BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
PEDOMAN TEKNIS PENYELENGGARAAN SPIP SUB UNSUR ANALISIS RISIKO (2.2)
NOMOR : PER-1326/K/LB/2009 TANGGAL : 7 DESEMBER 2009
2.2 Analisis Risiko
1
KATA PENGANTAR
Pembinaan penyelenggaraan Sistem Pengendalian Intern Pemerintah (SPIP) merupakan tanggung jawab Badan Pengawasan Keuangan dan Pembangunan (BPKP), sesuai dengan pasal 59 Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah. Pembinaan ini merupakan salah satu cara untuk memperkuat dan menunjang efektivitas sistem pengendalian
intern,
yang
menjadi
tanggung
jawab
menteri/pimpinan lembaga, gubernur, dan bupati/walikota, sebagai penyelenggara sistem pengendalian intern di lingkungan masingmasing. Pembinaan penyelenggaraan SPIP yang menjadi tugas dan tanggung jawab BPKP tersebut meliputi: 1. penyusunan pedoman teknis penyelenggaraan SPIP; 2. sosialisasi SPIP; 3. pendidikan dan pelatihan SPIP; 4. pembimbingan dan konsultasi SPIP; dan 5. peningkatan kompetensi auditor aparat pengawasan intern pemerintah. Kelima kegiatan dimaksud diarahkan dalam rangka penerapan unsur-unsur SPIP, yaitu: 1. lingkungan pengendalian; 2. penilaian risiko; 3. kegiatan pengendalian; 4. informasi dan komunikasi; dan 5. pemantauan pengendalian intern.
2.2 Analisis Risiko
i
Untuk memenuhi kebutuhan pedoman penyelenggaraan SPIP, BPKP telah menyusun Pedoman Teknis Umum Penyelenggaraan SPIP. Pedoman tersebut merupakan pedoman tentang hal-hal apa saja yang perlu dibangun dan dilaksanakan dalam rangka penyelenggaraan SPIP. Selanjutnya, pedoman tersebut dijabarkan ke dalam pedoman teknis penyelenggaraan masing-masing sub unsur pengendalian. Pedoman teknis sub unsur ini merupakan acuan
langkah-langkah
yang
perlu
dilaksanakan
dalam
penyelenggaraan sub unsur SPIP. Buku ini dimaksudkan untuk dijadikan pedoman teknis penyelenggaraan sub unsur analisis risiko pada unsur Penilaian Risiko. Pedoman ini disusun dengan tujuan agar tersedia acuan yang memberikan arah kepada instansi pemerintah pusat dan daerah dalam menyelenggarakan sistem pengendalian intern sub unsur analisis risiko. Pedoman teknis ini juga dimaksudkan sebagai acuan
bagi
instansi
pemerintah
untuk
menciptakan
atau
membangun infrastruktur yang harus ada dalam penerapan sub unsur dimaksud. Ruang lingkup penggunaan pedoman ini meliputi instansi pemerintah pusat maupun pemerintah daerah. Dalam penerapannya, pedoman ini dapat disesuaikan dengan karakteristik masing-masing instansi yang meliputi fungsi, sifat, tujuan, dan kompleksitas instansi tersebut. Jakarta, Desember 2009 Plt. Kepala,
Kuswono Soeseno NIP 19500910 197511 1 001 2.2 Analisis Risiko
ii
DAFTAR ISI
Halaman KATA PENGANTAR .................................................................
i
DAFTAR ISI ...............................................................................
iii
BAB I PENDAHULUAN A. Latar Belakang ..........................................................
1
B. Sistematika Pembahasan .........................................
5
BAB II GAMBARAN UMUM A. Pengertian Analisis Risiko ........................................
7
B. Tujuan Analisis Risiko ...............................................
7
C. Faktor-faktor yang Perlu Diperhatikan dalam Analisis Risiko ........................................................................
8
D. Metode Analisis Risiko ..............................................
9
E. Teknik yang Dapat Digunakan untuk Analisis Risiko . 14 F. Pengolahan Data Dengan Perangkat Lunak SPSS .. 15 G. Parameter Penerapan ............................................... 17
BAB III LANGKAH ANALISIS RISIKO A. Persiapan Analisis Risiko .......................................... 22 B. Pelaksanaan Analisis Risiko ..................................... 22 C. Respon Terhadap Risiko .......................................... 42 D. Laporan Hasil Penilaian Risiko
............................... 45
BAB IVPENUTUP 2.2 Analisis Risiko
iii
2.2 Analisis Risiko
BAB I PENDAHULUAN A. Latar Belakang Penilaian risiko merupakan salah satu unsur dalam Sistem Pengendalian Intern Pemerintah (SPIP), selain unsur lingkungan pengendalian, kegiatan pengendalian, informasi dan komunikasi, serta pemantauan pengendalian intern. Proses pengendalian menyatu pada tindakan dan kegiatan yang dilakukan secara terus-menerus oleh pimpinan dan seluruh pegawai, maka yang menjadi fondasi dari pengendalian adalah orang-orang (SDM) di dalam organisasi yang membentuk lingkungan pengendalian yang baik dalam mencapai sasaran dan tujuan yang ingin dicapai instansi pemerintah. Penyelenggaraan unsur pertama SPIP, yaitu lingkungan pengendalian dalam rangka peningkatan kondisi lingkungan yang nyaman sehingga menimbulkan kepedulian dan keikutsertaan seluruh pegawai, haruslah menjadi komitmen bersama dalam melaksanakannya. Hal ini sangatlah penting untuk terselenggaranya unsur-unsur SPIP lainnya. Untuk membangun kondisi nyaman tersebut, lingkungan pengendalian yang baik harus memiliki kepemimpinan yang kondusif. Kepemimpinan yang kondusif diartikan sebagai situasi dimana pemimpin selalu mengambil keputusan dengan mendasarkan pada data hasil penilaian risiko. Berdasarkan kepemimpinan yang kondusif inilah, maka muncul kewajiban bagi pimpinan untuk menyelenggarakan penilaian risiko di instansinya. Penilaian risiko dengan dua sub unsurnya, dimulai dengan
melihat
kesesuaian
antara
tujuan
kegiatan
yang
dilaksanakan instansi pemerintah dengan tujuan sasarannya, serta kesesuaian dengan tujuan strategis yang ditetapkan pemerintah. 2.2 Analisis Risiko
1
Setelah penetapan tujuan, instansi pemerintah melakukan identifikasi
atas
memengaruhi
risiko
intern
keberhasilan
menganalisisnya untuk
dan
ekstern
pencapaian
mendapatkan
yang
tujuan
dapat
tersebut,
risiko yang
memiliki
kemungkinan (probability) kejadian dan dampak yang sangat tinggi sampai dengan risiko yang sangat rendah. Berdasarkan hasil analisis risiko, selanjutnya dilakukan respon atas risiko dengan membangun kegiatan pengendalian yang tepat. Kegiatan pengendalian dibangun dengan maksud untuk memastikan bahwa respon risiko yang dilakukan instansi pemerintah sudah efektif. Seluruh penyelenggaraan unsur SPIP tersebut
haruslah
dilaporkan
dan
dikomunikasikan
serta
dilakukan pemantauan secara terus-menerus guna perbaikan yang berkesinambungan. Risiko
mengacu
pada
ketidakpastian
(uncertainty).
Ketidakpastian diartikan sebagai kurangnya pengetahuan dalam menjelaskan sesuatu atau hasilnya di masa depan, dengan banyak
kemungkinan
hasil,
sementara
risiko
adalah
ketidakpastian yang kemungkinan hasilnya akan berakibat tidak diinginkan
atau
mendatangkan
kerugian
yang
signifikan.
Meskipun berkonotasi negatif, risiko bukan merupakan sesuatu yang harus dihindari melainkan harus dikelola melalui suatu mekanisme yang dinamakan pengelolaan (manajemen) risiko. Di samping itu, penilaian risiko (risk assessment) diartikan sebagai the overall process of risk identification, risk analysis, and risk evaluation (Australian Standard/New Zealand Standard, 4360:2004)
dan
merupakan
bagian
terpadu
dari
proses
pengelolaan risiko. Dasar pemikiran pengelolaan risiko adalah bahwa setiap entitas, baik yang berbentuk korporasi yang 2.2 Analisis Risiko
2
berorientasi
laba
maupun
organisasi
masyarakat
yang
berorientasi nirlaba, serta sektor publik (badan pemerintah, instansi pemerintah) yang berorientasi kepentingan publik dibentuk dan dikelola untuk memberikan atau menghasilkan nilai bagi para pemangku kepentingan (stakeholders). Sesuai dengan Peraturan Pemerintah (PP) Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah, pasal 13 ayat (1), disebutkan bahwa pimpinan instansi pemerintah wajib melakukan penilaian risiko. Selanjutnya, dalam penjelasan pasal 3 ayat (1) huruf b, disebutkan bahwa penilaian risiko adalah kegiatan penilaian atas kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran instansi pemerintah. Lebih lanjut, dalam PP tersebut disebutkan bahwa penilaian risiko terdiri atas identifikasi risiko dan analisis risiko. Sehubungan dengan hal tersebut, untuk dapat melakukan penilaian risiko yang mencakup identifikasi, analisis, dan evaluasi risiko terhadap sektor publik atau instansi pemerintah, dipandang perlu untuk menyediakan suatu pedoman teknis, yang dapat mengarahkan agar pelaksanaan penilaian risiko dapat dilakukan secara efektif dan efisien. Perangkat dan metode yang digunakan harus menjamin bahwa semua risiko entitas atau instansi pemerintah dapat diidentifikasi dan pengendalian yang ada dapat ditetapkan. Keduanya merupakan informasi penting, yang diperlukan dalam memberikan masukan kepada pimpinan instansi mengenai langkah-langkah yang harus dilakukan dalam menangani risiko-risiko tersebut. Buku pedoman teknis ini secara garis besar membahas langkah analisis risiko, yang mencakup penentuan dampak dan kemungkinan (probabilitas) risiko, tingkat risiko, prioritas risiko, 2.2 Analisis Risiko
3
dan respon risiko. Analisis risiko merupakan bagian dari penilaian dan pengelolaan risiko instansi. Untuk langkah informasi dan komunikasi serta pemantauan dapat dilihat pada pedoman teknis tersendiri. Tujuan dan manfaat buku pedoman teknis ini adalah untuk memberikan panduan
dalam melakukan analisis risiko pada
sektor
instansi
publik
atau
dimaksudkan untuk
pemerintah.
