Bidang Manajemen Resiko

Bab II
TATA KELOLA (GOVERNANCE)

Indikator Keberhasilan
Setelah mengikuti pemelajaran ini diharapkan peserta diklat memiliki pengetahuan mengenai
tata kelola organisasi yang baik (good governance)

Tuntutan gencar yang dilakukan masyarakat kepada pemerintah untuk menjalankan

penyelenggaraan pemerintahan yang baik, sejalan dengan meningkatnya tingkat pengetahuan
masyarakat, merupakan hal yang sedang hangat terjadi dalam kehidupan bernegara saat ini.
Krisis mutidimensi yang diawali oleh krisis finansial pada tahun 1997‐1998, telah mendorong
arus balik yang menuntut perbaikan atau reformasi dalam penyelenggaraan negara termasuk
birokrasi pemerintahannya. Salah satu penyebab terjadinya krisis multidimensi yang kita alami
tersebut adalah buruknya atau salah kelola dalam penyelengaraan tata kepemerintahan (poor
governance), yang antara lain diindikasikan oleh beberapa masalah, antara lain:
dominasi kekuasaan oleh satu pihak terhadap pihak‐pihak lainnya, sehingga pengawasan
menjadi sulit dilakukan;
terjadinya tindakan korupsi, kolusi, dan nepotisme (KKN); dan
rendahnya kinerja aparatur termasuk dalam pelayanan kepada publik atau masyarakat di
berbagai bidang.
Secara eksternal, pengaruh globalisasi juga telah memaksa setiap pimpinan instansi pemerintah
untuk menerapkan good governance. Pendekatan atau cara yang digunakan setiap pimpinan
instansi dalam menerapkan tata kelola pemerintahan yang baik (good governance) tidak sama,
namun semua berorientasi pada masyarakat melalui peningkatan kualitas layanan dan
perbaikan sistem manajemen pemerintahan. Pemahaman mengenai revolusi manajemen sektor
publik berikut akan memberikan wacana dasar untuk pemelajaran tata kelola (governance).
Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 5

A. REVOLUSI MANAJEMEN SEKTOR PUBLIK
Seiring dengan meningkatnya peran swasta dan masyarakat dalam penyelenggaraan

pemerintahan, manajemen sektor publik telah mengalami perubahan yang cukup signifikan. Hal
ini antara lain dipicu oleh pemikiran Osborne dan Gaebler dalam bukunya Reinventing
Government (1992) atau pemerintahan wirausaha. Perubahan tersebut pada dasarnya
diarahkan pada penciptaan manajemen publik yang handal dan peningkatan kualitas
penyelenggaraan administrasi publik. Konsep dan sistem administrasi publik yang kaku,
struktural/hirarkis, dan birokratis telah ditinggalkan dan sebagai gantinya telah dikembangkan
suatu konsep manajemen publik yang fleksibel dan berorientasi kepada pasar. Dalam paradigma
manajemen sektor publik yang baru, birokrasi pemerintah dibuat seefisien dan seefektif
mungkin sehingga dapat bergerak fleksibel dalam mengikuti tuntutan masyarakat dan
perubahan lingkungan. Paradigma baru ini dianggap sebagai solusi atas berbagai label negatif
yang melekat pada sektor publik yaitu dengan mengacu pada kaidah‐kaidah new public
management (NPM).
Menurut C. Hood (1991) terdapat 7 karakteristik New Public Management, yaitu:
1. Hands‐on professional management (Pelaksanaan tugas manajemen pemerintahaan

diserahkan kepada manajer profesional).
2. Explicit standards and measures of performance (Adanya standar dan ukuran kinerja yang
jelas).
3. Greater emphasis on output controls (Lebih ditekankan pada pengendalian

hasil/keluaran).
4. A shift to desegregations of units in the public sector (Pembagian tugas ke dalam unit‐unit
yang di bawah).
5. A shift to greater competition in the public sector (Ditumbuhkannya persaingan di sektor
publik).
6. A stress on private sectore styles of management practice (Lebih menekankan
diterapkannya gaya manajemen sektor privat).
6 2014 |Pusdiklatwas BPKP

7. A stress on greater discipline and parsimony in resource use (Lebih menekankan pada
kedisiplinan yang tinggi dan tidak boros dalam menggunakan berbagai sumber). Sektor
publik seyogianya bekerja lebih keras dengan sumber‐sumber yang terbatas (to do more
with less).
Perubahan ini bukan perubahan sederhana dalam “management style” administrasi publik.
Akan tetapi, perubahan ini merupakan perubahan peranan pemerintah dalam masyarakat dan
hubungan antara pemerintah dengan masyarakatnya. Paradigma baru ini merupakan tantangan
langsung atas berbagai prinsip administrasi publik yang telah diyakini sebagai paradigma
terpenting selama hampir 20 abad. Dalam paradigma baru, birokrat dan pemerintah bukanlah
satu‐satunya penyedia barang dan jasa masyarakat. Perspektif ini menempatkan organisasi
swasta sebagai mitra pemerintah untuk menyediakan berbagai kebutuhan publik. Pemerintah
berperan dalam memfasilitasi kebutuhan masyarakatnya melalui subsidi, pengaturan
perundang‐undangan dan pengaturan kontrak. Keterbukaan pemerintah juga ditekankan dalam
paradigma baru ini, yang ditunjukkan dengan diadopsinya berbagai prinsip dan sistem
manajemen sektor swasta ke dalam sektor publik untuk memperbaiki kinerja birokrasi.
Dalam mekanisme dan pola hubungan ini akuntabilitas yang ada tidak hanya mengalir dari
bawah ke atas, dalam arti pegawai secara hierarkis mempertanggungjawabkan kegiatan yang
dilakukannya kepada pejabat di atasnya, namun pertanggungjawaban juga dilakukan kepada
pihak luar (eksternal) organisasi publik (misalnya masyarakat ataupun kepada sektor swasta).
B. PERGESERAN PARADIGMA NEW PUBLIC MANAGEMENT KE GOVERNANCE
Orientasi “privatisasi” yang terdapat pada new public management tidak berarti bahwa peran
pemerintah berkurang. Peran pemerintah ini tetap terwujud dengan munculnya peranan
pengaturan (regulations) terhadap keterlibatan sektor swasta dan juga dengan mengelola
respon yang efektif terhadap tuntuntan sosial dan ekonomi masyarakat. World Bank (1997)
menyebutkan bahwa meskipun terjadi kecenderungan “privatisasi” terhadap berbagai kegiatan
pemerintah, hal ini tidak berarti bahwa peran pemerintah menjadi berkurang. Peran
pemerintah masih sangat penting/dominan dalam manajemen pembangunan. Peran
pemerintah mungkin akan berkurang dalam memberikan arahan dan petunjuk dari pusat
pemerintahan. Akan tetapi, pemerintah masih tetap bertanggung jawab terhadap perancangan
dan pelaksanaan kebijakan publik, terutama yang berkaitan dengan transformasi ekonomi,

pengurangan kemiskinan, peningkatan kinerja sektor pertanian, ketenagakerjaan, fasilitas sosial
dan umum, serta pengelolaan lingkungan hidup.
Hal lain yang mendukung bahwa peran pemerintah masih sangat dibutuhkan dalam pelayanan
publik adalah kenyataan bahwa prinsip ekonomi dan efisiensi tidak selalu dapat diterapkan pada
semua aktivitas pemerintah (misalnya fasilitas sosial dan fasilitas umum). Pemerintahan yang
modern tidak hanya mencakup efisiensi dan peningkatan keekonomisan, tetapi juga merupakan
hubungan akuntabilitas antara negara dengan warga negara, dimana warga negara tidak
diberlakukan hanya sebagai konsumen tapi juga sebagai warga negara yang memiliki hak untuk
mendapatkan jaminan atas kebutuhan dasar dan menuntut pemerintah untuk bertanggung
jawab atas berbagai kebijakan yang dilakukan. Hal ini merupakan perubahan pandangan dalam
manajemen publik dari penekanan pada hubungan antara negara dengan pasar ke hubungan
antara negara dengan warga negaranya. Pandangan ini dikenal dengan governance.
World Bank mendefinisikan governance sebagai: “the way state power is used in managing
economic and social resources for development of society”; suatu penyelenggaraan manajemen
pembangunan yang solid dan bertanggungjawab yang sejalan dengan prinsip demokrasi dan
pasar yang efisien, penghindaran salah alokasi dana investasi, dan pencegahan korupsi baik
secara politik maupun administratif, menjalankan disiplin anggaran serta penciptaan legal and
political framework bagi tumbuhnya aktivitas usaha
Governance atau kepemerintahan diartikan oleh UNDP (United Nations Development

