Anda di halaman 1dari 104

TataKelola,ManajemenRisiko,dan

PengendalianIntern

PUSATPENDIDIKANDANPELATIHANPENGAWASAN
BADANPENGAWASANKEUANGANDANPEMBANGUNAN

2014


TataKelola,ManajemenRisiko, danPengendalianIntern

DikeluarkanolehPusatPendidikandanPelatihanPengawasanBPKPdalamrangka
DiklatFungsionalAuditorDiklatPembentukanAuditorTerampil/AhlidanPenjenjanganAuditorMuda

EdisiPertama

Perevisi
Narasumber
Pereviu
Penyunting
PenataLetak

: Tahun2014

:
:
:
:
:

LadyMarthaBoturanHasianNapitupulu,S.E.,Ak.,M.A.
AndiloTohom,Ak.,M.Si.
Dr.TrisactiWahyuni,Ak.,M.Ak.
DaissyErdianthy,S.E.,Ak.,M.Ak.
DidikHartadi,S.E.

PusdiklatwasBPKP
Jl.BeringinII,Pandansari,Ciawi,Bogor16720
Telp.(0251)82490018249003
Fax.(0251)82489868248987
Email
:pusdiklat@bpkp.go.id
Website
:http://pusdiklatwas.bpkp.go.id
eLearning :http://lms.bpkp.go.id

Dilarangkerasmengutip,menjiplak,ataumenggandakansebagianatau
seluruhisimodulini,sertamemperjualbelikantanpaizintertulisdari
PusatPendidikandanPelatihanPengawasanBPKP

KataPengantar

Peran dan fungsi aparat pengawasan intern pemerintah (APIP) dalam rangka membantu
manajemen untuk mencapai tujuan organisasi dilaksanakan melalui pemberian jaminan
(assurance activities) dan layanan konsultansi (consulting activities) sesuai standar, sehingga
memberikan perbaikan efisiensi dan efektivitas atas tata kelola, manajemen risiko, dan
pengendalianinternorganisasi.Selainitu,PeraturanPemerintahNomor60Tahun2008tentang
Sistem Pengendalian Intern Pemerintah mengatur bahwa pelaksanaan audit intern di
lingkungan instansi pemerintah dilaksanakan oleh pejabat yang mempunyai tugas
melaksanakanpengawasanyangtelahmemenuhisyaratkompetensikeahliansebagaiauditor.
Hal tersebut selaras dengan komitmen pemerintah untuk mewujudkan pemerintahan yang
transparan dan akuntabel serta bebas korupsi, kolusi, dan nepotisme pada berbagai aspek
pelaksanaan tugas umum pemerintahan dan pembangunan yang dituangkan dalam Undang
UndangNo.28Tahun1999tentangPenyelenggaraanNegarayangBersihdanBebasdariKKN.
Untuk menjaga tingkat profesionalisme aparat pengawasan, salah satu medianya adalah
pendidikan dan pelatihan (diklat) sertifikasi auditor yang bertujuan untuk meningkatkan
pengetahuan, keterampilan, dan perubahan sikap/perilaku auditor pada tingkat kompetensi
tertentu sesuai dengan perannya sesuai dengan keputusan bersama Kepala Pusat Pembinaan
Jabatan Fungsional Auditor dan Kepala Pusat Pendidikan dan Pelatihan Pengawasan Badan
Pengawasan Keuangan dan Pembangunan Nomor KEP82/JF/1/2014 dan Nomor KEP
168/DL/2/2014tentangKurikulumPendidikandanPelatihanFungsionalAuditor.
Guna mencapai tujuan di atas, sarana diklat berupa modul dan bahan ajar perlu disajikan
dengansebaikmungkin.Evaluasiterhadapmodulperludilakukansecaraterusmenerusuntuk
menilai relevansi substansi modul terhadap perubahan lingkungan yang terjadi. Modul ini
ditujukan untuk memutakhirkan substansi modul agar sesuai dengan perkembangan profesi
auditor, dan dapat menjadi referensi yang lebih berguna bagi para peserta diklat sertifikasi
auditor.
Akhirnya kami mengucapkan terima kasih kepada semua pihak yang telah memberikan
kontribusiatasterwujudnyamodulini.

Ciawi,30April2014
KepalaPusdiklatPengawasanBPKP

N u r d i n ,Ak.,M.B.A.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

ii

2014 |Pusdiklatwas BPKP

DaftarIsi

KataPengantar..........................................................................................................................i
DaftarIsi..................................................................................................................................iii
DaftarGambardanTabel.........................................................................................................v
BabI

PENDAHULUAN...........................................................................................................1
A. LatarBelakang..........................................................................................................1
B. IndikatorKeberhasilan.............................................................................................1
C. DeskripsiSingkatStrukturModul............................................................................2
D. MetodologiPemelajaran.........................................................................................3

BabII TATAKELOLA(GOVERNANCE).....................................................................................5
A. RevolusiManajemenSektorPublik.........................................................................6
B. PergeseranParadigmaNewPublicManagementkeGovernance..........................7
C. KonsepGoodGovernance(TataKelolayangBaik)................................................11
D. PrinsipPrinsipGoodGovernance..........................................................................13
BabIII MANAJEMENRISIKO.................................................................................................17
A. Risiko......................................................................................................................18
B. ManajemenRisiko..................................................................................................25
C. DokumentasiManajemenRisiko...........................................................................45
BabIV PENGENDALIANINTERN............................................................................................49
A. DefinisiDanTujuanPengendalianIntern..............................................................49
B. UnsurPengendalianIntern....................................................................................53
C. KeterbatasanPengendalianIntern........................................................................66
D. PerkembanganTerkiniKonsepPengendalianIntern............................................68
BabV AUDITORINTERNDANTATAKELOLAMANAJEMENRISIKOPENGENDALIAN..........73
A. HubunganAntaraTataKelolaManajemenRisikoPengendalian..........................73
B. PeranAuditInternaldalamTataKelolaManajemenRisikoPengendalian.........76
BabVI PEMANTAUANDANEVALUASI..................................................................................83
A. PemantauandanEvaluasiatasEfektivitasProsesTataKelola..............................84
B. PemantauandanEvaluasiatasEfektivitasManajemenRisiko..............................85
C. PemantauandanEvaluasiatasEfektivitasPengendalianIntern...........................87
DaftarPustaka........................................................................................................................91

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

iii

iv

2014 |Pusdiklatwas BPKP

DaftarGambardanTabel

Gambar
Gambar2.1

TigaPilarGoodGovernance.......................................................................

Gambar2.2

KonsepTataKelolamenurutIIA..................................................................

10

Gambar2.3

KomponenKunciPengawasanTataKelola................................................. 11

Gambar2.4

MembangunNilaiTambahBerkelanjutan..................................................

13

Gambar3.1

Elemen/ProsesManajemenRisiko..............................................................

33

Gambar3.2

PetaRisiko..................................................................................................

40

Gambar4.1

SistemPengendalianInternPemerintah....................................................

53

Gambar4.2

HubunganPengendalianRisiko...................................................................

58

Gambar4.3

SiklusPenyelenggaraanSPIP.......................................................................

66

Gambar4.4

PerbandinganCOSO1992danCOSO2013.................................................

69

Gambar5.1

HubunganGRCmenurutPPNomor60Tahun2008..................................

74

Gambar5.2

HubunganGRCmenurutIIA.......................................................................

75

Gambar5.3

InternalAuditing=Assurance,InsightandObjectivity...............................

80

Gambar5.4

ASSURANCE=Governance,RiskandControl..............................................

81

Gambar5.5

INSIGHT=Catalyst,Analyses,andAssessments........................................

81

Gambar5.6

OBJECTIVITY=Integrity,Accountability,andIndependence......................

82

Tabel3.1

SkalaDampakRisiko...................................................................................

39

Tabel3.2

SkalaKemungkinanTerjadiRisiko...............................................................

39

Tabel4.1

PrinsipPengendalianInternCOSO2013....................................................

71

Tabel

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

vi

2014 |Pusdiklatwas BPKP

BabI
PENDAHULUAN

A.

LATARBELAKANG

Setiap organisasi pasti menghadapi berbagai risiko, baik dari dalam maupun luar organisasi.
Dengan perkembangan lingkungan yang semakin cepat dan kompleks, serta persaingan yang
semakin keras, maka risikorisiko yang dihadapi suatu organisasi untuk mencapai tujuannya
akan semakin kompleks juga. Guna mengantisipasi dan mengatasi risikorisiko tersebut,
diperlukanpraktiktatakelolasertafungsimanajemenrisikoyangbaikagarrisikorisikoyangada
tidakmenimbulkankejutandantujuanorganisasidapatdiyakinitidakterganggupencapaiannya.
Tatakelolamerupakankombinasiprosesdanstrukturyangditerapkanolehmanajemenuntuk
menginformasikan,mengarahkan,mengelola,danmemantaukegiatanorganisasidalamrangka
pencapaian tujuan. Tata kelola memiliki keterkaitan dengan manajemen risiko dan
pengendalian intern. Aktivitas tata kelola yang efektif mempertimbangkan risiko pada saat
menyusun strategi. Sebaliknya, manajemen risiko didasarkan pada tata kelola yang efektif
(misalnya, tone at the top, selera risiko dan toleransi risiko, budaya risiko, dan pengawasan
manajemen risiko). Tata kelola yang efektif juga bergantung pada pengendalian intern dan
komunikasiefektivitaspengendalianpengendaliantersebutkepadamanajemen.

B.

INDIKATORKEBERHASILAN

Modul ini disusun untuk memenuhi materi pemelajaran pada Diklat Fungsional Pembentukan
AuditorAhlidilingkunganinstansipemerintah.Kompetensidasaryangingindicapaidaridiklat
ini adalah peserta mampu mengidentifikasi titiktitik kritis pada pelaksanaan tata kelola
organisasi,manajemenrisiko,danpengendalianinternal.
Sedangkan indikator keberhasilan khusus dari diklat ini adalah setelah mengikuti proses
pemelajaran,pesertadiklatdiharapkanmampu:
1.

menjelaskanmengenaitatakelolaorganisasiyangbaik(goodgovernance);

2.

menjelaskanmengenaimanajemenrisiko;

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern


3.

menjelaskanmengenaipengendalianintern;

4.

menjelaskan mengenai hubungan keterkaitan tata kelola, manajemen risiko dan


pengendalianintern;dan

5.

menjelaskan mengenai prinsipprinsip pemantauan dan evaluasi atas efektivitas proses


tatakelolaorganisasi,manajemenrisiko,danpengendalianintern.

C.

DESKRIPSISINGKATSTRUKTURMODUL

Modul ini dirancang untuk membekali peserta dengan pengertian, pemahaman, dan konsep
konseptentangtatakelola,manajemenrisiko,pengendalianintern,peranauditorinternaldan
hubungan antara tata kelola, manajemen risiko, pengendalian intern serta prinsipprinsip
pemantauan dan evaluasi atas efektivitas tata kelola, manajemen risiko, pengendalian intern
yangterdiriatasenammateribahasanyangdibagidalambabberikut.
BabI

Pendahuluan,membahasmengenailatarbelakang,indikatorkeberhasilan,deskripsi
singkatstrukturmodul,danmetodologipemelajaran.

BabII

Tata Kelola (Governance), membahas mengenai revolusi manajemen sektor publik,


pergeseran paradigma new public management ke governance, konsep tata kelola
yangbaik(goodgovernance),danprinsipprinsipgoodgovernance.

BabIII

ManajemenRisiko,membahasmengenairisiko,manajemenrisikodandokumentasi
manajemenrisiko

BabIV

PengendalianIntern,membahasmengenaidefinisidantujuanpengendalianintern,
unsur pengendalian intern, keterbatasan pengendalian intern, dan perkembangan
terkinikonseppengendalianintern.

BabV

Auditor Intern dan Tata KelolaManajemen RisikoPengendalian, membahas


mengenaihubunganantaratatakelola,manajemenrisiko,pengendalianinternserta
peranauditorinterndalamtatakelola,manajemenrisiko,danpengendalianintern.

BabVI

Pemantauan dan Evaluasi, membahas mengenai pemantauan dan evaluasi atas


efektivitasprosestatakelola,pemantauandanevaluasiatasefektivitasmanajemen
risiko,pemantauandanevaluasiatasefektivitaspengendalianintern.

2014 |Pusdiklatwas BPKP


D.

METODOLOGIPEMELAJARAN

Metodologi pemelajaran yang digunakan untuk mencapai tujuan pemelajaran adalah


menggunakan pendekatan andragogi. Pendekatan ini disebut pendekatan pemelajaran orang
dewasa mengingat peserta didik adalah orang yang telah memiliki pengalaman dan
pengetahuansebelumnya(priorknowledge)terkaitdenganbeberapabagiandarimateridiklat.
Oleh karena itu, metode pemelajaran ini menggunakan kombinasi proses belajar mengajar
dengancara:ceramah,tanyajawabdandiskusi,sertalatihandankasus.
1.

Ceramah
Widyaiswara/instruktur membantu peserta dalam memahami materi dengan ceramah
dan dalam proses ini peserta diberi kesempatan untuk mengajukan tanya jawab atau
memberikan pendapat dalam sesi curah pendapat. Selain itu, agar proses pendalaman
materi dapat berlangsung dengan lebih baik, dilakukan pula diskusi dan latihan secara
berkelompoksehinggapesertadidikbenarbenardapatsecaraaktifterlibatdalamproses
belajarmengajar.

2.

Tanyajawabdandiskusi
Widyaiswara dan peserta bertanya jawab untuk mendalami permasalahan/kondisi yang
terkaitdengantatakelola,pengelolaanrisikodanpengendalianinternal.

3.

Latihan
Peserta berlatih menyelesaikan soalsoal yang terkait dengan permasalahan tata kelola,
manajemenrisikodanpengendalianintern.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

2014 |Pusdiklatwas BPKP

BabII
TATAKELOLA(GOVERNANCE)

IndikatorKeberhasilan
Setelahmengikutipemelajaraninidiharapkanpesertadiklatmemilikipengetahuanmengenai
tatakelolaorganisasiyangbaik(goodgovernance)

Tuntutan gencar yang dilakukan masyarakat kepada pemerintah untuk menjalankan


penyelenggaraan pemerintahan yang baik, sejalan dengan meningkatnya tingkat pengetahuan
masyarakat,merupakanhalyangsedanghangatterjadidalamkehidupanbernegarasaatini.
Krisis mutidimensi yang diawali oleh krisis finansial pada tahun 19971998, telah mendorong
arus balik yang menuntut perbaikan atau reformasi dalam penyelenggaraan negara termasuk
birokrasipemerintahannya.Salahsatupenyebabterjadinyakrisismultidimensiyangkitaalami
tersebutadalahburuknyaatausalahkeloladalampenyelengaraantatakepemerintahan(poor
governance),yangantaralaindiindikasikanolehbeberapamasalah,antaralain:
dominasikekuasaanolehsatupihakterhadappihakpihaklainnya,sehinggapengawasan
menjadisulitdilakukan;
terjadinyatindakankorupsi,kolusi,dannepotisme(KKN);dan
rendahnyakinerjaaparaturtermasukdalampelayanankepadapublikataumasyarakatdi
berbagaibidang.
Secaraeksternal,pengaruhglobalisasijugatelahmemaksasetiappimpinaninstansipemerintah
untuk menerapkan good governance. Pendekatan atau cara yang digunakan setiap pimpinan
instansidalammenerapkantatakelolapemerintahanyangbaik(goodgovernance)tidaksama,
namun semua berorientasi pada masyarakat melalui peningkatan kualitas layanan dan
perbaikansistemmanajemenpemerintahan.Pemahamanmengenairevolusimanajemensektor
publikberikutakanmemberikanwacanadasaruntukpemelajarantatakelola(governance).

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern


A.

REVOLUSIMANAJEMENSEKTORPUBLIK

Seiring dengan meningkatnya peran swasta dan masyarakat dalam penyelenggaraan


pemerintahan,manajemensektorpubliktelahmengalamiperubahanyangcukupsignifikan.Hal
ini antara lain dipicu oleh pemikiran Osborne dan Gaebler dalam bukunya Reinventing
Government (1992) atau pemerintahan wirausaha. Perubahan tersebut pada dasarnya
diarahkan pada penciptaan manajemen publik yang handal dan peningkatan kualitas
penyelenggaraan administrasi publik. Konsep dan sistem administrasi publik yang kaku,
struktural/hirarkis, dan birokratis telah ditinggalkan dan sebagai gantinya telah dikembangkan
suatukonsepmanajemenpublikyangfleksibeldanberorientasikepadapasar.Dalamparadigma
manajemen sektor publik yang baru, birokrasi pemerintah dibuat seefisien dan seefektif
mungkin sehingga dapat bergerak fleksibel dalam mengikuti tuntutan masyarakat dan
perubahan lingkungan. Paradigma baru ini dianggap sebagai solusi atas berbagai label negatif
yang melekat pada sektor publik yaitu dengan mengacu pada kaidahkaidah new public
management(NPM).
MenurutC.Hood(1991)terdapat7karakteristikNewPublicManagement,yaitu:
1.

Handson professional management (Pelaksanaan tugas manajemen pemerintahaan


diserahkankepadamanajerprofesional).

2.

Explicitstandardsandmeasuresofperformance(Adanyastandardanukurankinerjayang
jelas).

3.

Greater emphasis on output controls (Lebih ditekankan pada pengendalian


hasil/keluaran).

4.

Ashifttodesegregationsofunitsinthepublicsector(Pembagiantugaskedalamunitunit
yangdibawah).

5.

Ashifttogreatercompetitioninthepublicsector(Ditumbuhkannyapersaingandisektor
publik).

6.

A stress on private sectore styles of management practice (Lebih menekankan


diterapkannyagayamanajemensektorprivat).

2014 |Pusdiklatwas BPKP


7.

A stress on greater discipline and parsimony in resource use (Lebih menekankan pada
kedisiplinan yang tinggi dan tidak boros dalam menggunakan berbagai sumber). Sektor
publikseyogianyabekerjalebihkerasdengansumbersumberyangterbatas(todomore
withless).

Perubahan ini bukan perubahan sederhana dalam management style administrasi publik.
Akantetapi,perubahaninimerupakanperubahanperananpemerintahdalammasyarakatdan
hubunganantarapemerintahdenganmasyarakatnya.Paradigmabaruinimerupakantantangan
langsung atas berbagai prinsip administrasi publik yang telah diyakini sebagai paradigma
terpentingselamahampir20abad.Dalamparadigmabaru,birokratdanpemerintahbukanlah
satusatunya penyedia barang dan jasa masyarakat. Perspektif ini menempatkan organisasi
swasta sebagai mitra pemerintah untuk menyediakan berbagai kebutuhan publik. Pemerintah
berperan dalam memfasilitasi kebutuhan masyarakatnya melalui subsidi, pengaturan
perundangundangandanpengaturankontrak.Keterbukaanpemerintahjugaditekankandalam
paradigma baru ini, yang ditunjukkan dengan diadopsinya berbagai prinsip dan sistem
manajemensektorswastakedalamsektorpublikuntukmemperbaikikinerjabirokrasi.
Dalam mekanisme dan pola hubungan ini akuntabilitas yang ada tidak hanya mengalir dari
bawah ke atas, dalam arti pegawai secara hierarkis mempertanggungjawabkan kegiatan yang
dilakukannya kepada pejabat di atasnya, namun pertanggungjawaban juga dilakukan kepada
pihakluar(eksternal)organisasipublik(misalnyamasyarakatataupunkepadasektorswasta).

B.

