Konsep dan Implementasi Risk Assessment

(1)

i

KODE M : 2.220

Konsep dan

Implementasi

Risk Assessment

2010

PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN

BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN

(2)

(3)

Pusdiklatwas BPKP – Tahun 2010 iii

Judul Modul : Konsep

dan

Implementasi

Risk

Assessment

Penyusun : Nurharyanto, Ak.

Perevisi 1 : Sigit Susilo Broto, Ak., M Comm. : Drs. Sura P, M.B.A Perevisi 2 : Riki Antariksa, Ak.

Pereviu : Drs. Sura P, M.B.A. Editor : Rini Septowati, Ak., MM.

Dikeluarkan oleh Pusat Pendidikan dan Pelatihan

Pengawasan BPKP dalam rangka

Diklat Sistem Pengendalian Intern Pemerintah, dan

Diklat Penilaian Risiko

Edisi Pertama : Tahun 2008

Edisi kedua : Tahun 2009

Edisi ketiga : Tahun 2010

dang-Undang Nomor 1 Tahun 2004 tentang Perbendaharaan Negara, Dilarang keras mengutip, menjiplak, atau menggandakan sebagian atau seluruh isi

modul ini, serta memperjualbelikan tanpa izin tertulis dari Pusat Pendidikan dan Pelatihan Pengawasan BPKP

(4)

Pusdiklatwas BPKP – Tahun 2010 iv

DAFTAR ISI

KATA PENGANTAR ………. ii DAFTAR ISI ……….. iv DAFTAR TABEL ……… v DAFTAR GAMBAR ……….. v BAB I. PENDAHULUAN ……… 1 A. Latar Belakang ……….. 1

B. Kompetensi Dasar dan Indikator Keberhasilan ………. 3

C. Deskripsi Singkat Struktur Modul ……… 4

D. Metodologi Pemelajaran ……….. 5

BAB II. KONSEP RISIKO ……….. ₆

A. Pengertian Berkaitan dengan Risiko ………. 6

B. Unsur Risiko ……….. 7

C. Kategorisasi Risiko ………. 8

D. Risk Appetite dan Risk Tolerance ……….. 11

E. Kriteria Risiko ……….. 14

F. Sumber Risiko, Penyebab, dan Faktor Risiko ……….. 21

G. Risiko Inheren dan Risiko Residual ………. 24

H. Latihan……….………. 25

BAB III. KONSEP PENILAIAN RISIKO ………... 26

A. Pengertian Penilaian Risiko ………. 26

B. Tujuan dan Manfaat Penilaian Risiko ………. 27

C. Tahapan/Langkah Penilaian Risiko ………. 28

D. Latihan………..……… 33

BAB IV. METODOLOGI PENILAIAN RISIKO ……….. 34

A. Hal-hal Terkait Penilaian Risiko ………... 34

B. Metode Penilaian Risiko ……… 37

C. Teknik Penilaian Risiko ………. 44

D. Penggunaan Alat Bantu Komputer (Program Software) ……….. 46

BAB V. HAL-HAL YANG PERLU DIBANGUN DALAM IMPLEMENTASI PENILAIAN RISIKO ……….. 48 A. Kebijakan Risiko………... 48

B. Perencanaan dan Sumber Daya ………... 48

C. Program Implementasi ……….. 49

(5)

Pusdiklatwas BPKP – Tahun 2010 v

DAFTAR TABEL

Tabel 2.1 Matriks Risiko ……….... 13

Tabel 2.2 Contoh Kriteria bagi Proyek Skala Medium ……….... 16

Tabel 2.3 Contoh Tujuan Organisasi Berkaitan Dengan Kriteria ……… 17

Tabel 2.4 Contoh Kriteria Analisis Risiko ……….. 18

Tabel 2.5 Contoh Kriteria Penerimaan (Acceptance) Risiko ………... 18

Tabel 2.6 Contoh Skor Dampak Risiko dan Definisi/Kriterianya ……… 19

Tabel 2.7 Ukuran-Ukuran Kualitatif Likelihood ……….. 21

Tabel 4.1 Contoh Deskripsi Probabilitas ……… 38

Tabel 4.2 Contoh Deskripsi Dampak ………. 38

Tabel 4.3 Contoh Matriks Analisis Risiko Secara Kualitatif ……… 38

Tabel 4.4 Contoh Matriks Analisis Risiko Secara Semi Kuantitatif ……… 40

DAFTAR GAMBAR

Gambar 1.1. Kubus SPIP………. 2

(6)

Pusdiklatwas BPKP – Tahun 2010 1

BAB I

PENDAHULUAN

A. Latar Belakang

Peraturan Pemerintah No 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP), khususnya bagian ketiga pasal 13 ayat (1) menyebutkan bahwa pimpinan instansi pemerintah wajib melakukan penilaian risiko. Dalam Pasal 3 PP tersebut, disebutkan bahwa penilaian risiko adalah kegiatan penilaian atas kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran Instansi Pemerintah. Lebih lanjut dalam PP tersebut disebutkan bahwa penilaian risiko terdiri dari identifikasi risiko dan analisis risiko.

Sistem pengendalian intern adalah proses yang integral pada tindakan dan kegiatan yang dilakukan secara terus-menerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas tercapainya tujuan instansi melalui kegiatan yang efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan perundang-undangan.

SPIP terdiri atas lima unsur, yaitu: 1. unsur lingkungan pengendalian; 2. unsur penilaian risiko;

3. unsur kegiatan pengendalian; 4. unsur informasi dan komunikasi;

(7)

Pusdiklatwas BPKP – Tahun 2010 2 SPIP diselenggarakan pada baik pada lingkup instansi (entitas) maupun pada tingkat kegiatannya. Tujuan, unsur, dan lingkup tersebut dapat diintegrasikan dalam bentuk kubus seperti pada Gambar 1.1. Penerapan unsur-unsur tersebut dilaksanakan menyatu (integrated) dan menjadi bagian integral dari kegiatan instansi pemerintah.

Seperti disebutkan di muka, penilaian risiko terdiri atas identifikasi risiko dan analisis risiko. Dalam rangka penilaian risikonya, pimpinan Instansi Pemerintah menetapkan tujuan instansi dan tujuan pada tingkat kegiatan dengan berpedoman pada peraturan perundang-undangan yang berlaku.

Gambar 1.1. Kubus SPIP

Tujuan instansi pemerintah memuat pernyataan dan arahan yang spesifik, terukur, dapat dicapai, realistis, dan terikat waktu. Tujuan tersebut wajib dikomunikasikan kepada seluruh pegawainya. Untuk mencapai tujuan instansi pemerintah, pimpinan perlu menetapkan:

 strategi operasional yang konsisten,  strategi manajemen terintegrasi, dan

(8)

Pusdiklatwas BPKP – Tahun 2010 3  rencana penilaian risiko.

Penetapan tujuan pada tingkat kegiatan sekurang-kurangnya dilakukan dengan memperhatikan hal-hal berikut.

a. Berdasarkan pada tujuan dan rencana strategis Instansi Pemerintah. b. Saling melengkapi, saling menunjang, dan tidak bertentangan satu

dengan lainnya.

c. Relevan dengan seluruh kegiatan utama Instansi Pemerintah; d. Mengandung unsur kriteria pengukuran.

e. Didukung sumber daya Instansi Pemerintah yang cukup.

f. Melibatkan seluruh tingkat pejabat dalam proses penetapannya.

Identifikasi risiko sekurang-kurangnya dilaksanakan dengan:

 menggunakan metodologi yang sesuai untuk tujuan instansi pemerintah dan tujuan pada tingkatan kegiatan secara komprehensif;

 menggunakan mekanisme yang memadai untuk mengenali risiko dari faktor eksternal dan faktor internal; dan

 menilai faktor lain yang dapat meningkatkan risiko.

Analisis risiko dilaksanakan untuk menentukan dampak dari risiko yang telah diidentifikasi terhadap pencapaian tujuan instansi pemerintah. Pimpinan instansi pemerintah menerapkan prinsip kehati-hatian dalam menentukan tingkat risiko yang dapat diterima (acceptable risks).

B. Kompetensi Dasar dan Indikator Keberhasilan

Setelah mempelajari modul ini diharpkan peserta mampu memahami dan menjelaskan konsep-konsep terkait penilaian risiko dan memahami bagaimana mengimplementasikan penilaian risiko sesuai PP No. 60 Tahun 2008.

(9)

Pusdiklatwas BPKP – Tahun 2010 4 Indikator keberhasilan dari kompetensi dasar tersebut, adalah peserta diklat memiliki kemampuan sebagai berikut.

1. Mampu memahami dan menjelaskan konsep-konsep terkait risiko, mencakup definisi, unsur, kategorisasi, risk appetite, risk tolerance, kriteria, dan sumber, penyebab, faktor risiko, risiko inheren, dan risiko residual.

2. Mampu memahami dan menjelaskan penilaian risiko dan tahapannya, mencakup penetapan tujuan, identifikasi, dan analisis risiko.