Programme) sebagai “… the exercise of political, economic and administrative authority in the
management of a country’s affairs at all level…comprises the complex mechanisms, processes
and institutions through which citizens and groups articulate their interests, mediate their
differences and exercise legal rights and obligations” (UNDP, 1995).
Dengan kata lain, governance meliputi berbagai kewenangan baik yang menyangkut
kewenangan politik, ekonomi, dan administrasi berinteraksi satu dengan lainnya. Hubungan ini
mencakup hubungan yang komplek antar berbagai kewenangan dalam semua level
pemerintahan dalam bentuk mekanisme, proses dan pembentukan institusi dimana masyarakat
dan kelompok masyarakat dapat menyampaikan keinginan, mengatur berbagai perbedaan, dan
juga mendapatkan jaminan hukum (dan pengaturannya).
Pengertian governance yang dijelaskan oleh UNDP mengandung aspek politik, ekonomi dan
administratif, yang disebut dengan three legs (tiga kaki), yaitu economic, political, dan

administrative. Economic governance meliputi proses‐proses pembuatan keputusan (decision
making process) yang memfasilitasi aktivitas ekonomi di dalam negeri dan interaksi di antara
penyelenggara ekonomi. Karena itulah, economic governance mempunyai pengaruh atau
implikasi terhadap equity, poverty, dan quality of life. Political governance adalah proses‐proses
pembuatan keputusan untuk formulasi kebijakan. Dengan kata lain, political governance
menunjuk pada proses pembuatan keputusan dan implementasi kebijakan suatu negara yang
legitimate dan authoritatif. Itu sebabnya, di sini negara terdiri dari tiga lembaga negara yang
terpisah yaitu legislatif, eksekutif dan yudikatif. Administrative governance adalah sistem
implementasi proses kebijakan yang melaksanakan sektor publik secara efisien, tidak memihak,
akuntabel dan terbuka.
Pemerintah
(Good Public
Governance)
Dunia Usaha Swasta
Masyarakat (Good Corporate
Governance)

Gambar 2.1
Tiga Pilar Good Governance

Konsep ini lebih luas dari fungsi dan kapasitas sektor publik, akan tetapi konsep ini berkaitan
dengan manajemen proses pembangunan yang melibatkan pemerintah, swasta, dan
masyarakat sebagai pilar good governance (lihat gambar 2.1). Idealnya, hubungan semua pihak
ini bukan merupakan kerangka kegiatan yang terpisah melainkan dalam kerangka keterpaduan
dan kerja sama yang harmonis untuk pencapaian tujuan dan kepentingan bersama. Tujuan
interaksi sosial‐politik‐ekonomi dalam pengertian ini adalah tercapainya suatu keseimbangan
dan sinergi dalam pemenuhan kebutuhan dan kepentingan masing‐masing institusi dalam satu
keselarasan dan keseimbangan.
Sedangkan konsep governance menurut IIA adalah sebagai berikut.

The combination of processes and structures implemented by the board of directors in
order to inform, direct, manage and monitor the activities of the organization toward
achieving its objectives.
Menurut IIA, tata kelola adalah kombinasi dari proses dan struktur yang dilaksanakan oleh
dewan direksi untuk menginformasikan, mengarahkan, mengelola dan memantau kegiatan
organisasi dalam mencapai tujuannya.
Secara garis besar, konsep tata kelola menurut IIA dapat digambarkan sebagai berikut.

Governance Umbrella
Board of Directors

Strategic Governance
Direction Oversight

Gambar 2.2
Konsep Tata Kelola Menurut IIA

Gambar 2.2 menunjukkan bahwa ada dua area penting dari tata kelola, yaitu arah strategis
(strategic direction) dan pengawasan tata kelola (governance oversight). Poin penting dari
gambar tersebut adalah sebagai berikut:
• Tata kelola dimulai dari pimpinan organisasi dan jajarannya, berperan sebagai ‘payung’
bagi organisasi. Jajaran pimpinan memberi arah kepada manajemen, memberikan
wewenang kepada manajemen untuk bertindak dan mengawasi hasilnya. (Lihat gambar
2.3)
• Jajaran pimpinan harus mengetahui dan fokus terhadap pemenuhan kebutuhan

stakeholders.
• Secara harian, tata kelola dilaksanakan oleh manajemen melalui kegiatan manajemen
risiko.

• Aktivitas internal dan eksternal memberikan jaminan kepada manajemen dan pimpinan
terhadap efektivitas proses tata kelola
Untuk pengawasan terhadap tata kelola, bisa digambarkan sebagai berikut.
Stakeholders
Governance Umbrella
Board of Directors

Risk Management Assurance
Senior Management
Internal External
Risk Owner Activitie Activities

Gambar 2.3
Komponen Kunci Pengawasan Tata Kelola
C. KONSEP GOOD GOVERNANCE (TATA KELOLA YANG BAIK)
Menurut Bank Dunia (World Bank), good governance merupakan cara kekuasaan yang
digunakan dalam mengelola berbagai sumber daya sosial dan ekonomi untuk pengembangan
masyarakat (Mardoto, 2009). Sedangkan menurut UNDP (United National Development
Planning), good governance merupakan praktek penerapan kewenangan pengelolaan berbagai
urusan penyelenggaraan negara secara politik, ekonomi dan administratif di semua tingkatan.
Dalam konsep di atas, ada tiga pilar good governance yang penting, yaitu:
a. Kesejahteraan rakyat (economic governance).
b. Proses pengambilan keputusan (political governance).
c. Tata laksana pelaksanaan kebijakan (administrative governance) (Prasetijo, 2009).

Menurut Bappenas, penerapan tata kepemerintahan yang baik di lingkungan pemerintahan
tidak terlepas dari penerapan sistem manajemen kepemerintahan yang merupakan rangkaian
hasil dari pelaksanaan fungsi‐fungsi manajemen (planning, organizing, actuating, dan
controlling) yang dilaksanakan secara profesional dan konsisten. Penerapan sistem manajemen
tersebut mampu menghasilkan kemitraan positif antara pemerintah, dunia usaha swasta, dan
masyarakat. Dengan demikian, lingkungan instansi pemerintah diharapkan dapat memberikan
pelayanan prima kepada masyarakat.
Gambar 2.2 menjelaskan proses pengembangan nilai tambah berkelanjutan di antara tiga pilar
tata kepemerintahan yang baik, yakni pemerintah, dunia usaha swasta, dan masyarakat.
Kepercayaan, dukungan, dan legitimasi politik dari masyarakat akan diperoleh apabila
pemerintah dapat menyediakan pelayanan publik yang memadai dan menjalankan fungsi
perlindungan pada masyarakat. Di sisi lain pemerintah juga harus mampu menciptakan stabilitas
politik, hukum, pertahanan dan keamanan, ekonomi, serta sosial dan budaya untuk mendorong
peran dunia usaha swasta dalam pembangunan ekonomi. Dunia usaha swasta yang sehat akan
menghasilkan kualitas layanan serta memberikan nilai tambah yang positif bagi masyarakat. Hal
ini tentunya juga akan menghasilkan pertumbuhan kegiatan usaha yang tinggi sehingga dapat
menumbuhkan loyalitas konsumen dan kontribusi keuntungan yang lebih besar dari masyarakat
sebagai target pasar. Integrasi pengelolaan ketiga rantai nilai tersebut secara selaras akan
menghasilkan nilai tambah bagi masyarakat.

Gambar 2.4
Membangun Nilai Tambah Berkelanjutan
D. PRINSIP‐PRINSIP GOOD GOVERNANCE
Kunci utama untuk memahami good governance adalah pemahaman terhadap kaidah‐kaidah
yang ada di dalamnya. Pengertian kaidah sendiri menurut Kamus Besar Bahasa Indonesia adalah
rumusan asas yang menjadi hukum, aturan yang sudah pasti, patokan. Dengan demikian, prinsip
berarti asas (kebenaran yang menjadi pokok dasar berpikir, bertindak, dan sebagainya). Bertolak
dari prinsip‐prinsip ini akan didapatkan tolok ukur kinerja suatu pemerintahan. Baik‐buruknya
pemerintahan bisa dinilai bila ia telah bersinggungan dengan semua unsur prinsip‐prinsip good
governance.

Menyadari pentingnya masalah ini dan dalam rangka mengembangkan strategi yang lebih
implementatif, terdapat banyak karakteristik dan prinsip tentang good governance. Prinsip‐
prinsip good governance yang dikemukakan oleh UNDP adalah sebagai berikut:
1. Partisipasi (Participation)
Terdapat jaminan kesamaan hak bagi setiap individu dalam pengambilan keputusan (baik
secara langsung maupun melalui lembaga perwakilan). Dalam kaitannya dengan
partisipasi ini, terdapat tuntutan agar pemerintah meningkatkan fungsi kontrol terhadap
manajemen pemerintah dan pembangunan dengan melibatkan organisasi non‐
pemerintah. Peran organisasi non‐pemerintah sangat penting dalam konteks ini karena
diyakini organisasi ini memiliki kontak yang lebih baik dengan masyarakat miskin, memiliki
hubungan yang baik dengan daerah pedalaman dan pedesaan, mampu menyediakan
metode alternatif pelayanan publik dengan harga yang murah dan sebagai mediator
dalam menyampaikan berbagai pandangan dan kebutuhan masyarakat.
2. Penegakan Hukum (Rule of Law)
Kerangka hukum harus adil dan diberlakukan tanpa pandang bulu, termasuk di dalamnya
hukum‐hukum yang menyangkut hak asasi manusia.
3. Transparansi (Transparency)
Adanya kebebasan dan kemudahan dalam memperoleh informasi yang akurat dan
memadai bagi mereka yang memerlukan. Informatif, mutakhir, dapat diandalkan, mudah
diperoleh dan dimengerti adalah beberapa parameter yang digunakan untuk mengecek
keberhasilan tranparansi.
4. Daya Tanggap (Responsiveness)
Dalam melaksanakan kepemerintahan semua institusi dan proses yang dilaksanakan

pemerintah harus melayani semua stakeholders secara tepat, baik dan dalam waktu yang
tepat (tanggap terhadap kemauan masyarakat).

