Risiko (risk) telah menjadi term baru yang begitu populer. Namun, sebenarnya risiko telah sejak lama menjadi perhatian disiplin kesehatan dan keselamatan (health and safety).
Belakangan ini, ia telah menjadi perhatian disiplin akuntansi dan keuangan. Sebagai contoh, di disiplin akuntansi, risiko kini bukan hanya fokus pada laporan keuangan (financial reports), tetapi sudah menjadi bagian penting sistem organisasi (organisational system).
Ringkasnya, risiko telah mendorong munculnya cara baru dalam tata-kelola organisasi (organisational governance) di sektor swasta dan publik.
Dari segi tata-kelola organisasi, risiko kini mesti diidentifikasi, dinilai, diberi perlakuan, dan dipantau. Selain itu, risiko juga mesti dilihat sampai dengan aspek pengendalian internal (internal controls), yaitu dengan melihat efektivitasnya (internal control effectiveness) dalam mengelola risiko (risk management).
Di dunia internasional, kini juga telah muncul berbagai regulasi berbasis risiko. Regulasi ini adalah mekanisme pengendalian internal yang ketat. Sebagai contoh, kita telah melihat munculnya Sarbanes-Oxley Act di Amerika Serikat, Corporate Governance Code di the United Kingdom, kesepakatan Basel di lingkungan perbankan, rerangka kerja (framework) COSO, dan standar internasional ISO 31000.
Selanjutnya, karena pengendalian internal sangat penting untuk mengelola risiko, keterkaitan antara risiko, pengelolaan risiko, dan pengendalian internal menjadi sangat penting untuk diperhatikan.
Berbagai aspek tersebut telah menjadi suatu bagian penting kehidupan organisasi (organisational life). Mereka ini telah mengubah jalur tanggung-jawab dan akuntabilitas serta bagaimana individu-individu dan aktivitas-aktivitas organisasi ditatakelolakan.
Efek Negatif Risiko
Sayangnya, walaupun telah menjadi bagian penting tata-kelola organisasi, ternyata penyerapan (pengadopsian) konsep risiko di berbagai organisasi telah memberikan efek negatif (side-effects).
Dalam berbagai literatur, efek negatif ini terkait dengan aspek kepercayaan (trust), akuntabilitas, dan pengelolaan risiko yang defensif. Sebagai contoh, sebuah editorial yang ditulis oleh Soin dan Collier (2013) di Management Accounting Research mengungkapkan bahwa penyerapan risiko kini telah mengurangi rasa keterikatan antar-organisasi yang dulunya banyak dibangun berbasis kepercayaan.
Kini, ikatan antar-organisasi lebih mempertimbangkan risiko. Sebagai contoh, sebuah rasa keterikatan akan muncul jika risiko keterikatan tersebut dipandang rendah.
Akuntabilitas telah memunculkan mental ketaatan (compliance mentality) dan ketakutan (fear). Hal ini ditandai dengan kecenderungan banyak pihak untuk menghindari diri untuk disalahkan (blame avoidance) atas kebijakannya.
Akhirnya, kini banyak pihak yang sekadar menjadi ‘pemain aman (safety players)’ daripada berorientasi kinerja (performance-oriented). Padahal, mereka itu telah memperoleh pembayaran tunjangan kinerja (performance rewards) yang cukup besar.
Selanjutnya, pengelolaan risiko yang defensif telah tampak nyata dengan adanya berbagai register risiko (risk register), peta risiko (risk map), dan sistem pengelolaan risiko organisasi (enterprise risk management atau ERM systems).
Berbagai organisasi kini telah mengalokasikan sumber daya yang besar untuk kepentingan pengelolaan risiko tanpa peduli apakah pengelolaan risiko mereka telah membantu pencapaian tujuan stratejik organisasi (organisational strategic objectives).
Konsep Risiko dalam Pengendalian Internal di Indonesia
Di Indonesia, kita juga bisa melihat bahwa risiko sudah tidak bisa lagi dilepaskan dalam kehidupan organisasi. Dari mulai perencanaan, kita telah mengenal perencanaan berbasis risiko (risk-based planning). Dari segi pengawasan, kita mengenal pengawasan berbasis risiko (risk-based audit).
Di Indonesia, kita juga telah mengenal konsep risiko sebagai unsur kedua dari sistem pengendalian internal pemerintah (SPIP). Pada unsur kedua ini, organisasi sektor publik mesti menerapkan ‘penilaian risiko (risk assessment)’.
Idealnya, setelah para pihak di suatu organisasi sektor publik menetapkan tujuan stratejik organisasi, mereka mesti mengidentifikasi risiko yang terkait dengan pencapaian tujuan stratejik tersebut. Kemudian, mereka menganalisis risiko tersebut dengan melihat kemungkinan (probability) dan dampaknya (impact).
