BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN. PEDOMAN TEKNIS PENYELENGGARAAN SPIP SUB UNSUR IDENTIFIKASI RISIKO (2.1). NOMOR : PER-1326/K/LB/2009 TANGGAL : 7 DESEMBER 2009.



KATA PENGANTAR. Pembinaan penyelenggaraan Sistem Pengendalian Intern Pemerintah. (SPIP). merupakan. tanggung. jawab. Badan. Pengawasan Keuangan dan Pembangunan (BPKP), sesuai dengan pasal 59 Peraturan Pemerintah (PP) Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah. Pembinaan ini merupakan salah satu cara untuk memperkuat dan menunjang efektivitas sistem. pengendalian. intern,. yang. menjadi. tanggung. jawab. menteri/pimpinan lembaga, gubernur, dan bupati/walikota sebagai penyelenggara sistem pengendalian intern di lingkungan masingmasing. Pembinaan penyelenggaraan SPIP yang menjadi tugas dan tanggung jawab BPKP tersebut, meliputi: 1. penyusunan pedoman teknis penyelenggaraan SPIP; 2. sosialisasi SPIP; 3. pendidikan dan pelatihan SPIP; 4. pembimbingan dan konsultasi SPIP; dan 5. peningkatan kompetensi auditor aparat. pengawasan intern. pemerintah. Kelima kegiatan dimaksud diarahkan dalam rangka penerapan unsur-unsur SPIP, yaitu: 1. lingkungan pengendalian; 2. penilaian risiko; 3. kegiatan pengendalian; 4. informasi dan komunikasi; dan 5. pemantauan pengendalian intern.. 2.1 Identifikasi Risiko. i.

Untuk memenuhi kebutuhan pedoman penyelenggaraan SPIP, BPKP telah menyusun Pedoman Teknis Umum Penyelenggaraan SPIP. Pedoman tersebut merupakan pedoman tentang hal-hal apa saja yang perlu dibangun dan dilaksanakan dalam rangka penyelenggaraan SPIP. Selanjutnya, pedoman tersebut dijabarkan ke. dalam. pedoman. teknis. penyelenggaraan. masing-masing. subunsur pengendalian. Pedoman teknis sub unsur ini merupakan acuan. langkah-langkah. yang. perlu. dilaksanakan. dalam. penyelenggaraan subunsur SPIP. Pedoman Teknis Penyelenggaraan SPIP Sub unsur Identifikasi Risiko pada unsur Penilaian Risiko merupakan acuan yang memberi arah bagi lembaga dan instansi pemerintah, baik pusat maupun daerah dalam menyelenggarakan sub unsur tersebut, dan dapat. disesuaikan dengan karakteristik masing-masing instansi. yang meliputi fungsi, sifat, tujuan, dan kompleksitas instansi tersebut. Kami menyadari bahwa masih terdapat kekurangsempurnaan dalam penyusunan pedoman ini. Oleh karena itu, masukan dan saran perbaikan dari pengguna pedoman ini, sangat diharapkan sebagai bahan penyempurnaan.. Jakarta, Desember 2009 Plt. Kepala,. Kuswono Soeseno NIP 19500910 197511 1 001 2.1 Identifikasi Risiko. ii.

DAFTAR ISI Halaman. KATA PENGANTAR .................................................................. i. DAFTAR ISI ................................................................................ iii. BAB I PENDAHULUAN A. Latar Belakang .......................................................... 1. B. Sistematika Pembahasan ......................................... 5. BAB II GAMBARAN UMUM A. Risiko ......................................................................... 7. B. Proses Pengelolaan Risiko ....................................... 13 C. Penilaian Risiko ......................................................... 17 D. Parameter Penerapan .............................................. 20. BAB III LANGKAH IDENTIFIKASI RISIKO A. Persiapan Identifikasi Risiko ..................................... 29 B. Pelaksanaan Identifikasi Risiko ................................. 35. BAB IVPENUTUP. 2.1 Identifikasi Risiko. iii.

2.1 Identifikasi Risiko. iv.

BAB I PENDAHULUAN A. Latar Belakang Penilaian risiko merupakan salah satu unsur dalam Sistem Pengendalian Intern Pemerintah (SPIP), selain unsur lingkungan pengendalian, kegiatan pengendalian, informasi dan komunikasi, serta pemantauan pengendalian intern. Proses pengendalian menyatu pada tindakan dan kegiatan yang dilakukan secara terus-menerus oleh pimpinan dan seluruh pegawai, maka yang menjadi fondasi dari pengendalian adalah orang-orang (SDM) di dalam organisasi yang membentuk lingkungan pengendalian yang baik dalam mencapai sasaran dan tujuan yang ingin dicapai instansi pemerintah. Penyelenggaraan unsur pertama SPIP, yaitu lingkungan pengendalian dalam rangka peningkatan kondisi lingkungan yang. nyaman. sehingga. menimbulkan. kepedulian. dan. keikutsertaan seluruh pegawai, haruslah menjadi komitmen bersama dalam melaksanakannya. Hal ini sangatlah penting untuk. terselenggaranya. unsur-unsur. SPIP. lainnya. Untuk. membangun kondisi nyaman tersebut, lingkungan pengendalian yang. baik. harus. memiliki. kepemimpinan. yang. kondusif.. Kepemimpinan yang kondusif diartikan sebagai situasi dimana pemimpin selalu mengambil keputusan dengan mendasarkan pada data hasil penilaian risiko. Berdasarkan kepemimpinan yang kondusif inilah, maka muncul kewajiban bagi pimpinan untuk. menyelenggarakan. penilaian. risiko. di. instansinya.. Penilaian risiko dengan dua sub unsurnya, dimulai dengan 2.1 Identifikasi Risiko. 1.

melihat kesesuaian antara tujuan kegiatan yang dilaksanakan instansi pemerintah dengan tujuan sasarannya, serta kesesuaian dengan tujuan strategis yang ditetapkan pemerintah. Setelah penetapan tujuan, instansi pemerintah melakukan identifikasi. atas. memengaruhi. risiko. intern. keberhasilan. dan. ekstern. pencapaian. yang. tujuan. dapat. tersebut,. menganalisisnya untuk mendapatkan risiko yang memiliki kemungkinan (probability) kejadian dan dampak yang sangat tinggi sampai dengan risiko yang sangat rendah. Berdasarkan hasil analisis risiko, selanjutnya dilakukan respon atas risiko dengan membangun kegiatan pengendalian yang tepat. Kegiatan pengendalian dibangun dengan maksud untuk memastikan bahwa respon risiko yang dilakukan instansi pemerintah sudah efektif. Seluruh penyelenggaraan unsur SPIP tersebut. haruslah. dilaporkan. dan. dikomunikasikan. serta. dilakukan pemantauan secara terus-menerus guna perbaikan yang berkesinambungan. Risiko. mengacu. pada. ketidakpastian. (uncertainty).. Ketidakpastian diartikan sebagai kurangnya pengetahuan dalam menjelaskan sesuatu atau hasilnya di masa depan, dengan banyak. kemungkinan. hasil,. sementara. risiko. adalah. ketidakpastian yang kemungkinan hasilnya akan berakibat tidak diinginkan. atau. mendatangkan. kerugian. yang. signifikan.. Meskipun berkonotasi negatif, risiko bukan merupakan sesuatu yang harus dihindari melainkan harus dikelola melalui suatu mekanisme yang dinamakan pengelolaan (manajemen) risiko.. 2.1 Identifikasi Risiko. 2.

Di samping itu, penilaian risiko (risk assessment) diartikan sebagai the overall process of risk identification, risk analysis, and risk evaluation (Australian Standard/New Zealand Standard, 4360: 2004) dan merupakan bagian terpadu dari proses pengelolaan risiko. Dasar pemikiran pengelolaan risiko adalah bahwa setiap entitas, baik yang berbentuk korporasi yang berorientasi. laba. maupun. organisasi. masyarakat. yang. berorientasi nirlaba, serta sektor publik (badan pemerintah, instansi pemerintah) yang berorientasi kepentingan publik dibentuk dan dikelola untuk memberikan atau menghasilkan nilai bagi para pemangku kepentingan (stakeholders). Sesuai dengan Peraturan Pemerintah (PP) Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP), khususnya Bagian Ketiga pasal 13 ayat (1), disebutkan bahwa. pimpinan. instansi. pemerintah. wajib. melakukan. penilaian risiko. Dalam PP Nomor 60 Tahun 2008, pasal 13, disebutkan bahwa penilaian risiko adalah kegiatan penilaian atas kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran instansi pemerintah. Lebih lanjut, dalam PP tersebut disebutkan bahwa penilaian risiko terdiri atas identifikasi risiko dan analisis risiko. Sehubungan. dengan. hal. tersebut,. untuk. dapat. melakukan penilaian risiko yang mencakup identifikasi, analisis, dan evaluasi risiko terhadap sektor publik atau instansi pemerintah, maka dipandang perlu tersedianya suatu pedoman teknis yang dapat mengarahkan pelaksanaan penilaian risiko agar dapat dilakukan secara efektif dan efisien. Perangkat dan metode yang digunakan harus menjamin bahwa semua risiko entitas atau instansi pemerintah dapat 2.1 Identifikasi Risiko. diidentifikasi. dan 3.

pengendalian yang ada dapat dinilai. Keduanya merupakan informasi penting yang diperlukan dalam memberikan masukan kepada pimpinan instansi mengenai langkah-langkah yang harus dilakukan dalam menangani risiko-risiko tersebut. Buku pedoman teknis ini secara garis besar membahas langkah penetapan konteks atau tujuan instansi dan langkah identifikasi risiko. Penetapan tujuan dan identifikasi risiko adalah bagian dari penilaian dan pengelolaan risiko instansi. Tujuan dan manfaat buku pedoman teknis ini adalah untuk memberikan panduan dalam melakukan identifikasi risiko pada sektor publik atau instansi pemerintah. Identifikasi risiko bertujuan untuk memberikan masukan kepada pimpinan instansi pemerintah mengenai risiko-risiko yang dihadapi oleh instansi pemerintah. Secara khusus, buku pedoman teknis ini diharapkan dapat memberikan pemahaman kepada tim penilai (assessor) mengenai “bagaimana” (how to) melakukan langkah-langkah atau prosedur dalam mengidentifikasi. risiko, sehingga dapat. memberikan hasil yang optimal. Ruang lingkup identifikasi risiko ini mencakup langkahlangkah yang harus ditempuh dalam pelaksanaan identifikasi risiko pada sektor publik yang terdiri atas identifikasi risiko potensial, baik risiko yang berasal dari lingkungan internal maupun lingkungan eksternal instansi pemerintah. Namun, dalam identifikasi risiko perlu dilakukan terlebih dahulu yang. penetapan konteks. terkait dengan penetapan tujuan dan. sasaran instansi pemerintah. Hal ini sejalan dengan PP Nomor 60 Tahun 2008 pasal 13 ayat (3), yang menyebutkan bahwa dalam rangka penilaian risiko sebagaimana dimaksud pada ayat 2.1 Identifikasi Risiko. 4.