5. Orientasi pada Kesepakatan (Consensus Orientation)
Tata pemerintahan yang baik menjembatani kepentingan‐kepentingan yang berbeda demi
terbangunnya suatu konsensus menyeluruh dalam hal apa yang terbaik bagi kelompok‐
kelompok masyarakat, dan bila mungkin, konsensus dalam hal kebijakan‐kebijakan dan
prosedur‐prosedur.
6. Kesetaraan (Equity)
Terdapat jaminan bagi masyarakat untuk mendapatkan pelayanan dan kesempatan yang
sama dalam menjalankan kehidupannya. Sifat adil ini diperoleh dari aspek ekonomi, sosial
dan politik. Adil ini juga berarti terdapat jaminan akan kesejahteraan masyarakat dimana
semua masyarakat merasa bahwa mereka memiliki hak dan tidak merasa diasingkan dari
kehidupan masyarakat.
7. Efektivitas dan Efisiensi (Effectiveness and Efficiency)
Proses‐proses pemerintahan dan lembaga‐lembaga membuahkan hasil sesuai kebutuhan
warga masyarakat dan dengan menggunakan sumber‐sumber daya yang ada seoptimal
mungkin.
8. Akuntabilitas (Accountability)
Semua pihak (baik pemerintah, swasta dan masyarakat) harus mampu memberikan
pertanggungjawaban atas mandat yang diberikan kepadanya (stakeholders‐nya). Secara
umum organisasi atau institusi harus akuntabel kepada mereka yang terpengaruh dengan
keputusan atau aktivitas yang mereka lakukan.
9. Visi Strategis (Strategic Vision)
Para pemimpin dan masyarakat memiliki perspektif yang luas dan jauh ke depan atas tata
pemerintahan yang baik dan pembangunan manusia, serta kepekaan akan apa saja yang
dibutuhkan untuk mewujudkan perkembangan tersebut. Selain itu mereka juga harus
memiliki pemahaman atas kompleksitas kesejarahan, budaya dan sosial yang menjadi
dasar bagi perspektif tersebut.

Berdasarkan konsep di atas, dapat dilihat bahwa good governance mempunyai tujuan yang
lebih besar dari sekedar manajemen yang efisien dan penggunaan sumber daya yang ekonomis.
Good governance adalah strategi untuk menciptakan institusi masyarakat yang kuat, dan juga
untuk membuat pemerintah/publik sektor semakin terbuka, responsif, akuntabel dan
demokratis. Di samping itu, konsep good governance jika dikembangkan akan menciptakan
modern governance (baik good ‘national’ governance maupun good local governance) yang
handal yang tidak hanya menekankan aktivitasnya dalam kerangka efisiensi tetapi juga
akuntabilitasnya di mata publik.
Yang tidak kalah pentingnya, penerapan good governance sangat berperan dalam pencegahan
dan pemberantasan praktik‐praktik KKN. Hal ini berarti bahwa dengan adanya good governance
maka penyalahgunaan fasilitas publik untuk kepentingan pribadi dapat dihindarkan semaksimal
mungkin. Hal tersebut selaras dengan sasaran penciptaan tata kepemerintahan yang baik yaitu:
1. berkurangnya secara nyata praktik korupsi kolusi dan nepotisme di birokrasi, yang dimulai
dari jajaran pejabat yang paling atas;
2. terciptanya sistem kelembagaan & ketatalaksanaan pemerintah yang efisien, efektif dan
profesional transparan dan akuntabel;
3. terhapusnya peraturan dan praktik yang bersifat diskriminatif terhadap warga negara;
4. meningkatnya partisipasi masyarakat dalam pengambilan kebijakan publik;
5. terjaminnya konsistensi seluruh peraturan pusat dan daerah
Penerapan good governance tidak hanya di tingkat institusi, misalnya pemerintah daerah dan
kementerian/ lembaga namun harus dilaksanakan juga di tingkat unit kerja, misalnya organisasi
APIP, dinas ataupun direktorat teknis.

Bab III
MANAJEMEN RISIKO

Setelah mengikuti pemelajaran ini diharapkan peserta diklat mampu menjelaskan
mengenai manajemen risiko

Aktivitas organisasi sektor publik dan bisnis senantiasa berubah dan berkembang seiring dengan
perubahan di lingkungan internal dan eksternal organisasi. Perubahan di lingkungan internal
biasanya dapat dikendalikan oleh manajemen. Sedangkan perubahan di lingkungan eksternal,
seperti perubahan iklim demokrasi dan peraturan, berada di luar kontrol organisasi.
Tuntutan perubahan dan peningkatan kapabilitas organisasi memunculkan risiko (risk) dan

sekaligus peluang (opportunities) bagi organisasi. Risiko berkenaan dengan kemungkinan
terjadinya kegagalan dan kerugian bagi organisasi. Risiko berskala rendah tidak mengkuatirkan
bagi organisasi. Namun, risiko berskala besar dapat berdampak pada tidak tercapainya tujuan
dan misi organisasi.
Kegagalan tujuan dan misi bagi organisasi publik dapat mengakibatkan ketidakpercayaan
(distrust) dari publik atas pelayanan yang diberikan. Dalam kondisi terjelek dan sebagaimana
yang pernah terjadi, distrust dapat menyebabkan hilangnya organisasi yang bersangkutan.
Manajemen risiko (risk management) menjadi kebutuhan yang strategis dan menentukan
perbaikan kinerja dari organisasi. Risiko yang dikelola dengan optimal bahkan memunculkan
berbagai peluang bagi organisasi yang bersangkutan. Manajemen risiko diperlukan untuk
mengoptimalkan penggunaan sumber daya terbatas yang dimiliki organisasi. Pengalokasian
sumber daya didasarkan pada prioritas risiko yang dimulai dari risiko skala tertinggi. Demikian
pula, manajemen risiko yang ada perlu dievaluasi secara periodik melalui aktivitas pengendalian
(internal control).


A. RISIKO
1. Pengertian Risiko
Banyak definisi atau pengertian yang diberikan oleh para ahli mengenai risiko sesuai
dengan disiplin keilmuan dan lingkup keahliannya. Risiko memiliki keterkaitan dengan
ketidakpastian. Peraturan Pemerintah Nomor 60 Tahun 2008 menyatakan bahwa risiko
adalah suatu kejadian yang mungkin terjadi dan apabila terjadi akan memberikan dampak
negatif pada pencapaian tujuan instansi pemerintah.
Menurut Badan Sertifikasi Manajemen Risiko (2007), definisi risiko adalah peluang
terjadinya bencana, kerugian atau hasil yang buruk. Risiko terkait dengan situasi dimana
hasil negatif dapat terjadi dan besar kecilnya kemungkinan terjadinya hasil tersebut dapat
diperkirakan. Menurut Namee dan Salim (1998) dalam makalah “Risk Management,
Changing the Auditor Paradigm”, pengertian risiko (risk) adalah:
“Risk is a concept used to express uncertainty about events and/ or their outcomes
that could have a material effect on the goals of the organizations.”
Adapun definisi risiko menurut AS/NZS 4360:2004 adalah “the chance of something
happening that will have an impact on objectives.” Sedangkan definisi risiko menurut
Enterprise Risk Management ‐ COSO adalah “events with a negative impact represent
risks, which can prevent value creation or erode existing value.”

Kemungkinan Yang membawa Tujuan Strategi
akibat Sasaran dan
terjadinya
peristiwa yang tidak diinginkan atau Target
Dari berbagai definisi tersebut, risiko selalu dihubungkan dengan kemungkinan terjadinya
akibat buruk (kerugian) yang tidak diinginkan, atau tidak terduga. Dengan kata lain, risiko
terdiri dari unsur‐unsur berikut ini.

