SPIP: Identifikasi Resiko

BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
PEDOMAN TEKNIS
PENYELENGGARAAN SPIP
SUB UNSUR
IDENTIFIKASI RISIKO
(2.1)
NOMOR : PER-1326/K/LB/2009
TANGGAL : 7 DESEMBER 2009
KATA PENGANTAR
Pembinaan penyelenggaraan Sistem Pengendalian Intern

Pemerintah
(SPIP)
merupakan
tanggung
jawab
Badan
Pengawasan Keuangan dan Pembangunan (BPKP), sesuai dengan

pasal 59 Peraturan Pemerintah (PP) Nomor 60 Tahun 2008 tentang
Sistem Pengendalian Intern Pemerintah. Pembinaan ini merupakan
salah satu cara untuk memperkuat dan menunjang efektivitas
sistem
pengendalian
intern,
yang
menjadi
tanggung
jawab
menteri/pimpinan lembaga, gubernur, dan bupati/walikota sebagai

penyelenggara sistem pengendalian intern di lingkungan masingmasing.
Pembinaan penyelenggaraan SPIP yang menjadi tugas dan
tanggung jawab BPKP tersebut, meliputi:
1. penyusunan pedoman teknis penyelenggaraan SPIP;
2. sosialisasi SPIP;
3. pendidikan dan pelatihan SPIP;
4. pembimbingan dan konsultasi SPIP; dan
5. peningkatan kompetensi auditor aparat
pengawasan intern
pemerintah.
Kelima kegiatan dimaksud diarahkan dalam rangka penerapan
unsur-unsur SPIP, yaitu:
1. lingkungan pengendalian;
2. penilaian risiko;
3. kegiatan pengendalian;
4. informasi dan komunikasi; dan
5. pemantauan pengendalian intern.
2.1 Identifikasi Risiko
Untuk memenuhi kebutuhan pedoman penyelenggaraan SPIP,

BPKP telah menyusun Pedoman Teknis Umum Penyelenggaraan
SPIP. Pedoman tersebut merupakan pedoman tentang hal-hal apa
saja yang perlu dibangun dan dilaksanakan dalam rangka
penyelenggaraan SPIP. Selanjutnya, pedoman tersebut dijabarkan
ke
dalam
pedoman
teknis
penyelenggaraan
masing-masing
subunsur pengendalian. Pedoman teknis sub unsur ini merupakan

acuan
langkah-langkah
yang
perlu
dilaksanakan
dalam
penyelenggaraan subunsur SPIP.

Pedoman Teknis Penyelenggaraan SPIP Sub unsur Identifikasi
Risiko pada unsur Penilaian Risiko merupakan acuan yang
memberi arah bagi lembaga dan instansi pemerintah, baik pusat
maupun daerah dalam menyelenggarakan sub unsur tersebut, dan
dapat
disesuaikan dengan karakteristik masing-masing instansi
yang meliputi fungsi, sifat, tujuan, dan kompleksitas instansi

tersebut.
Kami menyadari bahwa masih terdapat kekurangsempurnaan
dalam penyusunan pedoman ini. Oleh karena itu, masukan dan
saran perbaikan dari pengguna pedoman ini, sangat diharapkan
sebagai bahan penyempurnaan.
Jakarta, Desember 2009

Plt. Kepala,
Kuswono Soeseno
NIP 19500910 197511 1 001
ii
DAFTAR ISI
Halaman
KATA PENGANTAR .................................................................
DAFTAR ISI ...............................................................................
iii
BAB I PENDAHULUAN
A. Latar Belakang .........................................................
B. Sistematika Pembahasan ........................................
BAB II GAMBARAN UMUM

A. Risiko ........................................................................
B. Proses Pengelolaan Risiko ....................................... 13

C. Penilaian Risiko ......................................................... 17
D. Parameter Penerapan .............................................. 20
BAB III LANGKAH IDENTIFIKASI RISIKO

A. Persiapan Identifikasi Risiko ..................................... 29
B. Pelaksanaan Identifikasi Risiko ................................. 35
BAB IVPENUTUP
iii
iv
BAB I
PENDAHULUAN
A. Latar Belakang
Penilaian risiko merupakan salah satu unsur dalam Sistem
Pengendalian Intern Pemerintah (SPIP), selain unsur lingkungan
pengendalian, kegiatan pengendalian, informasi dan komunikasi,
serta pemantauan pengendalian intern. Proses pengendalian
menyatu pada tindakan dan kegiatan yang dilakukan secara
terus-menerus oleh pimpinan dan seluruh pegawai, maka yang
menjadi fondasi dari pengendalian adalah orang-orang (SDM)
di dalam organisasi yang membentuk lingkungan pengendalian
yang baik dalam mencapai sasaran dan tujuan yang ingin
dicapai instansi pemerintah.
Penyelenggaraan unsur pertama SPIP, yaitu lingkungan
pengendalian dalam rangka peningkatan kondisi lingkungan
yang
nyaman
sehingga
menimbulkan
kepedulian
dan
keikutsertaan seluruh pegawai, haruslah menjadi komitmen

bersama dalam melaksanakannya. Hal ini sangatlah penting
untuk
terselenggaranya
unsur-unsur
SPIP
lainnya. Untuk
membangun kondisi nyaman tersebut, lingkungan pengendalian

yang
baik
harus
memiliki
kepemimpinan
yang
kondusif.
Kepemimpinan yang kondusif diartikan sebagai situasi dimana

pemimpin selalu mengambil keputusan dengan mendasarkan
pada data hasil penilaian risiko. Berdasarkan kepemimpinan
yang kondusif inilah, maka muncul kewajiban bagi pimpinan
untuk
menyelenggarakan
penilaian
risiko
di
instansinya.
Penilaian risiko dengan dua sub unsurnya, dimulai dengan

melihat kesesuaian antara tujuan kegiatan yang dilaksanakan

instansi pemerintah dengan tujuan sasarannya, serta kesesuaian
dengan tujuan strategis yang ditetapkan pemerintah.
Setelah penetapan tujuan, instansi pemerintah melakukan
identifikasi
atas
memengaruhi
risiko
intern
keberhasilan
dan
ekstern
pencapaian
yang
tujuan
dapat
tersebut,
menganalisisnya untuk mendapatkan risiko yang memiliki

kemungkinan (probability) kejadian dan dampak yang sangat
tinggi sampai dengan risiko yang sangat rendah.
Berdasarkan hasil analisis risiko, selanjutnya dilakukan
respon atas risiko dengan membangun kegiatan pengendalian
yang tepat. Kegiatan pengendalian dibangun dengan maksud
untuk memastikan bahwa respon risiko yang dilakukan instansi
pemerintah sudah efektif. Seluruh penyelenggaraan unsur SPIP
tersebut
haruslah
dilaporkan
dan
dikomunikasikan
serta
dilakukan pemantauan secara terus-menerus guna perbaikan

yang berkesinambungan.
Risiko
mengacu
pada
ketidakpastian
(uncertainty).
Ketidakpastian diartikan sebagai kurangnya pengetahuan dalam

menjelaskan sesuatu atau hasilnya di masa depan, dengan
banyak
kemungkinan
hasil,
sementara
risiko
adalah
ketidakpastian yang kemungkinan hasilnya akan berakibat tidak

diinginkan
atau
mendatangkan
kerugian
yang
signifikan.
Meskipun berkonotasi negatif, risiko bukan merupakan sesuatu

yang harus dihindari melainkan harus dikelola melalui suatu
mekanisme yang dinamakan pengelolaan (manajemen) risiko.
Di samping itu, penilaian risiko (risk assessment)

diartikan sebagai the overall process of risk identification, risk
analysis, and risk evaluation (Australian Standard/New Zealand
Standard, 4360: 2004) dan merupakan bagian terpadu dari
proses pengelolaan risiko. Dasar pemikiran pengelolaan risiko
adalah bahwa setiap entitas, baik yang berbentuk korporasi yang
berorientasi
laba
maupun
organisasi
masyarakat
yang
berorientasi nirlaba, serta sektor publik (badan pemerintah,

instansi pemerintah) yang berorientasi kepentingan publik
dibentuk dan dikelola untuk memberikan atau menghasilkan nilai
bagi para pemangku kepentingan (stakeholders).
Sesuai dengan Peraturan Pemerintah (PP) Nomor 60
Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah
(SPIP), khususnya Bagian Ketiga pasal 13 ayat (1), disebutkan
bahwa
pimpinan
instansi
pemerintah
wajib
melakukan
penilaian risiko. Dalam PP Nomor 60 Tahun 2008, pasal 13,

disebutkan bahwa penilaian risiko adalah kegiatan penilaian atas
kemungkinan kejadian yang mengancam pencapaian tujuan
dan sasaran instansi pemerintah. Lebih lanjut, dalam PP
tersebut disebutkan bahwa penilaian risiko terdiri atas identifikasi
risiko dan analisis risiko.
Sehubungan
dengan
hal
tersebut,
untuk
dapat
melakukan penilaian risiko yang mencakup identifikasi, analisis,

dan evaluasi risiko terhadap sektor publik atau instansi
pemerintah, maka dipandang perlu tersedianya suatu pedoman
teknis yang dapat mengarahkan pelaksanaan penilaian risiko
agar dapat dilakukan secara efektif dan efisien. Perangkat dan
metode yang digunakan harus menjamin bahwa semua risiko
entitas atau instansi pemerintah dapat
diidentifikasi
dan
3
pengendalian yang ada dapat dinilai. Keduanya merupakan

informasi penting yang diperlukan dalam memberikan masukan
kepada pimpinan instansi mengenai langkah-langkah yang harus
dilakukan dalam menangani risiko-risiko tersebut.
Buku pedoman teknis ini secara garis besar membahas
langkah penetapan konteks atau tujuan instansi dan langkah
identifikasi risiko. Penetapan tujuan dan identifikasi risiko adalah
bagian dari penilaian dan pengelolaan risiko instansi.
Tujuan dan manfaat buku pedoman teknis ini adalah
untuk memberikan panduan dalam melakukan identifikasi risiko
pada sektor publik atau instansi pemerintah. Identifikasi risiko
bertujuan untuk memberikan masukan kepada pimpinan instansi
pemerintah mengenai risiko-risiko yang dihadapi oleh instansi
pemerintah.
Secara khusus, buku pedoman teknis ini diharapkan
dapat memberikan pemahaman kepada tim penilai (assessor)
mengenai bagaimana (how to) melakukan langkah-langkah
atau prosedur dalam mengidentifikasi
risiko, sehingga dapat
memberikan hasil yang optimal.

Ruang lingkup identifikasi risiko ini mencakup langkahlangkah yang harus ditempuh dalam pelaksanaan identifikasi
risiko pada sektor publik yang terdiri atas identifikasi risiko
potensial, baik risiko yang berasal dari lingkungan internal
maupun lingkungan eksternal instansi pemerintah. Namun,
dalam identifikasi risiko perlu dilakukan
terlebih dahulu yang
penetapan konteks
terkait dengan penetapan tujuan dan
sasaran instansi pemerintah. Hal ini sejalan dengan PP Nomor

60 Tahun 2008 pasal 13 ayat (3), yang menyebutkan bahwa
dalam rangka penilaian risiko sebagaimana dimaksud pada ayat
(1), pimpinan instansi pemerintah menetapkan (a) tujuan instansi

pemerintah; dan (b) tujuan pada tingkatan kegiatan, dengan
berpedoman pada peraturan perundang-undangan.
B. Sistematika Pembahasan
Pedoman Teknis Identifikasi Risiko merupakan pedoman
pertama dari Pedoman Teknis Penilaian Risiko, dan disusun
dalam struktur bab dengan pembahasan sebagai berikut:
Bab I
Pendahuluan
Dalam bab ini diuraikan mengenai latar belakang dan
sistematika pembahasan.
Bab II
Gambaran Umum
Dalam bab ini diuraikan secara singkat pengertian risiko,
proses pengelolaan risiko, dan penilaian risiko.
Bab III Langkah Identifikasi Risiko

Dalam bab ini diuraikan hal-hal sebagai berikut:
A. Persiapan Identifikasi Risiko
Subbab ini menguraikan mengenai hal-hal yang
harus disiapkan dalam rangka identifikasi risiko.
B. Pelaksanaan Identifikasi Risiko
Subbab ini menguraikan mengenai pelaksanaan
tahapan Identifikasi risiko.
Bab IV Penutup
Bab ini menguraikan secara singkat simpulan umum
dalam rangka melakukan identifikasi risiko.
Pedoman ini dimaksudkan hanya untuk identifikasi risiko,
yang
meliputi
juga
penetapan
konteks/tujuan
instansi,
sedangkan analisis risiko akan dibahas pada pedoman tersendiri.