Analisis
risiko
memberikan masukan kepada pimpinan
instansi pemerintah mengenai risiko-risiko yang dihadapi oleh instansi pemerintah, dalam bentuk tingkat risiko, profil risiko, dan peta risiko yang teridentifikasi, serta respon risiko yang dapat diterapkan untuk mengurangi risiko sampai pada tingkat yang dapat diterima. Secara khusus, buku pedoman teknis ini diharapkan dapat memberikan
pemahaman
kepada
tim
penilai
mengenai
“bagaimana” (how to) melakukan langkah-langkah atau prosedur dalam menganalisis
risiko, sehingga dapat memberikan hasil
yang optimal. Ruang lingkup analisis risiko ini, mencakup langkahlangkah yang harus ditempuh dalam pelaksanaan analisis risiko pada sektor publik, yang terdiri dari menganalisis risiko-risiko yang teridentifikasi pada tahap sebelumnya, berdasarkan ukuran kemungkinan (likelihood) dan konsekuensinya (consequences), serta mengevaluasi risiko dengan memertimbangkan kriteria risiko, untuk menentukan apakah suatu risiko berada pada tingkat yang dapat diterima oleh instansi pemerintah atau memerlukan penanganan lebih lanjut. Namun, dalam analisis risiko
terlebih
dahulu
perlu
dilakukan
identifikasi
risiko
(sebagaimana yang telah dijelaskan pada buku pedoman teknis 2.2 Analisis Risiko
4
identifikasi risiko), kemudian dilakukan analisis dan evaluasi risiko
yang
terkait dengan penetapan tujuan dan sasaran
instansi pemerintah. Hal ini sejalan dengan pasal 13 ayat (3) PP Nomor 60 Tahun 2008, yang menyebutkan bahwa dalam rangka penilaian risiko sebagaimana dimaksud pada ayat (1), pimpinan instansi pemerintah menetapkan (a) tujuan instansi pemerintah; dan (b) tujuan pada tingkatan kegiatan, dengan berpedoman pada peraturan perundang-undangan. B. Sistematika Pembahasan Pedoman Teknis Analisis Risiko merupakan kelanjutan dari Pedoman Teknis Identifikasi Risiko, dan disusun dalam struktur bab dengan pembahasan sebagai berikut: Bab I Pendahuluan Dalam bab ini diuraikan latar belakang dan sistematika pembahasan. Bab II Gambaran Umum Dalam bab ini diuraikan secara singkat pengertian analisis risiko,
tujuan analisis risiko, faktor-faktor yang perlu
diperhatikan dalam analisis, metode analisis,
teknik
analisis risiko, pengolahan data dengan perangkat lunak SPSS, dan formulir yang digunakan dalam analisis risiko. Bab III Langkah Analisis Risiko Dalam bab ini diuraikan langkah analisis risiko, yang mencakup persiapan analisis risiko, pelaksanaan, respon terhadap risiko, dan pelaporan hasil penilaian risiko. Bab IVPenutup Bab ini menguraikan secara singkat simpulan umum dalam rangka melakukan analisis risiko. 2.2 Analisis Risiko
5
Pedoman ini merupakan kelanjutan dari pedoman teknis identifikasi risiko, dan dimaksudkan hanya untuk melakukan analisis risiko, evaluasi risiko, dan respon risiko. Sangat dianjurkan untuk menggunakan pedoman ini bersama-sama dengan pedoman identifikasi risiko sehingga penilaian risiko dapat dilakukan secara lengkap.
2.2 Analisis Risiko
6
BAB II GAMBARAN UMUM A. Pengertian Analisis Risiko Analisis risiko adalah proses penilaian terhadap risiko yang telah teridentifikasi, dalam rangka mengestimasi kemungkinan munculnya dan besaran dampaknya, untuk menetapkan level atau status risikonya. Status risiko diperoleh dari hubungan antara kemungkinan (frekuensi atau probabilitas kemunculan) dan dampak (besaran efek), jika risiko terjadi. Status risiko biasanya disajikan dalam bentuk tabel. Analisis risiko dilaksanakan untuk menentukan dampak dari risiko yang telah diidentifikasi terhadap pencapaian tujuan instansi pemerintah. Pimpinan instansi pemerintah menerapkan prinsip kehati-hatian dalam menentukan tingkat risiko yang dapat diterima. B. Tujuan Analisis Risiko Analisis risiko bertujuan untuk memisahkan risiko-risiko kecil (yang dapat diterima) dengan risiko-risiko besar, dan menyiapkan data sebagai bantuan dalam mengevaluasi dan menangani/ mengendalikan risiko. Analisis risiko mencakup penentuan kemungkinan (probabilitas) dan dampak dari risiko. Risiko
dianalisis
dengan
mengombinasikan
taksiran
kemungkinan dan dampak dalam konteksnya dengan ukuran pengendalian yang telah ada (existing control measures). Risiko yang berdampak rendah sedapat mungkin tetap didaftar untuk menunjukkan kelengkapan analisis risiko.
2.2 Analisis Risiko
7
Melalui
analisis
risiko,
instansi
pemerintah
dapat
menentukan dampak risiko terhadap pencapaian tujuan, tingkat risiko yang dapat diterima, dan prioritas risiko yang perlu ditangani dengan kegiatan pengendalian. C. Faktor-Faktor yang Perlu Diperhatikan Dalam Analisis Risiko 1. Memahami Pengendalian Risiko yang Sudah Ada Lakukan identifikasi terhadap sistem pengendalian yang sudah ada dan terhadap prosedur untuk mengendalikan risiko, serta lakukan penilaian terhadap kekuatan dan kelemahannya. Instrumen yang digunakan dalam hal ini adalah daftar uji (checklist), pertimbangan sesuai dengan pengalaman dan dokumen,
bagan
arus
(flow
charts),
curah
pendapat
(brainstorming), analisis sistem, analisis skenario, teknik pengembangan sistem, inspeksi, dan teknik penilaian sendiri (Control Self-Assessment). 2. Kemungkinan dan Dampak Kemungkinan dan dampak risiko dikombinasikan untuk menghasilkan
status
risiko
tertentu.
Kemungkinan
dan
dampak risiko dapat ditentukan dengan menggunakan analisis statistik dan perhitungan tertentu. Jika tidak ada data tersedia, estimasi subyektif dapat dibuat untuk mencerminkan tingkat keyakinan individu atau kelompok bahwa suatu kejadian atau hasilnya akan terjadi. Untuk menghindari adanya bias dalam analisis risiko, maka sumber informasi dan teknik terbaik harus digunakan. Sumber informasi tersebut antara lain: a. dokumen-dokumen terdahulu; b. pengalaman yang relevan; 2.2 Analisis Risiko
8
c. praktik-praktik terbaik yang pernah ada; d. literatur-literatur yang relevan; e. survei kepuasan publik; f. eksperimen dan prototipe; dan g. pertimbangan dari ahli/pakar. Teknik-teknik yang dapat digunakan antara lain: a. wawancara terstruktur dengan pakar; b. melibatkan kelompok ahli multi disiplin; c. evaluasi individual dengan menggunakan kuesioner; dan d. penggunaan komputer dan model lainnya. D. Metode Analisis Risiko Analisis risiko dapat dilakukan pada berbagai tingkatan kedalaman, bergantung pada informasi risiko, data, dan biaya yang tersedia. Ada tiga tipe metode analisis risiko yang dapat digunakan untuk menetapkan level risiko, yaitu kualitatif, semi kuantitatif, dan kuantitatif. 1. Analisis Kualitatif Analisis kualitatif menggunakan bentuk verbal atau skala deskriptif untuk menjelaskan besaran kemungkinan dan dampak risiko. Skala ini dapat disesuaikan berdasarkan kondisi dan penjelasan yang berbeda dapat digunakan untuk risiko yang berbeda. Analisis kualitatif digunakan bila level risiko tidak memungkinkan dari segi waktu dan sumber daya yang ada untuk melakukan analisis numerik, data numerik tidak mencukupi untuk analisis kuantitatif, atau untuk melakukan pemindaian dini terhadap risiko, sebelum melakukan analisis lebih lanjut yang lebih rinci. Contoh-contoh analisis kuantitatif disajikan pada Tabel 1 sampai 3. 2.2 Analisis Risiko
9
Tabel 1. Contoh deskripsi probabilitas (kemungkinan) Level
Deskriptor
Deskripsi
A
Hampir pasti
Diperkirakan muncul dalam setiap situasi
B
Cenderung terjadi
C
Mungkin terjadi
D
Kadang-kadang terjadi Sangat jarang terjadi
Cenderung terjadi pada kebanyakan situasi Kemungkinan muncul pada waktu tertentu Dapat terjadi pada waktu tertentu
E
Hanya terjadi pada situasi tertentu
Tabel 2. Contoh deskripsi dampak Level
Deskriptor
1
Tidak signifikan
2
Minor
3
Moderat
4
Major
5
Sangat berbahaya
Tabel 3.