(1), pimpinan instansi pemerintah menetapkan (a) tujuan instansi pemerintah; dan (b) tujuan pada tingkatan kegiatan, dengan berpedoman pada peraturan perundang-undangan. B. Sistematika Pembahasan Pedoman Teknis Identifikasi Risiko merupakan pedoman pertama dari Pedoman Teknis Penilaian Risiko, dan disusun dalam struktur bab dengan pembahasan sebagai berikut: Bab I. Pendahuluan Dalam bab ini diuraikan mengenai latar belakang dan sistematika pembahasan.. Bab II. Gambaran Umum Dalam bab ini diuraikan secara singkat pengertian risiko, proses pengelolaan risiko, dan penilaian risiko.. Bab III Langkah Identifikasi Risiko Dalam bab ini diuraikan hal-hal sebagai berikut: A. Persiapan Identifikasi Risiko Subbab ini menguraikan mengenai hal-hal yang harus disiapkan dalam rangka identifikasi risiko. B. Pelaksanaan Identifikasi Risiko Subbab ini menguraikan mengenai pelaksanaan tahapan Identifikasi risiko. Bab IV Penutup Bab ini menguraikan secara singkat simpulan umum dalam rangka melakukan identifikasi risiko. Pedoman ini dimaksudkan hanya untuk identifikasi risiko, yang. meliputi. juga. penetapan. konteks/tujuan. instansi,. sedangkan analisis risiko akan dibahas pada pedoman tersendiri. 2.1 Identifikasi Risiko. 5.

2.1 Identifikasi Risiko. 6.

BAB II GAMBARAN UMUM Bab ini memberikan gambaran umum tentang risiko, proses pengelolaan risiko, dan penilaian risiko. Penilaian risiko sangat berkaitan erat dengan proses pengelolaan risiko. A. Risiko 1. Pengertian Risiko Setiap keputusan untuk melakukan sesuatu atau tidak melakukan sesuatu, keduanya membawa konsekuensi atau dampak risiko. Risiko merupakan kondisi yang jika terjadi akan menghambat atau mengganggu pencapaian tujuan suatu organisasi, baik yang bersifat langsung maupun tidak langsung, yang merupakan hasil dari kombinasi kemungkinan (likelihood) terjadinya peristiwa dan besaran dari konsekuensi atau dampaknya (consequences or impact). Risiko dapat didefinisikan dalam berbagai cara. Handbook (HB) 436: 2004 of Risk Management Guidelines Companion to AS/NZS 4360: 2004, halaman 3, mendefinisikan risiko sebagai: “the chance of something that will have an impact on objectives. A risk is often specified in terms of an event or circumstance and the consequences that may flow from it. Risk is measured in terms of a combination of the consequences of an event and their likelihood.”. 2.1 Identifikasi Risiko. 7.

Sesuai dengan penjelasan pasal 3 huruf b Peraturan Pemerintah Nomor 60 Tahun 2008, dinyatakan bahwa yang dimaksud dengan “penilaian risiko” adalah kegiatan penilaian atas kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran instansi pemerintah. Menurut Ronny Kountur, D.M.S., Ph.D, (2008, halaman 6), dinyatakan bahwa risiko diartikan sebagai kemungkinan kejadian yang merugikan. Ada tiga unsur penting yang dapat menunjukkan apakah suatu potensi kejadian dapat disebut risiko, yaitu: a. Merupakan suatu kejadian; b. Kejadian tersebut masih merupakan kemungkinan, jadi dapat saja terjadi, atau tidak terjadi; c. Jika sampai terjadi, ada akibat yang ditimbulkannya, yaitu kerugian. Di. samping itu, terdapat tiga unsur lain yang. menentukan tingkat risiko, yaitu paparan atau kemunculan (exposure), waktu, dan kerentanan. Waktu dan kerentanan dikelompokkan ke dalam kemungkinan, sedangkan paparan dikelompokkan ke dalam akibat atau dampak. Risiko juga diartikan sebagai fungsi atau terkait dengan ketidakpastian (uncertainty). Bramantyo Djohanputro, Ph.D (2008, halaman 30) menyatakan: “Yang paling mendasar, pengertian risiko sebagai ketidakpastian yang telah diketahui tingkat probabilitas kejadiannya. Pengertian lain dan sering digunakan. oleh. ketidakpastian. kebanyakan. yang. dapat. orang,. dikuantifikasi,. risiko yang. adalah dapat. menyebabkan kerugian atau kehilangan. Risiko juga dapat diartikan penyebaran atau penyimpangan dari target, sasaran, atau harapan.” 2.1 Identifikasi Risiko. 8.

Berdasarkan pada dampaknya terhadap tujuan, risiko dikenal sebagai risiko sisi bawah (downside risks) dan risiko sisi atas (upside risks). Risiko sisi bawah mengacu kepada terjadinya hal buruk yang secara negatif memengaruhi tujuan. Risiko sisi atas mengacu kepada terjadinya hal-hal baik (positif) yang diharapkan untuk secara positif memengaruhi tujuan. Dengan demikian, risiko merupakan kejadian yang mempunyai dampak positif (sisi atas) dan negatif (sisi bawah) pada pencapaian tujuan organisasi, yang diukur berdasarkan kemungkinan dan konsekuensinya. Dari beberapa penjelasan di atas, yang dimaksudkan dengan risiko dalam pedoman teknis ini adalah kemungkinan kejadian. yang. mengancam. pencapaian. tujuan. dan. sasaran Instansi pemerintah. 2. Kategori Risiko Untuk memudahkan identifikasi risiko, maka perlu dilakukan kategori atau pengelompokan risiko. Ada beberapa kategori risiko bergantung dari sudut pandang mana kita melihatnya. Risiko dapat dilihat dari beberapa sudut pandang, yaitu: a. Risiko dari Sudut Pandang Penyebab Apabila dilihat dari sebab terjadinya, ada dua macam risiko, yaitu risiko keuangan, dan risiko operasional. Risiko keuangan adalah risiko yang disebabkan oleh faktor-faktor keuangan.. Risiko. operasional. adalah. risiko. yang. disebabkan oleh faktor-faktor nonkeuangan, misalnya manusia, teknologi, sistem dan prosedur, serta alam. Di samping risiko dari sudut pandang penyebab, risiko juga 2.1 Identifikasi Risiko. 9.

bersumber berdampak. dari. risiko. terhadap. strategis, entitas. yaitu. dan. risiko. bersifat. yang. strategis. (misalnya keuangan, perubahan politik, dan keamanan) sebagai akibat keputusan strategis yang tidak sesuai dengan lingkungan eksternal dan internal organisasi, serta risiko eksternalitas, yaitu risiko yang timbul dari faktor eksternal, antara lain reputasi, lingkungan, sosial, dan hukum (Bramantyo Djohanputro, 2008, hal. 66-67). b. Risiko dari Sudut Pandang Akibat Ada dua kategori risiko jika dilihat dari akibat yang ditimbulkan, yaitu risiko murni dan risiko spekulatif. Apabila suatu kejadian berakibat hanya merugikan dan tidak memungkinkan adanya keuntungan disebut risiko murni, misalnya terjadi kebakaran. Risiko spekulatif adalah risiko yang tidak saja memungkinkan terjadinya kerugian tetapi juga memungkinkan terjadinya keuntungan, misalnya risiko melakukan investasi. c. Risiko dari Sudut Pandang Aktivitas Ada berbagai macam aktivitas yang dapat menimbulkan risiko, misalnya aktivitas pemberian kredit oleh bank, aktivitas pelayanan kepada masyarakat. d. Risiko dari Sudut Pandang Kejadian Risiko dilihat dari sudut pandang kejadian, misalnya risiko kebakaran. (Ronny Kountur, Ph.D, 2008, halaman 14 -19). Pendapat lain menyatakan beberapa sumber risiko dapat dilihat dari sumber terjadinya, yaitu : (1) Lima M: SDM (Man), Anggaran (Money), Peralatan (Machines), Sisdur informasi (Methods), dan Sarpras (Materials); (2) Kegiatan 2.1 Identifikasi Risiko. 10.

manajemen (Perencanaan, Pengorganisasian, Pelaksanaan, dan Pengawasan); dan (3) Aspek lainnya (Koordinasi, Sosial Ekonomi, Politik, Hukum, dan Lingkungan). Komponen. suatu risiko berhubungan atau berkaitan. dengan (sesuai dengan HB 436: 2004, halaman 38): a. Sumber risiko atau bahaya (hazard) – sesuatu yang mempunyai potensi intrinsik menjadi atau membantu terjadinya. kerugian. (harm),. misalnya. bahaya. kimia,. pesaing, dan pemerintah. b. Suatu kejadian atau insiden – sesuatu yang terjadi, sebagaimana sumber risiko, mempunyai dampak yang berkaitan dengan kebocoran, pesaing masuk ke dalam atau keluar dari pasar, regulasi baru atau regulasi yang direvisi,. atau. beberapa. ukuran. atau. kinerja. untuk. memenuhi tingkat hasil tertentu. c. Suatu konsekuensi (hasil atau dampak) pada pemangku kepentingan dan aset, misalnya kerusakan lingkungan, pasar yang meningkat, menderita kerugian, memeroleh laba, bertambahnya regulasi, atau menurunnya persaingan. d. Suatu penyebab (apa dan mengapa), (biasanya berkaitan langsung dengan penyebab pokok) atas timbulnya bahaya atau kejadian yang terjadi, misalnya desain, intervensi orang,. pendanaan,. predikisi. atau. kegagalan. untuk. memprediksi aktivitas pesaing, dan kegagalan untuk memasuki pasar atau ekspansi. e. Pengendalian. dan. tingkat. efektivitas. pengendalian,. misalnya sistem deteksi, sistem pembersihan, kebijakan, pengamanan, pelatihan, riset pasar, dan pengawasan pasar. f. Kapan terjadi risiko dan dimana kemungkinan terjadinya. 2.1 Identifikasi Risiko. 11.

Sumber risiko, menurut. Australian Standard/New. Zealand Standard (AS/NZS) 4360:2004, meliputi: perilaku personel, aktivitas manajemen dan pengendalian, kondisi ekonomi, kejadian yang biasa/tidak biasa, kondisi politik, isuisu teknologi/teknikal, hubungan hukum dan komersial, tanggung jawab produk/profesional/publik, dan aktivitas itu sendiri. Dalam penjelasan PP Nomor 60 Tahun 2008, pasal 16 huruf (b) dan (c) disebutkan bahwa risiko dapat berasal dari faktor eksternal dan faktor internal, serta faktor lain, yang dapat dikhtisarkan sebagai berikut: a. Risiko yang berasal dari faktor eksternal, misalnya peraturan. perundang-undangan. baru,. perkembangan. teknologi, bencana alam, dan gangguan keamanan. b. Risiko. yang. berasal. dari. faktor. internal,. misalnya. keterbatasan dana operasional, sumber daya manusia yang tidak kompeten, peralatan yang tidak memadai, kebijakan dan prosedur yang tidak jelas, serta suasana kerja yang tidak kondusif. c. Risiko yang berasal dari faktor lain adalah risiko akibat kegagalan pencapaian tujuan dan keterbatasan anggaran yang. pernah. terjadi,. antara. lain. disebabkan. oleh. pengeluaran program yang tidak tepat, pelanggaran terhadap pengendalian dana, dan ketidaktaatan terhadap peraturan perundang-undangan, risiko yang melekat pada sifat misinya atau pada signifikansi dan kompleksitas dari setiap program atau kegiatan spesifik dilaksanakan.. 2.1 Identifikasi Risiko. 12.