• Kemungkinan kejadian atau peristiwa
• Dampak atau konsekuensi (jika terjadi, risiko akan membawa akibat atau
konsekuensi)
• Kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk
probabilitas)
Contoh:
“Risiko kebakaran akan berdampak kerugian material dan korban jiwa, dengan
kemungkinan kejadian tinggi pada musim kemarau.”
Semua unsur risiko terpenuhi:
• adanya kejadian atau peristiwa yang mungkin terjadi: risiko kebakaran;
• adanya dampak: kerugian material dan korban jiwa;
• adanya probabilitas/kemungkinan kejadian: potensi kejadian tinggi pada musim

kemarau.
Risiko dapat terjadi pada pelayanan, kinerja, dan reputasi dari institusi yang bersangkutan.
Risiko yang terjadi dapat disebabkan oleh berbagai faktor antara lain kejadian alam,
operasional, manusia, politik, teknologi, pegawai, keuangan, hukum, dan manajemen dari
organisasi. Suatu risiko yang terjadi dapat berasal dari risiko lainnya, dan dapat
disebabkan oleh berbagai faktor. Risiko rendahnya kinerja suatu instansi berasal dari risiko
rendahnya mutu pelayanan kepada publik. Risiko terakhir disebabkan oleh faktor‐faktor
sumber daya manusia yang dimiliki organisasi dan operasional seperti keterbatan fasilitas
kantor. Risiko yang terjadi akan berdampak pada tidak tercapainya misi dan tujuan dari
instansi tersebut, dan timbulnya ketidakpercayaan dari publik.
Risiko berbeda dengan masalah. Apabila salah satu dari ketiga unsur risiko tidak
terpenuhi, maka suatu pernyataan tidak dapat dikategorikan sebagai risiko, melainkan
suatu masalah.

Contoh:
Koran Tempo, tanggal 20 Januari 2009 halaman 1 menyajikan sebuah berita yang bertajuk
“Petaka 21.30”, sebagai berikut:
“Sebuah ledakan besar mengawali terbakarnya tangki bahan bakar di Depo Unit
Pemasaran dan Pembekalan Dalam Negeri III Plumpang, Jakarta, Ahad malam lalu
sekitar pukul 21.30. Ledakan itu kemudian disusul lidah api yang menjilat tangki
nomor 24 yang berisi 1.500 ‐ 2.000 kiloliter premium. Baru sepuluh jam kemudian
api akhirnya padam. Seorang pegawai ditemukan tewas terbakar dan kerugian
diperkirakan mencapai Rp15 miliar .... “
Pertanyaan: Risiko apa saja yang akan dihadapi Pertamina atas kejadian kebakaran
tersebut?
Untuk menjawabnya, harus dilakukan analisis terlebih dahulu terhadap pemenuhan

unsur‐unsur risiko, sebagai berikut:
Pertama : Apakah terjadinya kebakaran di Depo Plumpang adalah sebuah kejadian?
Jawabannya ya.
Kedua : Apakah kebakaran tersebut merupakan kemungkinan? Tidak, karena sudah

terjadi.
Ketiga : Apakah terjadi kerugian? Ya.
Karena salah satu dari tiga kriteria yang ada mengenai risiko tidak terpenuhi, maka
pernyataan tersebut tidak bisa dikategorikan sebagai risiko.
Berkenaan dengan sektor publik yang menuntut transparansi dan peningkatan kinerja
dengan dana yang terbatas, risiko yang dihadapi instansi pemerintah akan semakin
bertambah dan meningkat. Oleh karenanya, pemahaman terhadap risiko menjadi suatu
keharusan untuk dapat menentukan prioritas strategi dan program dalam pencapaian
tujuan organisasi.

2. Perilaku Organisasi terhadap Risiko
a. Risk Appetite
Risk appetite (selera risiko) adalah suatu tingkatan dari sekelompok risiko dimana
organisasi akan menerima dan dapat mengelola dalam suatu periode tertentu.
Dengan kata lain, risk appetite adalah sejumlah risiko dalam organisasi yang akan
diterima dalam rangka pencapaian misi atau visi. Hal itu mencerminkan sikap
organisasi terhadap risiko dan akan mepengaruhi budaya dan gaya pengoperasian
organisasi tersebut.
Salah satu cara yang paling jitu ketika sebuah organisasi dapat menanamkan
pertimbangan risiko ke dalam proses eksekusi strategi adalah melalui penyataan
tertulis perihal risk appetite. Hal ini akan memberikan jaminan yang cukup kuat
kepada stakeholders bahwa organisasi telah sangat paham dengan sejumlah risiko
yang dihadapi dan risiko‐risiko tersebut berada dalam pengendalian yang tepat dan
cermat.
Bukan sekadar strategi sederhana menjadi seperangkat tujuan dan mendefinisikan

key performance indicator (KPI), seperti pada pendekatan balanced scorecard,
organisasi harus mengambil langkah tambahan: mengevaluasi tingkat risiko yang
akan mereka ambil untuk mencapai tujuan mereka. Dengan mengambil langkah ini,
organisasi‐organisasi telah berada pada proses pengembangan dari pendekatan
terintegrasi dan selaras dengan pelaksanaan strategi yang menggabungkan risiko
dan tata kelola organisasi.
Risk appetite bisa dinyatakan secara kuantitatif dan kualitatif tergantung pada
kualitas tingkat pengukuran risiko di suatu organisasi. Intinya, risk appetite harus
mencerminkan strategi bisnis, ekspektasi dari stakeholders, sifat dan karakteristik
risiko yang diambil, dan kemungkinan contagion dari situasi risiko tertentu lintas
unit organisasi. Proses pendefinisian risk appetite ini tentu harus didahului dengan
terdapatnya perangkat untuk menentukan profil risiko pada suatu organisasi untuk
semua kategori risiko yang dianggap dapat berpengaruh pada pencapaian tujuan
organisasi yang tercantum dalam pernyataan visi dan misi organisasi.

b. Risk Tolerance
Risk tolerance ( toleransi risiko) sering digunakan bergantian dengan istilah ambang
risiko atau limit risiko. Risk tolerance meliputi pemahaman tentang jenis risiko, cara
menyikapi risiko, dan metode pengambilan risiko. Risk tolerance adalah batas
pengambilan risiko yang dapat diterima dari variasi relatif pada pencapaian tujuan
dalam tingkat toleransi yang diperkenankan dalam konteks organisasi secara
keseluruhan.
Suatu organisasi harus membuat ketentuan yang informatif tentang seberapa besar
risiko dapat diterima (acceptable) sebagai bagian dari praktik manajemen organisasi
yang wajar. Tingkat risiko yang dapat diterima tersebut dikenal sebagai risiko yang
ditoleransi atau tingkat toleransi risiko. Toleransi terhadap risiko merupakan salah
satu faktor yang mempengaruhi sikap pengambilan risiko, di samping faktor
keterampilan kerja, pendidikan, intelegensi, lingkungan kerja, rasa aman, dan
kemampuan dalam pengambilan keputusan.
Contoh:
Terhadap risiko “kebakaran di gedung kantor instansi”, instansi A berbeda risk
appetite‐nya dibandingkan instansi B.
instansi A: risk taker, lebih banyak mengalokasikan sumber daya yang
dimilikinya untuk menghadapi risiko kebakaran setelah mempertimbangkan
toleransi instansi tersebut terhadap risikonya. Misalnya akan lebih banyak
memasang alat pemadam kebakaran di lingkungan kantornya, memasang
petunjuk evakuasi, menyelenggarakan pelatihan simulasi situasi gawat darurat
secara berkala, dan selalu mengecek kesiapan alat damkarnya.
instansi B: risk avoidance, cenderung membatasi risiko kebakaran. Misalnya

tidak memperbolehkan peralatan atau benda/material yang mudah
menimbulkan kebakaran di lingkungan kantornya, pelarangan kegiatan yang
dapat menimbulkan percikan atau yang menggunakan api.

3. Klasifikasi Risiko
Ada beberapa kategori risiko, tergantung dari sudut pandang kita melihatnya.
a. Risiko dari Sudut Pandang Penyebab
Dilihat dari sebab terjadinya, ada dua macam risiko, yaitu:
1) Risiko keuangan : Risiko yang disebabkan oleh faktor‐faktor keuangan.
2) Risiko operasional : Risiko yang disebabkan oleh faktor‐faktor non keuangan,
misalnya manusia, teknologi, sistem dan prosedur, dan
alam.
b. Risiko dari Sudut Pandang Akibat
Dilihat dari akibat yang ditimbulkan, ada dua macam risiko, yaitu:
1) Risiko murni : Apabila suatu kejadian berakibat hanya merugikan dan

tidak memungkinkan adanya keuntungan, misalnya
terjadi kebakaran.
2) Risiko spekulatif : Risiko yang tidak saja memungkinkan terjadinya kerugian
tetapi juga memungkinkan terjadinya keuntungan,
misalnya risiko melakukan investasi.
c. Risiko dari Sudut Pandang Aktivitas
Ada berbagai macam aktivitas yang dapat menimbulkan risiko, misalnya aktivitas
pemberian kredit oleh bank, aktivitas pelayanan kepada masyarakat.
d. Aktivitas dari Sudut Pandang Kejadian
Risiko dilihat dari sudut pandang kejadiannya, misalnya risiko kebakaran.

