PEDOMAN TEKNIS
PENYELENGGARAAN SPIP
SUB UNSUR
IDENTIFIKASI RISIKO
(2.1)
NOMOR : PER-1326/K/LB/2009
TANGGAL : 7 DESEMBER 2009
KATA PENGANTAR
(SPIP)
merupakan
tanggung
jawab
Badan
pengendalian
intern,
yang
menjadi
tanggung
jawab
pengawasan intern
pemerintah.
Kelima kegiatan dimaksud diarahkan dalam rangka penerapan
unsur-unsur SPIP, yaitu:
1. lingkungan pengendalian;
2. penilaian risiko;
3. kegiatan pengendalian;
4. informasi dan komunikasi; dan
5. pemantauan pengendalian intern.
dalam
pedoman
teknis
penyelenggaraan
masing-masing
langkah-langkah
yang
perlu
dilaksanakan
dalam
Kuswono Soeseno
NIP 19500910 197511 1 001
2.1 Identifikasi Risiko
ii
DAFTAR ISI
Halaman
iii
BAB I PENDAHULUAN
A. Latar Belakang .........................................................
BAB IVPENUTUP
iii
iv
BAB I
PENDAHULUAN
A. Latar Belakang
Penilaian risiko merupakan salah satu unsur dalam Sistem
Pengendalian Intern Pemerintah (SPIP), selain unsur lingkungan
pengendalian, kegiatan pengendalian, informasi dan komunikasi,
serta pemantauan pengendalian intern. Proses pengendalian
menyatu pada tindakan dan kegiatan yang dilakukan secara
terus-menerus oleh pimpinan dan seluruh pegawai, maka yang
menjadi fondasi dari pengendalian adalah orang-orang (SDM)
di dalam organisasi yang membentuk lingkungan pengendalian
yang baik dalam mencapai sasaran dan tujuan yang ingin
dicapai instansi pemerintah.
Penyelenggaraan unsur pertama SPIP, yaitu lingkungan
pengendalian dalam rangka peningkatan kondisi lingkungan
yang
nyaman
sehingga
menimbulkan
kepedulian
dan
terselenggaranya
unsur-unsur
SPIP
lainnya. Untuk
baik
harus
memiliki
kepemimpinan
yang
kondusif.
menyelenggarakan
penilaian
risiko
di
instansinya.
atas
memengaruhi
risiko
intern
keberhasilan
dan
ekstern
pencapaian
yang
tujuan
dapat
tersebut,
haruslah
dilaporkan
dan
dikomunikasikan
serta
mengacu
pada
ketidakpastian
(uncertainty).
kemungkinan
hasil,
sementara
risiko
adalah
atau
mendatangkan
kerugian
yang
signifikan.
laba
maupun
organisasi
masyarakat
yang
pimpinan
instansi
pemerintah
wajib
melakukan
dengan
hal
tersebut,
untuk
dapat
diidentifikasi
dan
3
penetapan konteks
Pendahuluan
Dalam bab ini diuraikan mengenai latar belakang dan
sistematika pembahasan.
Bab II
Gambaran Umum
Dalam bab ini diuraikan secara singkat pengertian risiko,
proses pengelolaan risiko, dan penilaian risiko.
meliputi
juga
penetapan
konteks/tujuan
instansi,
BAB II
GAMBARAN UMUM
Bab ini memberikan gambaran umum tentang risiko, proses
pengelolaan risiko, dan penilaian risiko. Penilaian risiko sangat
berkaitan erat dengan proses pengelolaan risiko.
A. Risiko
1. Pengertian Risiko
Setiap keputusan untuk melakukan sesuatu atau tidak
melakukan sesuatu, keduanya membawa konsekuensi atau
dampak risiko. Risiko merupakan kondisi yang jika terjadi
akan menghambat atau mengganggu pencapaian tujuan
suatu organisasi, baik yang bersifat langsung maupun tidak
langsung, yang merupakan hasil dari kombinasi kemungkinan
(likelihood) terjadinya peristiwa dan besaran dari konsekuensi
atau dampaknya (consequences or impact). Risiko dapat
didefinisikan dalam berbagai cara.