Deskripsi Tidak ada yang terluka, kerugian keuangan kecil Diperlukan pertolongan pertama, kebocoran limbah dapat ditangani, kerugian keuangan sedang. Perlu penanganan medis, kebocoran limbah dapat ditangani dengan bantuan pihak luar, kerugian keuangan cukup tinggi. Luka parah, pembuangan limbah tidak pada tempatnya, namun tidak memberi efek yang memusnahkan, kerugian keuangan besar Mati, pembuangan limbah tidak pada tempatnya dengan efek memusnahkan, kerugian keuangan sangat besar
Contoh matriks analisis risiko secara kualitatif
(kemungkinan x dampak) Dampak Kemungkinan Hampir pasti
Tidak signifikan Moderat
Tinggi
Ekstrim
Ekstrim
Sangat berbahaya Ekstrim
Cenderung terjadi
Rendah
Moderat
Tinggi
Ekstrim
Ekstrim
Mungkin terjadi
Rendah
Moderat
Moderat
Tinggi
Ekstrim
Kadang-kadang terjadi Sangat jarang terjadi
Rendah
Rendah
Moderat
Moderat
Tinggi
Rendah
Rendah
Rendah
Rendah
Moderat
2.2 Analisis Risiko
Minor
Moderat
Major
10
Dari contoh di atas, ada yang dapat dijelaskan sebagai berikut : a. Risiko dengan kemungkinan terjadi “hampir pasti” dan berdampak “moderat,” dikategorikan “ekstrim.” b. Risiko dengan kemungkinan “kadang-kadang terjadi” dan berdampak “minor,” dikategorikan “rendah.” 2. Analisis Semi Kuantitatif Dalam analisis semi kuantitatif, skala kualitatif yang dijelaskan sebelumnya diberi nilai. Nilai yang diberikan pada setiap deskripsi tidak harus memiliki hubungan yang akurat atas besaran sebenarnya dari kemungkinan atau dampak. Nilai yang ditetapkan harus dapat menghasilkan urutan prioritas yang lebih rinci daripada yang dapat dicapai analisis kualitatif, sekalipun belum merupakan nilai realistis. Pendekatan ini memberi atribut nilai pada “kemungkinan” dan “dampak” risiko, sehingga dapat dikatakan selangkah lebih maju dari pendekatan kualitatif. Tabel 4. Contoh matriks analisis risiko secara semi kuantitatif Kemungkinan
Frekuensi Tahunan
Dampak 1 (Tidak signifikan)
2 (Minor)
3 (Moderat )
4 (Major)
5 (Sangat berbahaya)
0,5 (Hampir pasti)
0,5
1
1,5
2
2,5
0, 1 (Cenderung terjadi)
0,1
0,2
0,3
0,4
0,5
0,01 (Mungkin terjadi)
0,01
0,02
0,03
0,04
0,05
0,001 (Kadang-kadang terjadi) 0,0001 (Sangat jarang
0,001
0,002
0,003
0,004
0,005
0,0001
0,0002
0,0003
0,0004
0,0005
terjadi)
Dari contoh di atas, beberapa hal dapat dijelaskan sebagai berikut : 2.2 Analisis Risiko
11
a. Risiko dengan kemungkinan terjadi “hampir pasti” dan berdampak “moderat,” dikategorikan “ekstrim” dengan nilai 1,5. b. Risiko dengan kemungkinan “kadang terjadi” dan berdampak “minor,” dikategorikan “rendah” dengan nilai 0,002. Kekurangan metode semi kuantitatif adalah: a. Kurang akurat. b. Sulit untuk membandingkan risiko pada basis yang sama, sekalipun dalam beberapa kasus memungkinkan. c. Tidak mungkin untuk meyakini bahwa dua kejadian yang dicirikan dengan nilai risiko yang sama merupakan risiko yang serupa. d. Metode ini memberikan definisi yang sangat disederhanakan mengenai kejadian risiko melalui
kombinasi beberapa
dampak yang mungkin timbul dari satu kejadian. e. Aplikasi analisis keuangan kuantitatif untuk penanganan risiko terbatas. 3. Analisis Kuantitatif Analisis kuantitatif menggunakan nilai numerik untuk menyatakan
kemungkinan
dan
dampak
risiko
dengan
menggunakan data dari berbagai sumber. Kualitas analisis bergantung pada akurasi dan kelengkapan nilai numerik yang digunakan. Level risiko dapat diperhitungkan dengan metode kuantitatif dalam situasi dimana kemungkinan terjadinya dan dampak risiko dapat dikuantifikasi, selain juga diperlukan dukungan data historis beberapa tahun. Misalnya, penilaian risiko terhadap fraud mengarah pada metode kuantitatif.
2.2 Analisis Risiko
12
Namun, perlu diwaspadai bahwa metode kuantitatif tetap memiliki kelemahan. Kemungkinan terjadinya risiko biasanya dinyatakan sebagai probabilitas, frekuensi, atau kemunculan. diestimasi
dengan
memodelkan
hasil
dari
Dampak
sekelompok
kejadian, atau dieksplorasi dari studi eksperimen, atau data sebelumnya. Dampak dapat dinyatakan dalam ukuran uang, teknis, kriteria kemanusiaan, atau kriteria evaluasi risiko yang telah ditetapkan. Dalam beberapa kasus, diperlukan lebih dari satu nilai numerik untuk menjelaskan dampak pada situasi, kelompok, dan tempat yang berbeda. Cara menyatakan kemungkinan dan dampak, serta cara mengombinasikan keduanya untuk menetapkan status risiko akan berbeda, bergantung pada tipe risiko dan konteks risikonya. Contoh risiko kuantitatif adalah: a. Risiko laba atau rugi keuangan Laba atau rugi finansial dikalikan dengan frekuensi laba atau rugi akan menghasilkan perkiraan nilai rupiah per tahun. b. Risiko kejadian fatal Kejadian fatal dari suatu aktivitas dapat diperhitungkan sbb: Jumlah kematian per tahun dari aktivitas Jumlah kemunculan/kejadian c. Bencana alam atau perbuatan manusia Dampak dapat dimodelkan dengan menggunakan simulasi terkomputerisasi 2.2 Analisis Risiko
dan
kemungkinannya
diperkirakan 13
dengan data historis, pohon masalah (fault tree), atau teknik pengembangan sistem. d. Risiko kesehatan Risiko kesehatan biasanya dinyatakan dengan cara sebagai berikut : 1) Rasio terjangkit wabah per tahun adalah perbandingan antara jumlah orang yang terjangkit dengan total populasi. 2) Rasio kemungkinan terjadinya kematian sebelum tingkat umur tertentu. 3) Jumlah kejadian fatal pada orang usia 70 tahun yang diperkirakan akan muncul, dibagi dengan jumlah orang berusia 70 tahun. Risiko
kesehatan
dapat
dikembangkan
dari
data
epidemiologi (data survei kejadian fatal atau sakit), atau dari data percobaan terhadap hewan. E. Teknik yang Dapat Digunakan untuk Analisis Risiko 1. Metode kualitatif antara lain: a. curah pendapat (brainstorming); b. evaluasi menggunakan kelompok multidisiplin/Focus Group Discussion (FGD); c. pertimbangan ahli dan spesialis (misalnya teknik Delphi); d. wawancara terstruktur/kuesioner. 2. Metode kuantitatif antara lain: a. analisis dampak; b. analisis biaya siklus hidup; c. analisis jaringan (network); d. analisis probabilitas; e. simulasi/model komputer (misalnya simulasi Monte Carlo); 2.2 Analisis Risiko
14
f. analisis statistik/numerik; g. survei kepuasan masyarakat dan riset pasar. F. Pengolahan
Data
Dengan
Perangkat
Lunak
Statistical
Package for Social Science (SPSS) Sebelum melakukan analisis terhadap data, terutama data yang diperoleh melalui kuesioner, tentunya harus dilakukan pengolahan terhadap data tersebut. Salah satu perangkat lunak (software) yang dapat digunakan dalam pengolahan data adalah SPSS. Proses pengolahan data dilakukan dalam empat tahap, yaitu penyuntingan (editing), pemberian kode (coding), tabulasi, dan analisis data. 1. Penyuntingan (Editing) Hasil dikumpulkan
dari
pengumpulan
dan
disimpan
data
melalui
kuesioner
dalam
ordner.
Lakukan
pengecekan atas kelengkapan dan validitas data. Tim lalu memilih dan menyortir data valid yang akan diolah. Hal ini dilakukan
untuk
menghindari
“garbage
in
garbage
out.“ Proses penyuntingan berakhir jika sudah dipastikan bahwa semua lembar kertas kerja telah terkumpul dan valid. Selanjutnya,
berikan
nomor
pada
masing-masing
set
kuesioner. 2. Pemberian kode (Coding) Pemberian kode perlu dilakukan karena pemrosesan data akan menggunakan komputer. Pemberian kode bertujuan untuk memudahkan dalam memasukkan input data dan menghindari pengulangan memasukkan data/kesalahan input. Pemberian kode yang dilakukan oleh penilai dapat berupa angka ataupun huruf. 2.2 Analisis Risiko
15
Sebagai contoh, data kuesioner, di dalam kuesioner memuat identitas pengisi kuesioner. Identitas Respoden, Jabatan
: ………………..
Golongan : ………………. Bidang
: ………………….
