SPIP: Identifikasi Resiko

BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN

PEDOMAN TEKNIS PENYELENGGARAAN SPIP SUB UNSUR IDENTIFIKASI RISIKO (2.1)

NOMOR : PER-1326/K/LB/2009 TANGGAL : 7 DESEMBER 2009

KATA PENGANTAR

Pembinaan penyelenggaraan Sistem Pengendalian Intern Pemerintah

(SPIP)

merupakan

tanggung

jawab

Badan

Pengawasan Keuangan dan Pembangunan (BPKP), sesuai dengan pasal 59 Peraturan Pemerintah (PP) Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah. Pembinaan ini merupakan salah satu cara untuk memperkuat dan menunjang efektivitas sistem

pengendalian

intern,

yang

menjadi

tanggung

jawab

menteri/pimpinan lembaga, gubernur, dan bupati/walikota sebagai penyelenggara sistem pengendalian intern di lingkungan masingmasing. Pembinaan penyelenggaraan SPIP yang menjadi tugas dan tanggung jawab BPKP tersebut, meliputi: 1. penyusunan pedoman teknis penyelenggaraan SPIP; 2. sosialisasi SPIP; 3. pendidikan dan pelatihan SPIP; 4. pembimbingan dan konsultasi SPIP; dan 5. peningkatan kompetensi auditor aparat

pengawasan intern

pemerintah. Kelima kegiatan dimaksud diarahkan dalam rangka penerapan unsur-unsur SPIP, yaitu: 1. lingkungan pengendalian; 2. penilaian risiko; 3. kegiatan pengendalian; 4. informasi dan komunikasi; dan 5. pemantauan pengendalian intern.

2.1 Identifikasi Risiko

i

Untuk memenuhi kebutuhan pedoman penyelenggaraan SPIP, BPKP telah menyusun Pedoman Teknis Umum Penyelenggaraan SPIP. Pedoman tersebut merupakan pedoman tentang hal-hal apa saja yang perlu dibangun dan dilaksanakan dalam rangka penyelenggaraan SPIP. Selanjutnya, pedoman tersebut dijabarkan ke

dalam

pedoman

teknis

penyelenggaraan

masing-masing

subunsur pengendalian. Pedoman teknis sub unsur ini merupakan acuan

langkah-langkah

yang

perlu

dilaksanakan

dalam

penyelenggaraan subunsur SPIP. Pedoman Teknis Penyelenggaraan SPIP Sub unsur Identifikasi Risiko pada unsur Penilaian Risiko merupakan acuan yang memberi arah bagi lembaga dan instansi pemerintah, baik pusat maupun daerah dalam menyelenggarakan sub unsur tersebut, dan dapat

disesuaikan dengan karakteristik masing-masing instansi

yang meliputi fungsi, sifat, tujuan, dan kompleksitas instansi tersebut. Kami menyadari bahwa masih terdapat kekurangsempurnaan dalam penyusunan pedoman ini. Oleh karena itu, masukan dan saran perbaikan dari pengguna pedoman ini, sangat diharapkan sebagai bahan penyempurnaan.

Jakarta, Desember 2009 Plt. Kepala,

Kuswono Soeseno NIP 19500910 197511 1 001 2.1 Identifikasi Risiko

ii

DAFTAR ISI Halaman

KATA PENGANTAR .................................................................

i

DAFTAR ISI ...............................................................................

iii

BAB I PENDAHULUAN A. Latar Belakang .........................................................

1

B. Sistematika Pembahasan ........................................

5

BAB II GAMBARAN UMUM A. Risiko ........................................................................

7

B. Proses Pengelolaan Risiko ....................................... 13 C. Penilaian Risiko ......................................................... 17 D. Parameter Penerapan .............................................. 20

BAB III LANGKAH IDENTIFIKASI RISIKO A. Persiapan Identifikasi Risiko ..................................... 29 B. Pelaksanaan Identifikasi Risiko ................................. 35

BAB IVPENUTUP


iii


iv

BAB I PENDAHULUAN A. Latar Belakang Penilaian risiko merupakan salah satu unsur dalam Sistem Pengendalian Intern Pemerintah (SPIP), selain unsur lingkungan pengendalian, kegiatan pengendalian, informasi dan komunikasi, serta pemantauan pengendalian intern. Proses pengendalian menyatu pada tindakan dan kegiatan yang dilakukan secara terus-menerus oleh pimpinan dan seluruh pegawai, maka yang menjadi fondasi dari pengendalian adalah orang-orang (SDM) di dalam organisasi yang membentuk lingkungan pengendalian yang baik dalam mencapai sasaran dan tujuan yang ingin dicapai instansi pemerintah. Penyelenggaraan unsur pertama SPIP, yaitu lingkungan pengendalian dalam rangka peningkatan kondisi lingkungan yang

nyaman

sehingga

menimbulkan

kepedulian

dan

keikutsertaan seluruh pegawai, haruslah menjadi komitmen bersama dalam melaksanakannya. Hal ini sangatlah penting untuk

terselenggaranya

unsur-unsur

SPIP

lainnya. Untuk

membangun kondisi nyaman tersebut, lingkungan pengendalian yang

baik

harus

memiliki

kepemimpinan

yang

kondusif.

Kepemimpinan yang kondusif diartikan sebagai situasi dimana pemimpin selalu mengambil keputusan dengan mendasarkan pada data hasil penilaian risiko. Berdasarkan kepemimpinan yang kondusif inilah, maka muncul kewajiban bagi pimpinan untuk

menyelenggarakan

penilaian

risiko

di

instansinya.

Penilaian risiko dengan dua sub unsurnya, dimulai dengan 2.1 Identifikasi Risiko

1

melihat kesesuaian antara tujuan kegiatan yang dilaksanakan instansi pemerintah dengan tujuan sasarannya, serta kesesuaian dengan tujuan strategis yang ditetapkan pemerintah. Setelah penetapan tujuan, instansi pemerintah melakukan identifikasi

atas

memengaruhi

risiko

intern

keberhasilan

dan

ekstern

pencapaian

yang

tujuan

dapat

tersebut,

menganalisisnya untuk mendapatkan risiko yang memiliki kemungkinan (probability) kejadian dan dampak yang sangat tinggi sampai dengan risiko yang sangat rendah. Berdasarkan hasil analisis risiko, selanjutnya dilakukan respon atas risiko dengan membangun kegiatan pengendalian yang tepat. Kegiatan pengendalian dibangun dengan maksud untuk memastikan bahwa respon risiko yang dilakukan instansi pemerintah sudah efektif. Seluruh penyelenggaraan unsur SPIP tersebut

haruslah

dilaporkan

dan

dikomunikasikan

serta

dilakukan pemantauan secara terus-menerus guna perbaikan yang berkesinambungan. Risiko

mengacu

pada

ketidakpastian

(uncertainty).

Ketidakpastian diartikan sebagai kurangnya pengetahuan dalam menjelaskan sesuatu atau hasilnya di masa depan, dengan banyak

kemungkinan

hasil,

sementara

risiko

adalah

ketidakpastian yang kemungkinan hasilnya akan berakibat tidak diinginkan

atau

mendatangkan

kerugian

yang

signifikan.

Meskipun berkonotasi negatif, risiko bukan merupakan sesuatu yang harus dihindari melainkan harus dikelola melalui suatu mekanisme yang dinamakan pengelolaan (manajemen) risiko.


2

Di samping itu, penilaian risiko (risk assessment) diartikan sebagai the overall process of risk identification, risk analysis, and risk evaluation (Australian Standard/New Zealand Standard, 4360: 2004) dan merupakan bagian terpadu dari proses pengelolaan risiko. Dasar pemikiran pengelolaan risiko adalah bahwa setiap entitas, baik yang berbentuk korporasi yang berorientasi

laba

maupun

organisasi

masyarakat

yang

berorientasi nirlaba, serta sektor publik (badan pemerintah, instansi pemerintah) yang berorientasi kepentingan publik dibentuk dan dikelola untuk memberikan atau menghasilkan nilai bagi para pemangku kepentingan (stakeholders). Sesuai dengan Peraturan Pemerintah (PP) Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP), khususnya Bagian Ketiga pasal 13 ayat (1), disebutkan bahwa

pimpinan

instansi

pemerintah

wajib

melakukan

penilaian risiko. Dalam PP Nomor 60 Tahun 2008, pasal 13, disebutkan bahwa penilaian risiko adalah kegiatan penilaian atas kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran instansi pemerintah. Lebih lanjut, dalam PP tersebut disebutkan bahwa penilaian risiko terdiri atas identifikasi risiko dan analisis risiko. Sehubungan

dengan

hal

tersebut,

untuk

dapat

melakukan penilaian risiko yang mencakup identifikasi, analisis, dan evaluasi risiko terhadap sektor publik atau instansi pemerintah, maka dipandang perlu tersedianya suatu pedoman teknis yang dapat mengarahkan pelaksanaan penilaian risiko agar dapat dilakukan secara efektif dan efisien. Perangkat dan metode yang digunakan harus menjamin bahwa semua risiko entitas atau instansi pemerintah dapat 2.1 Identifikasi Risiko

diidentifikasi

dan 3

pengendalian yang ada dapat dinilai. Keduanya merupakan informasi penting yang diperlukan dalam memberikan masukan kepada pimpinan instansi mengenai langkah-langkah yang harus dilakukan dalam menangani risiko-risiko tersebut. Buku pedoman teknis ini secara garis besar membahas langkah penetapan konteks atau tujuan instansi dan langkah identifikasi risiko. Penetapan tujuan dan identifikasi risiko adalah bagian dari penilaian dan pengelolaan risiko instansi. Tujuan dan manfaat buku pedoman teknis ini adalah untuk memberikan panduan dalam melakukan identifikasi risiko pada sektor publik atau instansi pemerintah. Identifikasi risiko bertujuan untuk memberikan masukan kepada pimpinan instansi pemerintah mengenai risiko-risiko yang dihadapi oleh instansi pemerintah. Secara khusus, buku pedoman teknis ini diharapkan dapat memberikan pemahaman kepada tim penilai (assessor) mengenai “bagaimana” (how to) melakukan langkah-langkah atau prosedur dalam mengidentifikasi

risiko, sehingga dapat

memberikan hasil yang optimal. Ruang lingkup identifikasi risiko ini mencakup langkahlangkah yang harus ditempuh dalam pelaksanaan identifikasi risiko pada sektor publik yang terdiri atas identifikasi risiko potensial, baik risiko yang berasal dari lingkungan internal maupun lingkungan eksternal instansi pemerintah. Namun, dalam identifikasi risiko perlu dilakukan terlebih dahulu yang

penetapan konteks

terkait dengan penetapan tujuan dan

sasaran instansi pemerintah. Hal ini sejalan dengan PP Nomor 60 Tahun 2008 pasal 13 ayat (3), yang menyebutkan bahwa dalam rangka penilaian risiko sebagaimana dimaksud pada ayat 2.1 Identifikasi Risiko

4

(1), pimpinan instansi pemerintah menetapkan (a) tujuan instansi pemerintah; dan (b) tujuan pada tingkatan kegiatan, dengan berpedoman pada peraturan perundang-undangan. B. Sistematika Pembahasan Pedoman Teknis Identifikasi Risiko merupakan pedoman pertama dari Pedoman Teknis Penilaian Risiko, dan disusun dalam struktur bab dengan pembahasan sebagai berikut: Bab I

Pendahuluan Dalam bab ini diuraikan mengenai latar belakang dan sistematika pembahasan.

Bab II

Gambaran Umum Dalam bab ini diuraikan secara singkat pengertian risiko, proses pengelolaan risiko, dan penilaian risiko.

