LANGKAH PRAKTIS IMPLEMENTASI SPIP BERBASIS ENTITY RISK MANAGEMENT Dr. Marno Kastowo, M.E., Ak.*
Abstrak Sudah empat tahun sejak terbitnya PP 60 Tahun 2008 tentang SPIP, atau empat belas tahun sejak tuntutan reformasi 1997/1998, pengendalian intern untuk menjamin pencapaian kinerja dan akuntabilitas penyelenggaraan pemerintahan belum dapat dimplementasikan secara menyeluruh pada setiap kementerian/lembaga/pemerintah daerah. Terdapat beberapa kesulitan untuk membumikan konsep SPIP ke dalam tataran praktis. Tulisan ini menguraikan sepuluh langkah praktis sebagai milestone untuk mengimplementasikan SPIP berbasis Entity Risk Management.
1. Latar Belakang Penyelenggaraan pemerintahan yang kurang berorientasi kepada kepentingan publik selama Orde Baru telah menyebabkan munculnya praktik-praktik korupsi, kolusi, dan nepotisme. Mekanisme pengendalian dan pengawasan yang telah dibangun tidak dapat berjalan dengan baik karena pengabaian manajemen dan kurang efektivnya pengawasan publik. Kondisi tersebut berujung pada ketidakpuasan publik dan tuntutan reformasi 1997/1998. Undang-undang No. 28 Tahun 1999 tentang Penyelenggaraan Negara Yang Bersih dan Bebas Dari Korupsi, Kolusi, dan Nepotisme lahir sebagai respon dari tuntutan tersebut. Undang-undang tersebut menetapkan Asas tertib penyelenggaraan negara (keteraturan, keserasian, dan keseimbangan dalam pengendalian penyelenggaraan negara) sebagai salah satu asas umum penyelenggaraan negara. Tiga paket undang-undang di bidang keuangan negara (UU No. 17 Tahun 2003 tentang Keuangan Negara, UU No. 1 Tahun 2004 tentang Perbendaharaan Negara, dan UU No. 15 Tahun 2004 Tentang Pemeriksaan Pengelolaan dan Tanggung Jawab Keuangan Negara) baru terbit 5 tahun setelah tuntutan reformasi tersebut. Terkait dengan sistem pengendalian intern, UU No. 1 Tahun 2004 telah member amanat kepada presiden selaku kepala kemerintahan untuk mengatur dan menyelenggarakan sistem pengendalian intern di lingkungan pemerintahan secara menyeluruh. Amanat tersebut direspon dengan terbitnya PP Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah. Dengan demikian, diperlukan waktu sepuluh tahun dari tuntutan publik terhadap kinerja, transparansi, dan akuntabilitas pengelolaan keuangan negara (reformasi 97/98) sampai dengan terbitnya PP SPIP. Lebih memprihatinkan lagi, sampai dengan saat ini, lebih dari empat belas tahun sejak tuntutan reformasi 97/98, sistem pengendalian tersebut belum dimplementasikan secara menyeluruh oleh kementerian/lembaga dan pemerintah daerah. Kronologi tuntutan reformasi sampai dengan implementasi SPI saat ini dapat dilihat pada tabel 1 sebagai berikut: 2
Tabel 1. Kronologi Tuntutan Reformasi-Implementasi SPI 1997/1998 1999 2003/2004 2008 2012 Tuntutan publik pada pemerintah untuk memperbaiki kinerja, akuntabilitas dan transparansi. Ketidakpuasan pada sistem pengendalian yang berjalan. Lahirnya UU No. 28 Tahun 1999 Tentang Penyelenggaraan Negara Yang Bersih dan Bebas Dari KKN Lahirnya 3 paket undang-undang reformasi keuangan negara. Amanat untuk mengatur & melak-sanakan sistem pengendaIian intern Lahirnya PP 60 Tahun 2008 tentang SPIP SPIP belum dapat diimplementasikan kementerian / lembaga / pemda secara menyeluruh.
