadap dasar keputusan diambil dan mengapa kegiatan tertentu diperlukan. Stakeholders memiliki sudut pandang dan pendapat
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
33
yang sangat beragam. Untuk itu, perlu dipastikan bahwa komunikasi harus memperoleh informasi yang relevan. Di sisi konsultasi, adanya pendekatan mengenai tim konsultan akan membantu dalam penetapan konteks secara tepat, membantu memastikan bahwa risiko telah diidentifikasi secara efektif, memberi masukan dalam menganalisa dan mengevaluasi risiko dari berbagai sudut pandang keahlian. b.
Penetapan Konteks 1)
Gambaran umum Penetapan konteks adalah tahap penentuan parameter internal dan eksternal, lingkup kerja dan kriteria risiko. Penetapan konteks merupakan dasar/ pijakan bagi proses manajemen risiko selanjutnya. Perolehan gambaran menyeluruh dari parameter dasar; ruang lingkup, dan kerangka kerja, bertujuan untuk: mengidentifikasi lingkungan penerapan manajemen risiko; mengetahui dan menetapkan pihak yang paling berkepentingan (stakeholders utama) menetapkan ruang lingkup, tujuan, kondisi yang membatasi dan hasil yang diharapkan; dan menetapkan kriteria untuk menganalisis dan mengevaluasi risiko. Langkah‐langkah dalam penetapan konteks adalah:
2)
a)
menetapkan konteks eksternal‐internal,
b)
menetapkan konteks manajemen risiko, dan
c)
menetapkan kriteria penilaian risiko.
Penetapan konteks ekternal ‐ internal Dalam penetapan konteks eksternal, dilakukan analisis hubungan organisasi dan lingkungan eksternalnya seperti:
34
2014 |Pusdiklatwas BPKP
Lingkungan politik, ekonomi, sosial, budaya, hukum, teknologi, alam, dan lain‐lain. Persepsi dan nilai para pemangku kepentingan eksternal. Sedangkan penetapan konteks internal adalah untuk memastikan keselarasan manajemen risiko harus dengan budaya, proses dan struktur organisasi dengan mempertimbangkan: kapabilitas organisasi; sistem informasi dan komunikasi; struktur organisasi; kebijakan, sasaran, strategi; persepsi, nilai dan budaya organisasi; dan pemangku kepentingan internal. 3)
Penetapan konteks manajemen risiko Penetapan konteks manajemen risiko adalah untuk menentukan: sasaran, tujuan, strategi, dan kebijakan manajemen risiko; lingkup dan luas cakupan manajemen risiko; sumber daya yang diperlukan; jadwal waktu penyelesaian; dan dokumentasi dan catatan yang harus dibuat.
4)
Penetapan kriteria risiko Penetapan kriteria terkait risiko dapat dilakukan dengan mempertimbangkan kriteria operasional, teknis, keuangan, hukum, sosial, lingkungan, budaya dan kriteria lainnya, tergantung kebijakan internal, tujuan dan sasaran organisasi. Kerangka acuan bagaimana mengukur risiko adalah sebagai berikut:
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
35
a)
Tingkat Konsekuensi Risiko:
Kriteria
penilaian
timbulnya
risiko
akibat finansial,
hukum, politik, citra, dan lain‐ lain. b)
Tingkat Kemungkinan Terjadinya Risiko: Ukuran kemungkinan terjadinya risiko berdasarkan probabilitas, frekuensi
kejadian
maupun
expert judgement. c)
Level Risiko:
Menentukan
tingkat
risiko
untuk mengambil keputusan dilakukannya upaya penangan‐ an atau tidak. c.
Identifikasi Risiko Tahap identifikasi risiko merupakan tahap untuk mengenali seluruh aktivitas entitas, baik yang sedang maupun yang baru berjalan. Identifikasi risiko dilaksanakan dengan tujuan untuk mengenali faktor‐faktor risiko yang dapat menghambat pencapaian tujuan entitas, menyebabkan kerugian, dan bahkan merusak reputasi entitas tersebut. Tahap ini menetapkan apa, dimana, kapan, mengapa, dan bagaimana sesuatu dapat terjadi, sehingga dapat berdampak negatif terhadap pencapaian tujuan (4w + h). Identifikasi risiko secara menyeluruh yang ada di dalam entitas akan menghasilkan suatu daftar risiko (risk register). Seluruh risiko yang telah teridentifikasi kemudian dikelompokkan ke dalam kategori‐kategori tertentu seperti risiko strategis, risiko gangguan operasional, risiko finansial, risiko reputasi, risiko kepegawaian, dan lain‐ lain. Aktivitas identifikasi risiko merupakan tanggung jawab masing‐masing pemillik risiko (risk owner) untuk proses dan unit terkait. Tahap identifikasi atas risiko yang mengancam capaian tujuan organisasi dapat dilakukan dengan menggunakan beberapa teknik antara lain:
36
2014 |Pusdiklatwas BPKP
interviu
brainstorming
survei melalui internet
focus group discussion
review dokumen
pengalaman lalu
review target kinerja
praktik di lapangan
workshop yang difasilitasi
pengetahuan terbaru
analisis pohon bercabang
investigasi kasus
d.
Analisis Risiko Setelah merumuskan risiko, tahap selanjutnya adalah menganalisis risiko tersebut. Dalam melakukan analisis risiko, dapat menggunakan sumber yang memadai, antara lain: dokumen‐dokumen terdahulu
survei kepuasan publik
pengalaman yang relevan
eksperimen dan prototipe
praktik‐praktik terbaik yang pernah ada
pertimbangan dari ahli/pakar
literatur yang relevan
brainstorming
Dari beberapa macam metode analisis risiko tersebut, untuk efisiensi proses tahap awal penilaian risiko digunakan teknik brainstroming melalui workshop yang difasilitasi. Analisis risiko merupakan langkah untuk menentukan nilai dari suatu risiko yang telah diidentifikasi dengan mengukur nilai kemungkinan dan dampaknya. Berdasarkan hasil penilaian tersebut, suatu risiko dapat ditentukan tingkat dan status risikonya sehingga dapat dihasilkan suatu informasi untuk menciptakan desain pengendaliannya. Secara sederhana, level risiko dihitung dengan rumus berikut.
Level Risiko = Kemungkinan x Dampak Pengukuran risiko akan dilihat dari dua perspektif yaitu kemungkinan keterjadian (likelihood) dan besarnya pengaruh/ dampak risiko terhadap entitas (impact). Risiko dinilai dengan mengacu kepada tabel kriteria yang terkait dengan likelihood maupun impact. Kriteria sebagai acuan penilaian dimaksud akan terus berkembang dan
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
37
berubah untuk disesuaikan dengan perkembangan aktivitas entitas dan perubahan risk appetite entitas. Hasil penilaian keseluruhan risiko tersebut kemudian dipetakan ke dalam Peta Risiko (Risk Map). Peta risiko merupakan penggambaran secara visual tingkat masing‐masing individual risiko yang telah teridentifikasi dengan diberi warna‐warna menurut tinggi rendahnya. Risiko‐risiko yang sangat tinggi (very high) diindikasikan dengan warna merah dan masuk dalam kategori risiko yang memerlukan perhatian manajemen. Risiko‐risiko ini memerlukan perhatian segera dari manajemen karena membutuhkan mitigasi/ rencana aksi yang segera untuk dapat mengurangi besarnya pengaruh dampak dan/atau kemungkinan keterjadian risiko tersebut. Risiko‐risiko tinggi (high) dan menengah (medium) secara berturut‐turut diindikasikan dengan warna oranye dan kuning. Risiko‐ risiko yang masuk dalam kwadran tinggi dan medium (oranye dan kuning), bersama‐sama dengan risiko‐ risiko dengan katagori sangat tinggi merupakan risiko organisasi yang harus menjadi pertimbangan Internal Audit dalam menentukan fokus dan Rencana Kerja Internal Audit. Risiko‐risiko rendah (low) dan sangat rendah (very low) diindikasikan dengan warna biru dan hijau. Risiko‐risiko ini harus dikelola melalui tindakan pemantauan (monitoring) untuk meyakinkan dampak dan kemungkinan tetap berada di kwadran rendah dan sangat rendah, atau dapat dikurangi ke tingkat minimum secara ideal. Dalam melakukan analisis dampak dan probabilitas dari suatu risiko dapat menggunakan skala yang umumnya menggunakan skala 3, skala 4, skala 5. Unit organisasi dapat menggunakan ukuran tersebut sesuai dengan kondisi masing‐ masing. Berdasarkan praktik percontohan yang dilakukan di beberapa K/L/Pemda, skala risiko yang digunakan adalah skala 4, dengan pertimbangan untuk menghindari peserta memilih angka/ukuran yang di tengah. Apabila skala 4 yang dipakai, maka contoh penilaian atas dampak dan kemungkinan dapat diuraikan sebagai berikut.
38
2014 |Pusdiklatwas BPKP
No.
Dampak
1
Sangat Rendah
2
Rendah
3
Besar
4
Sangat Besar
Uraian Pengaruh terhadap capaian tujuan sangat rendah Pengaruh terhadap capaian tujuan rendah Pengaruh terhadap capaian tujuan besar Pengaruh terhadap capaian tujuan sangat besar
Tabel 3.1 Skala Dampak Risiko
No.
Kemungkinan
Uraian
1
Sangat Jarang
2
Jarang
Mungkin terjadi tetapi tidak sering
3
Sering
Mungkin terjadi dan kejadiannya cukup banyak
4
Sangat Sering
Hampir tidak pernah terjadi
Dapat terjadi dan kejadiannya sangat banyak Tabel 3.2 Skala Kemungkinan Terjadi Risiko
Penentuan ukuran atas dampak dan kemungkinan secara kuantitas dapat ditentukan oleh tiap unit organisasi sesuai kebijakan masing‐masing. Besarnya dampak atau kemungkinan tiap unit organisasi mungkin berbeda satu sama lain. Kejadian atas risiko sebanyak 2 kali dalam sebulan mungkin masih dianggap jarang bagi suatu unit organisasi, sementara bagi unit organisasi lainnya bisa dianggap sering. Hasil dari analisis risiko adalah profil dan peta dari risiko‐risiko yang ada. Setelah menilai risiko terkait dengan dampak dan probabilitas terhadap masing‐masing risiko, proses selanjutnya adalah melakukan prioritas risiko berdasarkan status risiko dari perkalian dampak dan probabilitas atau dengan melihat peta risikonya. Contoh peta risiko dapat dilihat pada gambar berikut.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
39
Gambar 3.2 Peta Risiko
Pada gambar diatas terdapat peta status risiko, yang terdiri dari 4 (empat) tingkatan, yaitu: Tingkat I adalah status risiko sangat rendah Tingkat II adalah status risiko rendah Tingkat III adalah status risiko tinggi Tingkat IV adalah status risiko sangat tinggi Status risiko menunjukkan prioritas risiko yang akan ditangani. Semakin tinggi status risiko, maka penanganannya harus diprioritaskan. Demikian juga sebaliknya, semakin rendah status risikonya, maka penanganan atas risiko tersebut bukan menjadi prioritas utama, bahkan dapat diabaikan. Hal ini terkait dengan biaya dan manfaat suatu pengendalian yang akan dibangun. Biaya yang dikeluarkan untuk melaksanakan pengendalian tersebut adalah sesuai dengan manfaat yang diterima oleh suatu organisasi.
40
2014 |Pusdiklatwas BPKP
Dalam menetapkan skala risiko biasanya menggunakan beberapa jenis skala yaitu skala 3, skala 4, dan skala 5. Penetapan skala tersebut adalah tergantung dari kebijakan pimpinan unit organisasi. Semakin tinggi skala risiko yang digunakan, maka akan semakin banyak pilihan pengendalian yang akan digunakan. e.
Evaluasi Risiko Berdasarkan hasil analisis risiko, dilakukan evaluasi risiko yang bertujuan untuk: Mengetahui risiko yang memiliki tingkat prioritas tertinggi hingga terendah Menentukan risiko mana yang ditindaklanjuti dengan penanganan dan risiko mana saja yang hanya perlu dipantau Pada tahap ini dilakukan penilaian setiap level risiko ke dalam urutan prioritas risiko, yang akan menjadi dasar bagi kegiatan mitigasi risiko. Evaluasi harus mempertimbangkan selera risiko yang telah ditetapkan organisasi pada tahap penetapan konteks. Prioritas dapat didasarkan pada level risiko atau hal lain seperti: Besarnya dampak penanganan tersebut terhadap konteks yang lebih luas Kemungkinan suatu peristiwa tertentu Efek kumulatif dari beberapa peristiwa Tingkat ketidakpastian level risiko pada tingkat keyakinan tertentu
f.