3. Mampu memahami dan menjelaskan metodologi penilaian risiko, mencakup metode dan teknik penilaian risiko.

4. Mampu menyusun peta risiko.

5. Mampu menjelaskan hal-hal yang perlu dibangun dalam mengimplementasikan penilaian risiko.

C. Deskripsi Singkat Struktur Modul

Modul ini membekali peserta dengan pengertian, pemahaman dan konsep-konsep tentang penilaian risiko yang terdiri atas 4 materi bahasan yang dibagi dalam bentuk bab, sebagai berikut.

Bab 1 Pendahuluan, membahas mengenai latar belakang, tujuan pemelajaran umum dan khusus, deskripsi singkat struktur modul, dan metodologi pembelajaran yang digunakan dalam pelaksanaan diklat SPIP.

Bab 2 Konsep Risiko, membahas pengertian risiko, unsure risiko, kategorisasi risiko, konsep risk appetite dan risk tolerance, kriteria, sumber, penyebab dan faktor risiko, serta risiko inheren dan risiko residual.

Bab 3 Konsep Penilaian Risiko, membahas tentang pengertian penilaian risiko, tujuan dan manfaat, serta tahapan/langkah pelaksanaan penilaian risiko.

(10)

Pusdiklatwas BPKP – Tahun 2010 5 Bab 4 Metodologi Penilaian Risiko, membahas pengertian terkait, metode-metode penilaian risiko, teknik-teknik penilaian risiko, dan penggunaan alat bantu komputer dalam penilaian risiko.

Bab 5 Hal-Hal yang Perlu Dibangun dalam Implementasi Penilaian

Risiko, membahas tentang membangun kebijakan risiko, perencanaan dan sumber daya, program implementasi dan peran pimpinan serta perubahan kultur yang perlu dibangun dalam mengimplementasikan penilaian risiko.

D. Metodologi Pemelajaran

Agar peserta mampu memahami konsep penilaian risiko dan implementasinya, proses belajar mengajar menggunakan pendekatan pemelajaran orang dewasa (andragogi). Dengan metode ini, peserta didorong untuk berperan serta secara aktif melalui komunikasi dua arah. Metode pemelajaran ini menerapkan kombinasi proses belajar mengajar dengan cara ceramah, tanya jawab, dan diskusi/latihan pemecahan kasus. Instruktur akan membantu peserta dalam memahami materi dengan metode ceramah dan pembahasan contoh kasus. Dalam proses ini peserta diberi kesempatan untuk mengajukan pertanyaan atau menanggapi. Agar proses pendalaman materi dapat berlangsung dengan lebih baik, dilakukan pula diskusi kelompok sehingga peserta benar-benar dapat secara aktif terlibat dalam proses belajar-mengajar. Dalam modul ini disertakan pula soal-soal teori dan pertanyaan untuk diskusi dalam rangka membantu peserta memahami materi.

(11)

BAB II

KONSEP RISIKO

A. Pengertian Berkaitan dengan Risiko

Di berbagai literatur terdapat banyak pengertian risiko. Dalam beberapa pedoman atau kerangka (framework), risiko didefinisikan sebagai berikut.

 Effect of uncertainty upon objectives (AS/NZS ISO 31000: Risk Management – Principles and Guidelines on Implementation).

 The chance of something happening that will have an impact on objectives. A risk is often specified in terms of an event or circumstance and the consequences that may flow from it. Risk is measured in terms of a combination of the consequences of an event and their likelihood. (AS/NZS 4360: 2004).

 Events that may have a negative impact (COSO II – ERM).

 Kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran instansi pemerintah (PP 60/2008) .

Risiko mengacu pada ketidakpastian (uncertainty). Ketidakpastian diartikan sebagai kurangnya pengetahuan dalam menjelaskan sesuatu atau hasilnya di masa depan, dengan banyak kemungkinan hasil, sementara risiko adalah ketidakpastian yang kemungkinan hasilnya akan berakibat tidak diinginkan atau mendatangkan kerugian yang signifikan.

Indikator Keberhasilan

Setelah mempelajari bab ini peserta diklat diharap mampu menjelaskan konsep-konsep terkait risiko, mencakup definisi, unsur, kategorisasi, risk

appetite, risk tolerance, kriteria, dan sumber, penyebab, faktor risiko, risiko

(12)

Pusdiklatwas BPKP – Tahun 2010 7 Meskipun berkonotasi negatif, risiko bukan merupakan sesuatu yang

harus dihindari melainkan harus dikelola melalui suatu mekanisme yang

dinamakan pengelolaan atau pengendalian risiko.

Risiko seringkali diungkapkan dalam bentuk suatu kejadian atau

peristiwa dan dampak atau konsekuensi yang mengikutinya. Oleh

karenanya, risiko diukur dengan mengombinasikan dampak suatu peristiwa dengan kemungkinan kejadiannya (likelihood atau probabilitas).

B. Unsur Risiko

Dari beberapa pengertian risiko di atas, dapat disimpulkan bahwa risiko terdiri dari unsur-unsur berikut ini.

 Kemungkinan kejadian atau peristiwa.

 Dampak atau konsekuensi (jika terjadi, risiko akan membawa akibat atau konsekuensi).

 Kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk probabilitas).

Untuk pembahasan berikutnya, unsur-unsur risiko selalu terintegrasi dalam pengertian risiko. Perlu dicatat bahwa unsur-unsur tersebut harus selalu ada ketika instansi melakukan penilaian risiko. Jika salah satu unsur tidak terpenuhi maka tidak atau belum dapat dikatakan sebagai risiko. Contoh:

“Risiko kebakaran akan berdampak kerugian material dan korban jiwa, dengan kemungkinan kejadian tinggi pada musim kemarau.”

Dari pernyataan tersebut, dapat dilihat bahwa semua unsur risiko terpenuhi, yaitu:

 adanya kemungkinan kejadian atau peristiwa: risiko kebakaran;  adanya dampak: kerugian material dan korban jiwa;

(13)

Pusdiklatwas BPKP – Tahun 2010 8  adanya kemungkinan kejadian: potensi kejadian tinggi pada musim

kemarau.

Selain dari unsur-unsur risiko di atas, ada satu hal lagi yang juga mutlak ada dalam penilaian risiko, yaitu adanya tujuan, baik tujuan tingkat instansi maupun tujuan di tingkat kegiatannya. Hal ini akan dibahas lebih lanjut dalam Bab III.

C. Kategorisasi Risiko

Ada beberapa kategori risiko tergantung dari sudut pandang mana kita melihatnya.

1. Risiko dari Sudut Pandang Penyebab

Apabila dilihat dari sebab terjadinya, ada dua macam risiko, yaitu risiko

keuangan, dan risiko operasional. Risiko keuangan adalah risiko yang

disebabkan oleh faktor-faktor keuangan, misalnya risiko kredit. Risiko operasional adalah risiko yang disebabkan oleh faktor-faktor nonkeuangan, misalnya manusia, teknologi, sistem dan prosedur, dan

alam. Di samping risiko dari sudut pandang penyebab, risiko juga

bersumber dari risiko stratejik yaitu risiko yang berdampak terhadap entitas dan bersifat strategis (misalnya keuangan, perubahan politik dan keamanan) sebagai akibat keputusan strategis yang tidak sesuai dengan lingkungan eksternal dan internal organisasi serta risiko eksternalitas, yaitu risiko yang timbul dari faktor eksternal, antara lain reputasi, lingkungan, sosial, dan hukum.

2. Risiko dari Sudut Pandang Akibat

Ada dua kategori risiko jika dilihat dari akibat yang ditimbulkan, yaitu

risiko murni dan risiko spekulatif. Apabila suatu kejadian berakibat

hanya merugikan dan tidak memungkinkan adanya keuntungan disebut risiko murni, misalnya terjadi kebakaran. Risiko spekulatif adalah risiko

(14)

Pusdiklatwas BPKP – Tahun 2010 9 yang tidak saja memungkinkan terjadinya kerugian tetapi juga memungkinkan terjadinya keuntungan, misalnya risiko melakukan investasi.

3. Risiko dari Sudut Pandang Aktivitas

Ada berbagai macam aktivitas yang dapat menimbulkan risiko, misalnya aktivitas pemberian kredit oleh bank, aktivitas pelayanan kepada masyarakat.

4. Risiko dari Sudut Pandang Kejadian

Risiko dilihat dari sudut pandang kejadiannya, misalnya risiko kebakaran. 5. Risiko dari Sudut Pandang Jenis Risikonya

Risiko dari sudut pandang jenis risikonya, mencakup:  risiko teknologi,

 risiko keuangan/ekonomi,

 risiko sumber daya manusia (kapasitas, hak intelektual),  risiko kesehatan,

 risiko politik,  risiko hukum,

 risiko keamanan, dan lain-lain.

6. Risiko dari Sudut Pandang Sumbernya

Risiko dari sudut pandang sumbernya, meliputi:  risiko eksternal (politik, ekonomi, bencana alam);

 risiko internal (reputasi, keamanan, manajemen, informasi untuk pengambilan keputusan).

(15)

Pusdiklatwas BPKP – Tahun 2010 10 7. Risiko dari Sudut Pandang Penerima Risiko atau Pihak Yang Terkena

Dampak Risiko

Risiko dari sudut pandang penerima risiko atau pihak yang terkena dampak risiko, mencakup:

 orang (human risk),

 risiko reputasi (reputational risk),  hasil program,

 bangunan dan aset,

 lingkungan (environmental risk),

 pelayanan (service delivery risk), dan lain-lain.