Dalam. praktiknya,. terdapat. banyak. risiko. dan. kebanyakan saling berinteraksi satu sama lain. Satu risiko memiliki. banyak. potensi. konsekuensi. pada. berbagai. perspektif, dan satu perspektif dapat merupakan akibat dari beberapa risiko yang memengaruhi secara simultan. Oleh karena itu, perlu adanya pengelolaan risiko terintegrasi, selain pengelolaan risiko yang secara otomatis melekat. menjadi. bagian dari tugas pemegang jabatan masing-masing, yang terkait dalam suatu organisasi. B. Proses Pengelolaan Risiko Dalam lingkungan organisasi atau instansi pemerintah, perhatian atas pentingnya. pengelolaan risiko. dan sistem. pengendalian intern telah meningkat, sehingga membawa tanggung jawab yang lebih besar bagi orang-orang yang mengelola risiko. Oleh karena itu, manajemen organisasi mempunyai harapan yang lebih tinggi untuk mengawasi (oversight) dan mengelola risiko utama dalam organisasi mereka, serta bagaimana risiko dan upaya-upaya pengendaliannya dapat mendukung kinerja organisasi. Sistem pengendalian intern adalah proses yang integral pada tindakan dan kegiatan yang dilakukan secara terusmenerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas tercapainya tujuan organisasi melalui kegiatan yang efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan perundang-undangan (PP Nomor 60 Tahun 2008).. 2.1 Identifikasi Risiko. 13.

Dalam PP Nomor 60 Tahun 2008 Bab II, pasal 3, disebutkan bahwa SPIP terdiri atas unsur (a) lingkungan pengendalian, (b) penilaian risiko, (c) kegiatan pengendalian, (d) informasi dan komunikasi, dan (e) pemantauan pengendalian intern. Penilaian risiko diawali dengan penetapan maksud dan tujuan instansi pemerintah yang jelas dan konsisten, baik pada tingkat instansi maupun pada tingkat kegiatan. Selanjutnya, instansi pemerintah mengidentifikasi secara efisien dan efektif risiko yang dapat menghambat pencapaian tujuan tersebut, baik yang bersumber dari dalam maupun luar instansi. Terhadap risiko yang telah diidentifikasi dianalisis untuk mengetahui pengaruhnya terhadap pencapaian tujuan. Pimpinan instansi pemerintah merumuskan pendekatan pengelolaan (manajemen) risiko dan kegiatan pengendalian risiko yang diperlukan untuk memperkecil risiko. Pengertian pengelolaan risiko yang secara luas telah digunakan, di antaranya sebagai berikut: “budaya, proses, dan struktur yang diarahkan kepada pengelolaan yang efektif atas potensi kejadian dan dampak yang tidak diinginkan.” (Australian Standard/New Zealand Standard , AS/NZS, 4360:2004) “proses yang dipengaruhi oleh dewan direksi, manajemen, dan personil lain entitas tersebut, diterapkan dalam penetapan strategi dan berlaku di seluruh perusahaan, dirancang untuk mengidentifikasi peristiwa potensial yang dapat memengaruhi entitas itu, dan mengelola risiko agar tetap ada dalam selera risikonya, sehingga dapat memberikan jaminan yang memadai mengenai pencapaian tujuan entitas.” (COSO Enterprise Risk Management, 2004 COSO) “pendekatan yang kuat dan terkoordinasi untuk menilai dan merespon semua risiko yang memengaruhi pencapaian tujuan strategis dan keuangan organisasi. Ini meliputi, baik risiko sisi atas maupun risiko sisi bawah.” (IIA, 2004) 2.1 Identifikasi Risiko. 14.

Pengertian proses pengelolaan risiko (AS/NZS 4360: 2004) adalah penerapan sistematis kebijakan manajemen, prosedur, dan sejumlah tugas dalam menetapkan konteks, mengidentifikasi,. menganalisis,. mengevaluasi,. menangani,. mengomunikasikan, dan memonitor risiko. Dari pengertian proses. pengelolaan. risiko. tersebut,. unsur-unsur. proses. pengelolaan risiko meliputi: 1. Menetapkan konteks; 2. Mengidentifikasi risiko; 3. Menganalisis risiko; 4. Mengevaluasi risiko; 5. Menangani risiko; 6. Komunikasi dan konsultasi; serta 7. Memantau dan mereviu (Lihat Gambar 1 Proses Manajemen Risiko). Menurut AS/NZS 4360: 2004, pengelolaan risiko sudah mencakup di dalamnya penilaian risiko, yang meliputi identifikasi, analisis, dan evaluasi risiko. Jika dibandingkan dengan penilaian risiko menurut PP Nomor 60/2008, pada dasarnya kedua hal tersebut adalah sama, dimana penilaian risiko terdiri atas identifikasi dan analisis risiko (sudah termasuk di dalamnya adalah respon risiko). Pedoman ini menggunakan istilah penilaian risiko menurut PP 60 Tahun 2008, namun sebagai tambahan rujukan juga digunakan istilah penilaian risiko menurut AS/NZS 4360: 2004, terutama pemakaian istilah evaluasi risiko (dibahas pada Pedoman Teknis Penyelenggaraan SPIP: Sub Unsur Analisis Risiko), yang selanjutnya tahap evaluasi ini akan digunakan pada saat pemilihan respon risiko. 2.1 Identifikasi Risiko. 15.

Gambar 1 Proses Manajemen Risiko. Sumber : AS/NZS 4360:2004. Menurut. Enterprise Risk Management – Integrated. Framework yang diterbitkan oleh COSO tahun 2004 (ERM COSO), disebutkan bahwa unsur-unsur pengelolaan risiko meliputi: (1) Lingkungan. internal, (2) Penetapan tujuan,. (3) Identifikasi peristiwa, (4) Penilaian risiko, (5) Respon risiko, (6) Aktivitas pengendalian, (7) Informasi dan komunikasi, dan (8) Pemantauan. Dengan penjelasan dari ERM COSO, menjadi lebih jelas lagi bahwa pengelolaan risiko pada dasarnya sama komponennya.. 2.1 Identifikasi Risiko. 16.

C. Penilaian Risiko 1. Pengertian Penilaian Risiko Sebelum menguraikan lebih lanjut pengertian penilaian risiko, beberapa istilah penilaian risiko (risk assessment) mempunyai pengertian yang berbeda, tumpang tindih, dan saling dipertukarkan dalam pemakaiannya dalam literatur pengelolaan risiko.. Misalnya, istilah “risk analysis”, “risk. assessment”, dan “risk evaluation.” Pemakaian istilah-istilah ini diartikan sebagaimana yang terdapat dalam pedoman ini. Contohnya, istilah penilaian risiko dalam PP Nomor 60 Tahun 2008 tentang SPIP adalah sama pengertiannya dengan risk assessment. Sesuai dengan PP Nomor 60 Tahun 2008, khususnya bagian ketiga, pasal 13 ayat (1) disebutkan bahwa pimpinan instansi wajib melakukan penilaian risiko. Penilaian risiko sebagaimana. dimaksud. pada. ayat. (1),. terdiri. atas. (a) identifikasi risiko; dan (b) analisis risiko. Lebih lanjut dalam PP tersebut disebutkan bahwa penilaian risiko diawali dengan penetapan maksud dan tujuan instansi pemerintah yang jelas dan konsisten, baik pada tingkat instansi maupun pada tingkat kegiatan. Hal ini sejalan dengan proses pengelolaan risiko, baik menurut AS/NZS maupun COSO, bahwa sebelum melakukan penilaian risiko harus ditetapkan terlebih dahulu penetapan konteks atau tujuan organisasi/entitas.. 2.1 Identifikasi Risiko. 17.

Menurut Handbook 436: 2004, penilaian risiko (risk assessment) diartikan sebagai “the overall process of risk identification, risk analysis, and risk evaluation”. Ini dapat dilihat dari Gambar Proses Pengelolaan Risiko, dimana penilaian risiko merupakan bagian yang integral atau terpadu dari proses pengelolaan risiko. Hal ini juga sejalan dengan definisi yang dikemukakan oleh Allen L. Burgensen bahwa penilaian risiko adalah “A systematic process of organizing to support a risk decision to be made within a risk management process. It consists of the identification of the hazards and analysis and evaluation of risks associated with the exposure to these hazard.” Menurut Australian Government, Department of the Environment and Heritage Australian Government Office (2006, halaman 43) penilaian risiko didefinisikan sebagai “The set of tasks to here collectively as a risk assessment, consists of three central steps in the risk management process: identify the risks, analyze the risks, and evaluate the risks.” Dari uraian di atas dapat disimpulkan bahwa penilaian risiko merupakan proses yang dilakukan oleh suatu instansi atau organisasi. dan merupakan bagian yang integral dari. proses pengelolaan risiko dalam pengambilan keputusan risiko dengan melakukan tahap identifikasi risiko, analisis risiko, dan evaluasi risiko. Proses penilaian risiko dilakukan setelah dilakukan penetapan tujuan organisasi.. 2.1 Identifikasi Risiko. 18.

Jika. dikaitkan. dengan. SPIP,. penilaian. risiko. merupakan unsur atau komponen sistem pengendalian intern, dengan subunsur identifikasi dan analisis risiko, sedangkan evaluasi risiko, dengan mempertimbangkan bahwa proses evaluasi akan. sejatinya. adalah. diprioritaskan. proses. (setelah. menilai dianalisis,. risiko. yang. termasuk. mempertimbangkan tingkat risiko yang dapat diterima) dan direspon, maka proses ini dapat digabungkan dalam proses analisis risiko. 2. Tujuan Penilaian Risiko Sebagaimana dikemukakan sebelumnya, penilaian risiko merupakan bagian yang integral atau terpadu dari proses pengelolaan risiko dan juga sistem pengendalian intern. Proses dapat didefinisikan sebagai urutan tindakan yang dilakukan untuk mencapai tujuan tertentu. Hal ini berarti proses penilaian risiko merupakan prosedur terpadu, yang meliputi identifikasi dan analisis risiko-risiko yang timbul. Dari pengertian tersebut, maka tujuan penilaian risiko adalah untuk: 1. Mengidentifikasi dan menguraikan semua risiko potensial yang berasal, baik dari faktor internal maupun faktor eksternal; 2. Memeringkat risiko-risiko yang memerlukan perhatian manajemen instansi dan yang memerlukan penanganan segera atau tidak memerlukan tindakan lebih lanjut; dan 3. Memberikan suatu masukan atau rekomendasi untuk meyakinkan bahwa terdapat risiko-risiko yang menjadi prioritas paling tinggi untuk dikelola dengan efektif. 2.1 Identifikasi Risiko. 19.