Sampai dengan saat ini, BPKP sebagai pembina SPIP telah melakukan sosialisasi, pelatihan, serta asistensi dalam rangka implementasi SPIP. Namun demikian, seringkali para peserta sosialiasi dan pelatihan menyatakan bahwa SPIP secara konseptual sangat bagus tetapi susah untuk diimplementasikan. Konsep yang bagus jika tidak dapat dibumikan akan cenderung dikebumikan. Tulisan ini bertujuan untuk menguraikan langkah-langkah praktis dalam membumikan SPIP secara bertahap dengan pendekatan ERM / entity risk management.
2. Pembahasan 2.1. SPIP dan Entity Risk Management Sistem pengendalian intern pemerintah adalah Sistem Pengendalian Intern yang diselenggarakan secara menyeluruh di lingkungan pemerintah pusat dan pemerintah daerah. SPIP bertujuan untuk memberikan keyakinan yang memadai bagi tercapainya efektivitas dan efisiensi pencapaian tujuan penyelenggaraan pemerintahan, keandalan pelaporan keuangan, pengamanan aset, dan ketaatan terhadap peraturan perundang-undangan. SPIP terdiri atas unsur: lingkungan pengendalian, penilaian risiko, kegiatan pengendalian, informasi dan komunikasi, dan pemantauan pengendalian intern (PP 60 Tahun 2008). PP 60 Tahun 2008 tidak mengatur secara tegas framework penerapan SPIP. Namun demikian, PP 60 2008 memberikan rambu-rambu implementasi sebagai berikut: Unsur SPIP mengacu pada unsur sistem pengendalian intern yang telah dipraktikkan pada sektor pemerintahan di berbagai negara. Penerapan unsur SPIP dilaksanakan menyatu dan menjadi bagian integral dari kegiatan Instansi Pemerintah. Pengembangan unsur Sistem Pengendalian Intern perlu mempertimbangkan aspek biaya- manfaat (cost and benefit), sumber daya manusia, kejelasan kriteria pengukuran efektivitas, dan perkembangan teknologi informasi serta dilakukan secara komprehensif. Rambu-rambu tersebut menegaskan pentingnya implementasi SPI yang built in, 3
komprehensif, mempertimbangkan biaya manfaat, dan memperhatikan praktik di berbagai negara.
INTOSAI (2004) menegaskan bahwa pengendalian intern merupakan suatu upaya menyiapkan suatu kerangka kerja konseptual yang mendasar, dengannya suatu entitas dapat dikelola untuk mencapai tujuan- tujuannya (providing an overarching conceptual framework through which an entity can be managed to achieve its objectives). Entity risk management dapat dianggap sebagai evolusi alami dari model pengendalian intern. Pengendalian intern merupakan bagian integral dari ERM. Selain sebagai alat untuk mengarahkan pengen- dalian intern, kerangka kerja ERM dapat membentuk sistematisasi yang lebih kuat agar keputusan-keputusan entitas dapat berujung pada misi utama dan tujuan terkait. Kerangka kerja ERM juga menjadi sarana bagi manajemen untuk menentukan respon yang benar terhadap kejadian tertentu. Berdasarkan uraian di atas, kerangka kerja ERM sebagaimana telah dikembangkan oleh INTOSAI dapat digunakan sebagai model untuk mengimplementasikan SPIP secara bertahap dan komprehensif.
2.2. Sepuluh Langkah Menuju SPIP Berikut ini adalah sepuluh langkah praktis untuk implementasi SPIP berdasarkan kerangka kerja yang mempertimbangkan Entity Risk Management.