8. Risiko dari Sudut Pandang Tingkat Kemungkinan dan Dampak Risiko (Level/Status Risiko)

Risiko dari sudut pandang tingkat kemungkinan dan dampak risiko (level/status risiko), mencakup:

 risiko rendah (low risk),

 risiko menengah (medium risk),  risiko tinggi (high risk).

Kategorisasi tersebut tergantung dari pertimbangan organisasi sendiri. Organisasi dapat membuat kategorisasi risiko tersebut lebih dari tiga macam, misalnya dalam lima tingkatan: risiko sangat rendah, risiko rendah, risiko menengah, risiko tinggi, dan risiko sangat tinggi.

9. Risiko dari Sudut Pandang Kemampuan Mengendalikan

Risiko dari sudut pandang kemampuan mengendalikan, mencakup:  risiko yang sangat terkendali (highly controllabe risk),

 risiko yang kurang terkendali (low controllable risk), dan

(16)

Pusdiklatwas BPKP – Tahun 2010 11 10. Risiko dari Sudut Pandang Hirarki Risiko

Risiko dari sudut pandang hirarki risiko, mencakup:  risiko stratejik,

 risiko program,  risiko proyek,  risiko operasional.

D. Risk Appetite dan Risk Tolerance

Selera risiko (risk appetite) adalah suatu tingkatan dari sekelompok risiko dimana organisasi akan menerima dan dapat mengelola dalam suatu periode tertentu; dengan kata lain, risk appetite adalah sejumlah (sekumpulan) risiko dalam entitas yang akan diterima dalam rangka pencapaian misi atau visi. Hal itu mencerminkan sikap instansi terhadap

risiko dan selanjutnya memengaruhi budaya dan gaya pengoperasian

instansi. Istilah “toleransi risiko” sering digunakan bergantian dengan istilah “ambang risiko” atau “limit risiko.” Toleransi risiko adalah batas pengambilan risiko yang dapat diterima dari variasi relatif pada pencapaian tujuan dalam tingkat toleransi yang diperkenankan dalam konteks instansi secara keseluruhan. Terkadang menjadi ukuran terbaik dalam instansi serupa untuk mengukur sasaran terkait.

Tidaklah selalu efisien untuk mengurangi risiko sampai tingkat yang bernilai residu nol atau batas residu yang sangat rendah karena adanya kendala waktu, biaya, dan usaha yang diperlukan. Di lain pihak, adalah praktik manajemen yang lemah jika menerima begitu saja risiko-risiko yang akan berdampak buruk terhadap instansi. Oleh karena itu, adalah penting bagi instansi untuk membuat ketentuan yang informatif tentang

seberapa banyak atau seberapa besar risiko dapat diterima (acceptable) sebagai bagian dari praktik manajemen instansi yang wajar.

(17)

Pusdiklatwas BPKP – Tahun 2010 12 Tingkat risiko yang dapat diterima ini dikenal sebagai “risiko yang

ditoleransi atau tingkat toleransi risiko.”

Tingkat toleransi dapat bervariasi dan dipengaruhi oleh beberapa hal berikut.

 Kemampuan dan kemauan dari pegawai untuk mengambil dan mengelola risiko.

 Ukuran dan tipe dari instansi yang bersangkutan.

 Kematangan (maturitas) dan kompleksitas dari proses pengelolaan/ pengendalian risiko dan lingkungan pengendaliannya.

 Kekuatan keuangan instansi dan kemampuannya bertahan terhadap peristiwa-peristiwa mengejutkan/tak terduga atau perubahan mendadak.

Tidak ada pendekatan yang “sesuai untuk semua keadaan” dalam rangka menentukan tingkat toleransi risiko instansi. Hal tersebut ditentukan oleh tingkat kematangan praktik pengendalian risiko, ketersediaan data,

keahlian manajemen, dinamika di lingkungan instansi, dan

faktor-faktor lainnya. Namun demikian, prinsip-prinsip berikut ini dapat dijadikan rujukan dalam menentukan tingkat toleransi risiko instansi.

1. Lakukan analisis tentang kemampuan instansi untuk segera pulih secara fisik dan finansial dari adanya suatu kejadian penting (misalnya terhadap risiko pandemi flu burung, risiko tidak mampu mensuplai barang/jasa, bencana alam, krisis perbankan).

2. Analisis tersebut akan memberikan gambaran tentang kebutuhan dan pentingnya rencana kontinjensi, sumber finansial, fisik, dan SDM, serta pentingnya pengendalian. Dari analisis tersebut, tetapkan toleransi yang dapat ditanggung atau diterima oleh instansi.

3. Manajemen kemudian menetapkan tingkat toleransi dan dikomunikasikan kepada seluruh pegawai oleh pejabat yang berwenang.

(18)

Pusdiklatwas BPKP – Tahun 2010 13 4. Tingkat toleransi risiko yang telah ditetapkan akan tercermin dalam

skala peringkat risiko yang akan digunakan untuk menilai risiko

(assess the risks).

 Area atas (upper band) dimana risiko-risiko tidak dapat ditoleransi (intolerable), walau ada manfaat yang dapat diperoleh, pengurangan risiko merupakan keharusan, seberapapun biayanya.  Area tengah (middle band) atau area „abu-abu‟, dimana biaya dan

manfaat diperhitungkan, dan peluangnya bersifat seimbang antara peluang dengan potensi konsekuensi yang buruk.

 Area bawah (lower band) dimana baik risiko positif maupun negatif dapat diabaikan (negligible), atau karena biaya terkait dengan pelaksanaan tindakan pengendalian risiko ternyata lebih besar dibandingkan biaya dampak jika risiko tersebut benar-benar terjadi. Tingkat toleransi risiko akan membantu dalam penetapan tipe dan luas

tindakan yang diperlukan untuk mengendalikan risiko, serta tingkatan

manajemen yang harus mengelola dan memantau risiko tersebut. Tingkat toleransi risiko secara praktis didefinisikan melalui kode warna dalam matriks kemungkinan dan dampak risiko (lihat contoh Tabel 2.1). Warna merah dan oranye merupakan wilayah area atas, sedangkan warna hijau dan biru merupakan wilayah area bawah.

(19)

Pusdiklatwas BPKP – Tahun 2010 14 Tergantung pada sifat risikonya, tingkat toleransi risiko dapat dinyatakan baik dalam bentuk kualitatif maupun kuantitatif. Dalam beberapa kasus, risiko yang dinilai mungkin melebihi batas toleransi, namun tidak dapat dihindari (misalnya ada program prioritas nasional). Manfaat dari kegiatan yang sudah jelas tingkat toleransi risikonya, adalah dapat terhindar dari bahaya risiko yang terlalu ketat kendalinya (overcontrolling risks).

Berikut adalah contoh sikap instansi terhadap risiko di instansinya. Terhadap risiko “kebakaran di gedung kantor instansi”, instansi A mungkin akan berbeda risk appetite-nya dibandingkan instansi B. Jika instansi A memiliki sikap yang risk taker, maka instansi tersebut akan lebih banyak mengalokasikan sumber daya yang dimilikinya untuk menghadapi risiko kebakaran setelah juga mempertimbangkan toleransi instansi tersebut terhadap risikonya. Instansi A akan lebih banyak memasang alat pemadam kebakaran di lingkungan kantornya, memasang petunjuk evakuasi, menyelenggarakan pelatihan simulasi situasi gawat darurat secara berkala, dan selalu mengecek kesiapan alat damkarnya.

Di lain pihak, jika instansi B memiliki sikap yang risk avoidance, maka instansi tersebut cenderung membatasi risiko kebakaran, misalnya tidak memperbolehkan adanya peralatan atau benda/material yang mudah menimbulkan kebakaran di lingkungan kantornya, pelarangan kegiatan yang dapat menimbulkan percikan atau yang menggunakan api. Pada intinya, instansi tersebut berupaya semaksimalnya untuk menghindari hal-hal yang berpotensi menimbulkan api, sekecil apapun.

E. Kriteria Risiko

Kriteria risiko merupakan sumber acuan (term of reference) bagi penilaian atas signifikansi risiko. Kriteria risiko dapat mencakup masalah biaya dan manfaat, peraturan dan hukum, aspek sosioekonomi dan lingkungan, hal-hal

(20)

Pusdiklatwas BPKP – Tahun 2010 15 yang menjadi perhatian stakeholders, prioritas-prioritas, dan input lainnya terhadap penilaian risiko.

Pengembangan kriteria risiko sebenarnya dimulai pada tahap awal yaitu penetapan tujuan, yang nantinya kriteria ini akan digunakan dalam rangka melakukan prioritas terhadap risiko. Keputusan mengenai apakah diperlukan penanganan risiko dapat didasarkan pada kriteria operasional, teknis, keuangan, hukum, sosial, lingkungan, atau kriteria lainnya. Kriteria tersebut harus mencerminkan tujuan yang telah ditetapkan. Hal ini tergantung pada kebijakan internal instansi, tujuan dan sasaran serta kepentingan stakeholders. Kriteria dapat dipengaruhi oleh persepsi stakeholders dan oleh hukum atau peraturan perundang-undangan. Adalah penting agar kriteria

yang tepat telah ditetapkan di awal. Walaupun kriteria umum untuk

pengambilan keputusan dibangun pada awal penetapan tujuan, namun demikian masih dapat dikembangkan lebih lanjut bersamaan dengan saat teridentifikasinya risiko-risiko tertentu dan teknik-teknik analisis risiko ditetapkan. Kriteria risiko harus berkaitan dengan tipe risiko dan bagaimana tingkat risiko dinyatakan.