3. Pengertian Identifikasi Risiko Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan bagaimana sesuatu dapat terjadi,. sehingga. dapat. berdampak. negatif. terhadap. pencapaian tujuan. Tujuannya adalah untuk menghasilkan suatu daftar sumber-sumber risiko dan kejadian-kejadian yang berpotensi membawa dampak terhadap pencapaian tiap tujuan. yang. telah. diidentifikasi. dalam. penetapan. konteks/tujuan. Potensi kejadian-kejadian tersebut dapat mencegah, menghambat, menurunkan, memperlama atau justru meningkatkan pencapaian tujuan-tujuan tersebut. Setelah mengidentifikasi apa yang dapat terjadi, maka perlu dipertimbangkan kemungkinan-kemungkinan penyebab dan skenario-skenario yang dapat terjadi. Terdapat banyak jalan untuk kemunculan suatu kejadian, dan oleh karenanya adalah perlu agar jangan sampai ada penyebab-penyebab signifikan yang tertinggal. D. Parameter Penerapan Penilaian risiko diawali dengan penetapan maksud dan tujuan instansi pemerintah yang jelas dan konsisten, baik pada tingkat instansi maupun pada tingkat kegiatan. Selanjutnya, instansi pemerintah mengidentifikasi secara efisien dan efektif risiko yang dapat menghambat pencapaian tujuan tersebut, baik yang bersumber dari dalam maupun luar instansi. Berikut ini adalah. parameter. yang. merupakan. hal-hal. yang. harus. diperhatikan oleh pimpinan dalam rangka penerapan unsur penilaian risiko sub unsur identifikasi risiko. 2.1 Identifikasi Risiko. 20.

1. Penetapan Tujuan Instansi Pemerintah a. Pimpinan Instansi Pemerintah menetapkan tujuan instansi pemerintah. dengan. berpedoman. pada. peraturan. perundang-undangan. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Pimpinan. instansi. pemerintah. menetapkan. tujuan. instansi pemerintah secara keseluruhan dalam bentuk misi, tujuan dan sasaran, sebagaimana dituangkan dalam rencana strategis dan rencana kinerja tahunan. 2) Tujuan instansi pemerintah secara keseluruhan disusun sesuai dengan persyaratan program yang ditetapkan dengan peraturan perundang-undangan. 3) Tujuan instansi pemerintah secara keseluruhan harus cukup spesifik, terukur, dapat dicapai, realistis, dan terikat waktu. b. Seluruh. tujuan. instansi. pemerintah. secara. jelas. dikomunikasikan pada semua pegawai sehingga pimpinan instansi pemerintah mendapatkan umpan balik, yang menandakan bahwa komunikasi tersebut berjalan secara efektif. c. Pimpinan. instansi. pemerintah. menetapkan. strategi. operasional yang konsisten dengan rencana strategis instansi pemerintah dan rencana penilaian risiko. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Rencana. strategis. mendukung. tujuan. instansi. pemerintah secara keseluruhan. 2) Rencana strategis mencakup alokasi dan prioritas penggunaan sumber daya.. 2.1 Identifikasi Risiko. 21.

3) Rencana strategis dan anggaran dirancang secara rinci sesuai dengan tingkatan instansi pemerintah. 4) Asumsi. yang. mendasari. rencana. strategis. dan. anggaran instansi pemerintah, konsisten dengan kondisi yang terjadi sebelumnya dan kondisi saat ini. d. Instansi pemerintah memiliki rencana strategis yang terpadu dan penilaian risiko, yang mempertimbangkan tujuan instansi pemerintah secara keseluruhan dan risiko yang berasal dari faktor intern dan ekstern, serta menetapkan suatu struktur pengendalian penanganan risiko. 2. Penetapan Tujuan Tingkat Kegiatan a. Penetapan. tujuan. pada. tingkatan. kegiatan. harus. berdasarkan pada tujuan dan rencana strategis instansi pemerintah. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Semua kegiatan penting didasarkan pada tujuan dan rencana. strategis. instansi. pemerintah. secara. keseluruhan. 2) Tujuan pada tingkatan kegiatan dikaji ulang secara berkala untuk memastikan bahwa tujuan tersebut masih relevan dan berkesinambungan. b. Tujuan pada tingkatan kegiatan saling melengkapi, saling menunjang, dan tidak bertentangan satu dengan lainnya. c. Tujuan pada tingkatan kegiatan relevan dengan seluruh kegiatan utama instansi pemerintah. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut:. 2.1 Identifikasi Risiko. 22.

1) Tujuan pada tingkatan kegiatan ditetapkan untuk semua kegiatan operasional penting dan kegiatan pendukung. 2) Tujuan pada tingkatan kegiatan konsisten dengan praktik dan kinerja sebelumnya yang efektif serta kinerja industri/bisnis yang mungkin dapat diterapkan pada kegiatan instansi pemerintah. d. Tujuan pada tingkatan kegiatan mempunyai unsur kriteria pengukuran. e. Tujuan pada tingkatan kegiatan didukung sumber daya instansi pemerintah yang cukup. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Sumber daya yang diperlukan untuk mencapai tujuan sudah diidentifikasi. 2) Jika tidak tersedia sumber daya yang cukup, pimpinan instansi pemerintah harus memiliki rencana untuk mendapatkannya. f. Pimpinan instansi pemerintah mengidentifikasi tujuan pada tingkatan kegiatan yang penting terhadap keberhasilan tujuan instansi pemerintah secara keseluruhan. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Pimpinan instansi pemerintah mengidentifikasi hal yang harus. ada. atau. dilakukan. agar. tujuan. instansi. pemerintah secara keseluruhan tercapai. 2) Tujuan pada tingkatan kegiatan yang penting harus mendapat perhatian dan direviu secara khusus serta capaian kinerjanya. dipantau secara. teratur. oleh. pimpinan instansi pemerintah. 2.1 Identifikasi Risiko. 23.

g. Semua tingkatan pimpinan instansi pemerintah terlibat dalam proses penetapan tujuan pada tingkatan kegiatan dan berkomitmen untuk mencapainya.. 3. Identifikasi Risiko a. Pimpinan instansi pemerintah menggunakan metodologi identifikasi risiko yang sesuai untuk tujuan instansi pemerintah dan tujuan pada tingkatan kegiatan secara komprehensif. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Metode kualitatif. dan kuantitatif. digunakan. untuk. mengidentifikasi risiko dan menentukan peringkat risiko relatif secara terjadwal dan berkala. 2) Cara suatu risiko diidentifikasi, diperingkat, dianalisis, dan diatasi telah dikomunikasikan kepada pegawai yang berkepentingan. 3) Pembahasan identifikasi risiko dilakukan pada rapat tingkat pimpinan instansi pemerintah. 4) Identifikasi risiko merupakan bagian dari prakiraan rencana jangka pendek dan jangka panjang, serta rencana strategis. 5) Identifikasi risiko merupakan hasil dari pertimbangan atas temuan audit, hasil evaluasi, dan penilaian lainnya. 6) Risiko yang diidentifikasi pada tingkat pegawai dan pimpinan tingkat menengah menjadi perhatian pimpinan instansi pemerintah yang lebih tinggi.. 2.1 Identifikasi Risiko. 24.

b. Risiko dari faktor eksternal dan internal diidentifikasi dengan menggunakan mekanisme yang memadai. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Instansi pemerintah memertimbangkan risiko dari perkembangan teknologi. 2) Risiko yang timbul dari perubahan kebutuhan atau harapan badan legislatif, pimpinan instansi pemerintah, dan masyarakat sudah dipertimbangkan. 3) Risiko yang timbul dari peraturan perundang-undangan baru sudah diidentifikasi. 4) Risiko yang timbul dari bencana alam, tindakan kejahatan,. atau. tindakan. terorisme. sudah. dipertimbangkan. 5) Identifikasi risiko yang timbul dari perubahan kondisi usaha, politik, dan ekonomi sudah dipertimbangkan. 6) Risiko. yang. timbul. dari. rekanan. utama. sudah. dipertimbangkan. 7) Risiko yang timbul dari interaksi dengan instansi pemerintah lainnya dan pihak di luar pemerintahan sudah dipertimbangkan. 8) Risiko yang timbul dari pengurangan kegiatan dan pengurangan pegawai instansi pemerintah sudah dipertimbangkan. 9) Risiko yang timbul dari rekayasa ulang proses bisnis (business process re-engineering) atau perancangan ulang proses operasional sudah dipertimbangkan. 10) Risiko yang timbul dari gangguan pemrosesan sistem informasi dan tidak tersedianya sistem cadangan sudah dipertimbangkan. 2.1 Identifikasi Risiko. 25.

11) Risiko yang timbul dari pelaksanaan program yang didesentralisasi sudah diidentifikasi. 12) Risiko yang timbul dari tidak terpenuhinya kualifikasi pegawai dan tidak adanya pelatihan pegawai sudah dipertimbangkan. 13) Risiko yang timbul dari ketergantungan terhadap rekanan atau pihak lain dalam pelaksanaan kegiatan penting instansi pemerintah sudah diidentifikasi. 14) Risiko yang timbul dari perubahan besar dalam tanggung jawab pimpinan instansi pemerintah sudah diidentifikasi. 15) Risiko yang timbul dari akses pegawai yang tidak berwenang. terhadap. aset. yang. rawan. sudah. dipertimbangkan. 16) Risiko yang. timbul. dari kelemahan. pengelolaan. pegawai. 17) Risiko yang timbul dari ketidaktersediaan dana untuk pembiayaan program baru atau program lanjutan sudah dipertimbangkan. c. Penilaian atas faktor lain yang dapat meningkatkan risiko telah dilaksanakan. Hal-hal yang perlu dipertimbangkan adalah sebagai berikut: 1) Risiko yang timbul dari kegagalan pencapaian misi, tujuan, dan sasaran masa lalu atau keterbatasan anggaran sudah dipertimbangkan. 2) Risiko yang timbul dari pembiayaan yang tidak memadai, pelanggaran penggunaan dana, atau ketidakpatuhan terhadap peraturan perundang-undangan di masa lalu sudah dipertimbangkan. 2.1 Identifikasi Risiko. 26.

3) Risiko melekat pada misi instansi pemerintah, program yang kompleks dan penting, serta kegiatan khusus lainnya sudah diidentifikasi. d. Risiko instansi pemerintah secara keseluruhan dan pada setiap tingkatan kegiatan penting sudah diidentifikasi.. 2.1 Identifikasi Risiko. 27.

