Pengendalian Internal Dalam Manajemen Risiko, Atau Sebaliknya ?

Banyak dari kita pasti sudah sangat familiar dengan kata pengendalian internal ataupun manajemen risiko, namun sebagian dari kita pasti tidak sedikit yang membingungkan mana yang lebih tepatantara pengendalian internal bagian dari manajemen risiko atau justru sebaliknya. Kira-kira itu yang menjadi banyak dipertanyakan tentang pemahaman keduanya. Dalam artikel ini hal tersebut yang akan kita bahas secara singkat.

Secara sederhana, pengendalian internal dibuat untuk membantu suatu organisasi dalam mencapai tujuannya. Dalam organisasi tersebut pengendalian mempunyai peran untuk mengendalikan risiko yang ada agar tetap dalam batas yang wajar yang masih dapat diterima oleh kemampuan organisasi. Dari situ maka dalam merancang pengendalian internal maka perlu adanya proses identifikasi, pemahaman, penilaian dan pemetaan risiko yang ada dalam organisasi terlebih dahulu. Maka intinya adalah pengendalian internal akan dapat dilaksanakan setelah dilakukannya manajemen risiko, dan manajemen risiko sendiri dapat dilaksanakan apabila suatu organisasi telah menentukan tujuannya.

Jika ditarik ke belakang, kebingungan ini terjadi dari munculnya Internal Control COSO Framework yang muncul tahun 1992 yang lebih dikenal dengan istilah Internal Control COSO Framework. Dalam kerangka ini dijelaskan ada lima komponen yaitu antara lain control environment, risk assessment, control activities, information and communication, dan monitoring. Jadi bisa dikatakan bahwa dalam Internal Control COSO Framework 1992 tersebut memasukkan proses manajemen risiko sebagai bagian dari sistem pengendalian internal. Perlu diketahui bahwa Internal Control COSO Framework tahun 1992 ini telah digantikan dengan Internal Control COSO Framework tahun 2013.

Berbeda dengan Internal Control Framework, pada tahun 2004 COSO menerbitkan Enterprise Risk Management Integrated Framework yang memperluas Internal Control Framework yang muncul tahun 1992. Hal yang membedakan adalah penambahan komponen event identification sebelum risk assessment dan risk response setelahnya. Dalam kerangka ini fokus pada risiko jadi lebih terlihat. Komponen dari kerangka yang terbit 2004 ini secara lengkap terdiri dari internal environment, objective setting, event identification, risk assessment, risk response, control activities, information and communication, dan monitoring. Hal ini menunjukkan bahwa dalam kerangka kerja COSO tahun 2004, pengendalian internal menjadi bagian dari manajemen risiko.

Dari apa yang dijelaskan 2 paragraf di atas maka dapat dikatakan bahwa dua kerangka COSO tersebut terlihat bertentangan. Hal ini sejalan dengan apa yang dikatakan Norman Marks bahwa manajemen risiko menjadi bagian dari kerangka pengendalian intern, sedangkan pengendalian intern masuk dalam kerangka manajemen risiko di sisi lain. Namun COSO sendiri beranggapan bahwa kerangka tahun 1992 tidak digantikan dengan kerangka tahun 2004, itu berarti kedua tersebut masih sah-sah saja untuk menjadi acuan. Jika suatu organisasi menggunakan kerangka 2013-yang menggantikan kerangka 1992-maka ia harus membangun manajemen risiko sebagai bagian dari pengendalian intern. Apabila menjadikan kerangka COSO 2004 sebagai acuan maka organisasi harus membangun pengendalian intern sebagai bagian dari manajemen risiko.

Di Kanada pedoman terkait pengendalian intern disebut Criteria of Control (COCO). Dalam COCO Guidance on Control (CICA,1995) dinyatakan bahwa pengendalian mencakup identifikasi dan mitigasi risiko. Pernyataan tersebut,menyiratkan bahwa manajemen risiko menjadi bagian dari pengendalian. Jika dirunut historisnya pedoman ini muncul setelah COSO 1992 dan sebelum COSO 2004, pantas apabila pedoman ini sejalan dengan kerangka COSO 1992. Berbeda halnya dengan International Federation of Accountants (IFAC) yang menganut bahwa pengendalian intern bagian dari manajemen risiko. Kita bisa cek di Good Practice Guidance berjudul Evaluating and Improving Internal Control in Organizations yang diterbitkan IFAC tahun 2012-bisa dibaca dan diunduh di web IFAC-.dalam pedoman tersebut digambarkan bahwa pengendalian intern bagian dari manajemen risiko yang kemudian manajemen risiko menjadi bagian dari sistem tata kelola organisasi.

Standar lain yang bisa diperhitungkan berlaku internasional adalah ISO 31000:2009. Sebagai standar risiko maka di dalamnya membahas proses analisis risiko (risk analysis) dan penanganan risiko (risk treatment). Standar ini menyinggung perlunya menilai efektifitas dan efisiensi pengendalian yang ada dalam menjaga resiko dan bentuk lain berupa menambah atau mengubah pengendalian. Standar ini menyiratkan bahwa pengendalian intern masuk sebagai bagian dari manajemen risiko.

Di Inggris pedoman terkait pengendalian intern disebut Turnbull Report (ICAEW, 1999) atau Internal Control Guidance for Directors on the Combine Code. Dalam pedoman ini disebutkan “a company’s system of internal control has a key role in the management of risks that are significant to the fulfilment of its business objectives”. Sulit untuk mengidentifikasi kalimat tersebut apakah manajemen risiko bagian dari pengendalian internal atau justru sebaliknya. Pedoman ini kemudian digantikan dengan pedoman lain tahun 2014-Guidance on Risk Management, Internal Control and Related Financial and Business Reporting- yang lebih mengarahkan agar manajemen risiko dan pengendalian intern dijalankan bersama-sama sebagai kesatuan yang tak terpisahkan. Maka tidak heran pula kalau beberapa kalangan menyebut bahwa manajemen risiko dan pengendalian intern seperti dua sisi mata uang. Manajemen risiko lebih pada menemukan ancaman dan peluang, sedangkan pengendalian intern dirancang untuk menangani ancaman dan peluang tersebut. Kemudian Matthew Leitch (2004) dalam artikelnya yang berjudul “Risk Management versus Internal Control” menyatakan bahwa “in principle, there is no difference between a risk management system and an internal control system”.

Kesimpulan yang bisa diambil dari tulisan ini adalah bahwa beragamnya sudut pandang yang ada menunjukkan bahwa kita tidak perlu memaksakan pendapat kita atau memilih sudut secara mutlak menentukan mana yang paling benar. Sudut pandang manapun sah-sah saja untuk dijadikan pedoman selama hal penting atau inti dari bahasan ini seperti aspek risiko, pengendalian dan tujuan organisasi tidak ada yang dilewatkan.