Kriteria-kriteria penting yang perlu dipertimbangkan adalah:

 macam dampak atau konsekuensi yang akan dipertimbangkan;  bagaimana kemungkinan (likelihood) didefinisikan;

 bagaimana menentukan bahwa tingkat risiko sedemikian rupa sehingga diperlukan kegiatan penanganan/pengendalian.

Kriteria yang akan digunakan untuk menilai tingkat risiko memainkan peranan penting dalam menentukan metode-metode yang akan digunakan menganalisis risiko. Oleh karena itu, sangat penting untuk mempertimbangkan kriteria yang tepat di awal proses pengendalian risiko. Peraturan organisasi dan stakeholders yang relevan dapat digunakan untuk menetapkan sekumpulan ukuran kinerja kritikal. Ukuran kinerja ini dapat

(21)

Pusdiklatwas BPKP – Tahun 2010 16 menyediakan kriteria spesifik untuk penilaian risiko pada tahap selanjutnya dari penilaian risiko.

Peraturan organisasi dan stakeholders digunakan untuk membuat satu set kriteria untuk analisis, yang akan digunakan untuk menentukan skala-skala spesifik dalam menilai konsekuensi risiko. Rentang dari kriteria mungkin luas. Tabel berikut menunjukkan contoh yang diambil dari suatu proyek skala menengah, dimana tingkat akseptasi masyarakat adalah penting. Daftar kriteria ini berharga bagi manajer proyek mulai dari perencanaan dan tahap desain proyek.

Tabel 2.2.

Contoh Kriteria Bagi Proyek Berskala Medium

KRITERIA URAIAN

Ketersediaan Ketersediaan fasilitas harus dimaksimalkan dengan cara mengurangi sejauh mungkin gangguan terhadap operasional saat ini.

Hubungan

masyarakat Standar tertinggi untuk hubungan masyarakat harus terus dijaga. Ekonomi Proyek harus dapat dibenarkan dalam kerangka ekonomi, diukur

dalam profitabilitas dan tingkat pengembalian (rate of return). Lingkungan Solusi-solusi untuk masalah teknis harus baik dari segi lingkungan;

alternatif solusi pun harus tersedia.

Pendanaan Hindari pengeluaran di luar anggaran yang tersedia; maksimalkan penggunaan dana hibah untuk tujuan tertentu.

Hubungan dengan industri

Maksimalkan hubungan dengan kalangan industri dengan cara negosiasi dengan staf representatif serta gunakan kesepakatan-kesepakatan yang tepat.

Tata kelola GCG dan pengambilan keputusan yang transparan merupakan aturan pemerintah.

Kualitas Klien mensyaratkan peralatan yang dibuat dengan benar dan andal.

Keselamatan

Proses dalam proyek harus memastikan standar keselamatan tertinggi; dalam kontrak harus ada klausul yang mencerminkan hal tersebut.

Pengembangan staf (SDM)

Metode dan hasil proyek harus dapat meningkatkan ketrampilan utama dari organisasi dan kemampuan staf yang terlibat. Jadwal waktu Proyek harus selesai dalam waktu yang telah ditentukan.

(22)

Pusdiklatwas BPKP – Tahun 2010 17 Contoh kriteria dan tujuan yang berkaitan bagi organisasi yang tergantung pada aset fisik dapat dilihat pada tabel berikut.

Tabel 2.3.

Contoh Tujuan Organisasi Berkaitan dengan Kriteria

KRITERIA URAIAN TUJUAN

Rugi produksi atau ada pembatasan

 Memaksimalkan nilai aset.

 Meningkatkan produksi berkelanjutan.

 Memenuhi target dan biaya produksi tahunan. Integritas fasilitas  Meminimalkan gangguan terhadap operasi.

 Memelihara kondisi dan kinerja aset atau sistem.

Kinerja proyek

 Strategi yang cost-effective.

 Dilibatkannya entitas operasi.

 Implementasi dan operasi fasilitas proyek yang tepat waktu.

Dampak keuangan

 Biaya suplai dikurangi 10%.

 Biaya modal dioptimalkan.

 Biaya operasi diperbaiki.

 Tidak ada kerugian, tidak ada tambahan biaya.

Pegawai

 Perputaran rendah, skill dan pengalaman meningkat.

 Kinerja kesehatan, keselamatan, dan mental.

 Meminimalkan risiko kesehatan, keselamatan, dan lingkungan selama konstruksi.

Kesehatan dan Keselamatan

 Kinerja kesehatan dan keselamatan.

 Meminimalkan risiko kesehatan dan keselamatan selama konstruksi.

 Tidak ada kecelakaan, luka berat, dan masalah kesehatan jangka panjang.

Lingkungan dan Komunitas

 Kinerja lingkungan dan komunitas.

 Meminimalkan risiko terhadap lingkungan dan komunitas selama konstruksi.

 Tidak ada pembuangan limbah. Citra dan reputasi  Kinerja tinggi.

 Dukungan dan kepercayaan pemegang saham dan publik.

Tabel 2.4. di bawah ini mendefinisikan tingkat toleransi instansi terhadap risiko atau risk appetite dan merupakan pedoman tingkat akseptabilitas risiko. Untuk setiap level risiko, tabel tersebut menggambarkan bagaimana risiko dipersepsikan (yaitu rendah, menengah, tinggi, atau ekstrim) serta

(23)

Pusdiklatwas BPKP – Tahun 2010 18 menjelaskan tingkat peringkat pengendalian yang diperlukan untuk dapat menerima risikonya. Kriteria tersebut umumnya mendefinisikan bagaimana risiko-risiko dilaporkan, direviu, dan siapa pihak yang memutuskan tingkat acceptance-nya.

Tabel 2.4.

Contoh Kriteria Analisis Risiko

Konsekuensi

Kemungkinan (Likelihood) 1 2 3 4 5

Sangat

jarang Jarang Moderat Sering Hampir pasti 5 Katastropik 5 10 15 20 25 4 Major 4 8 12 16 20 3 Moderat 3 6 9 12 15 2 Minor 2 4 6 8 10 1 Tidak _signifikan 1 2 3 4 5 Tabel 2.5.

Contoh Kriteria Penerimaan (Acceptance) Risiko

Level

Risiko Kriteria untuk Analisis Risiko

Yang Bertanggung Jawab

1 – 3 Dapat diterima Dengan pengendalian _{yang cukup} Pimpinan Menengah/ Operasional

4 – 6 Dipantau Dengan pengendalian _{yang cukup} Pimpinan Menengah/ _Operasional 6 – 9 Diperlukan Pengendalian

oleh Manajemen

Dengan pengendalian

yang cukup Pimpinan Menengah/ Operasional

10 – 14

Harus menjadi perhatian manajemen (urgent)

Dapat diterima hanya dengan pengendalian yang sangat baik (excellent)

Pimpinan Puncak

15 – 25 Tak dapat diterima (unacceptable)

Dapat diterima hanya dengan pengendalian yang sangat baik (excellent)

(24)

Pusdiklatwas BPKP – Tahun 2010 19 Tabel 2.6. di bawah ini dapat digunakan untuk menentukan pada tingkat mana dampak risiko akan ditetapkan berdasarkan salah satu atau beberapa syarat yang terpenuhi. Tabel ini mencerminkan kriteria dampak yang ditetapkan oleh pimpinan instansi. Dalam praktik tentu saja satu unit/instansi dapat memiliki ukuran kriteria dampak yang berbeda antara satu instansi dengan instansi yang lain.

Tabel 2.6.

Contoh Skor Dampak Risiko dan Definisi/Kriterianya

Level/Skor Definisi/Kriteria

1 – Tidak berarti  Agak mengganggu pelayanan.

 Tidak menimbulkan kerusakan.

 Kerugian kurang dari Rp5.000.000,00.

 Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp25.000.000,00.

 Tidak berdampak pada pencapaian tujuan secara umum.

 Tidak berdampak pada pencemaran/reputasi.

 Tidak ada/hanya berdampak kecil pada kerusakan lingkungan. 2 – Kecil  Cukup mengganggu jalannya pelayanan.

 Menimbulkan kerusakan kecil.

 Kerugian diatas Rp25.000.000,00 sampai Rp50.000.000,00.

 Menggangu pencapaian tujuan instansi meskipun tidak signifikan.

 Berdampak pada pandangan negatif terhadap instansi dalam skala lokal (telah masuk dalam pemberitaan media lokal).

 Adanya kerusakan kecil terhadap lingkungan. 3 – Sedang  Mengganggu kegiatan pelayanan secara signifikan.

 Adanya kekerasan, ancaman dan menimbulkan kerusakan yang serius.

 Kerugian yang terjadi diatas Rp100.000.000,00 sampai Rp500.000.000,00.