Misalnya, untuk kode jabatan ”jab” diisi dengan angka 1, 2, atau 3 dengan keterangan: Angka 1= Kepala unit
Angka 2 = Kepala Bidang
Angka 3 = Pelaksana 3. Tabulasi Dalam proses tabulasi, dilakukan pengolahan terhadap data-data dari hasil identifikasi risiko, baik melalui kuesioner, kajian dokumen, hasil FGD, maupun hasil wawancara. Program yang digunakan untuk menabulasi adalah program SPSS untuk kuesioner, sedangkan untuk hasil wawancara, observasi dan kajian dokumen dapat dilakukan dengan program Microsoft Excel. Setelah ditabulasi, data kemudian dianalisis,
yaitu
dengan
menghitung,
menggolongkan,
mengurutkan, dan menyederhanakan data sehingga mudah untuk diinterpretasikan. 4. Evaluasi
Dalam tahap ini ada beberapa langkah yang harus dilakukan oleh tim, ditujukan untuk memeroleh: a. Simpulan kategorisasi instansi dalam praktik penilaian risiko dari jawaban kuesioner;
2.2 Analisis Risiko
16
b. Simpulan analisis mengenai praktik penilaian risiko dari metode lainnya yaitu kajian dokumen, wawancara, dan observasi; c. Simpulan secara menyeluruh hasil evaluasi berdasarkan analisis jawaban kuesioner dan kajian lainnya; d. Simpulan
kelemahan-kelemahan
(temuan)
yang
ada
sebagai dasar pemberian rekomendasi untuk meningkatkan praktik penilaian risiko yang lebih baik. G. Parameter Penerapan Terhadap
risiko
yang
telah
diidentifikasi,
kemudian
dianalisis untuk mengetahui pengaruhnya terhadap pencapaian tujuan. Pimpinan instansi pemerintah merumuskan pendekatan manajemen risiko dan kegiatan pengendalian risiko yang diperlukan untuk memperkecil risiko. Pimpinan
instansi
berkonsentrasi
pada
pemerintah
atau
penetapan
evaluator tujuan
harus
instansi,
pengidentifikasian dan analisis risiko serta pengelolaan risiko pada saat terjadi perubahan. Parameter berikut ini dimaksudkan menunjukan hal-hal yang harus dipertimbangkan oleh pimpinan instansi pemerintah dalam rangka penerapan Sistem Pengendalian Intern. 1. Analisis Risiko a. Analisis risiko dilaksanakan untuk menentukan dampak risiko terhadap pencapaian tujuan Instansi Pemerintah. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Pimpinan formal
instansi
dan
pemerintah
informal
untuk
menetapkan menganalisis
proses risiko
berdasarkan kegiatan sehari-hari. 2.2 Analisis Risiko
17
2) Kriteria klasifikasi risiko rendah, menengah atau tinggi sudah ditetapkan. 3) Pimpinan
dan
pegawai
instansi
pemerintah
yang
berkepentingan diikutsertakan dalam kegiatan analisis risiko. 4) Risiko yang diidentifikasi dan dianalisis relevan dengan tujuan kegiatan. 5) Analisis risiko mencakup perkiraan seberapa penting risiko bersangkutan. 6) Analisis
risiko
mencakup
perkiraan
kemungkinan
terjadinya setiap risiko dan menentukan tingkatannya. 7) Cara terbaik mengelola atau mengurangi risiko dan tindakan khusus
yang
harus
dilaksanakan
sudah
ditetapkan. b. Pimpinan instansi pemerintah menerapkan prinsip kehatihatian dalam menentukan tingkat risiko yang dapat diterima. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Pendekatan
penentuan
tingkat
risiko
yang
dapat
diterima bervariasi antar instansi pemerintah tergantung dari varian dan toleransi risiko. 2) Pendekatan yang diterapkan dirancang agar tingkat risiko yang dapat diterima tetap wajar dan pimpinan instansi
pemerintah
bertanggung
jawab
atas
penetapannya. 3) Kegiatan pengendalian khusus untuk mengelola serta mengurangi risiko secara keseluruhan dan di setiap tingkatan kegiatan, sudah ditetapkan dan penerapannya selalu dipantau.
2.2 Analisis Risiko
18
2. Mengelola Risiko Selama Perubahan a. Instansi
Pemerintah
memiliki
mekanisme
untuk
mengantisipasi, mengidentifikasi, dan bereaksi terhadap risiko yang diakibatkan oleh perubahan-perubahan dalam pemerintahan, ekonomi, industri, peraturan, operasional atau kondisi lain yang dapat mempengaruhi tercapainya maksud dan tujuan instansi pemerintah secara keseluruhan atau maksud dan tujuan suatu kegiatan. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Semua kegiatan di dalam instansi pemerintah yang mungkin akan sangat terpengaruh oleh perubahan sudah dipertimbangkan dalam prosesnya. 2) Perubahan rutin sudah ditangani melalui identifikasi risiko dan proses analisis yang ditetapkan. 3) Risiko yang diakibatkan oleh kondisi yang berubah-ubah secara signifikan sudah ditangani pada tingkat yang cukup tinggi di dalam instansi pemerintah sehingga dampaknya terhadap organisasi sudah dipertimbangkan dan tindakan yang layak sudah diambil. b. Instansi
pemerintah
memberikan
perhatian
khusus
terhadap risiko yang ditimbulkan oleh perubahan yang mungkin memiliki pengaruh yang lebih besar terhadap instansi pemerintah dan yang menuntut perhatian pimpinan tingkat atas. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Instansi pemerintah secara khusus sudah memberikan perhatian terhadap risiko yang ditimbulkan akibat menerima pegawai baru untuk menempati posisi kunci atau akibat tingginya keluar-masuk pegawai di suatu bidang. 2.2 Analisis Risiko
19
2) Sudah ada mekanisme untuk menentukan risiko yang terkandung akibat diperkenalkannya sistem informasi baru atau berubahnya sistem informasi dan risiko yang terlibat dalam pelatihan pegawai dalam menggunakan sistem baru ini dan menerima perubahan. 3) Pimpinan
instansi
pemerintah
sudah
memberikan
pertimbangan khusus terhadap risiko yang diakibatkan oleh perkembangan dan ekspansi yang cepat atau penciutan yang cepat serta pengaruhnya terhadap kemampuan sistem dan perubahan rencana, maksud, dan tujuan strategis. 4) Sudah diberikan pertimbangan terhadap risiko yang terlibat
saat
penerapan
memperkenalkan teknologi
baru
perkembangan yang
penting
dan serta
pemanfaatannya dalam proses operasional. 5) Risiko sudah dianalisis secara menyeluruh saat instansi pemerintah akan memulai kegiatan untuk menyediakan suatu keluaran atau jasa baru. 6) Risiko yang diakibatkan oleh pelaksanaan kegiatan di suatu area geografis baru sudah ditetapkan.
2.2 Analisis Risiko
20
BAB III LANGKAH ANALISIS RISIKO Analisis risiko berkaitan dengan pengembangan pemahaman mengenai risiko dan merupakan masukan terhadap keputusan apakah risiko perlu ditangani dengan strategi penanganan risiko yang tepat dengan menggunakan biaya secara efisien dan efektif. Analisis
risiko
konsekuensi
menyangkut
positif
(peluang)
pertimbangan
sumber
risiko,
dan negatif
(ancaman),
serta
kemungkinan terjadinya, dimana faktor-faktor yang memengaruhi konsekuensi/dampak
dan
kemungkinan
(likelihood)
telah
diidentifikasi. Kemungkinan (likelihood) berkaitan dengan penilaian frekuensi dan atau probabilitas yang dapat diukur baik secara kualitatif maupun kuantitatif, sedangkan konsekuensi ditelaah dengan memertimbangkan unsur-unsur kejadian yang muncul dan kerentanannya. Pengendalian
yang
ada
(existing
controls)
juga
dipertimbangkan dalam analisis risiko. Analisis risiko dilakukan dengan mencermati sumber risiko dan tingkat pengendalian yang ada, serta dilanjutkan dengan menilai risiko dari sisi konsekuensi dan kemungkinan terjadinya. Dari uraian di atas, tujuan
analisis risiko
adalah untuk
menetapkan level risiko (level of risk) dan sifat risiko dimana level risiko ditentukan dengan mengombinasikan konsekuensi dan kemungkinan. Dengan kata lain, tujuan analisis risiko adalah untuk memisahkan risiko minor yang dapat diterima dan risiko besar, sehingga diketahui profil dan peta dari risiko-risiko yang ada, dan yang akan digunakan sebagai bantuan dalam evaluasi dan strategi penanganan risiko. 2.2 Analisis Risiko
21
A. Persiapan Analisis Risiko Tahap persiapan analisis risiko merupakan kelanjutan dari tahap identifikasi risiko yang telah dilakukan sebelumnya. Oleh karena itu, persiapan analisis tidak perlu dimulai dari survei pendahuluan seperti halnya tahapan identifikasi risiko sebagai awal mula penilaian risiko. Tahap tersebut adalah sebagai berikut: 1. Memeroleh daftar risiko teridentifikasi, yang berisi pernyataan risiko, faktor risiko/penyebab risiko, dan dampak risiko. 2. Mempersiapkan metode dan tools yang akan digunakan untuk menghitung dan menganalisis risiko, misalnya program statistik SPSS atau Microsoft Excel, tabel/matriks 3x3 atau 5x5, dan daftar risiko itu sendiri, yang akan dibuatkan kolom-kolom lanjutannya, serta terakhir template peta risiko. B. Pelaksanaan Analisis Risiko 1. Prosedur Analisis Risiko Prosedur
atau
langkah-langkah
dalam