Penanganan Risiko Tujuan penanganan risiko adalah untuk menentukan jenis penanganan yang efektif dan efisien untuk suatu risiko. Penanganan risiko melibatkan pemilihan cara‐cara untuk penanganan risiko, memperkirakan cara‐cara tersebut beserta persiapan serta rencana penerapannya. Titik awal dari identifikasi cara‐cara penanganan risiko seringkali merupakan peninjauan kembali panduan penanganan risiko jenis tertentu, yang sudah ada. Beberapa konsep penting terkait penanganan risiko sebagai berikut.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
41
Menggunakan
pemahaman
mendalam,
pendekatan
sistematis
dan
komprehensif antara lain: risiko‐risiko yang perlu mendapatkan penanganan; prioritas penanganannya; dan besarnya dampak penanganan tersebut terhadap konteks yang lebih luas; Mempertimbangkan Cost and Benefit Analysis; Penanganan risiko diarahkan pada penanganan akar permasalahan (root cause) dan bukan hanya gejala permasalahan. Proses penanganan risiko dapat dijelaskan sebagai berikut. 1)
Identifikasi opsi penanganan Beberapa opsi dalam penanganan risiko adalah sebagai berikut. Menghindari risiko, yaitu memutuskan untuk tidak memulai atau meneruskan satu aktivitas yang meningkatkan risiko. Menerima risiko,yaitu memutuskan untuk tidak melakukan langkah mitigasi risiko. Mengurangi konsekuensi risiko, yaitu mengurangi potensi kerugian dari dampak yang dihasilkan melalui penanganan dampak risiko (risiko telah terjadi). Mengurangi frekuensi risiko, yaitu mengurangi frekuensi terjadinya risiko melalui langkah‐langkah preventif. Membagi risiko, yaitu melibatkan pihak lain atau mengalihkan sebagian risiko kepada pihak lain, umumnya dengan suatu hubungan timbal balik yang disepakati.
2)
Evaluasi opsi penanganan Evaluasi dilakukan untuk menilai kelebihan dan kekurangan setiap opsi yang mungkin untuk diterapkan, dengan mempertimbangkan:
42
2014 |Pusdiklatwas BPKP
opsi yang dipilih harus kompatibel dengan seluruh tujuan organisasi dan kriteria evaluasi risiko; unsur kepraktisan dan kelangsungannya; biaya dan kemungkinan penerapan langkah penanganan risiko. 3)
Pemilihan opsi penanganan Tujuannya adalah untuk memutuskan opsi penanganan risiko yang diambil sebagai langkah mitigasi risiko. Dasar pemilihan adalah: keuntungan penanganan risiko; biaya yang dikeluarkan; periode waktu pelaksanaan; ketidakmenentuan kondisi di masa yang akan datang; pengharapan (ekspektasi) sosial; adanya penolakan penanganan risiko, baik oleh personil atau oleh organisasi.
4)
Penyiapan rencana penanganan Tujuannya adalah untuk meningkatkan kesuksesan langkah penanganan risiko dan mengontrol langkah aksi penanganan risiko. Rencana penanganan risiko seharusnya: mengidentifikasikan tanggung jawab, jadwal, outcome yang diharapkan, anggaran dana, pengukuran kinerja dan proses review yang harus dijalankan; mencakup mekanisme untuk menilai dan memonitor efektivitas langkah penanganan risiko;
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
43
mendokumentasikan bagaimana secara praktisnya opsi yang dipilih itu akan diimplementasikan. 5)
Implementasi penanganan risiko Tujuannya untuk mengimplementasikan rencana penanganan risiko sehingga risiko residual sesuai dengan yang diharapkan. Implementasi penanganan risiko seharusnya: memastikan penanggung jawab, jadwal, outcome yang diharapkan, anggaran dana, pengukuran kinerja dan proses review telah berjalan sesuai dengan rencana; mencakup mekanisme untuk menilai dan memonitor efektivitas langkah penanganan risiko; mendokumentasikan hasil dan hambatan serta jalan keluar dalam implementasi penanganan risiko.
6)
Penilaian risiko residual Risiko residual adalah risiko yang tetap ada setelah opsi penanganan risiko diputuskan dan rencana penanganan risiko telah diimplementasikan. Risiko residual seharusnya terdokumentasikan dan senantiasa dimonitor dan di‐ review.
g.
Monitoring dan Review Monitoring merupakan pengamatan terus menerus terhadap kinerja yang sebenarnya dibandingkan kinerja yang diharapkan. Sedangkan review merupakan pemeriksaan periodik terhadap kondisi terkini dan biasanya terfokus pada hal tertentu. Monitoring dan review amat penting dalam proses manajemen risiko. Monitoring dan review dilakukan terhadap risiko itu sendiri, efektivitas penanganan risiko, perencanaan manajemen risiko, dan sistem manajemen risiko secara keseluruhan. Ketika terjadi perubahan organisasi atau terdapat faktor eksternal yang berubah, unit kerja pemilik risiko juga akan mengalami perubahan dalam hal
44
2014 |Pusdiklatwas BPKP
konteks organisasi (seperti tujuan, atau kriteria risiko), risiko dan level risiko, dan efektivitas penanganan risiko. Tujuan monitoring dan review adalah: 1)
Memastikan langkah penanganan risiko benar‐benar dilaksanakan sesuai dengan rencana;
2)
Mengantisipasi adanya perubahan risiko yang bersifat mendadak yang dapat berpengaruh pada profil risiko;
3)
Mengetahui kondisi akhir dari profil risiko dalam satu unit kerja;
4)
Mengetahui adanya penyimpangan atau perbedaan antara harapan dengan kenyataan atas proses manajemen risiko;
5)
Menentukan langkah selanjutnya yang diperlukan, terkait dengan proses manajemen risiko.
C.
DOKUMENTASI MANAJEMEN RISIKO
Masing‐masing tahap proses manajemen risiko harus didokumentasikan secara layak. Dokumentasi harus meliputi asumsi, metode, sumber data, analisis, hasil serta alasan pengambilan keputusan. Alasan untuk pendokumentasian adalah sebagai berikut: 1.
Menggambarkan proses manajemen risiko yang dilaksanakan telah berjalan dengan tepat.
2.
Memberikan masukan data dan informasi untuk proses identifikasi dan analisis risiko.
3.
Menyediakan daftar risiko yang ada dan mengembangkan database organisasi.
4.
Menyediakan informasi untuk proses pengambilan keputusan yang relevan dengan rencana dan pelaksanaan manajemen risiko.
5.
Menyediakan informasi untuk mekanisme tanggung gugat dan peralatan.
6.
Memfasilitasi pengawasan dan review yang berkelanjutan.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
45
7.
Menyediakan informasi yang diperlukan untuk uji coba audit, dan
8.
Mensosialisasikan dan mengkomunikasikan informasi yang berhubungan dengan manajemen risiko.
Dari setiap tahap manajemen risiko di atas, contoh dokumentasi hasil setiap tahap adalah: Proses Menetapkan konteks
Dokumen Terkait 1) Kebijakan /Piagam Manajemen Risiko 2) Kriteria Evaluasi Risiko
Mengidentifikasi risiko dan melakukan asesmen risiko (menganalisis dan mengevaluasi risiko)
1) Daftar Hasil Identifikasi Risiko
Memberi tanggapan dan perlakuan atas risiko
Daftar Rencana Tindakan/Mitigasi Risiko (Tanggapan dan Perlakuan)
2) Matriks Analisis Risiko 3) Asumsi, Metode dan Sumber Data yang Digunakan
Memantau dan mengkaji‐ulang serta 1) Daftar Hasil Monitoring Risiko melakukan komunikasi dan 2) Laporan Status dan Kemajuan serta Rekomendasi konsultansi Penyempurnaan atau Laporan Hasil Monev 3) Catatan Komunikasi dan Konsultansi Dalam membangun budaya peduli risiko, terdapat beberapa hambatan dalam menerapkan manajemen risiko, diantaranya: •
Risiko pada sektor publik seringkali masih dipandang sebagai sesuatu yang negatif, jadi jika ditampilkan dikhawatirkan akan memberi kesan buruk. Padahal, jika risiko tersebut benar terjadi, maka dampaknya bisa jadi lebih buruk.
•
Risiko dipandang sebagai sumber pemborosan biaya. Meskipun pada umumnya pimpinan instansi menyadari bahwa biaya/kerugian yang timbul akibat kegagalan dalam mengatasi/memitigasi risiko yang harus ditanggung mungkin lebih besar.
•
Daya tarik terhadap potensi untuk melakukan penyimpangan yang menjurus kepada perbuatan fraud dianggap lebih memberikan keuntungan yang besar, sehingga mereka cenderung mengabaikan peringatan terhadap dampak risiko. Contohnya adalah risiko
46
2014 |Pusdiklatwas BPKP
penunjukkan langsung dalam pemilihan penyedia barang dan jasa mempunyai risiko terjadinya kecurangan yang tinggi, namun justru cara penunjukkan langsung banyak dipilih oleh pembuat keputusan. •
Tata Kelola Pemerintahan yang lemah, karena control dari unit pengawasan baik internal maupun eksternal masih sangat lemah dan mudah dikompromikan.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
47
48
2014 |Pusdiklatwas BPKP
Bab IV PENGENDALIAN INTERN Indikator Keberhasilan Setelah mengikuti pemelajaran ini diharapkan peserta diklat memiliki pengetahuan mengenai pengendalian intern organisasi.
Banyaknya permasalahan yang terjadi dalam penyelenggaraan pemerintahan menjadi isu penting yang harus segera diselesaikan. Untuk itu, dituntut adanya penyelenggaraan pemerintahan yang yang transparan, akuntabel, dan terukur serta menjalankan prinsip‐prinsip good governance. Untuk mewujudkannya diperlukan suatu sistem pengendalian intern yang dapat memberikan keyakinan yang memadai atas tercapainya tujuan organisasi secara efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan perundang‐undangan yang berlaku. Sistem pengendalian intern lebih dahulu berkembang pesat di sektor swasta atau korporasi. Selanjutnya, mengingat pentingnya sistem pengendalian tersebut bagi sektor publik, konsep pengendalian sektor korporasi ini kemudian diadopsi untuk diterapkan di sektor publik.
A.
DEFINISI DAN TUJUAN PENGENDALIAN INTERN
Perkembangan sistem pengendalian intern sektor publik dipengaruhi oleh perkembangan di sektor korporasi. Tahun 1992, The Committee of Sponsoring Organizations of the Treadway Commission (COSO), grup studi yang populer dengan nama COSO, pada September 1992 menyampaikan laporan dengan judul “Internal Control – Integrated Framework”. COSO adalah suatu komisi yang bertujuan merumuskan Pengendalian Intern secara lebih mendalam dan beranggotakan wakil‐wakil dari Financial Executives Institute, AICPA, American Accounting Associations, The Institute of Internal Auditors, dan Institute of Management Accountants. Dengan mengacu pada sistem pengendalian intern yang dikembangkan COSO tersebut, untuk sektor publik, General Accounting Office (GAO) pada tahun 1999 mendefinisikan pengendalian intern sebagai berikut:
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
49
“Internal Control : a process, affected by an entity’s board of directors, management, and other personil, designed to provide reasonable assurance regarding the improvement of objectives in the following categories: Effectiveness and efficiency of operation, Reliability of financial reporting, Compliance with applicable laws and regulations” Yang dapat diterjemahkan sebagai berikut: Pengendalian intern merupakan suatu proses, yang dipengaruhi oleh dewan komisaris suatu entitas, manajemen, dan personil lainnya, dirancang untuk menyediakan keyakinan yang memadai berkaitan dengan pencapaian tujuan dalam berbagai kategori: Efektivitas dan efisiensi kegiatan Keandalan pelaporan keuangan Ketaatan pada peraturan dan ketentuan yang berlaku Pada tahun 2001, International Organization of Supreme Audit Instituitions (INTOSAI) membuat exposure draft yang berjudul "Guidelines for Internal Control Standards for the Public Sector", yakni penerapan konsep pengendalian intern untuk sektor publik. Menurut INTOSAI Internal Control Standards Committee, dalam Guidelines for Internal Control Standards for the Public Sector, Budapest 2004, sistem pengendalian intern didefinisikan sebagai : "An integral process that effected by an entity's management and personnel and is designed to address risk and to provide reasonable assurance that in pursuit of the entity's mission, the following general objectives are being achieved: 1) Executing orderly, ethical, economical, efficient and effective operations ; 2) Fulfilling accountability obligations; 3) Complying applicable laws and regulations ; and 4) Safeguarding resources againts loss, misuse and damage." Selanjutnya, Institute of Internal Auditors (IIA) mendefinisikan internal control sebagai "Any action taken by management, the board, and other parties to enhance risk management and increase the likelihood that established objectives and goals will be achieved. Management plans, organizes, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved " Pengendalian intern dibangun untuk mencapai tujuan organisasi melalui pemanfaatan seluruh sumber daya secara ekonomis, efisien, efektif dan sesuai dengan ketentuan yang berlaku. Pada prinsipnya fungsi pengendalian internal bertujuan untuk mengidentifikasi terjadinya deviasi
50
2014 |Pusdiklatwas BPKP
atau penyimpangan atas pelaksanaan kegiatan dibandingkan dengan rencana yang telah ditetapkan, sehingga dapat dilakukan tindakan koreksi oleh pihak manajemen. Pengendalian intern dapat mencakup pengendalian yang bersifat preventif yaitu berupa perancangan suatu sistem pengendalian, ataupun detektif untuk mengatasi penyimpangan yang sudah terjadi. Dari pengertian pengendalian intern yang diberikan oleh Committee of sponsoring Organizations of the Treadway Commission (COSO) dapat disimpulkan bahwa dengan adanya pengendalian intern diharapkan: 1.