Handbook (HB) 436: 2004 of Risk Management
Guidelines Companion to AS/NZS 4360: 2004, halaman 3,
mendefinisikan risiko sebagai:
the chance of something that will have an impact on
objectives. A risk is often specified in terms of an event or
circumstance and the consequences that may flow from it.
Risk is measured in terms of a combination of the
consequences of an event and their likelihood.
oleh
ketidakpastian
kebanyakan
yang
dapat
orang,
dikuantifikasi,
risiko
yang
adalah
dapat
yang
mengancam
pencapaian
tujuan
dan
Risiko
operasional
adalah
risiko
yang
bersumber
berdampak
dari
risiko
terhadap
strategis,
entitas
yaitu
dan
risiko
bersifat
yang
strategis
10
kerugian
(harm),
misalnya
bahaya
kimia,
atau
beberapa
ukuran
atau
kinerja
untuk
pendanaan,
predikisi
atau
kegagalan
untuk
dan
tingkat
efektivitas
pengendalian,
11
Australian Standard/New
perundang-undangan
baru,
perkembangan
yang
berasal
dari
faktor
internal,
misalnya
pernah
terjadi,
antara
lain
disebabkan
oleh
12
Dalam
praktiknya,
terdapat
banyak
risiko
dan
banyak
potensi
konsekuensi
pada
berbagai
menjadi
pengelolaan risiko
dan sistem
13
14
menganalisis,
mengevaluasi,
menangani,
pengelolaan
risiko
tersebut,
unsur-unsur
proses
15
Menurut
16
C. Penilaian Risiko
1. Pengertian Penilaian Risiko
Sebelum menguraikan lebih lanjut pengertian penilaian
risiko, beberapa istilah penilaian risiko (risk assessment)
mempunyai pengertian yang berbeda, tumpang tindih, dan
saling dipertukarkan dalam pemakaiannya dalam literatur
pengelolaan risiko.
dimaksud
pada
ayat
(1),
terdiri
atas
17
18
Jika
dikaitkan
dengan
SPIP,
penilaian
risiko
sejatinya
adalah
diprioritaskan
proses
(setelah
menilai
dianalisis,
risiko
yang
termasuk
19
sehingga
dapat
berdampak
negatif
terhadap
yang
telah
diidentifikasi
dalam
penetapan
parameter
yang
merupakan
hal-hal
yang
harus
20
dengan
berpedoman
pada
peraturan
instansi
pemerintah
menetapkan
tujuan
tujuan
instansi
pemerintah
secara
jelas
instansi
pemerintah
menetapkan
strategi
strategis
mendukung
tujuan
instansi
21
yang
mendasari
rencana
strategis
dan
tujuan
pada
tingkatan
kegiatan
harus
strategis
instansi
pemerintah
secara
keseluruhan.
2) Tujuan pada tingkatan kegiatan dikaji ulang secara
berkala untuk memastikan bahwa tujuan tersebut masih
relevan dan berkesinambungan.
b. Tujuan pada tingkatan kegiatan saling melengkapi, saling
menunjang, dan tidak bertentangan satu dengan lainnya.
c. Tujuan pada tingkatan kegiatan relevan dengan seluruh
kegiatan utama instansi pemerintah. Hal-hal yang perlu
dipertimbangkan adalah sebagai berikut:
22
ada
atau
dilakukan
agar
tujuan
instansi
dipantau secara
teratur
oleh
23
3. Identifikasi Risiko
a. Pimpinan instansi pemerintah menggunakan metodologi
identifikasi risiko yang sesuai untuk tujuan instansi
pemerintah dan tujuan pada tingkatan kegiatan secara
komprehensif. Hal-hal yang perlu dipertimbangkan adalah
sebagai berikut:
1) Metode kualitatif
dan kuantitatif
digunakan
untuk
24
atau
tindakan
terorisme
sudah
dipertimbangkan.
5) Identifikasi risiko yang timbul dari perubahan kondisi
usaha, politik, dan ekonomi sudah dipertimbangkan.
6) Risiko
yang
timbul
dari
rekanan
utama
sudah
dipertimbangkan.
7) Risiko yang timbul dari interaksi dengan instansi
pemerintah lainnya dan pihak di luar pemerintahan
sudah dipertimbangkan.
8) Risiko yang timbul dari pengurangan kegiatan dan
pengurangan pegawai instansi pemerintah sudah
dipertimbangkan.