PERGESERANPARADIGMANEWPUBLICMANAGEMENTKEGOVERNANCE

Orientasi privatisasi yang terdapat pada new public management tidak berarti bahwa peran
pemerintah berkurang. Peran pemerintah ini tetap terwujud dengan munculnya peranan
pengaturan (regulations) terhadap keterlibatan sektor swasta dan juga dengan mengelola
respon yang efektif terhadap tuntuntan sosial dan ekonomi masyarakat. World Bank (1997)
menyebutkanbahwameskipunterjadikecenderunganprivatisasiterhadapberbagaikegiatan
pemerintah, hal ini tidak berarti bahwa peran pemerintah menjadi berkurang. Peran
pemerintah masih sangat penting/dominan dalam manajemen pembangunan. Peran
pemerintah mungkin akan berkurang dalam memberikan arahan dan petunjuk dari pusat
pemerintahan.Akantetapi,pemerintahmasihtetapbertanggungjawabterhadapperancangan
dan pelaksanaan kebijakan publik, terutama yang berkaitan dengan transformasi ekonomi,

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern


pengurangankemiskinan,peningkatankinerjasektorpertanian,ketenagakerjaan,fasilitassosial
danumum,sertapengelolaanlingkunganhidup.
Hallainyangmendukungbahwaperanpemerintahmasihsangatdibutuhkandalampelayanan
publikadalahkenyataanbahwaprinsipekonomidanefisiensitidakselaludapatditerapkanpada
semua aktivitas pemerintah (misalnya fasilitas sosial dan fasilitas umum). Pemerintahan yang
moderntidakhanyamencakupefisiensidanpeningkatankeekonomisan,tetapijugamerupakan
hubungan akuntabilitas antara negara dengan warga negara, dimana warga negara tidak
diberlakukanhanyasebagaikonsumentapijugasebagaiwarganegarayangmemilikihakuntuk
mendapatkan jaminan atas kebutuhan dasar dan menuntut pemerintah untuk bertanggung
jawabatasberbagaikebijakanyangdilakukan.Halinimerupakanperubahanpandangandalam
manajemen publik dari penekanan pada hubungan antara negara dengan pasar ke hubungan
antaranegaradenganwarganegaranya.Pandanganinidikenaldengangovernance.
World Bank mendefinisikan governancesebagai: the way state power is used in managing
economicandsocialresourcesfordevelopmentofsociety;suatupenyelenggaraanmanajemen
pembangunan yang solid dan bertanggungjawab yang sejalan dengan prinsip demokrasi dan
pasar yang efisien, penghindaran salah alokasi dana investasi, dan pencegahan korupsi baik
secara politik maupun administratif, menjalankan disiplin anggaran serta penciptaanlegal and
politicalframeworkbagitumbuhnyaaktivitasusaha
Governance atau kepemerintahan diartikan oleh UNDP (United Nations Development
Programme) sebagai the exercise of political, economicand administrative authority in the
management of a countrys affairs at all levelcomprises the complex mechanisms, processes
and institutions through which citizens and groups articulate their interests, mediate their
differencesandexerciselegalrightsandobligations(UNDP,1995).
Dengan kata lain, governance meliputi berbagai kewenangan baik yang menyangkut
kewenanganpolitik,ekonomi,danadministrasiberinteraksisatudenganlainnya.Hubunganini
mencakup hubungan yang komplek antar berbagai kewenangan dalam semua level
pemerintahandalambentukmekanisme,prosesdanpembentukaninstitusidimanamasyarakat
dankelompokmasyarakatdapatmenyampaikankeinginan,mengaturberbagaiperbedaan,dan
jugamendapatkanjaminanhukum(danpengaturannya).
Pengertian governance yang dijelaskan oleh UNDP mengandung aspek politik, ekonomi dan
administratif, yang disebut dengan three legs (tiga kaki), yaitu economic, political, dan
8

2014 |Pusdiklatwas BPKP


administrative. Economic governance meliputi prosesproses pembuatan keputusan (decision
making process) yang memfasilitasi aktivitas ekonomi di dalam negeri dan interaksi di antara
penyelenggara ekonomi. Karena itulah, economic governance mempunyai pengaruh atau
implikasiterhadapequity,poverty,danqualityoflife.Politicalgovernanceadalahprosesproses
pembuatan keputusan untuk formulasi kebijakan. Dengan kata lain, political governance
menunjuk pada proses pembuatan keputusan dan implementasi kebijakan suatu negara yang
legitimate dan authoritatif. Itu sebabnya, di sini negara terdiri dari tiga lembaga negara yang
terpisah yaitu legislatif, eksekutif dan yudikatif. Administrative governance adalah sistem
implementasiproseskebijakanyangmelaksanakansektorpubliksecaraefisien,tidakmemihak,
akuntabeldanterbuka.

Pemerintah
(GoodPublic
Governance)

DuniaUsahaSwasta
(GoodCorporate
Governance)

Masyarakat

Gambar2.1
TigaPilarGoodGovernance

Konsep ini lebih luas dari fungsi dan kapasitas sektor publik, akan tetapi konsep ini berkaitan
dengan manajemen proses pembangunan yang melibatkan pemerintah, swasta, dan
masyarakatsebagaipilargoodgovernance(lihatgambar2.1).Idealnya,hubungansemuapihak
inibukanmerupakankerangkakegiatanyangterpisahmelainkandalamkerangkaketerpaduan
dan kerja sama yang harmonis untuk pencapaian tujuan dan kepentingan bersama. Tujuan
interaksi sosialpolitikekonomi dalam pengertian ini adalah tercapainya suatu keseimbangan
dansinergidalampemenuhankebutuhandankepentinganmasingmasinginstitusidalamsatu
keselarasandankeseimbangan.
SedangkankonsepgovernancemenurutIIAadalahsebagaiberikut.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern


The combination of processes and structures implemented by the board of directors in
order to inform, direct, manage and monitor the activities of the organization toward
achievingitsobjectives.
Menurut IIA, tata kelola adalah kombinasi dari proses dan struktur yang dilaksanakan oleh
dewan direksi untuk menginformasikan, mengarahkan, mengelola dan memantau kegiatan
organisasidalammencapaitujuannya.
Secaragarisbesar,konseptatakelolamenurutIIAdapatdigambarkansebagaiberikut.

GovernanceUmbrella
BoardofDirectors

Strategic
Direction

Governance
Oversight

Gambar2.2
KonsepTataKelolaMenurutIIA

Gambar 2.2 menunjukkan bahwa ada dua area penting dari tata kelola, yaitu arah strategis
(strategic direction) dan pengawasan tata kelola (governance oversight). Poin penting dari
gambartersebutadalahsebagaiberikut:

Tata kelola dimulai dari pimpinan organisasi dan jajarannya, berperan sebagai payung
bagi organisasi. Jajaran pimpinan memberi arah kepada manajemen, memberikan
wewenang kepada manajemen untuk bertindak dan mengawasi hasilnya. (Lihat gambar
2.3)

Jajaran pimpinan harus mengetahui dan fokus terhadap pemenuhan kebutuhan


stakeholders.

Secara harian, tata kelola dilaksanakan oleh manajemen melalui kegiatan manajemen
risiko.

10

2014 |Pusdiklatwas BPKP

Aktivitas internal dan eksternal memberikan jaminan kepada manajemen dan pimpinan
terhadapefektivitasprosestatakelola

Untukpengawasanterhadaptatakelola,bisadigambarkansebagaiberikut.
Stakeholders

GovernanceUmbrella
BoardofDirectors

Risk Management

Assurance

Senior Management

Risk Owner

Internal
Activitie

External
Activities

Gambar2.3
KomponenKunciPengawasanTataKelola

C.

KONSEPGOODGOVERNANCE(TATAKELOLAYANGBAIK)

Menurut Bank Dunia (World Bank), good governance merupakan cara kekuasaan yang
digunakan dalam mengelola berbagai sumber daya sosial dan ekonomi untuk pengembangan
masyarakat (Mardoto, 2009). Sedangkan menurut UNDP (United National Development
Planning),goodgovernancemerupakanpraktekpenerapankewenanganpengelolaanberbagai
urusanpenyelenggaraannegarasecarapolitik,ekonomidanadministratifdisemuatingkatan.
Dalamkonsepdiatas,adatigapilargoodgovernanceyangpenting,yaitu:
a.

Kesejahteraanrakyat(economicgovernance).

b.

Prosespengambilankeputusan(politicalgovernance).

c.

Tatalaksanapelaksanaankebijakan(administrativegovernance)(Prasetijo,2009).

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

11


Menurut Bappenas, penerapan tata kepemerintahan yang baik di lingkungan pemerintahan
tidak terlepas dari penerapan sistem manajemen kepemerintahan yang merupakan rangkaian
hasil dari pelaksanaan fungsifungsi manajemen (planning, organizing, actuating, dan
controlling)yangdilaksanakansecaraprofesionaldankonsisten.Penerapansistemmanajemen
tersebut mampu menghasilkan kemitraan positif antara pemerintah, dunia usaha swasta, dan
masyarakat. Dengan demikian, lingkungan instansi pemerintah diharapkan dapat memberikan
pelayananprimakepadamasyarakat.
Gambar2.2menjelaskanprosespengembangannilaitambahberkelanjutandiantaratigapilar
tata kepemerintahan yang baik, yakni pemerintah, dunia usaha swasta, dan masyarakat.
Kepercayaan, dukungan, dan legitimasi politik dari masyarakat akan diperoleh apabila
pemerintah dapat menyediakan pelayanan publik yang memadai dan menjalankan fungsi
perlindunganpadamasyarakat.Disisilainpemerintahjugaharusmampumenciptakanstabilitas
politik,hukum,pertahanandankeamanan,ekonomi,sertasosialdanbudayauntukmendorong
peranduniausahaswastadalampembangunanekonomi.Duniausahaswastayangsehatakan
menghasilkankualitaslayanansertamemberikannilaitambahyangpositifbagimasyarakat.Hal
ini tentunya juga akan menghasilkan pertumbuhan kegiatan usaha yang tinggi sehingga dapat
menumbuhkanloyalitaskonsumendankontribusikeuntunganyanglebihbesardarimasyarakat
sebagai target pasar. Integrasi pengelolaan ketiga rantai nilai tersebut secara selaras akan
menghasilkannilaitambahbagimasyarakat.

12

2014 |Pusdiklatwas BPKP

Gambar2.4
MembangunNilaiTambahBerkelanjutan

D.

PRINSIPPRINSIPGOODGOVERNANCE

Kunci utama untuk memahami good governance adalah pemahaman terhadap kaidahkaidah
yangadadidalamnya.PengertiankaidahsendirimenurutKamusBesarBahasaIndonesiaadalah
rumusanasasyangmenjadihukum,aturanyangsudahpasti,patokan.Dengandemikian,prinsip
berartiasas(kebenaranyangmenjadipokokdasarberpikir,bertindak,dansebagainya).Bertolak
dari prinsipprinsip ini akan didapatkan tolok ukur kinerja suatu pemerintahan. Baikburuknya
pemerintahanbisadinilaibilaiatelahbersinggungandengansemuaunsurprinsipprinsipgood
governance.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

13


Menyadari pentingnya masalah ini dan dalam rangka mengembangkan strategi yang lebih
implementatif, terdapat banyak karakteristik dan prinsip tentang good governance. Prinsip
prinsipgoodgovernanceyangdikemukakanolehUNDPadalahsebagaiberikut:
1.

Partisipasi(Participation)
Terdapatjaminankesamaanhakbagisetiapindividudalampengambilankeputusan(baik
secara langsung maupun melalui lembaga perwakilan). Dalam kaitannya dengan
partisipasiini,terdapattuntutanagarpemerintahmeningkatkanfungsikontrolterhadap
manajemen pemerintah dan pembangunan dengan melibatkan organisasi non
pemerintah. Peran organisasi nonpemerintah sangat penting dalam konteks ini karena
diyakiniorganisasiinimemilikikontakyanglebihbaikdenganmasyarakatmiskin,memiliki
hubungan yang baik dengan daerah pedalaman dan pedesaan, mampu menyediakan
metode alternatif pelayanan publik dengan harga yang murah dan sebagai mediator
dalammenyampaikanberbagaipandangandankebutuhanmasyarakat.

2.

PenegakanHukum(RuleofLaw)
Kerangkahukumharusadildandiberlakukantanpapandangbulu,termasukdidalamnya
hukumhukumyangmenyangkuthakasasimanusia.

3.

Transparansi(Transparency)
Adanya kebebasan dan kemudahan dalam memperoleh informasi yang akurat dan
memadaibagimerekayangmemerlukan.Informatif,mutakhir,dapatdiandalkan,mudah
diperoleh dan dimengerti adalah beberapa parameter yang digunakan untuk mengecek
keberhasilantranparansi.

4.

DayaTanggap(Responsiveness)
Dalam melaksanakan kepemerintahan semua institusi dan proses yang dilaksanakan
pemerintahharusmelayanisemuastakeholderssecaratepat,baikdandalamwaktuyang
tepat(tanggapterhadapkemauanmasyarakat).

14

2014 |Pusdiklatwas BPKP


5.

OrientasipadaKesepakatan(ConsensusOrientation)
Tatapemerintahanyangbaikmenjembatanikepentingankepentinganyangberbedademi
terbangunnya suatu konsensus menyeluruh dalam hal apa yang terbaik bagi kelompok
kelompok masyarakat, dan bila mungkin, konsensus dalam hal kebijakankebijakan dan
prosedurprosedur.

6.

Kesetaraan(Equity)
Terdapatjaminanbagimasyarakatuntukmendapatkanpelayanandankesempatanyang
samadalammenjalankankehidupannya.Sifatadilinidiperolehdariaspekekonomi,sosial
danpolitik.Adilinijugaberartiterdapatjaminanakankesejahteraanmasyarakatdimana
semuamasyarakatmerasabahwamerekamemilikihakdantidakmerasadiasingkandari
kehidupanmasyarakat.

7.

EfektivitasdanEfisiensi(EffectivenessandEfficiency)
Prosesprosespemerintahandanlembagalembagamembuahkanhasilsesuaikebutuhan
warga masyarakat dan dengan menggunakan sumbersumber daya yang ada seoptimal
mungkin.

8.

Akuntabilitas(Accountability)
Semua pihak (baik pemerintah, swasta dan masyarakat) harus mampu memberikan
pertanggungjawaban atas mandat yang diberikan kepadanya (stakeholdersnya). Secara
umumorganisasiatauinstitusiharusakuntabelkepadamerekayangterpengaruhdengan
keputusanatauaktivitasyangmerekalakukan.

9.

VisiStrategis(StrategicVision)
Parapemimpindanmasyarakatmemilikiperspektifyangluasdanjauhkedepanatastata
pemerintahanyangbaikdanpembangunanmanusia,sertakepekaanakanapasajayang
dibutuhkan untuk mewujudkan perkembangan tersebut. Selain itu mereka juga harus
memiliki pemahaman atas kompleksitas kesejarahan, budaya dan sosial yang menjadi
dasarbagiperspektiftersebut.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

15


Berdasarkan konsep di atas, dapat dilihat bahwa good governance mempunyai tujuan yang
lebihbesardarisekedarmanajemenyangefisiendanpenggunaansumberdayayangekonomis.
Good governance adalah strategi untuk menciptakan institusi masyarakat yang kuat, dan juga
untuk membuat pemerintah/publik sektor semakin terbuka, responsif, akuntabel dan
demokratis. Di samping itu, konsep good governance jika dikembangkan akan menciptakan
modern governance (baik good national governance maupun good local governance) yang
handal yang tidak hanya menekankan aktivitasnya dalam kerangka efisiensi tetapi juga
akuntabilitasnyadimatapublik.
Yangtidakkalahpentingnya,penerapangoodgovernancesangatberperandalampencegahan
danpemberantasanpraktikpraktikKKN.Haliniberartibahwadenganadanyagoodgovernance
makapenyalahgunaanfasilitaspublikuntukkepentinganpribadidapatdihindarkansemaksimal
mungkin.Haltersebutselarasdengansasaranpenciptaantatakepemerintahanyangbaikyaitu:
1.

berkurangnyasecaranyatapraktikkorupsikolusidannepotismedibirokrasi,yangdimulai
darijajaranpejabatyangpalingatas;

2.

terciptanya sistem kelembagaan & ketatalaksanaan pemerintah yang efisien, efektif dan
profesionaltransparandanakuntabel;

3.

terhapusnyaperaturandanpraktikyangbersifatdiskriminatifterhadapwarganegara;

4.

meningkatnyapartisipasimasyarakatdalampengambilankebijakanpublik;

5.

terjaminnyakonsistensiseluruhperaturanpusatdandaerah

Penerapan good governance tidak hanya di tingkat institusi, misalnya pemerintah daerah dan
kementerian/lembaganamunharusdilaksanakanjugaditingkatunitkerja,misalnyaorganisasi
APIP,dinasataupundirektoratteknis.

16

2014 |Pusdiklatwas BPKP

BabIII
MANAJEMENRISIKO

IndikatorKeberhasilan
Setelahmengikutipemelajaraninidiharapkanpesertadiklatmampumenjelaskan
mengenaimanajemenrisiko

Aktivitasorganisasisektorpublikdanbisnissenantiasaberubahdanberkembangseiringdengan
perubahan di lingkungan internal dan eksternal organisasi. Perubahan di lingkungan internal
biasanya dapat dikendalikan oleh manajemen. Sedangkan perubahan di lingkungan eksternal,
sepertiperubahaniklimdemokrasidanperaturan,beradadiluarkontrolorganisasi.
Tuntutan perubahan dan peningkatan kapabilitas organisasi memunculkan risiko(risk) dan
sekaligus peluang (opportunities) bagi organisasi. Risiko berkenaan dengan kemungkinan
terjadinyakegagalandankerugianbagiorganisasi.Risikoberskalarendahtidakmengkuatirkan
bagi organisasi. Namun, risiko berskala besar dapat berdampak pada tidak tercapainya tujuan
danmisiorganisasi.
Kegagalan tujuan dan misi bagi organisasi publik dapat mengakibatkan ketidakpercayaan
(distrust) dari publik atas pelayanan yang diberikan. Dalam kondisi terjelek dan sebagaimana
yangpernahterjadi,distrustdapatmenyebabkanhilangnyaorganisasiyangbersangkutan.
Manajemen risiko (risk management) menjadi kebutuhan yang strategis dan menentukan
perbaikan kinerja dari organisasi. Risiko yang dikelola dengan optimal bahkan memunculkan
berbagai peluang bagi organisasi yang bersangkutan. Manajemen risiko diperlukan untuk
mengoptimalkan penggunaan sumber daya terbatas yang dimiliki organisasi. Pengalokasian
sumberdayadidasarkanpadaprioritasrisikoyangdimulaidaririsikoskalatertinggi.Demikian
pula,manajemenrisikoyangadaperludievaluasisecaraperiodikmelaluiaktivitaspengendalian
(internalcontrol).

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

17


A.

RISIKO

1.

PengertianRisiko
Banyak definisi atau pengertian yang diberikan oleh para ahli mengenai risiko sesuai
dengan disiplin keilmuan dan lingkup keahliannya. Risiko memiliki keterkaitan dengan
ketidakpastian. Peraturan Pemerintah Nomor 60 Tahun 2008 menyatakan bahwa risiko
adalahsuatukejadianyangmungkinterjadidanapabilaterjadiakanmemberikandampak
negatifpadapencapaiantujuaninstansipemerintah.
Menurut Badan Sertifikasi Manajemen Risiko (2007), definisi risiko adalah peluang
terjadinyabencana,kerugianatauhasilyangburuk.Risikoterkaitdengansituasidimana
hasilnegatifdapatterjadidanbesarkecilnyakemungkinanterjadinyahasiltersebutdapat
diperkirakan. Menurut Namee dan Salim (1998) dalam makalah Risk Management,
ChangingtheAuditorParadigm,pengertianrisiko(risk)adalah:
Riskisaconceptusedtoexpressuncertaintyabouteventsand/ortheiroutcomes
thatcouldhaveamaterialeffectonthegoalsoftheorganizations.
Adapun definisi risiko menurut AS/NZS 4360:2004 adalah the chance of something
happening that will have an impact on objectives. Sedangkan definisi risiko menurut
Enterprise Risk Management COSO adalah events with a negative impact represent
risks,whichcanpreventvaluecreationorerodeexistingvalue.

Kemungkinan
terjadinya
peristiwa

Yangmembawa
akibat
yangtidakdiinginkan

TujuanStrategi
Sasarandan
atauTarget

Dariberbagaidefinisitersebut,risikoselaludihubungkandengankemungkinanterjadinya
akibatburuk(kerugian)yangtidakdiinginkan,atautidakterduga.Dengankatalain,risiko
terdiridariunsurunsurberikutini.

18

2014 |Pusdiklatwas BPKP

Kemungkinankejadianatauperistiwa

Dampak atau konsekuensi (jika terjadi, risiko akan membawa akibat atau
konsekuensi)

Kemungkinankejadian(risikomasihberupakemungkinanataudiukurdalambentuk
probabilitas)

Contoh:
Risiko kebakaran akan berdampak kerugian material dan korban jiwa, dengan
kemungkinankejadiantinggipadamusimkemarau.
Semuaunsurrisikoterpenuhi:

adanyakejadianatauperistiwayangmungkinterjadi:risikokebakaran;

adanyadampak:kerugianmaterialdankorbanjiwa;

adanya probabilitas/kemungkinan kejadian: potensi kejadian tinggi pada musim


kemarau.

Risikodapatterjadipadapelayanan,kinerja,danreputasidariinstitusiyangbersangkutan.
Risiko yang terjadi dapat disebabkan oleh berbagai faktor antara lain kejadian alam,
operasional,manusia,politik,teknologi,pegawai,keuangan,hukum,danmanajemendari
organisasi. Suatu risiko yang terjadi dapat berasal dari risiko lainnya, dan dapat
disebabkanolehberbagaifaktor.Risikorendahnyakinerjasuatuinstansiberasaldaririsiko
rendahnya mutu pelayanan kepada publik. Risiko terakhir disebabkan oleh faktorfaktor
sumberdayamanusiayangdimilikiorganisasidanoperasionalsepertiketerbatanfasilitas
kantor. Risiko yang terjadi akan berdampak pada tidak tercapainya misi dan tujuan dari
instansitersebut,dantimbulnyaketidakpercayaandaripublik.
Risiko berbeda dengan masalah. Apabila salah satu dari ketiga unsur risiko tidak
terpenuhi, maka suatu pernyataan tidak dapat dikategorikan sebagai risiko, melainkan
suatumasalah.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

19


Contoh:
KoranTempo,tanggal20Januari2009halaman1menyajikansebuahberitayangbertajuk
Petaka21.30,sebagaiberikut:
Sebuah ledakan besar mengawali terbakarnya tangki bahan bakar di Depo Unit
Pemasaran dan Pembekalan Dalam Negeri III Plumpang, Jakarta, Ahad malam lalu
sekitar pukul 21.30. Ledakan itu kemudian disusul lidah api yang menjilat tangki
nomor 24 yang berisi 1.500 2.000 kiloliter premium. Baru sepuluh jam kemudian
api akhirnya padam. Seorang pegawai ditemukan tewas terbakar dan kerugian
diperkirakanmencapaiRp15miliar....
Pertanyaan:Risiko apa saja yang akan dihadapi Pertamina atas kejadian kebakaran
tersebut?
Untuk menjawabnya, harus dilakukan analisis terlebih dahulu terhadap pemenuhan
unsurunsurrisiko,sebagaiberikut:
Pertama

:Apakah terjadinya kebakaran di Depo Plumpang adalah sebuah kejadian?