Bab III Langkah Identifikasi Risiko Dalam bab ini diuraikan hal-hal sebagai berikut: A. Persiapan Identifikasi Risiko Subbab ini menguraikan mengenai hal-hal yang harus disiapkan dalam rangka identifikasi risiko. B. Pelaksanaan Identifikasi Risiko Subbab ini menguraikan mengenai pelaksanaan tahapan Identifikasi risiko. Bab IV Penutup Bab ini menguraikan secara singkat simpulan umum dalam rangka melakukan identifikasi risiko. Pedoman ini dimaksudkan hanya untuk identifikasi risiko, yang

meliputi

juga

penetapan

konteks/tujuan

instansi,

sedangkan analisis risiko akan dibahas pada pedoman tersendiri. 2.1 Identifikasi Risiko

5


6

BAB II GAMBARAN UMUM Bab ini memberikan gambaran umum tentang risiko, proses pengelolaan risiko, dan penilaian risiko. Penilaian risiko sangat berkaitan erat dengan proses pengelolaan risiko. A. Risiko 1. Pengertian Risiko Setiap keputusan untuk melakukan sesuatu atau tidak melakukan sesuatu, keduanya membawa konsekuensi atau dampak risiko. Risiko merupakan kondisi yang jika terjadi akan menghambat atau mengganggu pencapaian tujuan suatu organisasi, baik yang bersifat langsung maupun tidak langsung, yang merupakan hasil dari kombinasi kemungkinan (likelihood) terjadinya peristiwa dan besaran dari konsekuensi atau dampaknya (consequences or impact). Risiko dapat didefinisikan dalam berbagai cara. Handbook (HB) 436: 2004 of Risk Management Guidelines Companion to AS/NZS 4360: 2004, halaman 3, mendefinisikan risiko sebagai: “the chance of something that will have an impact on objectives. A risk is often specified in terms of an event or circumstance and the consequences that may flow from it. Risk is measured in terms of a combination of the consequences of an event and their likelihood.”


7

Sesuai dengan penjelasan pasal 3 huruf b Peraturan Pemerintah Nomor 60 Tahun 2008, dinyatakan bahwa yang dimaksud dengan “penilaian risiko” adalah kegiatan penilaian atas kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran instansi pemerintah. Menurut Ronny Kountur, D.M.S., Ph.D, (2008, halaman 6), dinyatakan bahwa risiko diartikan sebagai kemungkinan kejadian yang merugikan. Ada tiga unsur penting yang dapat menunjukkan apakah suatu potensi kejadian dapat disebut risiko, yaitu: a. Merupakan suatu kejadian; b. Kejadian tersebut masih merupakan kemungkinan, jadi dapat saja terjadi, atau tidak terjadi; c. Jika sampai terjadi, ada akibat yang ditimbulkannya, yaitu kerugian. Di

samping itu, terdapat tiga unsur lain yang

menentukan tingkat risiko, yaitu paparan atau kemunculan (exposure), waktu, dan kerentanan. Waktu dan kerentanan dikelompokkan ke dalam kemungkinan, sedangkan paparan dikelompokkan ke dalam akibat atau dampak. Risiko juga diartikan sebagai fungsi atau terkait dengan ketidakpastian (uncertainty). Bramantyo Djohanputro, Ph.D (2008, halaman 30) menyatakan: “Yang paling mendasar, pengertian risiko sebagai ketidakpastian yang telah diketahui tingkat probabilitas kejadiannya. Pengertian lain dan sering digunakan

oleh

ketidakpastian

kebanyakan

yang

dapat

orang,

dikuantifikasi,

risiko yang

adalah dapat

menyebabkan kerugian atau kehilangan. Risiko juga dapat diartikan penyebaran atau penyimpangan dari target, sasaran, atau harapan.” 2.1 Identifikasi Risiko

8

Berdasarkan pada dampaknya terhadap tujuan, risiko dikenal sebagai risiko sisi bawah (downside risks) dan risiko sisi atas (upside risks). Risiko sisi bawah mengacu kepada terjadinya hal buruk yang secara negatif memengaruhi tujuan. Risiko sisi atas mengacu kepada terjadinya hal-hal baik (positif) yang diharapkan untuk secara positif memengaruhi tujuan. Dengan demikian, risiko merupakan kejadian yang mempunyai dampak positif (sisi atas) dan negatif (sisi bawah) pada pencapaian tujuan organisasi, yang diukur berdasarkan kemungkinan dan konsekuensinya. Dari beberapa penjelasan di atas, yang dimaksudkan dengan risiko dalam pedoman teknis ini adalah kemungkinan kejadian

yang

mengancam

pencapaian

tujuan

dan

sasaran Instansi pemerintah. 2. Kategori Risiko Untuk memudahkan identifikasi risiko, maka perlu dilakukan kategori atau pengelompokan risiko. Ada beberapa kategori risiko bergantung dari sudut pandang mana kita melihatnya. Risiko dapat dilihat dari beberapa sudut pandang, yaitu: a. Risiko dari Sudut Pandang Penyebab Apabila dilihat dari sebab terjadinya, ada dua macam risiko, yaitu risiko keuangan, dan risiko operasional. Risiko keuangan adalah risiko yang disebabkan oleh faktor-faktor keuangan.

Risiko

operasional

adalah

risiko

yang

disebabkan oleh faktor-faktor nonkeuangan, misalnya manusia, teknologi, sistem dan prosedur, serta alam. Di samping risiko dari sudut pandang penyebab, risiko juga 2.1 Identifikasi Risiko

9

bersumber berdampak

dari

risiko

terhadap

strategis, entitas

yaitu

dan

risiko

bersifat

yang

strategis

(misalnya keuangan, perubahan politik, dan keamanan) sebagai akibat keputusan strategis yang tidak sesuai dengan lingkungan eksternal dan internal organisasi, serta risiko eksternalitas, yaitu risiko yang timbul dari faktor eksternal, antara lain reputasi, lingkungan, sosial, dan hukum (Bramantyo Djohanputro, 2008, hal. 66-67). b. Risiko dari Sudut Pandang Akibat Ada dua kategori risiko jika dilihat dari akibat yang ditimbulkan, yaitu risiko murni dan risiko spekulatif. Apabila suatu kejadian berakibat hanya merugikan dan tidak memungkinkan adanya keuntungan disebut risiko murni, misalnya terjadi kebakaran. Risiko spekulatif adalah risiko yang tidak saja memungkinkan terjadinya kerugian tetapi juga memungkinkan terjadinya keuntungan, misalnya risiko melakukan investasi. c. Risiko dari Sudut Pandang Aktivitas Ada berbagai macam aktivitas yang dapat menimbulkan risiko, misalnya aktivitas pemberian kredit oleh bank, aktivitas pelayanan kepada masyarakat. d. Risiko dari Sudut Pandang Kejadian Risiko dilihat dari sudut pandang kejadian, misalnya risiko kebakaran. (Ronny Kountur, Ph.D, 2008, halaman 14 -19). Pendapat lain menyatakan beberapa sumber risiko dapat dilihat dari sumber terjadinya, yaitu : (1) Lima M: SDM (Man), Anggaran (Money), Peralatan (Machines), Sisdur informasi (Methods), dan Sarpras (Materials); (2) Kegiatan 2.1 Identifikasi Risiko

10

manajemen (Perencanaan, Pengorganisasian, Pelaksanaan, dan Pengawasan); dan (3) Aspek lainnya (Koordinasi, Sosial Ekonomi, Politik, Hukum, dan Lingkungan). Komponen

suatu risiko berhubungan atau berkaitan

dengan (sesuai dengan HB 436: 2004, halaman 38): a. Sumber risiko atau bahaya (hazard) – sesuatu yang mempunyai potensi intrinsik menjadi atau membantu terjadinya

kerugian

(harm),

misalnya

bahaya

kimia,

pesaing, dan pemerintah. b. Suatu kejadian atau insiden – sesuatu yang terjadi, sebagaimana sumber risiko, mempunyai dampak yang berkaitan dengan kebocoran, pesaing masuk ke dalam atau keluar dari pasar, regulasi baru atau regulasi yang direvisi,

atau

beberapa

ukuran

atau

kinerja

untuk

memenuhi tingkat hasil tertentu. c. Suatu konsekuensi (hasil atau dampak) pada pemangku kepentingan dan aset, misalnya kerusakan lingkungan, pasar yang meningkat, menderita kerugian, memeroleh laba, bertambahnya regulasi, atau menurunnya persaingan. d. Suatu penyebab (apa dan mengapa), (biasanya berkaitan langsung dengan penyebab pokok) atas timbulnya bahaya atau kejadian yang terjadi, misalnya desain, intervensi orang,

pendanaan,

predikisi

atau

kegagalan

untuk

memprediksi aktivitas pesaing, dan kegagalan untuk memasuki pasar atau ekspansi. e. Pengendalian

dan

tingkat

efektivitas

pengendalian,

misalnya sistem deteksi, sistem pembersihan, kebijakan, pengamanan, pelatihan, riset pasar, dan pengawasan pasar. f. Kapan terjadi risiko dan dimana kemungkinan terjadinya. 2.1 Identifikasi Risiko

11

Sumber risiko, menurut

Australian Standard/New

Zealand Standard (AS/NZS) 4360:2004, meliputi: perilaku personel, aktivitas manajemen dan pengendalian, kondisi ekonomi, kejadian yang biasa/tidak biasa, kondisi politik, isuisu teknologi/teknikal, hubungan hukum dan komersial, tanggung jawab produk/profesional/publik, dan aktivitas itu sendiri. Dalam penjelasan PP Nomor 60 Tahun 2008, pasal 16 huruf (b) dan (c) disebutkan bahwa risiko dapat berasal dari faktor eksternal dan faktor internal, serta faktor lain, yang dapat dikhtisarkan sebagai berikut: a. Risiko yang berasal dari faktor eksternal, misalnya peraturan

perundang-undangan

baru,

perkembangan

teknologi, bencana alam, dan gangguan keamanan. b. Risiko

yang

berasal

dari

faktor

internal,

misalnya

keterbatasan dana operasional, sumber daya manusia yang tidak kompeten, peralatan yang tidak memadai, kebijakan dan prosedur yang tidak jelas, serta suasana kerja yang tidak kondusif. c. Risiko yang berasal dari faktor lain adalah risiko akibat kegagalan pencapaian tujuan dan keterbatasan anggaran yang

pernah

terjadi,

antara

lain

disebabkan

oleh

pengeluaran program yang tidak tepat, pelanggaran terhadap pengendalian dana, dan ketidaktaatan terhadap peraturan perundang-undangan, risiko yang melekat pada sifat misinya atau pada signifikansi dan kompleksitas dari setiap program atau kegiatan spesifik dilaksanakan.


12

Dalam

praktiknya,

terdapat

banyak

risiko

dan

kebanyakan saling berinteraksi satu sama lain. Satu risiko memiliki

banyak

potensi

konsekuensi

pada

berbagai

perspektif, dan satu perspektif dapat merupakan akibat dari beberapa risiko yang memengaruhi secara simultan. Oleh karena itu, perlu adanya pengelolaan risiko terintegrasi, selain pengelolaan risiko yang secara otomatis melekat

menjadi

bagian dari tugas pemegang jabatan masing-masing, yang terkait dalam suatu organisasi. B. Proses Pengelolaan Risiko Dalam lingkungan organisasi atau instansi pemerintah, perhatian atas pentingnya

pengelolaan risiko

dan sistem

pengendalian intern telah meningkat, sehingga membawa tanggung jawab yang lebih besar bagi orang-orang yang mengelola risiko. Oleh karena itu, manajemen organisasi mempunyai harapan yang lebih tinggi untuk mengawasi (oversight) dan mengelola risiko utama dalam organisasi mereka, serta bagaimana risiko dan upaya-upaya pengendaliannya dapat mendukung kinerja organisasi. Sistem pengendalian intern adalah proses yang integral pada tindakan dan kegiatan yang dilakukan secara terusmenerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas tercapainya tujuan organisasi melalui kegiatan yang efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan perundang-undangan (PP Nomor 60 Tahun 2008).