2.1 Identifikasi Risiko. 28.

BAB III LANGKAH IDENTIFIKASI RISIKO Sebagaimana telah dijelaskan di latar belakang pedoman ini (Bab I), pimpinan instansi berperan dalam rangka melakukan penilaian risiko di instansinya. Dalam Bab ini, langkah identifikasi risiko dibahas secara lebih mendalam. A. Persiapan Identifikasi Risiko Tahapan persiapan identifikasi risiko dimulai dengan survei pendahuluan. Tim (satgas internal organisasi) yang ditunjuk, menyampaikan maksud untuk melakukan survei pendahuluan kepada pejabat instansi yang bertanggung jawab atas kegiatan yang akan dinilai risikonya. Dari hasil survei ini, tim akan memeroleh dan memahami profil instansi, termasuk struktur organisasi, tugas pokok dan fungsi, kebijakan , serta prosedur pengelolaan risikonya. Kemudian tim membicarakan ruang lingkup penilaian risiko yang akan dilakukan. Berdasarkan. data. hasil. survei. pendahuluan,. tim. kemudian membuat perencanaan identifikasi risiko, termasuk di dalamnya menentukan lingkup dan tujuan, kualitas dan jumlah sumber daya manusia, serta anggaran biaya yang dibutuhkan. Tahap persiapan identifikasi risiko meliputi: 1. Pembicaraan Awal Tim akan menjelaskan dan mendiskusikan kepada pihak yang akan dinilai mengenai tujuan, lingkup, rencana pelaksanaan, metode pengumpulan data, metode analisis, 2.1 Identifikasi Risiko. 29.

dan pembentukan contact person. Hal-hal penting yang perlu dikomunikasikan dalam pembicaraan awal pada pimpinan instansi adalah sebagai berikut: a. Tujuan Penilaian Risiko 1) Menyampaikan kepada pimpinan instansi tentang tujuan identifikasi. risiko,. sekaligus. batasan. yang. akan. diidentifikasi sehingga pada saat pelaksanaannya nanti antara pihak yang dinilai maupun pihak penilai dapat bekerja sama dalam hal kemudahan bertugas, serta kemudahan dalam menyampaikan informasi dan data yang diperlukan. 2) Beberapa hal penting yang dapat disampaikan berkaitan dengan tujuan, antara lain: a) Memahami sejauh mana kondisi penerapan sistem pengendalian dan pengelolaan risiko pada instansi, dan memberikan saran perbaikan bagi penerapan sistem pengendaliannya; b) Memberikan keyakinan (assurance) atas pendekatan pengelolaan risiko instansi dan nilai tambah dalam proses organisasi agar lebih ekonomis, efisiensi, efektif, dan meningkatkan akuntabilitas instansi; c) Menyampaikan bahwa secara tidak langsung dapat membantu pimpinan instansi atau manajemen dalam meningkatkan. sistem. pengendalian. intern. dalam. organisasi mereka.. 2.1 Identifikasi Risiko. 30.

b. Ruang Lingkup Tim penilai perlu menyampaikan kepada pihak yang dinilai mengenai ruang lingkup yang akan dinilai. Batasan yang akan dinilai harus disesuaikan dengan kondisi instansi yang menjalankan proses penilaian risiko. Ruang lingkup pelaksanaan penilaian risiko antara satu unit dengan unit lain dapat saja berbeda. Pelaksanaan penilaian risiko instansi dapat dilakukan pada: 1) Tingkat strategis, meliputi antara lain pengembangan kebijakan, penyampaian layanan, program ketaatan, dan pertimbangan politik; 2) Tingkat instansi dan program, meliputi antara lain prioritas dan strategi organisasi, manajemen keuangan, hubungan antar organisasi, teknologi, pengendalian dan pencegahan kecurangan, kemampuan staf, manajemen aset, serta kewajiban sosial dan strategi koordinasi; 3) Tingkat kegiatan/proyek, meliputi antara lain perencanaan, proses, prioritas pekerjaan, pengembangan dan pelatihan, kontrak, prosedur, kualitas data, pengadaan, konsultan, jaminan. kualitas,. struktur. pemberdayaan pegawai,. organisasi,. komunikasi,. konstruksi dan bangunan,. informasi teknologi, dan joint ventures; 4) Tingkat individu, meliputi antara lain mutasi pegawai, pengembangan kemampuan, keseimbangan antara urusan pekerjaan dan rumah tangga, tingkat komitmen, etika dan nilai (kualitas kepemimpinan), isu kesehatan, kewajiban hukum pegawai.. 2.1 Identifikasi Risiko. 31.

c. Rencana Waktu Pelaksanaan Rencana. jangka. waktu. pelaksanaan,. meliputi. perencanaan sejak proses penetapan tujuan, identifikasi, analisis, termasuk evaluasi risiko. d. Metode Pengumpulan Data Membicarakan data yang dibutuhkan dalam proses penilaian risiko, termasuk metode pengumpulan data dan perencanaan responden. Data di sini digunakan sebagai sarana kajian, analisis, dan juga sebagai bukti pendukung. Metode pengumpulan data yang dianjurkan antara lain adalah: 1) Reviu/kajian dokumen; 2) Kuesioner/check list yang dibuat berdasarkan hasil Focus Group Discussion (FGD); 3) Wawancara; dan 4) Observasi. Penetapan jumlah responden yang dibutuhkan dapat dilakukan secara sampel, jika ada keterbatasan waktu dan tenaga, namun sampel tetap harus memenuhi kriteria keterwakilan. e. Metode Analisis Data Agar data dapat memberikan informasi, harus dilakukan pengolahan data dan analisis data. Pengolahan data dapat dilakukan dengan menggunakan Software SPSS, Microsoft Excel, atau pengolah data lainnya.. 2.1 Identifikasi Risiko. 32.

f. Pembentukan Primary Contact Person Tim penilai perlu meyakinkan kepada pimpinan instansi tentang pentingnya pembentukan primary contact person dari pihak yang dinilai, yang berfungsi sebagai mediator (disesuaikan dengan kebutuhan instansi pemerintah) bagi tim penilai risiko. Pengumpulan data dilakukan setelah tercapai kesepakatan dengan primary contact person mengenai pemahaman penugasan, ruang lingkup, jadwal kegiatan, maupun metodologi identifikasi/penilaian risiko yang akan dilakukan. Mediator berfungsi membantu tim dalam bertanya dan meminta bantuan; menyediakan berbagai data dan atau informasi yang diperlukan; menetapkan jadwal pertemuan dengan pimpinan hingga jadwal waktu pelaksanaan yang lebih rinci dari setiap tahap; mengumpulkan data, baik melalui permintaan langsung atau melalui pengisian kuesioner/checklist, termasuk pembahasan mengenai teknis pelaksanaannya; serta merencanakan pelaksanaan observasi, termasuk menyediakan. ruangan. dan. perangkat. kerja. yang. diperlukan. 2. Pengumpulan Data Permintaan data sebaiknya dilakukan dengan surat resmi dari tim penilai yang ditujukan kepada primary contact person. Permintaan data harus secara jelas menyebutkan : a. Alamat yang dituju (nama orang atau jabatannya); b. Jenis/nama data; c. Tanggal batas waktu terakhir penyampaian data; dan d. Keterangan lain yang dianggap perlu. 2.1 Identifikasi Risiko. 33.

3. Pengolahan Data Data yang telah dikumpulkan melalui kajian dokumen, kuesioner, observasi, dan wawancara masih berupa data mentah. Data tersebut perlu diolah supaya dapat digunakan dalam proses analisis selanjutnya. Proses pengolahan data dilakukan dalam empat tahap, yaitu: a. Penyuntingan (editing), dilakukan dengan tujuan untuk meyakinkan bahwa jumlah kertas kerja (misal wawancara) harus sama dengan jumlah satuan analisis sampel. Kemudian melakukan pengecekan atas kelengkapan dan validitas data. Proses penyuntingan selesai bila sudah dapat. dipastikan. bahwa. semua. kertas. kerja. telah. terkumpul dan valid. b. Pemberian. kode. mempermudah. (coding),. tim. penilai. dilakukan. dengan. memasukkan. data. tujuan dan. menghindari pengulangan memasukkan data. Pemberian kode dapat berupa angka atau huruf. c. Tabulasi, untuk memudahkan tim penilai dalam memroses dapat menggunakan. software untuk pengecekan ulang,. memuat data yang banyak, dan melakukan beragam analisis. Program yang dapat digunakan adalah SPSS (Statistical Package for Social Science), Microsoft Excel, atau program pengolah data lainnya. d. Analisis. data,. dilakukan. dengan. tujuan. untuk. menggolongkan, mengurutkan, dan menyederhanakan data sehingga memudahkan tim menginterpretasikannya.. 2.1 Identifikasi Risiko. 34.

B. Pelaksanaan Identifikasi Risiko Sebelum melakukan identifikasi, perlu dilakukan penetapan konteks/tujuan. 1. Penetapan Konteks/Tujuan a. Pengertian dan Tujuan Penetapan Konteks Identifikasi/penilaian risiko diawali dengan penetapan konteks/tujuan organisasi yang jelas dan konsisten, baik pada tingkat strategis atau kebijakan maupun tingkat operasional. Penetapan konteks dilakukan dengan cara menjabarkan latar belakang, ruang lingkup, tujuan, dan hubungan organisasi dengan lingkungan eksternal dan internal.. Risiko. merupakan. segala. sesuatu. yang. berdampak terhadap pencapaian tujuan yang diukur berdasarkan kemungkinan dan konsekuensinya. Oleh karena itu, untuk meyakinkan bahwa semua risiko signifikan telah dicakup, maka perlu mengetahui tujuan dan fungsi atau aktivitas instansi yang ditelaah. Pada dasarnya, penetapan tujuan merupakan inti dari penetapan konteks. Dalam penetapan tujuan, instansi harus. mempunyai. unsur. kriteria. keberhasilan. atau. indikator kinerja kunci (key performance indicators) sebagai. dasar. pencapaian. pengukuran. tujuan,. dan. atau juga. kriteria digunakan. evaluasi untuk. mengidentifikasi dan mengukur dampak atau konsekuensi risiko yang dapat mengganggu tujuan instansi. Tujuan penetapan konteks adalah: 1) Menjelaskan pernyataan tujuan yang spesifik, terukur, dapat dicapai, realistis, dan tepat waktu; 2.1 Identifikasi Risiko. 35.