(25)

Level/Skor Definisi/Kriteria

 Berdampak pada pandangan negatif terhadap instansi dalam skala nasional (telah masuk dalam pemberitaan media lokal dan nasional).

 Adanya kerusakan cukup besar terhadap lingkungan.

4 – Besar  Terganggunya pelayanan lebih dari 2 hari tetapi kurang dari 1 minggu.

 Adanya kekerasan, ancaman dan menimbulkan kerusakan yang serius dan membutuhkan perbaikan yang cukup lama.

 Kerugian yang terjadi diatas Rp500.000.000,00 sampai Rp1.000.000.000,00.

 Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp1.000.000.000,00.

 Sebagian tujuan instansi gagal dilaksanakan.

 Merusak citra institusi dalam skala nasional (telah masuk dalam pemberitaan media lokal dan nasional).

 Adanya kerusakan besar terhadap lingkungan. 5 – Luar Biasa/

Bencana

 Terganggunya pelayanan lebih dari 1 minggu.

 Kerusakan fatal.

 Kerugian yang terjadi d atas Rp1.000.000.000,00.

 Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp2.000.000.000,00.

 Sebagian besar tujuan instansi gagal dilaksanakan.

 Merusak citra institusi dalam skala nasional, penggantian pucuk pimpinan instansi secara mendadak.

 Terjadinya KKN dan diproses secara hukum.

Ukuran lainnya dari risiko adalah likelihood atau kemungkinan atau probabilitas, dan umumnya juga diukur dalam skala 1 sampai 5, dimana 1 berarti ”sangat jarang” atau ”sangat tidak mungkin” dan 5 berarti ”sangat sering” atau ”hampir pasti.” Likelihood dapat dipandang dalam dua aspek.

Aspek pertama, skala dapat dibuat dalam bentuk frekuensi dari

konsekuensi yang akan terjadi, misalnya lebih dari 2 kali dalam setahun, setiap tahun, setiap 3 tahun, dan sebagainya. Aspek kedua, skala dapat

(26)

Pusdiklatwas BPKP – Tahun 2010 21 dibuat dalam bentuk probabilitas kejadiannya pada rentang waktu tertentu, misalnya dalam 5 tahun kedepan suatu konsekuensi adalah hampir pasti, kemungkinan besar, mungkin, jarang, hampir tidak mungkin, dan sebagainya. Dalam beberapa hal, tiap level skala tersebut perlu dikuantifikasi.

Dengan demikian, tabel-tabel konsekuensi dan likelihood menjadi bagian dari ”bahasa risiko” di instansi dan sekaligus mencerminkan tingkat toleransi suatu instansi terhadap risikonya.

Tabel 2.7.

Ukuran-Ukuran Kualitatif Likelihood

Level Deskriptor Contoh Deskripsi Rinci Frekuensi

1 Sangat Jarang Kejadiannya muncul HANYA dalam keadaan tertentu.

Kurang dari sekali dalam 10 tahun.

2 Jarang Kejadiannya DAPAT muncul pada saat yang sama.

Paling sedikit sekali dalam 10 tahun.

3 Moderat Kejadiannya SEHARUSNYA muncul pada saat yang sama.

4 Sering Kejadiannya MUNGKIN muncul pada kebanyakan situasi.

5 Hampir Pasti/Sangat Sering

Kejadiannya DIHARAPKAN muncul pada kebanyakan situasi.

Lebih dari satu kali dalam setahun.

F. Sumber Risiko, Penyebab, dan Faktor Risiko

Sumber risiko menurut Australian Standard/New Zealand Standard (AS/NZS) 4360:2004, meliputi:

 perilaku personel,

 aktivitas manajemen dan pengendalian,  kondisi ekonomi,

 kejadian yang biasa/tidak biasa,  kondisi politik,

(27)

Pusdiklatwas BPKP – Tahun 2010 22  hubungan hukum dan komersial,

 tanggung jawab terhadap produk/publik, dan  aktivitas itu sendiri.

Sumber risiko menurut PP 60 Tahun 2008 Pasal 16 Huruf b dan c, terdiri atas sumber eksternal dan sumber internal, serta risiko yang berasal dari faktor lain. Sumber eksternal mencakup misalnya:

 peraturan perundang-undangan baru,  perkembangan teknologi,

 bencana alam, dan  gangguan keamanan.

Sedangkan sumber internal mencakup misalnya:  keterbatasan dana operasional,

 sumber daya manusia yang tidak kompeten,  peralatan yang tidak memadai,

 kebijakan dan prosedur yang tidak jelas, dan  suasana kerja yang tidak kondusif.

Risiko dari faktor lainnya adalah risiko akibat kegagalan pencapaian tujuan dan keterbatasan anggaran yang pernah terjadi, antara lain disebabkan oleh:

 pengeluaran program yang tidak tepat,  pelanggaran terhadap pengendalian dana,

 ketidaktaatan terhadap peraturan perundang-undangan,

 risiko yang melekat pada sifat misinya atau pada signifikansi dan kompleksitas dari setiap program atau kegiatan spesifik yang dilaksanakan.

(28)

Pusdiklatwas BPKP – Tahun 2010 23 Penyebab ada yang dapat dikendalikan dan ada yang tidak dapat dikendalikan. Istilah risiko dan penyebab seringkali tertukar atau membingungkan. Untuk itu, coba perhatikan pernyataan berikut ini: “Para ahli telah mengidentifikasi apa yang diyakini sebagai faktor-faktor risiko penyakit kanker paru, misalnya kebiasaan merokok bisa memicu kanker paru, akan tetapi belum ada yang mengetahui apa sebenarnya penyebab penyakit tersebut, karena ada juga orang yang biasa merokok tetapi tidak terkena kanker paru.” Jika mereka mengetahui, tentulah sekarang sudah ada obat yang tepat untuk penyakit tersebut. Jadi faktor risiko hanyalah penanda adanya risiko, dan tidak selalu menjadi penyebab akan terjadinya risiko.

Contoh lain: berjalan sendirian pada malam hari di lorong gelap akan menempatkan anda pada risiko perampokan. Oleh karena itu, orang akan mengatakan sebaiknya berjalan pada siang hari di jalan yang ramai. Tetapi, apakah berjalan sendirian pada malam hari di lorong gelap adalah penyebab adanya perampokan? Tentu bukan. Lorong tersebut, kesendirian, berjalan, suasana malam hari, semua itu tidak akan menyebabkan anda dirampok. Bahkan mungkin seringkali anda melakukan hal itu tanpa bertemu perampok sekalipun. Sebaliknya, bisa saja anda berjalan di siang hari pada jalan yang ramai, bahkan ditambah dengan pengawal di sisi anda, namun tetap saja anda dirampok. Artinya kita di sini berbicara tentang ketidakpastian.

Pertanyaan selanjutnya: apakah lebih berisiko untuk berjalan sendirian pada malam hari di lorong gelap? Jawabnya, ya. Apakah lebih aman berjalan di siang hari dengan dikawal? Jawabnya, ya. Tetapi, apakah kedua skenario tersebut menyebabkan anda dirampok? Jawabnya, tidak. Jadi apa yang menyebabkan anda dirampok? Jawabannya bukan terletak pada lorong gelap atau ramai, saat malam atau siang, atau siapa korbannya, tetapi pada

pelaku perampokan itu sendiri (niat) dan adanya peluang untuk melakukan

(29)

Pusdiklatwas BPKP – Tahun 2010 24 karena kebutuhan yang mendesak, atau karena adanya penyakit kejiwaan pada diri sang perampok.

Dari penjelasan dan contoh-contoh tersebut di atas, dapat disimpulkan bahwa suatu risiko ada penyebabnya, karena penyebab adalah (1) “a factor or event that produces a second event” atau (2) “something that brings about a particular condition, result or effect.” Sedangkan definisi risiko adalah “a chance of something happening that will have an impact upon objectives.” Jika risiko adalah kemungkinan kejadian, maka penyebab adalah sesuatu yang menghasilkan kejadian itu. Namun jika kita bawa pada pengertian (2) dari penyebab, maka risiko yang tidak diantisipasi bisa menjadi penyebab atas dampak kejadiannya. Dalam bahasa sederhana, risiko berbicara tentang kejadian masa depan yang belum terjadi, sedangkan penyebab bisa mencakup baik masa lalu maupun masa depan.

G. Risiko Inheren dan Risiko Residual

Risiko inheren adalah risiko yang murni ada tanpa memperhitungkan pengendalian yang sudah ada (eksis), atau risiko yang diukur sebelum memperhitungkan kondisi pengendaliannya.

Risiko residual merupakan produk dari risiko inheren dan risiko pengendalian. Atau dengan bahasa yang lebih teknis, risiko residual adalah risiko terkait dengan kegiatan (inheren) dikurangi jumlah kesalahan yang terdeteksi oleh pengendalian, yaitu jumlah kesalahan yang masih tetap belum terdeteksi (residual). Risiko residual juga dikenal sebagai „net risk’, risiko netto. Ini merupakan tingkatan risiko yang tersisa setelah kontrol-kontrol yang relevan diaplikasikan oleh manajemen atau setelah manajemen melakukan upaya mitigasi terhadap risiko inheren.

(30)

H. Latihan

Diskusikanlah dengan kelompok anda terhadap pertanyaan-pertanyaan berikut ini.

