COMBINED ASSURANCE

Oleh : Jan Hoesada,CPA,CA

PENDAHULUAN

Ketika Mandela keluar dari penjara dan terpilih menjadi presiden, ia dihadapkan pada masalah reformasi kepemerintahan kolonialis menjadi negara merdeka. Situasi amat berbahaya bagi bangsa dan beliau meminta Mervin King – seorang pakar – untuk membantu reformasi.

King mengusulkan reformasi bertahap dan ternyata sukses terlaksana. Pada tahap ketiga reformasi, ia memperkenalkan konsep asurans terkombinasi (combined assurance, selanjutnya disingkat menjadi CA)  yang lebih terkenal dengan istilah King III.Banyak pakar berpendapat bahwa King III adalah the best code of corporate governance, memberi tekanan baru Risk Management dalam turbulensi situasi lingkungan.

Inti King III adalah bahwaBoard Of Director (harus) puas terhadap manajemen-risiko-utama, Risk Management tidak menjadi aktivitas terpisah dari aktivitas operasional sehari-hari, Combined Assurance disarankan bagi emiten Pasar Modal, Redefinisi Pengendalian Internal sebagai manajemen risiko; bahwa (1)pengendalian atas sarana pengendali, dan (2)asurans terhadap kecukupan & efektivitas sarana kendali dianggap tidak memadai apabila tak dijamin oleh (3)efektivitas manajemen risiko.

Pada tataran pemerintahan, DPR setara Board of Director atau Dewan Komisaris PT, DPR harus puas terhadap bagi manajemen risiko utama NKRI versi kabinet baru cq presiden terpilih. Pada tataran pemerintah daerah, DPRD mirip Board of Director pemerintah daerah cq bupati/wali kota sebagai kepala pemda/kota mandiri.

Berdasar gagasan Mervin King tersebut, Gerrit Sarens, CIA; Loic Decaux dan Rainer Lenz menulis buku berjudul Combined Assurance, dilengkapi dengan berbagai penerapan pada dunia nyata.

TIGA PEMICU KRISIS 

Pertama, good governance buruk dan lembaga pengawas eksekutif buruk.

Pada korporasi, eksekutif adalah direksi dan pengawas adalah dewan komisaris atau dewan pengawas. Pada pemerintahan, eksekutif adalah presiden dan kabinetnya, Kepala Pemda, sedang DPR/DPRD adalah lembaga pengawas. Good Governance tanpa Risk Managementadalah mustahil. Kesalahan Strategic Risk Management adalah fatal, kegagalan menentukan batas toleransi risiko, kegagalan meng-identifikasi eksistensi risiko karena ketidakmampuan profesional & pengabaian (ketidak pedulian) menyebabkan krisis keuangan. Bila pengambil risiko lebih populer dibanding pengawas risiko & manajer risiko, maka krisis keuangan mudah terjadi.

Paket kompensasi SDM bertolak belakang dgn sasaran pengendalian menjadi penyebab timbulnya krisis keuangan, demikian pula bila infrastruktur organisasi terfragmentasi (misalnya IT terfragmentasi, budaya terfragmentasi, banyak cabang geografis).

Kedua, Manajemen risiko tidak memadai.

Perubahan lingkungan eksternal, kompleksitas lingkungan meningkat, perubahan TI, gejala munculnya jenis risiko baru. Perubahan peraturan per UU an mengandung peluang & risiko baru. Pemerintahan atau perusahaan dituntut beroperasi secara regional (ASEAN dll) dan global, menghadapi jenis risiko baru. Perubahan IT tidak ditanggapi oleh manajemen, misalnya penyadapan telepon genggam kepala negara. Jabatan eksekutif apapun kini makin beririko karena pemangku kepentingan trauma-akan-skandal menuntut pertanggungjawaban  dan transparansi makin kuat. Pada korporasi BOD makin dituntut akhli dalam bidang tugasnya dalam mitigasi kejadian-bencana, menyadari dampak domino antar perusahaan makin besar.

Tertengarai munculnya budaya sadar risiko di seluruh dunia, dan kekuatan internal pemerintahan atau perusahaan sendiri makin menuntut agar perusahaan berfokus pada Risk Management. Tertengarai bahwa Risk Management makin dituntut bebas-merdeka (indipenden) dari manajemen fungsional

Ketiga, pengawasan atau pemantauan buruk.

Pada pemerintahan atau perusahaan,Enterprise Risk Management membutuhkan sistem-informasi-risiko. Misi,Visi, Sasaran jangka panjang merupakan basis-penentuan-risiko misi, visi dan sasaran tidak tercapai, manajemen risiko mengelola risiko dan mitigasi risiko. Audit Internal merupakan organisasi bertujuan mitigasi risiko tersebut. Kabinet Jokowi-JK kelihatannya akan memperkuat pengawasan.