melakukan
analisis risiko adalah sebagai berikut: a. Lakukan analisis atas sumber-sumber risiko dan status risiko yang telah teridentifikasi pada saat melakukan identifikasi risiko. 1) Analisis risiko yang telah diidentifikasi, yang besaran dampaknya
belum
ditetapkan/diketahui,
ditetapkan dan
menelaah
atau
telah
sejauh
mana
perhatian manajemen atas risiko tersebut. 2) Reviu risiko yang mempunyai dampak yang sangat rendah (risiko yang tidak penting atau yang telah ditangani). Sebagai reviu awal dapat diabaikan untuk menghemat 2.2 Analisis Risiko
waktu,
namun
risiko
ini
harus 22
didokumentasikan karena ada kemungkinan risiko ini di
kemudian
hari
mempunyai
dampak
yang
membahayakan. b. Lakukan
evaluasi
atas
kecukupan
desain
dan
penyelenggaraan sistem pengendalian intern yang ada 1) Lakukan penilaian atas desain pengendalian (dalam bentuk
sistem,
instrumen
proses,
lainnya),
kebijakan,
yang
praktik,
dapat
atau
mengurangi
kemungkinan dan konsekuensi risiko, atau yang dapat meningkatkan peluang. 2) Kemungkinan dan konsekuensi harus ditelaah tidak hanya dalam konteks pengendalian yang ada, tetapi juga dalam hal tidak terdapat pengendalian. 3) Lakukan penilaian atas penerapan atau efektivitas pengendalian, dengan mengasumsikan bahwa risiko tetap ada (tersisa), walaupun pengendalian sudah cukup efektif. 4) Setelah
dilakukan
penilaian
atas
kecukupan
pengendalian, lakukan modifikasi atas pengendalian yang ada, jika diperlukan atau perlu alat pengendalian yang lain (risiko yang dihasilkan adalah risiko residual). c. Susun Tabel Peringkat Pengendalian yang sudah ada Suatu kendali adalah suatu mekanisme, prosedur, proses, atau praktik yang digunakan untuk mengelola risiko. Kendali ini akan ”mengendalikan” risiko, dengan cara mengurangi
konsekuensinya,
kemungkinannya,
atau
sekaligus keduanya. Dikatakan ada pengendalian jika memang kendali tersebut digunakan atau dilaksanakan secara aktif. 2.2 Analisis Risiko
23
Tabel
peringkat
pengendalian
digunakan
untuk
memeringkat kecukupan pengendalian yang sudah ada dan digunakan terhadap risiko tertentu. Umumnya, tabel ini bersifat kualitatif, misalnya pengendaliannya adalah ”sangat baik (excellent)”, ”cukup (adequate)”, dan ”tidak cukup (inadequate)”. Perlu
diperhatikan,
misalnya
apakah
instansi
melakukan sesuatu yang wajar dan memadai dalam mengurangi
kemungkinan
dan/atau
konsekuensi
dari
risikonya? Karena mungkin terdapat beberapa kendali (tidak hanya satu) yang berbeda-beda caranya dalam mengurangi suatu risiko. Yang akan diperingkat di sini adalah kecukupan dari keseluruhan atau kombinasi dari ukuran kendalinya. Berikut ini adalah contoh tabel yang berisi beberapa tingkat pengendalian yang ada dalam suatu instansi. Tabel 5 Contoh Peringkat Pengendalian yang Ada Level Deskriptor Harapan/Estimasi/Prediksi SB
Sangat Baik
Lebih dari yang diharapkan bahwa seseorang secara wajar akan melakukannya pada kondisi demikian
C
Cukup
TC
Tidak Cukup
Sesuai dengan yang diharapkan bahwa seseorang secara wajar akan melakukannya pada kondisi demikian Kurang dari yang diharapkan seseorang secara wajar akan melakukannya pada kondisi demikian
2.2 Analisis Risiko
Contoh Deskripsi Rinci Pengendalian berjalan sepenuhnya dan hanya memerlukan pemeliharaan dan pemantauan berkelanjutan. Sistem proteksi selalu direviu dan prosedur diuji secara regular. Diperhatikan secara wajar. Sistem proteksi berjalan dan prosedur tersedia untuk kondisi tersebut. Reviu dilakukan secara periodik. Tindakan kurang atau sama sekali tidak ada. Tidak ada sistem proteksi atau sistem tersebut sudah lama tidak direviu. Tidak ada prosedur formal.
24
d. Susun tabel kriteria risiko yang dapat diterima (acceptable) Tabel ini mendefinisikan tingkat toleransi instansi terhadap risiko atau risk
appetite
dan merupakan
pedoman tingkat akseptabilitas risiko. Untuk setiap level risiko, tabel tersebut menggambarkan bagaimana risiko dipersepsikan (yaitu rendah, menengah, tinggi, atau ekstrim), serta menjelaskan tingkat peringkat pengendalian yang diperlukan untuk dapat menerima risiko. Kriteria tersebut umumnya mendefinisikan bagaimana risiko-risiko dilaporkan, direviu, dan siapa pihak yang memutuskan tingkat acceptance-nya. Tabel 6 Contoh Kriteria Analisis Risiko Konsekuensi
5 4 3 2 1
2.2 Analisis Risiko
1 Sangat jarang Katastropik 5 Major 4 Moderat 3 Minor 2 Tdk signifikan 1
2
Likelihood 3
4
Jarang
Moderat
Sering
10 8 6 4 2
15 12 9 6 3
20 16 12 8 4
5 Hampir pasti 25 20 15 10 5
25
Tabel 7 Contoh Kriteria Penerimaan (Acceptance) Risiko Level Risiko
Yang Bertanggung Jawab Dengan pengendalian Pimpinan Menengah/ yang cukup Operasional Dengan pengendalian Pimpinan Menengah/ yang cukup Operasional
Kriteria untuk Analisis Risiko
1–3
Dapat diterima
4–6
Dipantau
6–9
10 – 14
15 – 25
Diperlukan Pengendalian oleh Manajemen Harus menjadi perhatian manajemen (urgen) Tak dapat diterima (unacceptable)
Dengan pengendalian Pimpinan Tingkat yang cukup Menengah/Operasional Dapat diterima hanya dengan pengendalian Pimpinan Puncak yang sangat baik (excellent) Dapat diterima hanya dengan pengendalian Pimpinan Puncak yang sangat baik (excellent)
e. Lakukan analisis terhadap konsekuensi atau dampak terjadinya risiko 1) Lakukan penaksiran atas konsekuensi atau dampak dari suatu risiko, baik yang memiliki konsekuensi keuangan maupun
nonkeuangan, serta lakukan
analisis dalam kaitannya dengan
pencapaian tujuan
yang telah diidentifikasi pada tahap penetapan konteks. 2) Teliti faktor-faktor yang dapat meningkatkan atau mengurangi konsekuensi terjadinya risiko. 3) Klasifikasikan masing-masing konsekuensi dalam skala yang
telah
ditetapkan
pada
saat
penetapan
konteks/tujuan.
2.2 Analisis Risiko
26
f. Menetapkan dampak risiko Penetapan dampak atas risiko dapat dilakukan berdasarkan
berbagai
keterlambatan, dampak
kategori
ketidakpuasan
terhadap
reputasi,
misalnya, terhadap
dampak
dampak pelayanan,
hukum,
politik,
lingkungan dan dampak lainnya. Dampak yang ditimbulkan dapat saja mencakup salah satu atau gabungan beberapa dampak secara bersama-sama. Dalam mengukur dampak risiko, akan sangat bergantung pada tingkat “risk appetite” atau tingkat dampak risiko yang akan dapat diterima oleh pimpinan instansi. Selera risiko (risk appetite) adalah jumlah risiko secara umum yang diharapkan oleh instansi. Hal itu mencerminkan
sikap
instansi
terhadap
risiko
dan
selanjutnya memengaruhi budaya dan gaya pengoperasian instansi.
Istilah
“toleransi
risiko”
sering
digunakan
bergantian dengan istilah “ambang risiko” atau “limit risiko.” Toleransi risiko adalah batas pengambilan risiko yang dapat diterima dari variasi relatif pada pencapaian tujuan dalam tingkat toleransi yang diperkenankan dalam konteks instansi secara keseluruhan. Terkadang menjadi ukuran terbaik dalam instansi serupa
untuk mengukur sasaran
terkait. Berikut adalah contoh sikap instansi terhadap risiko di instansinya. Terhadap risiko “kebakaran di gedung kantor instansi”, instansi A mungkin akan berbeda risk appetitenya dibandingkan dengan instansi B. Jika instansi A memiliki sikap yang risk taker, maka instansi tersebut akan lebih banyak mengalokasikan sumber daya yang dimiliki 2.2 Analisis Risiko
27
untuk
menghadapi
risiko
kebakaran
setelah
mempertimbangkan toleransi instansi tersebut terhadap risikonya. Instansi A akan lebih banyak memasang alat pemadam kebakaran di lingkungan kantornya, memasang petunjuk evakuasi, menyelenggarakan pelatihan simulasi situasi gawat darurat secara berkala, dan selalu mengecek kesiapan alat damkarnya. Di lain pihak, jika instansi B memiliki sikap yang risk avoidance, maka instansi tersebut cenderung membatasi risiko kebakaran, misalnya tidak memperbolehkan adanya peralatan atau benda/material yang
mudah
menimbulkan kebakaran
di
lingkungan
kantornya, melarang kegiatan yang dapat menimbulkan percikan atau yang menggunakan api. Pada intinya, instansi tersebut berupaya semaksimal mungkin untuk menghindari hal-hal yang berpotensi menimbulkan api, sekecil apapun. Tabel 8 di bawah ini dapat digunakan untuk menentukan pada tingkat mana dampak risiko akan ditetapkan berdasarkan salah satu atau beberapa syarat yang terpenuhi. Tabel ini mencerminkan kriteria dampak yang ditetapkan oleh pimpinan instansi. Dalam praktik, tentu saja satu unit/instansi dapat memiliki ukuran kriteria dampak yang berbeda dengan instansi yang lain.