e. Risiko dari Sudut Pandang Jenis Risiko
Risiko dari sudut pandang jenis risikonya, mencakup:
1) Risiko teknologi
2) Risiko keuangan/ ekonomi
3) Risiko sumber daya manusia (kapasitas, hak intelektual)
4) Risiko kesehatan
5) Risiko politik
6) Risiko hukum
7) Risiko keamanan, dan lain‐lain.
f. Risiko dari Sudut Pandang Sumbernya
Risiko dari sudut pandang sumbernya, meliputi:
1) Risiko eksternal (politik, ekonomi, bencana alam)
2) Risiko internal (reputasi, keamanan, manajemen, informasi untuk pengambilan
keputusan)
g. Risiko dari Sudut Pandang Penerima Risiko
Risiko dari sudut pandang penerima risiko mencakup orang (human risk), risiko
reputasi, hasil program, bangunan dan aset, lingkungan, peyananan dan lain lain.
h. Risiko dari Sudut Pandang Tingkat Kemungkinan (Level/Status Risiko):
1) Risiko rendah
2) Risiko menengah
3) Risiko tinggi

i. Risiko dari Sudut Pandang Kemampuan Mengendalikan:
1) Risiko yang dangat terkendali (highly controllable risk)
2) Risiko yang kurang terkendali (low controllable risk)
3) Risiko yang tidak atau sangat sulit dikendalikan (uncontrollable risk)
j. Risiko dari Sudut Pandang Hierarki Risiko:
1) Risiko Strategis
2) Risiko Program
3) Risiko Proyek
4) Risiko Operasional
k. Risiko dari Sudut Pandang Penetapan Tujuan Organisasi:
1) Risiko Strategis, berhubungan dengan keselarasan dengan selera risiko
2) Risiko Operasional, berhubungan dengan efektivitas dan efisiensi aktivitas

operasi
3) Risiko Pelaporan, berhubungan dengan keandalan dalam proses pengambilan
keputusan
4) Risiko Ketaatan, berhubungan dengan kesesuaian terhadap regulasi yang

berlaku.
B. MANAJEMEN RISIKO
1. Pengertian Manajemen Risiko
Risiko tidak tercapainya tujuan dan program organisasi tidak semata terjadi di sektor
bisnis, namun juga di sektor publik. Oleh karena itu, instansi pemerintah perlu
menyelenggarakan manajemen risiko.
Definisi Manajemen Risiko menurut AS/NZ Standard 4360: 2004 adalah “the culture,
processes, structures that are directed towards realizing potential opportunities whils

managing adverse effects.” Sedangkan menurut COSO, risk management (manajemen
resiko) dapat diartikan sebagai “a process, effected by an entity’s board of directors,
management and other personnel, applied in strategy setting and across the enterprise,
designed to identify potential events that may affect the entity, manage risk to be within
its risk appetite, and provide reasonable assurance regarding the achievement of entity
objectives.”
Definisi manajemen risiko di atas dapat dijabarkan lebih lanjut berdasarkan kata‐kata
kunci sebagai berikut:
• On Going Process
Manajemen risiko dilaksanakan secara terus menerus dan dimonitor secara

berkala. Manajemen risiko bukanlah suatu kegiatan yang dilakukan sesekali (one
time event).
• Effected by People
Manajemen risiko ditentukan oleh pihak‐pihak yang berada di lingkungan

organisasi. Untuk lingkungan institusi pemerintah, Manajemen risiko dirumuskan
oleh pimpinan dan pegawai institusi/ departemen yang bersangkutan.
• Applied in Strategy Setting
Manajemen risiko telah disusun sejak dari perumusan strategi organisasi oleh
manajemen puncak organisasi. Dengan penggunaan manajemen risiko, strategi yang
disiapkan disesuaikan dengan risiko yang dihadapi oleh masing‐masing bagian/unit
dari organisasi.
• Applied Across The Enterprise
Strategi yang telah dipilih berdasarkan manajemen risiko diaplikasikan dalam

kegiatan operasional, dan mencakup seluruh bagian/unit pada organisasi.
Mengingat risiko masing‐masing bagian berbeda, maka penerapan manajemen
risiko berdasarkan penentuan risiko oleh masing‐masing bagian.

• Designed to Identify Potential Events
Manajemen risiko dirancang untuk mengidentifikasi kejadian atau keadaan yang

secara potensial menyebabkan terganggunya pencapaian tujuan organisasi.
• Provide Reasonable Assurance
Risiko yang dikelola dengan tepat dan wajar akan menyediakan jaminan bahwa
kegiatan dan pelayanan oleh organisasi dapat berlangsung secara optimal.
• Geared to Achieve Objectives
Manajemen risiko diharapkan dapat menjadi pedoman bagi organisasi dalam

mencapai tujuan yang telah ditentukan.
Manajemen risiko yang dilaksanakan secara efektif dan wajar dapat memberikan manfaat
bagi organisasi, yakni:
• Membantu pencapaian tujuan organisasi.
• Mencapai kesinambungan pemberian pelayanan kepada stakeholder, sehingga

meningkatkan kualitas dan nilai organisasi.
• Mencapai hasil yang lebih baik berupa efisiensi dan efektivitas pelayanan, seperti:
meningkatkan pelayanan kepada publik dan atau meningkatkan penggunaan sumber
daya yang lebih baik (masyarakat, informasi, dana, dan peralatan).
• Memberikan dasar penyusunan rencana strategi sebagai hasil dari pertimbangan

yang terstruktur terhadap unsur kunci risiko.
• Menghindari biaya‐biaya yang mengejutkan, karena perusahaan mengidentifikasi

dan mengelola risiko yang tidak diperlukan, termasuk menghindari biaya dan waktu
yang dihabiskan dalam suatu perkara.
• Menghindari pemborosan, dan membuka peluang bagi organisasi untuk

memberikan pelayanan yang terbaik.

• Mencapai pengambilan keputusan yang terbuka dan berjalannya proses
manajemen.
• Meningkatkan akuntabilitas dan corporate governance.
• Mengubah pandangan terhadap risiko menjadi lebih terbuka, ada toleransi terhadap
kesalahan tapi tidak terhadap kekeliruan yang disembunyikan. Perubahan
pandangan ini memungkinkan organisasi belajar dari kesalahan masa lalunya untuk
terus memperbaiki kinerjanya.
• Organisasi akan lebih fokus dalam melaksanakan kebijakan‐kebijakannya sehingga

dapat meminimalkan ‘gangguan‐gangguan’ yang tidak dikehendaki.
Selain itu, agar manajemen rirsko dapat terlaksana secara efektif, suatu organisasi harus
mengikuti prinsip‐prinsip dasar sebagai berikut:
a. Manajemen risiko menciptakan nilai tambah (creates value)
Manajemen risiko berkontribusi terhadap pencapaian nyata objektif dan

peningkatan, antara lain, kesehatan dan keselamatan manusia, kepatuhan terhadap
hukum dan peraturan, penerimaan publik, perlindungan lingkungan, kinerja
keuangan, kualitas produk, efisiensi operasi, serta tata kelola dan reputasi
perusahaan.
b. Manajemen risiko adalah bagian integral proses dalam organisasi (an integral part of
organizational processes)
Manajemen risiko adalah bagian tanggung jawab manajemen dan merupakan suatu
bagian integral dalam proses normal organisasi seperti juga merupakan bagian dari
seluruh proses proyek dan manajemen perubahan. Manajemen risiko bukanlah
merupakan aktivitas yang berdiri sendiri yang terpisah dari aktivitas‐aktivitas utama
dan proses dalam organisasi.

c. Manajemen risiko adalah bagian dari pengambilan keputusan (part of decision
making)
Manajemen risiko membantu pengambil keputusan mengambil keputusan dengan

informasi yang cukup. Manajemen risiko dapat membantu memprioritaskan
tindakan dan membedakan berbagai pilihan alternatif tindakan. Pada akhirnya,
manajemen risiko dapat membantu memutuskan apakah suatu risiko dapat diterima
atau apakah suatu penanganan risiko telah memadai dan efektif.
d. Manajemen risiko secara eksplisit menangani ketidakpastian (explicitly addresses

uncertainty)
Manajemen risiko menangani aspek‐aspek ketidakpastian dalam pengambilan

keputusan, sifat alami dari ketidakpastian itu, dan bagaimana menanganinya.
e. Manajemen risiko bersifat sistematis, terstruktur, dan tepat waktu (systematic,

structured and timely)
Suatu pendekatan sistematis, tepat waktu, dan terstruktur terhadap manajemen

risiko memiliki kontribusi terhadap efisiensi dan hasil yang konsisten, dapat
dibandingkan, serta andal.
f. Manajemen risiko berdasarkan informasi terbaik yang tersedia (based on the best
available information)
Masukan untuk proses pengelolaan risiko didasarkan oleh sumber informasi seperti
pengalaman, umpan balik, pengamatan, prakiraan, dan pertimbangan pakar.
Meskipun demikian, pengambil keputusan harus terinformasi dan harus
mempertimbangkan segala keterbatasan data atau model yang digunakan atau
kemungkinan perbedaan pendapat antar pakar.
g. Manajemen risiko dibuat sesuai kebutuhan (tailored)
Manajemen risiko diselaraskan dengan konteks eksternal dan internal organisasi

serta profil risikonya.