Suatu organisasi sebagai suatu entitas dapat mencapai tujuan organisasi dengan efektif dan efisien.
2.
Laporan keuangan dapat diandalkan.
3.
Organisasi taat terhadap peraturan perundang‐undangan yang berlaku.
Di lain pihak, Institute of Internal Auditor (IIA), merinci tujuan dan sasaran pengendalian, yaitu untuk memperoleh jaminan yang memadai bahwa: 1.
Informasi keuangan dan operasional layak dipercaya.
2.
Seluruh transaksi atau kegiatan, dilaksanakan berdasarkan ketaatan terhadap kebijakan, rencana, prosedur, dan peraturan perundang‐undangan yang berlaku.
3.
Terselenggaranya pengamanan aset dengan baik.
4.
Penggunaan sumber daya dilakukan secara ekonomis.
5.
Kegiatan operasional telah ditangani sesuai rencana dan hasilnya telah sesuai dengan tujuan dan sasaran yang telah ditetapkan.
Terkait sektor pemerintahan di Indonesia, pendekatan terkini dari sistem pengendalian intern adalah Sistem Pengendalian Intern Pemerintah (SPIP) yang didasarkan pada Peraturan Pemerintah Nomor 60 Tahun 2008. Pengertian Sistem Pengendalian Intern menurut PP Nomor 60 Tahun 2008 tentang SPIP adalah: "Proses yang integral pada tindakan dan kegiatan yang dilakukan secara terus menerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas tercapainya tujuan organisasi melalui kegiatan yang efektif dan efisien, keandalan
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
51
pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan perundang‐undangan." Tujuan SPIP adalah memberikan keyakinan memadai atas tercapainya tujuan organisasi melalui: 1.
kegiatan yang efektif dan efisien;
2.
laporan keuangan yang dapat diandalkan;
3.
pengamanan aset negara; serta
4.
ketaatan terhadap peraturan perundang‐undangan.
Keempat tujuan tersebut di atas tidak perlu dicapai secara khusus atau terpisah‐pisah. Dengan kata lain, instansi pemerintah tidak harus merancang secara khusus pengendalian untuk mencapai satu tujuan. Suatu kebijakan atau prosedur dapat saja dikembangkan untuk dapat mencapai lebih dari satu tujuan pengendalian. Menurut SPIP, terdapat lima unsur yang menjadi substansi dari sistem pengendalian, yakni: Lingkungan Pengendalian, Penilaian Risiko, Aktivitas Pengendalian, Informasi dan Komunikasi, serta Pemantauan Pengendalian Intern. Kelima unsur sistem pengendalian intern merupakan komponen yang terjalin erat satu dengan yang lainnya dengan komponen lingkungan pengendalian sebagai fondasinya. Unsur lingkungan pengendalian memiliki dampak yang sangat kuat terhadap struktur kegiatan, penetapan tujuan dan penilaian risiko. Lingkungan pengendalian juga mempengaruhi kegiatan pengendalian, sistem informasi dan komunikasi, dan pemantauan pengendalian intern. Gambar kubus di bawah ini menjelaskan bahwa semua unsur pengendalian disusun dengan urutan kronologisnya yang bertujuan (kubus paling atas) untuk memperoleh kegiatan operasi yang efisien dan efektif, pengamanan aset, pelaporan keuangan yang dapat diandalkan, dan ketaatan kepada peraturan dan ketentuan yang berlaku. Sedangkan sisi kanan kubus menjelaskan bahwa implementasi kelima unsur pengendalian tersebut dapat diterapkan untuk aktivitas unit atau kegiatan tertentu. Hubungan kelima unsur dapat digambarkan sebagai berikut.
52
2014 |Pusdiklatwas BPKP
Gambar 4.1 Sistem Pengendalian Intern Pemerintah
Penjelasan yang lebih rinci dari masing‐masing unsur SPIP disampaikan pada sub bab berikut.
B.
UNSUR PENGENDALIAN INTERN
COSO memberikan suatu kerangka kerja pengendalian intern secara umum, yang didesain untuk memuaskan kebutuhan semua kelompok yang berhubungan dengan sistem pengendalian intern, yaitu manajemen entitas, auditor ekstern dan intern, manajemen keuangan, akuntan manajemen, dan pemegang otoritas (pasar modal). Tujuan sistem pengendalian intern menjadi luas, mencakup tidak hanya untuk menjamin keandalan pelaporan keuangan, tetapi juga untuk efektivitas dan efesiensi operasi, serta kepatuhan terhadap hukum dan peraturan yang berlaku. COSO merumuskan 5 unsur utama pengendalian intern yang saling berkaitan, yaitu: 1.
Lingkungan pengendalian (control environment)
2.
Penilaian risiko (risk assessment)
3.
Aktivitas pengendalian (control activities)
4.
Informasi dan komunikasi (information and communication)
5.
Pemantauan (monitoring)
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
53
Menurut COSO, unsur‐unsur tersebut bersumber dari cara manajemen (pimpinan) menyelenggarakan tugasnya dan oleh karena itu unsur ini menyatu (built in) dan terjalin (permeatted) dalam proses bisnis. Konsep COSO tersebut kemudian diadopsi dalam PP Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP), dengan penjelasan masing‐masing unsur pengendalian intern adalah sebagai berikut: 1.
Lingkungan Pengendalian PP Nomor 60 Tahun 2008 mewajibkan pimpinan instansi pemerintah untuk menciptakan dan memelihara lingkungan pengendalian yang menimbulkan perilaku positif dan kondusif untuk penerapan sistem pengendalian intern dalam lingkungan kerjanya. Hal ini merupakan komponen yang sangat penting dan menjadi unsur dasar di dalam SPIP. Kemampuan pimpinan untuk menciptakan dan memelihara lingkungan kerja yang kondusif akan menjadi motivasi kuat bagi para pegawai untuk memberikan yang terbaik dalam pelaksanaan pekerjaannya. Sebaliknya, pimpinan yang tidak/kurang kompeten dalam menciptakan lingkungan yang positif akan berpotensi mempengaruhi pegawai untuk melakukan hal‐hal negatif yang dapat merugikan instansinya. Untuk menciptakan lingkungan pengendalian seperti dimaksud PP tersebut, pimpinan instansi dapat menerapkannya melalui sub unsur‐sub unsur lingkungan pengendalian sebagai berikut: a.
Penegakan integritas dan nilai etika;
b.
Komitmen terhadap kompetensi;
c.
Kepemimpinan yang kondusif;
d.
Pembentukan struktur organisasi yang sesuai dengan kebutuhan;
e.
Pendelegasian wewenang dan tanggung jawab yang tepat;
f.
Penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya manusia;
54
g.
Perwujudan peran aparat pengawasan intern pemerintah yang efektif; dan
h.
Hubungan kerja yang baik dengan Instansi Pemerintah terkait.
2014 |Pusdiklatwas BPKP
2.
Penilaian Risiko Tahap penilaian risiko (risk assessment) merupakan tahap awal dalam pembangunan infrastruktur pengendalian. Melalui penilaian risiko dapat diketahui risiko yang dihadapi unit kerja, untuk kemudian ditetapkan kebijakan respon terhadap risiko (mitigate, avoid, transfer, share), serta kegiatan pengendalian yang diperlukan. Risiko diidentifikasi pada konteks terkait tujuan entitas maupun aktivitas. Agar risiko tersebut dapat diidentifikasi dengan baik, maka perlu terlebih dahulu dipahami proses bisnis/kegiatan organisasi. Penilaian risiko terdiri dari empat sub unsur yaitu: a.
Penetapan Tujuan Instansi Identifikasi risiko dimulai dengan penetapan konteks/tujuan organisasi yang jelas dan konsisten, Penetapan konteks dilakukan dengan menjabarkan latar belakang, ruang lingkup, tujuan dan hubungan organisasi dengan lingkungan eksternal dan internal. Oleh karena itu, sebelum melakukan penilaian risiko, organisasi perlu melakukan analisis lingkungan internal dan eksternal yang dapat menimbulkan risiko dan mempengaruhi pencapaian tujuan organisasi.
b.
Penetapan Tujuan Kegiatan Penetapan konteks/tujuan secara jelas dan konsisten juga dilakukan di tingkat kegiatan/aktivitas.
c.
Identifikasi Risiko Sebelum identifikasi risiko, kriteria evaluasi dan struktur analisis risiko perlu ditetapkan dalam rangka menentukan strategi aktivitas yang konsisten dan strategi manajemen terintegrasi dengan rencana penilaian risiko. Strategi aktivitas diperlukan untuk menentukan kriteria evaluasi mana yang akan dianalisis sesuai dengan struktur analisis Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan bagaimana sesuatu dapat terjadi, sehingga dapat berdampak negatif terhadap pencapaian tujuan. Proses ini meliputi identifikasi risiko yang mungkin terjadi pada
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
55
level entitas maupun aktivitas. Salah satu aspek penting dalam identifikasi risiko adalah memperoleh data risiko sebanyak‐banyaknya. d.
Analisis Risiko Semua risiko yang telah diidentifikasi harus dianalisis untuk mengestimasi kemungkinan munculnya (probabilitas) dan besaran dampak risiko terhadap pencapaian tujuan entitas maupun aktivitas. Hasil penilaian risiko ini kemudian digunakan sebagai dasar dalam membangun infrastruktur dan melakukan aktivitas pengendalian.
3.
Kegiatan Pengendalian Unsur sistem pengendalian intern yang ketiga adalah kegiatan pengendalian. Kegiatan pengendalian intern adalah kebijakan dan prosedur yang dapat membantu memastikan dilaksanakannya arahan pimpinan Instansi Pemerintah untuk mengurangi risiko yang telah diidentifikasi selama proses penilaian risiko. Kebijakan dibuat untuk mengarahkan apa yang seharusnya dikerjakan dan berfungsi sebagai dasar bagi penyusunan prosedur. Prosedur adalah rangkaian urut‐urutan tindakan yang dilakukan oleh satu atau beberapa orang dalam melaksanakan kegiatan tertentu. Kebijakan dan prosedur tertulis harus ditetapkan oleh manajemen, sebagai dasar pelaksanaan kegiatan pengendalian. Pengertian yang lebih luas dari kegiatan pengendalian mencakup bukan hanya kebijakan dan prosedur tetapi juga teknik dan mekanismenya. Teknik merupakan penjelasan yang lebih rinci dari prosedur sedangkan mekanisme menjelaskan siapa dan bagaimana menjalankan teknik tersebut. Kegiatan pengendalian yang diterapkan dalam suatu Instansi Pemerintah dapat berbeda dengan yang diterapkan pada Instansi Pemerintah lain. Perbedaan penerapan ini antara lain disebabkan oleh perbedaan:
56
a.
visi, misi, dan tujuan;
b.
lingkungan dan cara beroperasi;
2014 |Pusdiklatwas BPKP
c.
tingkat kerumitan organisasi;
d.
sejarah atau latar belakang serta budaya; dan
e.
risiko yang dihadapi.
Pimpinan Instansi pemerintah wajib menyelenggarakan kegiatan pengendalian sesuai dengan ukuran, kompleksitas, serta sifat dari tugas dan fungsi instansi pemerintah yang bersangkutan. Dalam pelaksanaannya, unsur kegiatan pengendalian memiliki beberapa sub‐unsur, sebagai berikut: a.
Review atas kinerja Instansi Pemerintah yang bersangkutan;
b.
Pembinaan sumber daya manusia;
c.
Pengendalian atas pengelolaan sistem informasi;
d.
Pengendalian fisik atas aset;
e.
Penetapan dan review atas indikator dan ukuran kinerja;
f.
Pemisahan fungsi;
g.
Otorisasi atas transaksi dan kejadian yang penting;
h.
Pencatatan yang akurat dan tepat waktu atas transaksi dan kejadian;
i.
