Pada tanggal 9-10 Oktober 2017 sejumlah inspektur senior dan eselon 1 BPK mengikuti pelatihan bertajuk “Pengenalan dan Integrasi Sistem Manajemen Mutu (SNI ISO 9001), Manajemen Risiko (SNI ISO 31000), dan Anti Penyuapan (SNI ISO 37001) untuk BPK yang Berintegritas, Independen, dan Profesional”. Pelatihan tersebut diberikan oleh Badan Standardisasi Nasional (BSN) di Gedung Pusdiklat BPK, Jakarta.
Pelatihan difasilitasi langsung oleh Ketua Komtek 03-10 BSN Bidang Manajemen Risiko, Dr. Antonius Alijoyo, ERMCP, CERG yang juga adalah Ketua Umum IRMAPA dan pendiri CRMS Indonesia. Selain beliau, fasilator kedua adalah Charles Vorst, ERMCP, CERG yang juga adalah Sekretaris Jenderal IRMAPA dan Master Trainer dari LPK-MKS.
Topik pelatihan mencakup tinjauan mengenai perbedaaan antara COSO ERM 2016 dengan ISO 31000. Juga kaitan antara ISO 31000 dengan ISO 9001 Sistem Manajemen Mutu, serta dengan ISO 37001 Anti Suap yang bermuara pada perspektif pembangunan ‘zona integritas’. Selain itu, kaitan antara pengendalian internal dan sistem manajemen risiko terpadu menjadi salah satu topik bahasan mendalam selama proses pelatihan dijalankan.
Beberapa pertanyaan mendasar menjadi pijakan diskusi di antaranya:
1. Mengapa sistem manajemen risiko berbasis ISO 31000 menjadi pilihan?
2. Apakah penerapan manajemen risiko berbasis ISO 31000 dapat dipadukan dengan sistem pengendalian internal berbasis COSO internal control (2013)?
1. Mengapa ISO 31000 menjadi pilihan?
Selain alasan substansi yang dikemukakan, yakni kelengkapan ISO 31000 sebagai standar internasional dalam bentuk pilar anatomi yang terdiri atas prinsip pengelolaan risiko, kerangka kerja pengelolaan risiko, dan proses pengelolaan risiko, ada tiga argumentasi pokok yang disampaikan yaitu:
Pertama, ISO 31000 adalah produk standar yang dihasilkan oleh ISO – International Organization for Standardization yang beranggotakan 163 negara di dunia dan telah diadopsi dan diterjemahkan ke dalam bahasa Indonesia oleh Badan Standardisasi Nasional (BSN) menjadi SNI ISO 31000.
Kedua, adanya berbagai rujukan pelengkap, yaitu ISO 31004 mengenai implementasi manajemen risiko, ISO 31010 mengenai teknik asesmen risiko dan IEC 73 mengenai vocabulary manajemen risiko.
Ketiga, ISO 31000 sebagai suatu sistem manajemen akan dengan jauh lebih praktis dan mudah diintegrasikan dengan sistem manajemen lain yang juga berbasis ISO, di antaranya:
a. Sistem Manajemen Mutu ISO 9001
b. Sistem Anti Suap ISO 37001
c. Sistem Business Continuity Management ISO 22301
d. Sistem Audit Management ISO 19011
e. Sistem Manajemen proyek ISO 21500
f. Sistem Lingkungan ISO 14001
g. Sistem Informasi ISO 27001
h. Sistem Kepatuhan ISO 19600
i. Sistem Kesehatan & Keselamatan Kerja ISO 45001
2. Apakah sistem pengendalian internal berbasis COSO dapat terpadu dengan ISO 31000?
Jawaban lugas dari pertanyaan di atas adalah dapat dipadukan dan dapat berjalan dengan baik.
Sistem pengendalian COSO sebenarnya adalah suatu rujukan untuk proses pemastian bahwa suatu pengendalian internal baik (dari sisi rancangan dan eksekusinya) adalah efektif dan efisien bagi suatu organisasi. Hasilnya, organisasi dapat mencapai tujuan dari proses internal yang dimiliki sebagaimana yang diharapkan.
Sistem pengendalian internal berbasis COSO umumnya bermuara pada tiga sasaran internal, yaitu kepatuhan, operasional, dan pelaporan.
Cakupan tujuan penerapan manajemen risiko lebih besar dan lebih dalam dari tiga sasaran di atas. Manajemen risiko mengikutkan sasaran strategik organisasi yang sangat sensitif dengan konteks eksternal organisasi, serta elemen ketidakpastian yang menjadi dasar atau pemicu risiko bagi organisasi. Dinamika dan ketangguhan organisasi dalam menghadapi risiko didasarkan pada kemampuan organisasi melakukan tindakan dan pengambilan keputusan yang bersifat pro-aktif sehingga dapat memanfaatkan peluang seoptimal mungkin dan lugas dalam menangani risiko yang terkait sedini mungkin.
Dari sudut pandang manajemen risiko, baik yang berbasis ISO 31000 maupun yang berbasis COSO ERM 2016, pengendalian internal yang efektif sangat dibutuhkan. Organisasi dapat membangun postur internal organisasi menjadi selalu lebih siap dan lincah dalam menangkap peluang dan juga jauh lebih siap dan tangguh dalam menghadapi ancaman serta risiko negatif yang datang bersamaan dengan peluang tersebut.
Penulis: Ridwan Hendra, ERMCP, CERG