h. Manajemen risiko memperhitungkan faktor manusia dan budaya (takes human and
cultural factors into account)
Manajemen risiko organisasi mengakui kapabilitas, persepsi, dan tujuan pihak‐ pihak
eksternal dan internal yang dapat mendukung atau malah menghambat pencapaian
tujuan organisasi.
i. Manajemen risiko bersifat transparan dan inklusif (transparent and inclusive)
Pelibatan para pemangku kepentingan, terutama pengambil keputusan, dengan

sesuai dan tepat waktu pada semua tingkatan organisasi, memastikan manajemen
risiko tetap relevan dan mengikuti perkembangan. Pelibatan ini juga memungkinkan
pemangku kepentingan untuk cukup terwakili dan diperhitungkan sudut
pandangnya dalam menentukan kriteria risiko.
j. Manajemen risiko bersifat dinamis, iteratif, dan responsif terhadap perubahan

(dynamic, iterative and responsive to change)
Seiring dengan timbulnya peristiwa internal dan eksternal, perubahan konteks dan

pengetahuan, serta diterapkannya pemantauan dan peninjauan, risiko‐risiko baru
bermunculan, sedangkan yang ada bisa berubah atau hilang. Karenanya, suatu
organisasi harus memastikan bahwa manajemen risiko terus menerus memantau
dan menanggapi perubahan.
k. Manajemen risiko memfasilitasi perbaikan dan pengembangan berkelanjutan

organisasi (facilitates continual improvement and enhancement of the organization)
Organisasi harus mengembangkan dan mengimplementasikan strategi untuk

memperbaiki kematangan manajemen risiko mereka bersama aspek‐aspek lain
dalam organisasi mereka.
2. Elemen Manajemen Risiko
Pemahaman manajemen risiko memungkinkan manajemen untuk terlibat secara efektif

dalam menghadapi ketidakpastian atas risiko dan peluang yang terkait dan meningkatkan
kemampuan organisasi untuk memberikan nilai tambah. Ada beberapa kerangka

(framework) yang dikembangkan oleh beberapa pihak seperti oleh AS/NZS, COSO, CAS,
dan terakhir yang dikeluarkan oleh ISO.
Pada tahun 1995 sebuah task‐force mengembangkan The Australian and New Zealand

Standard for risk management – AS/NZS 4360:1995. Standard ini kemudian
disempurnakan pada tahun 1999 menjadi AS/NZS4360:1999, terakhir disempurnakan
lagi pada tahun 2004 menjadi AS/NZS 4360:2004.
Menurut AS/NZS, elemen‐elemen dalam manajemen risiko (Gambar 2.1) dapat dijelaskan
sebagai berikut:
a. Komunikasi dan Konsultasi
Proses komunikasi dan konsultasi bertujuan memperoleh informasi yang relevan

serta mengkomunikasikan setiap tahapan proses manajemen risiko sehingga pihak‐
pihak yang terkait dapat menjalankan tanggungjawabnya dengan baik. Proses yang
melekat pada seluruh proses manajemen risiko ini dilakukan dengan cara
mengembangkan komunikasi dengan stakeholder internal maupun eksternal.
b. Penetapan Konteks
Penetapan konteks bertujuan untuk mengidentifikasi dan menganalisis organisasi

sebagai lingkungan tempat manajemen risiko akan diterapkan. Dalam proses ini
diidentifikasi pihak‐pihak yang paling berkepentingan dengan proses penerapan
manajemen risiko, ruang lingkup dan tujuan proses, kondisi yang membatasi, serta
hasil yang diharapkan dari penerapan manajemen risiko. Sebagai bagian dari
penetapan konteks, disusunlah kriteria untuk menganalisis dan mengevaluasi risiko.
c. Identifikasi Risiko
Identifikasi risiko bertujuan untuk mengidentifikasi seluruh jenis risiko yang

berpotensi menghalangi, menurunkan, atau menunda tercapainya sasaran Unit
Pemilik Risiko yang ada dalam organisasi. Proses ini dilakukan dengan cara
mengidentifikasi lokasi, waktu, sebab dan proses terjadinya peristiwa risiko yang
dapat menghalangi, menurunkan, atau menunda tercapainya sasaran.

d. Analisis Risiko
Analisis risiko bertujuan untuk mengetahui profil dan peta dari risiko‐risiko yang ada
di organisasi dan akan digunakan dalam proses evaluasi dan strategi penanganan
risiko. Proses analisis risiko dilakukan dengan cara mencermati sumber risiko dan
tingkat pengendalian yang ada serta dilanjutkan dengan menilai risiko dari sisi
konsekuensi dan kemungkinan terjadinya.
e. Evaluasi Risiko
Evaluasi risiko bertujuan untuk menetapkan prioritas risiko yang telah diidentifikasi
dan dianalisis. Evaluasi risiko dilakukan agar para pengambil keputusan di organisasi
bisa mempertimbangkan perlu tidaknya dilakukan penanganan risiko lebih lanjut
serta prioritas penanganannya. pada langkah ini dilakukan pembandingan antara
nilai patokan resiko yang ingin dicapai organisasi (lihat langkah 1) dengan nilai hasil
perhitungan resiko yang dihasilkan langkah 3 di atas. Setelah itu dipilah‐pilah mana
resiko yang masuk dalam kriteria organisasi dan mana yang tidak masuk kriteria.
f. Penanganan Risiko
Proses penanganan risiko bertujuan menentukan jenis penanganan yang efektif dan
efisien untuk suatu risiko. Penanganan risiko dilakukan dengan mengidentifikasi
berbagai opsi penanganan risiko yang tersedia dan memutuskan opsi penanganan
risiko yang terbaik yang dilanjutkan dengan pengembangan rencana mitigasi risiko.
g. Monitoring dan Review
Monitoring dan review bertujuan mengantisipasi perubahan risiko yang bersifat

mendadak dan persistent baik pada tingkat risiko maupun arah risiko yang
berdampak negatif pada profil risiko. Proses monitoring dan review dilakukan
dengan cara memantau efektivitas rencana penanganan risiko, strategi, dan sistem
manajemen risiko.

Komunikasi
Penetapan Identifikasi Analisis Evaluasi Penanganan Monitor &
&
Konteks Risiko Risiko Risiko Risiko Reviu
Konsultansi

Penetapan konteks
Komunikasi dan Konsultansi
Monitoring dan reviu
Identifikasi risiko
Penilaian risiko
Analisis risiko
Evaluasi risiko
Penanganan risiko

Gambar 3.1
Elemen/Proses Manajemen Risiko

Secara detail akan dijelaskan di bawah ini.
a. Komunikasi dan Konsultasi
Komunikasi dan konsultasi melekat di setiap tahap proses manajemen risiko.
Komunikasi dan konsultasi harus melibatkan dialog dua arah dengan stakeholders,
difokuskan pada konsultasi daripada dialog satu arah dari pembuat keputusan
kepada stakeholders. Sangatlah penting untuk mengembangkan rencana komunikasi
kepada stakeholders internal maupun eksternal di tahap awal proses manajemen
risiko. Rencana tersebut harus mengakomodir hal yang berkaitan dengan risiko dan
proses untuk mengelolanya.
Komunikasi internal maupun eksternal yang efektif sangat penting untuk

memastikan bahwa pihak‐pihak yang bertanggung jawab atas implementasi
manajemen risiko mengerti terhadap dasar keputusan diambil dan mengapa
kegiatan tertentu diperlukan. Stakeholders memiliki sudut pandang dan pendapat

yang sangat beragam. Untuk itu, perlu dipastikan bahwa komunikasi harus
memperoleh informasi yang relevan.
Di sisi konsultasi, adanya pendekatan mengenai tim konsultan akan membantu
dalam penetapan konteks secara tepat, membantu memastikan bahwa risiko telah
diidentifikasi secara efektif, memberi masukan dalam menganalisa dan
mengevaluasi risiko dari berbagai sudut pandang keahlian.
b. Penetapan Konteks
1) Gambaran umum
Penetapan konteks adalah tahap penentuan parameter internal dan eksternal,
lingkup kerja dan kriteria risiko. Penetapan konteks merupakan dasar/ pijakan
bagi proses manajemen risiko selanjutnya. Perolehan gambaran menyeluruh
dari parameter dasar; ruang lingkup, dan kerangka kerja, bertujuan untuk:
mengidentifikasi lingkungan penerapan manajemen risiko;
mengetahui dan menetapkan pihak yang paling berkepentingan

(stakeholders utama)
menetapkan ruang lingkup, tujuan, kondisi yang membatasi dan hasil

yang diharapkan; dan
menetapkan kriteria untuk menganalisis dan mengevaluasi risiko.
Langkah‐langkah dalam penetapan konteks adalah:
a) menetapkan konteks eksternal‐internal,
b) menetapkan konteks manajemen risiko, dan
c) menetapkan kriteria penilaian risiko.
2) Penetapan konteks ekternal ‐ internal
Dalam penetapan konteks eksternal, dilakukan analisis hubungan organisasi

dan lingkungan eksternalnya seperti:

Lingkungan politik, ekonomi, sosial, budaya, hukum, teknologi, alam, dan
lain‐lain.
Persepsi dan nilai para pemangku kepentingan eksternal.
Sedangkan penetapan konteks internal adalah untuk memastikan keselarasan
manajemen risiko harus dengan budaya, proses dan struktur organisasi
dengan mempertimbangkan:
kapabilitas organisasi;
sistem informasi dan komunikasi;
struktur organisasi;
kebijakan, sasaran, strategi;
persepsi, nilai dan budaya organisasi; dan
pemangku kepentingan internal.
3) Penetapan konteks manajemen risiko
Penetapan konteks manajemen risiko adalah untuk menentukan:
sasaran, tujuan, strategi, dan kebijakan manajemen risiko;
lingkup dan luas cakupan manajemen risiko;
sumber daya yang diperlukan;
jadwal waktu penyelesaian; dan
dokumentasi dan catatan yang harus dibuat.
4) Penetapan kriteria risiko
Penetapan kriteria terkait risiko dapat dilakukan dengan mempertimbangkan

kriteria operasional, teknis, keuangan, hukum, sosial, lingkungan, budaya dan
kriteria lainnya, tergantung kebijakan internal, tujuan dan sasaran organisasi.
Kerangka acuan bagaimana mengukur risiko adalah sebagai berikut:

a) Tingkat Konsekuensi Risiko: Kriteria penilaian akibat
timbulnya risiko finansial,
hukum, politik, citra, dan lain‐
lain.
b) Tingkat Kemungkinan Terjadinya Risiko: Ukuran kemungkinan terjadinya
risiko berdasarkan probabilitas,
frekuensi kejadian maupun
expert judgement.
c) Level Risiko: Menentukan tingkat risiko

untuk mengambil keputusan
dilakukannya upaya penangan‐
an atau tidak.
Tahap identifikasi risiko merupakan tahap untuk mengenali seluruh aktivitas entitas,
baik yang sedang maupun yang baru berjalan. Identifikasi risiko dilaksanakan dengan
tujuan untuk mengenali faktor‐faktor risiko yang dapat menghambat pencapaian
tujuan entitas, menyebabkan kerugian, dan bahkan merusak reputasi entitas
tersebut. Tahap ini menetapkan apa, dimana, kapan, mengapa, dan bagaimana
sesuatu dapat terjadi, sehingga dapat berdampak negatif terhadap pencapaian
tujuan (4w + h).
Identifikasi risiko secara menyeluruh yang ada di dalam entitas akan menghasilkan
suatu daftar risiko (risk register). Seluruh risiko yang telah teridentifikasi kemudian
dikelompokkan ke dalam kategori‐kategori tertentu seperti risiko strategis, risiko
gangguan operasional, risiko finansial, risiko reputasi, risiko kepegawaian, dan lain‐
lain. Aktivitas identifikasi risiko merupakan tanggung jawab masing‐masing pemillik
risiko (risk owner) untuk proses dan unit terkait.
Tahap identifikasi atas risiko yang mengancam capaian tujuan organisasi dapat
dilakukan dengan menggunakan beberapa teknik antara lain:

interviu brainstorming
survei melalui internet focus group discussion
review dokumen pengalaman lalu
review target kinerja praktik di lapangan
workshop yang difasilitasi pengetahuan terbaru
analisis pohon bercabang investigasi kasus

d. Analisis Risiko
Setelah merumuskan risiko, tahap selanjutnya adalah menganalisis risiko tersebut.

Dalam melakukan analisis risiko, dapat menggunakan sumber yang memadai, antara
lain:
dokumen‐dokumen terdahulu survei kepuasan publik
pengalaman yang relevan eksperimen dan prototipe
praktik‐praktik terbaik yang pernah ada pertimbangan dari ahli/pakar
literatur yang relevan brainstorming

Dari beberapa macam metode analisis risiko tersebut, untuk efisiensi proses tahap
awal penilaian risiko digunakan teknik brainstroming melalui workshop yang
difasilitasi.
Analisis risiko merupakan langkah untuk menentukan nilai dari suatu risiko yang
telah diidentifikasi dengan mengukur nilai kemungkinan dan dampaknya.
Berdasarkan hasil penilaian tersebut, suatu risiko dapat ditentukan tingkat dan
status risikonya sehingga dapat dihasilkan suatu informasi untuk menciptakan
desain pengendaliannya.
Secara sederhana, level risiko dihitung dengan rumus berikut.
Level Risiko = Kemungkinan x Dampak
Pengukuran risiko akan dilihat dari dua perspektif yaitu kemungkinan keterjadian
(likelihood) dan besarnya pengaruh/ dampak risiko terhadap entitas (impact). Risiko
dinilai dengan mengacu kepada tabel kriteria yang terkait dengan likelihood maupun
impact. Kriteria sebagai acuan penilaian dimaksud akan terus berkembang dan

berubah untuk disesuaikan dengan perkembangan aktivitas entitas dan perubahan
risk appetite entitas. Hasil penilaian keseluruhan risiko tersebut kemudian dipetakan
ke dalam Peta Risiko (Risk Map).
Peta risiko merupakan penggambaran secara visual tingkat masing‐masing individual
risiko yang telah teridentifikasi dengan diberi warna‐warna menurut tinggi
rendahnya. Risiko‐risiko yang sangat tinggi (very high) diindikasikan dengan warna
merah dan masuk dalam kategori risiko yang memerlukan perhatian manajemen.
Risiko‐risiko ini memerlukan perhatian segera dari manajemen karena
membutuhkan mitigasi/ rencana aksi yang segera untuk dapat mengurangi besarnya
pengaruh dampak dan/atau kemungkinan keterjadian risiko tersebut. Risiko‐risiko
tinggi (high) dan menengah (medium) secara berturut‐turut diindikasikan dengan
warna oranye dan kuning. Risiko‐ risiko yang masuk dalam kwadran tinggi dan
medium (oranye dan kuning), bersama‐sama dengan risiko‐ risiko dengan katagori
sangat tinggi merupakan risiko organisasi yang harus menjadi pertimbangan Internal
Audit dalam menentukan fokus dan Rencana Kerja Internal Audit. Risiko‐risiko
rendah (low) dan sangat rendah (very low) diindikasikan dengan warna biru dan
hijau. Risiko‐risiko ini harus dikelola melalui tindakan pemantauan (monitoring)
untuk meyakinkan dampak dan kemungkinan tetap berada di kwadran rendah dan
sangat rendah, atau dapat dikurangi ke tingkat minimum secara ideal.
Dalam melakukan analisis dampak dan probabilitas dari suatu risiko dapat
menggunakan skala yang umumnya menggunakan skala 3, skala 4, skala 5. Unit
organisasi dapat menggunakan ukuran tersebut sesuai dengan kondisi masing‐
masing. Berdasarkan praktik percontohan yang dilakukan di beberapa K/L/Pemda,
skala risiko yang digunakan adalah skala 4, dengan pertimbangan untuk menghindari
peserta memilih angka/ukuran yang di tengah.
Apabila skala 4 yang dipakai, maka contoh penilaian atas dampak dan kemungkinan
dapat diuraikan sebagai berikut.

No. Dampak Uraian
1 Sangat Rendah Pengaruh terhadap capaian tujuan sangat rendah
2 Rendah Pengaruh terhadap capaian tujuan rendah
3 Besar Pengaruh terhadap capaian tujuan besar
4 Sangat Besar Pengaruh terhadap capaian tujuan sangat besar

Tabel 3.1
Skala Dampak Risiko

No. Kemungkinan Uraian
1 Sangat Jarang Hampir tidak pernah terjadi
2 Jarang Mungkin terjadi tetapi tidak sering
3 Sering Mungkin terjadi dan kejadiannya cukup banyak
4 Sangat Sering Dapat terjadi dan kejadiannya sangat banyak

Tabel 3.2
Skala Kemungkinan Terjadi Risiko

Penentuan ukuran atas dampak dan kemungkinan secara kuantitas dapat ditentukan
oleh tiap unit organisasi sesuai kebijakan masing‐masing. Besarnya dampak atau
kemungkinan tiap unit organisasi mungkin berbeda satu sama lain. Kejadian atas
risiko sebanyak 2 kali dalam sebulan mungkin masih dianggap jarang bagi suatu unit
organisasi, sementara bagi unit organisasi lainnya bisa dianggap sering.
Hasil dari analisis risiko adalah profil dan peta dari risiko‐risiko yang ada. Setelah
menilai risiko terkait dengan dampak dan probabilitas terhadap masing‐masing
risiko, proses selanjutnya adalah melakukan prioritas risiko berdasarkan status risiko
dari perkalian dampak dan probabilitas atau dengan melihat peta risikonya.
Contoh peta risiko dapat dilihat pada gambar berikut.