9) Risiko yang timbul dari rekayasa ulang proses bisnis
(business process re-engineering) atau perancangan
ulang proses operasional sudah dipertimbangkan.
10) Risiko yang timbul dari gangguan pemrosesan sistem
informasi dan tidak tersedianya sistem cadangan
sudah dipertimbangkan.
2.1 Identifikasi Risiko
25
terhadap
aset
yang
rawan
sudah
dipertimbangkan.
16) Risiko yang
timbul
dari kelemahan
pengelolaan
pegawai.
17) Risiko yang timbul dari ketidaktersediaan dana untuk
pembiayaan program baru atau program lanjutan
sudah dipertimbangkan.
c. Penilaian atas faktor lain yang dapat meningkatkan risiko
telah dilaksanakan. Hal-hal yang perlu dipertimbangkan
adalah sebagai berikut:
1) Risiko yang timbul dari kegagalan pencapaian misi,
tujuan, dan sasaran masa lalu atau keterbatasan
anggaran sudah dipertimbangkan.
2) Risiko yang timbul dari pembiayaan yang tidak memadai,
pelanggaran penggunaan dana, atau ketidakpatuhan
terhadap peraturan perundang-undangan di masa lalu
sudah dipertimbangkan.
2.1 Identifikasi Risiko
26
27
28
BAB III
LANGKAH IDENTIFIKASI RISIKO
Sebagaimana telah dijelaskan di latar belakang pedoman ini (Bab I),
pimpinan instansi berperan dalam rangka melakukan penilaian
risiko di instansinya. Dalam Bab ini, langkah identifikasi risiko
dibahas secara lebih mendalam.
A. Persiapan Identifikasi Risiko
Tahapan persiapan identifikasi risiko dimulai dengan
survei pendahuluan. Tim (satgas internal organisasi) yang
ditunjuk, menyampaikan maksud untuk melakukan survei
pendahuluan kepada pejabat instansi yang bertanggung jawab
atas kegiatan yang akan dinilai risikonya.
Dari hasil survei ini, tim akan memeroleh dan memahami
profil instansi, termasuk struktur organisasi, tugas pokok dan
fungsi, kebijakan , serta prosedur pengelolaan risikonya.
Kemudian tim membicarakan ruang lingkup penilaian risiko yang
akan dilakukan.
Berdasarkan
data
hasil
survei
pendahuluan,
tim
29
risiko,
sekaligus
batasan
yang
akan
sistem
pengendalian
intern
dalam
organisasi mereka.
30
b. Ruang Lingkup
Tim penilai perlu menyampaikan kepada pihak yang
dinilai mengenai ruang lingkup yang akan dinilai. Batasan
yang akan dinilai harus disesuaikan dengan kondisi
instansi yang menjalankan proses penilaian risiko. Ruang
lingkup pelaksanaan penilaian risiko antara satu unit
dengan unit lain dapat saja berbeda. Pelaksanaan
penilaian risiko instansi dapat dilakukan pada:
1) Tingkat strategis, meliputi antara lain pengembangan
kebijakan, penyampaian layanan, program ketaatan,
dan pertimbangan politik;
2) Tingkat instansi dan program, meliputi antara lain
prioritas dan strategi organisasi, manajemen keuangan,
hubungan antar organisasi, teknologi, pengendalian dan
pencegahan kecurangan, kemampuan staf, manajemen
aset, serta kewajiban sosial dan strategi koordinasi;
3) Tingkat kegiatan/proyek, meliputi antara lain perencanaan,
proses, prioritas pekerjaan, pengembangan dan pelatihan,
kontrak, prosedur, kualitas data, pengadaan, konsultan,
jaminan
kualitas,
struktur
pemberdayaan pegawai,
organisasi,
komunikasi,
31
jangka
waktu
pelaksanaan,
meliputi
32
ruangan
dan
perangkat
kerja
yang
diperlukan.
2. Pengumpulan Data
Permintaan data sebaiknya dilakukan dengan surat resmi
dari tim penilai yang ditujukan kepada primary contact person.
Permintaan data harus secara jelas menyebutkan :
a. Alamat yang dituju (nama orang atau jabatannya);
b. Jenis/nama data;
c. Tanggal batas waktu terakhir penyampaian data; dan
d. Keterangan lain yang dianggap perlu.