13

Dalam PP Nomor 60 Tahun 2008 Bab II, pasal 3, disebutkan bahwa SPIP terdiri atas unsur (a) lingkungan pengendalian, (b) penilaian risiko, (c) kegiatan pengendalian, (d) informasi dan komunikasi, dan (e) pemantauan pengendalian intern. Penilaian risiko diawali dengan penetapan maksud dan tujuan instansi pemerintah yang jelas dan konsisten, baik pada tingkat instansi maupun pada tingkat kegiatan. Selanjutnya, instansi pemerintah mengidentifikasi secara efisien dan efektif risiko yang dapat menghambat pencapaian tujuan tersebut, baik yang bersumber dari dalam maupun luar instansi. Terhadap risiko yang telah diidentifikasi dianalisis untuk mengetahui pengaruhnya terhadap pencapaian tujuan. Pimpinan instansi pemerintah merumuskan pendekatan pengelolaan (manajemen) risiko dan kegiatan pengendalian risiko yang diperlukan untuk memperkecil risiko. Pengertian pengelolaan risiko yang secara luas telah digunakan, di antaranya sebagai berikut: “budaya, proses, dan struktur yang diarahkan kepada pengelolaan yang efektif atas potensi kejadian dan dampak yang tidak diinginkan.” (Australian Standard/New Zealand Standard , AS/NZS, 4360:2004) “proses yang dipengaruhi oleh dewan direksi, manajemen, dan personil lain entitas tersebut, diterapkan dalam penetapan strategi dan berlaku di seluruh perusahaan, dirancang untuk mengidentifikasi peristiwa potensial yang dapat memengaruhi entitas itu, dan mengelola risiko agar tetap ada dalam selera risikonya, sehingga dapat memberikan jaminan yang memadai mengenai pencapaian tujuan entitas.” (COSO Enterprise Risk Management, 2004 COSO) “pendekatan yang kuat dan terkoordinasi untuk menilai dan merespon semua risiko yang memengaruhi pencapaian tujuan strategis dan keuangan organisasi. Ini meliputi, baik risiko sisi atas maupun risiko sisi bawah.” (IIA, 2004) 2.1 Identifikasi Risiko

14

Pengertian proses pengelolaan risiko (AS/NZS 4360: 2004) adalah penerapan sistematis kebijakan manajemen, prosedur, dan sejumlah tugas dalam menetapkan konteks, mengidentifikasi,

menganalisis,

mengevaluasi,

menangani,

mengomunikasikan, dan memonitor risiko. Dari pengertian proses

pengelolaan

risiko

tersebut,

unsur-unsur

proses

pengelolaan risiko meliputi: 1. Menetapkan konteks; 2. Mengidentifikasi risiko; 3. Menganalisis risiko; 4. Mengevaluasi risiko; 5. Menangani risiko; 6. Komunikasi dan konsultasi; serta 7. Memantau dan mereviu (Lihat Gambar 1 Proses Manajemen Risiko). Menurut AS/NZS 4360: 2004, pengelolaan risiko sudah mencakup di dalamnya penilaian risiko, yang meliputi identifikasi, analisis, dan evaluasi risiko. Jika dibandingkan dengan penilaian risiko menurut PP Nomor 60/2008, pada dasarnya kedua hal tersebut adalah sama, dimana penilaian risiko terdiri atas identifikasi dan analisis risiko (sudah termasuk di dalamnya adalah respon risiko). Pedoman ini menggunakan istilah penilaian risiko menurut PP 60 Tahun 2008, namun sebagai tambahan rujukan juga digunakan istilah penilaian risiko menurut AS/NZS 4360: 2004, terutama pemakaian istilah evaluasi risiko (dibahas pada Pedoman Teknis Penyelenggaraan SPIP: Sub Unsur Analisis Risiko), yang selanjutnya tahap evaluasi ini akan digunakan pada saat pemilihan respon risiko. 2.1 Identifikasi Risiko

15

Gambar 1 Proses Manajemen Risiko

Sumber : AS/NZS 4360:2004

Menurut

Enterprise Risk Management – Integrated

Framework yang diterbitkan oleh COSO tahun 2004 (ERM COSO), disebutkan bahwa unsur-unsur pengelolaan risiko meliputi: (1) Lingkungan

internal, (2) Penetapan tujuan,

(3) Identifikasi peristiwa, (4) Penilaian risiko, (5) Respon risiko, (6) Aktivitas pengendalian, (7) Informasi dan komunikasi, dan (8) Pemantauan. Dengan penjelasan dari ERM COSO, menjadi lebih jelas lagi bahwa pengelolaan risiko pada dasarnya sama komponennya.


16

C. Penilaian Risiko 1. Pengertian Penilaian Risiko Sebelum menguraikan lebih lanjut pengertian penilaian risiko, beberapa istilah penilaian risiko (risk assessment) mempunyai pengertian yang berbeda, tumpang tindih, dan saling dipertukarkan dalam pemakaiannya dalam literatur pengelolaan risiko.

Misalnya, istilah “risk analysis”, “risk

assessment”, dan “risk evaluation.” Pemakaian istilah-istilah ini diartikan sebagaimana yang terdapat dalam pedoman ini. Contohnya, istilah penilaian risiko dalam PP Nomor 60 Tahun 2008 tentang SPIP adalah sama pengertiannya dengan risk assessment. Sesuai dengan PP Nomor 60 Tahun 2008, khususnya bagian ketiga, pasal 13 ayat (1) disebutkan bahwa pimpinan instansi wajib melakukan penilaian risiko. Penilaian risiko sebagaimana

dimaksud

pada

ayat

(1),

terdiri

atas

(a) identifikasi risiko; dan (b) analisis risiko. Lebih lanjut dalam PP tersebut disebutkan bahwa penilaian risiko diawali dengan penetapan maksud dan tujuan instansi pemerintah yang jelas dan konsisten, baik pada tingkat instansi maupun pada tingkat kegiatan. Hal ini sejalan dengan proses pengelolaan risiko, baik menurut AS/NZS maupun COSO, bahwa sebelum melakukan penilaian risiko harus ditetapkan terlebih dahulu penetapan konteks atau tujuan organisasi/entitas.


17

Menurut Handbook 436: 2004, penilaian risiko (risk assessment) diartikan sebagai “the overall process of risk identification, risk analysis, and risk evaluation”. Ini dapat dilihat dari Gambar Proses Pengelolaan Risiko, dimana penilaian risiko merupakan bagian yang integral atau terpadu dari proses pengelolaan risiko. Hal ini juga sejalan dengan definisi yang dikemukakan oleh Allen L. Burgensen bahwa penilaian risiko adalah “A systematic process of organizing to support a risk decision to be made within a risk management process. It consists of the identification of the hazards and analysis and evaluation of risks associated with the exposure to these hazard.” Menurut Australian Government, Department of the Environment and Heritage Australian Government Office (2006, halaman 43) penilaian risiko didefinisikan sebagai “The set of tasks to here collectively as a risk assessment, consists of three central steps in the risk management process: identify the risks, analyze the risks, and evaluate the risks.” Dari uraian di atas dapat disimpulkan bahwa penilaian risiko merupakan proses yang dilakukan oleh suatu instansi atau organisasi

dan merupakan bagian yang integral dari

proses pengelolaan risiko dalam pengambilan keputusan risiko dengan melakukan tahap identifikasi risiko, analisis risiko, dan evaluasi risiko. Proses penilaian risiko dilakukan setelah dilakukan penetapan tujuan organisasi.


18

Jika

dikaitkan

dengan

SPIP,

penilaian

risiko

merupakan unsur atau komponen sistem pengendalian intern, dengan subunsur identifikasi dan analisis risiko, sedangkan evaluasi risiko, dengan mempertimbangkan bahwa proses evaluasi akan

sejatinya

adalah

diprioritaskan

proses

(setelah

menilai dianalisis,

risiko

yang

termasuk

mempertimbangkan tingkat risiko yang dapat diterima) dan direspon, maka proses ini dapat digabungkan dalam proses analisis risiko. 2. Tujuan Penilaian Risiko Sebagaimana dikemukakan sebelumnya, penilaian risiko merupakan bagian yang integral atau terpadu dari proses pengelolaan risiko dan juga sistem pengendalian intern. Proses dapat didefinisikan sebagai urutan tindakan yang dilakukan untuk mencapai tujuan tertentu. Hal ini berarti proses penilaian risiko merupakan prosedur terpadu, yang meliputi identifikasi dan analisis risiko-risiko yang timbul. Dari pengertian tersebut, maka tujuan penilaian risiko adalah untuk: 1. Mengidentifikasi dan menguraikan semua risiko potensial yang berasal, baik dari faktor internal maupun faktor eksternal; 2. Memeringkat risiko-risiko yang memerlukan perhatian manajemen instansi dan yang memerlukan penanganan segera atau tidak memerlukan tindakan lebih lanjut; dan 3. Memberikan suatu masukan atau rekomendasi untuk meyakinkan bahwa terdapat risiko-risiko yang menjadi prioritas paling tinggi untuk dikelola dengan efektif. 2.1 Identifikasi Risiko

19

3. Pengertian Identifikasi Risiko Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan bagaimana sesuatu dapat terjadi,

sehingga

dapat

berdampak

negatif

terhadap

pencapaian tujuan. Tujuannya adalah untuk menghasilkan suatu daftar sumber-sumber risiko dan kejadian-kejadian yang berpotensi membawa dampak terhadap pencapaian tiap tujuan

yang

telah

diidentifikasi

dalam

penetapan

konteks/tujuan. Potensi kejadian-kejadian tersebut dapat mencegah, menghambat, menurunkan, memperlama atau justru meningkatkan pencapaian tujuan-tujuan tersebut. Setelah mengidentifikasi apa yang dapat terjadi, maka perlu dipertimbangkan kemungkinan-kemungkinan penyebab dan skenario-skenario yang dapat terjadi. Terdapat banyak jalan untuk kemunculan suatu kejadian, dan oleh karenanya adalah perlu agar jangan sampai ada penyebab-penyebab signifikan yang tertinggal. D. Parameter Penerapan Penilaian risiko diawali dengan penetapan maksud dan tujuan instansi pemerintah yang jelas dan konsisten, baik pada tingkat instansi maupun pada tingkat kegiatan. Selanjutnya, instansi pemerintah mengidentifikasi secara efisien dan efektif risiko yang dapat menghambat pencapaian tujuan tersebut, baik yang bersumber dari dalam maupun luar instansi. Berikut ini adalah

parameter

yang

merupakan

hal-hal

yang

harus

diperhatikan oleh pimpinan dalam rangka penerapan unsur penilaian risiko sub unsur identifikasi risiko. 2.1 Identifikasi Risiko

20

1. Penetapan Tujuan Instansi Pemerintah a. Pimpinan Instansi Pemerintah menetapkan tujuan instansi pemerintah

dengan

berpedoman

pada

peraturan

perundang-undangan. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Pimpinan

instansi

pemerintah

menetapkan

tujuan

instansi pemerintah secara keseluruhan dalam bentuk misi, tujuan dan sasaran, sebagaimana dituangkan dalam rencana strategis dan rencana kinerja tahunan. 2) Tujuan instansi pemerintah secara keseluruhan disusun sesuai dengan persyaratan program yang ditetapkan dengan peraturan perundang-undangan. 3) Tujuan instansi pemerintah secara keseluruhan harus cukup spesifik, terukur, dapat dicapai, realistis, dan terikat waktu. b. Seluruh

tujuan

instansi

pemerintah

secara

jelas

dikomunikasikan pada semua pegawai sehingga pimpinan instansi pemerintah mendapatkan umpan balik, yang menandakan bahwa komunikasi tersebut berjalan secara efektif. c. Pimpinan

instansi

pemerintah

menetapkan

strategi

operasional yang konsisten dengan rencana strategis instansi pemerintah dan rencana penilaian risiko. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Rencana

strategis

mendukung

tujuan

instansi

pemerintah secara keseluruhan. 2) Rencana strategis mencakup alokasi dan prioritas penggunaan sumber daya.