2) Mengidentifikasi lingkungan dimana tujuan akan dicapai; 3) Menetapkan ruang lingkup dan tujuan penerapan penilaian risiko, kondisi yang membatasi, dan hasil yang diharapkan; 4) Mengidentifikasi berbagai kriteria yang digunakan untuk menganalisis dan mengevaluasi risiko; dan 5) Menetapkan struktur analisis risiko. b. Prosedur Penetapan Konteks Terdapat lima tahap untuk membantu menetapkan konteks dimana risiko akan diidentifikasi. 1) Menetapkan Konteks Eksternal Tahap. ini. menetapkan. lingkungan. menyeluruh. dimana instansi atau organisasi beroperasi, termasuk pemahaman atas persepsi dan nilai-nilai dari pemangku kepentingan eksternal (external stakeholders), serta menetapkan kebijakan komunikasi dengan pihak-pihak eksternal. Penetapan konteks meliputi penelaahan hubungan antara instansi dan lingkungan eksternal yang berkaitan dengan risiko dan peluang, misalnya peraturan perundang-undangan, persaingan, kondisi usaha/pelayanan publik, sosial, politik, dan ekonomi. Penetapan konteks eksternal adalah penting untuk menjamin bahwa pemangku kepentingan dan peranan, tujuan, serta pengaruh mereka dipertimbangkan ketika mengembangkan kriteria risiko dilihat dari ancaman dan peluang.. 2.1 Identifikasi Risiko. 36.

2) Menetapkan Konteks Internal Risiko adalah kemungkinan terjadinya sesuatu yang dapat. mengancam. atau. menghambat. pencapaian. tujuan. Oleh karena itu, penelaahan terhadap tujuan, sasaran dari suatu program, proyek atau aktivitas, serta kapabilitas (orang, sistem, proses, peralatan, dan sumber. daya. meyakinkan. lainnya). bahwa. harus. semua. risiko. dilakukan. untuk. signifikan. telah. dipahami, serta keputusan terhadap risiko selalu mendukung tujuan dan sasaran instansi yang lebih luas. Penetapan konteks internal adalah penting, karena:  Pengelolaan risiko terjadi dalam konteks visi, misi, tujuan, sasaran, strategi, dan kebijakan;  Sebagian besar risiko utama yang terjadi pada kebanyakan. instansi. adalah. kegagalan. untuk. mencapai tujuan pada tingkat strategis/kebijakan dan operasional, atau telah dipersepsikan gagal oleh pemangku kepentingan;  Kebijakan,. sasaran,. dan. kepentingan. instansi. membantu menetapkan kebijakan risiko instansi; dan  Kriteria dan tujuan spesifik dari setiap aktivitas atau unit-unit. instansi. harus selaras dengan tujuan. instansi secara keseluruhan. 3) Menetapkan Konteks Pengelolaan Risiko Sebelum melakukan identifikasi risiko, maka batasan, tugas pokok dan fungsi, sasaran, strategi, ruang lingkup dan parameter dari aktivitas, atau bagian dari instansi dimana proses pengelolaan risiko akan diterapkan harus ditetapkan terlebih dahulu. 2.1 Identifikasi Risiko. 37.

Penetapan ruang lingkup dan batasan penerapan pengelolaan risiko meliputi: a. Menentukan. ruang. lingkup. organisasi,. tujuan,. sasaran, proses, proyek, atau aktivitas; b. Menetapkan sifat keputusan yang harus dilakukan; c. Menetapkan jangka waktu dan lokasi dari program, proyek, aktivitas, atau fungsi tertentu; d. Mengidentifikasi setiap ruang lingkup atau kerangka penelaahan dan sumber daya yang dibutuhkan; dan e. Menetapkan. luas. dan. dalamnya. aktivitas. pengelolaan risiko yang akan dilaksanakan, termasuk peran dan tanggung jawab bagian-bagian dari organisasi yang terkait dalam proses pengelolaan risiko dan hubungan berbagai proyek atau aktivitas dalam organisasi. 4) Mengembangkan Kriteria Evaluasi Risiko Penetapan tujuan organisasi harus mengandung unsur. kriteria. measures). pengukuran. sebagai. keberhasilan. (success. dasar kriteria evaluasi. risiko.. Kriteria keberhasilan atau indikator kinerja kunci ini digunakan sebagai dasar mengukur pencapaian tujuan sehingga dapat digunakan untuk mengukur dampak dari sesuatu yang mungkin membahayakan tujuan, yaitu konsekuensi risiko dan kemungkinan atau frekuensi terjadinya. risiko.. Kriteria. evaluasi. risiko. adalah. keputusan mengenai tingkat risiko yang dapat diterima atau akseptabilitas/toleransi risiko dan penanganan risiko atau menetapkan mana risiko yang dapat. 2.1 Identifikasi Risiko. 38.

ditoleransi dan mana yang harus segera ditangani. Kriteria harus menggambarkan konteks di atas. Kriteria ini didasarkan pada operasional, teknis, keuangan, hukum, regulasi, ketaatan pada etika, sosial, lingkungan, kemanusiaan, citra, reputasi, pelayanan publik, atau kriteria lainnya. Hal ini biasanya bergantung pada tujuan, sasaran, kebijakan internal instansi, dan kepentingan pemangku kepentingan. Kriteria. juga. dipengaruhi. oleh. persepsi. dari. pemangku kepentingan serta ketentuan yang berlaku pada instansi. Kriteria yang akan digunakan dalam mengevaluasi. risiko. harus. ditetapkan. pada. awal. kegiatan penilaian risiko, namun dapat dikembangkan lebih lanjut pada saat pelaksanaan pengelolaan risiko sesuai dengan jenis risiko. 5) Menetapkan Struktur Analisis Risiko Kegiatan suatu instansi luas dan kompleks, oleh karena itu program, proyek, dan kegiatan instansi perlu dipilah ke dalam suatu kelompok, unsur-unsur atau bidang yang terpisah (key elements). Seperangkat elemen atau kelompok aktivitas utama ini akan memberikan. suatu. kerangka. pikir. yang. efisien,. menghemat waktu, serta sumber daya dalam identifikasi risiko. dan. kemungkinan. analisis tumpang. risiko, tindih. sehingga atau. menjamin. terabaikannya. identifikasi risiko signifikan tidak terjadi. Struktur yang dipilih dalam menganalisis risiko bergantung pada sifat, kompleksitas risiko dan ruang lingkup proyek, proses, atau aktivitas. 2.1 Identifikasi Risiko. 39.

c. Pertanyaan-pertanyaan Kunci dalam Penetapan Konteks Pertanyaan-pertanyaan. kunci. berikut. merupakan. referensi awal dalam melakukan penetapan konteks dan dapat dikembangkan lebih lanjut, sesuai dengan situasi, kondisi, dan risiko masing-masing instansi di lapangan, antara lain: 1) Apa kebijakan, tugas pokok dan fungsi, proses, atau aktivitas instansi? 2) Bagaimana proses dan aktivitas yang dilakukan instansi dalam pencapaian tujuannya? 3) Apa kekuatan dan kelemahan yang dimiliki instansi dalam menjalankan tujuan atau tugas pokok dan fungsinya? 4) Hasil akhir (outcome) apa yang diharapkan instansi? 5) Apa ancaman utama dan peluang yang dihadapi instansi. dalam. menjalankan. tugas. pokok. dan. fungsinya? 6) Siapa pemangku kepentingan utama, baik internal maupun eksternal. instansi, serta apa tujuan dan. kepentingan mereka? 7) Bagaimana akuntabilitas instansi terhadap pemangku kepentingan? 8) Apa. faktor-faktor. signifikan. yang. memengaruhi. lingkungan internal dan eksternal instansi? 9) Risiko apa yang telah diidentifikasi sebelumnya? 10) Kriteria risiko apa yang seharusnya dibangun?. 2.1 Identifikasi Risiko. 40.

d. Penetapan Kriteria Evaluasi Risiko Salah. satu. tujuan. penetapan. konteks. adalah. mengidentifikasi berbagai kriteria yang akan digunakan untuk menganalisis dan mengevaluasi risiko. Sehubungan dengan hal itu, perlu ditetapkan kriteria untuk mengukur konsekuensi, kemungkinan, dan tingkat risiko. Dengan demikian, terdapat tiga komponen yang digunakan untuk penilaian risiko, yaitu (1) skala untuk menjelaskan tingkat konsekuensi. atau. dampak risiko jika risiko terjadi, (2) skala untuk menjelaskan kemungkinan (likelihood) terjadinya risiko, dan (3) penetapan tingkat risiko atau peringkat prioritas yang merupakan gabungan konsekuensi dan kemungkinan. Ada tiga metode atau pendekatan dalam analisis risiko yang dapat digunakan untuk menetapkan tingkat risiko, yaitu kualitatif, semi kuantitatif, dan kuantitatif. Metode ini dapat dilakukan pada berbagai tingkatan kedalaman bergantung pada informasi risiko, data, dan biaya yang tersedia.. Dalam. contoh. pedoman. teknis. ini,. untuk. menetapkan skala konsekuensi/dampak, kemungkinan, dan tingkat risiko dilakukan dengan pendekatan kualitatif. Berikut ini diuraikan hubungan penetapan skala dan indikator kinerja kunci sebagai ukuran keberhasilan tujuan. 1) Tujuan, Indikator Kinerja Kunci, dan Skala Konsekuensi/ Dampak Dalam PP Nomor 60 Tahun 2008, pasal 13 ayat (3) huruf d disebutkan bahwa penetapan tujuan pada tingkatan kegiatan sebagaimana dimaksud dalam pasal 15, huruf d mengandung unsur kriteria pengukuran. 2.1 Identifikasi Risiko. 41.

Dengan demikian, hubungan tujuan instansi pemerintah atau organisasi dengan proses pengelolaan risiko adalah melalui kriteria pengukuran. Kriteria pengukuran dimaksud. merupakan. ukuran. keberhasilan. dan. biasanya disebut dengan indikator kinerja kunci (key performance. indicators).. Pada. dasarnya,. kriteria. keberhasilan merupakan suatu ikhtisar tujuan jangka panjang. instansi. yang. digunakan. sebagai. dasar. mengukur pencapaian tujuan instansi dan dampaknya. Dengan menggabungkan kriteria keberhasilan dan skala konsekuensi, maka akan diketahui tingkat konsekuensi risiko yang mungkin terjadi. Kriteria keberhasilan atau indikator. kinerja. kunci. dapat. dinyatakan. dengan. sejumlah kriteria yang lebih kecil meliputi semua aspek keberhasilan, sehingga tidak ada dampak yang tidak signifikan akan terlewatkan. Kriteria keberhasilan dapat berupa masalah keuangan atau. ekonomi, keluaran. (barang atau jasa), ketaatan pada etika atau peraturan, citra, reputasi, dan hubungan kepada masyarakat. Kriteria keberhasilan atau indikator kinerja kunci pada instansi. pelayanan. publik,. misalnya. antara. lain. mempertahankan kualitas pelayanan, mempertahankan dan meningkatkan keyakinan masyarakat terhadap organisasi. Demikian juga halnya dengan penetapan prioritas risiko, dasar utamanya adalah tujuan organisasi dimana tujuan organisasi kemudian dinyatakan dalam ukuran keberhasilan atau indikator kinerja kunci.. 2.1 Identifikasi Risiko. 42.