Pembatasan akses atas sumber daya dan pencatatannya;
j.
Akuntabilitas terhadap sumber daya dan pencatatannya; dan
k.
Dokumentasi yang baik atas Sistem Pengendalian Intern serta transaksi dan kejadian penting.
Dalam mengembangkan kegiatan pengendalian, instansi pemerintah harus mencapai keseimbangan yang tepat antara kegiatan pengendalian yang bersifat detektif dengan preventif. Kegiatan pengendalian yang didominasi oleh pengendalian preventif seperti prosedur otorisasi yang berbelit‐belit, akan mengganggu kelancaran kegiatan layanan publik.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
57
Berdasarkan tujuan instansi pemerintah, kegiatan pengendalian berkaitan dengan operasi, laporan keuangan, dan ketaatan terhadap peraturan perundang‐undangan serta pengamanan aset negara. Meskipun kegiatan pengendalian berkaitan dengan salah satu tujuan pengendalian tersebut, namun dalam praktiknya saling berhubungan, tergantung dari lingkungannya. Kegiatan pengendalian tertentu dapat membantu pencapaian lebih dari satu tujuan instansi pemerintah tersebut. Jadi pengendalian untuk operasi juga dapat membantu menjamin keandalan laporan keuangan. Pengawasan laporan keuangan dapat memengaruhi ketaatan dan meningkatkan pengamanan aset negara. Kegiatan pengendalian terjadi di semua tingkat organisasi, kegiatan, unit dan fungsi instansi pemerintah.Kegiatan pengendalian merupakan suatu bagian yang tidak terpisahkan dari perencanaan, penerapan, serta review kinerja dari instansi pemerintah. Dalam menetapkan kegiatan pengendalian, harus didasarkan pada hasil penilaian risiko dan mempertimbangkan kecukupan kegiatan pengendalian. Berdasarkan pertimbangan tersebut, kegiatan untuk mengendalikan risiko dikategorikan dalam dua hal yaitu prevention dan mitigation. Perbedaan pengendalian tersebut digambarkan sebagai berikut.
Gambar 4.2 Hubungan Pengendalian Risiko
Berdasarkan gambar di atas, prevention digambarkan sebagai kegiatan pengendalian untuk mengurangi probabilitasnya, sedang mitigasi digambarkan sebagai kegiatan
58
2014 |Pusdiklatwas BPKP
pengendalian yang dimaksudkan untuk mengurangi dampak dari suatu kerugian yang mungkin terjadi. Bagaimana bentuk kedua kegiatan pengendalian ini dicontohkan dalam kegiatan pengendalian kebakaran. Kegiatan prevention diibaratkan sebagai kegiatan terhadap pembatasan penggunaan bahan‐bahan yang mudah terbakar dan pelarangan kegiatan yang membahayakan seperti merokok. Sedangkan kegiatan mitigasi diibaratkan sebagai kegiatan menyiapkan alat pemadam kebakaran, sehingga apabila terjadi kebakaran dapat digunakan untuk mengurangi dampaknya. Untuk mengelola risiko yang berkaitan dengan pencapaian tujuan masing‐masing kegiatan, pimpinan instansi pemerintah harus selalu memperhatikan kedua aspek pengendalian di atas. Dengan demikian, setiap kali melakukan penilaian risiko selalu diiringi dengan kegiatan pengendalian untuk mengurangi probabilitas dan dampaknya. Selain hal tersebut di atas, berkaitan dengan perkembangan penggunaan teknologi informasi, analisis dan evaluasi kecukupan kegiatan pengendalian juga mencakup pengendalian terhadap sistem informasi terkomputerisasi yaitu, meliputi pengendalian umum dan pengendalian aplikasi. Agar kegiatan pengendalian menjadi efektif, maka harus memenuhi kriteria: a.
pengendalian yang tepat pada tempat yang tepat dan terhadap risiko terkait;
b.
sesuai dengan rencana organisasi yang ditetapkan;
c.
memperhatikan biaya dan manfaatnya;
d.
bersifat komprehensif, logis, dan berhubungan langsung dengan tujuan pengendalian.
4.
Informasi dan Komunikasi Unsur pengendalian intern keempat adalah informasi dan komunikasi. Sub unsur dari unsur informasi dan komunikasi adalah: a.
Sarana Komunikasi
b.
Manajemen sistem informasi
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
59
Instansi pemerintah harus memiliki informasi yang relevan dan dapat diandalkan baik informasi keuangan maupun nonkeuangan, yang berhubungan dengan peristiwa‐peristiwa eksternal serta internal. Informasi tersebut harus direkam dan dikomunikasikan kepada pimpinan instansi pemerintah dan lainnya di seluruh instansi pemerintah yang memerlukannya dalam bentuk serta dalam kerangka waktu, yang memungkinkan yang bersangkutan melaksanakan pengendalian intern dan tanggung jawab operasional. Informasi adalah data yang telah diolah, yang dapat digunakan untuk pengambilan keputusan dalam rangka penyelenggaraan tugas dan fungsi instansi pemerintah. Instansi pemerintah harus memiliki informasi yang relevan dan dapat diandalkan, baik informasi keuangan maupun non keuangan yang berhubungan dengan peristiwa‐teristiwa eksternal serta internal. Informasi yang relevan dan dapat diandalkan tersebut harus diidentifikasi, diperoleh, dan didistribusikan kepada pimpinan semua tingkatan dan pihak yang berhak; dengan rincian yang memadai, bentuk, dan waktu yang tepat sehingga memungkinkan mereka dapat melaksanakan tugas dan tanggung jawab pengendalian intern dan operasional secara efisien dan efektif. Informasi dari sumber internal dan eksternal didapat dan disampaikan kepada pimpinan instansi pemerintah sebagai bagian dari pelaporan instansi sehubungan dengan pencapaian kinerja operasi dalam mencapai tujuan instansi yang telah ditetapkan. Informasi yang perlu diidentifikasi, diperoleh, dan dilaporkan adalah informasi internal yang penting dalam mencapai tujuan instansi pemerintah, termasuk informasi yang berkaitan dengan faktor‐faktor keberhasilan yang kritis dan informasi eksternal yang relevan, yang dapat mempengaruhi tercapainya misi, maksud dan tujuan instansi pemerintah, terutama yang berkaitan dengan perkembangan peraturan perundang‐ undangan serta perubahan politik dan ekonomis. Agar informasi yang diidentifikasi dan dilaporkan adalah informasi yang berkualitas, maka informasi tersebut harus memenuhi syarat sebagai berikut.
60
a.
Sesuai kebutuhan, yaitu informasi yang diperlukan telah tersedia.
b.
Tepat waktu, yaitu informasi tersedia ketika diperlukan.
c.
Mutakhir, yaitu informasi yang terkini, telah tersedia.
2014 |Pusdiklatwas BPKP
d.
Akurat, yaitu informasi yang diperoleh adalah benar.
e.
Dapat diakses, yaitu informasi dapat diperoleh dengan mudah oleh pihak‐pihak yang terkait.
Komunikasi adalah proses penyampaian pesan atau informasi dengan menggunakan simbol atau lambang tertentu baik secara langsung maupun tidak langsung untuk mendapatkan umpan balik. Proses komunikasi merupakan tahap‐tahap antara komunikator dengan komunikan yang menghasilkan pentransferan dan pemahaman makna. Menurut Stephen P. Robbins, proses komunikasi meliputi 7 (tujuh) bagian, yakni: a.
sumber komunikasi (komunikator),
b.
pengkodean,
c.
pesan,
d.
saluran,
e.
pendekodean,
f.
penerima (komunikan),
g.
umpan balik.
Efektivitas dari komunikasi terlihat dari umpan balik yang ditunjukkan oleh pihak yang menerima pesan. Umpan balik itu akan menunjukkan apakah telah terjadi kesamaan pemahaman atas makna pesan yang disampaikan. Komunikasi terdiri dari komunikasi internal dan eksternal. Komunikasi internal dan eksternal yang efektif harus terjadi baik secara vertikal maupun horizontal melalui komunikasi dua arah serta lintas unit/instansi. Pimpinan instansi pemerintah harus memastikan terjalinnya komunikasi internal dan eksternal yang efektif terutama yang memberikan dampak signifikan terhadap program, proyek, operasi, dan kegiatan lainnya termasuk penganggaran dan pendanaannya. Untuk menyelenggarakan komunikasi yang efektif, pimpinan instansi pemerintah harus menyediakan dan memanfaatkan berbagai bentuk sarana komunikasi dalam mengomunikasikan informasi penting kepada pimpinan, pegawai dan pihak lainnya, serta mengelola, mengembangkan, dan memperbarui sistem informasi secara terus menerus untuk meningkatkan kegunaan dan keandalan informasi. Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
61
Dukungan/komitmen pimpinan instansi pemerintah terhadap pengembangan teknologi informasi ditunjukkan dengan menyediakan sumber daya manusia dan pendanaan yang memadai terhadap upaya pengembangan tersebut. 5.
Pemantauan Pengendalian Intern Pemantauan merupakan unsur pengendalian intern yang kelima atau terakhir. Pemantauan Sistem Pengendalian Intern dilaksanakan melalui pemantauan berkelanjutan, evaluasi terpisah, dan tindak lanjut rekomendasi hasil audit dan review lainnya. Pemantauan berkelanjutan diselenggarakan melalui kegiatan pengelolaan rutin, supervisi, pembandingan, rekonsiliasi, dan tindakan lain yang terkait dalam pelaksanaan tugas. Evaluasi terpisah diselenggarakan melalui penilaian sendiri, review, dan pengujian efektivitas Sistem Pengendalian Intern yang dapat dilakukan oleh aparat pengawasan intern pemerintah atau pihak eksternal pemerintah dengan menggunakan daftar uji pengendalian intern. Tindak lanjut rekomendasi hasil audit dan review lainnya harus segera diselesaikan dan dilaksanakan sesuai dengan mekanisme penyelesaian rekomendasi hasil audit dan review lainnya yang ditetapkan. a.
Pemantauan Berkelanjutan (on‐going monitoring) Pemantauan atas pengendalian intern yang sedang berjalan menyatu pada kegiatan rutin dan berulang. Pemantauan ini mencakup setiap komponen sistem pengendalian internal dan kegiatan untuk mencegah terjadinya kondisiyang tidak lazim, tidak etis, tidak ekonomis, tidak efisien dan tidak efektif dalam pelaksanaan kegiatan. Kegiatan monitoring dalam suatu organisasi merupakan tangungjawab seluruh jenjang organisasi namun dengan fokus yang berbeda‐beda, yaitu berikut. 1)
Bagi pegawai, fokus pemantauan adalah untuk mengetahui bahwa pekerjaan dilaksanakan sebagaimana mestinya. Setiap pegawai hendaknya melakukan pengecekan terhadap pekerjaan sebelum disampaikan kepada atasannya. Penyimpangan pada tingkat ini segera dapat dideteksi.
62
2014 |Pusdiklatwas BPKP
2)
Di tingkat penyelia, pemantauan dilakukan atas seluruh kegiatan di bawah kendalinya guna memastikan bahwa seluruh pegawai yang ada di bawah kendalinya telah melaksanakan tanggungjawabnya masing‐masing.
3)
Pada tingkat manajer, pemantauan dilakukan untuk menilai apakah sistem pengendalian intern telah berfungsi pada masing‐masing unit dalam organisasi dan sejauhmana para penyelia telah melakukan pemantauan pada bagian yang menjadi tanggung jawabnya.
4)
Pada tingkat pimpinan eksekutif, fokus pemantauan adalah pada organisasi dalam lingkup yang menyeluruh, yaitu pemantauan apakah tujuan organisasi telah tercapai. Pimpinan juga melakukan pemantauan atas keberadaan tantangan dan peluang, baik dari sisi internal maupun eksternal yang mungkin membutuhkan perubahan dalam perencanaan organisasi.
Dalam melakukan pemantauan pengendalian intern, hal‐hal yang menjadi titik perhatian adalah berikut. 1)
Pimpinan memiliki strategi untuk memastikan bahwa monitoring yang sedang berjalan efektif dan melaksanakan evaluasi terpisah apabila terjadi keadaan kritis.
2)
Dalam kegiatan rutin, terdapat informasi yang menggambarkan apakah pengendalian internal berfungsi dengan baik.
3)
Komunikasi dengan pihak luar dikonfirmasikan dengan data intern yang dimiliki organisasi.
4)
Struktur organisasi yang sesuai kebutuhan dan adanya supervisi untuk mengawasi fungsi pengendalian internal.
5)
Terdapat pembandingan data yang dicatat dengan fisiknya secara periodik.