Jawabannyaya.

Kedua

:Apakah kebakaran tersebut merupakan kemungkinan? Tidak, karena sudah


terjadi.

Ketiga

:Apakahterjadikerugian?Ya.

Karena salah satu dari tiga kriteria yang ada mengenai risiko tidak terpenuhi, maka
pernyataantersebuttidakbisadikategorikansebagairisiko.
Berkenaan dengan sektor publik yang menuntut transparansi dan peningkatan kinerja
dengan dana yang terbatas, risiko yang dihadapi instansi pemerintah akan semakin
bertambah dan meningkat. Oleh karenanya, pemahaman terhadap risiko menjadi suatu
keharusan untuk dapat menentukan prioritas strategi dan program dalam pencapaian
tujuanorganisasi.

20

2014 |Pusdiklatwas BPKP


2.

PerilakuOrganisasiterhadapRisiko
a.

RiskAppetite
Risk appetite (selera risiko) adalah suatu tingkatan dari sekelompok risiko dimana
organisasi akan menerima dan dapat mengelola dalam suatu periode tertentu.
Dengan kata lain, risk appetite adalah sejumlah risiko dalam organisasi yang akan
diterima dalam rangka pencapaian misi atau visi. Hal itu mencerminkan sikap
organisasi terhadap risiko dan akan mepengaruhi budaya dan gaya pengoperasian
organisasitersebut.
Salah satu cara yang paling jitu ketika sebuah organisasi dapat menanamkan
pertimbangan risiko ke dalam proses eksekusi strategi adalah melalui penyataan
tertulis perihal risk appetite. Hal ini akan memberikan jaminan yang cukup kuat
kepada stakeholders bahwa organisasi telah sangat paham dengan sejumlah risiko
yangdihadapidanrisikorisikotersebutberadadalampengendalianyangtepatdan
cermat.
Bukan sekadar strategi sederhana menjadi seperangkat tujuan dan mendefinisikan
key performance indicator (KPI), seperti pada pendekatan balanced scorecard,
organisasi harus mengambil langkah tambahan: mengevaluasi tingkat risiko yang
akanmerekaambiluntukmencapaitujuanmereka.Denganmengambillangkahini,
organisasiorganisasi telah berada pada proses pengembangan dari pendekatan
terintegrasi dan selaras dengan pelaksanaan strategi yang menggabungkan risiko
dantatakelolaorganisasi.
Risk appetite bisa dinyatakan secara kuantitatif dan kualitatif tergantung pada
kualitas tingkat pengukuran risiko di suatu organisasi. Intinya, risk appetite harus
mencerminkan strategi bisnis, ekspektasi dari stakeholders, sifat dan karakteristik
risiko yang diambil, dan kemungkinan contagion dari situasi risiko tertentu lintas
unitorganisasi.Proses pendefinisianriskappetiteinitentuharusdidahuluidengan
terdapatnyaperangkatuntukmenentukanprofilrisikopadasuatuorganisasiuntuk
semua kategori risiko yang dianggap dapat berpengaruh pada pencapaian tujuan
organisasiyangtercantumdalampernyataanvisidanmisiorganisasi.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

21


b.

RiskTolerance
Risktolerance(toleransirisiko)seringdigunakanbergantiandenganistilahambang
risikoataulimitrisiko.Risktolerancemeliputipemahamantentangjenisrisiko,cara
menyikapi risiko, dan metode pengambilan risiko. Risk tolerance adalah batas
pengambilan risiko yang dapat diterima dari variasi relatif pada pencapaian tujuan
dalam tingkat toleransi yang diperkenankan dalam konteks organisasi secara
keseluruhan.
Suatuorganisasiharusmembuatketentuanyanginformatiftentangseberapabesar
risikodapatditerima(acceptable)sebagaibagiandaripraktikmanajemenorganisasi
yangwajar.Tingkatrisikoyangdapatditerimatersebutdikenalsebagairisikoyang
ditoleransi atau tingkat toleransi risiko. Toleransi terhadap risiko merupakan salah
satu faktor yang mempengaruhi sikap pengambilan risiko, di samping faktor
keterampilan kerja, pendidikan, intelegensi, lingkungan kerja, rasa aman, dan
kemampuandalampengambilankeputusan.
Contoh:
Terhadap risiko kebakaran di gedung kantor instansi, instansi A berbeda risk
appetitenyadibandingkaninstansiB.
instansi A: risk taker, lebih banyak mengalokasikan sumber daya yang
dimilikinya untuk menghadapi risiko kebakaran setelah mempertimbangkan
toleransi instansi tersebut terhadap risikonya. Misalnya akan lebih banyak
memasang alat pemadam kebakaran di lingkungan kantornya, memasang
petunjukevakuasi,menyelenggarakanpelatihansimulasisituasigawatdarurat
secaraberkala,danselalumengecekkesiapanalatdamkarnya.
instansi B: risk avoidance, cenderung membatasi risiko kebakaran. Misalnya
tidak memperbolehkan peralatan atau benda/material yang mudah
menimbulkan kebakaran di lingkungan kantornya, pelarangan kegiatan yang
dapatmenimbulkanpercikanatauyangmenggunakanapi.

22

2014 |Pusdiklatwas BPKP


3.

KlasifikasiRisiko
Adabeberapakategoririsiko,tergantungdarisudutpandangkitamelihatnya.
a.

RisikodariSudutPandangPenyebab
Dilihatdarisebabterjadinya,adaduamacamrisiko,yaitu:
1)

Risikokeuangan : Risikoyangdisebabkanolehfaktorfaktorkeuangan.

2)

Risikooperasional: Risikoyangdisebabkanolehfaktorfaktornonkeuangan,
misalnya manusia, teknologi, sistem dan prosedur, dan
alam.

b.

RisikodariSudutPandangAkibat
Dilihatdariakibatyangditimbulkan,adaduamacamrisiko,yaitu:
1)

Risikomurni

: Apabila suatu kejadian berakibat hanya merugikan dan


tidak memungkinkan adanya keuntungan, misalnya
terjadikebakaran.

2)

Risikospekulatif : Risikoyangtidaksajamemungkinkanterjadinyakerugian
tetapi juga memungkinkan terjadinya keuntungan,
misalnyarisikomelakukaninvestasi.

c.

RisikodariSudutPandangAktivitas
Ada berbagai macam aktivitas yang dapat menimbulkan risiko, misalnya aktivitas
pemberiankreditolehbank,aktivitaspelayanankepadamasyarakat.

d.

AktivitasdariSudutPandangKejadian
Risikodilihatdarisudutpandangkejadiannya,misalnyarisikokebakaran.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

23


e.

RisikodariSudutPandangJenisRisiko
Risikodarisudutpandangjenisrisikonya,mencakup:

f.

1)

Risikoteknologi

2)

Risikokeuangan/ekonomi

3)

Risikosumberdayamanusia(kapasitas,hakintelektual)

4)

Risikokesehatan

5)

Risikopolitik

6)

Risikohukum

7)

Risikokeamanan,danlainlain.

RisikodariSudutPandangSumbernya
Risikodarisudutpandangsumbernya,meliputi:
1)

Risikoeksternal(politik,ekonomi,bencanaalam)

2)

Risikointernal(reputasi,keamanan,manajemen,informasiuntukpengambilan
keputusan)

g.

RisikodariSudutPandangPenerimaRisiko
Risiko dari sudut pandang penerima risiko mencakup orang (human risk), risiko
reputasi,hasilprogram,bangunandanaset,lingkungan,peyananandanlainlain.

h.

RisikodariSudutPandangTingkatKemungkinan(Level/StatusRisiko):
1)

Risikorendah

2)

Risikomenengah

3)

Risikotinggi

24

2014 |Pusdiklatwas BPKP


i.

j.

k.

RisikodariSudutPandangKemampuanMengendalikan:
1)

Risikoyangdangatterkendali(highlycontrollablerisk)

2)

Risikoyangkurangterkendali(lowcontrollablerisk)

3)

Risikoyangtidakatausangatsulitdikendalikan(uncontrollablerisk)

RisikodariSudutPandangHierarkiRisiko:
1)

RisikoStrategis

2)

RisikoProgram

3)

RisikoProyek

4)

RisikoOperasional

RisikodariSudutPandangPenetapanTujuanOrganisasi:
1)

RisikoStrategis,berhubungandengankeselarasandenganselerarisiko

2)

Risiko Operasional, berhubungan dengan efektivitas dan efisiensi aktivitas


operasi

3)

RisikoPelaporan,berhubungandengankeandalandalamprosespengambilan
keputusan

4)

Risiko Ketaatan, berhubungan dengan kesesuaian terhadap regulasi yang


berlaku.

B.

MANAJEMENRISIKO

1.

PengertianManajemenRisiko
Risiko tidak tercapainya tujuan dan program organisasi tidak semata terjadi di sektor
bisnis, namun juga di sektor publik. Oleh karena itu, instansi pemerintah perlu
menyelenggarakanmanajemenrisiko.
Definisi Manajemen Risiko menurut AS/NZ Standard 4360: 2004 adalah the culture,
processes, structures that are directed towards realizing potential opportunities whils

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

25


managing adverse effects. Sedangkan menurut COSO,risk management (manajemen
resiko) dapat diartikan sebagai aprocess, effected by an entitys board of directors,
management and other personnel, applied in strategy setting and across the enterprise,
designedtoidentifypotentialeventsthatmayaffecttheentity,managerisktobewithin
its risk appetite, and provide reasonable assurance regarding the achievement of entity
objectives.
Definisimanajemen risiko di atas dapat dijabarkan lebih lanjut berdasarkan katakata
kuncisebagaiberikut:

OnGoingProcess
Manajemen risiko dilaksanakan secara terus menerus dan dimonitor secara
berkala.Manajemen risikobukanlah suatu kegiatan yang dilakukan sesekali (one
timeevent).

EffectedbyPeople
Manajemen risiko ditentukan oleh pihakpihak yang berada di lingkungan
organisasi. Untuk lingkungan institusi pemerintah,Manajemen risiko dirumuskan
olehpimpinandanpegawaiinstitusi/departemenyangbersangkutan.

AppliedinStrategySetting
Manajemen risiko telah disusun sejak dari perumusan strategi organisasi oleh
manajemenpuncakorganisasi.Denganpenggunaanmanajemenrisiko,strategiyang
disiapkan disesuaikan dengan risiko yang dihadapi oleh masingmasing bagian/unit
dariorganisasi.

AppliedAcrossTheEnterprise
Strategi yang telah dipilih berdasarkanmanajemen risikodiaplikasikan dalam
kegiatan operasional, dan mencakup seluruh bagian/unit pada organisasi.
Mengingat risiko masingmasing bagian berbeda, maka penerapanmanajemen
risikoberdasarkanpenentuanrisikoolehmasingmasingbagian.

26

2014 |Pusdiklatwas BPKP

DesignedtoIdentifyPotentialEvents
Manajemen risiko dirancang untuk mengidentifikasi kejadian atau keadaan yang
secarapotensialmenyebabkanterganggunyapencapaiantujuanorganisasi.

ProvideReasonableAssurance
Risiko yang dikelola dengan tepat dan wajar akan menyediakan jaminan bahwa
kegiatandanpelayananolehorganisasidapatberlangsungsecaraoptimal.

GearedtoAchieveObjectives
Manajemen risiko diharapkan dapat menjadi pedoman bagi organisasi dalam
mencapaitujuanyangtelahditentukan.

Manajemenrisikoyangdilaksanakansecaraefektifdanwajardapatmemberikanmanfaat
bagiorganisasi,yakni:

Membantupencapaiantujuanorganisasi.

Mencapai kesinambungan pemberian pelayanan kepada stakeholder, sehingga


meningkatkankualitasdannilaiorganisasi.

Mencapai hasil yang lebih baik berupa efisiensi dan efektivitas pelayanan, seperti:
meningkatkanpelayanankepadapublikdanataumeningkatkanpenggunaansumber
dayayanglebihbaik(masyarakat,informasi,dana,danperalatan).

Memberikan dasar penyusunan rencana strategi sebagai hasil dari pertimbangan


yangterstrukturterhadapunsurkuncirisiko.

Menghindari biayabiaya yang mengejutkan, karena perusahaan mengidentifikasi


danmengelolarisikoyangtidakdiperlukan,termasukmenghindaribiayadanwaktu
yangdihabiskandalamsuatuperkara.

Menghindari pemborosan, dan membuka peluang bagi organisasi untuk


memberikanpelayananyangterbaik.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

27

Mencapai pengambilan keputusan yang terbuka dan berjalannya proses


manajemen.

Meningkatkanakuntabilitasdancorporategovernance.

Mengubahpandanganterhadaprisikomenjadilebihterbuka,adatoleransiterhadap
kesalahan tapi tidak terhadap kekeliruan yang disembunyikan. Perubahan
pandanganinimemungkinkanorganisasibelajardarikesalahanmasalalunyauntuk
terusmemperbaikikinerjanya.

Organisasi akan lebih fokus dalam melaksanakan kebijakankebijakannya sehingga


dapatmeminimalkangangguangangguanyangtidakdikehendaki.

Selainitu,agarmanajemenrirskodapatterlaksanasecaraefektif,suatuorganisasiharus
mengikutiprinsipprinsipdasarsebagaiberikut:
a.

Manajemenrisikomenciptakannilaitambah(createsvalue)
Manajemen risiko berkontribusi terhadap pencapaian nyata objektif dan
peningkatan,antaralain,kesehatandankeselamatanmanusia,kepatuhanterhadap
hukum dan peraturan, penerimaan publik, perlindungan lingkungan, kinerja
keuangan, kualitas produk, efisiensi operasi, serta tata kelola dan reputasi
perusahaan.

b.

Manajemenrisikoadalahbagianintegralprosesdalamorganisasi(anintegralpartof
organizationalprocesses)
Manajemenrisikoadalahbagiantanggungjawabmanajemendanmerupakansuatu
bagianintegraldalamprosesnormalorganisasisepertijugamerupakanbagiandari
seluruh proses proyek dan manajemen perubahan. Manajemen risiko bukanlah
merupakanaktivitasyangberdirisendiriyangterpisahdariaktivitasaktivitasutama
danprosesdalamorganisasi.

28

2014 |Pusdiklatwas BPKP


c.

Manajemen risiko adalah bagian dari pengambilan keputusan (part of decision


making)
Manajemen risiko membantu pengambil keputusan mengambil keputusan dengan
informasi yang cukup. Manajemen risiko dapat membantu memprioritaskan
tindakan dan membedakan berbagai pilihan alternatif tindakan. Pada akhirnya,
manajemenrisikodapatmembantumemutuskanapakahsuaturisikodapatditerima
atauapakahsuatupenangananrisikotelahmemadaidanefektif.

d.

Manajemen risiko secara eksplisit menangani ketidakpastian (explicitly addresses


uncertainty)
Manajemen risiko menangani aspekaspek ketidakpastian dalam pengambilan
keputusan,sifatalamidariketidakpastianitu,danbagaimanamenanganinya.

e.

Manajemen risiko bersifat sistematis, terstruktur, dan tepat waktu (systematic,


structuredandtimely)
Suatu pendekatan sistematis, tepat waktu, dan terstruktur terhadap manajemen
risiko memiliki kontribusi terhadap efisiensi dan hasil yang konsisten, dapat
dibandingkan,sertaandal.

f.

Manajemen risiko berdasarkan informasi terbaik yang tersedia (based on the best
availableinformation)
Masukanuntukprosespengelolaanrisikodidasarkanolehsumberinformasiseperti
pengalaman, umpan balik, pengamatan, prakiraan, dan pertimbangan pakar.
Meskipun demikian, pengambil keputusan harus terinformasi dan harus
mempertimbangkan segala keterbatasan data atau model yang digunakan atau
kemungkinanperbedaanpendapatantarpakar.

g.

Manajemenrisikodibuatsesuaikebutuhan(tailored)
Manajemen risiko diselaraskan dengan konteks eksternal dan internal organisasi
sertaprofilrisikonya.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

29


h.

Manajemenrisikomemperhitungkanfaktormanusiadanbudaya(takeshumanand
culturalfactorsintoaccount)
Manajemenrisikoorganisasimengakuikapabilitas,persepsi,dantujuanpihakpihak
eksternaldaninternalyangdapatmendukungataumalahmenghambatpencapaian
tujuanorganisasi.

i.

Manajemenrisikobersifattransparandaninklusif(transparentandinclusive)
Pelibatan para pemangku kepentingan, terutama pengambil keputusan, dengan
sesuai dan tepat waktu pada semua tingkatan organisasi, memastikan manajemen
risikotetaprelevandanmengikutiperkembangan.Pelibataninijugamemungkinkan
pemangku kepentingan untuk cukup terwakili dan diperhitungkan sudut
pandangnyadalammenentukankriteriarisiko.

j.

Manajemen risiko bersifat dinamis, iteratif, dan responsif terhadap perubahan


(dynamic,iterativeandresponsivetochange)
Seiring dengan timbulnya peristiwainternal dan eksternal,perubahankonteks dan
pengetahuan, serta diterapkannya pemantauan dan peninjauan, risikorisiko baru
bermunculan, sedangkan yang ada bisa berubah atau hilang. Karenanya, suatu
organisasi harus memastikan bahwa manajemen risiko terus menerus memantau
danmenanggapiperubahan.

k.

Manajemen risiko memfasilitasi perbaikan dan pengembangan berkelanjutan


organisasi(facilitatescontinualimprovementandenhancementoftheorganization)
Organisasi harus mengembangkan dan mengimplementasikan strategi untuk
memperbaiki kematangan manajemen risiko mereka bersama aspekaspek lain
dalamorganisasimereka.

2.

ElemenManajemenRisiko
Pemahaman manajemen risiko memungkinkan manajemen untuk terlibat secara efektif
dalammenghadapiketidakpastianatasrisikodanpeluangyangterkaitdanmeningkatkan
kemampuan organisasi untuk memberikan nilai tambah. Ada beberapa kerangka

30

2014 |Pusdiklatwas BPKP


(framework)yang dikembangkan oleh beberapa pihak seperti oleh AS/NZS, COSO, CAS,
danterakhiryangdikeluarkanolehISO.
Pada tahun 1995 sebuahtaskforcemengembangkanThe Australian and New Zealand
Standard for risk management AS/NZS 4360:1995. Standard ini kemudian
disempurnakanpada tahun 1999 menjadiAS/NZS4360:1999, terakhirdisempurnakan
lagipadatahun2004menjadiAS/NZS4360:2004.
MenurutAS/NZS,elemenelemendalammanajemenrisiko(Gambar2.1)dapatdijelaskan
sebagaiberikut:
a.

KomunikasidanKonsultasi
Proses komunikasi dan konsultasi bertujuan memperoleh informasi yang relevan
sertamengkomunikasikansetiaptahapanprosesmanajemenrisikosehinggapihak
pihakyangterkaitdapatmenjalankantanggungjawabnyadenganbaik.Prosesyang
melekat pada seluruh proses manajemen risiko ini dilakukan dengan cara
mengembangkankomunikasidenganstakeholderinternalmaupuneksternal.

b.

PenetapanKonteks
Penetapan konteks bertujuan untuk mengidentifikasi dan menganalisis organisasi
sebagai lingkungan tempat manajemen risiko akan diterapkan. Dalam proses ini
diidentifikasi pihakpihak yang paling berkepentingan dengan proses penerapan
manajemenrisiko,ruanglingkupdantujuanproses,kondisiyangmembatasi,serta
hasil yang diharapkan dari penerapan manajemen risiko. Sebagai bagian dari
penetapankonteks,disusunlahkriteriauntukmenganalisisdanmengevaluasirisiko.

c.

IdentifikasiRisiko
Identifikasi risiko bertujuan untuk mengidentifikasi seluruh jenis risiko yang
berpotensi menghalangi, menurunkan, atau menunda tercapainya sasaran Unit
Pemilik Risiko yang ada dalam organisasi. Proses ini dilakukan dengan cara
mengidentifikasi lokasi, waktu, sebab dan proses terjadinya peristiwa risiko yang
dapatmenghalangi,menurunkan,ataumenundatercapainyasasaran.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

31


d.

AnalisisRisiko
Analisisrisikobertujuanuntukmengetahuiprofildanpetadaririsikorisikoyangada
di organisasi dan akan digunakan dalam proses evaluasi dan strategi penanganan
risiko. Proses analisis risiko dilakukan dengan cara mencermati sumber risiko dan
tingkat pengendalian yang ada serta dilanjutkan dengan menilai risiko dari sisi
konsekuensidankemungkinanterjadinya.

e.