BAB II
GAMBARAN UMUM
Bab ini memberikan gambaran umum tentang risiko, proses
pengelolaan risiko, dan penilaian risiko. Penilaian risiko sangat
berkaitan erat dengan proses pengelolaan risiko.
A. Risiko
1. Pengertian Risiko
Setiap keputusan untuk melakukan sesuatu atau tidak
melakukan sesuatu, keduanya membawa konsekuensi atau
dampak risiko. Risiko merupakan kondisi yang jika terjadi
akan menghambat atau mengganggu pencapaian tujuan
suatu organisasi, baik yang bersifat langsung maupun tidak
langsung, yang merupakan hasil dari kombinasi kemungkinan
(likelihood) terjadinya peristiwa dan besaran dari konsekuensi
atau dampaknya (consequences or impact). Risiko dapat
didefinisikan dalam berbagai cara.
Handbook (HB) 436: 2004 of Risk Management
Guidelines Companion to AS/NZS 4360: 2004, halaman 3,
mendefinisikan risiko sebagai:
the chance of something that will have an impact on
objectives. A risk is often specified in terms of an event or
circumstance and the consequences that may flow from it.
Risk is measured in terms of a combination of the
consequences of an event and their likelihood.
Sesuai dengan penjelasan pasal 3 huruf b Peraturan

Pemerintah Nomor 60 Tahun 2008, dinyatakan bahwa yang
dimaksud dengan penilaian risiko adalah kegiatan penilaian
atas kemungkinan kejadian yang mengancam pencapaian
tujuan dan sasaran instansi pemerintah.
Menurut Ronny Kountur, D.M.S., Ph.D, (2008, halaman
6), dinyatakan bahwa risiko diartikan sebagai kemungkinan
kejadian yang merugikan. Ada tiga unsur penting yang dapat
menunjukkan apakah suatu potensi kejadian dapat disebut
risiko, yaitu:
a. Merupakan suatu kejadian;
b. Kejadian tersebut masih merupakan kemungkinan, jadi
dapat saja terjadi, atau tidak terjadi;
c. Jika sampai terjadi, ada akibat yang ditimbulkannya, yaitu
kerugian.
Di
samping itu, terdapat tiga unsur lain yang
menentukan tingkat risiko, yaitu paparan atau kemunculan

(exposure), waktu, dan kerentanan. Waktu dan kerentanan
dikelompokkan ke dalam kemungkinan, sedangkan paparan
dikelompokkan ke dalam akibat atau dampak.
Risiko juga diartikan sebagai fungsi atau terkait dengan
ketidakpastian (uncertainty). Bramantyo Djohanputro, Ph.D
(2008, halaman 30) menyatakan: Yang paling mendasar,
pengertian risiko sebagai ketidakpastian yang telah diketahui
tingkat probabilitas kejadiannya. Pengertian lain dan sering
digunakan
oleh
ketidakpastian
kebanyakan
yang
dapat
orang,
dikuantifikasi,
risiko
yang
adalah
dapat
menyebabkan kerugian atau kehilangan. Risiko juga dapat

diartikan penyebaran atau penyimpangan dari target, sasaran,
atau harapan.
Berdasarkan pada dampaknya terhadap tujuan, risiko

dikenal sebagai risiko sisi bawah (downside risks) dan risiko
sisi atas (upside risks). Risiko sisi bawah mengacu kepada
terjadinya hal buruk yang secara negatif memengaruhi tujuan.
Risiko sisi atas mengacu kepada terjadinya hal-hal baik
(positif) yang diharapkan untuk secara positif memengaruhi
tujuan. Dengan demikian, risiko merupakan kejadian yang
mempunyai dampak positif (sisi atas) dan negatif (sisi bawah)
pada pencapaian tujuan organisasi, yang diukur berdasarkan
kemungkinan dan konsekuensinya.
Dari beberapa penjelasan di atas, yang dimaksudkan
dengan risiko dalam pedoman teknis ini adalah kemungkinan
kejadian
yang
mengancam
pencapaian
tujuan
dan
sasaran Instansi pemerintah.

2. Kategori Risiko
Untuk memudahkan identifikasi risiko, maka perlu
dilakukan kategori atau pengelompokan risiko. Ada beberapa
kategori risiko bergantung dari sudut pandang mana kita
melihatnya.
Risiko dapat dilihat dari beberapa sudut pandang, yaitu:
a. Risiko dari Sudut Pandang Penyebab
Apabila dilihat dari sebab terjadinya, ada dua macam risiko,
yaitu risiko keuangan, dan risiko operasional. Risiko
keuangan adalah risiko yang disebabkan oleh faktor-faktor
keuangan.
Risiko
operasional
adalah
risiko
yang
disebabkan oleh faktor-faktor nonkeuangan, misalnya

manusia, teknologi, sistem dan prosedur, serta alam. Di
samping risiko dari sudut pandang penyebab, risiko juga
bersumber
berdampak
dari
risiko
terhadap
strategis,
entitas
yaitu
dan
risiko
bersifat
yang
strategis
(misalnya keuangan, perubahan politik, dan keamanan)

sebagai akibat keputusan strategis yang tidak sesuai
dengan lingkungan eksternal dan internal organisasi, serta
risiko eksternalitas, yaitu risiko yang timbul dari faktor
eksternal, antara lain reputasi, lingkungan, sosial, dan
hukum (Bramantyo Djohanputro, 2008, hal. 66-67).
b. Risiko dari Sudut Pandang Akibat
Ada dua kategori risiko jika dilihat dari akibat yang
ditimbulkan, yaitu risiko murni dan risiko spekulatif.
Apabila suatu kejadian berakibat hanya merugikan dan
tidak memungkinkan adanya keuntungan disebut risiko
murni, misalnya terjadi kebakaran. Risiko spekulatif adalah
risiko yang tidak saja memungkinkan terjadinya kerugian
tetapi juga memungkinkan terjadinya keuntungan, misalnya
risiko melakukan investasi.
c. Risiko dari Sudut Pandang Aktivitas
Ada berbagai macam aktivitas yang dapat menimbulkan
risiko, misalnya aktivitas pemberian kredit oleh bank,
aktivitas pelayanan kepada masyarakat.
d. Risiko dari Sudut Pandang Kejadian
Risiko dilihat dari sudut pandang kejadian, misalnya risiko
kebakaran. (Ronny Kountur, Ph.D, 2008, halaman 14 -19).
Pendapat lain menyatakan beberapa sumber risiko
dapat dilihat dari sumber terjadinya, yaitu : (1) Lima M: SDM
(Man), Anggaran (Money), Peralatan (Machines), Sisdur
informasi (Methods), dan Sarpras (Materials); (2) Kegiatan
10
manajemen (Perencanaan, Pengorganisasian, Pelaksanaan,

dan Pengawasan); dan (3) Aspek lainnya (Koordinasi, Sosial
Ekonomi, Politik, Hukum, dan Lingkungan).
Komponen
suatu risiko berhubungan atau berkaitan
dengan (sesuai dengan HB 436: 2004, halaman 38):

a. Sumber risiko atau bahaya (hazard) sesuatu yang
mempunyai potensi intrinsik menjadi atau membantu
terjadinya
kerugian
(harm),
misalnya
bahaya
kimia,
pesaing, dan pemerintah.

b. Suatu kejadian atau insiden sesuatu yang terjadi,
sebagaimana sumber risiko, mempunyai dampak yang
berkaitan dengan kebocoran, pesaing masuk ke dalam
atau keluar dari pasar, regulasi baru atau regulasi yang
direvisi,
atau
beberapa
ukuran
atau
kinerja
untuk
memenuhi tingkat hasil tertentu.

c. Suatu konsekuensi (hasil atau dampak) pada pemangku
kepentingan dan aset, misalnya kerusakan lingkungan,
pasar yang meningkat, menderita kerugian, memeroleh
laba, bertambahnya regulasi, atau menurunnya persaingan.
d. Suatu penyebab (apa dan mengapa), (biasanya berkaitan
langsung dengan penyebab pokok) atas timbulnya bahaya
atau kejadian yang terjadi, misalnya desain, intervensi
orang,
pendanaan,
predikisi
atau
kegagalan
untuk
memprediksi aktivitas pesaing, dan kegagalan untuk

memasuki pasar atau ekspansi.
e. Pengendalian
dan
tingkat
efektivitas
pengendalian,
misalnya sistem deteksi, sistem pembersihan, kebijakan,

pengamanan, pelatihan, riset pasar, dan pengawasan
pasar.
f. Kapan terjadi risiko dan dimana kemungkinan terjadinya.
11
Sumber risiko, menurut
Australian Standard/New
Zealand Standard (AS/NZS) 4360:2004, meliputi: perilaku

personel, aktivitas manajemen dan pengendalian, kondisi
ekonomi, kejadian yang biasa/tidak biasa, kondisi politik, isuisu teknologi/teknikal, hubungan hukum dan komersial,
tanggung jawab produk/profesional/publik, dan aktivitas itu
sendiri.
Dalam penjelasan PP Nomor 60 Tahun 2008, pasal 16
huruf (b) dan (c) disebutkan bahwa risiko dapat berasal dari
faktor eksternal dan faktor internal, serta faktor lain, yang
dapat dikhtisarkan sebagai berikut:
a. Risiko yang berasal dari faktor eksternal, misalnya
peraturan
perundang-undangan
baru,
perkembangan
teknologi, bencana alam, dan gangguan keamanan.

b. Risiko
yang
berasal
dari
faktor
internal,
misalnya
keterbatasan dana operasional, sumber daya manusia

yang tidak kompeten, peralatan yang tidak memadai,
kebijakan dan prosedur yang tidak jelas, serta suasana
kerja yang tidak kondusif.
c. Risiko yang berasal dari faktor lain adalah risiko akibat
kegagalan pencapaian tujuan dan keterbatasan anggaran
yang
pernah
terjadi,
antara
lain
disebabkan
oleh
pengeluaran program yang tidak tepat, pelanggaran

terhadap pengendalian dana, dan ketidaktaatan terhadap
peraturan perundang-undangan, risiko yang melekat pada
sifat misinya atau pada signifikansi dan kompleksitas dari
setiap program atau kegiatan spesifik dilaksanakan.
12
Dalam
praktiknya,
terdapat
banyak
risiko
dan
kebanyakan saling berinteraksi satu sama lain. Satu risiko

memiliki
banyak
potensi
konsekuensi
pada
berbagai
perspektif, dan satu perspektif dapat merupakan akibat dari

beberapa risiko yang memengaruhi secara simultan. Oleh
karena itu, perlu adanya pengelolaan risiko terintegrasi, selain
pengelolaan risiko yang secara otomatis melekat
menjadi
bagian dari tugas pemegang jabatan masing-masing, yang

terkait dalam suatu organisasi.
B. Proses Pengelolaan Risiko
Dalam lingkungan organisasi atau instansi pemerintah,
perhatian atas pentingnya
pengelolaan risiko
dan sistem
pengendalian intern telah meningkat, sehingga membawa

tanggung jawab yang lebih besar bagi orang-orang yang
mengelola risiko. Oleh karena itu, manajemen organisasi
mempunyai harapan yang lebih tinggi untuk mengawasi
(oversight) dan mengelola risiko utama dalam organisasi mereka,
serta bagaimana risiko dan upaya-upaya pengendaliannya dapat
mendukung kinerja organisasi.
Sistem pengendalian intern adalah proses yang integral
pada tindakan dan kegiatan yang dilakukan secara terusmenerus oleh pimpinan dan seluruh pegawai untuk memberikan
keyakinan memadai atas tercapainya tujuan organisasi melalui
kegiatan yang efektif dan efisien, keandalan pelaporan keuangan,
pengamanan aset negara, dan ketaatan terhadap peraturan
perundang-undangan (PP Nomor 60 Tahun 2008).
13
Dalam PP Nomor 60 Tahun 2008 Bab II, pasal 3, disebutkan

bahwa SPIP terdiri atas unsur (a) lingkungan pengendalian,
(b) penilaian risiko, (c) kegiatan pengendalian, (d) informasi dan
komunikasi, dan (e) pemantauan pengendalian intern.
Penilaian risiko diawali dengan penetapan maksud dan
tujuan instansi pemerintah yang jelas dan konsisten, baik pada
tingkat instansi maupun pada tingkat kegiatan. Selanjutnya,
instansi pemerintah mengidentifikasi secara efisien dan efektif
risiko yang dapat menghambat pencapaian tujuan tersebut, baik
yang bersumber dari dalam maupun luar instansi. Terhadap
risiko yang telah diidentifikasi dianalisis untuk mengetahui
pengaruhnya terhadap pencapaian tujuan. Pimpinan instansi
pemerintah merumuskan pendekatan pengelolaan (manajemen)
risiko dan kegiatan pengendalian risiko yang diperlukan untuk
memperkecil risiko.
Pengertian pengelolaan risiko yang secara luas telah
digunakan, di antaranya sebagai berikut:
budaya, proses, dan struktur yang diarahkan kepada
pengelolaan yang efektif atas potensi kejadian dan dampak
yang tidak diinginkan. (Australian Standard/New Zealand
Standard , AS/NZS, 4360:2004)
proses yang dipengaruhi oleh dewan direksi, manajemen,
dan personil lain entitas tersebut, diterapkan dalam
penetapan strategi dan berlaku di seluruh perusahaan,
dirancang untuk mengidentifikasi peristiwa potensial yang
dapat memengaruhi entitas itu, dan mengelola risiko agar
tetap ada dalam selera risikonya, sehingga dapat
memberikan jaminan yang memadai mengenai pencapaian
tujuan entitas.
(COSO Enterprise Risk Management, 2004 COSO)
pendekatan yang kuat dan terkoordinasi untuk menilai dan
merespon semua risiko yang memengaruhi pencapaian
tujuan strategis dan keuangan organisasi. Ini meliputi, baik
risiko sisi atas maupun risiko sisi bawah. (IIA, 2004)
14
Pengertian proses pengelolaan risiko (AS/NZS 4360:

2004) adalah penerapan sistematis kebijakan manajemen,
prosedur, dan sejumlah tugas dalam menetapkan konteks,
mengidentifikasi,
menganalisis,
mengevaluasi,
menangani,
mengomunikasikan, dan memonitor risiko. Dari pengertian

proses
pengelolaan
risiko
tersebut,
unsur-unsur
proses
pengelolaan risiko meliputi:

1. Menetapkan konteks;
2. Mengidentifikasi risiko;
3. Menganalisis risiko;
4. Mengevaluasi risiko;
5. Menangani risiko;
6. Komunikasi dan konsultasi; serta
7. Memantau dan mereviu (Lihat Gambar 1 Proses Manajemen
Risiko).
Menurut AS/NZS 4360: 2004, pengelolaan risiko sudah
mencakup di dalamnya penilaian risiko, yang meliputi identifikasi,
analisis, dan evaluasi risiko. Jika dibandingkan dengan penilaian
risiko menurut PP Nomor 60/2008, pada dasarnya kedua hal
tersebut adalah sama, dimana penilaian risiko terdiri atas
identifikasi dan analisis risiko (sudah termasuk di dalamnya
adalah respon risiko). Pedoman ini menggunakan istilah
penilaian risiko menurut PP 60 Tahun 2008, namun sebagai
tambahan rujukan juga digunakan istilah penilaian risiko menurut
AS/NZS 4360: 2004, terutama pemakaian istilah evaluasi risiko
(dibahas pada Pedoman Teknis Penyelenggaraan SPIP: Sub
Unsur Analisis Risiko), yang selanjutnya tahap evaluasi ini akan
digunakan pada saat pemilihan respon risiko.
15
Gambar 1 Proses Manajemen Risiko
Sumber : AS/NZS 4360:2004
Menurut
Enterprise Risk Management Integrated
Framework yang diterbitkan oleh COSO tahun 2004 (ERM

COSO), disebutkan bahwa unsur-unsur pengelolaan risiko
meliputi: (1) Lingkungan
internal, (2) Penetapan tujuan,
(3) Identifikasi peristiwa, (4) Penilaian risiko, (5) Respon risiko,

(6) Aktivitas pengendalian, (7) Informasi dan komunikasi, dan (8)
Pemantauan. Dengan penjelasan dari ERM COSO, menjadi
lebih jelas lagi bahwa pengelolaan risiko pada dasarnya sama
komponennya.
16
C. Penilaian Risiko
1. Pengertian Penilaian Risiko
Sebelum menguraikan lebih lanjut pengertian penilaian
risiko, beberapa istilah penilaian risiko (risk assessment)
mempunyai pengertian yang berbeda, tumpang tindih, dan
saling dipertukarkan dalam pemakaiannya dalam literatur
pengelolaan risiko.
Misalnya, istilah risk analysis, risk
assessment, dan risk evaluation. Pemakaian istilah-istilah

ini diartikan sebagaimana yang terdapat dalam pedoman ini.
Contohnya, istilah penilaian risiko dalam PP Nomor 60 Tahun
2008 tentang SPIP adalah sama pengertiannya dengan risk
assessment.
Sesuai dengan PP Nomor 60 Tahun 2008, khususnya
bagian ketiga, pasal 13 ayat (1) disebutkan bahwa pimpinan
instansi wajib melakukan penilaian risiko. Penilaian risiko
sebagaimana
dimaksud
pada
ayat
(1),
terdiri
atas
(a) identifikasi risiko; dan (b) analisis risiko.

Lebih lanjut dalam PP tersebut disebutkan bahwa
penilaian risiko diawali dengan penetapan maksud dan tujuan
instansi pemerintah yang jelas dan konsisten, baik pada
tingkat instansi maupun pada tingkat kegiatan. Hal ini sejalan
dengan proses pengelolaan risiko, baik menurut AS/NZS
maupun COSO, bahwa sebelum melakukan penilaian risiko
harus ditetapkan terlebih dahulu penetapan konteks atau
tujuan organisasi/entitas.
17
Menurut Handbook 436: 2004, penilaian risiko (risk

assessment) diartikan sebagai the overall process of risk
identification, risk analysis, and risk evaluation. Ini dapat
dilihat dari Gambar Proses Pengelolaan Risiko, dimana
penilaian risiko merupakan bagian yang integral atau terpadu
dari proses pengelolaan risiko.
Hal ini juga sejalan dengan definisi yang dikemukakan
oleh Allen L. Burgensen bahwa penilaian risiko adalah
A systematic process of organizing to support a risk decision
to be made within a risk management process. It consists of
the identification of the hazards and analysis and
evaluation of risks associated with the exposure to these
hazard.
Menurut Australian Government, Department of the
Environment and Heritage Australian Government Office
(2006, halaman 43) penilaian risiko didefinisikan sebagai The
set of tasks to here collectively as a risk assessment, consists
of three central steps in the risk management process: identify
the risks, analyze the risks, and evaluate the risks.
Dari uraian di atas dapat disimpulkan bahwa penilaian
risiko merupakan proses yang dilakukan oleh suatu instansi
atau organisasi
dan merupakan bagian yang integral dari
proses pengelolaan risiko dalam pengambilan keputusan

risiko dengan melakukan tahap identifikasi risiko, analisis
risiko, dan evaluasi risiko. Proses penilaian risiko dilakukan
setelah dilakukan penetapan tujuan organisasi.
18
Jika
dikaitkan
dengan
SPIP,
penilaian
risiko
merupakan unsur atau komponen sistem pengendalian intern,

dengan subunsur identifikasi dan analisis risiko, sedangkan
evaluasi risiko, dengan mempertimbangkan bahwa proses
evaluasi
akan
sejatinya
adalah
diprioritaskan
proses
(setelah
menilai
dianalisis,
risiko
yang
termasuk
mempertimbangkan tingkat risiko yang dapat diterima) dan

direspon, maka proses ini dapat digabungkan dalam proses
analisis risiko.
2. Tujuan Penilaian Risiko
Sebagaimana dikemukakan sebelumnya, penilaian
risiko merupakan bagian yang integral atau terpadu dari
proses pengelolaan risiko dan juga sistem pengendalian
intern. Proses dapat didefinisikan sebagai urutan tindakan
yang dilakukan untuk mencapai tujuan tertentu. Hal ini berarti
proses penilaian risiko merupakan prosedur terpadu, yang
meliputi identifikasi dan analisis risiko-risiko yang timbul.
Dari pengertian tersebut, maka tujuan penilaian
risiko adalah untuk:
1. Mengidentifikasi dan menguraikan semua risiko potensial
yang berasal, baik dari faktor internal maupun faktor
eksternal;
2. Memeringkat risiko-risiko yang memerlukan perhatian
manajemen instansi dan yang memerlukan penanganan
segera atau tidak memerlukan tindakan lebih lanjut; dan
3. Memberikan suatu masukan atau rekomendasi untuk
meyakinkan bahwa terdapat risiko-risiko yang menjadi
prioritas paling tinggi untuk dikelola dengan efektif.
19
3. Pengertian Identifikasi Risiko

Identifikasi risiko adalah proses menetapkan apa,
dimana, kapan, mengapa, dan bagaimana sesuatu dapat
terjadi,
sehingga
dapat
berdampak
negatif
terhadap
pencapaian tujuan. Tujuannya adalah untuk menghasilkan

suatu daftar sumber-sumber risiko dan kejadian-kejadian
yang berpotensi membawa dampak terhadap pencapaian tiap
tujuan
yang
telah
diidentifikasi
dalam
penetapan
konteks/tujuan. Potensi kejadian-kejadian tersebut dapat

mencegah, menghambat, menurunkan, memperlama atau
justru meningkatkan pencapaian tujuan-tujuan tersebut.
Setelah mengidentifikasi apa yang dapat terjadi, maka
perlu dipertimbangkan kemungkinan-kemungkinan penyebab
dan skenario-skenario yang dapat terjadi. Terdapat banyak
jalan untuk kemunculan suatu kejadian, dan oleh karenanya
adalah perlu agar jangan sampai ada penyebab-penyebab
signifikan yang tertinggal.
D. Parameter Penerapan
Penilaian risiko diawali dengan penetapan maksud dan
tujuan instansi pemerintah yang jelas dan konsisten, baik pada
tingkat instansi maupun pada tingkat kegiatan. Selanjutnya,
instansi pemerintah mengidentifikasi secara efisien dan efektif
risiko yang dapat menghambat pencapaian tujuan tersebut, baik
yang bersumber dari dalam maupun luar instansi. Berikut ini
adalah
parameter
yang
merupakan
hal-hal
yang
harus
diperhatikan oleh pimpinan dalam rangka penerapan unsur

penilaian risiko sub unsur identifikasi risiko.
20
1. Penetapan Tujuan Instansi Pemerintah

a. Pimpinan Instansi Pemerintah menetapkan tujuan instansi
pemerintah
dengan
berpedoman
pada
peraturan
perundang-undangan. Hal-hal yang perlu dipertimbangkan

adalah sebagai berikut:
1) Pimpinan
instansi
pemerintah
menetapkan
tujuan
instansi pemerintah secara keseluruhan dalam bentuk

misi, tujuan dan sasaran, sebagaimana dituangkan
dalam rencana strategis dan rencana kinerja tahunan.
2) Tujuan instansi pemerintah secara keseluruhan disusun
sesuai dengan persyaratan program yang ditetapkan
dengan peraturan perundang-undangan.
3) Tujuan instansi pemerintah secara keseluruhan harus
cukup spesifik, terukur, dapat dicapai, realistis, dan
terikat waktu.
b. Seluruh
tujuan
instansi
pemerintah
secara
jelas
dikomunikasikan pada semua pegawai sehingga pimpinan

instansi pemerintah mendapatkan umpan balik, yang
menandakan bahwa komunikasi tersebut berjalan secara
efektif.
c. Pimpinan
instansi
pemerintah
menetapkan
strategi
operasional yang konsisten dengan rencana strategis

instansi pemerintah dan rencana penilaian risiko. Hal-hal
yang perlu dipertimbangkan adalah sebagai berikut:
1) Rencana
strategis
mendukung
tujuan
instansi
pemerintah secara keseluruhan.