6)
Terdapat respon yang segera terhadap rekomendasi auditor ekstern dan intern sebagai alat untuk memperkuat pengendalian internal.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
63
7)
Pertemuan rutin pimpinan denganstaf dan pelaksanaan pelatihan digunakan untuk memperoleh umpan balik untuk mengetahui apakah pengendalian telah berjalan efektif.
8)
Terdapat pemantauan secara teratur kepada seluruh karyawan untuk mengetahui tingkat pemahaman dan kepatuhan terhadap aturan perilaku yangberlaku.
9)
Terdapat efektivitas kegiatan audit internal.
b.
Evaluasi yang Terpisah (separate evaluations) Evaluasi terpisah adalah penilaian secara periodik atas kinerja organisasi dibandingkan dengan standar pengukuran yang ada atau yang telah disepakati. Ruang lingkup dan frekuensi evaluasi yang terpisah bergantung pada penilaian risiko dan efektivitas prosedur pemantauan yang sedang diterapkan. Evaluasi ini bermanfaat untuk memusatkan secara langsung kepada efektivitas pengendalian pada suatu waktu tertentu dan dapat berbentuk penilaian mandiri (self assessment). Semua penyimpangan yang dijumpai dalam pemantauan pengendalian intern ini baik yang sedang berlangsung maupun yang telah berjalan harus dikomunikasikan kepada pihak yang terkait untuk mengambil tindakan perbaikan. Dalam melakukan evaluasi terpisah, perlu memperhatikan hal‐hal sebagai berikut. 1)
Ruang lingkup dan frekuensi evaluasi yang terpisah terhadap sistem pengendalian intern.
2)
Terdapat metode yang logis dan sesuai kebutuhan untuk mengevaluasi pengendalian intern.
3)
Bila evaluasi terpisah dilakukan oleh auditor internal maka harus dilaksanakan oleh sumber daya manusia yang memiliki kemampuan yang memadai dan independen.
4)
64
Kelemahan yang ditemukan selama evaluasi terpisah segera diatasi.
2014 |Pusdiklatwas BPKP
Tindak lanjut atas temuan audit dilakukan untuk memastikan bahwa temuan audit dan review lainnya segera diselesaikan. Hal‐hal yang harus dilakukan organisasi dalam tindak lanjut atas temuan audit adalah sebagai berikut. 1)
Organisasi memiliki mekanisme untuk memastikan adanya penyelesaian atas temuan hasil audit dan review lainnya dengan segera.
2)
Pimpinan organisasi tanggap atas temuan‐temuan dan rekomendasi audit dan review lainnya yang bertujuan memperkuat sistem pengendalian internal.
3)
Organisasi melakukan tindak lanjut yang sesuai dengan temuan dan rekomendasi audit serta review lainnya.
Dalam tahap penyelenggaraan SPIP, langkah‐langkah penyelenggaraan SPIP didasarkan pada kerangka pemikiran siklus penyelenggaraan SPIP sebagaimana terlihat pada gambar 4.3. Meskipun dengan menggunakan pendekatan siklus, pembangunan SPIP tidak secara kaku harus selalu mulai dari satu tahapan tertentu karena dengan siklus penyelenggaraan SPIP maka tahapan akan selalu berputar dan kembali pada suatu tahapan yang sama secara terus menerus dengan mendasarkan seluruh siklus pada dokumen yang disebut rencana tindak pengendalian (RTP). Siklus penyelenggaraan SPIP, diharapkan secara kontinyu akan dapat mengintegrasikan SPIP ke dalam proses‐proses penyelenggaraan pemerintahanPenyelenggaraan sistem pengendalian intern pemerintah (SPIP) harus disesuaikan dengan karakteristik setiap instansi, yang meliputi tugas dan fungsi utama instansi, sifat, tujuan, dan kompleksitas, serta risiko‐risiko yang dihadapi oleh masing‐masing instansi.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
65
Gambar 4.3 Siklus Penyelenggaraan SPIP
C.
KETERBATASAN PENGENDALIAN INTERN
Beberapa hal merupakan keterbatasan dan dapat mengakibatkan kegagalan suatu sistem pengendalian. Kegagalan yang sering terjadi dalam sistem pengendalian intern antara lain dikarenakan hal‐hal sebagai berikut : 1.
Pertimbangan yang kurang matang Efektivitas pengendalian dibatasi dengan adanya keterbatasan manusia itu sendiri dalam pengambilan keputusan. Keputusan yang diambil sangat dipengaruhi oleh beberapa pertimbangan atas waktu yang tersedia, informasi yang dimiliki dan tekanan yang berasal dari lingkungan tertentu. Ada kalanya bahwa beberapa keputusan yang diambil secara demikian ini akan memberikan hasil yang kurang efektif dari yang diharapkan sebelumnya.
66
2014 |Pusdiklatwas BPKP
2.
Gagal menterjemahkan suatu perintah Walaupun sistem pengendalian intern telah dirancang dengan baik, sistem tersebut masih mungkin mengalami kegagalan. Kegagalan dalam hal ini diakibatkan adanya pegawai yang mungkin menyalahartikan suatu perintah. Mereka membuat pertimbangan yang salah atau membuat kesalahan sebagai akibat ketidaktahuan, keteledoran, ataupun kealpaan. Kegagalan sistem ini akan lebih besar pengaruhnya jika yang membuat kesalahan adalah seorang pimpinan, karena secara otomatis akan berdampak pada pengambilan keputusan pimpinan di bawahnya.
3.
Pengabaian Manajemen Pengendalian intern hanya dapat berjalan secara efektif jika masing‐masing pelaksana dari atas sampai ke bawah melaksanakan tugas dan fungsinya sesuai dengan kewenangan dan tanggung jawabnya. Meskipun suatu organisasi memiliki sistem pengendalian yang memadai, jika salah satu atau beberapa dari unsur pimpinan atau pelaksana, mengabaikan pengendalian tersebut akan mengakibatkan tidak efektifnya sistem pengendalian yang bersangkutan. Istilah “pengabaian manajemen” ini ditujukan pada tindakan manajemen yang mengabaikan pengendalian dengan tujuan untuk kepentingan pribadi atau untuk meningkatkan penyajian kondisi laporan kegiatan atau keuangan organisasi yang bersangkutan. Seorang pimpinan unit atau bahkan pimpinan suatu organisasi, mungkin mengabaikan sistem pengendalian dengan berbagai alasan, misalnya meningkatkan laporan kegiatan/kinerja organisasi untuk menutupi terjadinya ketidaktepatan dalam pencapaian target yang telah ditentukan, meningkatkan laporan pendapatan untuk memenuhi anggaran pendapatan yang tidak realistis, untuk memenuhi proyeksi pendapatan guna mendukung laporan realisasi pendapatan secara keseluruhan, atau bahkan untuk menyembunyikan adanya tindakan melawan hukum/ketentuan yang berlaku. Praktik‐praktik pengabaian sistem pengendalian intern ini juga termasuk penyalahgunaan data/laporan kepada Bank, Konsultan Hukum, Instansi Pengawasan, Pemasok dan sebagainya dengan cara menerbitkan dokumen palsu. Istilah “pengabaian pengawasan” di
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
67
sini berbeda dengan istilah “intervensi manajemen” yang merupakan tindakan manajemen mengabaikan/mengesampingkan kebijakan atau prosedur yang ada, tetapi justru ditujukan untuk kepentingan organisasi. Intervensi manajemen diperlukan untuk mengatasi adanya kejadian/transaksi yang tidak biasa dan tidak akan mengakibatkan kerugian bagi organisasi jika ditangani dengan tidak tepat melalui sistem pengendalian. Hal ini karena tidak ada satu sistem pun yang dapat dirancang untuk mengantisipasi setiap kondisi yang terjadi atau akan terjadi secara mendadak. 4.
Kolusi Terjadinya kolusi dari dua pihak atau lebih dapat mengakibatkan kegagalan dalam sistem pengendalian intern. Para pelaku melakukan perubahan atau menyembunyikan data keuangan atau informasi manajemen lainnya dengan suatu cara yang tidak dapat diidentifikasikan oleh pengawasan melekat. Kolusi antara pegawai yang memiliki kewenangan penting dengan pemasok atau pegawai lainnya, dapat dicontohkan sebagai berikut: pemasok memberikan barang yang dipesan dengan kualitas/ kuantitas yang berbeda tetapi dinyatakan dalam faktur penagihan sesuai dengan yang dipesan. Di lain pihak, si penerima barang memproses penerimaan barang tersebut seolah‐olah telah diterima sesuai dengan kualitas/kuantitas yang dipesan.
D.
PERKEMBANGAN TERKINI KONSEP PENGENDALIAN INTERN
Pada tanggal 14 Mei 2013, COSO mempublikasikan Kerangka Pengendalian Intern Terintegrasi yang telah diperbarui (COSO Internal Control Integrated Framework 2013, dikenal dengan COSO 2013). Dengan tetap menggunakan pendekatan prinsipil, kerangka terbaru ini menyediakan tuntunan yang lebih terperinci dalam mengilustrasikan dan menjelaskan konsep‐konsep yang ada dengan tujuan untuk membantu organisasi beradaptasi dengan lingkungan bisnis yang semakin kompleks dan terus berubah dengan cepat. Latar belakang meng‐update Original Framework COSO’s Internal Control–Integrated Framework (1992 Edition) yang sudah baik dan diadopsi di seluruh dunia adalah: 1.
Lingkungan bisnis dan operasional berubah sangat cepat, menjadi semakin kompleks, technology driven, dan global
68
2014 |Pusdiklatwas BPKP
2.
Ekspektasi yang besar terhadap governance
3.
Stakeholders lebih terlibat, menginginkan transparansi dan akuntabilitas
4.
Meningkatnya ekspektasi akan penilaian risiko di semua tingkat organisasi (keuangan, operasi, regulasi, IT)
5.
Kompleksitas dalam undang‐undang, peraturan dan standar telah meningkat secara signifikan
6.
Telah terjadi kerusakan dalam skala besar terhadap tata kelola dan pengendalian internal dalam 20 tahun terakhir
7.
Adanya ekspektasi yang besar terkait pencegahan dan deteksi fraud di setiap tingkatan
8.
Permintaan akan pelaporan internal dan eksternal yang update dan bermutu
Berikut ini perbandingan antara COSO 1992 dan COSO 2013.
Gambar 4.4 Perbandingan COSO 1992 dan COSO 2013
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
69
Beberapa hal baru yang diakomodasi dalam COSO 2013 adalah: 1.
Perluasan ruang lingkup dari tujuan pelaporan, bukan hanya pelaporan informasi keuangan
2.
Mempertimbangkan perubahan dalam lingkungan bisnis dan operasional
3.
Formalisasi konsep dasar dalam COSO 1992 menjadi 17 prinsip
4.
Adanya titik fokus (points of focus) yang menyoroti karakteristik penting dari masing‐ masing prinsip
5.
Tambahan pendekatan dan contoh‐contoh yang relevan dari tujuan operasi, compliance, dan nonfinancial reporting
6.
Pertimbangan eksplisit penyedia layanan outsourcing dan pihak ketiga lainnya yang mempengaruhi pengendalian internal
7.
Pertimbangan yang eksplisit tentang potensi fraud dalam penilaian risiko
8.
Pentingnya peran judgement dalam desain, implementasi, dan dalam mengassess efektivitas pengendalian internal
9.
Prinsip spesifik terkait dengan teknologi informasi
Ada 17 prinsip dari komponen‐komponen pengendalian internal dalam COSO 2013 seperti dijabarkan berikut.
70
2014 |Pusdiklatwas BPKP
Lingkungan Pengendalian
1.
4. 5.
Menunjukkan komitmen terhadap integritas dan nilai‐nilai etika Melakukan pengawasan yang bertanggung jawab Menetapkan struktur, wewenang dan tanggung jawab Menunjukkan komitment terhadap kompetensi Menegakkan akuntabilitas
6. 7. 8. 9.
Menentukan tujuan yang sesuai Identifikasi dan analisis risiko Penilaian risiko atas fraud Identifikasi dan analisis perubahan yang signifikan
2. 3.
Penilaian Risiko
Kegiatan Pengendalian
10. Pemilihan dan pengembangan kegiatan pengendalian 11. Pemilihan dan pengembangan pengendalian terhadap terknologi 12. Implementasi melalui kebijakan dan prosedur
Informasi dan Komunikasi
13. Menggunakan informasi yang relevan 14. Komunikasi secara internal 15. Komunikasi secara eksternal
Pemantauan
16. Melakukan evaluasi berkelanjutan dan/atau terpisah 17. Mengevaluasi dan mengkomunikasikan ‘deficiencies’ (kelemahan)
Sumber: COSO Internal Control ‐ Integrated Framework 2013, diolah.