1). Pastikan Tujuan Organisasi Tujuan pengendalian adalah mengaman- kan tujuan organisasi. Suatu organisasi tidak akan termotivasi mengimplementasikan pengendalian jika tidak terdapat tujuan yang harus dicapai atau tidak ada implikasi yang nyata jika tujuan organisasi tidak tercapai. Suatu entitas bisnis yang bertujuan mencari laba yang berkesinambungan akan berupaya sekuat tenaga mengimplementasikan pengen- dalian karena tidak tercapainya tujuan akan menyebabkan kebangkrutan entitas tersebut. Pada organisasi publik, kadang tidak terdapat implikasi yang nyata atas kegagalan dan keberhasilan pencapaian tujuan organisasi sehingga manajemen menjadi kurang peduli dengan pengendalian yang diperlukan untuk mengamankan pencapaian tujuan. Organisasi perlu merumuskan dengan jelas tujuan yang bersifat stratejik (mengacu pada perencanaan strategik organisasi) maupun tujuan pada tingkat kegiatan (dapat dikaitkan dengan ketaatan, efisiensi, pengamanan aset, serta pelaporan keuangan). Tujuan tersebut harus dirumuskan dengan baik sehingga dapat diperoleh kejelasan mengenai apa yang mau dicapai, tingkat capaian, maupun waktu pencapaiannya. Indikator yang tepat diperlukan agar tidak terjadi bias dalam menentukan keberhasilan organisasi. Penanggung jawab pencapaian tujuan dan konsekuensi atas kegagalan pencapaian tujuan harus ditetapkan secara tegas agar manajemen tergerak untuk mengimple- mentasikan pengendalian.
4
2). Siapkan Lingkungan Pengendalian Mini Lingkungan pengendalian mini adalah lingkungan pengendalian minimal agar Entity Risk Management sebagai kerangka kerja implementasi SPIP dapat dilaksanakan. Komitmen untuk mengimplementasikan SPIP berbasis ERM harus dicanangkan oleh pimpinan dan disosialisasikan kepada seluruh pegawai. Akan lebih efektif jika komitmen tersebut dituangkan dalam bentuk regulasi / aturan dalam organisasi. ERM dan SPIP adalah hal yang relatif baru. Oleh karena, untuk memfasilitasi implementasi manajemen risiko perlu dibuat satgas atau unit organisasi yang bertugas membantu pimpinan mengembangkan konsep manajemen risiko yang cocok untuk organisasi yang bersangkutan. Satgas / unit tersebut harus mampu merumuskan konsep praktis mengenai risiko, cara mengukur probabilitas dan dampak risiko, menentukan status risiko, kriteria penerimaan risiko (risk acceptance) serta panduan umum mengenai siapa yang harus bertanggung jawab atas risiko berdasarkan status risiko. Satgas/unit organisasi ini juga dapat berperan untuk membantu unit organisasi dalam proses identifikasi dan penilaian risiko. Keberhasilan / kegagalan penyiapan lingkungan pengen- dalian mini akan berpengaruh besar pada keberhasilan / kegagalan tahap identifikasi dan analisis risiko. 3). Identifikasi Risiko dan Problem Secara Jujur Risiko merupakan kejadian yang mungkin terjadi (belum terjadi saat ini) yang dapat menyebabkan tidak tercapainya tujuan. Sedangkan problem merupakan risiko yang terjadi saat ini sehingga menyebabkan hambatan pencapaian tujuan. Unit organisasi yang bertanggung jawab atas tujuan perlu melakukan identifikasi risiko dan problem yang relevan dengan tujuan. Identifikasi risiko dapat dilakukan secara retrospective (berdasarkan sejarah keterjadian risiko/insiden sebelumnya) maupun prospective (berdasarkan dugaan / prediktif). Identifikasi risiko dapat dilakukan secara mandiri (risk self assessment) oleh unit organisasi yang bersangkutan maupun melibatkan pihak-pihak lain yang dipandang kompeten. Kunci sukses dari tahap ini adalah kejujuran setiap pihak untuk mengemukakan semua problem dan risiko, termasuk yang terkait dengan fraud/kecurangan. Kekha- watiran bahwa hasil assessment akan digunakan sebagai senjata oleh auditor internal atau auditor eksternal untuk menemukan masalah yang akan diangkat menjadi temuan hasil audit dapat menyebabkan identifikasi risiko dan problem menjadi tidak lengkap (manajemen tidak berani secara jujur mengungkapkan seluruh problem dan risk). Event tree analysis pada tujuan/kegiatan dapat dilakukan agar identifikasi problem dan risk dapat dilakukan secara lengkap. Pada tahap awal, identifikasi risiko dapat lebih difokuskan pada risiko-risiko yang berpengaruh besar pada pencapaian tujuan. Risiko yang telah diidentifikasi kemudian dirumuskan dalam kalimat pernyataan risiko (risk statement) dan dituangkan dalam daftar 5
risiko (risk register). Terhadap setiap problem yang menimbulkan hambatan pencapaian tujuan perlu dibuat Corrective Action Plan dan milestone untuk memecahkannya. Implikasi keuangan (biaya) yang timbul untuk melaksanaan CAP tersebut harus dianggarkan secara layak agar masalah dapat diatasi dan tidak menimbulkan hambatan pencapaian tujuan organisasi.