2) Rencana strategis mencakup alokasi dan prioritas
penggunaan sumber daya.
21
3) Rencana strategis dan anggaran dirancang secara rinci

sesuai dengan tingkatan instansi pemerintah.
4) Asumsi
yang
mendasari
rencana
strategis
dan
anggaran instansi pemerintah, konsisten dengan kondisi

yang terjadi sebelumnya dan kondisi saat ini.
d. Instansi pemerintah memiliki rencana strategis yang
terpadu dan penilaian risiko, yang mempertimbangkan
tujuan instansi pemerintah secara keseluruhan dan risiko
yang berasal dari faktor intern dan ekstern, serta
menetapkan suatu struktur pengendalian penanganan
risiko.
2. Penetapan Tujuan Tingkat Kegiatan
a. Penetapan
tujuan
pada
tingkatan
kegiatan
harus
berdasarkan pada tujuan dan rencana strategis instansi

pemerintah. Hal-hal yang perlu dipertimbangkan adalah
sebagai berikut:
1) Semua kegiatan penting didasarkan pada tujuan dan
rencana
strategis
instansi
pemerintah
secara
keseluruhan.
2) Tujuan pada tingkatan kegiatan dikaji ulang secara
berkala untuk memastikan bahwa tujuan tersebut masih
relevan dan berkesinambungan.
b. Tujuan pada tingkatan kegiatan saling melengkapi, saling
menunjang, dan tidak bertentangan satu dengan lainnya.
c. Tujuan pada tingkatan kegiatan relevan dengan seluruh
kegiatan utama instansi pemerintah. Hal-hal yang perlu
dipertimbangkan adalah sebagai berikut:
22
1) Tujuan pada tingkatan kegiatan ditetapkan untuk

semua kegiatan operasional penting dan kegiatan
pendukung.
2) Tujuan pada tingkatan kegiatan konsisten dengan
praktik dan kinerja sebelumnya yang efektif serta
kinerja industri/bisnis yang mungkin dapat diterapkan
pada kegiatan instansi pemerintah.
d. Tujuan pada tingkatan kegiatan mempunyai unsur kriteria
pengukuran.
e. Tujuan pada tingkatan kegiatan didukung sumber daya
instansi pemerintah yang cukup. Hal-hal yang perlu
dipertimbangkan adalah sebagai berikut:
1) Sumber daya yang diperlukan untuk mencapai tujuan
sudah diidentifikasi.
2) Jika tidak tersedia sumber daya yang cukup, pimpinan
instansi pemerintah harus memiliki rencana untuk
mendapatkannya.
f. Pimpinan instansi pemerintah mengidentifikasi tujuan pada
tingkatan kegiatan yang penting terhadap keberhasilan
tujuan instansi pemerintah secara keseluruhan. Hal-hal
1) Pimpinan instansi pemerintah mengidentifikasi hal yang
harus
ada
atau
dilakukan
agar
tujuan
instansi
pemerintah secara keseluruhan tercapai.

2) Tujuan pada tingkatan kegiatan yang penting harus
mendapat perhatian dan direviu secara khusus serta
capaian kinerjanya
dipantau secara
teratur
oleh
pimpinan instansi pemerintah.

23
g. Semua tingkatan pimpinan instansi pemerintah terlibat

dalam proses penetapan tujuan pada tingkatan kegiatan
dan berkomitmen untuk mencapainya.
3. Identifikasi Risiko
a. Pimpinan instansi pemerintah menggunakan metodologi
identifikasi risiko yang sesuai untuk tujuan instansi
pemerintah dan tujuan pada tingkatan kegiatan secara
komprehensif. Hal-hal yang perlu dipertimbangkan adalah
sebagai berikut:
1) Metode kualitatif
dan kuantitatif
digunakan
untuk
mengidentifikasi risiko dan menentukan peringkat risiko

relatif secara terjadwal dan berkala.
2) Cara suatu risiko diidentifikasi, diperingkat, dianalisis,
dan diatasi telah dikomunikasikan kepada pegawai yang
berkepentingan.
3) Pembahasan identifikasi risiko dilakukan pada rapat
tingkat pimpinan instansi pemerintah.
4) Identifikasi risiko merupakan bagian dari prakiraan
rencana jangka pendek dan jangka panjang, serta
rencana strategis.
5) Identifikasi risiko merupakan hasil dari pertimbangan
atas temuan audit, hasil evaluasi, dan penilaian lainnya.
6) Risiko yang diidentifikasi pada tingkat pegawai dan
pimpinan tingkat menengah menjadi perhatian pimpinan
instansi pemerintah yang lebih tinggi.
24
b. Risiko dari faktor eksternal dan internal diidentifikasi

dengan menggunakan mekanisme yang memadai. Hal-hal
1) Instansi pemerintah memertimbangkan risiko dari
perkembangan teknologi.
2) Risiko yang timbul dari perubahan kebutuhan atau
harapan badan legislatif, pimpinan instansi pemerintah,
dan masyarakat sudah dipertimbangkan.
3) Risiko yang timbul dari peraturan perundang-undangan
baru sudah diidentifikasi.
4) Risiko yang timbul dari bencana alam, tindakan
kejahatan,
atau
tindakan
terorisme
sudah
dipertimbangkan.
5) Identifikasi risiko yang timbul dari perubahan kondisi
usaha, politik, dan ekonomi sudah dipertimbangkan.
6) Risiko
yang
timbul
dari
rekanan
utama
sudah
dipertimbangkan.
7) Risiko yang timbul dari interaksi dengan instansi
pemerintah lainnya dan pihak di luar pemerintahan
sudah dipertimbangkan.
8) Risiko yang timbul dari pengurangan kegiatan dan
pengurangan pegawai instansi pemerintah sudah
dipertimbangkan.
9) Risiko yang timbul dari rekayasa ulang proses bisnis
(business process re-engineering) atau perancangan
ulang proses operasional sudah dipertimbangkan.
10) Risiko yang timbul dari gangguan pemrosesan sistem
informasi dan tidak tersedianya sistem cadangan
25
11) Risiko yang timbul dari pelaksanaan program yang

didesentralisasi sudah diidentifikasi.
12) Risiko yang timbul dari tidak terpenuhinya kualifikasi
pegawai dan tidak adanya pelatihan pegawai sudah
dipertimbangkan.
13) Risiko yang timbul dari ketergantungan terhadap
rekanan atau pihak lain dalam pelaksanaan kegiatan
penting instansi pemerintah sudah diidentifikasi.
14) Risiko yang timbul dari perubahan besar dalam
tanggung jawab pimpinan instansi pemerintah sudah
diidentifikasi.
15) Risiko yang timbul dari akses pegawai yang tidak
berwenang
terhadap
aset
yang
rawan
sudah
dipertimbangkan.
16) Risiko yang
timbul
dari kelemahan
pengelolaan
pegawai.
17) Risiko yang timbul dari ketidaktersediaan dana untuk
pembiayaan program baru atau program lanjutan
c. Penilaian atas faktor lain yang dapat meningkatkan risiko
telah dilaksanakan. Hal-hal yang perlu dipertimbangkan
adalah sebagai berikut:
1) Risiko yang timbul dari kegagalan pencapaian misi,
tujuan, dan sasaran masa lalu atau keterbatasan
anggaran sudah dipertimbangkan.
2) Risiko yang timbul dari pembiayaan yang tidak memadai,
pelanggaran penggunaan dana, atau ketidakpatuhan
terhadap peraturan perundang-undangan di masa lalu
26
3) Risiko melekat pada misi instansi pemerintah, program

yang kompleks dan penting, serta kegiatan khusus
lainnya sudah diidentifikasi.
d. Risiko instansi pemerintah secara keseluruhan dan pada
setiap tingkatan kegiatan penting sudah diidentifikasi.
27
28
BAB III
LANGKAH IDENTIFIKASI RISIKO
Sebagaimana telah dijelaskan di latar belakang pedoman ini (Bab I),
pimpinan instansi berperan dalam rangka melakukan penilaian
risiko di instansinya. Dalam Bab ini, langkah identifikasi risiko
dibahas secara lebih mendalam.
A. Persiapan Identifikasi Risiko
Tahapan persiapan identifikasi risiko dimulai dengan
survei pendahuluan. Tim (satgas internal organisasi) yang
ditunjuk, menyampaikan maksud untuk melakukan survei
pendahuluan kepada pejabat instansi yang bertanggung jawab
atas kegiatan yang akan dinilai risikonya.
Dari hasil survei ini, tim akan memeroleh dan memahami
profil instansi, termasuk struktur organisasi, tugas pokok dan
fungsi, kebijakan , serta prosedur pengelolaan risikonya.
Kemudian tim membicarakan ruang lingkup penilaian risiko yang
akan dilakukan.
Berdasarkan
data
hasil
survei
pendahuluan,
tim
kemudian membuat perencanaan identifikasi risiko, termasuk

di dalamnya menentukan lingkup dan tujuan, kualitas dan jumlah
sumber daya manusia, serta anggaran biaya yang dibutuhkan.
Tahap persiapan identifikasi risiko meliputi:
1. Pembicaraan Awal
Tim akan menjelaskan dan mendiskusikan kepada
pihak yang akan dinilai mengenai tujuan, lingkup, rencana
pelaksanaan, metode pengumpulan data, metode analisis,
29
dan pembentukan contact person. Hal-hal penting yang perlu

dikomunikasikan dalam pembicaraan awal pada pimpinan
instansi adalah sebagai berikut:
a. Tujuan Penilaian Risiko
1) Menyampaikan kepada pimpinan instansi tentang tujuan
identifikasi
risiko,
sekaligus
batasan
yang
akan
diidentifikasi sehingga pada saat pelaksanaannya nanti

antara pihak yang dinilai maupun pihak penilai dapat
bekerja sama dalam hal kemudahan bertugas, serta
kemudahan dalam menyampaikan informasi dan data
yang diperlukan.
2) Beberapa hal penting yang dapat disampaikan berkaitan
dengan tujuan, antara lain:
a) Memahami sejauh mana kondisi penerapan sistem
pengendalian dan pengelolaan risiko pada instansi,
dan memberikan saran perbaikan bagi penerapan
sistem pengendaliannya;
b) Memberikan keyakinan (assurance) atas pendekatan
pengelolaan risiko instansi dan nilai tambah dalam
proses organisasi agar lebih ekonomis, efisiensi,
efektif, dan meningkatkan akuntabilitas instansi;
c) Menyampaikan bahwa secara tidak langsung dapat
membantu pimpinan instansi atau manajemen dalam
meningkatkan
sistem
pengendalian
intern
dalam
organisasi mereka.
30
b. Ruang Lingkup
Tim penilai perlu menyampaikan kepada pihak yang
dinilai mengenai ruang lingkup yang akan dinilai. Batasan
yang akan dinilai harus disesuaikan dengan kondisi
instansi yang menjalankan proses penilaian risiko. Ruang
lingkup pelaksanaan penilaian risiko antara satu unit
dengan unit lain dapat saja berbeda. Pelaksanaan
penilaian risiko instansi dapat dilakukan pada:
1) Tingkat strategis, meliputi antara lain pengembangan
kebijakan, penyampaian layanan, program ketaatan,
dan pertimbangan politik;
2) Tingkat instansi dan program, meliputi antara lain
prioritas dan strategi organisasi, manajemen keuangan,
hubungan antar organisasi, teknologi, pengendalian dan
pencegahan kecurangan, kemampuan staf, manajemen
aset, serta kewajiban sosial dan strategi koordinasi;
3) Tingkat kegiatan/proyek, meliputi antara lain perencanaan,
proses, prioritas pekerjaan, pengembangan dan pelatihan,
kontrak, prosedur, kualitas data, pengadaan, konsultan,
jaminan
kualitas,
struktur
pemberdayaan pegawai,
organisasi,
komunikasi,
konstruksi dan bangunan,
informasi teknologi, dan joint ventures;

4) Tingkat individu, meliputi antara lain mutasi pegawai,
pengembangan kemampuan, keseimbangan antara
urusan pekerjaan dan rumah tangga, tingkat komitmen,
etika dan nilai (kualitas kepemimpinan), isu kesehatan,
kewajiban hukum pegawai.
31
c. Rencana Waktu Pelaksanaan

Rencana
jangka
waktu
pelaksanaan,
meliputi
perencanaan sejak proses penetapan tujuan, identifikasi,

analisis, termasuk evaluasi risiko.
d. Metode Pengumpulan Data
Membicarakan data yang dibutuhkan dalam proses
penilaian risiko, termasuk metode pengumpulan data dan
perencanaan responden. Data di sini digunakan sebagai
sarana kajian, analisis, dan juga sebagai bukti pendukung.
Metode pengumpulan data yang dianjurkan antara lain
adalah:
1) Reviu/kajian dokumen;
2) Kuesioner/check list yang dibuat berdasarkan hasil
Focus Group Discussion (FGD);
3) Wawancara; dan
4) Observasi.
Penetapan jumlah responden yang dibutuhkan dapat
dilakukan secara sampel, jika ada keterbatasan waktu dan
tenaga, namun sampel tetap harus memenuhi kriteria
keterwakilan.
e. Metode Analisis Data
Agar data dapat memberikan informasi, harus dilakukan
pengolahan data dan analisis data. Pengolahan data dapat
dilakukan dengan menggunakan Software SPSS, Microsoft
Excel, atau pengolah data lainnya.
32
f. Pembentukan Primary Contact Person