Tabel 4.1 Prinsip Pengendalian Intern COSO 2013
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
71
72
2014 |Pusdiklatwas BPKP
Bab V AUDITOR INTERN DAN TATA KELOLA‐ MANAJEMEN RISIKO‐ PENGENDALIAN Indikator Keberhasilan Setelah mengikuti pemelajaran ini diharapkan peserta diklat memiliki pengetahuan mengenai hubungan keterkaitan tata kelola, manajemen risiko dan pengendalian internal.
Kesadaran pimpinan instansi terhadap pentingnya tata kelola, amnajemen risiko dan pengendalian intern merupakan faktor penting dalam mengarahkan organisasi dalam mencapai tujuan dan sasaran yang sudah ditetapkan. Pimpinan instansi sangat perlu membangun tata kelola organisasi yang efektif dan efisien dalam mengalokasikan sumber daya organisasi yang dikelolanya. Di samping itu, pimpinan instansi perlu menyatakan kebijakannya secara tertulis tentang pengelolaan risiko yang mencakup tujuan dan komitmennya terhadap pengelolaan risiko. Kebijakan ini harus relevan dnegan konteks strategis, tujuan, sasaran, serta sifat kegiatan instansi.
Manajemen
harus
memastikan
bahwa
kebijakan
tersebut
dipahami,
diimplementasikan, dan dipelihara pada setiap level pejabat/ pegawai. Melalui Peraturan pemerintah Nomor 60 Tahun 2008, pemerintah telah mengamanatkan agar setiap pimpinan instansi pemerintah untuk menerapkan Sisten Pengendalian Intern Pemerintah (SPIP) sebagai proses yang integral pada tindakan dan kegiatan yang dilakukan secara terus menerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas tercapainya tujuan organisasi melalui kegiatan yang efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan perundang‐undangan.
A.
HUBUNGAN ANTARA TATA KELOLA‐MANAJEMEN RISIKO‐PENGENDALIAN
Sebagai kombinasi proses dan struktur yang diterapkan oleh manajemen untuk menginformasikan, mengarahkan, mengelola, dan memantau kegiatan organisasi dalam rangka pencapaian tujuan, tata kelola bukanlah merupakan himpunan proses dan struktur yang berdiri sendiri, terpisah dari sistem lainnya. Tata kelola juga memiliki keterkaitan dengan manajemen risiko dan juga pengendalian intern.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
73
Aktivitas tata kelola yang efektif mempertimbangkan risiko pada saat menyusun strategi. Sebaliknya, manajemen risiko didasarkan pada tata kelola yang efektif (misalnya, tone at the top, selera risiko dan toleransi risiko, budaya risiko, dan pengawasan manajemen risiko). Tata kelola yang efektif juga bergantung pada pengendalian intern dan komunikasi efektivitas pengendalian‐pengendalian tersebut kepada manajemen. Manajemen risiko yang efektif merupakan salah satu elemen penting dari tata kelola pemerintahan yang baik (good governance). Sementara itu, pengendalian dan risiko juga saling terkait, mengingat pengendalian merupakan “setiap tindakan yang diambil oleh manajemen dan pihak‐pihak lain untuk mengelola risiko dan meningkatkan kemungkinan bahwa sasaran yang ditetapkan akan dapat dicapai.” Dari sudut PP No. 60 Tahun 2008, hubungan antara tata kelola, pengendalian intern dan risiko dapat digambarkan sebagai berikut.
Gambar 5.1 Hubungan GRC menurut PP Nomor 60 Tahun 2008
Dari gambar tersebut di atas terlihat bahwa risiko (dalam hal ini ditekankan kepada penilaian risiko) merupakan bagian dari sistem pengendalian intern, dan sistem pengendalian intern tersebut merupakan bagian integral dari tata kelola organisasi. Perkembangan terkini terkait manajemen risiko memberikan suatu wacana baru, sebagaimana menurut IIA, yang dapat digambarkan sebagai berikut.
74
2014 |Pusdiklatwas BPKP
Gambar 5.2 Hubungan GRC menurut IIA
Gambar 5.2 menunjukkan bahwa tata kelola melingkupi seluruh aktivitas dalam organisasi. Struktur tata kelola haruslah sejalan dengan peraturan dan regulasi dimana organisasi tersebut beroperasi. Tata kelola juga harus dapat memastikan bahwa kebutuhan stakeholder terpenuhi. Manajemen risiko adalah lapisan berikutnya dalam struktur tata kelola. Manajemen risiko dimaksudkan untuk: 1.
mengidentifikasi dan memitigasi risiko yang dapat mempengaruhi keberhasilan organisasi, dan
2.
memanfaatkan peluang yang memungkinkan tercapainya keberhasilan organisasi.
Manajemen harus mengembangkan strategi terbaik dalam mengelola risiko‐risiko utama serta peluang‐peluang yang ada. Kegiatan manajemen risiko tidak boleh keluar dari struktur tata kelola. Pengendalian intern digambarkan sebagai pusat karena sistem pengendalian intern merupakan sebuah bagian (subset), namun bagian yang tidak terpisahkan, dari kegiatan manajemen risiko yang lebih luas. Respon risiko, dimana di dalamnya termasuk pengendalian, didesain untuk mengeksekusi srategi manajemen risiko.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
75
B.
PERAN AUDIT INTERNAL DALAM TATA KELOLA–MANAJEMEN RISIKO– PENGENDALIAN
Aparat Pengawasan Intern Pemerintah (APIP) adalah instansi pemerintah yang dibentuk dengan tugas melaksanakan pengawasan intern di lingkungan pemerintah pusat dan/atau pemerintah daerah, yang terdiri dari Badan Pengawasan Keuangan dan Pembangunan (BPKP), inspektorat jenderal/inspektorat/unit pengawasan intern pada kementerian/kementerian negara, inspektorat utama/inspektorat lembaga pemerintah non kementerian, inspektorat/unit pengawasan intern pada kesekretariatan lembaga tinggi negara dan lembaga negara, inspektorat provinsi/kabupaten/kota, dan unit pengawasan intern pada badan hukum pemerintah lainnya sesuai dengan peraturan perundang‐undangan Peran Aparat Pengawasan Intern Pemerintah (APIP) semakin lama semakin strategis dan bergerak mengikuti kebutuhan zaman. APIP diharapkan menjadi agen perubahan yang dapat menciptakan nilai tambah pada produk atau layanan instansi pemerintah. APIP sebagai pengawas intern pemerintah merupakan salah satu unsur manajemen pemerintah yang penting dalam rangka mewujudkan kepemerintahan yang baik (good governance) yang mengarah pada pemerintahan/birokrasi yang bersih (clean government). Reformasi birokrasi bertujuan untuk menciptakan birokrasi pemerintah yang profesional dengan karakteristik adaptif, berintegritas, berkinerja tinggi, bersih dan bebas korupsi, kolusi dan nepotisme, mampu melayani publik, netral, sejahtera, berdedikasi, dan memegang teguh nilai‐ nilai dasar dan kode etik aparatur negara. Untuk mencapai tujuan reformasi birokrasi tersebut diperlukan peran APIP yang efektif, yaitu dalam wujud: 1.
memberikan keyakinan yang memadai atas ketaatan, kehematan, efisiensi, dan efektivitas pencapaian tujuan penyelenggaraan tugas dan fungsi Instansi Pemerintah (assurance activities);
2.
memberikan peringatan dini dan meningkatkan efektivitas manajemen risiko dalam penyelenggaraan tugas dan fungsi Instansi Pemerintah (anti corruption activities); dan
3.
memberikan masukan yang dapat memelihara dan meningkatkan kualitas tata kelola penyelenggaraan tugas dan fungsi Instansi Pemerintah (consulting activities).
76
2014 |Pusdiklatwas BPKP
Menurut Standar Audit Intern Pemerintah Indonesia, audit intern didefinisikan sebagai kegiatan yang independen dan objektif dalam bentuk pemberian keyakinan (assurance activities) dan konsultansi (consulting activities), yang dirancang untuk memberi nilai tambah dan meningkatkan operasional sebuah organisasi (auditee). Kegiatan ini menolong organisasi [auditi] mencapai tujuannya dengan cara menggunakan pendekatan yang sistematis dan teratur untuk menilai dan meningkatkan efektivitas dari proses manajemen risiko, kontrol (pengendalian), dan tata kelola (sektor publik). Audit intern telah mengalami evolusi yang pesat hingga saat ini. Hal ini dipicu oleh berbagai event risiko baik kecil maupun besar yang terjadi secara global, mulai dari kasus Enron dan Worldcom, hingga krisis keuangan global, yang semakin memperkuat pentingnya fungsi internal audit. Risiko yang bervariasi, dan juga semakin kompleks seiring berkembangnya sistem keuangan saat ini, menjadikan peran internal audit yang kuat semakin diperlukan. Audit interl semula berorientasi pada bidang akuntansi menjadi berorientasi pada bidang manajemen. Fokus audit internal telah mengalami pergeseran (perubahan). Pada masa lalu fokus utama peran auditor intern sebagai 'watchdog',sehingga membuat perannya kurang disukai kehadirannya oleh unit organisasi lain. Hal ini mungkin merupakan konsekuensi logis dari profesi internal auditor yang tugasnya memang tidak dapat dilepaskan dari fungsi audit, yaitu antara pemeriksa (auditor) dan pihak yang diperiksa (auditee) berada pada posisi yang saling berhadapan. Pada saat ini proses auditing modern telah bergeser sebagai 'konsultan intern' (intemal consultant) yang memberi masukan (input) untuk perbaikan (improvement) atas sistem yang telah ada serta berperan sebagai katalis (catalyst). Peran konsultan membawa internal auditor untuk selalu meningkatkan pengetahuan dan ketrampilan (skill and knowledge) baik tentang profesi auditor maupun aspek bisnis (business object), sehingga diharapkan dapat membantu manajemen dalam memecahkan suatu masalah. Kemampuan untuk merekomendasikan pemecahan suatu masalah (problem solver) bagi internal auditor dapat diperoleh melalui pengalaman bertahun‐tahun melakukan audit berbagai fungsi/bagian di organisasi. Selain sebagai konsultan, auditor intern harus mampu berperan sebagai katalisator yaitu memberikan jasa kepada manajemen melalui saran‐saran yang bersifat konstruktif dan dapat diaplikasikan bagi perkembangan perusahaan. Katalis adalah suatu zat yang berfungsi untuk mempercepat reaksi namun tidak ikut reaksi. Sehingga apabila internal auditor diibaratkan sebagai katalis, internal auditor tidak ikut dalam kegiatan operasional
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
77
perusahaan, namun turut serta bertanggungiawab dalam meningkatkan kinerja perusahaan melalui rekomendasi yang disampaikaan kepada manajemen operasional. Sesuai dengan Standar Pelaksanaan Audit Intern Paragraf 3000, kegiatan audit intern yang dilakukan oleh APIP haruslah menambah nilai auditi (dan pemangku kepentingan) ketika memberikan jaminan objektif dan relevan, dan berkontribusi terhadap efektifitas dan efisiensi proses tata kelola, manajemen risiko, dan pengendalian dengan menggunakan pendekatan sistematis dan disiplin. Proses tata kelola sektor publik, manajemen risiko, dan pengendalian intern masing‐masing tidak didefinisikan secara terpisah dan berdiri sendiri sebagai suatu proses dan struktur, melainkan memiliki hubungan antara proses tata kelola sektor publik, manajemen risiko, dan pengendalian intern. Oleh karena itu, Auditor harus mengevaluasi proses tata kelola sektor publik, manajemen risiko, dan pengendalian intern auditi secara keseluruhan sebagai satu kesatuan yang tidak dipisahkan. Terkait tata kelola, sesuai Standar Pelaksanaan Audit Intern Paragraf 3110, yang menyebutkan bahwa peran kegiatan audit intern, sebagaimana definisi audit intern, mencakup tanggung jawab untuk mengevaluasi dan mengembangkan proses tata kelola sektor publik sebagai bagian dari fungsi assurance. Kegiatan audit intern harus dapat mengevaluasi dan memberikan rekomendasi yang sesuai untuk meningkatkan proses tata kelola sektor publik dalam pemenuhan atas tujuan‐tujuan berikut: 1.
mendorong penegakan etika dan nilai‐nilai yang tepat dalam organisasi auditi;
2.
memastikan akuntabilitas dan kinerja manajemen auditi yang efektif;
3.
mengomunikasikan informasi risiko dan pengendalian ke area‐area organisasi auditi yang tepat; dan
4.
mengoordinasikan kegiatan dan mengomunikasikan informasi di antara pimpinan kementerian/lembaga/pemerintah daerah, auditor ekstern dan intern, serta manajemen auditi.
Disebutkan juga bahwa kegiatan audit intern harus mengevaluasi rancangan, implementasi, dan efektivitas etika organisasi terkait sasaran, program, dan kegiatan, serta harus menilai pula apakah tata kelola teknologi informasi auditi mendukung strategi dan tujuan auditi.
