Governansi risiko korupsi merupakan bagian dari governansi organisasi/korporasi secara keseluruhan. Governansi merupakan cara pimpinan organisasi, direksi, manajemen, atau para pihak yang bertanggung jawab melakukan pengawasan dan akuntabilitas (dewan komisaris atau nama lain sejenis) memenuhi amanah untuk mengelola risiko. Penanggung jawab fungsi pengawasan dan akuntabilitas tersebut perlu meyakini bahwa amanah untuk mengelola telah dilakukan dengan kejujuran dan loyalitas tertinggi. Hal ini juga merupakan perwujudan dari tanggung jawab hukum dan pelaporan kepada para pemangku kepentingan.
Definisi Governansi Risiko Korupsi
Governansi risiko korupsi, adalah pengaturan peran, tanggung jawab dan akuntabilitas yang membentuk sistem dan struktur dalam melaksanakan proses manajemen risiko korupsi.
Pengaturan governansi risiko korupsi merupakan hal yang penting karena mencerminkan seberapa tinggi komitmen akan integritas dan nilai etik dalam mengelola risiko korupsi.
Governansi risiko yang baik adalah governansi yang memampukan organisasi mengartikulasikan (menyambungkan berbagai komponen) manajemen risiko korupsi dengan cara organisasi mencapai tujuannya. Governansi risiko korupsi merupakan arsitektur organisasi. Pimpinan organisasi selaku arsitek organisasi mengatur sedemikian rupa sehingga manajemen risiko korupsi dapat sepenuhnya terintegrasi dengan manajemen strategis dan manajemen proses bisnis.
Setelah pimpinan organisasi menyadari mengapa penting mengeola risiko, pengaturan peran, tanggung jawab dan akuntabilitas dilakukan dengan mendefinisikan tiga aspek:
- risiko korupsi apa yang dikelola,
- bagaimana mengelolanya, dan
- siapa yang bertanggung jawab mengelolanya. (CGC, 2012) (COSO/ACFE, 2016)
Pemilik Risiko dan Pihak Lainnya
Pemilik risiko (risk owners) adalah individu yang mempunyai kewenangan dan tanggung jawab dalam mengelola risiko. Pemilik risiko yang berkewajiban untuk berakuntabilitas ditetapkan dalam tahapan desain ini. Penetapan juga mencak pihak juga bertanggung jawab di berbagai jensi komite yang ada dalam organisasi, pemilik proses (process owners), unit audit internal, staf, kontraktor, pegawai tidak tetap dan pihak terkait lain. Para pihak ini perlu didefinisikan dengan jelas. (Hopkin, 2017)
Keselarasan aktivitas manajemen risiko korupsi dicapai melalui komunikasi, kerja sama, dan kolaborasi
Para pihak pelaksana peran, tanggung jawab, dan akuntabilitas tersebut melakukan fungsinya secara kolektif dalam rangka menciptakan dan menjaga nilai selaras dengan kepentingan para pemangku kepentingan. Keselarasan aktivitas manajemen risiko korupsi dicapai melalui komunikasi, kerja sama, dan kolaborasi. Hal ini memastikan keandalan, koherensi (keterkaitan), dan transparasi dari informasi yang dibutuhkan dalam pembuatan keputusan berbasis risiko.
Organisasi juga merumuskan pendekatan komunikasi dan konsultasi yang tepat sesuai ekspektasi para pemangku kepentingan yang nantinya akan mempermudah implementasi. Komunikasi dan konsultasi diwujudkan dalam bentuk berbagi informasi yang relevan untuk ikut dalam proses pengambilan keputusan dan mendapatkan umpan balik dalam rangka perbaikan.
Pengaturan governansi risiko yang lebih rinci perlu dilakukan antara lain mengenai:
- Jenis, bentuk, dan muatan informasi risiko korupsi yang disampaikan kepada para pihak terkait
- Pelaporan internal dan eksternal
- Pengaturan assurance atas efektivitas manajemen risiko korupsi
- Hubungan dengan lembaga regulator, kementerian/lembaga pemilik program antikorupsi, dan aparat penegak hukum.
Struktur manajemen risiko korupsi
Organisasi merupakan jejaring yang kompleks dengan banyak dan beragam pemangku kepentingan. Pemangku kepentingan yang beragam tersebut juga mempunyai kepentingan yang juga beragam, dinamis, dan mungkin saling bertentangan, termasuk dalam hal sikap, dan persepsi terhadap korupsi. Hal ini menunjukkan perlunya struktur dalam manajemen risiko yang membantu tercapainya tujuan dan sasaran organisasi.