Memang, sekilas risiko menjadi hal yang sederhana jika dilihat dari konsep SPIP. Namun, tidak demikian halnya ketika kita melihat praktiknya. Sebab, pada praktiknya, masih banyak pihak yang sebenarnya kesulitan memahami perbedaan ‘masalah’ dan ‘risiko’
Perbedaan Masalah dan Risiko
Untuk memahami risiko, seseorang mesti berorientasi ke masa depan (ex-ante) daripada masa lalu (ex-post). Berbeda dengan masalah, risiko adalah suatu ketidakpastian (uncertainty) yang mungkinmemberikan efek negatif atau positif ke pencapaian tujuan stratejik organisasi. Sementara itu, masalah adalah sesuatu yang memang sudah jelas akan mengganggu pencapaian tujuan stratejik organisasi.
Mari kita lihat contoh yang jelas perbedaan masalah dan risiko. Masalah adalah ketika kita memberikan pernyataan: “Kita tidak mempunyai sumber daya yang cukup untuk pergi ke bulan dan hal ini akan menunda waktu kita ke bulan selama satu minggu.” Di sisi lain, risiko adalah ketika kita memberikan pernyataan: “Kita kemungkinan tidak mempunyai sumber daya yang cukup untuk pergi ke bulan dan kemungkinan hal ini akan menunda waktu kita ke bulan selama satu minggu.”
Di saat yang sama, kita mendengar bahwa ternyata penerapan SPIP dirasakan belum begitu berhasil di Indonesia karena unsur penilaian risiko tersebut.
Sampai saat ini, unsur penilaian risiko ini masih dianggap yang paling lemah penerapannya di organisasi sektor publik Indonesia dibandingkan empat unsur lain di SPIP yang ditandai dengan ukuran maturitas SPIP.
Memang, berbagai upaya telah dilakukan agar organisasi sektor publik di Indonesia dapat meningkatkan keberhasilan penerapan unsur penilaian risiko tersebut. Salah satunya adalah mengenalkan konsep pengelolaan risiko ke organisasi sektor publik di Indonesia.
Perbedaan Penilaian Risiko dan Pengelolaan Risiko
Banyak pihak yang terlihat masih kesulitan membedakan ‘penilaian risiko’ dengan ‘pengelolaan risiko’. Mereka banyak yang terperangkap bahwa penilaian risiko dan pengelolaan risiko adalah suatu hal yang sama.
Padahal, untuk dapat membedakannya, kita mesti melihat perbedaan pelaku utama keduanya, yaitu ‘penilai risiko’ dan ‘pengelola risiko’. Penilai risiko pada dasarnya memberikan nasehat independen yang berbasis keilmuan terkait ancaman potensial. Sementara itu, pengelola risiko menggunakan nasehat ini untuk mengambil keputusan dalam menyikapi ancaman potensial ini.
Sayangnya lagi, walaupun pengelolaan risiko sudah dikenal di Indonesia, pada praktiknya pengelolaan risiko ini masih difokuskan pada aspek ketaatan dan keberadaan dokumentasi, seperti register risiko dan peta risiko.
Karenanya, masih sedikit pihak yang melihat pentingnya pengelolaan risiko untuk pencapaian tujuan stratejik organisasi. Akhirnya, alih-alih pengelolaan risiko digunakan untuk pembelajaran dua-arah (two-way learning), pengelolaan risiko di organisasi sektor publik Indonesia masih dipraktikkan sebagai pembelajaran satu arah (one-way learning).
Hal itu ditandai dengan praktik pengelolaan risiko di Indonesia yang dominan adalah untuk kepentingan diagnosis daripada digunakan secara interaktif.
Karenanya, menjadi penting bagi kita untuk memberikan kesadaran bahwa jika kita ingin meningkatkan keberhasilan penerapan unsur penilaian risiko di Indonesia melalui pengelolaan risiko, maka kita mesti mengembalikan fungsi dasar pengelolaan risiko (back to basic), yaitu pengelolaan risiko adalah untuk pencapaian tujuan stratejik organisasi dan bukan sekadar untuk melihat ketaatan pada peraturan dan pendokumentasian.
Peran Penting Auditor
Pengembalian fungsi dasar pengelolaan risiko tersebut dapat dicapai jika para auditor di sektor publik Indonesia memahami dengan tepat prinsip dasar pengelolaan risiko adalah untuk memastikan pencapaian tujuan stratejik organisasi (to assure the achievement of organisational strategic objectives) dan bukan pengelolaan risiko menjadi tujuan tersendiri.