4). Analisis Risiko Secara Cermat Analisis risiko dilakukan untuk menentukan tingkat probabilitas keterjadian risiko, dampak jika masalah terjadi, serta status untuk setiap risiko. Analisis probabilitas dan dampak dapat dilakukan dengan berbagai cara dan tingkat kecanggihan; dari cara yang sederhana dengan skala likert yang dirumuskan melalui curah pendapat sampai dengan cara-cara kuantitatif yang kompleks dengan berbagai teknik. Untuk tahap awal, instansi tidak perlu terobsesi menerapkan metode yang canggih tetapi tidak dikuasai yang dapat berujung pada kebingungan dan keputusasaan. Mulailah dengan cara sederhana, yang penting mampu menghasilkan status untuk setiap risiko. Status risiko ditentukan oleh probabilitas, dampak, dan selera risiko (risk apptit) organisasi. Status risko dapat terus disempurnakan secara bertahap. Berdasarkan status risiko tersebut instansi menetapkan tingkat penerimaan risiko (risk acceptance), penanggung jawab risiko/risk owners (manajemen tingkat puncak, menangah, atau tingkat operasional), serta respon terhadap risiko (risk respond). 5). Pilih Kegiatan Pengendalian Secara Selektif Kegiatan pengendalian dilaksanakan jika respon terhadap risiko menghendaki bahwa risiko tersebut perlu dikendalikan. Pengen- dalian akan menimbulkan biaya / costly. Oleh karena itu, organisasi harus memilih kegiatan pengendalian yang betul-betul relevan, diperkirakan efektif, dan memper- timbangkan analis biaya manfaat (cost-benefit analysis). Organisasi harus menjamin keter- sediaan anggaran untuk melakukan kegiatan pengendalian tersebut. Kegiatan pengendalian meliputi kegiatan yang bersifat preventif, detektif, serta mitigatif. Pengendalian preventif ditujukan untuk mencegah keterjadian risiko (mengurangi probabilitas). Pengendalian detektif diperlukan untuk memastikan berjalannya pengendalian preventif dan mendeteksi keterjadian risiko. Sedangkan pengendalian mitigatif diper- siapkan untuk meminimalkan dampak yang timbul atas keterjadian risiko. Kegiatan pengendalian yang baik bersifat melekat (built- in) pada kegiatan operasional yang dijalankan. Rancangan kegiatan pengendalian perlu diintegrasikan dengan standar operasi dan formulir-formulir kegiatan operasional. Kegiatan pengendalian tidak perlu dibatasi pada 11 unsur kegiatan pengendalian pada SPIP, yang penting dapat berjalan efektif mengatasi risiko. Manajemen harus selalu menyadari bahwa kegiatan pengendalian tidak memberi jaminan absolut (absolute assu- rance). Sisa risiko setelah pengendalian (residual risk) atau kegagalan pengendalian dapat saja terjadi. Oleh karena itu, 6
manajemen dapat mempersiapkan pengen- dalian tambahan / pengendalian pengganti (compensative control). 6). Rancang Form Operasi/Pelaporan Yang Diperlukan Dokumentasi dalam formulir operasional dan pelaporan diperlukan untuk mendukung implementasi SPIP dalam kerangka ERM. Form operasi dan pelaporan ini akan meningkatkan kesadaran akan pencapaian tujuan dan pengelolaan risiko. Organisasi perlu mendokumentasikan tujuan yang akan dicapai, daftar dan status risiko, serta rancangan pengendalian yang dijalankan. Formulir/media pelaporan yang tepat harus dirancang untuk mengetahui perkembangan pencapaian tujuan organisasi (baik tujuan stratejik maupun operasional) berdasarkan data yang handal dan berkesinambungan. Media pencatatan dan pelaporan kegagalan pengendalian, keterjadian risiko, dan dampaknya bagi organisasi harus