21

3) Rencana strategis dan anggaran dirancang secara rinci sesuai dengan tingkatan instansi pemerintah. 4) Asumsi

yang

mendasari

rencana

strategis

dan

anggaran instansi pemerintah, konsisten dengan kondisi yang terjadi sebelumnya dan kondisi saat ini. d. Instansi pemerintah memiliki rencana strategis yang terpadu dan penilaian risiko, yang mempertimbangkan tujuan instansi pemerintah secara keseluruhan dan risiko yang berasal dari faktor intern dan ekstern, serta menetapkan suatu struktur pengendalian penanganan risiko. 2. Penetapan Tujuan Tingkat Kegiatan a. Penetapan

tujuan

pada

tingkatan

kegiatan

harus

berdasarkan pada tujuan dan rencana strategis instansi pemerintah. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Semua kegiatan penting didasarkan pada tujuan dan rencana

strategis

instansi

pemerintah

secara

keseluruhan. 2) Tujuan pada tingkatan kegiatan dikaji ulang secara berkala untuk memastikan bahwa tujuan tersebut masih relevan dan berkesinambungan. b. Tujuan pada tingkatan kegiatan saling melengkapi, saling menunjang, dan tidak bertentangan satu dengan lainnya. c. Tujuan pada tingkatan kegiatan relevan dengan seluruh kegiatan utama instansi pemerintah. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut:


22

1) Tujuan pada tingkatan kegiatan ditetapkan untuk semua kegiatan operasional penting dan kegiatan pendukung. 2) Tujuan pada tingkatan kegiatan konsisten dengan praktik dan kinerja sebelumnya yang efektif serta kinerja industri/bisnis yang mungkin dapat diterapkan pada kegiatan instansi pemerintah. d. Tujuan pada tingkatan kegiatan mempunyai unsur kriteria pengukuran. e. Tujuan pada tingkatan kegiatan didukung sumber daya instansi pemerintah yang cukup. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Sumber daya yang diperlukan untuk mencapai tujuan sudah diidentifikasi. 2) Jika tidak tersedia sumber daya yang cukup, pimpinan instansi pemerintah harus memiliki rencana untuk mendapatkannya. f. Pimpinan instansi pemerintah mengidentifikasi tujuan pada tingkatan kegiatan yang penting terhadap keberhasilan tujuan instansi pemerintah secara keseluruhan. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Pimpinan instansi pemerintah mengidentifikasi hal yang harus

ada

atau

dilakukan

agar

tujuan

instansi

pemerintah secara keseluruhan tercapai. 2) Tujuan pada tingkatan kegiatan yang penting harus mendapat perhatian dan direviu secara khusus serta capaian kinerjanya

dipantau secara

teratur

oleh

pimpinan instansi pemerintah. 2.1 Identifikasi Risiko

23

g. Semua tingkatan pimpinan instansi pemerintah terlibat dalam proses penetapan tujuan pada tingkatan kegiatan dan berkomitmen untuk mencapainya.

3. Identifikasi Risiko a. Pimpinan instansi pemerintah menggunakan metodologi identifikasi risiko yang sesuai untuk tujuan instansi pemerintah dan tujuan pada tingkatan kegiatan secara komprehensif. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Metode kualitatif

dan kuantitatif

digunakan

untuk

mengidentifikasi risiko dan menentukan peringkat risiko relatif secara terjadwal dan berkala. 2) Cara suatu risiko diidentifikasi, diperingkat, dianalisis, dan diatasi telah dikomunikasikan kepada pegawai yang berkepentingan. 3) Pembahasan identifikasi risiko dilakukan pada rapat tingkat pimpinan instansi pemerintah. 4) Identifikasi risiko merupakan bagian dari prakiraan rencana jangka pendek dan jangka panjang, serta rencana strategis. 5) Identifikasi risiko merupakan hasil dari pertimbangan atas temuan audit, hasil evaluasi, dan penilaian lainnya. 6) Risiko yang diidentifikasi pada tingkat pegawai dan pimpinan tingkat menengah menjadi perhatian pimpinan instansi pemerintah yang lebih tinggi.


24

b. Risiko dari faktor eksternal dan internal diidentifikasi dengan menggunakan mekanisme yang memadai. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Instansi pemerintah memertimbangkan risiko dari perkembangan teknologi. 2) Risiko yang timbul dari perubahan kebutuhan atau harapan badan legislatif, pimpinan instansi pemerintah, dan masyarakat sudah dipertimbangkan. 3) Risiko yang timbul dari peraturan perundang-undangan baru sudah diidentifikasi. 4) Risiko yang timbul dari bencana alam, tindakan kejahatan,

atau

tindakan

terorisme

sudah

dipertimbangkan. 5) Identifikasi risiko yang timbul dari perubahan kondisi usaha, politik, dan ekonomi sudah dipertimbangkan. 6) Risiko

yang

timbul

dari

rekanan

utama

sudah

dipertimbangkan. 7) Risiko yang timbul dari interaksi dengan instansi pemerintah lainnya dan pihak di luar pemerintahan sudah dipertimbangkan. 8) Risiko yang timbul dari pengurangan kegiatan dan pengurangan pegawai instansi pemerintah sudah dipertimbangkan. 9) Risiko yang timbul dari rekayasa ulang proses bisnis (business process re-engineering) atau perancangan ulang proses operasional sudah dipertimbangkan. 10) Risiko yang timbul dari gangguan pemrosesan sistem informasi dan tidak tersedianya sistem cadangan sudah dipertimbangkan. 2.1 Identifikasi Risiko

25

11) Risiko yang timbul dari pelaksanaan program yang didesentralisasi sudah diidentifikasi. 12) Risiko yang timbul dari tidak terpenuhinya kualifikasi pegawai dan tidak adanya pelatihan pegawai sudah dipertimbangkan. 13) Risiko yang timbul dari ketergantungan terhadap rekanan atau pihak lain dalam pelaksanaan kegiatan penting instansi pemerintah sudah diidentifikasi. 14) Risiko yang timbul dari perubahan besar dalam tanggung jawab pimpinan instansi pemerintah sudah diidentifikasi. 15) Risiko yang timbul dari akses pegawai yang tidak berwenang

terhadap

aset

yang

rawan

sudah

dipertimbangkan. 16) Risiko yang

timbul

dari kelemahan

pengelolaan

pegawai. 17) Risiko yang timbul dari ketidaktersediaan dana untuk pembiayaan program baru atau program lanjutan sudah dipertimbangkan. c. Penilaian atas faktor lain yang dapat meningkatkan risiko telah dilaksanakan. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Risiko yang timbul dari kegagalan pencapaian misi, tujuan, dan sasaran masa lalu atau keterbatasan anggaran sudah dipertimbangkan. 2) Risiko yang timbul dari pembiayaan yang tidak memadai, pelanggaran penggunaan dana, atau ketidakpatuhan terhadap peraturan perundang-undangan di masa lalu sudah dipertimbangkan. 2.1 Identifikasi Risiko

26

3) Risiko melekat pada misi instansi pemerintah, program yang kompleks dan penting, serta kegiatan khusus lainnya sudah diidentifikasi. d. Risiko instansi pemerintah secara keseluruhan dan pada setiap tingkatan kegiatan penting sudah diidentifikasi.


27


28

BAB III LANGKAH IDENTIFIKASI RISIKO Sebagaimana telah dijelaskan di latar belakang pedoman ini (Bab I), pimpinan instansi berperan dalam rangka melakukan penilaian risiko di instansinya. Dalam Bab ini, langkah identifikasi risiko dibahas secara lebih mendalam. A. Persiapan Identifikasi Risiko Tahapan persiapan identifikasi risiko dimulai dengan survei pendahuluan. Tim (satgas internal organisasi) yang ditunjuk, menyampaikan maksud untuk melakukan survei pendahuluan kepada pejabat instansi yang bertanggung jawab atas kegiatan yang akan dinilai risikonya. Dari hasil survei ini, tim akan memeroleh dan memahami profil instansi, termasuk struktur organisasi, tugas pokok dan fungsi, kebijakan , serta prosedur pengelolaan risikonya. Kemudian tim membicarakan ruang lingkup penilaian risiko yang akan dilakukan. Berdasarkan

data

hasil

survei

pendahuluan,

tim

kemudian membuat perencanaan identifikasi risiko, termasuk di dalamnya menentukan lingkup dan tujuan, kualitas dan jumlah sumber daya manusia, serta anggaran biaya yang dibutuhkan. Tahap persiapan identifikasi risiko meliputi: 1. Pembicaraan Awal Tim akan menjelaskan dan mendiskusikan kepada pihak yang akan dinilai mengenai tujuan, lingkup, rencana pelaksanaan, metode pengumpulan data, metode analisis, 2.1 Identifikasi Risiko

29

dan pembentukan contact person. Hal-hal penting yang perlu dikomunikasikan dalam pembicaraan awal pada pimpinan instansi adalah sebagai berikut: a. Tujuan Penilaian Risiko 1) Menyampaikan kepada pimpinan instansi tentang tujuan identifikasi

risiko,

sekaligus

batasan

yang

akan

diidentifikasi sehingga pada saat pelaksanaannya nanti antara pihak yang dinilai maupun pihak penilai dapat bekerja sama dalam hal kemudahan bertugas, serta kemudahan dalam menyampaikan informasi dan data yang diperlukan. 2) Beberapa hal penting yang dapat disampaikan berkaitan dengan tujuan, antara lain: a) Memahami sejauh mana kondisi penerapan sistem pengendalian dan pengelolaan risiko pada instansi, dan memberikan saran perbaikan bagi penerapan sistem pengendaliannya; b) Memberikan keyakinan (assurance) atas pendekatan pengelolaan risiko instansi dan nilai tambah dalam proses organisasi agar lebih ekonomis, efisiensi, efektif, dan meningkatkan akuntabilitas instansi; c) Menyampaikan bahwa secara tidak langsung dapat membantu pimpinan instansi atau manajemen dalam meningkatkan

sistem

pengendalian

intern

dalam

organisasi mereka.


30

b. Ruang Lingkup Tim penilai perlu menyampaikan kepada pihak yang dinilai mengenai ruang lingkup yang akan dinilai. Batasan yang akan dinilai harus disesuaikan dengan kondisi instansi yang menjalankan proses penilaian risiko. Ruang lingkup pelaksanaan penilaian risiko antara satu unit dengan unit lain dapat saja berbeda. Pelaksanaan penilaian risiko instansi dapat dilakukan pada: 1) Tingkat strategis, meliputi antara lain pengembangan kebijakan, penyampaian layanan, program ketaatan, dan pertimbangan politik; 2) Tingkat instansi dan program, meliputi antara lain prioritas dan strategi organisasi, manajemen keuangan, hubungan antar organisasi, teknologi, pengendalian dan pencegahan kecurangan, kemampuan staf, manajemen aset, serta kewajiban sosial dan strategi koordinasi; 3) Tingkat kegiatan/proyek, meliputi antara lain perencanaan, proses, prioritas pekerjaan, pengembangan dan pelatihan, kontrak, prosedur, kualitas data, pengadaan, konsultan, jaminan

kualitas,

struktur

pemberdayaan pegawai,

organisasi,

komunikasi,

konstruksi dan bangunan,

informasi teknologi, dan joint ventures; 4) Tingkat individu, meliputi antara lain mutasi pegawai, pengembangan kemampuan, keseimbangan antara urusan pekerjaan dan rumah tangga, tingkat komitmen, etika dan nilai (kualitas kepemimpinan), isu kesehatan, kewajiban hukum pegawai.