1. Apakah ada perbedaan antara ketidakpastian dengan risiko? Jelaskan! 2. Apakah risiko dapat disamakan dengan masalah (problem)? Berikan

penjelasan!

3. Apakah risiko juga dapat mengandung arti positif? Jelaskan!

4. Berikan beberapa contoh risiko yang tidak dapat ditoleransi! Demikian pula berikan beberapa contoh risiko yang dapat diabaikan!

5. Mengapa kriteria risiko perlu ditetapkan di awal pencapaian tujuan instansi?

6. Berikan contoh kriteria risiko di instansi anda (dapat kualitatif atau kuantitatif).

7. Apa perbedaan risk appetite dan risk tolerance? Berikan contoh. Apakah risk appetite berpengaruh terhadap toleransi risiko dalam instansi?

8. Berikan contoh sumber eksternal dan internal risiko selain dari pada yang telah disebutkan dalam Pasal 16 PP 60 tahun 2008!

9. Apa perbedaan penyebab risiko dan faktor risiko? Berikan contoh di lingkungan instansi pemerintah!

(31)

BAB 3

PENILAIAN RISIKO

A. Pengertian Penilaian Risiko

Sebelum menguraikan lebih lanjut pengertian penilaian risiko, beberapa istilah penilaian risiko (risk assessment) mempunyai pengertian yang berbeda, tumpang tindih, dan saling dipertukarkan pemakaiannya dalam literatur pengelolaan risiko. Misalnya, istilah “risk analysis”, “risk assessment” dan “risk evaluation.” Pemakaian istilah penilaian risiko dalam PP Nomor 60 Tahun 2008 adalah sama pengertiannya dengan risk assessment.

Sesuai dengan PP Nomor 60 Tahun 2008, khususnya bagian ketiga, pasal 13, ayat (1) disebutkan bahwa pimpinan instansi wajib melakukan penilaian risiko. Penilaian risiko sebagaimana dimaksud pada ayat (1), terdiri atas (a) identifikasi risiko; dan (b) analisis risiko. Lebih lanjut dalam PP tersebut disebutkan bahwa penilaian risiko diawali dengan penetapan maksud dan tujuan Instansi Pemerintah yang jelas dan konsisten baik pada tingkat instansi maupun pada tingkat kegiatan.

Menurut Handbook 436: 2004 penilaian risiko (risk assessment) diartikan sebagai “the overall process of risk identification, risk analysis, and risk evaluation.” Ini dapat dilihat dari Gambar Proses Pengelolaan Risiko, di

Setelah mempelajari bab ini peserta diklat diharap mampu menjelaskan penilaian risiko dan tahapannya, mencakup penetapan tujuan, identifikasi, dan analisis risiko

(32)

Pusdiklatwas BPKP – Tahun 2010 27 mana penilaian risiko merupakan bagian yang integral atau terpadu dari proses pengelolaan risiko.

Hal ini juga sejalan dengan definisi yang dikemukakan oleh Allen L. Burgensen bahwa penilaian risiko adalah “A systematic process of organizing to support a risk decision to be made within a risk management process. It consists of the identification of the hazards and analysis and evaluation of risks associated with the exposure to these hazard.”

Menurut Australian Government, Department of the Environment and Heritage Australian Government Office (2006) penilaian risiko didefinisikan sebagai “The set of tasks to here collectively as a risk assessment, consists of three central steps in the risk management process: identify the risks, analyze the risks, and evaluate the risks.”

Dari uraian di atas dapat disimpulkan bahwa penilaian risiko merupakan proses yang dilakukan oleh suatu instansi atau organisasi dan merupakan bagian yang integral dari proses pengelolaan risiko dalam pengambilan keputusan risiko dengan melakukan tahap identifikasi risiko, analisis risiko, dan evaluasi risiko. Proses penilaian risiko dilakukan setelah penetapan tujuan organisasi .

Jika dikaitkan dengan SPIP, penilaian risiko merupakan unsur atau komponen sistem pengendalian intern, dengan subunsur identifikasi dan analisis risiko; sedangkan evaluasi risiko, dengan mempertimbangkan bahwa proses evaluasi sejatinya adalah proses menilai risiko yang akan diprioritaskan (setelah dianalisis termasuk mempertimbangkan tingkat risiko yang dapat diterima) dan direspon, maka proses ini dapat digabungkan dalam proses analisis risiko.

B. Tujuan dan Manfaat Penilaian Risiko

Sebagaimana dikemukakan sebelumnya, penilaian risiko merupakan bagian yang integral atau terpadu dari proses pengelolaan risiko dan juga sistem pengendalian intern. Proses dapat didefinisikan sebagai urutan

(33)

Pusdiklatwas BPKP – Tahun 2010 28 tindakan yang dilakukan untuk mencapai tujuan tertentu. Hal ini berarti proses penilaian risiko merupakan prosedur terpadu yang meliputi identifikasi dan analisis risiko-risiko yang timbul.

Dari pengertian tersebut, maka tujuan penilaian risiko adalah untuk: 1. mengidentifikasi dan menguraikan semua risiko-risiko potensial yang

berasal baik dari faktor internal maupun faktor eksternal;

2. memeringkat risiko-risiko yang memerlukan perhatian manajemen instansi dan yang memerlukan penanganan segera atau tidak memerlukan tindakan lebih lanjut;

3. memberikan suatu masukan atau rekomendasi untuk meyakinkan bahwa terdapat risiko-risiko yang menjadi prioritas paling tinggi untuk dikelola dengan efektif.

Manfaat penilaian risiko di antaranya adalah:

 membantu pencapaian tujuan instansi dengan informasi tentang risiko;

 adanya kesinambungan pelayanan kepada stakeholders;  adanya efisiensi dan efektivitas pelayanan yang lebih baik;

 dapat menjadi salah satu pertimbangan dalam penyusunan rencana strategis;

 membantu menghindari pemborosan.

C. Tahapan Penilaian Risiko

Penilaian risiko diawali dengan penetapan maksud dan tujuan instansi pemerintah yang jelas dan konsisten baik pada tingkat instansi maupun pada tingkat kegiatan. Selanjutnya instansi pemerintah mengidentifikasi risiko yang dapat menghambat pencapaian tujuan tersebut, baik yang bersumber dari dalam maupun luar instansi. Terhadap risiko yang telah

(34)

Pusdiklatwas BPKP – Tahun 2010 29 diidentifikasi, selanjutnya dianalisis untuk mengetahui pengaruhnya terhadap pencapaian tujuan. Pimpinan instansi pemerintah merumuskan pendekatan pengelolaan risiko dan kegiatan pengendalian risiko yang diperlukan untuk memperkecil risiko. Tahapan penilaian risiko terdiri atas: penetapan tujuan, identifikasi risiko, dan analisis risiko.

1. Penetapan tujuan

Identifikasi/penilaian risiko diawali dengan penetapan konteks/ tujuan instansi yang jelas dan konsisten baik pada tingkat stratejik atau kebijakan maupun tingkat operasional. Penetapan tujuan dilakukan dengan cara menjabarkan latar belakang, ruang lingkup, tujuan, dan hubungan organisasi dengan lingkungan eksternal dan internal. Risiko merupakan segala sesuatu yang berdampak terhadap pencapaian tujuan yang diukur berdasarkan kemungkinan dan konsekuensinya. Oleh karena itu, untuk meyakinkan bahwa semua risiko signifikan telah tercakup, maka perlu mengetahui tujuan dan fungsi atau aktivitas instansi yang ditelaah.

Pada dasarnya, penetapan tujuan merupakan inti dari penetapan

konteks. Dalam penetapan tujuan, instansi harus mempunyai unsur

kriteria keberhasilan atau indikator kinerja kunci (key performance indicators) sebagai dasar pengukuran atau kriteria evaluasi pencapaian tujuan, dan juga digunakan untuk mengidentifikasi dan mengukur dampak atau konsekuensi risiko yang dapat mengganggu tujuan instansi.

Tujuan penetapan konteks/tujuan adalah:

1) menjelaskan pernyataan tujuan yang spesifik, terukur, dapat dicapai, realistis, dan berjangka waktu;

2) mengidentifikasi lingkungan di mana tujuan akan dicapai;

3) menetapkan ruang lingkup dan tujuan penerapan penilaian risiko, kondisi yang membatasi, dan hasil yang diharapkan;

(35)

Pusdiklatwas BPKP – Tahun 2010 30 4) mengidentifikasi berbagai kriteria yang digunakan untuk

menganalisis dan mengevaluasi risiko (lihat kriteria risiko baik dampak maupun probabilitas di bab 2);

5) menetapkan struktur analisis risiko.

Dalam PP 60 Tahun 2008, tujuan Instansi Pemerintah sebagaimana dimaksud dalam Pasal 13 ayat (3) huruf a memuat pernyataan dan arahan yang spesifik, terukur, dapat dicapai, realistis, dan terikat waktu. Tujuan Instansi Pemerintah tersebut wajib dikomunikasikan kepada seluruh pegawai.