2.1 Identifikasi Risiko
33
3. Pengolahan Data
Data yang telah dikumpulkan melalui kajian dokumen,
kuesioner, observasi, dan wawancara masih berupa data
mentah. Data tersebut perlu diolah supaya dapat digunakan
dalam proses analisis selanjutnya. Proses pengolahan data
dilakukan dalam empat tahap, yaitu:
a. Penyuntingan (editing), dilakukan dengan tujuan untuk
meyakinkan bahwa jumlah kertas kerja (misal wawancara)
harus sama dengan jumlah satuan analisis sampel.
Kemudian melakukan pengecekan atas kelengkapan dan
validitas data. Proses penyuntingan selesai bila sudah
dapat
dipastikan
bahwa
semua
kertas
kerja
telah
kode
mempermudah
(coding),
tim
penilai
dilakukan
dengan
memasukkan
data
tujuan
dan
data,
dilakukan
dengan
tujuan
untuk
34
Risiko
merupakan
segala
sesuatu
yang
mempunyai
unsur
kriteria
keberhasilan
atau
dasar
pencapaian
pengukuran
tujuan,
dan
atau
juga
kriteria
digunakan
evaluasi
untuk
35
ini
menetapkan
lingkungan
menyeluruh
36
mengancam
atau
menghambat
pencapaian
daya
meyakinkan
lainnya)
bahwa
harus
semua
risiko
dilakukan
untuk
signifikan
telah
instansi
adalah
kegagalan
untuk
sasaran,
dan
kepentingan
instansi
instansi
37
ruang
lingkup
organisasi,
tujuan,
luas
dan
dalamnya
aktivitas
kriteria
measures)
pengukuran
sebagai
keberhasilan
(success
risiko.
risiko.
Kriteria
evaluasi
risiko
adalah
38
juga
dipengaruhi
oleh
persepsi
dari
risiko
harus
ditetapkan
pada
awal
suatu
kerangka
pikir
yang
efisien,
dan
kemungkinan
analisis
tumpang
risiko,
tindih
sehingga
atau
menjamin
terabaikannya
39
kunci
berikut
merupakan
dalam
menjalankan
tugas
pokok
dan
fungsinya?
6) Siapa pemangku kepentingan utama, baik internal
maupun eksternal
kepentingan mereka?
7) Bagaimana akuntabilitas instansi terhadap pemangku
kepentingan?
8) Apa
faktor-faktor
signifikan
yang
memengaruhi
40
satu
tujuan
penetapan
konteks
adalah
atau
Dalam
contoh
pedoman
teknis
ini,
untuk
41
merupakan
ukuran
keberhasilan
dan
indicators).
Pada
dasarnya,
kriteria
instansi
yang
digunakan
sebagai
dasar
kinerja
kunci
dapat
dinyatakan
dengan
ekonomi, keluaran
pelayanan
publik,
misalnya
antara
lain
42
Jika
kriteria
keberhasilan
telah dibangun
atau
minor,
moderat,
mayor,
dan
sangat
dan
signifikan,
tidak
signifikan,
sedang,
kurang
sebelum
signifikan.
Deskripsi
Rendah
Sedang
Tinggi
43
Konsekuensi/
Dampak
Kualitas pelayanan
Pada prinsipnya, defisiensi atau tidak
adanya pelayanan rendah, tanpa ada
komentar
Pelayanan dianggap memuaskan oleh
masyarakat umum, tetapi pegawai
instansi mewaspadai adanya defisiensi
Tidak signifikan
Kurang signifikan
Sedang
Signifikan
Masyarakat
umum
menganggap
pelayanan organisasi tidak memuaskan
Sangat signifikan/
berbahaya/Katastropik
2) Skala Kemungkinan
Demikian juga halnya skala kemungkinan terjadinya
risiko, dapat
yang
dibagi
dalam
skala
tiga
(rendah,
Suatu
skala
dapat
digunakan
untuk
Deskripsi
Rendah
Sedang
Tinggi
44
Kadangkadang
Mungkin terjadi
sekali dalam 10
tahun
Sering
Mungkin terjadi
kira-kira sekali
dalam setahun
Dapat terjadi
beberapa kali
dalam setahun
Sangat
sering
Kejadian tunggal
(Probabilitas)
Diabaikan
Probabilitas sangat
kecil, mendekati nol
Kecil kemungkinan, tetapi
tidak diabaikan
Probabilitas rendah,
tetapi lebih besar
daripada nol
Kemungkinan kurang
daripada, tetapi masih
cukup besar
Probabilitas kurang
daripada 50%, tetapi
masih cukup tinggi
Mungkin tidak
Peluang 50/50
Kemungkinan lebih
daripada atau kurang
Probabilitas lebih
daripada 50%
Peringkat
1
dalam
bentuk
matriks.