GOOD GOVERNANCE

Governance adalah kombinasi proses dan struktur yang digunakan pimpinan eksekutif untuk manajemen informasi, menetapkan tujuan, haluan, instruksi, sebagai basis pengelolaan yang baik, sebagai sarana pemantau aktivitas organisasi menuju sasaran idaman.

Pemangku kepentingan memberi mandat kepada pimpinan eksekutif, dan pimpinan eksekutif membentuk manajemen untuk menjamin bahwa organisasi dibawah pimpinannya mencapai sasaran dalam kerangka kepatuhan pada berbagai syarat dan peraturan yang ditentukan pemberi amanah. Lembaga Pengawas; DPR bagi negara, Dewan Komisaris bagi PT adalah titik awal dari good governance. Pada korporasi, lembaga pengawas dapat membentuk berbagai komite seperti komite audit, komite imbalan SDM, menetapkan sasaran dan anggaran, batasan wewenang bagi pimpinan eksekutif berdasar selera risiko (risk appetite) pengawas atau wakil pemangku kepentingan. Presiden adalah pimpinan eksekutif, direktur utama adalah pimpinan eksekutif PT. Presiden membentuk kabinet pada umumnya, memilih menteri pada khususnya.

Pada korporasi, komite audit adalah komponen utama manajemen risiko, bertugas menjamin  kualitas kebijakan akuntansi, pengendalian internal, dan pemilihan auditor eksternal. Komite audit korporasi bertugas melindungi perusahaan dari kecurangan, krisis manajemen cq krisis keuangan, memastikan kualitas lapran keuangan dan informasi lain yang disampaikan kepada pemangku kepentingan. Terdapat badan supervisi dibentuk DPR sebagai padanan komite audit yang menjadi interface DPR dan Presiden, sedang BPKP adalah audit internal pemerintah pusat NKRI.

Kabinet dibawah presiden pada pemerintahan atau direksi pada korporasi adalah pemilik risiko dan menjadi mesin penggerak utama good governance. Audit internal, adalah penyedia jasa asurans.

PENYEDIA JASA ASURANS

Penyedia jasa asurans melakukan kegiatan peyakinan bahwa pengendalian internal umumnya, input-proses-output khususnya berjalan sesuai rencana dan peraturan. Penyedia jasa asurans terbagi menjadi (1) jasa asurans internal dan eksternal, (2) jasa asurans basis dan nonbasis (3) jasa asurans berbasis tiga lini pertahanan (three line of defense.,

Audit Internal adalah pertahanan GCG dalam organisasi, berperan utama dalam manajemen risiko, menjadi salah satu penyedia jasa asurans dalam manajemen risiko, penyedia jasa asurans dalam pengendalian internal (internal controls).

Jasa asurans internal misalnya adalah auditor internal, jasa asurans eksternal misalnya adalah auditor eksternal. Asurans terkombinasi diatur oleh SPAP terbitan IAPI misalnya bahwa auditor eksternal dapat menggunakan kertas kerja audit internal dan hasil audit internal dalam tugas audit eksternal. Entitas mungkin mempunyai direktorat pengendalian kualitas sebagai penjamin kualitas (quality assurance) menggunakan jasa Sucofindo sebagai external quality assurance.Pada pemerintahan ; BPKP, Inspektorat Jenderal pada KL, SPI pada pemda dan PPATK adalah jasa asurans internal, sedang BPK, KPK, Kepolisian adalah jasa asurans eksternal.

Jasa asurans basis adalah kegiatan asurans yang dilakukan bagi entitas lain, sedang jasa asurans non-basis adalah kegiatan asurans yang diterapkan bagi dirinya sendiri. Sebagai misal, Kabinet pada pemerintahan dilengkapi dengan jasa asurans untuk memeriksa dirinya sendiri, antara lain adalah BPKP, Inspektorat jenderal dan SPI adalah jasa asurans basis. Setiap direktorat dalam KL dapat memeriksa dirinya sendiri sebelum diperiksa Inspektorat Jenderal atau BPKP.  Disamping melakukan asurans basis, Inspektorat Jenderal atau BPKP dapat memeriksa dirinya sendiri (asurans non-basis). BPK melalukan asurans basis, dapat memeriksa dirinya sendiri melalui auditor internal BPK sendiri (non basis assurance).