Untuk mencapai tujuan Instansi Pemerintah, pimpinan Instansi Pemerintah menetapkan:

 strategi operasional yang konsisten, dan

 strategi manajemen terintegrasi serta rencana penilaian risiko. Penetapan tujuan pada tingkatan kegiatan sebagaimana dimaksud dalam Pasal 13 ayat (3) huruf b sekurang-kurangnya dilakukan dengan memperhatikan ketentuan sebagai berikut.

 Berdasarkan pada tujuan dan rencana strategis Instansi Pemerintah.

 Saling melengkapi, saling menunjang, dan tidak bertentangan satu dengan lainnya.

 Relevan dengan seluruh kegiatan utama Instansi Pemerintah.  Mengandung unsur kriteria pengukuran.

 Didukung sumber daya Instansi Pemerintah yang cukup.

(36)

2. Identifikasi risiko

Identifikasi risiko adalah proses menetapkan apa, dimana, kapan,

mengapa, dan bagaimana sesuatu dapat terjadi, sehingga dapat

berdampak negatif terhadap pencapaian tujuan. Tujuannya adalah untuk menghasilkan suatu daftar sumber-sumber risiko dan kejadian-kejadian yang berpotensi membawa dampak terhadap pencapaian tiap tujuan yang telah diidentifikasi dalam penetapan tujuan. Potensi kejadian-kejadian tersebut dapat mencegah, menghambat, menurunkan, memperlama atau justru meningkatkan pencapaian tujuan-tujuan tersebut.

Setelah mengidentifikasi apa yang dapat terjadi, maka perlu dipertimbangkan kemungkinan-kemungkinan penyebab dan

skenario-skenario yang dapat terjadi. Terdapat banyak jalan untuk kemunculan

suatu kejadian, dan oleh karenanya adalah perlu agar jangan sampai ada penyebab-penyebab signifikan yang tertinggal.

Akibat ancaman/gangguan risiko terhadap pencapaian tujuan adalah sebagai berikut.

 Tujuan menjadi lebih lama tercapainya.  Tujuan tercapai hanya sebagian (<100%).  Tujuan tidak tercapai sama sekali.

 Tujuan tercapai namun lebih mahal (high cost).  Tujuan melenceng dari yang telah ditetapkan.

Jika dikatkan dengan SPIP, identifikasi risiko dapat diarahkan terutama kepada empat tujuan di SPIP.

1) Apa yang akan/berpotensi mengganggu efisiensi dan efektivitas operasi di instansi pemerintah?

(37)

Pusdiklatwas BPKP – Tahun 2010 32 3) Apa yang berpotensi menghambat dalam hal pengamanan aset di

instansi pemerintah?

4) Apa yang berpotensi menjadi tantangan atau gangguan dalam hal ketaatan terhadap peraturan perundang-undangan di instansi pemerintah?

3. Analisis risiko

Analisis risiko adalah proses penilaian terhadap risiko yang telah teridentifikasi, dalam rangka mengestimasi kemungkinan munculnya dan besaran dampaknya, untuk menetapkan level atau status

risikonya. Status risiko diperoleh dari hubungan antara kemungkinan

(frekuensi atau probabilitas kemunculan) dan dampak (besaran efek) jika risiko terjadi. Status risiko biasanya disajikan dalam bentuk tabel. Secara sederhana, level risiko dihitung dengan rumus berikut.

Analisis risiko dilaksanakan untuk menentukan dampak dari risiko yang telah diidentifikasi terhadap pencapaian tujuan instansi pemerintah. Pimpinan instansi pemerintah menerapkan prinsip kehati-hatian dalam menentukan tingkat risiko yang dapat diterima (acceptable risk).

(38)

D. Latihan

Diskusikanlah dengan kelompok anda terhadap pertanyaan-pertanyaan berikut ini.

1. Dikaitkan dengan empat unsur SPIP lainnya (lingkungan pengendalian, kegiatan pengendalian, informasi & komunikasi, dan pemantauan pengendalian intern), seberapa pentingkah unsur penilaian risiko? Jelaskan!

2. Mengapa penetapan konteks/tujuan amat penting dalam tahapan penilaian risiko? Jelaskan!

3. Di antara manfaat penilaian risiko adalah dapat dijadikan pertimbangan untuk penyusunan rencana strategis instansi. Jelaskan bagaimana penilaian risiko dapat membawa manfaat tersebut!

4. Berikan contoh hasil identifikasi risiko (menurut persepsi anda) di instansi anda! Identifikasi anda dapat dikaitkan dengan potensi ancaman terhadap pencapaian tujuan instansi maupun terhadap empat tujuan SPIP.

(39)

BAB 4

METODOLOGI PENILAIAN RISIKO

A. Hal-hal Terkait Penilaian Risiko

Pada dasarnya, identifikasi risiko dapat dilakukan dengan cara retrospektif (retrospectively) dan prospektif (prospectively). Identifikasi risiko retrospektif (retrospective risks) adalah risiko-risiko yang sebelumnya telah terjadi, seperti insiden atau kecelakaan. Identifikasi risiko retrospektif biasanya merupakan cara yang sangat umum dan mudah untuk mengidentifikasi risiko. Adalah lebih mudah untuk mempercayai sesuatu jika sesuatu tersebut telah terjadi sebelumnya, sehingga lebih mudah untuk mengkuantifikasi dampaknya dan melihat bahaya yang menyebabkannya.

Sumber informasi risiko retrospektif, meliputi:  daftar atau register insiden/bahaya;

 laporan audit, hasil evaluasi, dan penilaian lainnya;  keluhan pelanggan/stakeholders;

 dokumen dan laporan;

 staf lama atau survai pelanggan; dan

 media profesional atau surat kabar, seperti jurnal atau websites. Risiko prospektif (prospective risks) biasanya lebih sulit diidentifikasi. Risiko ini adalah sesuatu yang belum terjadi, tetapi mungkin terjadi beberapa waktu yang akan datang. Identifikasi akan meliputi semua risiko, apakah risiko tersebut akan dikelola sekarang atau tidak. Dasar pemikirannya di sini

Setelah mempelajari bab ini peserta diklat diharap mampu menjelaskan pengertian terkait, metode-metode penilaian risiko, teknik-teknik penilaian risiko, dan penggunaan alat bantu komputer dalam penilaian risiko.

(40)

Pusdiklatwas BPKP – Tahun 2010 35 adalah mencatat semua risiko signifikan dan memantau atau mereviu efektivitas pengendaliannya.

Metode untuk mengidentifikasi risiko prospektif meliputi hal berikut.

 Melakukan brainstorming dengan staf atau pemangku kepentingan eksternal.

 Riset ekonomi, politik, legislatif, dan lingkungan operasi.

 Melakukan wawancara dengan orang-orang atau organisasi yang relevan.

 Melakukan survai staf atau pelanggan untuk mengidentifikasi isu-isu atau problem yang diantisipasi.

 Bagan arus suatu proses.

 Mereviu desain sistem atau membuat teknik-teknik analisis sistem.  Analisis SWOT.

Ruang lingkup pelaksanaan penilaian risiko antara satu unit dengan unit lain bisa saja berbeda. Pelaksanaan penilaian risiko instansi dapat dilakukan pada tingkatan berikut.

1. Tingkat stratejik, meliputi antara lain pengembangan kebijakan, penyampaian layanan, program ketaatan, dan pertimbangan politik. 2. Tingkat instansi dan program, meliputi antara lain prioritas dan strategi

organisasi, manajemen keuangan, hubungan antar organisasi, teknologi, pengendalian dan pencegahan kecurangan, kemampuan staf, manajemen aset, kewajiban sosial dan strategi koordinasi.

3. Tingkat kegiatan/proyek, meliputi antara lain perencanaan, proses, prioritas pekerjaan, pengembangan dan pelatihan, kontrak, prosedur, kualitas data, pengadaan, konsultan, jaminan kualitas, struktur organisasi, komunikasi, pemberdayaan pegawai, konstruksi dan bangunan, informasi teknologi, dan joint ventures.

(41)

Pusdiklatwas BPKP – Tahun 2010 36 4. Tingkat individu, meliputi antara lain mutasi pegawai, pengembangan kemampuan, keseimbangan antara urusan pekerjaan dan rumah tangga, tingkat komitmen, etika dan nilai (kualitas kepemimpinan), isu kesehatan, kewajiban hukum pegawai.

Secara praktis, langkah untuk melakukan penilaian risiko adalah sebagai berikut.

1. Penetapan unit risiko, yaitu penetapan organisasi atau unit mana yang akan diidentifikasi risikonya dan tingkatan risikonya (risiko strategik atau risiko kegiatan).

2. Pemahaman terhadap tupoksi organisasi/unit yang bersangkutan. 3. Pemahaman terhadap aktivitas utama dari organisasi.

4. Reviu atas kriteria risiko yang ada, mencakup tingkat toleransi risiko, kriteria dampak, kriteria kemungkinan, dan kriteria tingkat efektivitas pengendalian yang sudah ada.

5. Pembuatan daftar risiko (risk register), yang memuat pernyataan risiko, dampak, penyebab, kemungkinan kejadian, pengendalian yang sudah ada, kegiatan pengendalian yang diperlukan, dan pemilik risiko, serta waktu pelaksanaan rencana tindak.

6. Pembuatan peta atau profil risiko.

Analisis risiko pada intinya adalah mengukur risiko (measuring risks) yang telah teridentifikasi. Pengukuran dimaksudkan untuk memperoleh status atau level risiko (lihat rumus di Bab 3).