didesain dan diselenggarakan secara kontinyu. Jika mungkin, perkembangan biaya aktual dalam rangka pengendalian dan kerugian akibat keterjadian risiko harus dicatat dan dilaporkan secara kontinyu dengan media yang dibakukan. Dokumentasi dan pelaporan perkembangan pelaksanaan Corrective Action Plan atas masalah-masalah yang menghambat pencapaian tujuan organisasi perlu dirancang secara memadai sehingga betul-betul dapat menjamin efektivitas CAP. 7). Membangun Dukungan Komunikasi Internal dan Eksternal Organisasi perlu membangun sarana komunikasi internal dan eksternal dalam rangka memfasilitasi pelaksanaan ERM. Sarana komunikasi tersebut antara lain meliputi: Sarana komunikasi untuk merumuskan tujuan berdasarkan harapan/masukan dari para pemangku kepentingan (stakeholders) organisasi. Sarana komunikasi dalam rangka mensosialisasikan tujuan strategik dan kegiatan diperlukan untuk menumbuhkan komitmen dan menyatukan langkah seluruh komponen organisasi untuk mencapai tujuan tersebut. Sarana Komunikasi berjenjang untuk memfasilitasi pelaporan perkembangan pencapaian tujuan, keterjadian risiko, dan dampak dari keterjadian risiko. Sarana komunikasi untuk mendukung pengambilan putusan dan implementasi corrective action plan. Organisasi harus bersedia menanggung implikasi biaya yang timbul terkait dengan pengembangan teknologi dan SDM yang dibutuhkan untuk mendukung proses komunikasi tersebut. 8). Monitoring Berkelanjutan Monitoring yang berkelanjutan diperlukan untuk meyakini bahwa pengendalian masih selaras dengan tujuan dan risiko saat ini. Aktivitas on going monitoring harus dirancang secara built in (melekat) pada kegiatan organisasi. Jejak pengendalian aktivitas on going monitoring harus terlihat jelas dalam formulir operasional yang digunakan. Separate evaluation oleh unit mandiri secara rutin dilakukan untuk menguji jalannya on 7
going monitoring dan menilai efektivitas pengendalian. Tujuan, risiko, desain pengendalian, dan CAP perlu disesuaikan dengan fakta-fakta hasil monitoring. Konsekuensi bagi penanggung jawab monitoring harus dinyatakan secara tegas jika kegiatan monitoring mengalami kegagalan. Organisasi harus memiliki mekanisme tindak lanjut hasil monitoring dan menetapkan konsekuensi bagi pihak-pihak yang tidak bersedia menjalankan saran/rekomendasi hasil monitoring.
9). Membangun Lingkungan Pengendalian Luas Implementasi Sistem Pengendalian Intern Pemerintah harus dilandasi kesadaran bahwa subjek dan sebagian besar objek pengendalian adalah manusia. SPIP harus mempertimbangkan aspek dinamik perilaku manusia. Manusia akan mengambil sikap dan berreaksi pada pengendalian yang mempengaruhi kepentingannya. Manusia rasional akan memikirkan keuntungan dan manfaat pengendalian bagi dirinya. Oleh karena itu, faktor manusia memegang peranan penting dalam SPIP. Pengembangan SPIP yang menutup mata terhadap kepentingan/kebutuhan individu dalam organisasi akan menghasilkan reaksi-reaksi negatif yang akan membuat SPIP tidak efektif. Unsur-unsur lingkungan pengendalian dalam arti luas seperti Integritas dan nilai etika, komitmen terhadap kompetensi, kepe- mimpinan yang kondusif, struktur organisasi sesuai kebutuhan, pendelegasian wewenang dan tanggung jawab yang tepat, penyusunan dan penerapan kebijakan SDM yang tepat, APIP yang efektif, dan hubungan baik antar instansi pemerintah perlu dikembangkan untuk mendukung efektivitas manajemen risiko organisasi.