Tim penilai perlu meyakinkan kepada pimpinan instansi
tentang pentingnya pembentukan primary contact person
dari pihak yang dinilai, yang berfungsi sebagai mediator
(disesuaikan dengan kebutuhan instansi pemerintah) bagi
tim penilai risiko. Pengumpulan data dilakukan setelah
tercapai kesepakatan dengan primary contact person
mengenai pemahaman penugasan, ruang lingkup, jadwal
kegiatan, maupun metodologi identifikasi/penilaian risiko
yang akan dilakukan. Mediator berfungsi membantu tim
dalam bertanya dan meminta bantuan; menyediakan
berbagai data dan atau informasi yang diperlukan;
menetapkan jadwal pertemuan dengan pimpinan hingga
jadwal waktu pelaksanaan yang lebih rinci dari setiap
tahap; mengumpulkan data, baik melalui permintaan
langsung atau melalui pengisian kuesioner/checklist,
termasuk pembahasan mengenai teknis pelaksanaannya;
serta merencanakan pelaksanaan observasi, termasuk
menyediakan
ruangan
dan
perangkat
kerja
yang
diperlukan.
2. Pengumpulan Data
Permintaan data sebaiknya dilakukan dengan surat resmi
dari tim penilai yang ditujukan kepada primary contact person.
Permintaan data harus secara jelas menyebutkan :
a. Alamat yang dituju (nama orang atau jabatannya);
b. Jenis/nama data;
c. Tanggal batas waktu terakhir penyampaian data; dan
d. Keterangan lain yang dianggap perlu.
33
3. Pengolahan Data
Data yang telah dikumpulkan melalui kajian dokumen,
kuesioner, observasi, dan wawancara masih berupa data
mentah. Data tersebut perlu diolah supaya dapat digunakan
dalam proses analisis selanjutnya. Proses pengolahan data
dilakukan dalam empat tahap, yaitu:
a. Penyuntingan (editing), dilakukan dengan tujuan untuk
meyakinkan bahwa jumlah kertas kerja (misal wawancara)
harus sama dengan jumlah satuan analisis sampel.
Kemudian melakukan pengecekan atas kelengkapan dan
validitas data. Proses penyuntingan selesai bila sudah
dapat
dipastikan
bahwa
semua
kertas
kerja
telah
terkumpul dan valid.

b. Pemberian
kode
mempermudah
(coding),
tim
penilai
dilakukan
dengan
memasukkan
data
tujuan
dan
menghindari pengulangan memasukkan data. Pemberian

kode dapat berupa angka atau huruf.
c. Tabulasi, untuk memudahkan tim penilai dalam memroses
dapat menggunakan
software untuk pengecekan ulang,
memuat data yang banyak, dan melakukan beragam

analisis. Program yang dapat digunakan adalah SPSS
(Statistical Package for Social Science), Microsoft Excel,
atau program pengolah data lainnya.
d. Analisis
data,
dilakukan
dengan
tujuan
untuk
menggolongkan, mengurutkan, dan menyederhanakan

data sehingga memudahkan tim menginterpretasikannya.
34
B. Pelaksanaan Identifikasi Risiko

Sebelum melakukan identifikasi, perlu dilakukan penetapan
konteks/tujuan.
1. Penetapan Konteks/Tujuan
a. Pengertian dan Tujuan Penetapan Konteks
Identifikasi/penilaian risiko diawali dengan penetapan
konteks/tujuan organisasi yang jelas dan konsisten, baik
pada tingkat strategis atau kebijakan maupun tingkat
operasional. Penetapan konteks dilakukan dengan cara
menjabarkan latar belakang, ruang lingkup, tujuan, dan
hubungan organisasi dengan lingkungan eksternal dan
internal.
Risiko
merupakan
segala
sesuatu
yang
berdampak terhadap pencapaian tujuan yang diukur

berdasarkan kemungkinan dan konsekuensinya. Oleh
karena itu, untuk meyakinkan bahwa semua risiko
signifikan telah dicakup, maka perlu mengetahui tujuan dan
fungsi atau aktivitas instansi yang ditelaah.
Pada dasarnya, penetapan tujuan merupakan inti dari
penetapan konteks. Dalam penetapan tujuan, instansi
harus
mempunyai
unsur
kriteria
keberhasilan
atau
indikator kinerja kunci (key performance indicators)

sebagai
dasar
pencapaian
pengukuran
tujuan,
dan
atau
juga
kriteria
digunakan
evaluasi
untuk
mengidentifikasi dan mengukur dampak atau konsekuensi

risiko yang dapat mengganggu tujuan instansi.
Tujuan penetapan konteks adalah:
1) Menjelaskan pernyataan tujuan yang spesifik, terukur,
dapat dicapai, realistis, dan tepat waktu;
35
2) Mengidentifikasi lingkungan dimana tujuan akan dicapai;

3) Menetapkan ruang lingkup dan tujuan penerapan
penilaian risiko, kondisi yang membatasi, dan hasil yang
diharapkan;
4) Mengidentifikasi berbagai kriteria yang digunakan untuk
menganalisis dan mengevaluasi risiko; dan
5) Menetapkan struktur analisis risiko.
b. Prosedur Penetapan Konteks
Terdapat lima tahap untuk membantu menetapkan
konteks dimana risiko akan diidentifikasi.
1) Menetapkan Konteks Eksternal
Tahap
ini
menetapkan
lingkungan
menyeluruh
dimana instansi atau organisasi beroperasi, termasuk

pemahaman atas persepsi dan nilai-nilai dari pemangku
kepentingan eksternal (external stakeholders), serta
menetapkan kebijakan komunikasi dengan pihak-pihak
eksternal. Penetapan konteks meliputi penelaahan
hubungan antara instansi dan lingkungan eksternal
yang berkaitan dengan risiko dan peluang, misalnya
peraturan perundang-undangan, persaingan, kondisi
usaha/pelayanan publik, sosial, politik, dan ekonomi.
Penetapan konteks eksternal adalah penting untuk
menjamin bahwa pemangku kepentingan dan peranan,
tujuan, serta pengaruh mereka dipertimbangkan ketika
mengembangkan kriteria risiko dilihat dari ancaman dan
peluang.
36
2) Menetapkan Konteks Internal

Risiko adalah kemungkinan terjadinya sesuatu yang
dapat
mengancam
atau
menghambat
pencapaian
tujuan. Oleh karena itu, penelaahan terhadap tujuan,

sasaran dari suatu program, proyek atau aktivitas, serta
kapabilitas (orang, sistem, proses, peralatan, dan
sumber
daya
meyakinkan
lainnya)
bahwa
harus
semua
risiko
dilakukan
untuk
signifikan
telah
dipahami, serta keputusan terhadap risiko selalu

mendukung tujuan dan sasaran instansi yang lebih luas.
Penetapan konteks internal adalah penting, karena:
Pengelolaan risiko terjadi dalam konteks visi, misi,
tujuan, sasaran, strategi, dan kebijakan;
Sebagian besar risiko utama yang terjadi pada
kebanyakan
instansi
adalah
kegagalan
untuk
mencapai tujuan pada tingkat strategis/kebijakan dan

operasional, atau telah dipersepsikan gagal oleh
pemangku kepentingan;
Kebijakan,
sasaran,
dan
kepentingan
instansi
membantu menetapkan kebijakan risiko instansi; dan

Kriteria dan tujuan spesifik dari setiap aktivitas atau
unit-unit
instansi
harus selaras dengan tujuan
instansi secara keseluruhan.

3) Menetapkan Konteks Pengelolaan Risiko
Sebelum melakukan identifikasi risiko, maka batasan,
tugas pokok dan fungsi, sasaran, strategi, ruang lingkup
dan parameter dari aktivitas, atau bagian dari instansi
dimana proses pengelolaan risiko akan diterapkan
harus ditetapkan terlebih dahulu.
37
Penetapan ruang lingkup dan batasan penerapan

pengelolaan risiko meliputi:
a. Menentukan
ruang
lingkup
organisasi,
tujuan,
sasaran, proses, proyek, atau aktivitas;

b. Menetapkan sifat keputusan yang harus dilakukan;
c. Menetapkan jangka waktu dan lokasi dari program,
proyek, aktivitas, atau fungsi tertentu;
d. Mengidentifikasi setiap ruang lingkup atau kerangka
penelaahan dan sumber daya yang dibutuhkan; dan
e. Menetapkan
luas
dan
dalamnya
aktivitas
pengelolaan risiko yang akan dilaksanakan, termasuk

peran dan tanggung jawab bagian-bagian dari
organisasi yang terkait dalam proses pengelolaan
risiko dan hubungan berbagai proyek atau aktivitas
dalam organisasi.
4) Mengembangkan Kriteria Evaluasi Risiko
Penetapan tujuan organisasi harus mengandung
unsur
kriteria
measures)
pengukuran
sebagai
keberhasilan
(success
dasar kriteria evaluasi
risiko.
Kriteria keberhasilan atau indikator kinerja kunci ini

digunakan sebagai dasar mengukur pencapaian tujuan
sehingga dapat digunakan untuk mengukur dampak dari
sesuatu yang mungkin membahayakan tujuan, yaitu
konsekuensi risiko dan kemungkinan atau frekuensi
terjadinya
risiko.
Kriteria
evaluasi
risiko
adalah
keputusan mengenai tingkat risiko yang dapat diterima

atau akseptabilitas/toleransi risiko dan penanganan
risiko atau menetapkan mana risiko yang dapat
38
ditoleransi dan mana yang harus segera ditangani.

Kriteria harus menggambarkan konteks di atas. Kriteria
ini didasarkan pada operasional, teknis, keuangan,
hukum, regulasi, ketaatan pada etika, sosial, lingkungan,
kemanusiaan, citra, reputasi, pelayanan publik, atau
kriteria lainnya. Hal ini biasanya bergantung pada tujuan,
sasaran, kebijakan internal instansi, dan kepentingan
pemangku kepentingan.
Kriteria
juga
dipengaruhi
oleh
persepsi
dari
pemangku kepentingan serta ketentuan yang berlaku

pada instansi. Kriteria yang akan digunakan dalam
mengevaluasi
risiko
harus
ditetapkan
pada
awal
kegiatan penilaian risiko, namun dapat dikembangkan

lebih lanjut pada saat pelaksanaan pengelolaan risiko
sesuai dengan jenis risiko.
5) Menetapkan Struktur Analisis Risiko
Kegiatan suatu instansi luas dan kompleks, oleh
karena itu program, proyek, dan kegiatan instansi perlu
dipilah ke dalam suatu kelompok, unsur-unsur atau
bidang yang terpisah (key elements). Seperangkat
elemen atau kelompok aktivitas utama ini akan
memberikan
suatu
kerangka
pikir
yang
efisien,
menghemat waktu, serta sumber daya dalam identifikasi

risiko
dan
kemungkinan
analisis
tumpang
risiko,
tindih
sehingga
atau
menjamin
terabaikannya
identifikasi risiko signifikan tidak terjadi. Struktur yang

dipilih dalam menganalisis risiko bergantung pada sifat,
kompleksitas risiko dan ruang lingkup proyek, proses,
atau aktivitas.
39
c. Pertanyaan-pertanyaan Kunci dalam Penetapan Konteks

Pertanyaan-pertanyaan
kunci
berikut
merupakan
referensi awal dalam melakukan penetapan konteks dan

dapat dikembangkan lebih lanjut, sesuai dengan situasi,
kondisi, dan risiko masing-masing instansi di lapangan,
antara lain:
1) Apa kebijakan, tugas pokok dan fungsi, proses, atau
aktivitas instansi?
2) Bagaimana proses dan aktivitas yang dilakukan instansi
dalam pencapaian tujuannya?
3) Apa kekuatan dan kelemahan yang dimiliki instansi
dalam menjalankan tujuan atau tugas pokok dan
fungsinya?
4) Hasil akhir (outcome) apa yang diharapkan instansi?
5) Apa ancaman utama dan peluang yang dihadapi
instansi
dalam
menjalankan
tugas
pokok
dan
fungsinya?
6) Siapa pemangku kepentingan utama, baik internal
maupun eksternal
instansi, serta apa tujuan dan
kepentingan mereka?
7) Bagaimana akuntabilitas instansi terhadap pemangku
kepentingan?
8) Apa
faktor-faktor
signifikan
yang
memengaruhi
lingkungan internal dan eksternal instansi?