2.2 Analisis Risiko
28
Tabel 8 Referensi Dampak Risiko Contoh Skor Dampak Risiko dan Definisi/Kriterianya Definisi/Kriteria
Level/Skor
1 – Tidak berarti
2 – Kecil
3 – Sedang
4 – Besar
5 – Luar Biasa/ Bencana
2.2 Analisis Risiko
Agak mengganggu pelayanan Tidak menimbulkan kerusakan Kerugian kurang dari Rp5.000.000,00 Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp25.000.000,00 Tidak berdampak pada pencapaian tujuan secara umum Tidak berdampak pada pencemaran/reputasi Tidak ada/hanya berdampak kecil pada kerusakan lingkungan Cukup mengganggu jalannya pelayanan Menimbulkan kerusakan kecil Kerugian diatas Rp25.000.000,00 sampai dengan Rp.50.000.000,00 Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp100.000.000,00 Menggangu pencapaian tujuan instansi, meskipun tidak signifikan Berdampak pada pandangan negatif terhadap instansi dalam skala lokal (telah masuk dalam pemberitaan media lokal) Adanya kerusakan kecil terhadap lingkungan Mengganggu kegiatan pelayanan secara signifikan Adanya kekerasan, ancaman, dan menimbulkan kerusakan yang serius Kerugian yang terjadi di atas Rp100.000.000,00 sampai dengan Rp500.000.000,00 Terjadi penambahan anggaran yang tidak diprogramkan, namun tidak lebih dari Rp500.000.000,00 Menggangu pencapaian tujuan instansi secara signifikan Berdampak pada pandangan negatif terhadap instansi dalam skala nasional (telah masuk dalam pemberitaan media lokal dan nasional) Adanya kerusakan cukup besar terhadap lingkungan Terganggunya pelayanan lebih dari dua hari, tetapi kurang dari satu minggu Adanya kekerasan, ancaman dan menimbulkan kerusakan yang serius dan membutuhkan perbaikan yang cukup lama Kerugian yang terjadi di atas Rp500.000.000,00 sampai dengan Rp1.000.000.000,00 Terjadi penambahan anggaran yang tidak diprogramkan, namun tidak lebih dari Rp1.000.000.000,00 Sebagian tujuan instansi gagal dilaksanakan Merusak citra institusi dalam skala nasional (telah masuk dalam pemberitaan media lokal dan nasional) Adanya kerusakan besar terhadap lingkungan Terganggunya pelayanan lebih dari satu minggu Kerusakan fatal Kerugian yang terjadi di atas Rp1.000.000.000,00 Terjadi penambahan anggaran yang tidak diprogramkan, namun tidak lebih dari Rp2.000.000.000,00 Sebagian besar tujuan instansi gagal dilaksanakan Merusak citra institusi dalam skala nasional, penggantian pucuk pimpinan instansi secara mendadak Terjadinya KKN dan diproses secara hukum 29
Selanjutnya, dapat dibuat tabel persepsi dari individuindividu dalam kelompok tentang skor/level dampak seperti tampak pada Tabel 9. Tabel 9 Contoh Risiko dan Dampak Terjadinya UNSUR RISIKO – DAMPAK (IMPACT)
Nama Risiko
Belum ada strategi penyaluran dana Pedoman teknis belum dapat dipergunakan Ada kelompok UKM yang ingin menguasai Biaya penyaluran mahal dan belum ada dana anggarannya Staf teknis yang melaksanakan belum terlatih dan belum berpengalaman ...........
........... dst-nya
g. Lakukan
analisis
Pendapat Anggota Kelompok
Kode Risiko
J
Ratarata
A
B
C
D
#1
4
4
5
2
4
3.8
#2
4
4
1
1
5
3.2
#3
4
4
3
2
4
3.3
#4
1
4
5
1
3
2.9
#5 ... ...
4 ...
4 ...
1 ...
2 ...
3 ...
2.9 ....
terhadap
besarnya
......
...
kemungkinan
terjadinya suatu risiko 1) Lakukan penaksiran atas kemungkinan terjadinya suatu risiko. 2) Teliti faktor-faktor yang dapat meningkatkan atau mengurangi kemungkinan terjadinya risiko. 3) Klasifikasikan
masing-masing
kemungkinan
dalam
skala yang telah ditetapkan dalam penetapan konteks. h. Ukur kemungkinan/probabilitas risiko Pemahaman
terhadap
besarnya
kemungkinan
terjadinya risiko pada instansi akan dapat digunakan sebagai langkah untuk penanganan yang tepat terhadap terjadinya risiko yang diperkirakan. Strategi penanganan risiko dapat berbeda-beda dan sangat bergantung pada besar kecilnya risiko yang akan dihadapi. 2.2 Analisis Risiko
30
Terdapat beberapa metode yang dapat digunakan untuk
mengukur
kemungkinan
terjadinya
risiko.
Pengukuran pada sektor publik pada umumnya dilakukan dengan pendekatan kualitatif. Cara yang mudah untuk mengukur
kemungkinan
terjadinya
risiko
dan
untuk
menetapkan dampak risiko adalah dengan metode curah pendapat.
Hasil
curah
pendapat
yang
dihasilkan
dituangkan dalam daftar risiko, kemudian ditetapkan tingkat kemungkinan terjadinya dan besarnya dampak yang ditimbulkan. Setelah risiko-risiko utama teridentifikasi, maka harus ditetapkan tingkat kemungkinan terjadinya. Penetapan kemungkinan terjadinya risiko dapat diukur, misalnya dengan menggunakan skala Likert dengan rentang nilai antara 1 – 5, yang menunjukkan bahwa semakin besar bilangan nominal yang dihasilkan dalam pengukuran berarti semakin besar kemungkinan terjadinya. Penetapan skala kemungkinan terjadinya akan menghasilkan peringkat prioritas kemungkinan terjadinya risiko. Tabel 10 di bawah ini digunakan untuk mengukur kemungkinan terjadinya risiko: Tabel 10 Contoh Tabel Frekuensi Kemungkinan Terjadinya Risiko dan Kriterianya Skor
Definisi/Kriteria
1- Hampir tidak pernah terjadi 2 - Jarang terjadi
Peristiwa hanya akan timbul pada kondisi yang luar biasa Peristiwa diharapkan tidak terjadi
3 - Mungkin terjadi
Peristiwa kadang-kadang bisa terjadi
4 - Sering terjadi
Peristiwa sangat mungkin terjadi pada sebagian kondisi Peristiwa selalu terjadi hampir pada setiap kondisi
5 - Hampir pasti terjadi 2.2 Analisis Risiko
31
Selanjutnya, dapat dibuat tabel persepsi dari individuindividu dalam kelompok tentang skor/level kemungkinan risiko seperti tampak pada Tabel 11.
Tabel 11 Contoh Risiko dan Kemungkinan Terjadinya UNSUR RISIKO – KEMUNGKINAN (PROBABILITY) Nama Resiko
J
Ratarata
4
5
3.7
1
4
3
2.9
3
5
3
4
3.2
2
3
5
3
3
2.8
3
3
1
4
2
2.2
Pendapat Anggota Kelompok
Kode Risiko
A
B
C
D
#1
4
2
5
#2
3
2
#3
4
#4 #5
Belum ada strategi penyaluran dana Pedoman teknis belum dapat dipergunakan Ada kelompok UKM yang ingin menguasai Biaya penyaluran mahal dan belum ada dana anggarannya Staf teknis yang melaksanakan belum terlatih dan belum berpengalaman ........... ........... dst-nya
......
...
i. Lakukan penilaian terhadap kemungkinan terjadinya setiap risiko dan konsekuensinya Lakukan penilaian
terhadap kemungkinan
terjadinya
masing-masing risiko dan konsekuensinya, baik langsung maupun tidak langsung terhadap pencapaian tujuan instansi dan ukuran kinerja (indikator kinerja kunci), dengan memertimbangkan efektivitas sistem pengendalian intern yang ada. j. Menghitung level/status risiko Setiap risiko pertama-tama dianalisis dan dievaluasi dari segi potensi konsekuensinya sebagai hasil dari skenario risiko tertentu. Kemudian, konsekuensi dari skenario ini bersama dengan tingkat kemungkinannya diperingkat. Dengan menggunakan skala 1 sampai 5 untuk 2.2 Analisis Risiko
32
konsekuensi dan kemungkinan (likelihood), maka akan diperoleh level risiko dengan rentang mulai dari 1 sampai dengan 25, yang merupakan hasil perkalian antara baris skala
kemungkinan
konsekuensi/dampak.
(likelihood) Secara
dan
kolom
sederhana,
skala
rumusannya
adalah sebagai berikut:
Level Risiko = Probabilitas x Dampak Level risiko bervariasi ketika instansi menetapkan konteks bagaimana risiko dikelola. Semua risiko memiliki level inheren (inherent level of risk), yang diartikan sebagai level risiko tanpa pengendalian formal, atau juga disebut level risiko dimana pengendaliannya tidak berfungsi sama sekali. Beberapa instansi lebih memilih untuk menilai dan mendokumentasikan
level
risiko
(inherent)
tersebut
sebelum menetapkan efektivitas pengendalian yang ada. Jika instansi memiliki informasi yang berkaitan dengan level risiko inherennya, berarti ketika menetapkan kecukupan pengendaliannya, skenario terburuknya pun telah diketahui. Setelah pengendalian yang ada terdokumentasi dan dinilai efektivitasnya, maka level risiko setelah dinilai (assessed level of risk) dapat dievaluasi. Ini merupakan level risiko dengan pengendalian yang sudah ada. Ketika level risiko setelah dinilai ternyata tidak dapat diterima
(unacceptable),
maka
diperlukan
pengendali
tambahan atau perbaikan pada pengendalian yang sudah ada, yaitu dalam bentuk penanganan (treatment). Dalam 2.2 Analisis Risiko
33
rangka mengevaluasi biaya dan manfaat dari rencana tindak penanganan tersebut, maka dibuat suatu prediksi level risiko (predicted level of risk), yang merupakan prediksi
level
risiko
setelah
rencana
penanganan
diterapkan. Akhirnya,
setelah
rencana
penanganan
dilaksanakan, risiko tersebut sekali lagi dievaluasi dan dihitung level risiko residualnya (residual level of risk) dan seharusnya sudah masuk dalam rentang risiko yang dapat diterima oleh instansi. Tabel 12 Contoh Ukuran Kualitatif Kemungkinan Terjadinya (Likelihood) Level
Deskriptor
1
Sangat jarang
2
Jarang
3
Moderat
4
Sering
5
Hampir Pasti/Sangat sering
Contoh Deskripsi Rinci Kejadiannya muncul HANYA dalam keadaan tertentu Kejadiannya DAPAT muncul pada saat yang sama Kejadiannya SEHARUSNYA muncul pada saat yang sama Kejadiannya MUNGKIN muncul pada kebanyakan situasi Kejadiannya DIHARAPKAN muncul pada kebanyakan situasi
Frekuensi Kurang dari sekali dalam 10 tahun Paling sedikit sekali dalam 10 tahun Paling sedikit sekali dalam 5 tahun Paling sedikit sekali dalam 1 tahun Lebih dari satu kali dalam setahun
k. Lakukan analisis terhadap tingkat risiko dan buat peta risiko serta kecenderungan arah risikonya (menurun, statis, atau meningkat) 1) Pengukuran risiko dilakukan dengan mengombinasikan konsekuensi dari suatu risiko dengan kemungkinan terjadinya risiko, sehingga diperoleh tingkat atau status risiko.