31

c. Rencana Waktu Pelaksanaan Rencana

jangka

waktu

pelaksanaan,

meliputi

perencanaan sejak proses penetapan tujuan, identifikasi, analisis, termasuk evaluasi risiko. d. Metode Pengumpulan Data Membicarakan data yang dibutuhkan dalam proses penilaian risiko, termasuk metode pengumpulan data dan perencanaan responden. Data di sini digunakan sebagai sarana kajian, analisis, dan juga sebagai bukti pendukung. Metode pengumpulan data yang dianjurkan antara lain adalah: 1) Reviu/kajian dokumen; 2) Kuesioner/check list yang dibuat berdasarkan hasil Focus Group Discussion (FGD); 3) Wawancara; dan 4) Observasi. Penetapan jumlah responden yang dibutuhkan dapat dilakukan secara sampel, jika ada keterbatasan waktu dan tenaga, namun sampel tetap harus memenuhi kriteria keterwakilan. e. Metode Analisis Data Agar data dapat memberikan informasi, harus dilakukan pengolahan data dan analisis data. Pengolahan data dapat dilakukan dengan menggunakan Software SPSS, Microsoft Excel, atau pengolah data lainnya.


32

f. Pembentukan Primary Contact Person Tim penilai perlu meyakinkan kepada pimpinan instansi tentang pentingnya pembentukan primary contact person dari pihak yang dinilai, yang berfungsi sebagai mediator (disesuaikan dengan kebutuhan instansi pemerintah) bagi tim penilai risiko. Pengumpulan data dilakukan setelah tercapai kesepakatan dengan primary contact person mengenai pemahaman penugasan, ruang lingkup, jadwal kegiatan, maupun metodologi identifikasi/penilaian risiko yang akan dilakukan. Mediator berfungsi membantu tim dalam bertanya dan meminta bantuan; menyediakan berbagai data dan atau informasi yang diperlukan; menetapkan jadwal pertemuan dengan pimpinan hingga jadwal waktu pelaksanaan yang lebih rinci dari setiap tahap; mengumpulkan data, baik melalui permintaan langsung atau melalui pengisian kuesioner/checklist, termasuk pembahasan mengenai teknis pelaksanaannya; serta merencanakan pelaksanaan observasi, termasuk menyediakan

ruangan

dan

perangkat

kerja

yang

diperlukan. 2. Pengumpulan Data Permintaan data sebaiknya dilakukan dengan surat resmi dari tim penilai yang ditujukan kepada primary contact person. Permintaan data harus secara jelas menyebutkan : a. Alamat yang dituju (nama orang atau jabatannya); b. Jenis/nama data; c. Tanggal batas waktu terakhir penyampaian data; dan d. Keterangan lain yang dianggap perlu. 2.1 Identifikasi Risiko

33

3. Pengolahan Data Data yang telah dikumpulkan melalui kajian dokumen, kuesioner, observasi, dan wawancara masih berupa data mentah. Data tersebut perlu diolah supaya dapat digunakan dalam proses analisis selanjutnya. Proses pengolahan data dilakukan dalam empat tahap, yaitu: a. Penyuntingan (editing), dilakukan dengan tujuan untuk meyakinkan bahwa jumlah kertas kerja (misal wawancara) harus sama dengan jumlah satuan analisis sampel. Kemudian melakukan pengecekan atas kelengkapan dan validitas data. Proses penyuntingan selesai bila sudah dapat

dipastikan

bahwa

semua

kertas

kerja

telah

terkumpul dan valid. b. Pemberian

kode

mempermudah

(coding),

tim

penilai

dilakukan

dengan

memasukkan

data

tujuan dan

menghindari pengulangan memasukkan data. Pemberian kode dapat berupa angka atau huruf. c. Tabulasi, untuk memudahkan tim penilai dalam memroses dapat menggunakan

software untuk pengecekan ulang,

memuat data yang banyak, dan melakukan beragam analisis. Program yang dapat digunakan adalah SPSS (Statistical Package for Social Science), Microsoft Excel, atau program pengolah data lainnya. d. Analisis

data,

dilakukan

dengan

tujuan

untuk

menggolongkan, mengurutkan, dan menyederhanakan data sehingga memudahkan tim menginterpretasikannya.


34

B. Pelaksanaan Identifikasi Risiko Sebelum melakukan identifikasi, perlu dilakukan penetapan konteks/tujuan. 1. Penetapan Konteks/Tujuan a. Pengertian dan Tujuan Penetapan Konteks Identifikasi/penilaian risiko diawali dengan penetapan konteks/tujuan organisasi yang jelas dan konsisten, baik pada tingkat strategis atau kebijakan maupun tingkat operasional. Penetapan konteks dilakukan dengan cara menjabarkan latar belakang, ruang lingkup, tujuan, dan hubungan organisasi dengan lingkungan eksternal dan internal.

Risiko

merupakan

segala

sesuatu

yang

berdampak terhadap pencapaian tujuan yang diukur berdasarkan kemungkinan dan konsekuensinya. Oleh karena itu, untuk meyakinkan bahwa semua risiko signifikan telah dicakup, maka perlu mengetahui tujuan dan fungsi atau aktivitas instansi yang ditelaah. Pada dasarnya, penetapan tujuan merupakan inti dari penetapan konteks. Dalam penetapan tujuan, instansi harus

mempunyai

unsur

kriteria

keberhasilan

atau

indikator kinerja kunci (key performance indicators) sebagai

dasar

pencapaian

pengukuran

tujuan,

dan

atau juga

kriteria digunakan

evaluasi untuk

mengidentifikasi dan mengukur dampak atau konsekuensi risiko yang dapat mengganggu tujuan instansi. Tujuan penetapan konteks adalah: 1) Menjelaskan pernyataan tujuan yang spesifik, terukur, dapat dicapai, realistis, dan tepat waktu; 2.1 Identifikasi Risiko

35

2) Mengidentifikasi lingkungan dimana tujuan akan dicapai; 3) Menetapkan ruang lingkup dan tujuan penerapan penilaian risiko, kondisi yang membatasi, dan hasil yang diharapkan; 4) Mengidentifikasi berbagai kriteria yang digunakan untuk menganalisis dan mengevaluasi risiko; dan 5) Menetapkan struktur analisis risiko. b. Prosedur Penetapan Konteks Terdapat lima tahap untuk membantu menetapkan konteks dimana risiko akan diidentifikasi. 1) Menetapkan Konteks Eksternal Tahap

ini

menetapkan

lingkungan

menyeluruh

dimana instansi atau organisasi beroperasi, termasuk pemahaman atas persepsi dan nilai-nilai dari pemangku kepentingan eksternal (external stakeholders), serta menetapkan kebijakan komunikasi dengan pihak-pihak eksternal. Penetapan konteks meliputi penelaahan hubungan antara instansi dan lingkungan eksternal yang berkaitan dengan risiko dan peluang, misalnya peraturan perundang-undangan, persaingan, kondisi usaha/pelayanan publik, sosial, politik, dan ekonomi. Penetapan konteks eksternal adalah penting untuk menjamin bahwa pemangku kepentingan dan peranan, tujuan, serta pengaruh mereka dipertimbangkan ketika mengembangkan kriteria risiko dilihat dari ancaman dan peluang.


36

2) Menetapkan Konteks Internal Risiko adalah kemungkinan terjadinya sesuatu yang dapat

mengancam

atau

menghambat

pencapaian

tujuan. Oleh karena itu, penelaahan terhadap tujuan, sasaran dari suatu program, proyek atau aktivitas, serta kapabilitas (orang, sistem, proses, peralatan, dan sumber

daya

meyakinkan

lainnya)

bahwa

harus

semua

risiko

dilakukan

untuk

signifikan

telah

dipahami, serta keputusan terhadap risiko selalu mendukung tujuan dan sasaran instansi yang lebih luas. Penetapan konteks internal adalah penting, karena:  Pengelolaan risiko terjadi dalam konteks visi, misi, tujuan, sasaran, strategi, dan kebijakan;  Sebagian besar risiko utama yang terjadi pada kebanyakan

instansi

adalah

kegagalan

untuk

mencapai tujuan pada tingkat strategis/kebijakan dan operasional, atau telah dipersepsikan gagal oleh pemangku kepentingan;  Kebijakan,

sasaran,

dan

kepentingan

instansi

membantu menetapkan kebijakan risiko instansi; dan  Kriteria dan tujuan spesifik dari setiap aktivitas atau unit-unit

instansi

harus selaras dengan tujuan

instansi secara keseluruhan. 3) Menetapkan Konteks Pengelolaan Risiko Sebelum melakukan identifikasi risiko, maka batasan, tugas pokok dan fungsi, sasaran, strategi, ruang lingkup dan parameter dari aktivitas, atau bagian dari instansi dimana proses pengelolaan risiko akan diterapkan harus ditetapkan terlebih dahulu. 2.1 Identifikasi Risiko

37

Penetapan ruang lingkup dan batasan penerapan pengelolaan risiko meliputi: a. Menentukan

ruang

lingkup

organisasi,

tujuan,

sasaran, proses, proyek, atau aktivitas; b. Menetapkan sifat keputusan yang harus dilakukan; c. Menetapkan jangka waktu dan lokasi dari program, proyek, aktivitas, atau fungsi tertentu; d. Mengidentifikasi setiap ruang lingkup atau kerangka penelaahan dan sumber daya yang dibutuhkan; dan e. Menetapkan

luas

dan

dalamnya

aktivitas

pengelolaan risiko yang akan dilaksanakan, termasuk peran dan tanggung jawab bagian-bagian dari organisasi yang terkait dalam proses pengelolaan risiko dan hubungan berbagai proyek atau aktivitas dalam organisasi. 4) Mengembangkan Kriteria Evaluasi Risiko Penetapan tujuan organisasi harus mengandung unsur

kriteria

measures)

pengukuran

sebagai

keberhasilan

(success

dasar kriteria evaluasi

risiko.

Kriteria keberhasilan atau indikator kinerja kunci ini digunakan sebagai dasar mengukur pencapaian tujuan sehingga dapat digunakan untuk mengukur dampak dari sesuatu yang mungkin membahayakan tujuan, yaitu konsekuensi risiko dan kemungkinan atau frekuensi terjadinya

risiko.