Jika. kriteria. keberhasilan. telah dibangun. atau. ditetapkan, maka dapat diketahui seberapa buruk suatu risiko memengaruhi setiap kriteria yang telah ditetapkan. Tingkat konsekuensi/dampak pada masing-masing kriteria dapat disusun dalam skala tiga atau deskriptor (tinggi, sedang, dan rendah) atau skala lima (tidak signifikan,. minor,. moderat,. mayor,. dan. sangat. berbahaya/katastropik). Dalam mengembangkan skala ini, instansi pemerintah harus mendefinisikan secara jelas apa yang dimaksud dengan sangat berbahaya/ signifikan/katastropik menguraikan. dan. signifikan,. tidak. signifikan,. sedang,. kurang. sebelum signifikan.. Demikian juga dengan tinggi, sedang, dan rendah. Contoh :  Deskripsi Dampak dalam Skala Tiga Konsekuensi/ Dampak. Deskripsi . Rendah.  . Sedang.  . Tinggi. . Pengaruh terhadap strategi dan aktivitas operasi rendah Pengaruhnya terhadap kepentingan para pemangku kepentingan rendah Pengaruh terhadap strategi dan aktivitas operasi sedang Pengaruhnya terhadap kepentingan para pemangku kepentingan sedang Pengaruh terhadap strategi dan aktivitas operasi tinggi Pengaruhnya terhadap kepentingan para pemangku kepentingan tinggi.  Deskripsi Dampak dalam Skala Lima (Misalnya, skala untuk organisasi pelayanan umum, dimana salah satu ukuran atau kriteria keberhasilannya adalah kualitas pelayanan). 2.1 Identifikasi Risiko. 43.

Konsekuensi/ Dampak. Kualitas pelayanan Pada prinsipnya, defisiensi atau tidak adanya pelayanan rendah, tanpa ada komentar Pelayanan dianggap memuaskan oleh masyarakat umum, tetapi pegawai instansi mewaspadai adanya defisiensi. Tidak signifikan. Kurang signifikan. Sedang. Pelayanan dianggap kurang memuaskan oleh masyarakat umum dan pegawai organisasi. Signifikan. Masyarakat umum menganggap pelayanan organisasi tidak memuaskan. Sangat signifikan/ berbahaya/Katastropik. Pelayanan turun sangat jauh di bawah standar yang diterima. 2) Skala Kemungkinan Demikian juga halnya skala kemungkinan terjadinya risiko, dapat yang. disusun dengan kategorisasi atau skala. dibagi. dalam. skala. tiga. (rendah,. sedang/menengah, dan tinggi) atau skala lima (sangat jarang, jarang, kadang-kadang, sering dan sangat sering).. Suatu. skala. dapat. digunakan. untuk. memeringkat kemungkinan dengan kejadian tunggal atau probabilitas (single events) dan kejadian berulang atau frekuensi (recurrent events). Contoh :  Deskripsi Kemungkinan dengan Skala Tiga (Kualitatif) Kemungkinan. Deskripsi. Rendah. Tidak pernah (jarang terjadi). Sedang. Kemungkinan terjadinya sedang. Tinggi. Kemungkinan tinggi terjadi/hampir pasti terjadi. 2.1 Identifikasi Risiko. 44.

 Deskripsi Kemungkinan dengan Skala Lima Kemung- Kejadian berulang kinan (Frekuensi) Sangat Kemungkinan jarang terjadi >25 tahun ke depan Jarang Mungkin terjadi sekali dalam 25 tahun. Kadangkadang. Mungkin terjadi sekali dalam 10 tahun. Sering. Mungkin terjadi kira-kira sekali dalam setahun Dapat terjadi beberapa kali dalam setahun. Sangat sering. Kejadian tunggal (Probabilitas) Diabaikan  Probabilitas sangat kecil, mendekati nol Kecil kemungkinan, tetapi tidak diabaikan  Probabilitas rendah, tetapi lebih besar daripada nol Kemungkinan kurang daripada, tetapi masih cukup besar  Probabilitas kurang daripada 50%, tetapi masih cukup tinggi Mungkin tidak  Peluang 50/50 Kemungkinan lebih daripada atau kurang  Probabilitas lebih daripada 50%. Peringkat 1. 2. 3. 4. 5. 3) Tingkat Peringkat Risiko Berdasarkan skala yang ditetapkan di atas, semua risiko dimasukkan ke dalam diagram pemetaan risiko. dalam. bentuk. matriks.. Dengan. demikian,. dihasilkan peta risiko dan urutan prioritas untuk masingmasing risiko, misalnya dengan penggolongan sangat tinggi/ekstrim, tinggi, sedang, dan rendah.. 2.1 Identifikasi Risiko. 45.

Contoh Matriks Tingkat Risiko Kemungkinan. Konsekuensi/Dampak Tidak Signifikan. Kurang Signifikan. Sedang. Katastropik/ Sangat Signifikan. Signifikan. Sangat sering. Sedang. Tinggi. Sangat Tinggi. Sangat tinggi. Sangat tinggi. Sering. Sedang. Sedang. Tinggi. Sangat Tinggi. Sangat tinggi. Kadangkadang. Rendah. Sedang. Tinggi. Tinggi. Sangat Tinggi. Jarang. Rendah. Rendah. Sedang. Sedang. Tinggi. Sangat jarang. Rendah. Rendah. Rendah. Sedang. Tinggi. Penggolongan di atas dapat menjadi acuan bagi manajemen. atau. pimpinan. instansi. pemerintah.. Misalnya:  Risiko prioritas sangat tinggi/ekstrim adalah risiko yang memerlukan perhatian manajemen puncak dan tidak diterima sebagai bagian kegiatan rutin perhatian manajemen puncak.  Risiko prioritas tinggi adalah risiko yang sangat kritis atau serius yang diterima sebagai kegiatan rutin tanpa perhatian manajemen puncak, tetapi menjadi tanggung jawab manajemen operasional.  Risiko prioritas sedang adalah risiko yang diharapkan menjadi. bagian. operasi. rutin,. tetapi. menjadi. tanggung jawab manajemen yang terkait dengan risiko;. 2.1 Identifikasi Risiko. 46.

 Risiko prioritas rendah adalah risiko yang akan ditangani manajemen yang terkait, tetapi diharapkan pengendalian yang cukup tetap dilakukan. Pada umumnya, risiko prioritas ekstrim/sangat tinggi dan risiko prioritas tinggi perlu dilakukan penanganan segera atau dilakukan analisis lebih rinci. Sebaliknya, risiko prioritas rendah pada umumnya diabaikan tanpa tindakan lebih lanjut, tetapi ditangani terpisah dari kegiatan rutin untuk meyakinkan bahwa tidak terdapat perubahan yang mengakibatkan risiko tersebut menjadi serius. Di samping itu, “bahasa warna” juga dapat digunakan untuk pemetaan tingkat risiko yang dapat dirumuskan sebagai berikut:  Risiko rendah warna hijau, berarti risiko jarang atau tidak bermasalah (business as usual).  Risiko sedang warna kuning, berarti beberapa risiko harus. diperhatikan. sehingga. perlu. dilakukan. tindakan.  Risiko tinggi warna merah, berarti risiko berbahaya sehingga perlu tindakan segera. Contoh: Konsekuensi/Dampak Kemungkinan Rendah. Sedang. Tinggi. Kuning. Merah. Merah. Kadang-kadang. Hijau. Kuning. Merah. Jarang. Hijau. Hijau. Kuning. Sering. 2.1 Identifikasi Risiko. 47.

Sebagaimana telah diuraikan di atas, kriteria evaluasi risiko adalah keputusan mengenai tingkat risiko yang dapat diterima atau akseptabilitas/toleransi risiko dan jika dikaitkan dengan penanganan risiko, adalah menetapkan mana risiko yang dapat ditolerir dan mana yang harus segera ditangani. Dalam PP Nomor 60 Tahun 2008 pasal 17 ayat (2) dan penjelasannya disebutkan bahwa pimpinan instansi pemerintah menerapkan prinsip-prinsip kehatihatian dalam menentukan tingkat risiko yang dapat diterima. Yang dimaksud dengan “tingkat risiko yang dapat diterima” adalah batas toleransi risiko dengan mempertimbangkan aspek biaya dan manfaat. Demikian juga, dalam Daftar Uji Pengendalian Intern Pemerintah PP Nomor 60 Tahun 2008 disebutkan bahwa hal-hal yang perlu dipertimbangkan dalam menentukan tingkat risiko yang dapat diterima adalah sebagai berikut: 1) Pendekatan penentuan tingkat risiko yang dapat diterima. bervariasi. antar. instansi. pemerintah,. bergantung pada varian dan toleransi risiko. 2) Pendekatan yang diterapkan dirancang agar tingkat risiko yang dapat diterima tetap wajar dan pimpinan instansi. pemerintah. bertanggung. jawab. atas. penetapannya. 3) Kegiatan pengendalian khusus untuk mengelola serta mengurangi risiko secara keseluruhan dan di setiap tingkatan kegiatan, sudah ditetapkan dan penerapannya selalu dipantau.. 2.1 Identifikasi Risiko. 48.

Sebagai tambahan, dalam menetapkan sampai berapa rendah nilai suatu risiko sehingga manajemen atau. pimpinan. memerhatikan. instansi risiko. pemerintah yang. masih. perlu. bersangkutan. atau. mengabaikannya adalah bergantung pada dua faktor utama.. Pertama,. ketersediaan. sumber. daya.. Manajemen dapat memerhatikan dan mengalokasikan sumber dayanya untuk menangani risiko dengan nilai yang kecil. Namun, manajemen harus yakin bahwa biaya yang dialokasikan untuk menangani risiko yang bersangkutan lebih kecil dibandingkan dengan manfaat, hasil,. atau. penghematan. yang. diharapkan. dari. terhindarnya risiko yang bersangkutan. Kedua, selera manajemen instansi terhadap risiko (risk appetite). Semakin tinggi selera manajemen terhadap risiko, semakin berani manajemen menangani risiko ini. Ini artinya, batas bawah nilai risiko semakin tinggi. Nilai batas risiko di sini adalah nilai batas risiko antara risiko yang masuk ke dalam kriteria risiko dalam prioritas penanganan dan risiko yang dapat diabaikan. 2. Identifikasi Risiko a. Tujuan Identifikasi Risiko Risiko tidak akan dapat dikelola jika risiko belum diidentifikasi. Jika konteks organisasi telah diidentifikasi, maka tahap berikutnya adalah memanfaatkan informasi untuk mengidentifikasi risiko sebanyak mungkin.. 2.1 Identifikasi Risiko. 49.