Karenanya, pertanyaan pentingnya adalah: Bagaimana peran auditor sektor publik di Indonesia agar mereka dapat memastikan bahwa pengelolaan risiko di organisasi sektor publik Indonesia adalah untuk pencapaian tujuan stratejik organisasi?
Cara yang paling mudah adalah para auditor tidak bisa lagi sekadar datang sesaat ke suatu organisasi sektor publik untuk menilai risiko. Jika itu mereka lakukan, peran mereka tidak berbeda dengan peran para penilai risiko.
Para auditor sektor publik mesti berperan memastikan bahwa pengelolaan risiko di suatu organisasi sektor publik adalah untuk pencapaian tujuan stratejik organisasi. Karena itu, pertama, para auditor itu mesti memahami terlebih dahulu tujuan stratejik organisasi suatu organisasi sektor publik.
Kemudian, kedua, mereka mesti melihat risiko-risiko dalam pencapaian tujuan stratejik tersebut. Selanjutnya, ketiga, mereka mesti memikirkan pengendalian-pengendalian yang mesti didesain agar risiko-risiko tersebut dapat dikendalikan agar nantinya proses pencapaian tujuan stratejik organisasi berjalan dengan baik.
Namun, auditor tidak bisa sekadar merancang pengendalian-pengendalian dan kemudian begitu saja menyerahkan implementasi rancangan tersebut ke para pihak di suatu organisasi sektor publik. Sebab, tujuan stratejik, strategi, dan tingkat ketidakpastian (level of uncertainty) lingkungan suatu organisasi sektor publik akan berubah seiring dengan perubahan waktu (lihat Gambar).
Gambar. Hubungan Tingkat Ketidakpastian, Tujuan Stratejik Organisasi, Risiko, dan Pengendalian-Pengendalian. Sumber: IFAC (2015), From Bolt-On to Built-In: Managing Risk as an Integral Part of Managing an Organization, New York: International Federation of Accountants.
Di sisi lain, proses penentuan tujuan stratejik dan pencapaian tujuan stratejik biasanya dikelola pada beberapa siklus perencanaan dan pengendalian (planning and control cycle) yang saling terkait, yang disimbolkan oleh PACD di Gambar.
Berbagai siklus ini mempunyai karakteristik yang berbeda sesuai dengan waktu dan perubahan lingkungan. Biasanya, pada awalnya, organisasi sektor publik akan memiliki tingkat ketidakpastian yang tinggi ketika merancang strategi untuk mencapai tujuan stratejiknya. Karenanya, siklus perencanaan dan pengendaliannya pada awalnya juga lebih luas dan biasanya dikelola pada tingkat stratejik (strategic level).
Namun, organisasi sektor publik akan menyesuaikan strategi lima tahunannya sesuai dengan tujuan stratejik yang diperbaharui. Seiring dengan waktu itu juga, tingkat ketidakpastian lingkungan akan semakin menurun yang kemudian siklus perencanaan dan pengendalian akan dikelola pada tingkat taktikal (tactical level) dan kemudian tingkat operasional (operational level).
Perubahan di atas akan terjadi pada risiko-risiko yang mesti diantisipasi organisasi beserta pengendaliannya. Risiko-risiko tersebut akan berubah seiring dengan perubahan waktu.
Karena itulah, para auditor sektor publik di Indonesia mesti terus memastikan bahwa rancangan pengendalian-pengendalian juga mengikuti perubahan risiko-risiko tersebut.
Epilog
Risiko, pengelolaan risiko, dan pengendalian internal adalah aspek-aspek yang saling berkait dan telah menjadi bagian kehidupan organisasi. Di sisi lain, Indonesia telah menerapkan SPIP di organisasi sektor publik. Namun, dapat dikatakan bahwa unsur kedua penilaian risiko di SPIP masih gagal diterapkan di organisasi sektor publik Indonesia.
Agar unsur penilaian risiko lebih berhasil diterapkan, konsep pengelolaan risiko telah dikenalkan di organisasi sektor publik Indonesia. Namun, pengelolaan risiko ini juga akan gagal meningkatkan keberhasilan penerapan unsur penilaian risiko di organisasi sektor publik Indonesia jika para auditor sektor publik tidak memahami bahwa prinsip dasar pengelolaan risiko adalah untuk pencapaian tujuan stratejik organisasi.
Karena itu, unsur penilaian risiko akan semakin berhasil diterapkan jika para auditor terlibat terus menerus mengikuti perubahan tujuan stratejik organisasi, strateginya, dan risiko-risikonya, termasuk merancang pengendalian-pengendalian yang mengikuti perubahan tersebut.***
Miror dari http://birokratmenulis.org/meningkatkan-maturitas-spip-melalui-pengelolaan-risiko-yang-berorientasi-pada-pencapaian-tujuan-stratejik-organisasi/