Kriteria

evaluasi

risiko

adalah

keputusan mengenai tingkat risiko yang dapat diterima atau akseptabilitas/toleransi risiko dan penanganan risiko atau menetapkan mana risiko yang dapat


38

ditoleransi dan mana yang harus segera ditangani. Kriteria harus menggambarkan konteks di atas. Kriteria ini didasarkan pada operasional, teknis, keuangan, hukum, regulasi, ketaatan pada etika, sosial, lingkungan, kemanusiaan, citra, reputasi, pelayanan publik, atau kriteria lainnya. Hal ini biasanya bergantung pada tujuan, sasaran, kebijakan internal instansi, dan kepentingan pemangku kepentingan. Kriteria

juga

dipengaruhi

oleh

persepsi

dari

pemangku kepentingan serta ketentuan yang berlaku pada instansi. Kriteria yang akan digunakan dalam mengevaluasi

risiko

harus

ditetapkan

pada

awal

kegiatan penilaian risiko, namun dapat dikembangkan lebih lanjut pada saat pelaksanaan pengelolaan risiko sesuai dengan jenis risiko. 5) Menetapkan Struktur Analisis Risiko Kegiatan suatu instansi luas dan kompleks, oleh karena itu program, proyek, dan kegiatan instansi perlu dipilah ke dalam suatu kelompok, unsur-unsur atau bidang yang terpisah (key elements). Seperangkat elemen atau kelompok aktivitas utama ini akan memberikan

suatu

kerangka

pikir

yang

efisien,

menghemat waktu, serta sumber daya dalam identifikasi risiko

dan

kemungkinan

analisis tumpang

risiko, tindih

sehingga atau

menjamin

terabaikannya

identifikasi risiko signifikan tidak terjadi. Struktur yang dipilih dalam menganalisis risiko bergantung pada sifat, kompleksitas risiko dan ruang lingkup proyek, proses, atau aktivitas. 2.1 Identifikasi Risiko

39

c. Pertanyaan-pertanyaan Kunci dalam Penetapan Konteks Pertanyaan-pertanyaan

kunci

berikut

merupakan

referensi awal dalam melakukan penetapan konteks dan dapat dikembangkan lebih lanjut, sesuai dengan situasi, kondisi, dan risiko masing-masing instansi di lapangan, antara lain: 1) Apa kebijakan, tugas pokok dan fungsi, proses, atau aktivitas instansi? 2) Bagaimana proses dan aktivitas yang dilakukan instansi dalam pencapaian tujuannya? 3) Apa kekuatan dan kelemahan yang dimiliki instansi dalam menjalankan tujuan atau tugas pokok dan fungsinya? 4) Hasil akhir (outcome) apa yang diharapkan instansi? 5) Apa ancaman utama dan peluang yang dihadapi instansi

dalam

menjalankan

tugas

pokok

dan

fungsinya? 6) Siapa pemangku kepentingan utama, baik internal maupun eksternal

instansi, serta apa tujuan dan

kepentingan mereka? 7) Bagaimana akuntabilitas instansi terhadap pemangku kepentingan? 8) Apa

faktor-faktor

signifikan

yang

memengaruhi

lingkungan internal dan eksternal instansi? 9) Risiko apa yang telah diidentifikasi sebelumnya? 10) Kriteria risiko apa yang seharusnya dibangun?


40

d. Penetapan Kriteria Evaluasi Risiko Salah

satu

tujuan

penetapan

konteks

adalah

mengidentifikasi berbagai kriteria yang akan digunakan untuk menganalisis dan mengevaluasi risiko. Sehubungan dengan hal itu, perlu ditetapkan kriteria untuk mengukur konsekuensi, kemungkinan, dan tingkat risiko. Dengan demikian, terdapat tiga komponen yang digunakan untuk penilaian risiko, yaitu (1) skala untuk menjelaskan tingkat konsekuensi

atau

dampak risiko jika risiko terjadi, (2) skala untuk menjelaskan kemungkinan (likelihood) terjadinya risiko, dan (3) penetapan tingkat risiko atau peringkat prioritas yang merupakan gabungan konsekuensi dan kemungkinan. Ada tiga metode atau pendekatan dalam analisis risiko yang dapat digunakan untuk menetapkan tingkat risiko, yaitu kualitatif, semi kuantitatif, dan kuantitatif. Metode ini dapat dilakukan pada berbagai tingkatan kedalaman bergantung pada informasi risiko, data, dan biaya yang tersedia.

Dalam

contoh

pedoman

teknis

ini,

untuk

menetapkan skala konsekuensi/dampak, kemungkinan, dan tingkat risiko dilakukan dengan pendekatan kualitatif. Berikut ini diuraikan hubungan penetapan skala dan indikator kinerja kunci sebagai ukuran keberhasilan tujuan. 1) Tujuan, Indikator Kinerja Kunci, dan Skala Konsekuensi/ Dampak Dalam PP Nomor 60 Tahun 2008, pasal 13 ayat (3) huruf d disebutkan bahwa penetapan tujuan pada tingkatan kegiatan sebagaimana dimaksud dalam pasal 15, huruf d mengandung unsur kriteria pengukuran. 2.1 Identifikasi Risiko

41

Dengan demikian, hubungan tujuan instansi pemerintah atau organisasi dengan proses pengelolaan risiko adalah melalui kriteria pengukuran. Kriteria pengukuran dimaksud

merupakan

ukuran

keberhasilan

dan

biasanya disebut dengan indikator kinerja kunci (key performance

indicators).

Pada

dasarnya,

kriteria

keberhasilan merupakan suatu ikhtisar tujuan jangka panjang

instansi

yang

digunakan

sebagai

dasar

mengukur pencapaian tujuan instansi dan dampaknya. Dengan menggabungkan kriteria keberhasilan dan skala konsekuensi, maka akan diketahui tingkat konsekuensi risiko yang mungkin terjadi. Kriteria keberhasilan atau indikator

kinerja

kunci

dapat

dinyatakan

dengan

sejumlah kriteria yang lebih kecil meliputi semua aspek keberhasilan, sehingga tidak ada dampak yang tidak signifikan akan terlewatkan. Kriteria keberhasilan dapat berupa masalah keuangan atau

ekonomi, keluaran

(barang atau jasa), ketaatan pada etika atau peraturan, citra, reputasi, dan hubungan kepada masyarakat. Kriteria keberhasilan atau indikator kinerja kunci pada instansi

pelayanan

publik,

misalnya

antara

lain

mempertahankan kualitas pelayanan, mempertahankan dan meningkatkan keyakinan masyarakat terhadap organisasi. Demikian juga halnya dengan penetapan prioritas risiko, dasar utamanya adalah tujuan organisasi dimana tujuan organisasi kemudian dinyatakan dalam ukuran keberhasilan atau indikator kinerja kunci.


42

Jika

kriteria

keberhasilan

telah dibangun

atau

ditetapkan, maka dapat diketahui seberapa buruk suatu risiko memengaruhi setiap kriteria yang telah ditetapkan. Tingkat konsekuensi/dampak pada masing-masing kriteria dapat disusun dalam skala tiga atau deskriptor (tinggi, sedang, dan rendah) atau skala lima (tidak signifikan,

minor,

moderat,

mayor,

dan

sangat

berbahaya/katastropik). Dalam mengembangkan skala ini, instansi pemerintah harus mendefinisikan secara jelas apa yang dimaksud dengan sangat berbahaya/ signifikan/katastropik menguraikan

dan

signifikan,

tidak

signifikan,

sedang,

kurang

sebelum signifikan.

Demikian juga dengan tinggi, sedang, dan rendah. Contoh :  Deskripsi Dampak dalam Skala Tiga Konsekuensi/ Dampak

Deskripsi 

Rendah

 

Sedang

 

Tinggi



Pengaruh terhadap strategi dan aktivitas operasi rendah Pengaruhnya terhadap kepentingan para pemangku kepentingan rendah Pengaruh terhadap strategi dan aktivitas operasi sedang Pengaruhnya terhadap kepentingan para pemangku kepentingan sedang Pengaruh terhadap strategi dan aktivitas operasi tinggi Pengaruhnya terhadap kepentingan para pemangku kepentingan tinggi

 Deskripsi Dampak dalam Skala Lima (Misalnya, skala untuk organisasi pelayanan umum, dimana salah satu ukuran atau kriteria keberhasilannya adalah kualitas pelayanan). 2.1 Identifikasi Risiko

43

Konsekuensi/ Dampak

Kualitas pelayanan Pada prinsipnya, defisiensi atau tidak adanya pelayanan rendah, tanpa ada komentar Pelayanan dianggap memuaskan oleh masyarakat umum, tetapi pegawai instansi mewaspadai adanya defisiensi

Tidak signifikan

Kurang signifikan

Sedang

Pelayanan dianggap kurang memuaskan oleh masyarakat umum dan pegawai organisasi

Signifikan

Masyarakat umum menganggap pelayanan organisasi tidak memuaskan

Sangat signifikan/ berbahaya/Katastropik

Pelayanan turun sangat jauh di bawah standar yang diterima

2) Skala Kemungkinan Demikian juga halnya skala kemungkinan terjadinya risiko, dapat yang

disusun dengan kategorisasi atau skala

dibagi

dalam

skala

tiga

(rendah,

sedang/menengah, dan tinggi) atau skala lima (sangat jarang, jarang, kadang-kadang, sering dan sangat sering).

Suatu

skala

dapat

digunakan

untuk

memeringkat kemungkinan dengan kejadian tunggal atau probabilitas (single events) dan kejadian berulang atau frekuensi (recurrent events). Contoh :  Deskripsi Kemungkinan dengan Skala Tiga (Kualitatif) Kemungkinan

Deskripsi

Rendah

Tidak pernah (jarang terjadi)

Sedang

Kemungkinan terjadinya sedang

Tinggi

Kemungkinan tinggi terjadi/hampir pasti terjadi


44

 Deskripsi Kemungkinan dengan Skala Lima Kemung- Kejadian berulang kinan (Frekuensi) Sangat Kemungkinan jarang terjadi >25 tahun ke depan Jarang Mungkin terjadi sekali dalam 25 tahun

Kadangkadang

Mungkin terjadi sekali dalam 10 tahun

Sering

Mungkin terjadi kira-kira sekali dalam setahun Dapat terjadi beberapa kali dalam setahun

Sangat sering

Kejadian tunggal (Probabilitas) Diabaikan  Probabilitas sangat kecil, mendekati nol Kecil kemungkinan, tetapi tidak diabaikan  Probabilitas rendah, tetapi lebih besar daripada nol Kemungkinan kurang daripada, tetapi masih cukup besar  Probabilitas kurang daripada 50%, tetapi masih cukup tinggi Mungkin tidak  Peluang 50/50 Kemungkinan lebih daripada atau kurang  Probabilitas lebih daripada 50%

Peringkat 1

2

3

4

5

3) Tingkat Peringkat Risiko Berdasarkan skala yang ditetapkan di atas, semua risiko dimasukkan ke dalam diagram pemetaan risiko

dalam

bentuk

matriks.

Dengan

demikian,

dihasilkan peta risiko dan urutan prioritas untuk masingmasing risiko, misalnya dengan penggolongan sangat tinggi/ekstrim, tinggi, sedang, dan rendah.


45

Contoh Matriks Tingkat Risiko Kemungkinan

Konsekuensi/Dampak Tidak Signifikan

Kurang Signifikan

Sedang

Katastropik/ Sangat Signifikan

Signifikan

Sangat sering

Sedang

Tinggi

Sangat Tinggi

Sangat tinggi

Sangat tinggi

Sering

Sedang

Sedang

Tinggi

Sangat Tinggi

Sangat tinggi

Kadangkadang

Rendah

Sedang

Tinggi

Tinggi

Sangat Tinggi

Jarang

Rendah

Rendah

Sedang

Sedang

Tinggi

Sangat jarang

Rendah

Rendah

Rendah

Sedang

Tinggi

Penggolongan di atas dapat menjadi acuan bagi manajemen

atau

pimpinan

instansi

pemerintah.

