Pola penuntutan tindak pidana korupsi mulai memasuki babak baru sejak Mahkamah Agung mengintroduksi standar sistem manajemen pada Peraturan Mahkamah Agung (Perma) No 13 Tahun 2016 tentang Tata Cara Menangani Perkara Pidana Korporasi. Disebutkan: "hakim dapat menilai kesalahan korporasi … manakala korporasi tidak melakukan langkah-langkah governansi yang diperlukan untuk melakukan: (i) pencegahan (ISO 37001), (ii) mencegah dampak yang lebih besar (ISO 31000), (iii) memastikan kepatuhan terhadap ketentuan hukum yang berlaku guna menghindari terjadinya tindak pidana (ISO 19600)".

Perma No 13/2016 tidak menyebut secara khusus nomenklatur ketiga standar sistem manajemen internasional yang dikenal sebagai ISO (International organization for Standardization) di mana Indonesia telah bergabung sejak 1947. Hal ini semata karena alasan teknis untuk menghindari revisi yang tidak substantif manakala terjadi perubahan nomenklatur pada setiap sistem manajemen. ISO 19600:2014 tentang manajemen kepatuhan, misalnya, menurut rencana akan diubah menjadi ISO 37301 (Kompas, 5/12/2018).

Berikut beberapa argumen yang mendukung Mahkamah Agung (MA) dalam mengintroduksi ISO. Pertama, tuntutan globalisasi telah menepis polarisasi sistem hukum antara civil law dan common law. Perdebatan filosofis multidisiplin di tingkat internasional telah selesai sebelum ISO disepakati di tingkat dunia. Sebagai contoh, pada pembahasan draf ISO 37000 tentang governance organisation sempat diwarnai walkout wakil dari Jerman, Perancis, dan Jepang sebagai sesama penganut civil law.

Kendati demikian, ISO tetap memberikan ruang kepada anggota ISO untuk melakukan penyesuaian sesuai stelsel hukum setiap anggota, meski pada kenyataannya tak satu pun anggota ISO melakukan penyesuaian terhadap ISO 37001 tentang Sistem Manajemen Anti Penyuapan (SMAP).

Kedua, tuntutan globalisasi mengakibatkan kepemilikan usaha semakin kompleks sehingga tidak mungkin dibatasi oleh batasan subyek hukum suatu negara. Apalagi dengan maraknya industri digital. Sudah lazim terjadi perbedaan kewarganegaraan antara pemilik usaha dan manajemen.

Ketiga, tuntutan globalisasi telah menyubstitusi peran negara dalam melakukan sertifikasi. Sebagai contoh, PT Mutuagung Lestari telah mendapat mandat untuk melakukan sertifikasi produsen kayu di Asia Pasifik yang dapat diekspor ke Jepang (one standard one tester will be accepted everywhere).

Manajemen risiko

Manajemen risiko adalah alat untuk mencapai tujuan sekaligus kunci keberhasilan proyek dengan cara mengelola dan mengendalikan kemungkinan terjadinya kerugian secara transparan dan akuntabel akibat ketidakpastian.

Berikut ini beberapa alasan yang mendukung MA menggunakan sistem manajemen risiko ISO 31000 (SMR) sebagai rujukan dalam menilai terjadinya kelalaian tata kelola korporasi. Pertama, proses awal ketika korporasi membangun SMAP diawali dengan gap analysis terhadap penerapan SMAP pada instrumen korporasi, seperti SOP, pola perekrutan dan kultur tone at the top. Bagian penting gap analysis dalam konteks organisasi adalah risiko suap. Karena itu, dalam beberapa hal, membangun SMR terlebih dahulu akan mempermudah dalam membangun SMAP.

Kedua, ada banyak risiko yang perlu dianalisis untuk menghindari salah kelola investasi, seperti risiko spekulatif dan risiko fundamental. Dalam rangka mitigasi korupsi terdapat dua jenis risiko, yakni risiko suap dan risiko fraud (perbuatan curang) yang bersifat preemptive untuk terjadinya suap.

Menurut rumus triangle fraud, fraud dapat terjadi bila memenuhi tiga unsur, (i) Pressure, yakni tekanan finansial yang mendorong terjadinya fraud. (ii) Opportunity atau kesempatan untuk berbuat curang. (iii) Rationalization atau alasan yang dibangun untuk menjustifikasi fraud. Seperti operasi tangkap tangan (OTT) KPK pada kasus dana CSR untuk Cilegon United Football.

Dalam rangka memenuhi desakan oknum dalam mengurus izin prinsip pembangunan Transmart pada Badan Perizinan Terpadu dan Penanaman Modal Kota Cilegon (pressure), diperlukan dana dengan memanfaatkan lemahnya tata kelola anggaran PT Brantas dan PT Krakatau (opportunity)Untuk itu perlu diciptakan alasan agar dana dapat keluar secara sah melalui pos anggaran CSR untuk Cilegon United Football (rationalization) yang sesungguhnya untuk pribadi oknum wali kota Cilegon.

Ketiga, salah satu komponen penting dalam SMR adalah three line of defence atau tiga lapis pertahanan yang terdiri dari pengelola risiko (risk owner) sebagai lapis pertama, pihak yang mengawasi tata kelola risiko sebagai lapis kedua dan internal audit sebagai lapis ketiga.

Setiap risiko akan diidentifikasi dalam empat kategori dari yang paling berisiko sampai kurang berisiko. Ketika suatu proyek telah disepakati dengan tingkat risiko yang sudah diidentifikasi, sistem dan prosedur harus sudah disiapkan termasuk peranan lapis kedua yang dalam beberapa hal sampai pada level direksi. Dengan pola tiga lapis pertahanan itu di atas kertas kecil kemungkinan terjadi gagal proyek.

Begitu pentingnya SMR dalam mitigasi kerugian, Otoritas Jasa Keuangan mewajibkan semua lembaga jasa keuangan nonbank untuk menerapkan SMR sampai level direksi dan komisaris (POJK No 1/POJK.5/2015). Bahkan, Kementerian Keuangan sejak 2016 telah menggunakan SMR berdasarkan Peraturan Menteri Keuangan No 171/PMK.01/2016 tentang Petunjuk Pelaksanaan SMR di Lingkungan Kemenkeu.

Pelaku usaha telah terbukti merasakan manfaat dalam menerapkan SMR berdasarkan survei tahunan Centre for Risk Management Studies (CRMS). Berikut beberapa temuan Survei Nasional Manajemen Risiko 2018 oleh CRMS: (1) Sebagian besar perusahaan Indonesia telah berada pada tingkat kematangan SMR level "Menengah" dan "Baik"; (2) SMR memberi dampak holistik bagi perusahaan; (3) Pelatihan SMR sudah menjadi bagian dari rutinitas perusahaan.

Temuan paling signifikan survei CRMS 2018, keberhasilan SMR sangat didominasi oleh komitmen kuat dari direksi perusahaan. Sama halnya dengan SMAP. Komitmen direksi Pertamina dalam kasus gagal investasi blok migas di Australia saat ini sedang diuji di persidangan kasus korupsi.