9) Risiko apa yang telah diidentifikasi sebelumnya?
10) Kriteria risiko apa yang seharusnya dibangun?
40
d. Penetapan Kriteria Evaluasi Risiko

Salah
satu
tujuan
penetapan
konteks
adalah
mengidentifikasi berbagai kriteria yang akan digunakan untuk

menganalisis dan mengevaluasi risiko. Sehubungan dengan
hal itu, perlu ditetapkan kriteria untuk mengukur konsekuensi,
kemungkinan, dan tingkat risiko. Dengan demikian, terdapat
tiga komponen yang digunakan untuk penilaian risiko, yaitu
(1) skala untuk menjelaskan tingkat konsekuensi
atau
dampak risiko jika risiko terjadi, (2) skala untuk menjelaskan

kemungkinan (likelihood) terjadinya risiko, dan (3) penetapan
tingkat risiko atau peringkat prioritas yang merupakan
gabungan konsekuensi dan kemungkinan.
Ada tiga metode atau pendekatan dalam analisis risiko
yang dapat digunakan untuk menetapkan tingkat risiko,
yaitu kualitatif, semi kuantitatif, dan kuantitatif. Metode ini
dapat dilakukan pada berbagai tingkatan kedalaman
bergantung pada informasi risiko, data, dan biaya yang
tersedia.
Dalam
contoh
pedoman
teknis
ini,
untuk
menetapkan skala konsekuensi/dampak, kemungkinan,

dan tingkat risiko dilakukan dengan pendekatan kualitatif.
Berikut ini diuraikan hubungan penetapan skala dan
indikator kinerja kunci sebagai ukuran keberhasilan tujuan.
1) Tujuan, Indikator Kinerja Kunci, dan Skala Konsekuensi/
Dampak
Dalam PP Nomor 60 Tahun 2008, pasal 13 ayat
(3) huruf d disebutkan bahwa penetapan tujuan pada
tingkatan kegiatan sebagaimana dimaksud dalam pasal
15, huruf d mengandung unsur kriteria pengukuran.
41
Dengan demikian, hubungan tujuan instansi pemerintah

atau organisasi dengan proses pengelolaan risiko
adalah melalui kriteria pengukuran. Kriteria pengukuran
dimaksud
merupakan
ukuran
keberhasilan
dan
biasanya disebut dengan indikator kinerja kunci (key

performance
indicators).
Pada
dasarnya,
kriteria
keberhasilan merupakan suatu ikhtisar tujuan jangka

panjang
instansi
yang
digunakan
sebagai
dasar
mengukur pencapaian tujuan instansi dan dampaknya.

Dengan menggabungkan kriteria keberhasilan dan skala
konsekuensi, maka akan diketahui tingkat konsekuensi
risiko yang mungkin terjadi. Kriteria keberhasilan atau
indikator
kinerja
kunci
dapat
dinyatakan
dengan
sejumlah kriteria yang lebih kecil meliputi semua aspek

keberhasilan, sehingga tidak ada dampak yang tidak
signifikan akan terlewatkan. Kriteria keberhasilan dapat
berupa masalah keuangan atau
ekonomi, keluaran
(barang atau jasa), ketaatan pada etika atau peraturan,

citra, reputasi, dan hubungan kepada masyarakat.
Kriteria keberhasilan atau indikator kinerja kunci pada
instansi
pelayanan
publik,
misalnya
antara
lain
mempertahankan kualitas pelayanan, mempertahankan

dan meningkatkan keyakinan masyarakat terhadap
organisasi.
Demikian juga halnya dengan penetapan prioritas
risiko, dasar utamanya adalah tujuan organisasi dimana
tujuan organisasi kemudian dinyatakan dalam ukuran
keberhasilan atau indikator kinerja kunci.
42
Jika
kriteria
keberhasilan
telah dibangun
atau
ditetapkan, maka dapat diketahui seberapa buruk suatu

risiko memengaruhi setiap kriteria yang telah ditetapkan.
Tingkat konsekuensi/dampak pada masing-masing
kriteria dapat disusun dalam skala tiga atau deskriptor
(tinggi, sedang, dan rendah) atau skala lima (tidak
signifikan,
minor,
moderat,
mayor,
dan
sangat
berbahaya/katastropik). Dalam mengembangkan skala

ini, instansi pemerintah harus mendefinisikan secara
jelas apa yang dimaksud dengan sangat berbahaya/
signifikan/katastropik
menguraikan
dan
signifikan,
tidak
signifikan,
sedang,
kurang
sebelum
signifikan.
Demikian juga dengan tinggi, sedang, dan rendah.

Contoh :
Deskripsi Dampak dalam Skala Tiga
Konsekuensi/
Dampak
Deskripsi
Rendah
Sedang
Tinggi
Pengaruh terhadap strategi dan aktivitas

operasi rendah
Pengaruhnya terhadap kepentingan para
pemangku kepentingan rendah
operasi sedang
pemangku kepentingan sedang
operasi tinggi
pemangku kepentingan tinggi
Deskripsi Dampak dalam Skala Lima

(Misalnya, skala untuk organisasi pelayanan umum,
dimana salah satu ukuran atau kriteria keberhasilannya
adalah kualitas pelayanan).
43
Konsekuensi/
Dampak
Kualitas pelayanan
Pada prinsipnya, defisiensi atau tidak
adanya pelayanan rendah, tanpa ada
komentar
Pelayanan dianggap memuaskan oleh
masyarakat umum, tetapi pegawai
instansi mewaspadai adanya defisiensi
Tidak signifikan
Kurang signifikan
Sedang
Pelayanan dianggap kurang memuaskan

oleh masyarakat umum dan pegawai
organisasi
Signifikan
Masyarakat
umum
menganggap
pelayanan organisasi tidak memuaskan
Sangat signifikan/
berbahaya/Katastropik
Pelayanan turun sangat jauh di bawah

standar yang diterima
2) Skala Kemungkinan
Demikian juga halnya skala kemungkinan terjadinya
risiko, dapat
yang
disusun dengan kategorisasi atau skala
dibagi
dalam
skala
tiga
(rendah,
sedang/menengah, dan tinggi) atau skala lima (sangat

jarang, jarang, kadang-kadang, sering dan sangat
sering).
Suatu
skala
dapat
digunakan
untuk
memeringkat kemungkinan dengan kejadian tunggal

atau probabilitas (single events) dan kejadian berulang
atau frekuensi (recurrent events).
Contoh :
Deskripsi Kemungkinan dengan Skala Tiga (Kualitatif)
Kemungkinan
Deskripsi
Rendah
Tidak pernah (jarang terjadi)
Sedang
Kemungkinan terjadinya sedang
Tinggi
Kemungkinan tinggi terjadi/hampir pasti

terjadi
44
Deskripsi Kemungkinan dengan Skala Lima

Kemung- Kejadian berulang
kinan
(Frekuensi)
Sangat
Kemungkinan
jarang
terjadi >25 tahun ke
depan
Jarang
Mungkin terjadi
sekali dalam 25
tahun
Kadangkadang
Mungkin terjadi
sekali dalam 10
tahun
Sering
Mungkin terjadi
kira-kira sekali
dalam setahun
Dapat terjadi
beberapa kali
dalam setahun
Sangat
sering
Kejadian tunggal
(Probabilitas)
Diabaikan
Probabilitas sangat
kecil, mendekati nol
Kecil kemungkinan, tetapi
tidak diabaikan
Probabilitas rendah,
tetapi lebih besar
daripada nol
Kemungkinan kurang
daripada, tetapi masih
cukup besar
Probabilitas kurang
daripada 50%, tetapi
masih cukup tinggi
Mungkin tidak
Peluang 50/50
Kemungkinan lebih
daripada atau kurang
Probabilitas lebih
daripada 50%
Peringkat
1
3) Tingkat Peringkat Risiko

Berdasarkan skala yang ditetapkan di atas,
semua risiko dimasukkan ke dalam diagram pemetaan
risiko
dalam
bentuk
matriks.
Dengan
demikian,
dihasilkan peta risiko dan urutan prioritas untuk masingmasing risiko, misalnya dengan penggolongan sangat
tinggi/ekstrim, tinggi, sedang, dan rendah.
45
Contoh Matriks Tingkat Risiko

Kemungkinan
Konsekuensi/Dampak
Tidak
Signifikan
Kurang
Signifikan
Sedang
Katastropik/
Sangat
Signifikan
Signifikan
Sangat sering
Sedang
Tinggi
Sangat
Tinggi
Sangat
tinggi
Sangat tinggi
Sering
Sedang
Sedang
Tinggi
Sangat
Tinggi
Sangat tinggi
Kadangkadang
Rendah
Sedang
Tinggi
Tinggi
Sangat
Tinggi
Jarang
Rendah
Rendah
Sedang
Sedang
Tinggi
Sangat jarang
Rendah
Rendah
Rendah
Sedang
Tinggi
Penggolongan di atas dapat menjadi acuan bagi

manajemen
atau
pimpinan
instansi
pemerintah.
Misalnya:
Risiko prioritas sangat tinggi/ekstrim adalah risiko
yang memerlukan perhatian manajemen puncak dan
tidak diterima sebagai bagian kegiatan rutin perhatian
manajemen puncak.
Risiko prioritas tinggi adalah risiko yang sangat kritis
atau serius yang diterima sebagai kegiatan rutin
tanpa perhatian manajemen puncak, tetapi menjadi
tanggung jawab manajemen operasional.
Risiko prioritas sedang adalah risiko yang diharapkan
menjadi
bagian
operasi
rutin,
tetapi
menjadi
tanggung jawab manajemen yang terkait dengan

risiko;
46
Risiko prioritas rendah adalah risiko yang akan

ditangani manajemen yang terkait, tetapi diharapkan
pengendalian yang cukup tetap dilakukan.
Pada umumnya, risiko prioritas ekstrim/sangat
tinggi dan risiko prioritas tinggi perlu dilakukan
penanganan segera atau dilakukan analisis lebih rinci.
Sebaliknya, risiko prioritas rendah pada umumnya
diabaikan tanpa tindakan lebih lanjut, tetapi ditangani
terpisah dari kegiatan rutin untuk meyakinkan bahwa
tidak terdapat perubahan yang mengakibatkan risiko
tersebut menjadi serius.
Di samping itu, bahasa warna juga dapat
digunakan untuk pemetaan tingkat risiko yang dapat
dirumuskan sebagai berikut:
Risiko rendah warna hijau, berarti risiko jarang atau
tidak bermasalah (business as usual).
Risiko sedang warna kuning, berarti beberapa risiko
harus
diperhatikan
sehingga
perlu
dilakukan
tindakan.
Risiko tinggi warna merah, berarti risiko berbahaya
sehingga perlu tindakan segera.
Contoh:
Konsekuensi/Dampak
Kemungkinan
Rendah
Sedang
Tinggi
Kuning
Merah
Merah
Kadang-kadang
Hijau
Kuning
Merah
Jarang
Hijau
Hijau
Kuning
Sering
47
Sebagaimana telah diuraikan di atas, kriteria

evaluasi risiko adalah keputusan mengenai tingkat risiko
yang dapat diterima atau akseptabilitas/toleransi risiko
dan jika dikaitkan dengan penanganan risiko, adalah
menetapkan mana risiko yang dapat ditolerir dan mana
yang harus segera ditangani.
Dalam PP Nomor 60 Tahun 2008 pasal 17 ayat
(2) dan penjelasannya disebutkan bahwa pimpinan
instansi pemerintah menerapkan prinsip-prinsip kehatihatian dalam menentukan tingkat risiko yang dapat
diterima. Yang dimaksud dengan tingkat risiko yang
dapat diterima adalah batas toleransi risiko dengan
mempertimbangkan aspek biaya dan manfaat.
Demikian juga, dalam Daftar Uji Pengendalian
Intern Pemerintah PP Nomor 60 Tahun 2008 disebutkan
bahwa hal-hal yang perlu dipertimbangkan dalam
menentukan tingkat risiko yang dapat diterima adalah
sebagai berikut:
1) Pendekatan penentuan tingkat risiko yang dapat
diterima
bervariasi
antar
instansi
pemerintah,
bergantung pada varian dan toleransi risiko.