78
2014 |Pusdiklatwas BPKP
Dalam hal manajemen risiko, peran audit intern dijelaskan dalam Standar Pelaksanaan Audit Intern Paragraf 3120, dimana kegiatan audit intern harus dapat mengevaluasi efektivitas dan berkontribusi terhadap perbaikan proses manajemen risiko. Untuk menentukan apakah proses manajemen risiko adalah efektif yaitu melalui hasil pertimbangan (judgement) dari penilaian auditor bahwa: 1.
tujuan auditi telah mendukung dan sejalan dengan visi dan misi auditi;
2.
risiko yang signifikan telah diidentifikasi dan dinilai;
3.
tanggapan risiko yang tepat telah dipilih untuk menyelaraskan risiko dengan risk appetite (selera risiko) auditi; dan
4.
informasi risiko yang relevan telah dipetakan dan dikomunikasikan secara tepat waktu di seluruh auditi, yang memungkinkan staf, manajemen auditi, dan pimpinan auditi untuk melaksanakan tanggung jawab masing‐masing.
Proses manajemen risiko dimonitor melalui kegiatan manajemen yang berkelanjutan, evaluasi terpisah, atau keduanya. Kegiatan audit intern harus dapat mengevaluasi potensi terjadinya fraud dan bagaimana auditi mengelola risiko fraud. Selama penugasan consulting, auditor harus mengatasi risiko sesuai dengan tujuan penugasan dan waspada terhadap adanya risiko signifikan lainnya. Auditor harus memasukkan pengetahuan tentang risiko yang diperoleh dari penugasan consulting ke dalam evaluasi proses manajemen risiko auditi. Ketika membantu manajemen dalam membangun atau meningkatkan proses manajemen risiko, auditor harus menahan diri untuk mengambil alih fungsi dan tanggung jawab manajemen. Sedangkan untuk pengendalian intern, Standar Pelaksanaan Audit Intern Paragraf 3130 menyatakan bahwa kegiatan audit intern harus dapat membantu auditi dalam mempertahankan dan memperbaiki pengendalian yang efektif dengan mengevaluasi efektivitas dan efisiensi serta dengan mendorong perbaikan terus‐menerus. Kegiatan audit intern harus mengevaluasi kecukupan dan efektivitas pengendalian intern pemerintah dalam menanggapi risiko tata kelola auditi, operasi, dan sistem informasi mengenai: 1.
pencapaian tujuan strategis auditi;
2.
keandalan dan integritas informasi keuangan dan operasional;
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
79
3.
efektivitas dan efisiensi operasi dan program;
4.
pengamanan aset; dan
5.
kepatuhan terhadap hukum, peraturan, kebijakan, prosedur, dan kontrak Asosiasi Auditor Intern Pemerintah Indonesia (AAIPI).
Menurut IIA, audit internal harus memberikan ‘value’ bagi stakeholders. Tiga elemen penting dari value yang diberikan audit intern bagi organisasi adalah: 1.
assurance,
2.
insight, dan
3.
objectivity.
Ketiga hal tersebut dapat digambarkan sebagai berikut:
Gambar 5.3 Internal Auditing = Assurance, Insight and Objectivity
Organisasi mengandalkan audit internal atas jaminan (assurance) yang objektif serta informasi dan pandangan mengenai efektivitas serta efisiensi proses tata kelola, manajemen risiko dan pengendalian internal. Audit internal memberikan jaminan tentang tata kelola organisasi, manajemen risiko, dan proses pengendalian untuk membantu organisasi mencapai tujuan strategis, operasional, keuangan, dan kepatuhan, sebagaimana digambarkan berikut ini.
80
2014 |Pusdiklatwas BPKP
Gambar 5.4 ASSURANCE = Governance, Risk and Control
Audit internal juga merupakan katalis untuk meningkatkan efektivitas dan efisiensi organisasi dengan memberikan wawasan dan rekomendasi berdasarkan analisis dan penilaian data dan proses bisnis, sebagaimana gambar di bawah ini.
Gambar 5.5 INSIGHT = Catalyst, Analyses, and Assessments
Dan dengan komitmen untuk integritas dan akuntabilitas, audit internal juga memberikan value kepada organisasi sebagai sumber yang objektif berupa saran‐saran yang independen atas proses tata kelola, manajemen risiko dan pengenalian internal organisasi, sebagaimana digambarkan di bawah ini.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
81
Gambar 5.6 OBJECTIVITY = Integrity, Accountability, and Independence
82
2014 |Pusdiklatwas BPKP
Bab VI PEMANTAUAN DAN EVALUASI Indikator Keberhasilan Setelah mengikuti pemelajaran ini diharapkan peserta diklat memiliki pengetahuan mengenai prinsipprinsip pemantauan dan evaluasi atas efektivitas manajemen risiko, pengendalian internal, dan proses tata kelola organisasi
Pemantauan dan evaluasi merupakan hal yang harus dilaksanakan dalam pelaksanaan suatu kebijakan, program maupun kegiatan. Mengapa pemantauan dan evaluasi merupakan suatu keharusan? Berikut adalah alasannya. Review perkembangan/progress. Identifikasi masalah dalam perencanan dan/atau implementasi. Membuat penyesuaian yang dapat membuat “perbedaan.” Membantu mengidentifikasi masalah dan penyebabnya. Memberikan berbagai kemungkinan solusi dalam menyelesaikan masalah. Memunculkan pertanyaan mengenai asumsi dan strategi. Mencerminkan tujuan yang akan dicapai dan bagaimana mencapainya. Memberikan informasi dan pengetahuan mendalam. Meningkatkan kemungkinan dalam membuat perubahan pembangunan yang positif. Ada beberapa perbedaan mendasar antara pemantauan dan evaluasi. Pemantauan (monitoring) adalah prosedur penilaian yang secara deskriptif dimaksudkan untuk mengidentifikasi dan/atau mengukur pengaruh dari kegiatan yang sedang berjalan (on‐going) tanpa mempertanyakan hubungan kausalitas. Pemantauan adalah bagian dari kegiatan manajemen untuk mengamati atau meninjau kembali/mempelajari serta mengawasi secara terus menerus atau berkala terhadap pelaksanaan program/kegiatan yang sedang berjalan yang dilakukan oleh pengelola
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
83
program/kegiatan dan dilaksanakan di setiap tingkatan. Pemantauan dilakukan untuk menyediakan informasi apakah kebijakan atau kegiatan diimplementasikan sesuai rencana dalam upaya mencapai tujuan. Pemantauan merupakan alat manajemen yang efektif karena jika dalam pengimplementasian kebijakan berbeda dari rencana maka pemantauan dapat mengidentifikasi dimana letak masalahnya untuk kemudian dicari penyelesaiannya. Sedangkan evaluasi berfungsi untuk melihat dampak dengan mengisolasi efek dari suatu intervensi. Pada pelaksanaanya evaluasi memerlukan data dan metodologi yang lebih komplek dari pemantauan. Evaluasi sendiri dapat berupa dampak apakah kebijakan mencapai tujuan awal, proses bagaimana kebiajakan dilaksanakan dan apa saja keuntungan yang diterima oleh peserta atau analisa biaya dari program itu sendiri. Untuk mendapatkan evaluasi yang baik diperlukan data baseline sebagai acuan dan melakukan perencanaan evaluasi sejak awal seperti menetapkan tujuan, metodologi, jadwal, dan pembiayaan. Metode yang paling baik dalam evaluasi adalah kombinasi dari metode kuntitatif dan kualitatif.
A.
PEMANTAUAN DAN EVALUASI ATAS EFEKTIVITAS PROSES TATA KELOLA
Pendekatan atau cara yang digunakan setiap organisasi dalam menerapkan tata kelola yang baik (good governance) tidak sama, namun semua berorientasi pada stakeholders melalui peningkatan kualitas layanan dan perbaikan sistem manajemen organisasi. Proses tata kelola harus dipantau dan dievaluasi untuk mengetahui apakah telah terlaksana secara efektif. Evaluasi terhadap proses tata kelola dapat dilakukan secara kualitatif maupun kuantitatif. Salah satu contoh evaluasi terhadap tata kelola organisasi adalah assessment tata kelola yang dikembangkan oleh Insititute of Internal Auditor (IIA) Research Foundation yaitu Internal Audit Capability Model (IA‐CM). Model Kapabilitas Pengawasan Intern atau Internal Audit Capability Model (IA‐CM) adalah suatu kerangka kerja yang mengindentifikasi aspek‐aspek fundamental yang dibutuhkan untuk pengawasan intern yang efektif di sektor publik. IA‐CM dimaksudkan sebagai model universal dengan perbandingan sekitar prinsip, praktik, dan proses yang dapat diterapkan secara global untuk meningkatkan efektivitas pengawasan intern. Terdapat 6 (enam) elemen yang dinilai dari model tersebut, yaitu: 1.
Peran dan Layanan
2.
Pengelolaan Sumber Daya Manusia
84
2014 |Pusdiklatwas BPKP
3.
Praktik Profesional
4.
Akuntabilitas dan Manajemen Kinerja
5.
Budaya dan Hubungan Organisasi
6.
Struktur Tata Kelola
B.
PEMANTAUAN DAN EVALUASI ATAS EFEKTIVITAS MANAJEMEN RISIKO
Pemantauan adalah penilaian berkelanjutan dari kegiatan manajemen risiko. Ini terjadi di semua tingkat manajemen dan menggunakan baik pelaporan formal maupun komunikasi informal. Pemantauan tindakan manajemen risiko melibatkan pengumpulan informasi yang akan membantu menjawab pertanyaan tentang efektivitas manajemen risiko organisasi. Adalah penting bahwa informasi ini dikumpulkan dan dilaporkan secara terencana, terorganisasi dan rutin. Pemantauan atas efektivitas manajemen risiko dilakukan oleh manajemen. Informasi pemantauan dikumpulkan secara periodik baik secara harian, bulanan ataupun kuartalan. Pemantauan dapat menjawab pertanyaan seperti: Seberapa baik yang kita lakukan? (kinerja) Apakah kita melakukan hal yang benar? (penyimpangan) Apa perbedaan yang kita buat? (dampak) Pemantauan adalah proses yang berkelanjutan yang melakukan review: apakah sumber daya dimobilisasi dan dimanfaatkan ; apakah kegiatan yang sedang dilakukan, dan apakah output yang dimaksudkan dan hasil yang dicapai . Evaluasi penerapan manajemen risiko merupakan kegiatan yang dilakukan untuk mengevaluasi penerapan manajemen risiko organisasi dan menilai rancangan serta efektivitas pelaksanaan proses manajemen risiko dalam memberikan keyakinan kepada para stakeholder apakah penerapan manajemen risiko telah cukup memadai dalam mencapai tujuan dan sasaran organisasi. Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
85
Auditor intern membantu organisasi melakukan pengujian, evaluasi, pelaporan dan merekomendasikan perbaikan atas kecukupan dan keefektivan proses manajemen risiko. Maksud dan tujuan dilakukannya evaluasi penerapan manajemen risiko adalah untuk: 1.
Menilai kecukupan rancangan dan efektivitas pelaksanaan proses manajemen risiko. Evaluasi penerapan manajemen risiko merupakan kegiatan yang dilakukan oleh manajemen untuk memberikan keyakinan kepada para stakeholder apakah rancangan dan efektivitas pelaksanaan proses manajemen risiko telah mencapai tujuan dan sasaran organisasi yang diharapkan.
2.
Mengetahui tingkat kematangan manajemen risiko (risk maturity level) organisasi. Tingkat kematangan manajemen risiko menunjukkan kondisi penerapan manajemen risiko yang ada pada saat evaluasi penerapan manajemen risiko dilakukan. Manajemen organisasi perlu mengetahui tingkat kematangan manajemen risikonya saat evaluasi dilakukan dengan tujuan untuk mengetahui celah antara kondisi tingkat kematangan manajemen risiko yang ada dengan yang diharapkan. Tingkat kematangan manajemen risiko perlu ditingkatkan secara terus menerus.
3.
Menentukan perencanaan audit dan pendekatan audit yang akan digunakan oleh Auditor Intern. Kondisi tingkat kematangan manajemen risiko berkaitan erat dengan penentuan perencanaan audit dan pendekatan audit yang digunakan oleh auditor intern. Perencanaan audit dan pendekatan audit berbasis risiko tidak dapat dilaksanakan bila kondisi tingkat kematangan manajemen risiko berada dalam tingkat awal (non‐existent dan initial) karena pada kondisi tersebut Internal Auditor belum dapat mengandalkan hasil penerapan manajemen risiko (profil risiko organisasi) yang dilakukan oleh manajemen. Pada kondisi tingkat kematangan awal justru auditor intern harus berperan sebagai fasilitator untuk memperbaiki proses manajemen risiko organisasi.