Salah satu model yang dapat diacu dalam mengembangkan struktur antara lain adalah Model Tiga Lini (IIA, 2020). Model ini menggamabrkan hubungan governansi, risiko, dan pengendalian intern. Model tiga lini terdiri dari lima bagian (lihat Diagram 1).
Badan governansi berperan memastikan terpasangnya berbagai struktur dan proses dalam organisasi untuk terwujudnya governansi yang efektif
Uraian singkat sebagai berikut:
Badan governansi (governing body)
Badan governansi berperan memastikan terpasangnya berbagai struktur dan proses dalam organisasi untuk terwujudnya governansi yang efektif. Governing body ini juga berperan memastikan tujuan dan aktivitas organisasi telah selaras dengan kepentingan utama para pemangku kepentingan. Dalam melaksanakan perannya, governing body mendelegasikan tanggung jawab dan menyediakan sumber daya kepada manajemen, menentukan selera risiko organisasi dan menjalankan pengawasan manajemen risiko (termasuk pengendalian intern).
Governing body juga memastikan kepatuhan terhadap hukum, peraturan perundang-undangan, dan nilai-nilai etika, serta membentuk dan mengawasi fungsi audit internal yang independen, objektif, dan kompeten. Keseluruhan peran ini dilakukan dalam rangka memberikan kejelasan dan keyakinan terhadap pencapaian tujuan organisasi.
Manajemen lini pertama: penyedia produk/layanan bagi pelanggan dan mitra
Sebagai unit yang memproduksi produk dan layanan kepada pelanggan atau mitra organisasi, manajemen lini pertama merupakan pemilik risiko, yaitu individu atau entitas yang berakuntabilitas dan berwenang mengelola suatu risiko. Kewenangan pengelolaan ini menjadikan lini pertama juga sebagai pengelola risiko. Lini ini mencakup pula fungsi pendukung seperti SDM, administrasi, dan sarana prasarana.
Sebagai pemilik risiko, manajemen lini pertama mengembangkan dan memelihara pengendalian intern yang telah dibangun agar tetap efektif dalam melakukan kegiatan dan mengelola risiko. Pemilik risiko memimpin dan memberikan arahan (termasuk manajemen risiko) dalam penggunaan sumber daya untuk mencapai tujuan-tujuan organisasi, menjaga komunikasi berkelanjutan dengan governing body dan melaporkan rencana dan realisasi pencapaian tujuan organisasi dan risikonya.
Manajemen lini kedua
Terdapat dua alternatif peran lini kedua, yaitu fokus pada tujuan manajemen risiko spesifik atau mencakup keseluruhan manajemen risiko pada organisasi
Manajemen lini kedua berperan memberi dukungan secara berkelanjutan untuk meyakini pencapaian tujuan manajemen risiko. Dukungan diberikan dalam bentuk keahlian, pemantauan, dan challenge dalam proses mengelola risiko, serta pelaporan dan analisis kecukupan dan efektivitas manajemen risiko. Peran ini dilakukan dalam rangka pengembangan, penerapan, dan peningkatan praktik manajemen risiko dan pengendalian intern pada tiga tingkat: proses, sistem, dan entitas.
Manajemen lini pertama dan manajemen lini kedua dapat dibentuk menjadi satu atau terpisah. Beberapa peran lini kedua dapat ditugaskan kepada para spesialis yang akan memberikan keahlian pelengkap, dukungan, pemantauan, dan mempertanyakan kebijakan dan tindakan para pihak yang menjalankan peran lini pertama.
Terdapat dua alternatif peran lini kedua, yaitu fokus pada tujuan manajemen risiko yang spesifik, misalnya: kepatuhan terhadap hukum, peraturan, dan perilaku yang etis, keamanan teknologi dan informasi; keberlanjutan, atau mencakup tanggung jawab yang lebih luas, yaitu keseluruhan manajemen risiko pada organisasi.
Audit Internal sebagai Lini Ketiga
Lini ketiga adalah risk assurance. Lini ketiga diperankan oleh audit internal yang perannya mencakup mencakup inspeksi, investigasi, evaluasi, dan remediasi. Audit Internal memberikan keyakinan dan saran yang independen dan objektif mengenai kecukupan dan efektivitas governansi dan manajemen risiko. Lini ketiga ini kemudian melaporkan temuannya kepada manajemen dan organ governansi untuk mendorong dan memfasilitasi pengembangan berkelanjutan.
Penyedia Assurance Eksternal
Penyedia assurance eksternal memberikan keyakinan berdasarkan peraturan perundang-undangan dalam rangka melindungi kepentingan pemangku kepentingan. Penyedia assurance juga melakukan perannya atas permintaan manajemen dan unit yang meng-governansi untuk melengkapi assurance dari audit internal.