Identifikasi risiko ini dapat dilakukan dengan mengidentifikasi. lokasi,. waktu,. sebab,. dan. proses. terjadinya peristiwa risiko. Dengan melakukan identifikasi risiko, maka akan diperoleh sekumpulan informasi tentang kejadian. risiko,. informasi. mengenai. penyebab,. dan. konsekuensi apa saja yang bisa ditimbulkan oleh risiko tersebut. Tujuan utama identifikasi risiko adalah untuk mengembangkan suatu daftar yang komprehensif atas sumber risiko dan kejadian yang mungkin mempunyai dampak terhadap pencapaian dari masing-masing tujuan (atau unsur-unsur utama), yang telah diidentifikasi dalam konteks atau penetapan tujuan. Dengan kata lain, tujuan identifikasi risiko adalah untuk mengidentifikasi seluruh jenis risiko yang mungkin dapat memengaruhi tujuan instansi pemerintah dan tujuan pada tingkatan kegiatan secara komprehensif. Melalui identifikasi risiko, maka instansi pemerintah dapat memeroleh risiko, baik dari faktor eksternal maupun internal, serta risiko secara keseluruhan dan pada setiap tingkatan kegiatan pentingnya. b. Prosedur Identifikasi Risiko Dari keseluruhan tahapan penilaian risiko, tahap identifikasi risiko merupakan tahapan yang memakan waktu lebih banyak. Tahap identifikasi risiko merupakan tahapan yang paling krusial karena pada tahap inilah profil risiko mulai dibangun.. 2.1 Identifikasi Risiko. 50.

Pada dasarnya, identifikasi risiko dapat dilakukan dengan cara retrospektif (retrospectively) dan prospektif (prospectively). Dalam (HB 436:2004, hal 7) dikatakan bahwa. “Managing risk involves identifying and being. prepared for what might happen rather than always managing retrospectively.” Mengelola risiko mencakup identifikasi dan selalu siap terhadap apa yang akan terjadi lebih daripada sekedar pengelolaan rutin. 1) Identifikasi Risiko Retrospektif Identifikasi risiko retrospektif (retrospective risks) adalah risiko-risiko yang sebelumnya telah pernah terjadi, seperti insiden atau kecelakaan. Identifikasi risiko retrospektif biasanya merupakan cara yang sangat umum dan mudah untuk mengidentifikasi risiko. Adalah lebih mudah untuk memercayai sesuatu jika sesuatu tersebut telah terjadi sebelumnya, sehingga lebih mudah untuk mengkuantifikasi dampaknya dan melihat bahaya yang menyebabkannya. Sumber informasi. risiko retrospektif. meliputi antara. lain: (1)Daftar atau register insiden/bahaya; (2)Laporan audit, hasil evaluasi, dan penilaian lainnya; (3)Keluhan pelanggan; (4)Dokumen dan laporan; (5)Staf lama atau survei klien; dan (6)Media profesional atau surat kabar, seperti jurnal atau websites.. 2.1 Identifikasi Risiko. 51.

2) Identifikasi Risiko Prospektif Risiko prospektif (prospective risks) biasanya lebih sulit untuk diidentifikasi. Risiko ini adalah sesuatu yang belum terjadi, tetapi mungkin terjadi beberapa waktu yang akan datang. Identifikasi akan meliputi semua risiko, apakah risiko tersebut akan dikelola sekarang atau tidak. Dasar pemikirannya di sini adalah mencatat semua risiko signifikan dan memantau atau mereviu efektivitas pengendaliannya. Metode untuk mengidentifikasi risiko prospektif, meliputi antara lain: (1)melakukan. brainstorming. dengan. staf. atau. pemangku kepentingan eksternal; (2)riset ekonomi, politik, legislatif, dan lingkungan operasi; (3)melakukan wawancara dengan orang-orang yang relevan; (4)melakukan. survei. staf. atau. klien. untuk. mengidentifikasi isu-isu atau problem yang akan diantisipasi; (5)bagan arus suatu proses; (6)mereviu desain sistem atau membuat teknik-teknik analisis sistem; dan (7)analisis SWOT.. 2.1 Identifikasi Risiko. 52.

Secara lebih rinci, berikut ini diuraikan. prosedur. yang dapat dilakukan dalam melakukan identifikasi risiko, yaitu sebagai berikut: (1)Menentukan Unit Pemilik Risiko Proses penilaian risiko dimulai dengan menentukan unit di dalam organisasi atau instansi pemerintah dimana risiko akan diidentifikasi, yang dikenal dengan istilah unit risiko atau unit pemilik risiko (UPR).. Semua risiko yang ada pada unit pemilik. risiko merupakan milik dari unit tersebut dan menjadi tanggung jawab dari pimpinan unit risiko tersebut. Dengan kata lain, suatu unit risiko adalah juga pemilik. risiko (risk owner) yang terjadi di unit. tersebut. (2)Menentukan Semua Sumber-Sumber Risiko Beberapa langkah yang dapat dilakukan dalam menentukan sumber-sumber risiko adalah: (a)Identifikasi setiap sumber risiko yang melekat (inherent sources of risk), termasuk lokasi, dan proses terjadinya risiko, baik yang berasal dari lingkungan. eksternal. maupun. internal,. yang. berhubungan dengan pencapaian tujuan atau tugas pokok dan fungsi yang telah ditetapkan dalam penetapan konteks. (b)Identifikasi semua sumber risiko yang berasal dari semua pemangku kepentingan, baik eksternal maupun internal yang relevan (termasuk persepsi para pemangku kepentingan atas risiko) yang mempunyai konsekuensi dan kemungkinan yang buruk atas operasi instansi pemerintah. 2.1 Identifikasi Risiko. 53.

(c) Identifikasi risiko yang terkait atau interdependensi antara kejadian dan risiko yang tidak jelas yang kemungkinannya mempunyai dampak terhadap risiko. utama,. pemborosan,. antara. lain. penyalahgunaan,. penggelapan, dan. salah. kelola (mismanagement). Hubungan risiko ini juga akan memengaruhi pilihan pengendalian apakah instansi pemerintah mampu mengendalikannya. (d)Identifikasi adanya satu sumber risiko yang kemungkinannya mempunyai dampak banyak, sumber risiko banyak mempunyai dampak sedikit, dan sumber risiko banyak mempunyai dampak yang banyak juga. (3)Klasifikasikan risiko-risiko yang telah diidentifikasi ke dalam beberapa kategori risiko, misalnya risiko strategis. atau. kebijakan,. risiko. operasional,. keuangan, kepatuhan, dan fraud. (4)Dapatkan informasi tambahan yang sah (valid) untuk mengidentifikasi risiko dan untuk memahami kemungkinan dan konsekuensinya. Informasi ini harus relevan, komprehensif, akurat, dan tepat waktu jika sumber daya memungkinkan. Informasi yang ada harus diakses dan, bila perlu, informasi baru dikembangkan. (5)Yakinkan bahwa orang-orang yang terlibat dalam mengidentifikasi risiko mempunyai pengetahuan mengenai tujuan, tugas pokok dan fungsi, kegiatan, serta proyek yang sedang ditelaah. 2.1 Identifikasi Risiko. 54.

(6)Identifikasi Faktor Penyebab Identifikasi apa faktor penyebab utama atau akar penyebab. (root. peristiwa. risiko,. cause) baik. terjadinya. yang. dapat. serangkaian dikendalikan. maupun di luar kendali instansi pemerintah, misalnya kejadian yang tidak dapat diantisipasi dan tidak adanya. pengendalian. tertentu.. Lakukan. juga. dokumentasi semua faktor-faktor penyebab yang dapat dikendalikan maupun di luar kendali instansi. Dalam menyelidiki faktor penyebab, interdependensi antara unsur-unsur kejadian perlu diidentifikasi. (7)Identifikasi Pengendalian yang Sudah Ada Identifikasi. pengendalian. yang. ada. (existing. controls), baik untuk masing-masing sumber risiko maupun masing-masing faktor penyebab risiko, misalnya. apakah. pengendalian. atas. instansi sumber. telah risiko. melakukan atau. faktor. penyebab risiko. (8)Pahami risiko-risiko yang timbul di luar kendali instansi, namun mempunyai dampak spesifik yang memerlukan. perencanaan. kontinjensi. atau. penanganan khusus. (9)Lakukan penilaian atas cukupnya pengendalian yang ada. (10) Buat simpulan hasil identifikasi risiko. Buat. simpulan. hasil. identifikasi. risiko. dengan. membuat daftar risiko.. 2.1 Identifikasi Risiko. 55.

c. Pertanyaan-pertanyaan Kunci dalam Identifikasi Risiko Pertanyaan-pertanyaan. kunci. berikut. merupakan. referensi awal dalam melakukan identifikasi risiko dan dapat dikembangkan lebih lanjut sesuai dengan situasi, kondisi, dan risiko masing-masing instansi, antara lain: 1) Apa, kapan, dimana, dan kapan kemungkinan terjadinya risiko, mengapa, dan bagaimana dapat terjadi? 2) Apa sumber dari masing-masing risiko? 3) Pengendalian apa yang ada untuk mengatasi masingmasing risiko? 4) Alternatif apa, jika pengendalian yang layak tidak tersedia? 5) Apa kewajiban atau akuntabilitas instansi pemerintah kepada pihak internal dan eksternal? 6) Apakah perlu dilakukan penelitian lebih lanjut atas risiko spesifik? 7) Apa ruang lingkup penelitian tersebut dan sumber daya apa yang diperlukan? 8) Bagaimana keandalan informasi yang ada? d. Cara Membuat Pernyataan Risiko 1) Nyatakan. secara. spesifik. risiko. yang. dapat. menghambat tujuan organisasi. Gunakan kata-kata penghubung seperti “akan mengakibatkan”, “dapat mengarah. kepada”,. “dapat. menghambat”,. “akan. menghalangi”, “akan mencegah”. Jangan menyatakan suatu kondisi umum yang tidak menguntungkan sebagai suatu risiko.. 2.1 Identifikasi Risiko. 56.

Contoh: Pernyataan risiko yang buruk: - Pemotongan anggaran - Proses birokrasi berbelit Pernyataan yang lebih baik: - Kemungkinan pemotongan anggaran sebesar 10% akan dapat menghambat pencapaian X. - Proses persetujuan yang rumit akan memperlambat layanan Y yang seharusnya cepat. 2) Tentukan momen/waktu yang tepat dalam rangkaian kejadian yang dapat dikendalikan oleh instansi. Jangan nyatakan lebih dari satu risiko dalam suatu waktu. Contoh: Pernyataan risiko yang buruk: - Kecelakaan XYZ menyebabkan kerusakan lingkungan, berbahaya terhadap kesehatan, dan kemungkinan masalah hukum (litigasi) yang dapat berdampak hilangnya reputasi, serta berisiko secara politik. Pernyataan yang lebih baik: - Kegagalan dalam memastikan pengendalian lingkungan yang efektif akan mengakibatkan kecelakaan XYZ. 3) Kenali risiko-risiko yang pada dasarnya berada di luar kendali instansi, namun memiliki dampak spesifik sehingga memerlukan perencanaan kontinjensi. Contoh: Pernyataan risiko yang buruk: - Ada kemungkinan kekurangan tenaga listrik yang akan memengaruhi segalanya, sehingga kementerian tidak dapat memproses pembayaran. (Catatan: pernyataan ini ditolak karena berada di luar kendali instansi serta di luar lingkupnya). 2.1 Identifikasi Risiko. 57.