Dengan
demikian,
dihasilkan peta risiko dan urutan prioritas untuk masingmasing risiko, misalnya dengan penggolongan sangat
tinggi/ekstrim, tinggi, sedang, dan rendah.
45
Konsekuensi/Dampak
Tidak
Signifikan
Kurang
Signifikan
Sedang
Katastropik/
Sangat
Signifikan
Signifikan
Sangat sering
Sedang
Tinggi
Sangat
Tinggi
Sangat
tinggi
Sangat tinggi
Sering
Sedang
Sedang
Tinggi
Sangat
Tinggi
Sangat tinggi
Kadangkadang
Rendah
Sedang
Tinggi
Tinggi
Sangat
Tinggi
Jarang
Rendah
Rendah
Sedang
Sedang
Tinggi
Sangat jarang
Rendah
Rendah
Rendah
Sedang
Tinggi
atau
pimpinan
instansi
pemerintah.
Misalnya:
Risiko prioritas sangat tinggi/ekstrim adalah risiko
yang memerlukan perhatian manajemen puncak dan
tidak diterima sebagai bagian kegiatan rutin perhatian
manajemen puncak.
Risiko prioritas tinggi adalah risiko yang sangat kritis
atau serius yang diterima sebagai kegiatan rutin
tanpa perhatian manajemen puncak, tetapi menjadi
tanggung jawab manajemen operasional.
Risiko prioritas sedang adalah risiko yang diharapkan
menjadi
bagian
operasi
rutin,
tetapi
menjadi
46
diperhatikan
sehingga
perlu
dilakukan
tindakan.
Risiko tinggi warna merah, berarti risiko berbahaya
sehingga perlu tindakan segera.
Contoh:
Konsekuensi/Dampak
Kemungkinan
Rendah
Sedang
Tinggi
Kuning
Merah
Merah
Kadang-kadang
Hijau
Kuning
Merah
Jarang
Hijau
Hijau
Kuning
Sering
47
bervariasi
antar
instansi
pemerintah,
pemerintah
bertanggung
jawab
atas
penetapannya.
3) Kegiatan pengendalian khusus untuk mengelola
serta mengurangi risiko secara keseluruhan dan
di setiap tingkatan kegiatan, sudah ditetapkan dan
penerapannya selalu dipantau.
48
pimpinan
memerhatikan
instansi
risiko
pemerintah
yang
masih
perlu
bersangkutan
atau
Pertama,
ketersediaan
sumber
daya.
atau
penghematan
yang
diharapkan
dari
49
lokasi,
waktu,
sebab,
dan
proses
risiko,
informasi
mengenai
penyebab,
dan
50
risiko retrospektif
meliputi antara
lain:
(1)Daftar atau register insiden/bahaya;
(2)Laporan audit, hasil evaluasi, dan penilaian lainnya;
(3)Keluhan pelanggan;
(4)Dokumen dan laporan;
(5)Staf lama atau survei klien; dan
(6)Media profesional atau surat kabar, seperti jurnal
atau websites.
51
brainstorming
dengan
staf
atau
survei
staf
atau
klien
untuk
52
prosedur
tersebut.
(2)Menentukan Semua Sumber-Sumber Risiko
Beberapa langkah yang dapat dilakukan dalam
menentukan sumber-sumber risiko adalah:
(a)Identifikasi setiap sumber risiko yang melekat
(inherent sources of risk), termasuk lokasi, dan
proses terjadinya risiko, baik yang berasal dari
lingkungan
eksternal
maupun
internal,
yang
53
utama,
pemborosan,
antara
lain
penyalahgunaan,
penggelapan,
dan
salah
atau
kebijakan,
risiko
operasional,
54
(root
peristiwa
risiko,
cause)
baik
terjadinya
yang
dapat
serangkaian
dikendalikan
pengendalian
tertentu.