Evaluasi terhadap efektivitas manajemen risiko melihat apakah risik‐risiko yang ada telah menurun dengan pengendalian yang dilakukan. Penurunan dapat dilihat dari level risiko yang semakin menurun ataupun kejadian risikonya yang semakin berkurang (perbandingan event risk dari waktu ke waktu). Evaluasi juga dapat dilakukan melalui Risk Based Internal Audit yang
86
2014 |Pusdiklatwas BPKP
dilaksanakan oleh auditor internal suatu organisasi. Evaluasi Menurut IIA, risk based internal audit adalah sebuah metodologi yang menghubungkan audit intern dengan seluruh kerangka manajemen risiko yang memungkinkan proses audit intern mendapatkan keyakinan memadai bahwa manajemen risiko organisasi telah dikelola dengan memadai sehubungan dengan risiko yang dapat diterima (risk appetite). Melalui Risk Based Internal Audit, sasaran penugasan harus berfokus pada risiko, pengendalian dan proses tata kelola (risk, controls and governance) atas kegiatan yang diaudit.
C.
PEMANTAUAN DAN EVALUASI ATAS EFEKTIVITAS PENGENDALIAN INTERN
Pemantauan pengendalian intern adalah tindakan pengawasan yang dilakukan oleh manajemen dan pegawai lain yang ditunjuk atas pelaksanaan tugas sebagai penilaian terhadap kualitas dan efektivitas sistem pengendalian intern. Pemantauan terhadap sistem pengendalian intern bertujuan untuk meyakinkan bahwa pengendalian telah berjalan sebagaimana yang diharapkan dan diperbaiki sesuai dengan kebutuhan. Aspek pemantauan pengendalian intern mencakup penilaian kegiatan rutin, seperti supervisi, review atas transaksi yang terjadi guna memastikan apakah kegiatan operasional telah sesuai dengan sistem dan prosedur pengendalian yang telah ditetapkan. Pemantauan atas pengendalian intern yang sedang berjalan menyatu pada kegiatan rutin dan berulang. Pemantauan ini mencakup setiap komponen sistem pengendalian intern dan kegiatan untuk mencegah terjadinya kondisi yang tidak lazim, tidak etis, tidak ekonomis, tidak efisien dan tidak efektif dalam pelaksanaan kegiatan. Kegiatan monitoring dalam suatu organisasi merupakan tanggung jawab seluruh jenjang organisasi namun dengan fokus yang berbeda‐ beda, sebagai berikut. 1.
Bagi pegawai, fokus pemantauan adalah untuk mengetahui bahwa pekerjaan dilaksanakan sebagaimana mestinya. Setiap karyawan hendaknya melakukan pengecekan terhadap pekerjaan sebelum disampaikan kepada atasannya. Penyimpangan pada tingkat ini segera dapat dideteksi.
2.
Di tingkat penyelia, pemantauan dilakukan atas seluruh kegiatan di bawah kendalinya guna memastikan bahwa seluruh pegawai yang ada di bawah kendalinya telah melaksanakan tanggung jawabnya masing‐masing.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
87
3.
Pada tingkat manajer, pemantauan dilakukan untuk menilai apakah sistem pengendalian intern telah berfungsi pada masing‐masing unit dalam organisasi dan sejauhmana para penyelia telah melakukan pemantauan pada bagian yang menjadi tanggung jawabnya.
4.
Pada tingkat pimpinan eksekutif, fokus pemantauan adalah pada organisasi dalam lingkup yang menyeluruh, yaitu pemantauan apakah tujuan organisasi telah tercapai. Pimpinan juga melakukan pemantauan atas keberadaan tantangan dan peluang, baik dari sisi internal maupun eksternal yang mungkin membutuhkan perubahan dalam perencanaan organisasi.
Evaluasi atas kegiatan pengendalian yang ada/ terpasang pada dasarnya merupakan tahapan untuk menilai apakah kegiatan pengendalian telah dibangun secara memadai untuk mengatasi risiko atau belum. Penilaian terhadap kegiatan pengendalian yang ada mencakup keberadaan kebijakan dan prosedur yang dimiliki instansi pemerintah terkait penyelenggaraan sistem pengendalian intern. Selain tentang keberadaan, hal penting lain yang harus dinilai adalah implementasi dari kebijakan dan prosedur tersebut. Salah satu pendekatan yang cukup efektif dan efisien adalah dengan Control Self Assessment (CSA). Peran auditor internal adalah menjadi fasilitator dalam pelaksanaan Control Self Assessment. Berdasarkan penilaian ketepatan rancangan pengendalian dan efektivitas pengendalian, celah pengendalian akan dapat diketahui. Celah pengendalian adalah kondisi yang terjadi apabila risiko sesuai prioritas tidak memiliki pengendalian atau pengendalian yang ada tidak mencukupi untuk membawa risiko kepada tingkat sisa risiko (residual risk) yang berada dalam tingkat selera risiko manajemen. Atas risiko tersebut, lebih lanjut, akan dirumuskan perbaikan atau revisi kegiatan pengendaliannya. Rumusan ini dituangkan dalam dokumen Rencana Tindak Pengendalian (RTP). Informasi dalam sistem pengendalian intern dapat berupa: 1.
informasi tentang paparan dan tren risiko yang terjadi;
2.
informasi yang merupakan bagian atau sebagai bentuk dari kegiatan pengendalian; dan
3.
informasi yang dibutuhkan dalam rangka untuk menjalankan pengendalian.
Dalam RTP, keseluruhan informasi tersebut dituangkan cara pengomunikasiannya untuk mendukung berjalannya pengendalian.
88
2014 |Pusdiklatwas BPKP
Dokumen RTP perlu memuat mekanisme pemantauan yang akan dijalankan. Hal ini untuk memastikan bahwa pengendalian yang telah dirancang dilaksanakan dan berjalan secara efektif. Pemantauan diharapkan dapat memberikan informasi mengenai beberapa hal berikut. 1.
Realisasi pelaksanaan perbaikan/penyempurnaan kebijakan, prosedur atau infrastruktur lainnya.
2.
Kegiatan/proses manajemen yang masih bermasalah meskipun telah dirancang mekanisme pengendalian di dalamnya.
3.
Infrastruktur pengendalian yang tidak dapat berjalan dengan baik.
4.
Penyebab dan akibat permasalahan.
5.
Tindakan yang diperlukan jika berdasarkan hasil pemantauan diperoleh kesimpulan bahwa diperlukan penyempurnaan lebih lanjut.
Kegiatan pemantauan dapat dilakukan oleh setiap tingkat pimpinan di masing‐masing bagian/bidang. Control Self Assessment (CSA) CSA adalah suatu proses penilaian diri sendiri tentang efektifitas pengendalian yang ada untuk memberi keyakinan bahwa tujuan/sasaran organisasi akan tercapai. Penilaian sendiri merujuk upaya yang melibatkan manajemen dan karyawan secara aktif terlibat dalam evaluasi dan pengukuran efektivitas pengendalian. Pendekatan ini dapat dilakukan dengan melibatkan auditor intern atau konsultan, namun tetap dalam koridor bahwa manajemen atau pimpinan instansi adalah pihak yang bertanggung jawab untuk menilai sendiri efektivitias pengendalian yang berlangsung dalam organisasi yang dipimpinnya. Pihak ketiga (auditor intern atau konsultan) berperan sebagai fasilitator untuk menggali ide dan mengakselerasi proses CSA. Metode atau pendekatan CSA menurut Larry Hubbard (2005) dibagi atas tiga pendekatan, yaitu: workshop, survei dan analisis manajemen. 1.
Pendekatan workshop adalah pertemuan yang difasilitasi oleh fasilitator untuk menilai risiko terkait dengan tujuan yang akan dicapai.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
89
2.
Survei adalah metode CSA dengan memberikan kuesioner kepada responden. Pendekatan survei biasanya dilakukan apabila budaya organisasi masih belum terbuka terhadap kritik‐ kritik dan saran‐saran terutama atas hal‐hal yang sifatnya masih sensitif dan tabu untuk didiskusikan. Secara umum, metode survei dapat lebih dipilih dibanding metode workshop dalam kondisi berikut. a.
Budaya organisasi yang belum siap untuk mendiskusikan hal‐hal yang sifatnya sensitif pada pertemuan terbuka
b.
Susah untuk mengumpulkan peserta bersama‐sama dalam suatu pertemuan
c.
Adanya keterbatasan dana sehingga dipilih metode dengan biaya murah
d.
Keahlian sebagai fasilitator belum dimiliki oleh internal auditor
e.
Ruang lingkup penilaian sendiri atas organisasi terlalu luas dan informasi dibutuhkan cepat
Dalam pendekatan survei, peserta atau responden akan mengisi kuesioner yang telah dirancang oleh fasilitator. Responden biasanya mengisi kuesioner tanpa menyebutkan nama, agar pengisian kuesioner dapat dilakukan dengan jujur dan apa adanya. Hasil kuesioner tersebut kemudian digunakan oleh pimpinan dalam menilai pengendalian internnya. 3.
Metode ketiga CSA adalah analisis manajemen. Pendekatan ini memang tidak sepopuler pendekatan workshop dan survei. Pendekatan ini intinya adalah analisis yang dihasilkan oleh manajemen berdasarkan diskusi, review, atau kuesioner dalam rangka mendukung suatu opini/pendapat tertentu atau membuat kesimpulan atas suatu permasalahan tertentu.
Dari ketiga metode CSA tersebut di atas, yang paling populer dan direkomendasikan oleh The Institute of Internal Auditor (IIA) adalah metode workshop. Jika budaya organisasi tidak mendukung metode workshop, maka metode survei dan analisis manajemen dapat digunakan. ~~~
90
2014 |Pusdiklatwas BPKP
Daftar Pustaka Asosiasi Auditor Intern Pemerintah Indonesia, Standar Audit Intern Pemerintah Indonesia, Jakarta, 2014. AS/NZS 4360:2004, Australian/New Zealand Standard Risk Management, Joint Technical Committee OB‐007 Risk Management, 31 Agustus 2004. Badan Pengawasan Keuangan dan Pembangunan, Pedoman Teknis Penyelenggaraan Sistem Pengendalian Intern Pemerintah, Jakarta, 2009. Badan Pengawasan Keuangan dan Pembangunan, Pedoman Penyusunan Desain Penyelenggaraan Sistem Pengendalian Instansi Pemerintah, Jakarta, 2011. Badan Pengawasan Keuangan dan Pembangunan, Pedoman Bimbingan Teknis Penyelenggaraan Sistem Pengendalian Intern Pemerintah bagi Fasilitator, Jakarta, 2013. Badan Perencanaan Pembangunan Nasional, Modul Tata Kepemerintahan Yang Baik, Jakarta, 2007. Committee of Sponsoring Organizations of The Treadway Commission, Internal Control‐ Integrated Framework (Framework, Including Executive Summary), September 1992. Committee of Sponsoring Organizations of The Treadway Commission, Internal Control – Integrated Framework 2013. Mei 2013. International Federation of Accountants (IFAC), Effective Governance, Risk Managemendt, and Internal Control, IFAC Policy Position 7, December 2012. INTOSAI, Guidelines for Internal Control Standards for the Public Sector, Brussels, 2004. Peraturan Menteri Keuangan Nomor 191/PMK.09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Departemen Keuangan. Peraturan Pemerintah Nomor 60 Tahun 2008, tentang Sistem Pengendalian Intern Pemerintah. PPM‐Manajemen, Manajemen Risiko Terintegrasi, Modul Pelatihan, 2009. Pusdiklatwas BPKP, Akuntabilitas Instansi Pemerintah, Modul Diklat Sertifikasi JFA Tingkat Pembentukan Auditor Anggota Tim, Edisi Keenam, Jakarta, 2011. Pusdiklatwas BPKP, Sistem Pengendalian Manajemen, Modul Diklat Sertifikasi JFA Tingkat Ahli, Edisi Keenam, Jakarta, 2009.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern
91
Ramos, Michael J., How to comply with Sarbanes‐Oxley Section 404: Assessing the effectiveness of internal control. E John Wiley & Sons Inc. New Jersey, USA., 2nd edition, 2006. The Institute of Internal Auditors, Internal Audit, Assurance and Consultancy, The IIA Research Foundation, 2009. Undang‐Undang Nomor 1 Tahun 2004 tentang Perbendaharaan Negara. Undang‐undang Nomor 15 Tahun 2004 tentang Pemeriksaan Pengelolaan dan Tanggung jawab Keuangan Negara. Undang‐Undang Nomor 17 Tahun 2004 tentang Keuangan Negara.
92
2014 |Pusdiklatwas BPKP