10). Kembangkan Pada Area Yang Lebih Luas Mengawali implementasi SPIP berbasis ERM dari aktivitas/unit organisasi yang kecil memiliki banyak manfaat. Implementasi awal tersebut dapat digunakan sebagai sarana pembelajaran/uji coba. Pembelajaran pada area yang kecil akan lebih manageable daripada implementasi pada entitas secara menyeluruh secara langsung. Kegagalan implementasi awal dapat dijadikan sarana pembelajaran dan perbaikan, sedangkan keberhasilannya dapat dijadikan sarana percontohan dan unjuk manfaat (membuktikan bahwa SPIP memang dapat dilaksanakan dan berguna). Risiko-risiko kegiatan dan strategis dapat bersifat lintas aktivitas dan lintas unit organisasi. Keberhasilan/kegagalan imple- menttasi ERM pada suatu aktivitas/unit organisasi juga dipengaruhi oleh risiko pada entitas/aktivitas yang lain. Oleh karena itu, implementasi awal ERM pada suatu aktivitas / unit organisasi tertentu perlu ditindaklanjuti dengan implementasi ERM pada aktivitas / unit organisasi yang terkait. Implementasi tersebut harus terus dikembangkan agar implementasi secara penuh pada seluruh aktivitas dan entitas organisasi dapat diwujudkan.
8
3. Simpulan dan Saran Lahirnya SPIP tidak lepas dari tuntutan reformasi agar pemerintah memperbaiki pengendalian dalam rangka meningkatkan kinerja, akuntabilitas, dan transparansi. Sudah lebih dari empat belas tahun sejak tuntutan reformasi 1997/1998 tetapi pengendalian tersebut belum diimplementasikan secara menyeluruh oleh kementerian/lembaga dan pemerintah daerah karena terdapat beberapa kesulitan untuk membumikan konsep SPIP ke dalam tataran praktis. Untuk mengimplementasikan SPIP, kementerian/lembaga/pemerintah daerah dapat menggunakan kerangka entity risk management. Sepuluh langkah praktis yang telah diuraikan dalam tulisan ini dapat diimplementasikan untuk mempermudah praktik membumikan SPIP secara bertahap dalam kehidupan organisasi.
DAFTAR PUSTAKA BPKP. 2009. Modul Diklat SPIP (Modul 1-6). Pusdiklatwas BPKP. Ciawi INTOSAI. 2004. Guidelines for Internal Control Standards for the Public Sector. INTOSAI General Secretariat. Vienna. INTOSAI. 2004. Guidelines for Internal Control Standards for the Public Sector Further Information on Entity Risk Management. INTOSAI General Secretariat. Vienna. Republik Indonesia. 1999. UU No. 28 Tahun 1999 Tentang Penyelenggaraan Negara Yang Bersih Dan Bebas Dari Korupsi, Kolusi, Dan Nepotisme. Setneg. Jakarta. Republik Indonesia. 2003. UU No. 17 Tahun 2003 Tentang Keuangan Negara. Setneg. Jakarta. Republik Indonesia. 2004. UU No. 1 Tahun 2004 Tentang Perbendaharaan Negara. Setneg. Jakarta. Republik Indonesia. 2004. UU No. 15 Tahun 2004 Tentang Pemeriksaan Pengelolaan dan Tanggung Jawab Keuangan Negara. Setneg. Jakarta. Republik Indonesia. 2008. PP No. 60 Tahun 2008 Tentang Sistem Pengendalian Intern Instansi Pemerintah. Setneg. Jakarta. The Committee of Sponsoring Organizations of the Treadway Commission (COSO). 2009. Guidance on Monitoring Internal Control Systems. www.cpa2biz.com diakses tanggal 27 Juli 2011.
*Penulis adalah Widyaiswara Muda, Pengampu Mata Diklat SPIP Pusdiklatwas BPKP, Doktor dalam Ekonomi Terapan Universitas Padjadjaran. email: emqast@yahoo.com