Lakukan
juga
pengendalian
yang
ada
(existing
apakah
pengendalian
atas
instansi
sumber
telah
risiko
melakukan
atau
faktor
penyebab risiko.
(8)Pahami risiko-risiko yang timbul di luar kendali
instansi, namun mempunyai dampak spesifik yang
memerlukan
perencanaan
kontinjensi
atau
penanganan khusus.
(9)Lakukan penilaian atas cukupnya pengendalian yang
ada.
(10) Buat simpulan hasil identifikasi risiko.
Buat
simpulan
hasil
identifikasi
risiko
dengan
55
kunci
berikut
merupakan
secara
spesifik
risiko
yang
dapat
kepada,
dapat
menghambat,
akan
56
Contoh:
Pernyataan risiko yang buruk:
- Pemotongan anggaran
- Proses birokrasi berbelit
Pernyataan yang lebih baik:
- Kemungkinan pemotongan anggaran sebesar 10%
akan dapat menghambat pencapaian X.
- Proses
persetujuan
yang
rumit
akan
memperlambat layanan Y yang seharusnya cepat.
2) Tentukan momen/waktu yang tepat dalam rangkaian
kejadian yang dapat dikendalikan oleh instansi. Jangan
nyatakan lebih dari satu risiko dalam suatu waktu.
Contoh:
Pernyataan risiko yang buruk:
- Kecelakaan
XYZ
menyebabkan
kerusakan
lingkungan, berbahaya terhadap kesehatan, dan
kemungkinan masalah hukum (litigasi) yang dapat
berdampak hilangnya reputasi, serta berisiko
secara politik.
Pernyataan yang lebih baik:
- Kegagalan dalam memastikan pengendalian
lingkungan yang efektif akan mengakibatkan
kecelakaan XYZ.
3) Kenali risiko-risiko yang pada dasarnya berada di luar
kendali instansi, namun memiliki dampak spesifik
sehingga memerlukan perencanaan kontinjensi.
Contoh:
Pernyataan risiko yang buruk:
- Ada kemungkinan kekurangan tenaga listrik yang
akan
memengaruhi
segalanya,
sehingga
kementerian tidak dapat memproses pembayaran.
(Catatan: pernyataan ini ditolak karena berada di
luar kendali instansi serta di luar lingkupnya).
2.1 Identifikasi Risiko
57
58
dari
metode
ini
adalah
menggunakan
tidak
dilakukan
tersedia
data
investigasi,
historis,
maka
dapat
pengamatan,
atau
survei
ini
pada
prinsipnya
diterapkan
untuk
risiko
yang
diperoleh
dirasakan
kurang
59
dilakukan
pencarian
organisasi
lain
Benchmark
informasi
sebagai
merupakan
di
acuan
obyek
tempat
atau
(benchmark).
yang
memiliki
perlu
dasarnya,
mengenali
sumber
sumber
informasi
informasi.
dapat
Pada
dikelompokkan
prosedur
operasi
standar
(standard
60
b) Dokumen Eksternal
Dokumen eksternal menyebar di mana-mana,
bergantung
pada
risiko
apa
yang
sedang
informasi
mengenai
masalah-masalah
personalia.
d) Pihak Eksternal Instansi
Pihak eksternal bisa berupa pelanggan, pemasok,
pesaing,
peraturan
pemerintah,
pengamat,
dan
instansi,
semakin
bermanfaat
mereka
untuk
mengidentifikasi
risiko,
seperti
diuraikan berikut :
61
lingkungan
eksternal
di
sini
berupa
perubahan politik,
kontrak
diperoleh
dengan
cara
62
63
64
BAB IV
PENUTUP
Identifikasi risiko pada sektor publik merupakan bagian dari
penyelenggaraan SPIP yang dibangun oleh manajemen instansi
pemerintah. Tahapan identifikasi risiko diawali dengan penetapan
konteks bagi lingkup instansi yang besar atau penetapan tujuan
bagi kegiatan dalam suatu instansi.
instansi
pemerintah
dalam
menciptakan
dan
dengan
65