EvaluasiRisiko
Evaluasirisikobertujuanuntukmenetapkanprioritasrisikoyangtelahdiidentifikasi
dandianalisis.Evaluasirisikodilakukanagarparapengambilkeputusandiorganisasi
bisa mempertimbangkan perlu tidaknya dilakukan penanganan risiko lebih lanjut
serta prioritas penanganannya.pada langkah ini dilakukan pembandingan antara
nilaipatokanresikoyangingindicapaiorganisasi(lihatlangkah1)dengannilaihasil
perhitunganresikoyangdihasilkanlangkah3diatas.Setelahitudipilahpilahmana
resikoyangmasukdalamkriteriaorganisasidanmanayangtidakmasukkriteria.

f.

PenangananRisiko
Prosespenangananrisikobertujuanmenentukanjenispenangananyangefektifdan
efisien untuk suatu risiko. Penanganan risiko dilakukan dengan mengidentifikasi
berbagai opsi penanganan risiko yang tersedia dan memutuskan opsi penanganan
risikoyangterbaikyangdilanjutkandenganpengembanganrencanamitigasirisiko.

g.

MonitoringdanReview
Monitoring dan review bertujuan mengantisipasi perubahan risiko yang bersifat
mendadak dan persistent baik pada tingkat risiko maupun arah risiko yang
berdampak negatif pada profil risiko. Proses monitoring dan review dilakukan
dengancaramemantauefektivitasrencanapenangananrisiko,strategi,dansistem
manajemenrisiko.

32

2014 |Pusdiklatwas BPKP


Penetapan
Konteks

Identifikasi
Risiko

Analisis
Risiko

Evaluasi
Risiko

Penanganan
Risiko

Komunikasi
&
Konsultansi

Monitor&
Reviu

Analisis risiko

Evaluasirisiko

Monitoringdanreviu

Identifikasirisiko

Penilaianrisiko

KomunikasidanKonsultansi

Penetapankonteks

Penangananrisiko

Gambar3.1
Elemen/ProsesManajemenRisiko

Secaradetailakandijelaskandibawahini.
a.

KomunikasidanKonsultasi
Komunikasi dan konsultasi melekat di setiap tahap proses manajemen risiko.
Komunikasi dan konsultasi harus melibatkan dialog dua arah dengan stakeholders,
difokuskan pada konsultasi daripada dialog satu arah dari pembuat keputusan
kepadastakeholders.Sangatlahpentinguntukmengembangkanrencanakomunikasi
kepada stakeholders internal maupun eksternal di tahap awal proses manajemen
risiko.Rencanatersebutharusmengakomodirhalyangberkaitandenganrisikodan
prosesuntukmengelolanya.
Komunikasi internal maupun eksternal yang efektif sangat penting untuk
memastikan bahwa pihakpihak yang bertanggung jawab atas implementasi
manajemen risiko mengerti terhadap dasar keputusan diambil dan mengapa
kegiatan tertentu diperlukan. Stakeholders memiliki sudut pandang dan pendapat

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

33


yang sangat beragam. Untuk itu, perlu dipastikan bahwa komunikasi harus
memperolehinformasiyangrelevan.
Di sisi konsultasi, adanya pendekatan mengenai tim konsultan akan membantu
dalampenetapankontekssecaratepat,membantumemastikanbahwarisikotelah
diidentifikasi secara efektif, memberi masukan dalam menganalisa dan
mengevaluasirisikodariberbagaisudutpandangkeahlian.
b.

PenetapanKonteks
1)

Gambaranumum
Penetapankonteksadalahtahappenentuanparameterinternaldaneksternal,
lingkupkerjadankriteriarisiko.Penetapankonteksmerupakandasar/pijakan
bagi proses manajemen risiko selanjutnya. Perolehan gambaran menyeluruh
dariparameterdasar;ruanglingkup,dankerangkakerja,bertujuanuntuk:
mengidentifikasilingkunganpenerapanmanajemenrisiko;
mengetahui dan menetapkan pihak yang paling berkepentingan
(stakeholdersutama)
menetapkan ruang lingkup, tujuan, kondisi yang membatasi dan hasil
yangdiharapkan;dan
menetapkankriteriauntukmenganalisisdanmengevaluasirisiko.
Langkahlangkahdalampenetapankonteksadalah:

2)

a)

menetapkankontekseksternalinternal,

b)

menetapkankonteksmanajemenrisiko,dan

c)

menetapkankriteriapenilaianrisiko.

Penetapankonteksekternalinternal
Dalam penetapan konteks eksternal, dilakukan analisis hubungan organisasi
danlingkunganeksternalnyaseperti:

34

2014 |Pusdiklatwas BPKP


Lingkunganpolitik,ekonomi,sosial,budaya,hukum,teknologi,alam,dan
lainlain.
Persepsidannilaiparapemangkukepentinganeksternal.
Sedangkanpenetapankonteksinternaladalahuntukmemastikankeselarasan
manajemen risiko harus dengan budaya, proses dan struktur organisasi
denganmempertimbangkan:
kapabilitasorganisasi;
sisteminformasidankomunikasi;
strukturorganisasi;
kebijakan,sasaran,strategi;
persepsi,nilaidanbudayaorganisasi;dan
pemangkukepentinganinternal.
3)

Penetapankonteksmanajemenrisiko
Penetapankonteksmanajemenrisikoadalahuntukmenentukan:
sasaran,tujuan,strategi,dankebijakanmanajemenrisiko;
lingkupdanluascakupanmanajemenrisiko;
sumberdayayangdiperlukan;
jadwalwaktupenyelesaian;dan
dokumentasidancatatanyangharusdibuat.

4)

Penetapankriteriarisiko
Penetapan kriteria terkait risiko dapat dilakukan dengan mempertimbangkan
kriteriaoperasional,teknis,keuangan,hukum,sosial,lingkungan,budayadan
kriterialainnya,tergantungkebijakaninternal,tujuandansasaranorganisasi.
Kerangkaacuanbagaimanamengukurrisikoadalahsebagaiberikut:

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

35


a)

TingkatKonsekuensiRisiko:

Kriteria

penilaian

timbulnya

risiko

akibat
finansial,

hukum, politik, citra, dan lain


lain.
b)

TingkatKemungkinanTerjadinyaRisiko:Ukurankemungkinanterjadinya
risiko berdasarkan probabilitas,
frekuensi

kejadian

maupun

expertjudgement.
c)

LevelRisiko:

Menentukan

tingkat

risiko

untuk mengambil keputusan


dilakukannya upaya penangan
anatautidak.
c.

IdentifikasiRisiko
Tahapidentifikasirisikomerupakantahapuntukmengenaliseluruhaktivitasentitas,
baikyangsedangmaupunyangbaruberjalan.Identifikasirisikodilaksanakandengan
tujuan untuk mengenali faktorfaktor risiko yang dapat menghambat pencapaian
tujuan entitas, menyebabkan kerugian, dan bahkan merusak reputasi entitas
tersebut. Tahap ini menetapkan apa, dimana, kapan, mengapa, dan bagaimana
sesuatu dapat terjadi, sehingga dapat berdampak negatif terhadap pencapaian
tujuan(4w+h).
Identifikasirisikosecaramenyeluruhyangadadidalamentitasakanmenghasilkan
suatudaftarrisiko(riskregister).Seluruhrisikoyangtelahteridentifikasikemudian
dikelompokkan ke dalam kategorikategori tertentu seperti risiko strategis, risiko
gangguanoperasional,risikofinansial,risikoreputasi,risikokepegawaian,danlain
lain.Aktivitasidentifikasirisikomerupakantanggungjawabmasingmasingpemillik
risiko(riskowner)untukprosesdanunitterkait.
Tahap identifikasi atas risiko yang mengancam capaian tujuan organisasi dapat
dilakukandenganmenggunakanbeberapateknikantaralain:

36

2014 |Pusdiklatwas BPKP


interviu

brainstorming

surveimelaluiinternet

focusgroupdiscussion

reviewdokumen

pengalamanlalu

reviewtargetkinerja

praktikdilapangan

workshopyangdifasilitasi

pengetahuanterbaru

analisispohonbercabang

investigasikasus

d.

AnalisisRisiko
Setelah merumuskan risiko, tahap selanjutnya adalah menganalisis risiko tersebut.
Dalammelakukananalisisrisiko,dapatmenggunakansumberyangmemadai,antara
lain:
dokumendokumenterdahulu

surveikepuasanpublik

pengalamanyangrelevan

eksperimendanprototipe

praktikpraktikterbaikyangpernahada

pertimbangandariahli/pakar

literaturyangrelevan

brainstorming

Daribeberapamacammetodeanalisisrisikotersebut,untukefisiensiprosestahap
awal penilaian risiko digunakan teknik brainstroming melalui workshop yang
difasilitasi.
Analisis risiko merupakan langkah untuk menentukan nilai dari suatu risiko yang
telah diidentifikasi dengan mengukur nilai kemungkinan dan dampaknya.
Berdasarkan hasil penilaian tersebut, suatu risiko dapat ditentukan tingkat dan
status risikonya sehingga dapat dihasilkan suatu informasi untuk menciptakan
desainpengendaliannya.
Secarasederhana,levelrisikodihitungdenganrumusberikut.

LevelRisiko=KemungkinanxDampak
Pengukuran risiko akan dilihat dari dua perspektif yaitu kemungkinan keterjadian
(likelihood)danbesarnyapengaruh/dampakrisikoterhadapentitas(impact).Risiko
dinilaidenganmengacukepadatabelkriteriayangterkaitdenganlikelihoodmaupun
impact. Kriteria sebagai acuan penilaian dimaksud akan terus berkembang dan

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

37


berubah untuk disesuaikan dengan perkembangan aktivitas entitas dan perubahan
riskappetiteentitas.Hasilpenilaiankeseluruhanrisikotersebutkemudiandipetakan
kedalamPetaRisiko(RiskMap).
Petarisikomerupakanpenggambaransecaravisualtingkatmasingmasingindividual
risiko yang telah teridentifikasi dengan diberi warnawarna menurut tinggi
rendahnya. Risikorisiko yang sangat tinggi (very high) diindikasikan dengan warna
merah dan masuk dalam kategori risiko yang memerlukan perhatian manajemen.
Risikorisiko ini memerlukan perhatian segera dari manajemen karena
membutuhkanmitigasi/rencanaaksiyangsegerauntukdapatmengurangibesarnya
pengaruh dampak dan/atau kemungkinan keterjadian risiko tersebut. Risikorisiko
tinggi (high) dan menengah (medium) secara berturutturut diindikasikan dengan
warna oranye dan kuning. Risiko risiko yang masuk dalam kwadran tinggi dan
medium (oranye dan kuning), bersamasama dengan risiko risiko dengan katagori
sangattinggimerupakanrisikoorganisasiyangharusmenjadipertimbanganInternal
Audit dalam menentukan fokus dan Rencana Kerja Internal Audit. Risikorisiko
rendah (low) dan sangat rendah (very low) diindikasikan dengan warna biru dan
hijau. Risikorisiko ini harus dikelola melalui tindakan pemantauan (monitoring)
untukmeyakinkandampakdankemungkinantetapberadadikwadranrendahdan
sangatrendah,ataudapatdikurangiketingkatminimumsecaraideal.
Dalam melakukan analisis dampak dan probabilitas dari suatu risiko dapat
menggunakan skala yang umumnya menggunakan skala 3, skala 4, skala 5. Unit
organisasi dapat menggunakan ukuran tersebut sesuai dengan kondisi masing
masing. Berdasarkan praktik percontohan yang dilakukan di beberapa K/L/Pemda,
skalarisikoyangdigunakanadalahskala4,denganpertimbanganuntukmenghindari
pesertamemilihangka/ukuranyangditengah.
Apabilaskala4yangdipakai,makacontohpenilaianatasdampakdankemungkinan
dapatdiuraikansebagaiberikut.

38

2014 |Pusdiklatwas BPKP


No.

Dampak

SangatRendah

Rendah

Besar

SangatBesar

Uraian
Pengaruhterhadapcapaiantujuansangatrendah
Pengaruhterhadapcapaiantujuanrendah
Pengaruhterhadapcapaiantujuanbesar
Pengaruhterhadapcapaiantujuansangatbesar

Tabel3.1
SkalaDampakRisiko

No.

Kemungkinan

Uraian

SangatJarang

Jarang

Mungkinterjaditetapitidaksering

Sering

Mungkinterjadidankejadiannyacukupbanyak

SangatSering

Hampirtidakpernahterjadi

Dapatterjadidankejadiannyasangatbanyak

Tabel3.2
SkalaKemungkinanTerjadiRisiko

Penentuanukuranatasdampakdankemungkinansecarakuantitasdapatditentukan
oleh tiap unit organisasi sesuai kebijakan masingmasing. Besarnya dampak atau
kemungkinan tiap unit organisasi mungkin berbeda satu sama lain. Kejadian atas
risikosebanyak2kalidalamsebulanmungkinmasihdianggapjarangbagisuatuunit
organisasi,sementarabagiunitorganisasilainnyabisadianggapsering.
Hasil dari analisis risiko adalah profil dan peta dari risikorisiko yang ada. Setelah
menilai risiko terkait dengan dampak dan probabilitas terhadap masingmasing
risiko,prosesselanjutnyaadalahmelakukanprioritasrisikoberdasarkanstatusrisiko
dariperkaliandampakdanprobabilitasataudenganmelihatpetarisikonya.
Contohpetarisikodapatdilihatpadagambarberikut.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

39

Gambar3.2
PetaRisiko

Padagambardiatasterdapatpetastatusrisiko,yangterdiridari4(empat)tingkatan,
yaitu:
TingkatIadalahstatusrisikosangatrendah
TingkatIIadalahstatusrisikorendah
TingkatIIIadalahstatusrisikotinggi
TingkatIVadalahstatusrisikosangattinggi
Statusrisikomenunjukkanprioritasrisikoyangakanditangani.Semakintinggistatus
risiko, maka penanganannya harus diprioritaskan. Demikian juga sebaliknya,
semakin rendah status risikonya, maka penanganan atas risiko tersebut bukan
menjadi prioritas utama, bahkan dapat diabaikan. Hal ini terkait dengan biaya dan
manfaat suatu pengendalian yang akan dibangun. Biaya yang dikeluarkan untuk
melaksanakan pengendalian tersebut adalah sesuai dengan manfaat yang diterima
olehsuatuorganisasi.

40

2014 |Pusdiklatwas BPKP


Dalam menetapkan skala risiko biasanya menggunakan beberapa jenis skala yaitu
skala 3, skala 4, dan skala 5. Penetapan skala tersebut adalah tergantung dari
kebijakanpimpinanunitorganisasi.Semakintinggiskalarisikoyangdigunakan,maka
akansemakinbanyakpilihanpengendalianyangakandigunakan.
e.

EvaluasiRisiko
Berdasarkanhasilanalisisrisiko,dilakukanevaluasirisikoyangbertujuanuntuk:
Mengetahuirisikoyangmemilikitingkatprioritastertinggihinggaterendah
Menentukan risiko mana yang ditindaklanjuti dengan penanganan dan risiko
manasajayanghanyaperludipantau
Padatahapinidilakukanpenilaiansetiaplevelrisikokedalamurutanprioritasrisiko,
yang akan menjadi dasar bagi kegiatan mitigasi risiko. Evaluasi harus
mempertimbangkan selera risiko yang telah ditetapkan organisasi pada tahap
penetapankonteks.Prioritasdapatdidasarkanpadalevelrisikoatauhallainseperti:
Besarnyadampakpenanganantersebutterhadapkonteksyanglebihluas
Kemungkinansuatuperistiwatertentu
Efekkumulatifdaribeberapaperistiwa
Tingkatketidakpastianlevelrisikopadatingkatkeyakinantertentu

f.

PenangananRisiko
Tujuanpenangananrisikoadalahuntukmenentukanjenispenangananyangefektif
dan efisien untuk suatu risiko. Penanganan risiko melibatkan pemilihan caracara
untukpenangananrisiko,memperkirakancaracaratersebutbesertapersiapanserta
rencana penerapannya. Titik awal dari identifikasi caracara penanganan risiko
seringkalimerupakanpeninjauankembalipanduanpenangananrisikojenistertentu,
yangsudahada.
Beberapakonseppentingterkaitpenangananrisikosebagaiberikut.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

41


Menggunakan

pemahaman

mendalam,

pendekatan

sistematis

dan

komprehensif antara lain: risikorisiko yang perlu mendapatkan penanganan;


prioritas penanganannya; dan besarnya dampak penanganan tersebut
terhadapkonteksyanglebihluas;
MempertimbangkanCostandBenefitAnalysis;
Penanganan risiko diarahkan pada penanganan akar permasalahan (root
cause)danbukanhanyagejalapermasalahan.
Prosespenangananrisikodapatdijelaskansebagaiberikut.
1)

Identifikasiopsipenanganan
Beberapaopsidalampenangananrisikoadalahsebagaiberikut.
Menghindari risiko, yaitu memutuskan untuk tidak memulai atau
meneruskansatuaktivitasyangmeningkatkanrisiko.
Menerima risiko,yaitu memutuskan untuk tidak melakukan langkah
mitigasirisiko.
Mengurangi konsekuensi risiko, yaitu mengurangi potensi kerugian dari
dampakyangdihasilkanmelaluipenanganandampakrisiko(risikotelah
terjadi).
Mengurangifrekuensirisiko,yaitumengurangifrekuensiterjadinyarisiko
melaluilangkahlangkahpreventif.
Membagirisiko,yaitumelibatkanpihaklainataumengalihkansebagian
risikokepadapihaklain,umumnyadengansuatuhubungantimbalbalik
yangdisepakati.

2)

Evaluasiopsipenanganan
Evaluasi dilakukan untuk menilai kelebihan dan kekurangan setiap opsi yang
mungkinuntukditerapkan,denganmempertimbangkan:

42

2014 |Pusdiklatwas BPKP


opsiyangdipilihharuskompatibeldenganseluruhtujuanorganisasidan
kriteriaevaluasirisiko;
unsurkepraktisandankelangsungannya;
biayadankemungkinanpenerapanlangkahpenangananrisiko.
3)

Pemilihanopsipenanganan
Tujuannya adalah untuk memutuskan opsi penanganan risiko yang diambil
sebagailangkahmitigasirisiko.Dasarpemilihanadalah:
keuntunganpenangananrisiko;
biayayangdikeluarkan;
periodewaktupelaksanaan;
ketidakmenentuankondisidimasayangakandatang;
pengharapan(ekspektasi)sosial;
adanya penolakan penanganan risiko, baik oleh personil atau oleh
organisasi.

4)

Penyiapanrencanapenanganan
Tujuannyaadalahuntukmeningkatkankesuksesanlangkahpenangananrisiko
dan mengontrol langkah aksi penanganan risiko. Rencana penanganan risiko
seharusnya:
mengidentifikasikantanggungjawab,jadwal,outcomeyangdiharapkan,
anggaran dana, pengukuran kinerja dan proses review yang harus
dijalankan;
mencakupmekanismeuntukmenilaidanmemonitorefektivitaslangkah
penangananrisiko;

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

43


mendokumentasikan bagaimana secara praktisnya opsi yang dipilih itu
akandiimplementasikan.
5)

Implementasipenangananrisiko
Tujuannya untuk mengimplementasikan rencana penanganan risiko sehingga
risiko residual sesuai dengan yang diharapkan. Implementasi penanganan
risikoseharusnya:
memastikan penanggung jawab, jadwal, outcome yang diharapkan,
anggaran dana, pengukuran kinerja dan proses review telah berjalan
sesuaidenganrencana;
mencakupmekanismeuntukmenilaidanmemonitorefektivitaslangkah
penangananrisiko;
mendokumentasikan hasil dan hambatan serta jalan keluar dalam
implementasipenangananrisiko.

6)

Penilaianrisikoresidual
Risiko residual adalah risiko yang tetap ada setelah opsi penanganan risiko
diputuskan dan rencana penanganan risiko telah diimplementasikan. Risiko
residual seharusnya terdokumentasikan dan senantiasa dimonitor dan di
review.

g.

MonitoringdanReview
Monitoring merupakan pengamatan terus menerus terhadap kinerja yang
sebenarnya dibandingkan kinerja yang diharapkan. Sedangkan review merupakan
pemeriksaan periodik terhadap kondisi terkini dan biasanya terfokus pada hal
tertentu. Monitoring dan review amat penting dalam proses manajemen risiko.
Monitoringdanreviewdilakukanterhadaprisikoitusendiri,efektivitaspenanganan
risiko, perencanaan manajemen risiko, dan sistem manajemen risiko secara
keseluruhan. Ketika terjadi perubahan organisasi atau terdapat faktor eksternal
yang berubah, unit kerja pemilik risiko juga akan mengalami perubahan dalam hal

44

2014 |Pusdiklatwas BPKP


konteks organisasi (seperti tujuan, atau kriteria risiko), risiko dan level risiko, dan
efektivitaspenangananrisiko.
Tujuanmonitoringdanreviewadalah:
1)

Memastikan langkah penanganan risiko benarbenar dilaksanakan sesuai


denganrencana;

2)

Mengantisipasi adanya perubahan risiko yang bersifat mendadak yang dapat


berpengaruhpadaprofilrisiko;

3)

Mengetahuikondisiakhirdariprofilrisikodalamsatuunitkerja;

4)

Mengetahui adanya penyimpangan atau perbedaan antara harapan dengan


kenyataanatasprosesmanajemenrisiko;

5)

Menentukan langkah selanjutnya yang diperlukan, terkait dengan proses


manajemenrisiko.