Jasa asurans menurut konsep tiga-lini-pertahanan (three line of defense) adalah sebagai berikut. Pada lini pertahanan pertama, yaitu pada tataran eksekutif, setiap jabatan atau fungsi mempunyai risiko bawaan (inherent risk owner) yang harus dimitigasi dengan sistem pengendalian internal departemen (misalnya SPIP Kementerian keuangan NKRI), audit internal departemen sendiri (misalnya Inspektorat Jenderal Depkeu), manajemen kualitas departemen (misalnya Direktorat Pengendalian Kualitas & ISO Depkeu) sendiri, Direktorat Hukum (misalnya Direktorat Hukum Depkeu)  sedemikian rupa agar auditor internal  entitas (misalnya BPKP) jangan sampai menemukan penyimpangan atau pelanggaran 3E apapun. Pada perusahaan, Direksi adalah pemilik risiko bawaan sesuai jabatan atau fungsi direktorat.

Sebagai lini pertahanan kedua, entitas (pemerintah atau perusahaan) dapat membentuk Direktorat Manajemen Risiko dan Direktorat Pengendalian Kualitas yang bertugas membangun sistem manajemen risiko dan sistem pengendalian kualitas pada setiap satker atau direktorat.

Sebagai lini pertahanan ketiga, entitas membangun Direktorat atau Biro atau Satuan Auditor Internal. Pada berbagai perusahaan ditemukan berbagai fungsi asurans terdapat pada Legal Department,Quality Assurance, Compliance Department,Enterprise RM, Business Continuity Department, Environment, Health & Safety Management,External Audit dan Internal Audit.

MEMAHAMI COMBINED ASSURANCE

CA adalah Kegiatan asurans terintegrasi berbasis-risiko-utama yang dihadapi perusahaan.

Model CA bertujuan mengoptimalisasi raihan lingkup asurans dari manajemen, penyedia jasa-asurans internal, penyedia-jasa-asurans eksternal pada wilayah risiko yang berdampak kepada organisasi (IoDSA, 2009).

Tiga lini pertahanan membongkar silo dan mendorong koordinasi tanpa mengubah jati-diri apalagi melebur, agar masing-masing berkontribusi optimal dalam kerangka manajemen risiko, raihan pengendalian terbaik perusahaan, governance dalam koridor strategic direction.

CA memberi peluang oversight menilai bahwa risiko telah diklola dgn baik, bahwa pengendalian memadai diterapkan utk mitigasi & pengurangan risiko bisnis  sampai ketataran batas-toleransi risiko.

MANFAAT MANAJEMEN ASURANS TERKOMBINASI

Manfaat combined assurance adalah sbb

• Meningkatkan efektivitas & efisiensi masing-masing jenis asurans, meningkatkan efektivitas asurans kesuluruhan.
• Meningkatkan penjaminan melalui pengeroyokan risiko-utama dari berbagai hampiran, sudut pandang dan fungsi asurans yang berbeda.
• Meningkatkan efisiensi ber-asurans umumnya, efisiensi pelaporan asurans khususnya.
• CA menghapus kebekuan, kekakuan dan beban berlebih kegiatan AI akibat hampiran asurans tak terkoordinasi.

Menurut CIIA, CMIIA, lingkungan eksternal makin turbulen dan kompleks, terjadi berbagai fenomena skandal, lalu muncul kebutuhan CA. CA berperan meningkatkan kepercayaan pemangku kepentingan.CA adalah sarana ideal untuk membangun GCG, GCG dibutuhkan untuk menghindari bencana. Pada tataran CA, peran Lembaga Oversight makin dibutuhkan. CA memerangi manajemen risiko terfragmentasi. Hampiran holistis manajemen risiko dan berbagai kegiatan asurans mendorong CA menjadi kegiatan asuans terkoordinasi.

King III memperkenalkan gagasan CA. CA mendorong penguatan peran audit internal dalam kegiatan asurans. CA mendorong kerjasama audit internal dengan penyedia jasa asurans lain, internal maupun eksternal.

Berlingkungan makin turbulen dan makin padat skandal, berbagai otoritas Pasar Modal negara maju mengutamakan penerapan Good Corporate Governance code, pada umumnya menempatkan Manajemen Risiko pada pusat GCG. Manajemen risiko bertugas mitigasi skandal yang berpotensi berulang terjadi.

Board Of Director (semacam Dewan Komisaris di UU PT) dan Komite Audit tidak hanya terfokus pada mitigasi risiko LK tidak berhasil memperoleh opini WTP auditor LK, kini bertugas memantau efektivitas manajemen strategi, risiko operasional dan risiko kepatuhan.