Misalnya:  Risiko prioritas sangat tinggi/ekstrim adalah risiko yang memerlukan perhatian manajemen puncak dan tidak diterima sebagai bagian kegiatan rutin perhatian manajemen puncak.  Risiko prioritas tinggi adalah risiko yang sangat kritis atau serius yang diterima sebagai kegiatan rutin tanpa perhatian manajemen puncak, tetapi menjadi tanggung jawab manajemen operasional.  Risiko prioritas sedang adalah risiko yang diharapkan menjadi

bagian

operasi

rutin,

tetapi

menjadi

tanggung jawab manajemen yang terkait dengan risiko;


46

 Risiko prioritas rendah adalah risiko yang akan ditangani manajemen yang terkait, tetapi diharapkan pengendalian yang cukup tetap dilakukan. Pada umumnya, risiko prioritas ekstrim/sangat tinggi dan risiko prioritas tinggi perlu dilakukan penanganan segera atau dilakukan analisis lebih rinci. Sebaliknya, risiko prioritas rendah pada umumnya diabaikan tanpa tindakan lebih lanjut, tetapi ditangani terpisah dari kegiatan rutin untuk meyakinkan bahwa tidak terdapat perubahan yang mengakibatkan risiko tersebut menjadi serius. Di samping itu, “bahasa warna” juga dapat digunakan untuk pemetaan tingkat risiko yang dapat dirumuskan sebagai berikut:  Risiko rendah warna hijau, berarti risiko jarang atau tidak bermasalah (business as usual).  Risiko sedang warna kuning, berarti beberapa risiko harus

diperhatikan

sehingga

perlu

dilakukan

tindakan.  Risiko tinggi warna merah, berarti risiko berbahaya sehingga perlu tindakan segera. Contoh: Konsekuensi/Dampak Kemungkinan Rendah

Sedang

Tinggi

Kuning

Merah

Merah

Kadang-kadang

Hijau

Kuning

Merah

Jarang

Hijau

Hijau

Kuning

Sering


47

Sebagaimana telah diuraikan di atas, kriteria evaluasi risiko adalah keputusan mengenai tingkat risiko yang dapat diterima atau akseptabilitas/toleransi risiko dan jika dikaitkan dengan penanganan risiko, adalah menetapkan mana risiko yang dapat ditolerir dan mana yang harus segera ditangani. Dalam PP Nomor 60 Tahun 2008 pasal 17 ayat (2) dan penjelasannya disebutkan bahwa pimpinan instansi pemerintah menerapkan prinsip-prinsip kehatihatian dalam menentukan tingkat risiko yang dapat diterima. Yang dimaksud dengan “tingkat risiko yang dapat diterima” adalah batas toleransi risiko dengan mempertimbangkan aspek biaya dan manfaat. Demikian juga, dalam Daftar Uji Pengendalian Intern Pemerintah PP Nomor 60 Tahun 2008 disebutkan bahwa hal-hal yang perlu dipertimbangkan dalam menentukan tingkat risiko yang dapat diterima adalah sebagai berikut: 1) Pendekatan penentuan tingkat risiko yang dapat diterima

bervariasi

antar

instansi

pemerintah,

bergantung pada varian dan toleransi risiko. 2) Pendekatan yang diterapkan dirancang agar tingkat risiko yang dapat diterima tetap wajar dan pimpinan instansi

pemerintah

bertanggung

jawab

atas

penetapannya. 3) Kegiatan pengendalian khusus untuk mengelola serta mengurangi risiko secara keseluruhan dan di setiap tingkatan kegiatan, sudah ditetapkan dan penerapannya selalu dipantau.


48

Sebagai tambahan, dalam menetapkan sampai berapa rendah nilai suatu risiko sehingga manajemen atau

pimpinan

memerhatikan

instansi risiko

pemerintah yang

masih

perlu

bersangkutan

atau

mengabaikannya adalah bergantung pada dua faktor utama.

Pertama,

ketersediaan

sumber

daya.

Manajemen dapat memerhatikan dan mengalokasikan sumber dayanya untuk menangani risiko dengan nilai yang kecil. Namun, manajemen harus yakin bahwa biaya yang dialokasikan untuk menangani risiko yang bersangkutan lebih kecil dibandingkan dengan manfaat, hasil,

atau

penghematan

yang

diharapkan

dari

terhindarnya risiko yang bersangkutan. Kedua, selera manajemen instansi terhadap risiko (risk appetite). Semakin tinggi selera manajemen terhadap risiko, semakin berani manajemen menangani risiko ini. Ini artinya, batas bawah nilai risiko semakin tinggi. Nilai batas risiko di sini adalah nilai batas risiko antara risiko yang masuk ke dalam kriteria risiko dalam prioritas penanganan dan risiko yang dapat diabaikan. 2. Identifikasi Risiko a. Tujuan Identifikasi Risiko Risiko tidak akan dapat dikelola jika risiko belum diidentifikasi. Jika konteks organisasi telah diidentifikasi, maka tahap berikutnya adalah memanfaatkan informasi untuk mengidentifikasi risiko sebanyak mungkin.


49

Identifikasi risiko ini dapat dilakukan dengan mengidentifikasi

lokasi,

waktu,

sebab,

dan

proses

terjadinya peristiwa risiko. Dengan melakukan identifikasi risiko, maka akan diperoleh sekumpulan informasi tentang kejadian

risiko,

informasi

mengenai

penyebab,

dan

konsekuensi apa saja yang bisa ditimbulkan oleh risiko tersebut. Tujuan utama identifikasi risiko adalah untuk mengembangkan suatu daftar yang komprehensif atas sumber risiko dan kejadian yang mungkin mempunyai dampak terhadap pencapaian dari masing-masing tujuan (atau unsur-unsur utama), yang telah diidentifikasi dalam konteks atau penetapan tujuan. Dengan kata lain, tujuan identifikasi risiko adalah untuk mengidentifikasi seluruh jenis risiko yang mungkin dapat memengaruhi tujuan instansi pemerintah dan tujuan pada tingkatan kegiatan secara komprehensif. Melalui identifikasi risiko, maka instansi pemerintah dapat memeroleh risiko, baik dari faktor eksternal maupun internal, serta risiko secara keseluruhan dan pada setiap tingkatan kegiatan pentingnya. b. Prosedur Identifikasi Risiko Dari keseluruhan tahapan penilaian risiko, tahap identifikasi risiko merupakan tahapan yang memakan waktu lebih banyak. Tahap identifikasi risiko merupakan tahapan yang paling krusial karena pada tahap inilah profil risiko mulai dibangun.


50

Pada dasarnya, identifikasi risiko dapat dilakukan dengan cara retrospektif (retrospectively) dan prospektif (prospectively). Dalam (HB 436:2004, hal 7) dikatakan bahwa

“Managing risk involves identifying and being

prepared for what might happen rather than always managing retrospectively.” Mengelola risiko mencakup identifikasi dan selalu siap terhadap apa yang akan terjadi lebih daripada sekedar pengelolaan rutin. 1) Identifikasi Risiko Retrospektif Identifikasi risiko retrospektif (retrospective risks) adalah risiko-risiko yang sebelumnya telah pernah terjadi, seperti insiden atau kecelakaan. Identifikasi risiko retrospektif biasanya merupakan cara yang sangat umum dan mudah untuk mengidentifikasi risiko. Adalah lebih mudah untuk memercayai sesuatu jika sesuatu tersebut telah terjadi sebelumnya, sehingga lebih mudah untuk mengkuantifikasi dampaknya dan melihat bahaya yang menyebabkannya. Sumber informasi

risiko retrospektif

meliputi antara

lain: (1)Daftar atau register insiden/bahaya; (2)Laporan audit, hasil evaluasi, dan penilaian lainnya; (3)Keluhan pelanggan; (4)Dokumen dan laporan; (5)Staf lama atau survei klien; dan (6)Media profesional atau surat kabar, seperti jurnal atau websites.


51

2) Identifikasi Risiko Prospektif Risiko prospektif (prospective risks) biasanya lebih sulit untuk diidentifikasi. Risiko ini adalah sesuatu yang belum terjadi, tetapi mungkin terjadi beberapa waktu yang akan datang. Identifikasi akan meliputi semua risiko, apakah risiko tersebut akan dikelola sekarang atau tidak. Dasar pemikirannya di sini adalah mencatat semua risiko signifikan dan memantau atau mereviu efektivitas pengendaliannya. Metode untuk mengidentifikasi risiko prospektif, meliputi antara lain: (1)melakukan

brainstorming

dengan

staf

atau

pemangku kepentingan eksternal; (2)riset ekonomi, politik, legislatif, dan lingkungan operasi; (3)melakukan wawancara dengan orang-orang yang relevan; (4)melakukan

survei

staf

atau

klien

untuk

mengidentifikasi isu-isu atau problem yang akan diantisipasi; (5)bagan arus suatu proses; (6)mereviu desain sistem atau membuat teknik-teknik analisis sistem; dan (7)analisis SWOT.


52

Secara lebih rinci, berikut ini diuraikan

prosedur

yang dapat dilakukan dalam melakukan identifikasi risiko, yaitu sebagai berikut: (1)Menentukan Unit Pemilik Risiko Proses penilaian risiko dimulai dengan menentukan unit di dalam organisasi atau instansi pemerintah dimana risiko akan diidentifikasi, yang dikenal dengan istilah unit risiko atau unit pemilik risiko (UPR).

Semua risiko yang ada pada unit pemilik

risiko merupakan milik dari unit tersebut dan menjadi tanggung jawab dari pimpinan unit risiko tersebut. Dengan kata lain, suatu unit risiko adalah juga pemilik

risiko (risk owner) yang terjadi di unit

tersebut. (2)Menentukan Semua Sumber-Sumber Risiko Beberapa langkah yang dapat dilakukan dalam menentukan sumber-sumber risiko adalah: (a)Identifikasi setiap sumber risiko yang melekat (inherent sources of risk), termasuk lokasi, dan proses terjadinya risiko, baik yang berasal dari lingkungan

eksternal

maupun

internal,

yang

berhubungan dengan pencapaian tujuan atau tugas pokok dan fungsi yang telah ditetapkan dalam penetapan konteks. (b)Identifikasi semua sumber risiko yang berasal dari semua pemangku kepentingan, baik eksternal maupun internal yang relevan (termasuk persepsi para pemangku kepentingan atas risiko) yang mempunyai konsekuensi dan kemungkinan yang buruk atas operasi instansi pemerintah. 2.1 Identifikasi Risiko

53

(c) Identifikasi risiko yang terkait atau interdependensi antara kejadian dan risiko yang tidak jelas yang kemungkinannya mempunyai dampak terhadap risiko

utama,

pemborosan,

antara

lain

penyalahgunaan,

penggelapan, dan

salah

kelola (mismanagement). Hubungan risiko ini juga akan memengaruhi pilihan pengendalian apakah instansi pemerintah mampu mengendalikannya. (d)Identifikasi adanya satu sumber risiko yang kemungkinannya mempunyai dampak banyak, sumber risiko banyak mempunyai dampak sedikit, dan sumber risiko banyak mempunyai dampak yang banyak juga. (3)Klasifikasikan risiko-risiko yang telah diidentifikasi ke dalam beberapa kategori risiko, misalnya risiko strategis

atau

kebijakan,

risiko

operasional,

keuangan, kepatuhan, dan fraud. (4)Dapatkan informasi tambahan yang sah (valid) untuk mengidentifikasi risiko dan untuk memahami kemungkinan dan konsekuensinya. Informasi ini harus relevan, komprehensif, akurat, dan tepat waktu jika sumber daya memungkinkan. Informasi yang ada harus diakses dan, bila perlu, informasi baru dikembangkan. (5)Yakinkan bahwa orang-orang yang terlibat dalam mengidentifikasi risiko mempunyai pengetahuan mengenai tujuan, tugas pokok dan fungsi, kegiatan, serta proyek yang sedang ditelaah. 2.1 Identifikasi Risiko

54

(6)Identifikasi Faktor Penyebab Identifikasi apa faktor penyebab utama atau akar penyebab

(root

peristiwa

risiko,

cause) baik

terjadinya

yang

dapat

serangkaian dikendalikan

maupun di luar kendali instansi pemerintah, misalnya kejadian yang tidak dapat diantisipasi dan tidak adanya

pengendalian

tertentu.