C.

DOKUMENTASIMANAJEMENRISIKO

Masingmasing tahap proses manajemen risiko harus didokumentasikan secara layak.


Dokumentasi harus meliputi asumsi, metode, sumber data, analisis, hasil serta alasan
pengambilankeputusan.
Alasanuntukpendokumentasianadalahsebagaiberikut:
1.

Menggambarkanprosesmanajemenrisikoyangdilaksanakantelahberjalandengantepat.

2.

Memberikanmasukandatadaninformasiuntukprosesidentifikasidananalisisrisiko.

3.

Menyediakandaftarrisikoyangadadanmengembangkandatabaseorganisasi.

4.

Menyediakan informasi untuk proses pengambilan keputusan yang relevan dengan


rencanadanpelaksanaanmanajemenrisiko.

5.

Menyediakaninformasiuntukmekanismetanggunggugatdanperalatan.

6.

Memfasilitasipengawasandanreviewyangberkelanjutan.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

45


7.

Menyediakaninformasiyangdiperlukanuntukujicobaaudit,dan

8.

Mensosialisasikan dan mengkomunikasikan informasi yang berhubungan dengan


manajemenrisiko.

Darisetiaptahapmanajemenrisikodiatas,contohdokumentasihasilsetiaptahapadalah:
Proses
Menetapkankonteks

DokumenTerkait
1) Kebijakan/PiagamManajemenRisiko
2) KriteriaEvaluasiRisiko

Mengidentifikasirisikodan
melakukanasesmenrisiko
(menganalisisdanmengevaluasi
risiko)

1) DaftarHasilIdentifikasiRisiko

Memberitanggapandanperlakuan
atasrisiko

DaftarRencanaTindakan/MitigasiRisiko(Tanggapan
danPerlakuan)

2) MatriksAnalisisRisiko
3) Asumsi,MetodedanSumberDatayang
Digunakan

Memantaudanmengkajiulangserta 1) DaftarHasilMonitoringRisiko
melakukankomunikasidan
2) LaporanStatusdanKemajuansertaRekomendasi
konsultansi
PenyempurnaanatauLaporanHasilMonev
3) CatatanKomunikasidanKonsultansi

Dalam membangun budaya peduli risiko, terdapat beberapa hambatan dalam menerapkan
manajemenrisiko,diantaranya:

Risikopadasektorpublikseringkalimasihdipandangsebagaisesuatuyangnegatif,jadijika
ditampilkandikhawatirkanakanmemberikesanburuk.Padahal,jikarisikotersebutbenar
terjadi,makadampaknyabisajadilebihburuk.

Risikodipandangsebagaisumberpemborosanbiaya.Meskipunpadaumumnyapimpinan
instansi menyadari bahwa biaya/kerugian yang timbul akibat kegagalan dalam
mengatasi/memitigasirisikoyangharusditanggungmungkinlebihbesar.

Daya tarik terhadap potensi untuk melakukan penyimpangan yang menjurus kepada
perbuatan fraud dianggap lebih memberikan keuntungan yang besar, sehingga mereka
cenderung mengabaikan peringatan terhadap dampak risiko. Contohnya adalah risiko

46

2014 |Pusdiklatwas BPKP


penunjukkan langsung dalam pemilihan penyedia barang dan jasa mempunyai risiko
terjadinyakecuranganyangtinggi,namunjustrucarapenunjukkanlangsungbanyakdipilih
olehpembuatkeputusan.

TataKelolaPemerintahanyanglemah,karenacontroldariunitpengawasanbaikinternal
maupuneksternalmasihsangatlemahdanmudahdikompromikan.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

47

48

2014 |Pusdiklatwas BPKP

BabIV
PENGENDALIANINTERN

IndikatorKeberhasilan
Setelahmengikutipemelajaraninidiharapkanpesertadiklatmemilikipengetahuan
mengenaipengendalianinternorganisasi.

Banyaknya permasalahan yang terjadi dalam penyelenggaraan pemerintahan menjadi isu


penting yang harus segera diselesaikan. Untuk itu, dituntut adanya penyelenggaraan
pemerintahanyangyangtransparan,akuntabel,danterukursertamenjalankanprinsipprinsip
good governance. Untuk mewujudkannya diperlukan suatu sistem pengendalian intern yang
dapat memberikan keyakinan yang memadai atas tercapainya tujuan organisasi secara efektif
dan efisien,keandalan pelaporan keuangan, pengamanan aset negara,dan ketaatan terhadap
peraturanperundangundanganyangberlaku.
Sistem pengendalian intern lebih dahulu berkembang pesat di sektor swasta atau korporasi.
Selanjutnya, mengingat pentingnya sistem pengendalian tersebut bagi sektor publik, konsep
pengendaliansektorkorporasiinikemudiandiadopsiuntukditerapkandisektorpublik.

A.

DEFINISIDANTUJUANPENGENDALIANINTERN

Perkembangan sistem pengendalian intern sektor publik dipengaruhi oleh perkembangan di


sektor korporasi. Tahun 1992, The Committee of Sponsoring Organizations of the Treadway
Commission (COSO), grup studi yang populer dengan nama COSO, pada September 1992
menyampaikanlaporandenganjudulInternalControlIntegratedFramework.COSOadalah
suatu komisi yang bertujuan merumuskan Pengendalian Intern secara lebih mendalam dan
beranggotakan wakilwakil dari Financial Executives Institute, AICPA, American Accounting
Associations,TheInstituteofInternalAuditors,danInstituteofManagementAccountants.
Dengan mengacu pada sistem pengendalian intern yang dikembangkan COSO tersebut, untuk
sektorpublik,GeneralAccountingOffice(GAO)padatahun1999mendefinisikanpengendalian
internsebagaiberikut:

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

49


InternalControl:aprocess,affectedbyanentitysboardofdirectors,management,and
other personil, designed to provide reasonable assurance regarding the improvement of
objectivesinthefollowingcategories:
Effectivenessandefficiencyofoperation,
Reliabilityoffinancialreporting,
Compliancewithapplicablelawsandregulations
Yangdapatditerjemahkansebagaiberikut:
Pengendalian intern merupakan suatu proses, yang dipengaruhi oleh dewan komisaris
suatuentitas,manajemen,danpersonillainnya,dirancanguntukmenyediakankeyakinan
yangmemadaiberkaitandenganpencapaiantujuandalamberbagaikategori:
Efektivitasdanefisiensikegiatan
Keandalanpelaporankeuangan
Ketaatanpadaperaturandanketentuanyangberlaku

Padatahun2001,InternationalOrganizationofSupremeAuditInstituitions(INTOSAI)membuat
exposure draft yang berjudul "Guidelines for InternalControl Standards for the Public Sector",
yakni penerapan konsep pengendalian intern untuk sektor publik. Menurut INTOSAI Internal
Control Standards Committee, dalam Guidelines for Internal Control Standards for the Public
Sector,Budapest2004,sistempengendalianinterndidefinisikansebagai:
"An integral process that effected by an entity's management and personnel and is
designedtoaddressriskandtoprovidereasonableassurancethatinpursuitoftheentity's
mission,thefollowinggeneralobjectivesarebeingachieved:
1)
Executingorderly,ethical,economical,efficientandeffectiveoperations;
2)
Fulfillingaccountabilityobligations;
3)
Complyingapplicablelawsandregulations;and
4)
Safeguardingresourcesagaintsloss,misuseanddamage."

Selanjutnya, Institute of Internal Auditors (IIA) mendefinisikan internal control sebagai "Any
action taken by management, the board, and other parties to enhance risk management and
increase the likelihood that established objectives and goals will be achieved. Management
plans, organizes, and directs the performance of sufficient actions to provide reasonable
assurancethatobjectivesandgoalswillbeachieved"
Pengendalianinterndibangununtukmencapaitujuanorganisasimelaluipemanfaatanseluruh
sumberdayasecaraekonomis,efisien,efektifdansesuaidenganketentuanyangberlaku.Pada
prinsipnya fungsi pengendalian internal bertujuan untuk mengidentifikasi terjadinya deviasi

50

2014 |Pusdiklatwas BPKP


atau penyimpangan atas pelaksanaan kegiatan dibandingkan dengan rencana yang telah
ditetapkan, sehingga dapat dilakukan tindakan koreksi oleh pihak manajemen. Pengendalian
intern dapat mencakup pengendalian yang bersifat preventif yaitu berupa perancangan suatu
sistempengendalian,ataupundetektifuntukmengatasipenyimpanganyangsudahterjadi.
Dari pengertian pengendalian intern yang diberikan oleh Committee of sponsoring
Organizations of the Treadway Commission (COSO) dapat disimpulkan bahwa dengan adanya
pengendalianinterndiharapkan:
1.

Suatu organisasi sebagai suatu entitas dapat mencapai tujuan organisasi dengan efektif
danefisien.

2.

Laporankeuangandapatdiandalkan.

3.

Organisasitaatterhadapperaturanperundangundanganyangberlaku.

Dilainpihak,InstituteofInternalAuditor(IIA),merincitujuandansasaranpengendalian,yaitu
untukmemperolehjaminanyangmemadaibahwa:
1.

Informasikeuangandanoperasionallayakdipercaya.

2.

Seluruh transaksi atau kegiatan, dilaksanakan berdasarkan ketaatan terhadap kebijakan,


rencana,prosedur,danperaturanperundangundanganyangberlaku.

3.

Terselenggaranyapengamananasetdenganbaik.

4.

Penggunaansumberdayadilakukansecaraekonomis.

5.

Kegiatan operasional telah ditangani sesuai rencana dan hasilnya telah sesuai dengan
tujuandansasaranyangtelahditetapkan.

Terkait sektor pemerintahan di Indonesia, pendekatan terkini dari sistem pengendalian intern
adalah Sistem Pengendalian Intern Pemerintah (SPIP) yang didasarkan pada Peraturan
PemerintahNomor60Tahun2008.PengertianSistemPengendalianInternmenurutPPNomor
60Tahun2008tentangSPIPadalah:
"Proses yang integral pada tindakan dan kegiatan yang dilakukan secara terus menerus
oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas
tercapainya tujuan organisasi melalui kegiatan yang efektif dan efisien, keandalan

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

51


pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan
perundangundangan."
TujuanSPIPadalahmemberikankeyakinanmemadaiatastercapainyatujuanorganisasimelalui:
1.

kegiatanyangefektifdanefisien;

2.

laporankeuanganyangdapatdiandalkan;

3.

pengamananasetnegara;serta

4.

ketaatanterhadapperaturanperundangundangan.

Keempattujuantersebutdiatastidakperludicapaisecarakhususatauterpisahpisah.Dengan
kata lain, instansi pemerintah tidak harus merancang secara khusus pengendalian untuk
mencapai satu tujuan. Suatu kebijakan atau prosedur dapat saja dikembangkan untuk dapat
mencapailebihdarisatutujuanpengendalian.
Menurut SPIP, terdapat lima unsur yang menjadi substansi dari sistem pengendalian, yakni:
Lingkungan Pengendalian, Penilaian Risiko, Aktivitas Pengendalian, Informasi dan Komunikasi,
serta Pemantauan Pengendalian Intern. Kelima unsur sistem pengendalian intern merupakan
komponen yang terjalin erat satu dengan yang lainnya dengan komponen lingkungan
pengendaliansebagaifondasinya.Unsurlingkunganpengendalianmemilikidampakyangsangat
kuat terhadap struktur kegiatan, penetapan tujuan dan penilaian risiko. Lingkungan
pengendalianjugamempengaruhikegiatanpengendalian,sisteminformasidankomunikasi,dan
pemantauanpengendalianintern.Gambarkubusdibawahinimenjelaskanbahwasemuaunsur
pengendalian disusun dengan urutan kronologisnya yang bertujuan (kubus paling atas) untuk
memperolehkegiatanoperasiyangefisiendanefektif,pengamananaset,pelaporankeuangan
yangdapatdiandalkan,danketaatankepadaperaturandanketentuanyangberlaku.Sedangkan
sisi kanan kubus menjelaskan bahwa implementasi kelima unsur pengendalian tersebut dapat
diterapkan untuk aktivitas unit atau kegiatan tertentu. Hubungan kelima unsur dapat
digambarkansebagaiberikut.

52

2014 |Pusdiklatwas BPKP

Gambar4.1
SistemPengendalianInternPemerintah

PenjelasanyanglebihrincidarimasingmasingunsurSPIPdisampaikanpadasubbabberikut.

B.

UNSURPENGENDALIANINTERN

COSOmemberikansuatukerangkakerjapengendalianinternsecaraumum,yangdidesainuntuk
memuaskan kebutuhan semua kelompok yang berhubungan dengan sistem pengendalian
intern, yaitu manajemen entitas, auditor ekstern dan intern, manajemen keuangan, akuntan
manajemen,danpemegangotoritas(pasarmodal).Tujuansistempengendalianinternmenjadi
luas,mencakuptidakhanyauntukmenjaminkeandalanpelaporankeuangan,tetapijugauntuk
efektivitasdanefesiensioperasi,sertakepatuhanterhadaphukumdanperaturanyangberlaku.
COSOmerumuskan5unsurutamapengendalianinternyangsalingberkaitan,yaitu:
1.

Lingkunganpengendalian(controlenvironment)

2.

Penilaianrisiko(riskassessment)

3.

Aktivitaspengendalian(controlactivities)

4.

Informasidankomunikasi(informationandcommunication)

5.

Pemantauan(monitoring)

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

53


Menurut COSO, unsurunsur tersebut bersumber dari cara manajemen (pimpinan)
menyelenggarakan tugasnya dan oleh karena itu unsur ini menyatu (built in) dan terjalin
(permeatted)dalamprosesbisnis.
Konsep COSO tersebut kemudian diadopsi dalam PP Nomor 60 Tahun 2008 tentang Sistem
PengendalianInternPemerintah(SPIP),denganpenjelasanmasingmasingunsurpengendalian
internadalahsebagaiberikut:
1.

LingkunganPengendalian
PPNomor60Tahun2008mewajibkanpimpinaninstansipemerintahuntukmenciptakan
danmemeliharalingkunganpengendalianyangmenimbulkanperilakupositifdankondusif
untuk penerapan sistem pengendalian intern dalam lingkungan kerjanya. Hal ini
merupakan komponen yang sangat penting dan menjadi unsur dasar di dalam SPIP.
Kemampuan pimpinan untuk menciptakan dan memelihara lingkungan kerja yang
kondusif akan menjadimotivasi kuat bagi para pegawai untuk memberikan yang terbaik
dalam pelaksanaan pekerjaannya. Sebaliknya, pimpinan yang tidak/kurang kompeten
dalam menciptakan lingkungan yang positif akan berpotensi mempengaruhi pegawai
untukmelakukanhalhalnegatifyangdapatmerugikaninstansinya.
Untuk menciptakan lingkungan pengendalian seperti dimaksud PP tersebut, pimpinan
instansi dapat menerapkannya melalui sub unsursub unsur lingkungan pengendalian
sebagaiberikut:
a.

Penegakanintegritasdannilaietika;

b.

Komitmenterhadapkompetensi;

c.

Kepemimpinanyangkondusif;

d.

Pembentukanstrukturorganisasiyangsesuaidengankebutuhan;

e.

Pendelegasianwewenangdantanggungjawabyangtepat;

f.

Penyusunandanpenerapankebijakanyangsehattentangpembinaansumberdaya
manusia;

54

g.

Perwujudanperanaparatpengawasaninternpemerintahyangefektif;dan

h.

HubungankerjayangbaikdenganInstansiPemerintahterkait.

2014 |Pusdiklatwas BPKP


2.

PenilaianRisiko
Tahap penilaian risiko (risk assessment) merupakan tahap awal dalam pembangunan
infrastruktur pengendalian. Melalui penilaian risiko dapat diketahui risiko yang dihadapi
unitkerja,untukkemudianditetapkankebijakanresponterhadaprisiko(mitigate,avoid,
transfer, share), serta kegiatan pengendalian yang diperlukan. Risiko diidentifikasi pada
konteks terkait tujuan entitas maupun aktivitas. Agar risiko tersebut dapat diidentifikasi
denganbaik,makaperluterlebihdahuludipahamiprosesbisnis/kegiatanorganisasi.
Penilaianrisikoterdiridariempatsubunsuryaitu:
a.

PenetapanTujuanInstansi
Identifikasi risiko dimulai dengan penetapan konteks/tujuan organisasi yang jelas
dan konsisten, Penetapan konteks dilakukan dengan menjabarkan latar belakang,
ruang lingkup, tujuan dan hubungan organisasi dengan lingkungan eksternal dan
internal. Oleh karena itu, sebelum melakukan penilaian risiko, organisasi perlu
melakukananalisislingkunganinternaldaneksternalyangdapatmenimbulkanrisiko
danmempengaruhipencapaiantujuanorganisasi.

b.

PenetapanTujuanKegiatan
Penetapan konteks/tujuan secara jelas dan konsisten juga dilakukan di tingkat
kegiatan/aktivitas.

c.

IdentifikasiRisiko
Sebelum identifikasi risiko, kriteria evaluasi dan struktur analisis risiko perlu
ditetapkandalamrangkamenentukanstrategiaktivitasyangkonsistendanstrategi
manajemen terintegrasi dengan rencana penilaian risiko. Strategi aktivitas
diperlukan untuk menentukan kriteria evaluasi mana yang akan dianalisis sesuai
denganstrukturanalisis
Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan
bagaimana sesuatu dapat terjadi, sehingga dapat berdampak negatif terhadap
pencapaiantujuan.Prosesinimeliputiidentifikasirisikoyangmungkinterjadipada

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

55


level entitas maupun aktivitas. Salah satu aspek penting dalam identifikasi risiko
adalahmemperolehdatarisikosebanyakbanyaknya.
d.

AnalisisRisiko
Semua risiko yang telah diidentifikasi harus dianalisis untuk mengestimasi
kemungkinan munculnya (probabilitas) dan besaran dampak risiko terhadap
pencapaiantujuanentitasmaupunaktivitas.
Hasil penilaian risiko ini kemudian digunakan sebagai dasar dalam membangun
infrastrukturdanmelakukanaktivitaspengendalian.

3.

KegiatanPengendalian
Unsur sistem pengendalian intern yang ketiga adalah kegiatan pengendalian. Kegiatan
pengendalian intern adalah kebijakan dan prosedur yang dapat membantu memastikan
dilaksanakannyaarahanpimpinanInstansiPemerintahuntukmengurangirisikoyangtelah
diidentifikasiselamaprosespenilaianrisiko.
Kebijakan dibuat untuk mengarahkan apa yang seharusnya dikerjakan dan berfungsi
sebagaidasarbagipenyusunanprosedur.Proseduradalahrangkaianuruturutantindakan
yang dilakukan oleh satu atau beberapa orang dalam melaksanakan kegiatan tertentu.
Kebijakan dan prosedur tertulis harus ditetapkan oleh manajemen, sebagai dasar
pelaksanaankegiatanpengendalian.
Pengertianyanglebihluasdarikegiatanpengendalianmencakupbukanhanyakebijakan
dan prosedur tetapi juga teknik dan mekanismenya. Teknik merupakan penjelasan yang
lebih rinci dari prosedur sedangkan mekanisme menjelaskan siapa dan bagaimana
menjalankantekniktersebut.
Kegiatan pengendalian yang diterapkan dalam suatu Instansi Pemerintah dapat berbeda
dengan yang diterapkan pada Instansi Pemerintah lain. Perbedaan penerapan ini antara
laindisebabkanolehperbedaan:

56

a.

visi,misi,dantujuan;

b.

lingkungandancaraberoperasi;

2014 |Pusdiklatwas BPKP


c.

tingkatkerumitanorganisasi;

d.

sejarahataulatarbelakangsertabudaya;dan

e.

risikoyangdihadapi.

Pimpinan Instansi pemerintah wajib menyelenggarakan kegiatan pengendalian sesuai


dengan ukuran, kompleksitas, serta sifat dari tugas dan fungsi instansi pemerintah yang
bersangkutan. Dalam pelaksanaannya, unsur kegiatan pengendalian memiliki beberapa
subunsur,sebagaiberikut:
a.

ReviewataskinerjaInstansiPemerintahyangbersangkutan;

b.

Pembinaansumberdayamanusia;

c.

Pengendalianataspengelolaansisteminformasi;

d.

Pengendalianfisikatasaset;

e.

Penetapandanreviewatasindikatordanukurankinerja;

f.

Pemisahanfungsi;

g.

Otorisasiatastransaksidankejadianyangpenting;

h.

Pencatatanyangakuratdantepatwaktuatastransaksidankejadian;

i.

Pembatasanaksesatassumberdayadanpencatatannya;

j.

Akuntabilitasterhadapsumberdayadanpencatatannya;dan

k.

DokumentasiyangbaikatasSistemPengendalianInternsertatransaksidankejadian
penting.