2.2 Analisis Risiko
34
2) Rumuskan
“bahasa
warna”
untuk
tingkat
risiko,
sehingga dari warna dapat diketahui tindakan apa yang akan dilakukan sebagaimana yang telah ditetapkan dalam konteks. 3) Analisis terhadap kecenderungan/tren arah risiko, dengan
cara
mengidentifikasi
perubahan
atau
pergeseran tingkat risiko yang dikaitkan dengan upaya mitigasi yang telah dilakukan, ataupun faktor-faktor lain yang memengaruhinya. l. Membuat peta risiko Pemetaan risiko merupakan tahapan akhir dalam pelaksanaan analisis risiko. Hasil analisis akan digunakan untuk menetapkan langkah dalam kegiatan pengendalian yang merupakan unsur ke-3 dalam SPIP. Berdasarkan
pembahasan
pada
penetapan
kemungkinan terjadinya risiko dan dampaknya,
maka
keduanya digabungkan dalam satu lembar kerja penetapan status risiko, seperti tampak secara sederhana pada Tabel 13. Setelah dibuat tabel statusnya, selanjutnya dapat dibuat suatu peta risiko (risk map). Pemetaan risiko dilakukan setelah semua risiko diukur, baik dari sisi kemungkinan terjadinya maupun dampak yang ditimbulkan. Peta risiko merupakan gambaran visual risiko-risiko yang diletakkan pada sumbu vertikal dan sumbu horizontal. Contoh hasil pemetaan risiko tampak seperti pada Gambar 1. Secara umum, peta risiko lebih diperuntukkan kepada manajemen puncak di instansi, karena lebih mudah dipahami dalam bentuk gambar dibandingkan dengan suatu daftar hasil analisis yang dapat menjadi begitu panjang dan bersifat teknis. 2.2 Analisis Risiko
35
Tabel 13 Perbandingan Kemungkinan dan Dampak Risiko RATA-RATA
Nama Risiko
Kode Risiko
Kemungkinan terjadinya risiko
Dampak atas risiko
Status
#1
3.7
3.8
14.06
#2
2.9
3.2
9.28
#3
3.2
3.3
10.56
#4
2.8
2.9
8.12
#5
2.2
2.9
6.38
...
...
.....
Belum ada strategi penyaluran dana Pedoman teknis belum dapat dipergunakan Ada kelompok UKM yang ingin menguasai Biaya penyaluran mahal dan belum ada dana anggarannya Staff teknis yang melaksanakan belum terlatih dan belum berpengalaman ........... ........... dst-nya
Risiko
Kemungkinan
10
5
0 0
5
10
Dampak
Gambar 1 Contoh Sederhana Peta Risiko (Tanpa Warna Tertentu)
Penempatan risiko pada peta risiko seperti pada Gambar 1 di atas didasarkan atas penentuan perhitungan antara kemungkinan dengan dampaknya.
Status risiko,
diperoleh dari hasil perkalian dan hasil penetapan nilai 2.2 Analisis Risiko
36
skala
Likert
untuk
kemungkinan
dan
dampaknya.
Berdasarkan status risiko, akan diketahui mana-mana risiko yang paling besar sampai yang paling kecil. Untuk memudahkan memberikan gambaran hasil perhitungan status risiko, biasanya diberikan warna yang mencolok, seperti warna merah untuk yang status risikonya sangat tinggi, oranye untuk risiko tinggi, kuning untuk yang menengah, dan seterusnya, seperti tampak pada Tabel 14 di bawah ini. Warna memberikan panduan untuk langkah respon atau pengendalian risiko pada tahap selanjutnya. Tabel 14 Contoh Matriks 5x5 Peta Risiko
Dari gambar peta/matriks di atas kemudian dapat dibuat skala peringkat (rating) dari risiko sesuai dengan ruang warnanya (lihat Tabel 15). Tabel 15 Peringkat/Rating Risiko
2.2 Analisis Risiko
37
m. Analisis status risiko Berdasarkan status risiko dan peta risiko, lakukan analisis berikut. 1) Analisis terhadap status risiko dilakukan dengan menjelaskan total paparan (exposures) risiko, yang dinyatakan
dengan
tingkat
risiko
dan
kecenderungannya. 2) Analisis peta risiko dilakukan dengan menjelaskan gambaran total risiko dan distribusi posisinya dalam matriks dengan frekuensi pada konsekuensi. n. Buat simpulan hasil analisis risiko. 2. Pertanyaan-Pertanyaan Kunci dalam Analisis Risiko Pertanyaan-pertanyaan
kunci
berikut
merupakan
referensi awal dalam melakukan analisis risiko dan dapat dikembangkan lebih lanjut, sesuai dengan situasi, kondisi, dan risiko masing-masing instansi pemerintah di lapangan, antara lain: a. Apakah sistem pengendalian intern
yang ada dapat
mendeteksi atau mengurangi konsekuensi, kemungkinan risiko, atau kejadian yang tidak diinginkan? b. Apakah sistem pengendalian intern yang ada dapat meningkatkan konsekuensi atau kemungkinan terdapat peluang atau kejadian yang bermanfaat? c. Bagaimana efektivitas sistem pengendalian intern yang diterapkan oleh manajemen? d. Apa potensi konsekuensi dari masing-masing risiko jika risikonya terjadi? 2.2 Analisis Risiko
38
e. Apa potensi kemungkinan dari masing-masing risiko yang dapat terjadi? f. Faktor-faktor
apa
yang
dapat
meningkatkan
atau
mengurangi kemungkinan dan konsekuensi risiko? 3. Metode Analisis Risiko Analisis risiko dapat dilakukan pada berbagai tingkatan kedalaman, bergantung pada informasi risiko, data, dan biaya yang tersedia. Ada tiga metode atau pendekatan dalam analisis risiko yang dapat digunakan untuk menetapkan tingkat risiko,
yaitu
kualitatif,
semi
kuantitatif,
dan
kuantitatif,
bergantung pada kondisi. Penjelasan tentang metode analisis dapat dilihat pada Bab II pedoman ini.
4. Evaluasi Risiko a. Pengertian dan Tujuan Evaluasi Risiko Evaluasi risiko (risk evaluation) adalah proses untuk menentukan prioritas risiko, dengan membandingkan tingkat risiko yang diperoleh selama proses analisis dengan kriteria, tingkat target risiko, atau target lain, yang ditetapkan
sebelumnya
saat
tahap
penetapan
konteks/tujuan. Hasil dari evaluasi risiko adalah daftar prioritas risiko (a prioritized list of risks),
berdasarkan
informasi yang telah diperoleh dari hasil identifikasi dan analisis risiko, maupun
prioritas risiko yang disepakati
dalam evaluasi risiko.
2.2 Analisis Risiko
39
Tujuan
evaluasi
risiko
adalah
untuk
membuat
keputusan berdasarkan hasil analisis risiko, mengenai risiko mana yang memerlukan respon tertentu dan prioritas penanganan. Dengan demikian, evaluasi risiko memberikan suatu daftar risiko yang meliputi keputusan apakah suatu risiko memerlukan respon tertentu, apakah suatu aktivitas harus dilakukan, dan risiko apa yang memerlukan peringkat atau prioritas penanganan. b. Prosedur Evaluasi Risiko Prosedur atau langkah-langkah yang dilakukan dalam melakukan evaluasi risiko adalah sebagai berikut: 1) Lakukan evaluasi risiko, yang meliputi: a) Membandingkan risiko yang diidentifikasi
selama
proses analisis dengan kriteria yang telah ditetapkan dalam penetapan konteks/tujuan. b) Memutuskan apakah risiko dapat diterima atau tidak dapat diterima, sesuai dengan peringkat prioritas yang disepakati. c) Lakukan review kriteria risiko yang telah ditetapkan dalam penetapan tujuan untuk meyakinkan bahwa kriteria risiko telah diidentifikasi untuk semua risiko yang dapat diterima. 2) Lakukan penilaian alasan-alasan suatu risiko dianggap dapat diterima, yang meliputi: a) Kemungkinan dan/atau konsekuensi risiko sangat rendah sehingga penanganan spesifik tidak tepat. b) Tidak tersedia penanganannya.
2.2 Analisis Risiko
40
c) Biaya
penanganan
dengan
sangat
manfaatnya
mahal
sehingga
dibandingkan
menerima
risiko
adalah satu-satunya pilihan respon/penanganan. 3) Buat daftar prioritas risiko (urutan prioritas risiko dan daftar risiko). a) Buat daftar prioritas atau peringkat risiko atas risiko yang telah disepakati, yang memuat urutan prioritas risiko (Misalnya,
sangat tinggi, tinggi, sedang,
rendah, dan sangat rendah). b) Risiko
yang
diprioritaskan
penanganan lebih lanjut
untuk
dilakukan
perlu dilaporkan kepada
tingkat pimpinan/manajemen yang lebih tinggi, sesuai dengan kebijakan yang telah ditetapkan, sebagai bagian strategi atau rencana operasi instansi. 4) Lakukan penilaian awal (initial assessment) untuk mengidentifikasi tren risiko atau pergeseran risiko sebagai perluasan dari tahap evaluasi risiko, yang meliputi: a) Risiko yang harus ditangani dengan segera tanpa analisis rinci, namun respon/penanganan yang tepat telah jelas. b) Risiko yang dikesampingkan atau diabaikan tanpa tindakan lebih lanjut untuk sementara waktu. c) Risiko yang memerlukan analisis lebih rinci sebelum menetapkan apakah perlu ditangani atau tidak atau memilih bentuk respon/penanganan yang lebih tepat.