2) Pendekatan yang diterapkan dirancang agar tingkat
risiko yang dapat diterima tetap wajar dan pimpinan
instansi
pemerintah
bertanggung
jawab
atas
penetapannya.
3) Kegiatan pengendalian khusus untuk mengelola
serta mengurangi risiko secara keseluruhan dan
di setiap tingkatan kegiatan, sudah ditetapkan dan
penerapannya selalu dipantau.
48
Sebagai tambahan, dalam menetapkan sampai

berapa rendah nilai suatu risiko sehingga manajemen
atau
pimpinan
memerhatikan
instansi
risiko
pemerintah
yang
masih
perlu
bersangkutan
atau
mengabaikannya adalah bergantung pada dua faktor

utama.
Pertama,
ketersediaan
sumber
daya.
Manajemen dapat memerhatikan dan mengalokasikan

sumber dayanya untuk menangani risiko dengan nilai
yang kecil. Namun, manajemen harus yakin bahwa
biaya yang dialokasikan untuk menangani risiko yang
bersangkutan lebih kecil dibandingkan dengan manfaat,
hasil,
atau
penghematan
yang
diharapkan
dari
terhindarnya risiko yang bersangkutan. Kedua, selera

manajemen instansi terhadap risiko (risk appetite).
Semakin tinggi selera manajemen terhadap risiko,
semakin berani manajemen menangani risiko ini. Ini
artinya, batas bawah nilai risiko semakin tinggi. Nilai
batas risiko di sini adalah nilai batas risiko antara risiko
yang masuk ke dalam kriteria risiko dalam prioritas
penanganan dan risiko yang dapat diabaikan.
2. Identifikasi Risiko
a. Tujuan Identifikasi Risiko
Risiko tidak akan dapat dikelola jika risiko belum
diidentifikasi. Jika konteks organisasi telah diidentifikasi,
maka tahap berikutnya adalah memanfaatkan informasi
untuk mengidentifikasi risiko sebanyak mungkin.
49
Identifikasi risiko ini dapat dilakukan dengan

mengidentifikasi
lokasi,
waktu,
sebab,
dan
proses
terjadinya peristiwa risiko. Dengan melakukan identifikasi

risiko, maka akan diperoleh sekumpulan informasi tentang
kejadian
risiko,
informasi
mengenai
penyebab,
dan
konsekuensi apa saja yang bisa ditimbulkan oleh risiko

tersebut.
Tujuan utama identifikasi risiko adalah untuk
mengembangkan suatu daftar yang komprehensif atas
sumber risiko dan kejadian yang mungkin mempunyai
dampak terhadap pencapaian dari masing-masing tujuan
(atau unsur-unsur utama), yang telah diidentifikasi dalam
konteks atau penetapan tujuan. Dengan kata lain, tujuan
identifikasi risiko adalah untuk mengidentifikasi seluruh
jenis risiko yang mungkin dapat memengaruhi tujuan
instansi pemerintah dan tujuan pada tingkatan kegiatan
secara komprehensif.
Melalui identifikasi risiko, maka instansi pemerintah
dapat memeroleh risiko, baik dari faktor eksternal maupun
internal, serta risiko secara keseluruhan dan pada setiap
tingkatan kegiatan pentingnya.
b. Prosedur Identifikasi Risiko
Dari keseluruhan tahapan penilaian risiko, tahap
identifikasi risiko merupakan tahapan yang memakan
waktu lebih banyak. Tahap identifikasi risiko merupakan
tahapan yang paling krusial karena pada tahap inilah profil
risiko mulai dibangun.
50
Pada dasarnya, identifikasi risiko dapat dilakukan

dengan cara retrospektif (retrospectively) dan prospektif
(prospectively). Dalam (HB 436:2004, hal 7) dikatakan
bahwa
Managing risk involves identifying and being
prepared for what might happen rather than always

managing retrospectively. Mengelola risiko mencakup
identifikasi dan selalu siap terhadap apa yang akan terjadi
lebih daripada sekedar pengelolaan rutin.
1) Identifikasi Risiko Retrospektif
Identifikasi risiko retrospektif (retrospective risks)
adalah risiko-risiko yang sebelumnya telah pernah
terjadi, seperti insiden atau kecelakaan. Identifikasi
risiko retrospektif biasanya merupakan cara yang
sangat umum dan mudah untuk mengidentifikasi risiko.
Adalah lebih mudah untuk memercayai sesuatu jika
sesuatu tersebut telah terjadi sebelumnya, sehingga
lebih mudah untuk mengkuantifikasi dampaknya dan
melihat bahaya yang menyebabkannya.
Sumber informasi
risiko retrospektif
meliputi antara
lain:
(1)Daftar atau register insiden/bahaya;
(2)Laporan audit, hasil evaluasi, dan penilaian lainnya;
(3)Keluhan pelanggan;
(4)Dokumen dan laporan;
(5)Staf lama atau survei klien; dan
(6)Media profesional atau surat kabar, seperti jurnal
atau websites.
51
2) Identifikasi Risiko Prospektif

Risiko prospektif (prospective risks) biasanya
lebih sulit untuk diidentifikasi. Risiko ini adalah sesuatu
yang belum terjadi, tetapi mungkin terjadi beberapa
waktu yang akan datang.
Identifikasi akan meliputi semua risiko, apakah
risiko tersebut akan dikelola sekarang atau tidak. Dasar
pemikirannya di sini adalah mencatat semua risiko
signifikan dan memantau atau mereviu efektivitas
pengendaliannya.
Metode untuk mengidentifikasi risiko prospektif, meliputi
antara lain:
(1)melakukan
brainstorming
dengan
staf
atau
pemangku kepentingan eksternal;

(2)riset ekonomi, politik, legislatif, dan lingkungan
operasi;
(3)melakukan wawancara dengan orang-orang yang
relevan;
(4)melakukan
survei
staf
atau
klien
untuk
mengidentifikasi isu-isu atau problem yang akan

diantisipasi;
(5)bagan arus suatu proses;
(6)mereviu desain sistem atau membuat teknik-teknik
analisis sistem; dan
(7)analisis SWOT.
52
Secara lebih rinci, berikut ini diuraikan
prosedur
yang dapat dilakukan dalam melakukan identifikasi

risiko, yaitu sebagai berikut:
(1)Menentukan Unit Pemilik Risiko
Proses penilaian risiko dimulai dengan menentukan
unit di dalam organisasi atau instansi pemerintah
dimana risiko akan diidentifikasi, yang dikenal
dengan istilah unit risiko atau unit pemilik risiko
(UPR).
Semua risiko yang ada pada unit pemilik
risiko merupakan milik dari unit tersebut dan menjadi

tanggung jawab dari pimpinan unit risiko tersebut.
Dengan kata lain, suatu unit risiko adalah juga
pemilik
risiko (risk owner) yang terjadi di unit
tersebut.
(2)Menentukan Semua Sumber-Sumber Risiko
Beberapa langkah yang dapat dilakukan dalam
menentukan sumber-sumber risiko adalah:
(a)Identifikasi setiap sumber risiko yang melekat
(inherent sources of risk), termasuk lokasi, dan
proses terjadinya risiko, baik yang berasal dari
lingkungan
eksternal
maupun
internal,
yang
berhubungan dengan pencapaian tujuan atau

tugas pokok dan fungsi yang telah ditetapkan
dalam penetapan konteks.
(b)Identifikasi semua sumber risiko yang berasal dari
semua pemangku kepentingan, baik eksternal
maupun internal yang relevan (termasuk persepsi
para pemangku kepentingan atas risiko) yang
mempunyai konsekuensi dan kemungkinan yang
buruk atas operasi instansi pemerintah.
53
(c) Identifikasi risiko yang terkait atau interdependensi

antara kejadian dan risiko yang tidak jelas yang
kemungkinannya mempunyai dampak terhadap
risiko
utama,
pemborosan,
antara
lain
penyalahgunaan,
penggelapan,
dan
salah
kelola (mismanagement). Hubungan risiko ini juga

akan memengaruhi pilihan pengendalian apakah
instansi pemerintah mampu mengendalikannya.
(d)Identifikasi adanya satu sumber risiko yang
kemungkinannya mempunyai dampak banyak,
sumber risiko banyak mempunyai dampak sedikit,
dan sumber risiko banyak mempunyai dampak
yang banyak juga.
(3)Klasifikasikan risiko-risiko yang telah diidentifikasi
ke dalam beberapa kategori risiko, misalnya risiko
strategis
atau
kebijakan,
risiko
operasional,
keuangan, kepatuhan, dan fraud.

(4)Dapatkan informasi tambahan yang sah (valid)
untuk mengidentifikasi risiko dan untuk memahami
kemungkinan dan konsekuensinya. Informasi ini
harus relevan, komprehensif, akurat, dan tepat waktu
jika sumber daya memungkinkan. Informasi yang ada
harus diakses dan, bila perlu, informasi baru
dikembangkan.
(5)Yakinkan bahwa orang-orang yang terlibat dalam
mengidentifikasi risiko mempunyai pengetahuan
mengenai tujuan, tugas pokok dan fungsi, kegiatan,
serta proyek yang sedang ditelaah.
54
(6)Identifikasi Faktor Penyebab

Identifikasi apa faktor penyebab utama atau akar
penyebab
(root
peristiwa
risiko,
cause)
baik
terjadinya
yang
dapat
serangkaian
dikendalikan
maupun di luar kendali instansi pemerintah, misalnya

kejadian yang tidak dapat diantisipasi dan tidak
adanya
pengendalian
tertentu.
Lakukan
juga
dokumentasi semua faktor-faktor penyebab yang

dapat dikendalikan maupun di luar kendali instansi.
Dalam menyelidiki faktor penyebab, interdependensi
antara unsur-unsur kejadian perlu diidentifikasi.
(7)Identifikasi Pengendalian yang Sudah Ada
Identifikasi
pengendalian
yang
ada
(existing
controls), baik untuk masing-masing sumber risiko

maupun masing-masing faktor penyebab risiko,
misalnya
apakah
pengendalian
atas
instansi
sumber
telah
risiko
melakukan
atau
faktor
penyebab risiko.
(8)Pahami risiko-risiko yang timbul di luar kendali
instansi, namun mempunyai dampak spesifik yang
memerlukan
perencanaan
kontinjensi
atau
penanganan khusus.
(9)Lakukan penilaian atas cukupnya pengendalian yang
ada.
(10) Buat simpulan hasil identifikasi risiko.
Buat
simpulan
hasil
identifikasi
risiko
dengan
membuat daftar risiko.
55
c. Pertanyaan-pertanyaan Kunci dalam Identifikasi Risiko

Pertanyaan-pertanyaan
kunci
berikut
merupakan
referensi awal dalam melakukan identifikasi risiko dan

dapat dikembangkan lebih lanjut sesuai dengan situasi,
kondisi, dan risiko masing-masing instansi, antara lain:
1) Apa, kapan, dimana, dan kapan kemungkinan terjadinya
risiko, mengapa, dan bagaimana dapat terjadi?
2) Apa sumber dari masing-masing risiko?
3) Pengendalian apa yang ada untuk mengatasi masingmasing risiko?
4) Alternatif apa, jika pengendalian yang layak tidak
tersedia?
5) Apa kewajiban atau akuntabilitas instansi pemerintah
kepada pihak internal dan eksternal?
6) Apakah perlu dilakukan penelitian lebih lanjut atas risiko
spesifik?
7) Apa ruang lingkup penelitian tersebut dan sumber daya
apa yang diperlukan?
8) Bagaimana keandalan informasi yang ada?
d. Cara Membuat Pernyataan Risiko
1) Nyatakan
secara
spesifik
risiko
yang
dapat
menghambat tujuan organisasi. Gunakan kata-kata

penghubung seperti akan mengakibatkan, dapat
mengarah
kepada,
dapat
menghambat,
akan
menghalangi, akan mencegah. Jangan menyatakan

suatu kondisi umum yang tidak menguntungkan sebagai
suatu risiko.
56
Contoh:
Pernyataan risiko yang buruk:
- Pemotongan anggaran
- Proses birokrasi berbelit
Pernyataan yang lebih baik:
- Kemungkinan pemotongan anggaran sebesar 10%
akan dapat menghambat pencapaian X.
- Proses
persetujuan
yang
rumit
akan
memperlambat layanan Y yang seharusnya cepat.
2) Tentukan momen/waktu yang tepat dalam rangkaian
kejadian yang dapat dikendalikan oleh instansi. Jangan
nyatakan lebih dari satu risiko dalam suatu waktu.
Contoh:
- Kecelakaan
XYZ
menyebabkan
kerusakan
lingkungan, berbahaya terhadap kesehatan, dan
kemungkinan masalah hukum (litigasi) yang dapat
berdampak hilangnya reputasi, serta berisiko
secara politik.
Pernyataan yang lebih baik:
- Kegagalan dalam memastikan pengendalian
lingkungan yang efektif akan mengakibatkan
kecelakaan XYZ.
3) Kenali risiko-risiko yang pada dasarnya berada di luar
kendali instansi, namun memiliki dampak spesifik
sehingga memerlukan perencanaan kontinjensi.
Contoh:
- Ada kemungkinan kekurangan tenaga listrik yang
akan
memengaruhi
segalanya,
sehingga
kementerian tidak dapat memproses pembayaran.
(Catatan: pernyataan ini ditolak karena berada di
luar kendali instansi serta di luar lingkupnya).
57
Pernyataan yang lebih baik dan dampaknya spesifik:

- Bencana alam atau bencana lainnya akan
mengakibatkan terputusnya tenaga listrik dan
mencegah pekerjaan yang harus dilakukan dalam
sistem
pembayaran,
terutama
pembayaranpembayaran yang harus segera.
- Kementerian menunda seluruh investasi dan
menghapuskan program kami (dianggap di luar
kendali).
Pernyataan yang lebih baik dan dampaknya spesifik:
- Kementerian menunda seluruh investasi yang
berkaitan dengan teknologi informasi sehingga
dapat menghambat diimplementasikannya server
untuk e-payment.
(Catatan: penanganannya dapat mencakup: 1.
Reviu sistem manual; 2. Peningkatan komunikasi
dan konsultasi dengan tim dari kementerian).
4) Mewaspadai penyajian register risiko yang dipenuhi
dengan risiko-risiko generik. Ada kemungkinan tidak
akurat karena belum dirumuskan dengan baik untuk
tujuan pengelolaannya, atau partisipan bukanlah pemilik
dari risiko tersebut. Hal ini bisa menyimpangkan tujuan
proses brainstorming.
5) Pernyataan risiko berformat jika-maka Jika hal ini
terjadi, maka hasilnya akan begini. Atau bisa juga
menggunakan format kejadian-konsekuensi Jika hal
ini terjadi, maka konsekuensinya seperti ini.
58
e. Metode, Sumber, dan Jenis Informasi

Berikut ini diuraikan secara ringkas metode, sumber
informasi risiko, dan jenis informasi dalam melakukan
identifikasi risiko.
1) Metode
Pada dasarnya, identifikasi risiko dapat dilakukan
dengan menggunakan salah satu dari keempat metode
berikut, atau bisa juga digunakan secara bersama-sama
agar saling melengkapi.
a) Metode 1: Analisis Data Historis
Prinsip
dari
metode
ini
adalah
menggunakan
berbagai informasi atau data mengenai segala

sesuatu yang pernah terjadi, baik data primer
maupun data sekunder.
b) Metode 2: Pengamatan dan Survei
Bila
tidak
dilakukan
tersedia
data
investigasi,
historis,
maka
dapat
pengamatan,
atau
survei
di tempat (on the spot ) sehingga dapat diperoleh

data primer.
c) Metode 3: Pengacuan (Benchmarking)
Metode
ini
pada
prinsipnya
diterapkan
untuk
melengkapi identifikasi risiko menggunakan metode 1

dan 2 di atas. Seandainya dengan kedua metode di
atas,
risiko
yang
diperoleh
dirasakan
kurang
meyakinkan, atau ada risiko yang bisa terjadi tetapi

tidak ditemukan, atau tidak menyadari adanya suatu
risiko terkait dengan obyek yang diamati dan
memerlukan konfirmasi lebih lanjut, maka perlu
59
dilakukan
pencarian
organisasi
lain
Benchmark
informasi
sebagai
merupakan
di
acuan
obyek
tempat
atau
(benchmark).
yang
memiliki
kesamaan dengan obyek yang sedang diamati

berkaitan dengan keberadaan risiko.
d) Metode 4: Pendapat Ahli
Pendapat ahli (expert opinion) dapat diperoleh
melalui wawancara kepada satu orang, kepada
sekelompok orang, atau melalui diskusi kelompok
khusus, atau focus group discussion (FGD). Pihak
yang diwawancarai atau dilibatkan adalah mereka
yang dianggap ahli.
2) Sumber Informasi Risiko
Untuk dapat menerapkan setiap metode di atas,
maka
perlu
dasarnya,
mengenali
sumber
sumber
informasi
informasi.
dapat
Pada
dikelompokkan
berdasarkan asalnya, yaitu sumber internal dan sumber

eksternal. Berikut ini diuraikan sumber-sumber informasi
utama yang dapat digunakan.
a) Dokumen Internal
Terdapat banyak dokumen internal instansi yang
dapat dimanfaatkan untuk memeroleh informasi
mengenai berbagai risiko yang mungkin terjadi.
Dokumen tersebut bisa berupa rencana strategis,
anggaran,
prosedur
operasi
standar
(standard
operating procedures), dokumen SDM, surat perintah,

dan lain-lain.
60
b) Dokumen Eksternal
Dokumen eksternal menyebar di mana-mana,
bergantung
pada
risiko
apa
yang
sedang
diidentifikasi. Dokumen dapat berupa media massa

seperti koran dan majalah, hasil publikasi data
seperti data keuangan dan ekonomi.
c) Pihak Internal Instansi
Pihak internal instansi adalah orang yang ahli
yang dapat dimintai informasi mengenai obyek untuk
mengidentifikasi risiko. Misalnya, pegawai yang
mengoperasikan komputer dalam waktu yang lama
adalah ahli mengenai komputer tersebut. Pegawai
personalia merupakan ahli yang dapat menjadi
sumber
informasi
mengenai
masalah-masalah
personalia.
d) Pihak Eksternal Instansi
Pihak eksternal bisa berupa pelanggan, pemasok,
pesaing,
peraturan
pemerintah,
pengamat,
dan
tenaga ahli. Semakin dekat hubungan mereka

dengan
instansi,
semakin
bermanfaat
mereka
sebagai sumber informasi.

3) Jenis Informasi
Terdapat beberapa jenis informasi yang dapat
digunakan
untuk
mengidentifikasi
risiko,
seperti
diuraikan berikut :
61
a) Informasi Lingkungan Eksternal

Informasi
lingkungan
eksternal
informasi yang berasal dari
di
sini
berupa
perubahan politik,
ekonomi, sosial, perkembangan teknologi, perubahan

lingkungan usaha, dan regulasi.
b) Informasi Keuangan
Informasi keuangan instansi, antara lain dapat
berupa
laporan keuangan, data DIPA beserta
rinciannya, ketersediaan dana untuk pembiayaan

program baru atau program lanjutan.
c) Informasi Proses
Informasi proses merupakan proses dan aktivitas
yang dilakukan oleh unit-unit instansi, dari awal
sampai dengan akhir.
d) Informasi Arus Dokumen
Selain arus proses, risiko dapat ditrasir berdasarkan
arus dokumen. Arus dokumen dapat dilihat dari
prosedur operasi standar yang dimiliki instansi
sehingga diketahui ke mana saja dokumen mengalir.
Penyimpangan arus dokumen atau tidak lengkapnya
otorisasi dan tidak adanya pengendalian dokumen
mengindikasikan adanya risiko.
e) Informasi Kontrak
Informasi
kontrak
diperoleh
dengan
cara
mengevaluasi dokumen kontrak instansi dengan

berbagai pihak, seperti kontrak dengan karyawan,
pemasok, dan kontraktor.
62
Setelah melakukan identifikasi risiko, langkah selanjutnya

adalah melakukan analisis risiko yang disajikan pada Buku
Pedoman Teknis Analisis Risiko.
63
64
BAB IV
PENUTUP
Identifikasi risiko pada sektor publik merupakan bagian dari
penyelenggaraan SPIP yang dibangun oleh manajemen instansi
pemerintah. Tahapan identifikasi risiko diawali dengan penetapan
konteks bagi lingkup instansi yang besar atau penetapan tujuan
bagi kegiatan dalam suatu instansi.
Identifikasi risiko dilakukan
agar manajemen dapat mengelola risiko tersebut.

Pedoman ini disusun untuk memberikan acuan praktis bagi
pimpinan
instansi
pemerintah
dalam
menciptakan
dan
melaksanakan sistem pengendalian intern, khususnya pada unsur

penilaian risiko sub unsur identifikasi risiko di lingkungan instansi
yang dipimpinnya.
Hal-hal yang dicakup dalam pedoman teknis ini adalah
acuan mendasar yang berlaku secara umum bagi seluruh instansi
pemerintah, yang minimal harus dipenuhi dalam penerapan
identifikasi risiko, dan tidak mengatur secara spesifik bagi instansi
tertentu. Instansi pemerintah hendaknya dapat mengembangkan
lebih jauh langkah-langkah yang perlu diambil sesuai
dengan
kebutuhannya, dengan tetap mengacu dan tidak bertentangan

dengan peraturan perundang-undangan yang berlaku.
Sesuai dengan perkembangan teori dan praktik-praktik sistem
pengendalian intern, pedoman ini perlu disesuaikan secara terusmenerus.
65

SPIP: Identifikasi Resiko

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

SPIP: Identifikasi Resiko

Diunggah oleh

Hak Cipta:

Format Tersedia

BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN

Pembinaan penyelenggaraan Sistem Pengendalian Intern

Pengawasan Keuangan dan Pembangunan (BPKP), sesuai dengan

menteri/pimpinan lembaga, gubernur, dan bupati/walikota sebagai

2.1 Identifikasi Risiko

Untuk memenuhi kebutuhan pedoman penyelenggaraan SPIP,

subunsur pengendalian. Pedoman teknis sub unsur ini merupakan

penyelenggaraan subunsur SPIP.

disesuaikan dengan karakteristik masing-masing instansi

yang meliputi fungsi, sifat, tujuan, dan kompleksitas instansi

Jakarta, Desember 2009

KATA PENGANTAR .................................................................

DAFTAR ISI ...............................................................................

B. Sistematika Pembahasan ........................................

BAB II GAMBARAN UMUM

B. Proses Pengelolaan Risiko ....................................... 13

BAB III LANGKAH IDENTIFIKASI RISIKO

2.1 Identifikasi Risiko

2.1 Identifikasi Risiko

keikutsertaan seluruh pegawai, haruslah menjadi komitmen

membangun kondisi nyaman tersebut, lingkungan pengendalian

Kepemimpinan yang kondusif diartikan sebagai situasi dimana

Penilaian risiko dengan dua sub unsurnya, dimulai dengan

melihat kesesuaian antara tujuan kegiatan yang dilaksanakan

menganalisisnya untuk mendapatkan risiko yang memiliki

dilakukan pemantauan secara terus-menerus guna perbaikan

Ketidakpastian diartikan sebagai kurangnya pengetahuan dalam

ketidakpastian yang kemungkinan hasilnya akan berakibat tidak

Meskipun berkonotasi negatif, risiko bukan merupakan sesuatu

2.1 Identifikasi Risiko

Di samping itu, penilaian risiko (risk assessment)

berorientasi nirlaba, serta sektor publik (badan pemerintah,

penilaian risiko. Dalam PP Nomor 60 Tahun 2008, pasal 13,

melakukan penilaian risiko yang mencakup identifikasi, analisis,

pengendalian yang ada dapat dinilai. Keduanya merupakan

risiko, sehingga dapat

memberikan hasil yang optimal.

terkait dengan penetapan tujuan dan

sasaran instansi pemerintah. Hal ini sejalan dengan PP Nomor

(1), pimpinan instansi pemerintah menetapkan (a) tujuan instansi

Bab III Langkah Identifikasi Risiko

sedangkan analisis risiko akan dibahas pada pedoman tersendiri.

2.1 Identifikasi Risiko

2.1 Identifikasi Risiko

Sesuai dengan penjelasan pasal 3 huruf b Peraturan

samping itu, terdapat tiga unsur lain yang

menentukan tingkat risiko, yaitu paparan atau kemunculan

menyebabkan kerugian atau kehilangan. Risiko juga dapat

Berdasarkan pada dampaknya terhadap tujuan, risiko

sasaran Instansi pemerintah.

disebabkan oleh faktor-faktor nonkeuangan, misalnya

(misalnya keuangan, perubahan politik, dan keamanan)

manajemen (Perencanaan, Pengorganisasian, Pelaksanaan,

suatu risiko berhubungan atau berkaitan

dengan (sesuai dengan HB 436: 2004, halaman 38):

pesaing, dan pemerintah.

memenuhi tingkat hasil tertentu.

memprediksi aktivitas pesaing, dan kegagalan untuk

misalnya sistem deteksi, sistem pembersihan, kebijakan,

Sumber risiko, menurut

Zealand Standard (AS/NZS) 4360:2004, meliputi: perilaku

teknologi, bencana alam, dan gangguan keamanan.

keterbatasan dana operasional, sumber daya manusia