Dalam mengembangkan kegiatan pengendalian, instansi pemerintah harus mencapai


keseimbangan yang tepat antara kegiatan pengendalian yang bersifat detektif dengan
preventif. Kegiatan pengendalian yang didominasi oleh pengendalian preventif seperti
prosedur otorisasi yang berbelitbelit, akan mengganggu kelancaran kegiatan layanan
publik.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

57


Berdasarkan tujuan instansi pemerintah, kegiatan pengendalian berkaitan dengan
operasi,laporankeuangan,danketaatanterhadapperaturanperundangundanganserta
pengamananasetnegara.Meskipunkegiatanpengendalianberkaitandengansalahsatu
tujuan pengendalian tersebut, namun dalam praktiknya saling berhubungan, tergantung
dari lingkungannya. Kegiatan pengendalian tertentu dapat membantu pencapaian lebih
darisatutujuaninstansipemerintahtersebut.Jadipengendalianuntukoperasijugadapat
membantumenjaminkeandalanlaporankeuangan.Pengawasanlaporankeuangandapat
memengaruhiketaatandanmeningkatkanpengamananasetnegara.
Kegiatan pengendalian terjadi di semua tingkat organisasi, kegiatan, unit dan fungsi
instansi pemerintah.Kegiatan pengendalian merupakan suatu bagian yang tidak
terpisahkandariperencanaan,penerapan,sertareviewkinerjadariinstansipemerintah.
Dalam menetapkan kegiatan pengendalian, harus didasarkan pada hasil penilaian risiko
dan mempertimbangkan kecukupan kegiatan pengendalian. Berdasarkan pertimbangan
tersebut, kegiatan untuk mengendalikan risiko dikategorikan dalam dua hal yaitu
prevention dan mitigation. Perbedaan pengendalian tersebut digambarkan sebagai
berikut.

Gambar4.2
HubunganPengendalianRisiko

Berdasarkan gambar di atas, prevention digambarkan sebagai kegiatan pengendalian


untuk mengurangi probabilitasnya, sedang mitigasi digambarkan sebagai kegiatan

58

2014 |Pusdiklatwas BPKP


pengendalian yang dimaksudkan untuk mengurangi dampak dari suatu kerugian yang
mungkinterjadi.
Bagaimana bentuk kedua kegiatan pengendalian ini dicontohkan dalam kegiatan
pengendalian kebakaran. Kegiatan prevention diibaratkan sebagai kegiatan terhadap
pembatasan penggunaan bahanbahan yang mudah terbakar dan pelarangan kegiatan
yang membahayakan seperti merokok. Sedangkan kegiatan mitigasi diibaratkan sebagai
kegiatanmenyiapkanalatpemadamkebakaran,sehinggaapabilaterjadikebakarandapat
digunakanuntukmengurangidampaknya.
Untuk mengelola risiko yang berkaitan dengan pencapaian tujuan masingmasing
kegiatan, pimpinan instansi pemerintah harus selalu memperhatikan kedua aspek
pengendalian di atas. Dengan demikian, setiap kali melakukan penilaian risiko selalu
diiringidengankegiatanpengendalianuntukmengurangiprobabilitasdandampaknya.
Selain hal tersebut di atas, berkaitan dengan perkembangan penggunaan teknologi
informasi, analisis dan evaluasi kecukupan kegiatan pengendalian juga mencakup
pengendalian terhadap sistem informasi terkomputerisasi yaitu, meliputi pengendalian
umumdanpengendalianaplikasi.
Agarkegiatanpengendalianmenjadiefektif,makaharusmemenuhikriteria:
a.

pengendalianyangtepatpadatempatyangtepatdanterhadaprisikoterkait;

b.

sesuaidenganrencanaorganisasiyangditetapkan;

c.

memperhatikanbiayadanmanfaatnya;

d.

bersifat komprehensif, logis, dan berhubungan langsung dengan tujuan


pengendalian.

4.

InformasidanKomunikasi
Unsur pengendalian intern keempat adalah informasi dan komunikasi. Sub unsur dari
unsurinformasidankomunikasiadalah:
a.

SaranaKomunikasi

b.

Manajemensisteminformasi

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

59


Instansi pemerintah harus memiliki informasi yang relevan dan dapat diandalkan baik
informasikeuanganmaupunnonkeuangan,yangberhubungandenganperistiwaperistiwa
eksternal serta internal. Informasi tersebut harus direkam dan dikomunikasikan kepada
pimpinan instansi pemerintah dan lainnya di seluruh instansi pemerintah yang
memerlukannya dalam bentuk serta dalam kerangka waktu, yang memungkinkan yang
bersangkutanmelaksanakanpengendalianinterndantanggungjawaboperasional.
Informasi adalah data yang telah diolah, yang dapat digunakan untuk pengambilan
keputusandalamrangkapenyelenggaraantugasdanfungsiinstansipemerintah.Instansi
pemerintah harus memiliki informasi yang relevan dan dapat diandalkan, baik informasi
keuanganmaupunnonkeuanganyangberhubungandenganperistiwateristiwaeksternal
sertainternal.Informasiyangrelevandandapatdiandalkantersebutharusdiidentifikasi,
diperoleh,dandidistribusikankepadapimpinansemuatingkatandanpihakyangberhak;
dengan rincian yang memadai, bentuk, dan waktu yang tepat sehingga memungkinkan
mereka dapat melaksanakan tugas dan tanggung jawab pengendalian intern dan
operasionalsecaraefisiendanefektif.
Informasi dari sumber internal dan eksternal didapat dandisampaikan kepada pimpinan
instansi pemerintah sebagai bagian dari pelaporan instansi sehubungan dengan
pencapaiankinerjaoperasidalammencapaitujuaninstansiyangtelahditetapkan.
Informasi yang perlu diidentifikasi, diperoleh, dan dilaporkan adalah informasi internal
yang penting dalam mencapai tujuan instansi pemerintah, termasuk informasi yang
berkaitan dengan faktorfaktor keberhasilan yang kritis dan informasi eksternal yang
relevan, yang dapat mempengaruhi tercapainya misi, maksud dan tujuan instansi
pemerintah, terutama yang berkaitan dengan perkembangan peraturan perundang
undangan serta perubahan politik dan ekonomis. Agar informasi yang diidentifikasi dan
dilaporkan adalah informasi yang berkualitas, maka informasi tersebut harus memenuhi
syaratsebagaiberikut.

60

a.

Sesuaikebutuhan,yaituinformasiyangdiperlukantelahtersedia.

b.

Tepatwaktu,yaituinformasitersediaketikadiperlukan.

c.

Mutakhir,yaituinformasiyangterkini,telahtersedia.

2014 |Pusdiklatwas BPKP


d.

Akurat,yaituinformasiyangdiperolehadalahbenar.

e.

Dapat diakses, yaitu informasi dapat diperoleh dengan mudah oleh pihakpihak
yangterkait.

Komunikasi adalah proses penyampaian pesan atau informasi dengan menggunakan


simbol atau lambang tertentu baik secara langsung maupun tidak langsung untuk
mendapatkan umpan balik. Proses komunikasi merupakan tahaptahap antara
komunikator dengan komunikan yang menghasilkan pentransferan dan pemahaman
makna.MenurutStephenP.Robbins,proseskomunikasimeliputi7(tujuh)bagian,yakni:
a.

sumberkomunikasi(komunikator),

b.

pengkodean,

c.

pesan,

d.

saluran,

e.

pendekodean,

f.

penerima(komunikan),

g.

umpanbalik.

Efektivitas dari komunikasi terlihat dari umpan balik yang ditunjukkan oleh pihak yang
menerima pesan. Umpan balik itu akan menunjukkan apakah telah terjadi kesamaan
pemahamanatasmaknapesanyangdisampaikan.
Komunikasi terdiri dari komunikasi internal dan eksternal. Komunikasi internal dan
eksternal yang efektif harus terjadi baik secara vertikal maupun horizontal melalui
komunikasiduaarahsertalintasunit/instansi.
Pimpinan instansi pemerintah harus memastikan terjalinnya komunikasi internal dan
eksternal yang efektif terutama yang memberikan dampak signifikan terhadap program,
proyek,operasi,dankegiatanlainnyatermasukpenganggarandanpendanaannya.Untuk
menyelenggarakan komunikasi yang efektif, pimpinan instansi pemerintah harus
menyediakan dan memanfaatkan berbagai bentuk sarana komunikasi dalam
mengomunikasikaninformasipentingkepadapimpinan,pegawaidanpihaklainnya,serta
mengelola, mengembangkan, dan memperbarui sistem informasi secara terus menerus
untukmeningkatkankegunaandankeandalaninformasi.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

61


Dukungan/komitmen pimpinan instansi pemerintah terhadap pengembangan teknologi
informasi ditunjukkan dengan menyediakan sumber daya manusia dan pendanaan yang
memadaiterhadapupayapengembangantersebut.
5.

PemantauanPengendalianIntern
Pemantauan merupakan unsur pengendalian intern yang kelima atau terakhir.
PemantauanSistemPengendalianInterndilaksanakanmelaluipemantauanberkelanjutan,
evaluasi terpisah, dan tindak lanjut rekomendasi hasil audit dan review lainnya.
Pemantauanberkelanjutandiselenggarakanmelaluikegiatanpengelolaanrutin,supervisi,
pembandingan,rekonsiliasi,dantindakanlainyangterkaitdalampelaksanaantugas.
Evaluasi terpisah diselenggarakan melalui penilaian sendiri, review, dan pengujian
efektivitas Sistem Pengendalian Intern yang dapat dilakukan oleh aparat pengawasan
intern pemerintah atau pihak eksternal pemerintah dengan menggunakan daftar uji
pengendalianintern.
Tindak lanjut rekomendasi hasil audit dan review lainnya harus segera diselesaikan dan
dilaksanakansesuaidenganmekanismepenyelesaianrekomendasihasilauditdanreview
lainnyayangditetapkan.
a.

PemantauanBerkelanjutan(ongoingmonitoring)
Pemantauanataspengendalianinternyangsedangberjalanmenyatupadakegiatan
rutin dan berulang. Pemantauan ini mencakup setiap komponen sistem
pengendalian internal dan kegiatan untuk mencegah terjadinya kondisiyang tidak
lazim, tidak etis, tidak ekonomis, tidak efisien dan tidak efektif dalam pelaksanaan
kegiatan. Kegiatan monitoring dalam suatu organisasi merupakan tangungjawab
seluruhjenjangorganisasinamundenganfokusyangberbedabeda,yaituberikut.
1)

Bagi pegawai, fokus pemantauan adalah untuk mengetahui bahwa pekerjaan


dilaksanakan sebagaimana mestinya. Setiap pegawai hendaknya melakukan
pengecekan terhadap pekerjaan sebelum disampaikan kepada atasannya.
Penyimpanganpadatingkatinisegeradapatdideteksi.

62

2014 |Pusdiklatwas BPKP


2)

Di tingkat penyelia, pemantauan dilakukan atas seluruh kegiatan di bawah


kendalinya guna memastikan bahwa seluruh pegawai yang ada di bawah
kendalinyatelahmelaksanakantanggungjawabnyamasingmasing.

3)

Pada tingkat manajer, pemantauan dilakukan untuk menilai apakah sistem


pengendalianinterntelahberfungsipadamasingmasingunitdalamorganisasi
dansejauhmanaparapenyeliatelahmelakukanpemantauanpadabagianyang
menjaditanggungjawabnya.

4)

Pada tingkat pimpinan eksekutif, fokus pemantauan adalah pada organisasi


dalam lingkup yang menyeluruh, yaitu pemantauan apakah tujuan organisasi
telah tercapai. Pimpinan juga melakukan pemantauan atas keberadaan
tantangandanpeluang,baikdarisisiinternalmaupuneksternalyangmungkin
membutuhkanperubahandalamperencanaanorganisasi.

Dalam melakukan pemantauan pengendalian intern, halhal yang menjadi titik


perhatianadalahberikut.
1)

Pimpinanmemilikistrategiuntukmemastikanbahwamonitoringyangsedang
berjalan efektif dan melaksanakan evaluasi terpisah apabila terjadi keadaan
kritis.

2)

Dalam kegiatan rutin, terdapat informasi yang menggambarkan apakah


pengendalianinternalberfungsidenganbaik.

3)

Komunikasi dengan pihak luar dikonfirmasikan dengan data intern yang


dimilikiorganisasi.

4)

Struktur organisasi yang sesuai kebutuhan dan adanya supervisi untuk


mengawasifungsipengendalianinternal.

5)

Terdapatpembandingandatayangdicatatdenganfisiknyasecaraperiodik.

6)

Terdapat respon yang segera terhadap rekomendasi auditor ekstern dan


internsebagaialatuntukmemperkuatpengendalianinternal.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

63


7)

Pertemuan rutin pimpinan denganstaf dan pelaksanaan pelatihan digunakan


untukmemperolehumpanbalikuntukmengetahuiapakahpengendaliantelah
berjalanefektif.

8)

Terdapat pemantauan secara teratur kepada seluruh karyawan untuk


mengetahui tingkat pemahaman dan kepatuhan terhadap aturan perilaku
yangberlaku.

9)

Terdapatefektivitaskegiatanauditinternal.

b.

EvaluasiyangTerpisah(separateevaluations)
Evaluasi terpisah adalah penilaian secara periodik atas kinerja organisasi
dibandingkan dengan standar pengukuran yang ada atau yang telah disepakati.
Ruanglingkupdanfrekuensievaluasiyangterpisahbergantungpadapenilaianrisiko
dan efektivitas prosedur pemantauan yang sedang diterapkan. Evaluasi ini
bermanfaat untuk memusatkan secara langsung kepada efektivitas pengendalian
padasuatuwaktutertentudandapatberbentukpenilaianmandiri(selfassessment).
Semua penyimpangan yang dijumpai dalam pemantauan pengendalian intern ini
baik yang sedang berlangsung maupun yang telah berjalan harus dikomunikasikan
kepadapihakyangterkaituntukmengambiltindakanperbaikan.
Dalammelakukanevaluasiterpisah,perlumemperhatikanhalhalsebagaiberikut.
1)

Ruang lingkup dan frekuensi evaluasi yang terpisah terhadap sistem


pengendalianintern.

2)

Terdapat metode yang logis dan sesuai kebutuhan untuk mengevaluasi


pengendalianintern.

3)

Bilaevaluasiterpisahdilakukanolehauditorinternalmakaharusdilaksanakan
oleh sumber daya manusia yang memiliki kemampuan yang memadai dan
independen.

4)

64

Kelemahanyangditemukanselamaevaluasiterpisahsegeradiatasi.

2014 |Pusdiklatwas BPKP


Tindaklanjutatastemuanauditdilakukanuntukmemastikanbahwatemuanaudit
dan review lainnya segera diselesaikan. Halhal yang harus dilakukan organisasi
dalamtindaklanjutatastemuanauditadalahsebagaiberikut.
1)

Organisasi memiliki mekanisme untuk memastikan adanya penyelesaian atas


temuanhasilauditdanreviewlainnyadengansegera.

2)

Pimpinanorganisasitanggapatastemuantemuandanrekomendasiauditdan
reviewlainnyayangbertujuanmemperkuatsistempengendalianinternal.

3)

Organisasi melakukan tindak lanjut yang sesuai dengan temuan dan


rekomendasiauditsertareviewlainnya.

Dalam tahap penyelenggaraan SPIP, langkahlangkah penyelenggaraan SPIP


didasarkan pada kerangka pemikiran siklus penyelenggaraan SPIP sebagaimana
terlihat pada gambar 4.3. Meskipun dengan menggunakan pendekatan siklus,
pembangunanSPIPtidaksecarakakuharusselalumulaidarisatutahapantertentu
karenadengansikluspenyelenggaraanSPIPmakatahapanakanselaluberputardan
kembalipadasuatutahapanyangsamasecaraterusmenerusdenganmendasarkan
seluruhsikluspadadokumenyangdisebutrencanatindakpengendalian(RTP).Siklus
penyelenggaraan SPIP, diharapkan secara kontinyu akan dapat mengintegrasikan
SPIP ke dalam prosesproses penyelenggaraan pemerintahanPenyelenggaraan
sistem pengendalian intern pemerintah (SPIP) harus disesuaikan dengan
karakteristik setiap instansi, yang meliputi tugas dan fungsi utama instansi, sifat,
tujuan, dan kompleksitas, serta risikorisiko yang dihadapi oleh masingmasing
instansi.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

65

Gambar4.3
SiklusPenyelenggaraanSPIP

C.

KETERBATASANPENGENDALIANINTERN

Beberapa hal merupakan keterbatasan dan dapat mengakibatkan kegagalan suatu sistem
pengendalian. Kegagalan yang sering terjadi dalam sistem pengendalian intern antara lain
dikarenakanhalhalsebagaiberikut:
1.

Pertimbanganyangkurangmatang
Efektivitaspengendaliandibatasidenganadanyaketerbatasanmanusiaitusendiridalam
pengambilan keputusan. Keputusan yang diambil sangat dipengaruhi oleh beberapa
pertimbanganataswaktuyangtersedia,informasiyangdimilikidantekananyangberasal
dari lingkungan tertentu. Ada kalanya bahwa beberapa keputusan yang diambil secara
demikianiniakanmemberikanhasilyangkurangefektifdariyangdiharapkansebelumnya.

66

2014 |Pusdiklatwas BPKP


2.

Gagalmenterjemahkansuatuperintah
Walaupunsistempengendalianinterntelahdirancangdenganbaik,sistemtersebutmasih
mungkinmengalamikegagalan.Kegagalandalamhalinidiakibatkanadanyapegawaiyang
mungkinmenyalahartikansuatuperintah.
Mereka membuat pertimbangan yang salah atau membuat kesalahan sebagai akibat
ketidaktahuan, keteledoran, ataupun kealpaan. Kegagalan sistem ini akan lebih besar
pengaruhnya jika yang membuat kesalahan adalah seorang pimpinan, karena secara
otomatisakanberdampakpadapengambilankeputusanpimpinandibawahnya.

3.

PengabaianManajemen
Pengendalian intern hanya dapat berjalan secara efektif jika masingmasing pelaksana
dariatassampaikebawahmelaksanakantugasdanfungsinyasesuaidengankewenangan
dan tanggung jawabnya. Meskipun suatu organisasi memiliki sistem pengendalian yang
memadai, jika salah satu atau beberapa dari unsur pimpinan atau pelaksana,
mengabaikan pengendalian tersebut akan mengakibatkan tidak efektifnya sistem
pengendalianyangbersangkutan.
Istilah pengabaian manajemen ini ditujukan pada tindakan manajemen yang
mengabaikan pengendalian dengan tujuan untuk kepentingan pribadi atau untuk
meningkatkan penyajian kondisi laporan kegiatan atau keuangan organisasi yang
bersangkutan.
Seorang pimpinan unit atau bahkan pimpinan suatu organisasi, mungkin mengabaikan
sistem pengendalian dengan berbagai alasan, misalnya meningkatkan laporan
kegiatan/kinerja organisasi untuk menutupi terjadinya ketidaktepatan dalam pencapaian
target yang telah ditentukan, meningkatkan laporan pendapatan untuk memenuhi
anggaran pendapatan yang tidak realistis, untuk memenuhi proyeksi pendapatan guna
mendukung laporan realisasi pendapatan secara keseluruhan, atau bahkan untuk
menyembunyikanadanyatindakanmelawanhukum/ketentuanyangberlaku.
Praktikpraktikpengabaiansistempengendalianinterninijugatermasukpenyalahgunaan
data/laporan kepada Bank, Konsultan Hukum, Instansi Pengawasan, Pemasok dan
sebagainyadengancaramenerbitkandokumenpalsu.Istilahpengabaianpengawasandi

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

67


sini berbeda dengan istilah intervensi manajemen yang merupakan tindakan
manajemen mengabaikan/mengesampingkan kebijakan atau prosedur yang ada, tetapi
justru ditujukan untuk kepentingan organisasi. Intervensi manajemen diperlukan untuk
mengatasi adanya kejadian/transaksi yang tidak biasa dan tidak akan mengakibatkan
kerugian bagi organisasi jika ditangani dengan tidak tepat melalui sistem pengendalian.
Halinikarenatidakadasatusistempunyangdapatdirancanguntukmengantisipasisetiap
kondisiyangterjadiatauakanterjadisecaramendadak.
4.

Kolusi
Terjadinyakolusidariduapihakataulebihdapatmengakibatkankegagalandalamsistem
pengendalian intern. Para pelaku melakukan perubahan atau menyembunyikan data
keuangan atau informasi manajemen lainnya dengan suatu cara yang tidak dapat
diidentifikasikanolehpengawasanmelekat.
Kolusiantarapegawaiyangmemilikikewenanganpentingdenganpemasokataupegawai
lainnya, dapat dicontohkan sebagai berikut: pemasok memberikan barang yang dipesan
dengankualitas/kuantitasyangberbedatetapidinyatakandalamfakturpenagihansesuai
dengan yang dipesan. Di lain pihak, si penerima barang memproses penerimaan barang
tersebutseolaholahtelahditerimasesuaidengankualitas/kuantitasyangdipesan.

D.

PERKEMBANGANTERKINIKONSEPPENGENDALIANINTERN

Padatanggal14Mei2013,COSOmempublikasikanKerangkaPengendalianInternTerintegrasi
yangtelahdiperbarui(COSOInternalControlIntegratedFramework2013,dikenaldenganCOSO
2013). Dengan tetap menggunakan pendekatan prinsipil, kerangka terbaru ini menyediakan
tuntunan yang lebih terperinci dalam mengilustrasikan dan menjelaskan konsepkonsep yang
ada dengan tujuan untuk membantu organisasi beradaptasi dengan lingkungan bisnis yang
semakinkompleksdanterusberubahdengancepat.
Latar belakang mengupdate Original Framework COSOs Internal ControlIntegrated
Framework(1992Edition)yangsudahbaikdandiadopsidiseluruhduniaadalah:
1.