Lakukan

juga

dokumentasi semua faktor-faktor penyebab yang dapat dikendalikan maupun di luar kendali instansi. Dalam menyelidiki faktor penyebab, interdependensi antara unsur-unsur kejadian perlu diidentifikasi. (7)Identifikasi Pengendalian yang Sudah Ada Identifikasi

pengendalian

yang

ada

(existing

controls), baik untuk masing-masing sumber risiko maupun masing-masing faktor penyebab risiko, misalnya

apakah

pengendalian

atas

instansi sumber

telah risiko

melakukan atau

faktor

penyebab risiko. (8)Pahami risiko-risiko yang timbul di luar kendali instansi, namun mempunyai dampak spesifik yang memerlukan

perencanaan

kontinjensi

atau

penanganan khusus. (9)Lakukan penilaian atas cukupnya pengendalian yang ada. (10) Buat simpulan hasil identifikasi risiko. Buat

simpulan

hasil

identifikasi

risiko

dengan

membuat daftar risiko.


55

c. Pertanyaan-pertanyaan Kunci dalam Identifikasi Risiko Pertanyaan-pertanyaan

kunci

berikut

merupakan

referensi awal dalam melakukan identifikasi risiko dan dapat dikembangkan lebih lanjut sesuai dengan situasi, kondisi, dan risiko masing-masing instansi, antara lain: 1) Apa, kapan, dimana, dan kapan kemungkinan terjadinya risiko, mengapa, dan bagaimana dapat terjadi? 2) Apa sumber dari masing-masing risiko? 3) Pengendalian apa yang ada untuk mengatasi masingmasing risiko? 4) Alternatif apa, jika pengendalian yang layak tidak tersedia? 5) Apa kewajiban atau akuntabilitas instansi pemerintah kepada pihak internal dan eksternal? 6) Apakah perlu dilakukan penelitian lebih lanjut atas risiko spesifik? 7) Apa ruang lingkup penelitian tersebut dan sumber daya apa yang diperlukan? 8) Bagaimana keandalan informasi yang ada? d. Cara Membuat Pernyataan Risiko 1) Nyatakan

secara

spesifik

risiko

yang

dapat

menghambat tujuan organisasi. Gunakan kata-kata penghubung seperti “akan mengakibatkan”, “dapat mengarah

kepada”,

“dapat

menghambat”,

“akan

menghalangi”, “akan mencegah”. Jangan menyatakan suatu kondisi umum yang tidak menguntungkan sebagai suatu risiko.


56

Contoh: Pernyataan risiko yang buruk: - Pemotongan anggaran - Proses birokrasi berbelit Pernyataan yang lebih baik: - Kemungkinan pemotongan anggaran sebesar 10% akan dapat menghambat pencapaian X. - Proses persetujuan yang rumit akan memperlambat layanan Y yang seharusnya cepat. 2) Tentukan momen/waktu yang tepat dalam rangkaian kejadian yang dapat dikendalikan oleh instansi. Jangan nyatakan lebih dari satu risiko dalam suatu waktu. Contoh: Pernyataan risiko yang buruk: - Kecelakaan XYZ menyebabkan kerusakan lingkungan, berbahaya terhadap kesehatan, dan kemungkinan masalah hukum (litigasi) yang dapat berdampak hilangnya reputasi, serta berisiko secara politik. Pernyataan yang lebih baik: - Kegagalan dalam memastikan pengendalian lingkungan yang efektif akan mengakibatkan kecelakaan XYZ. 3) Kenali risiko-risiko yang pada dasarnya berada di luar kendali instansi, namun memiliki dampak spesifik sehingga memerlukan perencanaan kontinjensi. Contoh: Pernyataan risiko yang buruk: - Ada kemungkinan kekurangan tenaga listrik yang akan memengaruhi segalanya, sehingga kementerian tidak dapat memproses pembayaran. (Catatan: pernyataan ini ditolak karena berada di luar kendali instansi serta di luar lingkupnya). 2.1 Identifikasi Risiko

57

Pernyataan yang lebih baik dan dampaknya spesifik: - Bencana alam atau bencana lainnya akan mengakibatkan terputusnya tenaga listrik dan mencegah pekerjaan yang harus dilakukan dalam sistem pembayaran, terutama pembayaranpembayaran yang harus segera. Pernyataan risiko yang buruk: - Kementerian menunda seluruh investasi dan menghapuskan program kami (dianggap di luar kendali). Pernyataan yang lebih baik dan dampaknya spesifik: - Kementerian menunda seluruh investasi yang berkaitan dengan teknologi informasi sehingga dapat menghambat diimplementasikannya server untuk e-payment. (Catatan: penanganannya dapat mencakup: 1. Reviu sistem manual; 2. Peningkatan komunikasi dan konsultasi dengan tim dari kementerian). 4) Mewaspadai penyajian register risiko yang dipenuhi dengan risiko-risiko generik. Ada kemungkinan tidak akurat karena belum dirumuskan dengan baik untuk tujuan pengelolaannya, atau partisipan bukanlah pemilik dari risiko tersebut. Hal ini bisa menyimpangkan tujuan proses brainstorming. 5) Pernyataan risiko berformat “jika-maka” – “Jika hal ini terjadi, maka hasilnya akan begini”. Atau bisa juga menggunakan format “kejadian-konsekuensi” – “Jika hal ini terjadi, maka konsekuensinya seperti ini”.


58

e. Metode, Sumber, dan Jenis Informasi Berikut ini diuraikan secara ringkas metode, sumber informasi risiko, dan jenis informasi dalam melakukan identifikasi risiko. 1) Metode Pada dasarnya, identifikasi risiko dapat dilakukan dengan menggunakan salah satu dari keempat metode berikut, atau bisa juga digunakan secara bersama-sama agar saling melengkapi. a) Metode 1: Analisis Data Historis Prinsip

dari

metode

ini

adalah

menggunakan

berbagai informasi atau data mengenai segala sesuatu yang pernah terjadi, baik data primer maupun data sekunder. b) Metode 2: Pengamatan dan Survei Bila

tidak

dilakukan

tersedia

data

investigasi,

historis,

maka

dapat

pengamatan,

atau

survei

di tempat (on the spot ) sehingga dapat diperoleh data primer. c) Metode 3: Pengacuan (Benchmarking) Metode

ini

pada

prinsipnya

diterapkan

untuk

melengkapi identifikasi risiko menggunakan metode 1 dan 2 di atas. Seandainya dengan kedua metode di atas,

risiko

yang

diperoleh

dirasakan

kurang

meyakinkan, atau ada risiko yang bisa terjadi tetapi tidak ditemukan, atau tidak menyadari adanya suatu risiko terkait dengan obyek yang diamati dan memerlukan konfirmasi lebih lanjut, maka perlu 2.1 Identifikasi Risiko

59

dilakukan

pencarian

organisasi

lain

Benchmark

informasi

sebagai

merupakan

di

acuan obyek

tempat

atau

(benchmark). yang

memiliki

kesamaan dengan obyek yang sedang diamati berkaitan dengan keberadaan risiko. d) Metode 4: Pendapat Ahli Pendapat ahli (expert opinion) dapat diperoleh melalui wawancara kepada satu orang, kepada sekelompok orang, atau melalui diskusi kelompok khusus, atau focus group discussion (FGD). Pihak yang diwawancarai atau dilibatkan adalah mereka yang dianggap ahli. 2) Sumber Informasi Risiko Untuk dapat menerapkan setiap metode di atas, maka

perlu

dasarnya,

mengenali

sumber

sumber

informasi

informasi.

dapat

Pada

dikelompokkan

berdasarkan asalnya, yaitu sumber internal dan sumber eksternal. Berikut ini diuraikan sumber-sumber informasi utama yang dapat digunakan. a) Dokumen Internal Terdapat banyak dokumen internal instansi yang dapat dimanfaatkan untuk memeroleh informasi mengenai berbagai risiko yang mungkin terjadi. Dokumen tersebut bisa berupa rencana strategis, anggaran,

prosedur

operasi

standar

(standard

operating procedures), dokumen SDM, surat perintah, dan lain-lain.


60

b) Dokumen Eksternal Dokumen eksternal menyebar di mana-mana, bergantung

pada

risiko

apa

yang

sedang

diidentifikasi. Dokumen dapat berupa media massa seperti koran dan majalah, hasil publikasi data seperti data keuangan dan ekonomi. c) Pihak Internal Instansi Pihak internal instansi adalah orang yang ahli yang dapat dimintai informasi mengenai obyek untuk mengidentifikasi risiko. Misalnya, pegawai yang mengoperasikan komputer dalam waktu yang lama adalah ahli mengenai komputer tersebut. Pegawai personalia merupakan ahli yang dapat menjadi sumber

informasi

mengenai

masalah-masalah

personalia. d) Pihak Eksternal Instansi Pihak eksternal bisa berupa pelanggan, pemasok, pesaing,

peraturan

pemerintah,

pengamat,

dan

tenaga ahli. Semakin dekat hubungan mereka dengan

instansi,

semakin

bermanfaat

mereka

sebagai sumber informasi. 3) Jenis Informasi Terdapat beberapa jenis informasi yang dapat digunakan

untuk

mengidentifikasi

risiko,

seperti

diuraikan berikut :


61

a) Informasi Lingkungan Eksternal Informasi

lingkungan

eksternal

informasi yang berasal dari

di

sini

berupa

perubahan politik,

ekonomi, sosial, perkembangan teknologi, perubahan lingkungan usaha, dan regulasi. b) Informasi Keuangan Informasi keuangan instansi, antara lain dapat berupa

laporan keuangan, data DIPA beserta

rinciannya, ketersediaan dana untuk pembiayaan program baru atau program lanjutan. c) Informasi Proses Informasi proses merupakan proses dan aktivitas yang dilakukan oleh unit-unit instansi, dari awal sampai dengan akhir. d) Informasi Arus Dokumen Selain arus proses, risiko dapat ditrasir berdasarkan arus dokumen. Arus dokumen dapat dilihat dari prosedur operasi standar yang dimiliki instansi sehingga diketahui ke mana saja dokumen mengalir. Penyimpangan arus dokumen atau tidak lengkapnya otorisasi dan tidak adanya pengendalian dokumen mengindikasikan adanya risiko. e) Informasi Kontrak Informasi

kontrak

diperoleh

dengan

cara

mengevaluasi dokumen kontrak instansi dengan berbagai pihak, seperti kontrak dengan karyawan, pemasok, dan kontraktor.


62

Setelah melakukan identifikasi risiko, langkah selanjutnya adalah melakukan analisis risiko yang disajikan pada Buku Pedoman Teknis Analisis Risiko.


63


64

BAB IV PENUTUP Identifikasi risiko pada sektor publik merupakan bagian dari penyelenggaraan SPIP yang dibangun oleh manajemen instansi pemerintah. Tahapan identifikasi risiko diawali dengan penetapan konteks bagi lingkup instansi yang besar atau penetapan tujuan bagi kegiatan dalam suatu instansi.

Identifikasi risiko dilakukan

agar manajemen dapat mengelola risiko tersebut. Pedoman ini disusun untuk memberikan acuan praktis bagi pimpinan

instansi

pemerintah

dalam

menciptakan

dan

melaksanakan sistem pengendalian intern, khususnya pada unsur penilaian risiko sub unsur identifikasi risiko di lingkungan instansi yang dipimpinnya. Hal-hal yang dicakup dalam pedoman teknis ini adalah acuan mendasar yang berlaku secara umum bagi seluruh instansi pemerintah, yang minimal harus dipenuhi dalam penerapan identifikasi risiko, dan tidak mengatur secara spesifik bagi instansi tertentu. Instansi pemerintah hendaknya dapat mengembangkan lebih jauh langkah-langkah yang perlu diambil sesuai

dengan

kebutuhannya, dengan tetap mengacu dan tidak bertentangan dengan peraturan perundang-undangan yang berlaku. Sesuai dengan perkembangan teori dan praktik-praktik sistem pengendalian intern, pedoman ini perlu disesuaikan secara terusmenerus.


65

SPIP: Identifikasi Resiko

Recommend Documents