Pimpinan Departemen Audit Internal bertugas mengkoordinasi kegiatan audit internal dengan penyedia jasa-asurans & jasa-konsultansi, untuk saling menguatkan dan mitigasi duplikasi kegiatan. Koordinasi tersebut bertujuan utk meningkatkan kualitas asesmen manajemen risiko, kualitas pengendalian dan  kualitas proses governance.

STRATEGI KOORDINASI PENYEDIA JASA ASURANS

Bagaimana strategi atau cara membangun asurans terkoordinasi  pada sebuah entitas, lembaga atau pemerintahan ?

• Dapatkan struktur organisasi pemerintahan, entitas atau lembaga itu, dan

1. identifikasi tanggungjawab akan GCG, RM dan Control pada tiap bagian organisasi, pada tiap fungsi dan sepanjang rantai nilai (value chain),
2. identifikasi profil risiko & fungsi asurans pada tiap bagian organisasi.

• Alih-alih risiko tiap direktorat korporasi atau tiap kementerian/lembaga negara, bangunlah

1. sebuah daftar risiko terkoordinasi (coordinated risks register) tersepakati,
2. sebuah metodologi risiko tersepakati,
3. kesepakatan sebuah skala risiko yang mampu mencakupi seluruh jenis risiko seluruh bagian organisasi.

• Identifikasi risiko-risiko yang sama atau serupa lintas bagian atau sub-organisasi, periksalah kualitas kerjasama mitigasi risiko bersama tersebut bila ada.
• Bangun kerjasama asurans atau perbaiki strategi kerja sama asurans risiko bersama, jenis risiko yang sama, risiko berurutan (sequential risk management) antar bagian organisasi tersebut.
• Kerja sama asurans adalah kesepakatan pembagian peran asurans, bagian peran asurans tertentu, pembagian tanggungjawab deteksi pelanggaran kepatuhan atau 3E, kerjasama laporan asurans terintegrasi.

Bagaimana cara membangun kegiatan asurans terintegrasi ?

• Integrasikanlah Risk Management kedalam setiap proses pengambilan keputusan pemerintahan atau korporasi.
• Kabinet, BOD dan Audit Committee setiap saat harus ingin tahu apakah risiko-bisnis-utama teridentifikasi & terkendali, apakah setiap penyedia-jasa-asurans dalam organisasinya telah teridentifikasi & melaksanakan tugasnya dengan efektif.
• Three Lines of Defense, hubungan kolaborasi / koordinasi antar tiap lini pertahanan untuk mencapai 3E RM.
• Indipendent assurance provider, misalnya auditor eksternal cq BPK bagi pemerintahan, KAP bagi publik,  masuk lini-pertahanan- ketiga.

PERUBAHAN MENDASAR KENDALI INTERNAL

Berbagai pakar meninjau konsep pengendalian internal dalam tataran GG dan manajemen risiko. Menurut Krogstad (1999), pengendalian bertugas membantu organisasi untuk pengelolaan risiko dan mendorong praktik governance nan sehat. Leech (2002) menyatakan bahwa US Sarbanes-Oxley Act, 2002 harus diubah, dari tekanan terhadap audit terhadap control menjadi audit terhadap manajemen risiko, dengan perubahan opini audit atas “efektivitas manajemen risiko” mengganti opini atas efektivitas pengendalian (controls). Amandemen atau perubahan PP tentang SPIP Pemerintah NKRI di masa yang akan datang sebaiknya mengakomodasi Good Public Governance ketimbang GCG, serta memasukkan unsur manajemen risiko dan asurans terkombinasi kepada SPIP yang diperbaharui.

PENUTUP

Afrika Selatan kini menjadi mercu suar konsep asurans-terkombinasi di muka bumi, menjadi pusat studi asurans-terkombinasi negara-negara di muka bumi.

Makalah disusun untuk mendukung rencana amandemen SPIP Pemerintahan NKRI, mendorong  good public governance dan memperkenalkan konsep manajemen-risiko-terkombinasi bagi kabinet baru terbentuk sambil berharap NKRI mengikuti praktik-terbaik dunia yang sedang naik daun.

Cetak biru atau strategi asurans terkombinasi dapat diterapkan pada berbagai kerjasama asurans propinsi dengan kabupaten/kota mandiri, kelurahan/kecamatan dan desa di bawahnya, dalam sebuah permendagri.

Pemerintah pusat juga dapat membuat peraturan pemerintah tentang kerjasama asurans lintas KL, membangun asurans terkombinasi antara inspektorat, BPKP dan BPK, antara SPI Pemda, Departemen Keuangan dan BPK.