Lingkungan bisnis dan operasional berubah sangat cepat, menjadi semakin kompleks,
technologydriven,danglobal

68

2014 |Pusdiklatwas BPKP


2.

Ekspektasiyangbesarterhadapgovernance

3.

Stakeholderslebihterlibat,menginginkantransparansidanakuntabilitas

4.

Meningkatnya ekspektasi akan penilaian risiko di semua tingkat organisasi (keuangan,


operasi,regulasi,IT)

5.

Kompleksitas dalam undangundang, peraturan dan standar telah meningkat secara


signifikan

6.

Telahterjadikerusakandalamskalabesarterhadaptatakeloladanpengendalianinternal
dalam20tahunterakhir

7.

Adanyaekspektasiyangbesarterkaitpencegahandandeteksifrauddisetiaptingkatan

8.

Permintaanakanpelaporaninternaldaneksternalyangupdatedanbermutu

BerikutiniperbandinganantaraCOSO1992danCOSO2013.

Gambar4.4
PerbandinganCOSO1992danCOSO2013

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

69


BeberapahalbaruyangdiakomodasidalamCOSO2013adalah:
1.

Perluasan ruang lingkup dari tujuan pelaporan, bukan hanya pelaporan informasi
keuangan

2.

Mempertimbangkanperubahandalamlingkunganbisnisdanoperasional

3.

FormalisasikonsepdasardalamCOSO1992menjadi17prinsip

4.

Adanya titik fokus (points of focus) yang menyoroti karakteristik penting dari masing
masingprinsip

5.

Tambahanpendekatandancontohcontohyangrelevandaritujuanoperasi,compliance,
dannonfinancialreporting

6.

Pertimbangan eksplisit penyedia layanan outsourcing dan pihak ketiga lainnya yang
mempengaruhipengendalianinternal

7.

Pertimbanganyangeksplisittentangpotensifrauddalampenilaianrisiko

8.

Pentingnya peran judgement dalam desain, implementasi, dan dalam mengassess


efektivitaspengendalianinternal

9.

Prinsipspesifikterkaitdenganteknologiinformasi

Ada 17 prinsip dari komponenkomponen pengendalian internal dalam COSO 2013 seperti
dijabarkanberikut.

70

2014 |Pusdiklatwas BPKP

Lingkungan
Pengendalian

1.

4.
5.

Menunjukkankomitmenterhadapintegritasdan
nilainilaietika
Melakukanpengawasanyangbertanggungjawab
Menetapkanstruktur,wewenangdantanggung
jawab
Menunjukkankomitmentterhadapkompetensi
Menegakkanakuntabilitas

6.
7.
8.
9.

Menentukantujuanyangsesuai
Identifikasidananalisisrisiko
Penilaianrisikoatasfraud
Identifikasidananalisisperubahanyangsignifikan

2.
3.

PenilaianRisiko

Kegiatan
Pengendalian

10. Pemilihandanpengembangankegiatanpengendalian
11. Pemilihandanpengembanganpengendalianterhadap
terknologi
12. Implementasimelaluikebijakandanprosedur

Informasidan
Komunikasi

13. Menggunakaninformasiyangrelevan
14. Komunikasisecarainternal
15. Komunikasisecaraeksternal

Pemantauan

16. Melakukanevaluasiberkelanjutandan/atauterpisah
17. Mengevaluasidanmengkomunikasikandeficiencies
(kelemahan)

Sumber:COSOInternalControlIntegratedFramework2013,diolah.

Tabel4.1
PrinsipPengendalianInternCOSO2013

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

71

72

2014 |Pusdiklatwas BPKP

BabV
AUDITORINTERNDANTATAKELOLA
MANAJEMENRISIKOPENGENDALIAN

IndikatorKeberhasilan
Setelahmengikutipemelajaraninidiharapkanpesertadiklatmemilikipengetahuanmengenai
hubunganketerkaitantatakelola,manajemenrisikodanpengendalianinternal.

Kesadaran pimpinan instansi terhadap pentingnya tata kelola, amnajemen risiko dan
pengendalianinternmerupakanfaktorpentingdalammengarahkanorganisasidalammencapai
tujuan dan sasaran yang sudah ditetapkan. Pimpinan instansi sangat perlu membangun tata
kelola organisasi yang efektif dan efisien dalam mengalokasikan sumber daya organisasi yang
dikelolanya. Di samping itu, pimpinan instansi perlu menyatakan kebijakannya secara tertulis
tentang pengelolaan risiko yang mencakup tujuan dan komitmennya terhadap pengelolaan
risiko.Kebijakaniniharusrelevandnegankonteksstrategis,tujuan,sasaran,sertasifatkegiatan
instansi.

Manajemen

harus

memastikan

bahwa

kebijakan

tersebut

dipahami,

diimplementasikan,dandipeliharapadasetiaplevelpejabat/pegawai.
MelaluiPeraturanpemerintahNomor60Tahun2008,pemerintahtelahmengamanatkanagar
setiappimpinaninstansipemerintahuntukmenerapkanSistenPengendalianInternPemerintah
(SPIP) sebagai proses yang integral pada tindakan dan kegiatan yang dilakukan secara terus
menerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas
tercapainya tujuan organisasi melalui kegiatan yang efektif dan efisien, keandalan pelaporan
keuangan,pengamananasetnegara,danketaatanterhadapperaturanperundangundangan.

A.

HUBUNGANANTARATATAKELOLAMANAJEMENRISIKOPENGENDALIAN

Sebagai kombinasi proses dan struktur yang diterapkan oleh manajemen untuk
menginformasikan,mengarahkan,mengelola,danmemantaukegiatanorganisasidalamrangka
pencapaiantujuan,tatakelolabukanlahmerupakanhimpunanprosesdanstrukturyangberdiri
sendiri,terpisahdarisistemlainnya.Tatakelolajugamemilikiketerkaitandenganmanajemen
risikodanjugapengendalianintern.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

73


Aktivitas tata kelola yang efektif mempertimbangkan risiko pada saat menyusun strategi.
Sebaliknya, manajemen risiko didasarkan pada tata kelola yang efektif (misalnya, tone at the
top, selera risiko dan toleransi risiko, budaya risiko, dan pengawasan manajemen risiko). Tata
kelola yang efektif juga bergantung pada pengendalian intern dan komunikasi efektivitas
pengendalianpengendaliantersebutkepadamanajemen.
Manajemen risiko yang efektif merupakan salah satu elemen penting dari tata kelola
pemerintahanyangbaik(goodgovernance).Sementaraitu,pengendaliandanrisikojugasaling
terkait, mengingat pengendalian merupakan setiap tindakan yang diambil oleh manajemen
dan pihakpihak lain untuk mengelola risiko dan meningkatkan kemungkinan bahwa sasaran
yangditetapkanakandapatdicapai.
DarisudutPPNo.60Tahun2008,hubunganantaratatakelola,pengendalianinterndanrisiko
dapatdigambarkansebagaiberikut.

Gambar5.1
HubunganGRCmenurutPPNomor60Tahun2008

Dari gambar tersebut di atas terlihat bahwa risiko (dalam hal ini ditekankan kepada penilaian
risiko) merupakan bagian dari sistem pengendalian intern, dan sistem pengendalian intern
tersebutmerupakanbagianintegraldaritatakelolaorganisasi.
Perkembanganterkiniterkaitmanajemenrisikomemberikansuatuwacanabaru,sebagaimana
menurutIIA,yangdapatdigambarkansebagaiberikut.

74

2014 |Pusdiklatwas BPKP

Gambar5.2
HubunganGRCmenurutIIA

Gambar 5.2 menunjukkan bahwa tata kelola melingkupi seluruh aktivitas dalam organisasi.
Strukturtatakelolaharuslahsejalandenganperaturandanregulasidimanaorganisasitersebut
beroperasi.Tatakelolajugaharusdapatmemastikanbahwakebutuhanstakeholderterpenuhi.
Manajemen risiko adalah lapisan berikutnya dalam struktur tata kelola. Manajemen risiko
dimaksudkanuntuk:
1.

mengidentifikasidanmemitigasirisikoyangdapatmempengaruhikeberhasilanorganisasi,
dan

2.

memanfaatkanpeluangyangmemungkinkantercapainyakeberhasilanorganisasi.

Manajemenharusmengembangkanstrategiterbaikdalammengelolarisikorisikoutamaserta
peluangpeluang yang ada. Kegiatan manajemen risiko tidak boleh keluar dari struktur tata
kelola. Pengendalian intern digambarkan sebagai pusat karena sistem pengendalian intern
merupakan sebuah bagian (subset), namun bagian yang tidak terpisahkan, dari kegiatan
manajemenrisikoyanglebihluas.Responrisiko,dimanadidalamnyatermasukpengendalian,
didesainuntukmengeksekusisrategimanajemenrisiko.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

75


B.

PERAN AUDIT INTERNAL DALAM TATA KELOLAMANAJEMEN RISIKO


PENGENDALIAN

AparatPengawasanInternPemerintah(APIP)adalahinstansipemerintahyangdibentukdengan
tugasmelaksanakanpengawasaninterndilingkunganpemerintahpusatdan/ataupemerintah
daerah, yang terdiri dari Badan Pengawasan Keuangan dan Pembangunan (BPKP), inspektorat
jenderal/inspektorat/unit pengawasan intern pada kementerian/kementerian negara,
inspektorat utama/inspektorat lembaga pemerintah non kementerian, inspektorat/unit
pengawasan intern pada kesekretariatan lembaga tinggi negara dan lembaga negara,
inspektorat provinsi/kabupaten/kota, dan unit pengawasan intern pada badan hukum
pemerintahlainnyasesuaidenganperaturanperundangundangan
Peran Aparat Pengawasan Intern Pemerintah (APIP) semakin lama semakin strategis dan
bergerak mengikuti kebutuhan zaman. APIP diharapkan menjadi agen perubahan yang dapat
menciptakan nilai tambah pada produk atau layanan instansi pemerintah. APIP sebagai
pengawasinternpemerintahmerupakansalahsatuunsurmanajemenpemerintahyangpenting
dalamrangkamewujudkankepemerintahanyangbaik(goodgovernance)yangmengarahpada
pemerintahan/birokrasiyangbersih(cleangovernment).
Reformasibirokrasibertujuanuntukmenciptakanbirokrasipemerintahyangprofesionaldengan
karakteristik adaptif, berintegritas, berkinerja tinggi, bersih dan bebas korupsi, kolusi dan
nepotisme,mampumelayanipublik,netral,sejahtera,berdedikasi,danmemegangteguhnilai
nilaidasardankodeetikaparaturnegara.Untukmencapaitujuanreformasibirokrasitersebut
diperlukanperanAPIPyangefektif,yaitudalamwujud:
1.

memberikankeyakinanyangmemadaiatasketaatan,kehematan,efisiensi,danefektivitas
pencapaian tujuan penyelenggaraan tugas dan fungsi Instansi Pemerintah (assurance
activities);

2.

memberikan peringatan dini dan meningkatkan efektivitas manajemen risiko dalam


penyelenggaraantugasdanfungsiInstansiPemerintah(anticorruptionactivities);dan

3.

memberikan masukan yang dapat memelihara dan meningkatkan kualitas tata kelola
penyelenggaraantugasdanfungsiInstansiPemerintah(consultingactivities).

76

2014 |Pusdiklatwas BPKP


MenurutStandarAuditInternPemerintahIndonesia,auditinterndidefinisikansebagaikegiatan
yang independen dan objektif dalam bentuk pemberian keyakinan (assurance activities) dan
konsultansi (consulting activities), yang dirancang untuk memberi nilai tambah dan
meningkatkanoperasionalsebuahorganisasi(auditee).Kegiataninimenolongorganisasi[auditi]
mencapaitujuannyadengancaramenggunakanpendekatanyangsistematisdanteraturuntuk
menilaidanmeningkatkanefektivitasdariprosesmanajemenrisiko,kontrol(pengendalian),dan
tatakelola(sektorpublik).
Audit intern telah mengalami evolusi yang pesat hingga saat ini. Hal ini dipicu oleh berbagai
event risiko baik kecil maupun besar yang terjadi secara global, mulai dari kasus Enron dan
Worldcom,hinggakrisiskeuanganglobal,yangsemakinmemperkuatpentingnyafungsiinternal
audit. Risiko yang bervariasi, dan juga semakin kompleks seiring berkembangnya sistem
keuangansaatini,menjadikanperaninternalaudityangkuatsemakindiperlukan.
Audit interl semula berorientasi pada bidang akuntansi menjadi berorientasi pada bidang
manajemen. Fokus audit internal telah mengalami pergeseran (perubahan). Pada masa lalu
fokus utama peran auditor intern sebagai 'watchdog',sehingga membuat perannya kurang
disukaikehadirannyaolehunitorganisasilain.Halinimungkinmerupakankonsekuensilogisdari
profesi internal auditor yang tugasnya memang tidak dapat dilepaskan dari fungsi audit, yaitu
antara pemeriksa (auditor) dan pihak yang diperiksa (auditee) berada pada posisi yang saling
berhadapan. Pada saat ini proses auditing modern telah bergeser sebagai 'konsultan intern'
(intemalconsultant)yangmemberimasukan(input)untukperbaikan(improvement)atassistem
yang telah ada serta berperan sebagai katalis (catalyst). Peran konsultan membawa internal
auditor untuk selalu meningkatkan pengetahuan dan ketrampilan (skill and knowledge) baik
tentang profesi auditor maupun aspek bisnis (business object), sehingga diharapkan dapat
membantumanajemendalammemecahkansuatumasalah.
Kemampuan untuk merekomendasikan pemecahan suatu masalah (problem solver) bagi
internalauditordapatdiperolehmelaluipengalamanbertahuntahunmelakukanauditberbagai
fungsi/bagian di organisasi. Selain sebagai konsultan, auditor intern harus mampu berperan
sebagaikatalisatoryaitumemberikanjasakepadamanajemenmelaluisaransaranyangbersifat
konstruktif dan dapat diaplikasikan bagi perkembangan perusahaan. Katalis adalah suatu zat
yang berfungsi untuk mempercepat reaksi namun tidak ikut reaksi. Sehingga apabila internal
auditor diibaratkan sebagai katalis, internal auditor tidak ikut dalam kegiatan operasional

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

77


perusahaan, namun turut serta bertanggungiawab dalam meningkatkan kinerja perusahaan
melaluirekomendasiyangdisampaikaankepadamanajemenoperasional.
Sesuai dengan Standar Pelaksanaan Audit Intern Paragraf 3000, kegiatan audit intern yang
dilakukan oleh APIP haruslah menambah nilai auditi (dan pemangku kepentingan) ketika
memberikanjaminanobjektifdanrelevan,danberkontribusiterhadapefektifitasdanefisiensi
proses tata kelola, manajemen risiko, dan pengendalian dengan menggunakan pendekatan
sistematisdandisiplin.
Proses tata kelola sektor publik, manajemen risiko, dan pengendalian intern masingmasing
tidak didefinisikan secara terpisah dan berdiri sendiri sebagai suatu proses dan struktur,
melainkan memiliki hubungan antara proses tata kelola sektor publik, manajemen risiko, dan
pengendalian intern. Oleh karena itu, Auditor harus mengevaluasi proses tata kelola sektor
publik, manajemen risiko, dan pengendalian intern auditi secara keseluruhan sebagai satu
kesatuanyangtidakdipisahkan.
Terkaittatakelola,sesuaiStandarPelaksanaanAuditInternParagraf3110,yangmenyebutkan
bahwa peran kegiatan audit intern, sebagaimana definisi audit intern, mencakup tanggung
jawabuntukmengevaluasidanmengembangkanprosestatakelolasektorpubliksebagaibagian
dari fungsi assurance. Kegiatan audit intern harus dapat mengevaluasi dan memberikan
rekomendasi yang sesuai untuk meningkatkan proses tata kelola sektor publik dalam
pemenuhanatastujuantujuanberikut:
1.

mendorongpenegakanetikadannilainilaiyangtepatdalamorganisasiauditi;

2.

memastikanakuntabilitasdankinerjamanajemenauditiyangefektif;

3.

mengomunikasikaninformasirisikodanpengendaliankeareaareaorganisasiauditiyang
tepat;dan

4.

mengoordinasikan kegiatan dan mengomunikasikan informasi di antara pimpinan


kementerian/lembaga/pemerintah daerah, auditor ekstern dan intern, serta manajemen
auditi.

Disebutkanjugabahwakegiatanauditinternharusmengevaluasirancangan,implementasi,dan
efektivitas etika organisasi terkait sasaran, program, dan kegiatan, serta harus menilai pula
apakahtatakelolateknologiinformasiauditimendukungstrategidantujuanauditi.

78

2014 |Pusdiklatwas BPKP


Dalam hal manajemen risiko, peran audit intern dijelaskan dalam Standar Pelaksanaan Audit
Intern Paragraf 3120, dimana kegiatan audit intern harus dapat mengevaluasi efektivitas dan
berkontribusiterhadapperbaikanprosesmanajemenrisiko.Untukmenentukanapakahproses
manajemen risiko adalah efektif yaitu melalui hasil pertimbangan (judgement) dari penilaian
auditorbahwa:
1.

tujuanaudititelahmendukungdansejalandenganvisidanmisiauditi;

2.

risikoyangsignifikantelahdiidentifikasidandinilai;

3.

tanggapanrisikoyangtepattelahdipilihuntukmenyelaraskanrisikodenganriskappetite
(selerarisiko)auditi;dan

4.

informasirisikoyangrelevantelahdipetakandandikomunikasikansecaratepatwaktudi
seluruh auditi, yang memungkinkan staf, manajemen auditi, dan pimpinan auditi untuk
melaksanakantanggungjawabmasingmasing.

Proses manajemen risiko dimonitor melalui kegiatan manajemen yang berkelanjutan, evaluasi
terpisah, atau keduanya. Kegiatan audit intern harus dapat mengevaluasi potensi terjadinya
frauddanbagaimanaauditimengelolarisikofraud.Selamapenugasanconsulting,auditorharus
mengatasi risiko sesuai dengan tujuan penugasan dan waspada terhadap adanya risiko
signifikan lainnya. Auditor harus memasukkan pengetahuan tentangrisiko yang diperoleh dari
penugasan consulting ke dalam evaluasi proses manajemen risiko auditi. Ketika membantu
manajemen dalam membangun atau meningkatkan proses manajemen risiko, auditor harus
menahandiriuntukmengambilalihfungsidantanggungjawabmanajemen.
Sedangkan untuk pengendalian intern, Standar Pelaksanaan Audit Intern Paragraf 3130
menyatakan bahwa kegiatan audit intern harus dapat membantu auditi dalam
mempertahankandanmemperbaikipengendalianyangefektifdenganmengevaluasiefektivitas
dan efisiensi serta dengan mendorong perbaikan terusmenerus. Kegiatan audit intern harus
mengevaluasi kecukupan dan efektivitas pengendalian intern pemerintah dalam menanggapi
risikotatakelolaauditi,operasi,dansisteminformasimengenai:
1.

pencapaiantujuanstrategisauditi;

2.

keandalandanintegritasinformasikeuangandanoperasional;

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

79


3.

efektivitasdanefisiensioperasidanprogram;

4.

pengamananaset;dan

5.

kepatuhanterhadaphukum,peraturan,kebijakan,prosedur,dankontrakAsosiasiAuditor
InternPemerintahIndonesia(AAIPI).

Menurut IIA, audit internal harus memberikan value bagi stakeholders. Tiga elemen penting
darivalueyangdiberikanauditinternbagiorganisasiadalah:
1.

assurance,

2.

insight,dan

3.

objectivity.

Ketigahaltersebutdapatdigambarkansebagaiberikut:

Gambar5.3
InternalAuditing=Assurance,InsightandObjectivity

Organisasimengandalkanauditinternalatasjaminan(assurance)yangobjektifsertainformasi
dan pandangan mengenai efektivitas serta efisiensi proses tata kelola, manajemen risiko dan
pengendalian internal. Audit internal memberikan jaminan tentang tata kelola organisasi,
manajemen risiko, dan proses pengendalian untuk membantu organisasi mencapai tujuan
strategis,operasional,keuangan,dankepatuhan,sebagaimanadigambarkanberikutini.

80

2014 |Pusdiklatwas BPKP

Gambar5.4
ASSURANCE=Governance,RiskandControl

Audit internal juga merupakan katalis untuk meningkatkan efektivitas dan efisiensi organisasi
dengan memberikan wawasan dan rekomendasi berdasarkan analisis dan penilaian data dan
prosesbisnis,sebagaimanagambardibawahini.