Faktor-faktor yang harus diperhatikan dalam menganalisis risiko adalah sebagai berikut.

1. Memahami Pengelolaan/Pengendalian Risiko yang Ada

Lakukan identifikasi sistem pengendalian yang ada, petunjuk teknis dan prosedur untuk mengendalikan risiko serta lakukan penilaian terhadap kekuatan dan kelemahannya. Instrumen yang digunakan, antara lain

(42)

Pusdiklatwas BPKP – Tahun 2010 37 adalah: checklist, pertimbangan sesuai pengalaman dan dokumen, flow charts, brainstorming, analisis sistem, analisis skenario, teknik pengembangan sistem, inspeksi, dan teknik CSA (Control Self-Assessment).

2. Kemungkinan dan Dampak

Kemungkinan dan dampak dikombinasikan untuk menghasilkan status risiko tertentu. Kemungkinan dan dampak dapat ditentukan dengan menggunakan analisis statistik dan perhitungan tertentu. Jika tidak ada data tersedia, estimasi subjektif dapat dibuat untuk mencerminkan tingkat keyakinan individu atau kelompok bahwa suatu kejadian atau hasilnya akan terjadi.

B. Metode Penilaian Risiko

Analisis risiko dapat dilakukan pada berbagai tingkatan kedalaman tergantung pada informasi risiko, data, dan biaya yang tersedia. Ada tiga tipe metode analisis risiko yang dapat digunakan untuk menetapkan status/level risiko yaitu kualitatif, semi kuantitatif, dan kuantitatif.

1. Analisis Kualitatif

Analisis kualitatif menggunakan bentuk verbal atau skala deskriptif untuk menjelaskan besaran kemungkinan dan dampak risiko. Skala ini dapat disesuaikan berdasarkan kondisi dan penjelasan yang berbeda dapat digunakan untuk risiko yang berbeda.

Analisis kualitatif digunakan bila level risiko tidak memungkinkan dari segi waktu dan sumber daya yang ada untuk melakukan analisis numerik dan data numerik tidak mencukupi untuk analisis kuantitatif, atau untuk melakukan pemindaian dini terhadap risiko sebelum melakukan analisis lebih lanjut yang lebih rinci. Contoh-contoh analisis kualitatif disajikan pada Tabel 4.1 sampai dengan tabel 4.4.

(43)

Tabel 4.1. Contoh Deskripsi Probabilitas (Kemungkinan)

Level Deskriptor Deskripsi

5 Hampir pasti Diperkirakan muncul dalam semua situasi. 4 Cenderung terjadi Cenderung terjadi pada kebanyakan situasi. 3 Mungkin terjadi Kemungkinan muncul pada waktu tertentu. 2 Kadang-kadang terjadi Dapat terjadi pada waktu tertentu.

1 Sangat jarang terjadi Hanya terjadi pada situasi tertentu. Tabel 4.2. Contoh Deskripsi Dampak

Level Deskriptor Deskripsi

1 Tidak signifikan Tidak ada yang terluka, kerugian keuangan kecil.

2 Minor Diperlukan pertolongan pertama, kebocoran limbah dapat ditangani, kerugian keuangan sedang.

3 Moderat Perlu penanganan medis, kebocoran limbah dapat ditangani dengan bantuan pihak luar, kerugian keuangan cukup tinggi.

4 Major Luka parah, pembuangan limbah tidak pada tempatnya namun tidak memberi efek yang memusnahkan, kerugian keuangan besar.

5 Sangat berbahaya Mati, pembuangan limbah tidak pada tempatnya dengan efek memusnahkan, kerugian keuangan sangat besar. Tabel 4.3. Contoh Matriks Analisis Risiko Secara Kualitatif Kemungkinan

Dampak Tidak

signifikan Minor Moderat Major

Sangat berbahaya

Hampir pasti Moderat Tinggi Ekstrim Ekstrim Ekstrim Cenderung

terjadi Rendah Moderat Tinggi Ekstrim Ekstrim Mungkin terjadi Rendah Moderat Moderat Tinggi Ekstrim Kadang-kadang

terjadi Rendah Rendah Moderat Moderat Tinggi Sangat jarang

(44)

Pusdiklatwas BPKP – Tahun 2010 39 Dari contoh di atas, ada yang dapat dijelaskan sebagai berikut.

 Risiko dengan kemungkinan terjadi “hampir pasti” dan berdampak “moderat” dikategorikan “ekstrim”.

 Risiko dengan kemungkinan “kadang-kadang terjadi” dan berdampak “minor” dikategorikan “rendah”.

Keuntungan metode kualitatif adalah:

 cepat dan relatif mudah digunakan, bila penilaian risiko terstruktur dengan baik, risiko dapat segera digambarkan dan kemungkinan serta dampaknya dapat diidentifikasi;

 pemakai metode ini dapat memperoleh pemahaman mengenai perbandingan antara beberapa risiko.

Kekurangan metode kualitatif adalah:

 kurang akurat karena risiko dikelompokkan dalam satu tingkatan, padahal kenyataannya secara substantif berlainan level;

 sulit untuk membandingkan risiko pada basis yang sama;  perbandingan antar tingkat risiko bisa tidak konsisten;

 jarang ada justifikasi yang jelas atas proses yang digunakan untuk menimbang risiko pada dampak risiko yang beragam;

 pembedaan antar risiko sangat kurang;

 metode ini menggunakan ukuran deskriptif emosional;

 metode ini memberikan definisi yang sangat disederhanakan mengenai kejadian risiko melalui kombinasi beberapa dampak yang mungkin timbul dari satu kejadian;

 aplikasi analisis keuangan kuantitatif untuk penanganan risiko sangat terbatas.

(45)

2. Analisis Semi Kuantitatif (Kombinasi)

Dalam analisis semi kuantitatif, skala kualitatif yang dijelaskan sebelumnya diberi nilai. Nilai yang diberikan pada setiap deskripsi tidak harus memiliki hubungan yang akurat atas besaran sebenarnya dari kemungkinan atau dampak. Nilai yang ditetapkan harus dapat menghasilkan urutan prioritas yang lebih rinci daripada yang dapat dicapai analisis kualitatif, sekalipun belum merupakan nilai realistis.

Pendekatan ini memberi atribut nilai pada “kemungkinan” dan “dampak” risiko, sehingga dapat dikatakan selangkah lebih maju dari pendekatan kualitatif.

Tabel 4.4 – Contoh Matriks Analisis Risiko Secara Semi Kuantitatif

Kemungkinan Dampak Frekuensi Tahunan 1 (Tidak signifikan) 2 (Minor) 3 (Moderat) 4 (Major) 5 (Sangat berbahaya) 0,5 (Hampir pasti) 0,5 1 1,5 2 2,5 0, 1 (Cenderung terjadi) 0,1 0,2 0,3 0,4 0,5 0,01 (Mungkin terjadi) 0,01 0,02 0,03 0,04 0,05 0,001 (Kadang-kadang terjadi) 0,001 0,002 0,003 0,004 0,005

0,0001 (Sangat jarang terjadi) 0,0001 0,0002 0,0003 0,0004 0,0005

Dari contoh di atas, beberapa hal dapat dijelaskan sebagai berikut.

 Risiko dengan kemungkinan terjadi “hampir pasti” dan berdampak “moderat”, dikategorikan “ekstrim” dengan nilai 1,5.

 Risiko dengan kemungkinan “kadang terjadi” dan berdampak “minor”, dikategorikan “rendah” dengan nilai 0,002.

(46)

Keuntungan metode semi kuantitatif adalah:

 penerapannya cepat;

 dapat memberikan pemahaman yang masuk akal mengenai perbandingan risiko sekalipun masih bersifat relatif dan bukan mutlak;  pembedaan yang masuk akal antar kejadian risiko;

 penggunaan ukuran deskriptif emosional untuk menentukan tingkat risiko lebih sedikit.

Kekurangan metode semi kuantitatif adalah:

 kurang akurat;

 sulit untuk membandingkan risiko pada basis yang sama, sekalipun dalam beberapa kasus memungkinkan;

 tidak mungkin untuk meyakini bahwa dua kejadian yang dicirikan dengan nilai risiko yang sama merupakan risiko yang serupa.

 metode ini memberikan definisi yang sangat disederhanakan mengenai kejadian risiko melalui kombinasi beberapa dampak yang mungkin timbul dari satu kejadian;

 aplikasi analisis keuangan kuantitatif untuk penanganan risiko terbatas.

3. Analisis Kuantitatif

Analisis kuantitatif menggunakan nilai numerik untuk menyatakan kemungkinan dan dampak dengan menggunakan data dari berbagai sumber. Kualitas analisis tergantung pada akurasi dan kelengkapan nilai numerik yang digunakan. Level risiko dapat diperhitungkan dengan metode kuantitatif dalam situasi dimana kemungkinan terjadinya dan dampak risiko dapat dikuantifikasi, selain juga diperlukan dukungan data historis beberapa tahun. Misalnya penilaian risiko terhadap fraud mengarah pada metode kuantitatif. Namun perlu diwaspadai bahwa metode kuantitatif tetap memiliki kelemahan.