2.2 Analisis Risiko
41
5) Lakukan analisis rinci (detailed analysis) untuk risiko tertentu (khususnya risiko yang sangat tinggi/ekstrim dan tinggi), dengan mendapatkan informasi tambahan sebelum dilakukan penanganan atau bentuk opsi respon/penanganan yang tepat . 6) Buat simpulan hasil evaluasi risiko. c. Pertanyaan-Pertanyaan Kunci dalam Evaluasi Risiko Pertanyaan-pertanyaan berikut dapat membantu dalam mengevaluasi dan memprioritaskan risiko, yaitu: 1) Tingkat risiko-risiko apa yang dapat diterima dan yang tidak dapat diterima? 2) Apa peringkat atau prioritas risiko dari masing-masing risiko? C. Respon terhadap Risiko Respon risiko membantu memfokuskan perhatian instansi pada kegiatan pengendalian yang diperlukan untuk memastikan bahwa respon risiko tersebut dilakukan dengan tepat dan terjadwal. Respon terhadap risiko terdiri dari beberapa pilihan, yaitu: 1. Menghindarkan risiko (avoid) Menghindarkan risiko dilakukan dengan cara tidak memulai
atau
tidak
melanjutkan
kegiatan
yang
dapat
meningkatkan risiko. Penghindaran risiko dapat menjadi tidak tepat jika individu atau instansi bersifat menolak risiko (riskaverse). Penghindaran risiko secara tidak tepat justru dapat meningkatkan signifikansi risiko lainnya atau mengakibatkan hilangnya peluang memeroleh manfaat. 2.2 Analisis Risiko
42
2. Mengubah kemungkinan munculnya risiko (abate) Respon
ini
dilakukan
dengan
cara
mengubah
kemungkinan munculnya risiko agar kemungkinan terjadinya hasil yang negatif dapat berkurang. Istilah lain yang juga digunakan adalah pencegahan (prevention) 3. Mengubah konsekuensinya (mitigate) Respon
ini
dilakukan
dengan
cara
mengubah
konsekuensinya agar luas kerugian menjadi berkurang. Hal ini meliputi ukuran-ukuran pra-kejadian seperti pengurangan persediaan dan peralatan pelindung, dan respon pasca kejadian seperti rencana lanjutan. Istilah lain yang juga digunakan adalah penanggulangan. Abate dan mitigate terkadang disebut dalam satu istilah, yaitu mengurangi risiko (reduce). 4. Berbagi risiko (share) atau mentransfer risiko Hal ini melibatkan pihak lain dalam menanggung atau berbagi
sebagian
risiko,
terutama
dengan
konsensus.
Mekanismenya meliputi kontrak-kontrak, asuransi, dan struktur organisasi
seperti
kemitraan
dan
joint
ventures
untuk
menyebarkan tanggung jawab dan kewajiban. Umumnya, terdapat
biaya
finansial
atau
manfaat
terkait
dengan
pembagian risiko dengan instansi lain, misalnya premi asuransi. Jika risiko dibagi, baik keseluruhan maupun sebagian, maka instansi yang mentransfer risiko mendapat risiko baru, yaitu instansi lain yang memeroleh transfer risiko tersebut tidak dapat mengelola risiko itu secara efektif.
2.2 Analisis Risiko
43
5. Menerima atau mempertahankan risiko (accept/retain) Setelah risiko diubah atau dibagi, maka akan ada risiko tersisa yang dipertahankan. Risiko pun dapat dipertahankan secara default, yaitu jika terjadi kegagalan mengenali atau membagi secara tepat, atau bahkan menangani risiko. Pada kasus ekstrem, dapat terjadi suatu instansi tidak memiliki pilihan respon yang lebih baik, selain menerima risiko tersebut. Respon risiko yang terpilih merupakan permulaan untuk melakukan
kegiatan
pengendalian,
atau
menentukan
pengendalian apa yang diperlukan untuk mengurangi risiko tersebut. Aktivitas pengendalian merupakan kebijakan dan prosedur yang disusun untuk meyakinkan bahwa respon risiko berjalan secara efektif. Oleh karena itu, respon risiko dapat dikatakan merupakan “jembatan” antara hasil penilaian risiko dan unsur kegiatan pengendalian. Pasal 18 PP Nomor 60 Tahun 2008 menyebutkan bahwa kegiatan pengendalian adalah kebijakan dan prosedur yang dapat membantu memastikan dilaksanakannya arahan pimpinan instansi
pemerintah
untuk
mengurangi
risiko
yang
telah
diidentifikasi selama proses penilaian risiko. Ini berarti, kegiatan pengendalian bukan hanya dimaksudkan untuk mengurangi risiko, namun
juga
merupakan
“alat”
untuk
meyakinkan
bahwa
penanganan (respon) atau pengendalian risiko telah terlaksana secara efektif. Respon risiko membantu untuk memfokuskan perhatian pada kegiatan pengendalian apa yang diperlukan dalam rangka memastikan bahwa respon risiko tersebut dilaksanakan secara tepat dan terjadwal. Berikut ini adalah suatu ilustrasi tentang 2.2 Analisis Risiko
44
hubungan
antara
tujuan,
respon
risiko,
dan
kegiatan
pengendaliannya. Tujuan: Memenuhi atau bahkan melebihi target penjualan. Risiko: kurangnya pemahaman tentang faktor eksternal seperti kebutuhan terkini dari pelanggan. Respon risiko: mengurangi kemungkinan dan dampak, yaitu dengan menetapkan data historis pembelian oleh para pelanggan terdahulu serta melakukan riset pasar baru. Tindakan
tersebut
dapat
menjadi
titik
penting
untuk
menetapkan kegiatan pengendalian. Kegiatan
pengendalian:
mengecek
perkembangan
data
historis pembelian oleh pelanggan dengan jadwal yang telah ditetapkan, dan memastikan bahwa laporan data tersebut akurat. D. Laporan Hasil Penilaian Risiko 1. Tujuan Laporan Hasil Penilaian Risiko Pelaporan hasil penilaian risiko pada instansi pemerintah mempunyai tujuan sebagai berikut: a. Memberikan informasi yang obyektif kepada pihak terkait mengenai proses penilaian risiko. b. Menyajikan hasil penilaian risiko ditinjau dari prinsip-prinsip efisien,
efektif,
serta
memberikan
saran
untuk
pengendalian risiko. c. Memberikan
informasi
yang
dapat
digunakan
untuk
pengambilan keputusan dalam rangka memperbaiki sistem pengendalian intern. 2. Materi Pokok Laporan Hasil Penilaian Risiko Materi pokok yang dapat disajikan dalam laporan hasil penilaian risiko adalah sebagai berikut: 2.2 Analisis Risiko
45
a. Simpulan dan Saran b. Uraian Hasil Penilaian Risiko, memuat antara lain: 1) Dasar Penilaian Dasar penilaian merupakan semua ketentuan yang mendasari dilakukannya penilaian risiko, termasuk surat tugas untuk melakukan penilaian dari pejabat yang berwenang. 2) Tujuan Penilaian Tujuan penilaian harus disebutkan secara jelas, sesuai dengan petunjuk teknis atau pedoman umum yang telah ditetapkan. 3) Ruang Lingkup Penilaian Ruang lingkup penilaian harus disajikan sesuai dengan penetapan tujuan atau sesuai dengan permintaan pemilik risiko. 4) Informasi Umum Informasi umum yang harus disajikan dalam laporan hasil penilaian, antara lain memuat: a) Unit Kerja (Unit Pemilik Risiko) b) Periode/Jangka Waktu Penilaian c) Penanggung Jawab Risiko d) Lokasi e) Pihak-pihak yang terkait atau yang berkepentingan dalam melakukan proses penilaian risiko f) Metode, Sumber, dan Jenis Informasi g) Teknik analisis yang digunakan (kualitatif,
semi
kuantitatif, atau kuantitatif)
2.2 Analisis Risiko
46
5) Uraian Hasil Penilaian Risiko Uraian hasil penilaian risiko memuat keluaran (output) dari proses penilaian risiko pada masing-masing tahap, yang meliputi: a) Hasil penetapan tujuan b) Daftar risiko yang diidentifikasi c) Penentuan tingkat risiko dan peta risiko d) Daftar urutan prioritas risiko dan daftar risiko yang akan ditangani (direspon). (Untuk butir b, c, dan d didokumentasikan dalam register risiko). 6) Saran Saran dapat dilakukan pada setiap tahap atau setelah melakukan seluruh tahapan proses penilaian risiko.
2.2 Analisis Risiko
47
2.2 Analisis Risiko
48
BAB IV PENUTUP Analisis risiko pada sektor publik merupakan bagian dari penyelenggaraan SPIP yang dibangun oleh manajemen instansi pemerintah. Proses analisis risiko dilakukan untuk memberikan masukan kepada pimpinan guna menentukan strategi penanganan risiko yang tepat, dengan menggunakan biaya secara efisien dan efektif. Pedoman ini disusun untuk memberikan acuan praktis bagi pimpinan
instansi
pemerintah
dalam
menciptakan
dan
melaksanakan sistem pengendalian intern, khususnya pada unsur penilaian risiko sub unsur analisis risiko di lingkungan instansi yang dipimpinnya. Hal-hal yang dicakup dalam pedoman teknis ini adalah acuan mendasar yang berlaku secara umum bagi seluruh instansi pemerintah yang minimal harus dipenuhi dalam penerapan analisis risiko, dan tidak mengatur secara spesifik bagi instansi tertentu. Instansi pemerintah hendaknya dapat mengembangkan lebih jauh langkah-langkah yang perlu diambil sesuai dengan kebutuhannya, dengan tetap mengacu dan tidak bertentangan dengan peraturan perundang-undangan yang berlaku. Sesuai dengan perkembangan teori dan praktik-praktik sistem pengendalian intern, pedoman ini perlu disesuaikan secara terusmenerus.
2.2 Analisis Risiko
49