Gambar5.5
INSIGHT=Catalyst,Analyses,andAssessments

Dandengankomitmenuntukintegritasdanakuntabilitas,auditinternaljugamemberikanvalue
kepada organisasi sebagai sumber yang objektif berupa saransaran yang independen atas
proses tata kelola, manajemen risiko dan pengenalian internal organisasi, sebagaimana
digambarkandibawahini.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

81

Gambar5.6
OBJECTIVITY=Integrity,Accountability,andIndependence

82

2014 |Pusdiklatwas BPKP

BabVI
PEMANTAUANDANEVALUASI

IndikatorKeberhasilan
Setelahmengikutipemelajaraninidiharapkanpesertadiklatmemilikipengetahuanmengenai
prinsipprinsippemantauandanevaluasiatasefektivitasmanajemenrisiko,
pengendalianinternal,danprosestatakelolaorganisasi

Pemantauan dan evaluasi merupakan hal yang harus dilaksanakan dalam pelaksanaan suatu
kebijakan, program maupun kegiatan. Mengapa pemantauan dan evaluasi merupakan suatu
keharusan?Berikutadalahalasannya.
Reviewperkembangan/progress.
Identifikasimasalahdalamperencanandan/atauimplementasi.
Membuatpenyesuaianyangdapatmembuatperbedaan.
Membantumengidentifikasimasalahdanpenyebabnya.
Memberikanberbagaikemungkinansolusidalammenyelesaikanmasalah.
Memunculkanpertanyaanmengenaiasumsidanstrategi.
Mencerminkantujuanyangakandicapaidanbagaimanamencapainya.
Memberikaninformasidanpengetahuanmendalam.
Meningkatkankemungkinandalammembuatperubahanpembangunanyangpositif.
Adabeberapaperbedaanmendasarantarapemantauandanevaluasi.Pemantauan(monitoring)
adalahprosedurpenilaianyangsecaradeskriptifdimaksudkanuntukmengidentifikasidan/atau
mengukur pengaruh dari kegiatan yang sedang berjalan (ongoing) tanpa mempertanyakan
hubungan kausalitas. Pemantauan adalah bagian dari kegiatan manajemen untuk mengamati
atau meninjau kembali/mempelajari serta mengawasi secara terus menerus atau berkala
terhadap pelaksanaan program/kegiatan yang sedang berjalan yang dilakukan oleh pengelola

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

83


program/kegiatan dan dilaksanakan di setiap tingkatan. Pemantauan dilakukan untuk
menyediakan informasi apakah kebijakan atau kegiatan diimplementasikan sesuai rencana
dalam upaya mencapai tujuan. Pemantauan merupakan alat manajemen yang efektif karena
jika dalam pengimplementasian kebijakan berbeda dari rencana maka pemantauan dapat
mengidentikasidimanaletakmasalahnyauntukkemudiandicaripenyelesaiannya.
Sedangkan evaluasi berfungsi untuk melihat dampak dengan mengisolasi efek dari suatu
intervensi.Padapelaksanaanyaevaluasimemerlukandatadanmetodologiyanglebihkomplek
dari pemantauan. Evaluasi sendiri dapat berupa dampak apakah kebijakan mencapai tujuan
awal, proses bagaimana kebiajakan dilaksanakan dan apa saja keuntungan yang diterima oleh
peserta atau analisa biaya dari program itu sendiri. Untuk mendapatkan evaluasi yang baik
diperlukandatabaselinesebagaiacuandanmelakukanperencanaanevaluasisejakawalseperti
menetapkan tujuan, metodologi, jadwal, dan pembiayaan. Metode yang paling baik dalam
evaluasiadalahkombinasidarimetodekuntitatifdankualitatif.

A.

PEMANTAUANDANEVALUASIATASEFEKTIVITASPROSESTATAKELOLA

Pendekatanataucarayangdigunakansetiaporganisasidalammenerapkantatakelolayangbaik
(good governance) tidak sama, namun semua berorientasi pada stakeholders melalui
peningkatan kualitas layanan dan perbaikan sistem manajemen organisasi. Proses tata kelola
harusdipantaudandievaluasiuntukmengetahuiapakahtelahterlaksanasecaraefektif.
Evaluasiterhadapprosestatakeloladapatdilakukansecarakualitatifmaupunkuantitatif.Salah
satu contoh evaluasi terhadap tata kelola organisasi adalah assessment tata kelola yang
dikembangkanolehInsitituteofInternalAuditor(IIA)ResearchFoundationyaituInternalAudit
Capability Model (IACM). Model Kapabilitas Pengawasan Intern atau Internal Audit Capability
Model (IACM) adalah suatu kerangka kerja yang mengindentifikasi aspekaspek fundamental
yang dibutuhkan untuk pengawasan intern yang efektif di sektor publik. IACM dimaksudkan
sebagai model universal dengan perbandingan sekitar prinsip, praktik, dan proses yang dapat
diterapkansecaraglobaluntukmeningkatkanefektivitaspengawasanintern.
Terdapat6(enam)elemenyangdinilaidarimodeltersebut,yaitu:
1.

PerandanLayanan

2.

PengelolaanSumberDayaManusia

84

2014 |Pusdiklatwas BPKP


3.

PraktikProfesional

4.

AkuntabilitasdanManajemenKinerja

5.

BudayadanHubunganOrganisasi

6.

StrukturTataKelola

B.

PEMANTAUANDANEVALUASIATASEFEKTIVITASMANAJEMENRISIKO

Pemantauanadalahpenilaianberkelanjutandarikegiatanmanajemenrisiko.Initerjadidisemua
tingkat manajemen dan menggunakan baik pelaporan formal maupun komunikasi informal.
Pemantauan tindakan manajemen risiko melibatkan pengumpulan informasi yang akan
membantu menjawab pertanyaan tentang efektivitas manajemen risiko organisasi. Adalah
penting bahwa informasi ini dikumpulkan dan dilaporkan secara terencana, terorganisasi dan
rutin.Pemantauanatasefektivitasmanajemenrisikodilakukanolehmanajemen.
Informasi pemantauan dikumpulkan secara periodik baik secara harian, bulanan ataupun
kuartalan.Pemantauandapatmenjawabpertanyaanseperti:
Seberapabaikyangkitalakukan?(kinerja)
Apakahkitamelakukanhalyangbenar?(penyimpangan)
Apaperbedaanyangkitabuat?(dampak)
Pemantauanadalahprosesyangberkelanjutanyangmelakukanreview:
apakahsumberdayadimobilisasidandimanfaatkan;
apakahkegiatanyangsedangdilakukan,dan
apakahoutputyangdimaksudkandanhasilyangdicapai.
Evaluasipenerapanmanajemenrisikomerupakankegiatanyangdilakukanuntukmengevaluasi
penerapan manajemen risiko organisasi dan menilai rancangan serta efektivitas pelaksanaan
proses manajemen risiko dalam memberikan keyakinan kepada para stakeholder apakah
penerapan manajemen risiko telah cukup memadai dalam mencapai tujuan dan sasaran
organisasi.
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

85


Auditor intern membantu organisasi melakukan pengujian, evaluasi, pelaporan dan
merekomendasikanperbaikanataskecukupandankeefektivanprosesmanajemenrisiko.
Maksuddantujuandilakukannyaevaluasipenerapanmanajemenrisikoadalahuntuk:
1.

Menilaikecukupanrancangandanefektivitaspelaksanaanprosesmanajemenrisiko.
Evaluasi penerapan manajemen risiko merupakan kegiatan yang dilakukan oleh
manajemenuntukmemberikankeyakinankepadaparastakeholderapakahrancangandan
efektivitas pelaksanaan proses manajemen risiko telah mencapai tujuan dan sasaran
organisasiyangdiharapkan.

2.

Mengetahuitingkatkematanganmanajemenrisiko(riskmaturitylevel)organisasi.
Tingkatkematanganmanajemenrisikomenunjukkankondisipenerapanmanajemenrisiko
yang ada pada saat evaluasi penerapan manajemen risiko dilakukan. Manajemen
organisasi perlu mengetahui tingkat kematangan manajemen risikonya saat evaluasi
dilakukan dengan tujuan untuk mengetahui celah antara kondisi tingkat kematangan
manajemen risiko yang ada dengan yang diharapkan. Tingkat kematangan manajemen
risikoperluditingkatkansecaraterusmenerus.

3.

MenentukanperencanaanauditdanpendekatanaudityangakandigunakanolehAuditor
Intern.
Kondisi tingkat kematangan manajemen risiko berkaitan erat dengan penentuan
perencanaan audit dan pendekatan audit yang digunakan oleh auditor intern.
Perencanaan audit dan pendekatan audit berbasis risiko tidak dapat dilaksanakan bila
kondisi tingkat kematangan manajemen risiko berada dalam tingkat awal (nonexistent
daninitial)karenapadakondisitersebutInternalAuditorbelumdapatmengandalkanhasil
penerapan manajemen risiko (profil risiko organisasi) yang dilakukan oleh manajemen.
Pada kondisi tingkat kematangan awal justru auditor intern harus berperan sebagai
fasilitatoruntukmemperbaikiprosesmanajemenrisikoorganisasi.

Evaluasi terhadap efektivitas manajemen risiko melihat apakah risikrisiko yang ada telah
menurun dengan pengendalian yang dilakukan. Penurunan dapat dilihat dari level risiko yang
semakinmenurunataupunkejadianrisikonyayangsemakinberkurang(perbandinganeventrisk
dari waktu ke waktu). Evaluasi juga dapat dilakukan melalui Risk Based Internal Audit yang

86

2014 |Pusdiklatwas BPKP


dilaksanakan oleh auditor internal suatu organisasi. Evaluasi Menurut IIA, risk based internal
audit adalah sebuah metodologi yang menghubungkan audit intern dengan seluruh kerangka
manajemen risiko yang memungkinkan proses audit intern mendapatkan keyakinan memadai
bahwamanajemenrisikoorganisasitelahdikeloladenganmemadaisehubungandenganrisiko
yangdapatditerima(riskappetite).MelaluiRiskBasedInternalAudit,sasaranpenugasanharus
berfokuspadarisiko,pengendaliandanproses tatakelola(risk,controlsandgovernance)atas
kegiatanyangdiaudit.

C.

PEMANTAUANDANEVALUASIATASEFEKTIVITASPENGENDALIANINTERN

Pemantauanpengendalianinternadalahtindakanpengawasanyangdilakukanolehmanajemen
danpegawailainyangditunjukataspelaksanaantugassebagaipenilaianterhadapkualitasdan
efektivitas sistem pengendalian intern. Pemantauan terhadap sistem pengendalian intern
bertujuanuntukmeyakinkanbahwapengendaliantelahberjalansebagaimanayangdiharapkan
dandiperbaikisesuaidengankebutuhan.
Aspek pemantauan pengendalian intern mencakup penilaian kegiatan rutin, seperti supervisi,
review atas transaksi yang terjadi guna memastikan apakah kegiatan operasional telah sesuai
dengansistemdanprosedurpengendalianyangtelahditetapkan.
Pemantauanataspengendalianinternyangsedangberjalanmenyatupadakegiatanrutindan
berulang.Pemantauaninimencakupsetiapkomponensistempengendalianinterndankegiatan
untukmencegahterjadinyakondisiyangtidaklazim,tidaketis,tidakekonomis,tidakefisiendan
tidak efektif dalam pelaksanaan kegiatan. Kegiatan monitoring dalam suatu organisasi
merupakan tanggung jawab seluruh jenjang organisasi namun dengan fokus yang berbeda
beda,sebagaiberikut.
1.

Bagipegawai,fokuspemantauanadalahuntukmengetahuibahwapekerjaandilaksanakan
sebagaimana mestinya. Setiap karyawan hendaknya melakukan pengecekan terhadap
pekerjaansebelumdisampaikankepadaatasannya.Penyimpanganpadatingkatinisegera
dapatdideteksi.

2.

Di tingkat penyelia, pemantauan dilakukan atas seluruh kegiatan di bawah kendalinya


guna memastikan bahwa seluruh pegawai yang ada di bawah kendalinya telah
melaksanakantanggungjawabnyamasingmasing.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

87


3.

Padatingkatmanajer,pemantauandilakukanuntukmenilaiapakahsistempengendalian
intern telah berfungsi pada masingmasing unit dalam organisasi dan sejauhmana para
penyeliatelahmelakukanpemantauanpadabagianyangmenjaditanggungjawabnya.

4.

Padatingkatpimpinaneksekutif,fokuspemantauanadalahpadaorganisasidalamlingkup
yang menyeluruh, yaitu pemantauan apakah tujuan organisasi telah tercapai. Pimpinan
juga melakukan pemantauan atas keberadaan tantangan dan peluang, baik dari sisi
internal maupun eksternal yang mungkin membutuhkan perubahan dalam perencanaan
organisasi.

Evaluasi atas kegiatan pengendalian yang ada/ terpasang pada dasarnya merupakan tahapan
untukmenilaiapakahkegiatanpengendaliantelahdibangunsecaramemadaiuntukmengatasi
risiko atau belum. Penilaian terhadap kegiatan pengendalian yang ada mencakup keberadaan
kebijakan dan prosedur yang dimiliki instansi pemerintah terkait penyelenggaraan sistem
pengendalian intern. Selain tentang keberadaan, hal penting lain yang harus dinilai adalah
implementasidarikebijakandanprosedurtersebut.Salahsatupendekatanyangcukupefektif
danefisienadalahdenganControlSelfAssessment(CSA).Peranauditorinternaladalahmenjadi
fasilitatordalampelaksanaanControlSelfAssessment.
Berdasarkan penilaian ketepatan rancangan pengendalian dan efektivitas pengendalian, celah
pengendalian akan dapat diketahui. Celah pengendalian adalah kondisi yang terjadi apabila
risikosesuaiprioritastidakmemilikipengendalianataupengendalianyangadatidakmencukupi
untukmembawarisikokepadatingkatsisarisiko(residualrisk)yangberadadalamtingkatselera
risiko manajemen. Atas risiko tersebut, lebih lanjut, akan dirumuskan perbaikan atau revisi
kegiatan pengendaliannya. Rumusan ini dituangkan dalam dokumen Rencana Tindak
Pengendalian(RTP).
Informasidalamsistempengendalianinterndapatberupa:
1.

informasitentangpaparandantrenrisikoyangterjadi;

2.

informasiyangmerupakanbagianatausebagaibentukdarikegiatanpengendalian;dan

3.

informasiyangdibutuhkandalamrangkauntukmenjalankanpengendalian.

Dalam RTP, keseluruhan informasi tersebut dituangkan cara pengomunikasiannya untuk


mendukungberjalannyapengendalian.

88

2014 |Pusdiklatwas BPKP


Dokumen RTP perlu memuat mekanisme pemantauan yang akan dijalankan. Hal ini untuk
memastikanbahwapengendalianyangtelahdirancangdilaksanakandanberjalansecaraefektif.
Pemantauandiharapkandapatmemberikaninformasimengenaibeberapahalberikut.
1.

Realisasi pelaksanaan perbaikan/penyempurnaan kebijakan, prosedur atau infrastruktur


lainnya.

2.

Kegiatan/proses manajemen yang masih bermasalah meskipun telah dirancang


mekanismepengendaliandidalamnya.

3.

Infrastrukturpengendalianyangtidakdapatberjalandenganbaik.

4.

Penyebabdanakibatpermasalahan.

5.

Tindakanyangdiperlukanjikaberdasarkanhasilpemantauandiperolehkesimpulanbahwa
diperlukanpenyempurnaanlebihlanjut.

Kegiatan pemantauan dapat dilakukan oleh setiap tingkat pimpinan di masingmasing


bagian/bidang.

ControlSelfAssessment(CSA)
CSAadalahsuatuprosespenilaiandirisendiritentangefektifitaspengendalianyangadauntuk
memberi keyakinan bahwa tujuan/sasaran organisasi akan tercapai. Penilaian sendiri merujuk
upaya yang melibatkan manajemen dan karyawan secara aktif terlibat dalam evaluasi dan
pengukuran efektivitas pengendalian. Pendekatan ini dapat dilakukan dengan melibatkan
auditor intern atau konsultan, namun tetap dalam koridor bahwa manajemen atau pimpinan
instansi adalah pihak yang bertanggung jawab untuk menilai sendiri efektivitias pengendalian
yang berlangsung dalam organisasi yang dipimpinnya. Pihak ketiga (auditor intern atau
konsultan)berperansebagaifasilitatoruntukmenggaliidedanmengakselerasiprosesCSA.
MetodeataupendekatanCSAmenurutLarryHubbard(2005)dibagiatastigapendekatan,yaitu:
workshop,surveidananalisismanajemen.
1.

Pendekatan workshop adalah pertemuan yang difasilitasi oleh fasilitator untuk menilai
risikoterkaitdengantujuanyangakandicapai.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

89


2.

SurveiadalahmetodeCSAdenganmemberikankuesionerkepadaresponden.Pendekatan
surveibiasanyadilakukanapabilabudayaorganisasimasihbelumterbukaterhadapkritik
kritik dan saransaran terutama atas halhal yang sifatnya masih sensitif dan tabu untuk
didiskusikan.Secaraumum,metodesurveidapatlebihdipilihdibandingmetodeworkshop
dalamkondisiberikut.
a.

Budaya organisasi yang belum siap untuk mendiskusikan halhal yang sifatnya
sensitifpadapertemuanterbuka

b.

Susahuntukmengumpulkanpesertabersamasamadalamsuatupertemuan

c.

Adanyaketerbatasandanasehinggadipilihmetodedenganbiayamurah

d.

Keahliansebagaifasilitatorbelumdimilikiolehinternalauditor

e.

Ruanglingkuppenilaiansendiriatasorganisasiterlaluluasdaninformasidibutuhkan
cepat

Dalam pendekatan survei, peserta atau responden akan mengisi kuesioner yang telah
dirancang oleh fasilitator. Responden biasanya mengisi kuesioner tanpa menyebutkan
nama, agar pengisian kuesioner dapat dilakukan dengan jujur dan apa adanya. Hasil
kuesioner tersebut kemudian digunakan oleh pimpinan dalam menilai pengendalian
internnya.
3.

Metode ketiga CSA adalah analisis manajemen. Pendekatan ini memang tidak sepopuler
pendekatan workshop dan survei. Pendekatan ini intinya adalah analisis yang dihasilkan
oleh manajemen berdasarkan diskusi, review, atau kuesioner dalam rangka mendukung
suatu opini/pendapat tertentu atau membuat kesimpulan atas suatu permasalahan
tertentu.

Dari ketigametode CSA tersebut di atas, yang paling populer dan direkomendasikan oleh The
Institute of Internal Auditor (IIA) adalah metode workshop. Jika budaya organisasi tidak
mendukungmetodeworkshop,makametodesurveidananalisismanajemendapatdigunakan.
~~~

90

2014 |Pusdiklatwas BPKP

DaftarPustaka

Asosiasi Auditor Intern Pemerintah Indonesia, Standar Audit Intern Pemerintah Indonesia,
Jakarta,2014.
AS/NZS 4360:2004, Australian/New Zealand Standard Risk Management, Joint Technical
CommitteeOB007RiskManagement,31Agustus2004.
Badan Pengawasan Keuangan dan Pembangunan, Pedoman Teknis Penyelenggaraan Sistem
PengendalianInternPemerintah,Jakarta,2009.
Badan Pengawasan Keuangan dan Pembangunan, Pedoman Penyusunan Desain
PenyelenggaraanSistemPengendalianInstansiPemerintah,Jakarta,2011.
BadanPengawasanKeuangandanPembangunan,PedomanBimbinganTeknisPenyelenggaraan
SistemPengendalianInternPemerintahbagiFasilitator,Jakarta,2013.
Badan Perencanaan Pembangunan Nasional, Modul Tata Kepemerintahan Yang Baik, Jakarta,
2007.
Committee of Sponsoring Organizations of The Treadway Commission, Internal Control
IntegratedFramework(Framework,IncludingExecutiveSummary),September1992.
Committee of Sponsoring Organizations of The Treadway Commission, Internal Control
IntegratedFramework2013.Mei2013.
InternationalFederationofAccountants(IFAC),EffectiveGovernance,RiskManagemendt,and
InternalControl,IFACPolicyPosition7,December2012.
INTOSAI,GuidelinesforInternalControlStandardsforthePublicSector,Brussels,2004.
Peraturan Menteri Keuangan Nomor 191/PMK.09/2008 tentang Penerapan Manajemen Risiko
diLingkunganDepartemenKeuangan.
PeraturanPemerintahNomor60Tahun2008,tentangSistemPengendalianInternPemerintah.
PPMManajemen,ManajemenRisikoTerintegrasi,ModulPelatihan,2009.
Pusdiklatwas BPKP, Akuntabilitas Instansi Pemerintah, Modul Diklat Sertifikasi JFA Tingkat
PembentukanAuditorAnggotaTim,EdisiKeenam,Jakarta,2011.
PusdiklatwasBPKP,SistemPengendalianManajemen,ModulDiklatSertifikasiJFATingkatAhli,
EdisiKeenam,Jakarta,2009.

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

91


Ramos,MichaelJ.,HowtocomplywithSarbanesOxleySection404:Assessingtheeffectiveness
ofinternalcontrol.EJohnWiley&SonsInc.NewJersey,USA.,2ndedition,2006.
TheInstituteofInternalAuditors,InternalAudit,AssuranceandConsultancy,TheIIAResearch
Foundation,2009.
UndangUndangNomor1Tahun2004tentangPerbendaharaanNegara.
UndangundangNomor15Tahun2004tentangPemeriksaanPengelolaandanTanggungjawab
KeuanganNegara.
UndangUndangNomor17Tahun2004tentangKeuanganNegara.

92

2014 |Pusdiklatwas BPKP