Siapa yang Bertanggung Jawab Merancang Sistem Pengendalian Intern?

Pertanyaan ini terlihat sederhana, namun memiliki implikasi yang sangat signifikan terhadap kualitas tata kelola dalam organisasi.

Untuk menjawabnya, kita perlu kembali pada fondasi konseptual yang telah mapan. COSO Internal Control Framework (2013) mendefinisikan pengendalian intern sebagai suatu proses yang dijalankan oleh manajemen, dewan komisaris, dan personel lainnya untuk memberikan keyakinan memadai atas pencapaian tujuan organisasi. Definisi ini secara eksplisit menempatkan pengendalian intern sebagai bagian dari aktivitas manajemen (internal control is a part of management’s overall responsibility). COSO juga menegaskan bahwa manajemen bertanggung jawab dalam menetapkan tone at the top, merancang kontrol, serta mempertimbangkan aspek biaya dan manfaat dalam pengembangan pengendalian intern. Dengan demikian, sejak awal, desain pengendalian intern sudah melekat pada fungsi manajerial.

Pandangan ini sejalan dengan teori manajemen klasik yang dikemukakan oleh Henri Fayol (1916), yang menyatakan bahwa manajemen mencakup fungsi perencanaan, pengorganisasian, pengarahan, koordinasi, dan pengendalian (controlling). Dalam kerangka ini, pengendalian bukanlah aktivitas yang terpisah atau independen, melainkan bagian integral dari siklus manajemen itu sendiri. Artinya, jika controlling adalah fungsi manajemen, maka perancangan sistem pengendalian intern secara logis juga merupakan tanggung jawab manajemen.

Pembagian peran ini kemudian diperjelas dalam Model Tiga Lini dari IIA (2020). Lini Pertama bertanggung jawab menjalankan proses bisnis dan pengendalian dalam aktivitas sehari-hari. Lini Kedua berperan memberikan dukungan, keahlian, serta melakukan pengembangan dan peningkatan berkelanjutan atas praktik manajemen risiko dan pengendalian intern. Sementara itu, Lini Ketiga, yaitu Audit Intern, bertugas memberikan assurance dan advisory secara independen atas kecukupan dan efektivitas tata kelola, manajemen risiko, dan pengendalian intern. Dengan kata lain, Lini Kedua berperan sebagai perancang dan pengembang sistem pengendalian, sedangkan Lini Ketiga berperan sebagai evaluator independen.

Audit Intern harus bebas dari tanggung jawab manajemen agar dapat memberikan penilaian yang objektif dan kredibel. Jika Audit Intern ikut merancang pengendalian, maka ia akan menilai sistem yang dibuatnya sendiri (self-review threat). Hal ini berpotensi menimbulkan konflik kepentingan dan menurunkan kualitas assurance yang diberikan.

Regulasi nasional juga menunjukkan konsistensi dengan kerangka tersebut. PER-2 Kementerian BUMN menegaskan bahwa Direksi wajib menetapkan dan melaksanakan Sistem Pengendalian Intern secara efektif untuk mengamankan aset dan investasi perusahaan. Dalam konteks ini, Audit Intern melalui Satuan Pengawasan Intern berperan melakukan evaluasi atas efektivitas pengendalian tersebut. Dengan demikian, desain dan implementasi tetap berada pada manajemen, sedangkan evaluasi dilakukan oleh fungsi audit.

Penguatan yang lebih spesifik terlihat dalam POJK 15/2024 yang mengatur mengenai Internal Control over Financial Reporting (ICOFR). Regulasi ini mensyaratkan adanya Unit Kerja Khusus (UKK) ICOFR yang dapat dirangkap oleh fungsi manajemen risiko, kepatuhan, atau anti-fraud. Ketiga fungsi tersebut merupakan bagian dari Lini Kedua. Hal ini menunjukkan bahwa regulator secara eksplisit menempatkan fungsi pengendalian, khususnya terkait pelaporan keuangan, pada Lini Kedua, bukan pada Audit Intern.

Lebih lanjut, Petunjuk Teknis SK-5 Kementerian BUMN mengenai ICOFR juga menegaskan bahwa fungsi ICOFR berada pada Lini Kedua. Dengan demikian, peran Lini Kedua sebagai arsitek dan pengelola sistem pengendalian intern semakin diperkuat, sementara Lini Ketiga tetap menjaga perannya sebagai pemberi assurance independen. Konsistensi antara kerangka global dan regulasi nasional ini memberikan kejelasan yang tidak ambigu mengenai pembagian tanggung jawab.

Dengan menggabungkan perspektif COSO, Fayol, Model Tiga Lini IIA, serta regulasi seperti PER-2, POJK 15/2024, dan SK-5 Kementerian BUMN, dapat disimpulkan bahwa pengendalian intern adalah tanggung jawab manajemen, dengan Lini Kedua sebagai pihak yang merancang dan mengembangkannya. Audit Intern sebagai Lini Ketiga berperan menjaga objektivitas melalui evaluasi independen.