Gambar 3.2
Peta Risiko

Pada gambar diatas terdapat peta status risiko, yang terdiri dari 4 (empat) tingkatan,
yaitu:
Tingkat I adalah status risiko sangat rendah
Tingkat II adalah status risiko rendah
Tingkat III adalah status risiko tinggi
Tingkat IV adalah status risiko sangat tinggi
Status risiko menunjukkan prioritas risiko yang akan ditangani. Semakin tinggi status
risiko, maka penanganannya harus diprioritaskan. Demikian juga sebaliknya,
semakin rendah status risikonya, maka penanganan atas risiko tersebut bukan
menjadi prioritas utama, bahkan dapat diabaikan. Hal ini terkait dengan biaya dan
manfaat suatu pengendalian yang akan dibangun. Biaya yang dikeluarkan untuk
melaksanakan pengendalian tersebut adalah sesuai dengan manfaat yang diterima
oleh suatu organisasi.

Dalam menetapkan skala risiko biasanya menggunakan beberapa jenis skala yaitu
skala 3, skala 4, dan skala 5. Penetapan skala tersebut adalah tergantung dari
kebijakan pimpinan unit organisasi. Semakin tinggi skala risiko yang digunakan, maka
akan semakin banyak pilihan pengendalian yang akan digunakan.
e. Evaluasi Risiko
Berdasarkan hasil analisis risiko, dilakukan evaluasi risiko yang bertujuan untuk:
Mengetahui risiko yang memiliki tingkat prioritas tertinggi hingga terendah
Menentukan risiko mana yang ditindaklanjuti dengan penanganan dan risiko

mana saja yang hanya perlu dipantau
Pada tahap ini dilakukan penilaian setiap level risiko ke dalam urutan prioritas risiko,
yang akan menjadi dasar bagi kegiatan mitigasi risiko. Evaluasi harus
mempertimbangkan selera risiko yang telah ditetapkan organisasi pada tahap
penetapan konteks. Prioritas dapat didasarkan pada level risiko atau hal lain seperti:
Besarnya dampak penanganan tersebut terhadap konteks yang lebih luas
Kemungkinan suatu peristiwa tertentu
Efek kumulatif dari beberapa peristiwa
Tingkat ketidakpastian level risiko pada tingkat keyakinan tertentu
f. Penanganan Risiko
Tujuan penanganan risiko adalah untuk menentukan jenis penanganan yang efektif
dan efisien untuk suatu risiko. Penanganan risiko melibatkan pemilihan cara‐cara
untuk penanganan risiko, memperkirakan cara‐cara tersebut beserta persiapan serta
rencana penerapannya. Titik awal dari identifikasi cara‐cara penanganan risiko
seringkali merupakan peninjauan kembali panduan penanganan risiko jenis tertentu,
yang sudah ada.
Beberapa konsep penting terkait penanganan risiko sebagai berikut.

Menggunakan pemahaman mendalam, pendekatan sistematis dan
komprehensif antara lain: risiko‐risiko yang perlu mendapatkan penanganan;
prioritas penanganannya; dan besarnya dampak penanganan tersebut
terhadap konteks yang lebih luas;
Mempertimbangkan Cost and Benefit Analysis;
Penanganan risiko diarahkan pada penanganan akar permasalahan (root

cause) dan bukan hanya gejala permasalahan.
Proses penanganan risiko dapat dijelaskan sebagai berikut.
1) Identifikasi opsi penanganan
Beberapa opsi dalam penanganan risiko adalah sebagai berikut.
Menghindari risiko, yaitu memutuskan untuk tidak memulai atau

meneruskan satu aktivitas yang meningkatkan risiko.
Menerima risiko,yaitu memutuskan untuk tidak melakukan langkah

mitigasi risiko.
Mengurangi konsekuensi risiko, yaitu mengurangi potensi kerugian dari

dampak yang dihasilkan melalui penanganan dampak risiko (risiko telah
terjadi).
Mengurangi frekuensi risiko, yaitu mengurangi frekuensi terjadinya risiko
melalui langkah‐langkah preventif.
Membagi risiko, yaitu melibatkan pihak lain atau mengalihkan sebagian
risiko kepada pihak lain, umumnya dengan suatu hubungan timbal balik
yang disepakati.
2) Evaluasi opsi penanganan
Evaluasi dilakukan untuk menilai kelebihan dan kekurangan setiap opsi yang
mungkin untuk diterapkan, dengan mempertimbangkan:

opsi yang dipilih harus kompatibel dengan seluruh tujuan organisasi dan
kriteria evaluasi risiko;
unsur kepraktisan dan kelangsungannya;
biaya dan kemungkinan penerapan langkah penanganan risiko.
3) Pemilihan opsi penanganan
Tujuannya adalah untuk memutuskan opsi penanganan risiko yang diambil

sebagai langkah mitigasi risiko. Dasar pemilihan adalah:
keuntungan penanganan risiko;
biaya yang dikeluarkan;
periode waktu pelaksanaan;
ketidakmenentuan kondisi di masa yang akan datang;
pengharapan (ekspektasi) sosial;
adanya penolakan penanganan risiko, baik oleh personil atau oleh

organisasi.
4) Penyiapan rencana penanganan
Tujuannya adalah untuk meningkatkan kesuksesan langkah penanganan risiko
dan mengontrol langkah aksi penanganan risiko. Rencana penanganan risiko
seharusnya:
mengidentifikasikan tanggung jawab, jadwal, outcome yang diharapkan,
anggaran dana, pengukuran kinerja dan proses review yang harus
dijalankan;
mencakup mekanisme untuk menilai dan memonitor efektivitas langkah
penanganan risiko;

mendokumentasikan bagaimana secara praktisnya opsi yang dipilih itu
akan diimplementasikan.
5) Implementasi penanganan risiko
Tujuannya untuk mengimplementasikan rencana penanganan risiko sehingga

risiko residual sesuai dengan yang diharapkan. Implementasi penanganan
risiko seharusnya:
memastikan penanggung jawab, jadwal, outcome yang diharapkan,

anggaran dana, pengukuran kinerja dan proses review telah berjalan
sesuai dengan rencana;
mencakup mekanisme untuk menilai dan memonitor efektivitas langkah
penanganan risiko;
mendokumentasikan hasil dan hambatan serta jalan keluar dalam

implementasi penanganan risiko.
6) Penilaian risiko residual
Risiko residual adalah risiko yang tetap ada setelah opsi penanganan risiko
diputuskan dan rencana penanganan risiko telah diimplementasikan. Risiko
residual seharusnya terdokumentasikan dan senantiasa dimonitor dan di‐
review.
g. Monitoring dan Review
Monitoring merupakan pengamatan terus menerus terhadap kinerja yang

sebenarnya dibandingkan kinerja yang diharapkan. Sedangkan review merupakan
pemeriksaan periodik terhadap kondisi terkini dan biasanya terfokus pada hal
tertentu. Monitoring dan review amat penting dalam proses manajemen risiko.
Monitoring dan review dilakukan terhadap risiko itu sendiri, efektivitas penanganan
risiko, perencanaan manajemen risiko, dan sistem manajemen risiko secara
keseluruhan. Ketika terjadi perubahan organisasi atau terdapat faktor eksternal
yang berubah, unit kerja pemilik risiko juga akan mengalami perubahan dalam hal

konteks organisasi (seperti tujuan, atau kriteria risiko), risiko dan level risiko, dan
efektivitas penanganan risiko.
Tujuan monitoring dan review adalah:
1) Memastikan langkah penanganan risiko benar‐benar dilaksanakan sesuai

dengan rencana;
2) Mengantisipasi adanya perubahan risiko yang bersifat mendadak yang dapat

berpengaruh pada profil risiko;
3) Mengetahui kondisi akhir dari profil risiko dalam satu unit kerja;
4) Mengetahui adanya penyimpangan atau perbedaan antara harapan dengan

kenyataan atas proses manajemen risiko;
5) Menentukan langkah selanjutnya yang diperlukan, terkait dengan proses

manajemen risiko.
C. DOKUMENTASI MANAJEMEN RISIKO
Masing‐masing tahap proses manajemen risiko harus didokumentasikan secara layak.

Dokumentasi harus meliputi asumsi, metode, sumber data, analisis, hasil serta alasan
pengambilan keputusan.
Alasan untuk pendokumentasian adalah sebagai berikut:
1. Menggambarkan proses manajemen risiko yang dilaksanakan telah berjalan dengan tepat.
2. Memberikan masukan data dan informasi untuk proses identifikasi dan analisis risiko.
3. Menyediakan daftar risiko yang ada dan mengembangkan database organisasi.
4. Menyediakan informasi untuk proses pengambilan keputusan yang relevan dengan

rencana dan pelaksanaan manajemen risiko.
5. Menyediakan informasi untuk mekanisme tanggung gugat dan peralatan.
6. Memfasilitasi pengawasan dan review yang berkelanjutan.

7. Menyediakan informasi yang diperlukan untuk uji coba audit, dan
8. Mensosialisasikan dan mengkomunikasikan informasi yang berhubungan dengan

manajemen risiko.
Dari setiap tahap manajemen risiko di atas, contoh dokumentasi hasil setiap tahap adalah:
Proses Dokumen Terkait
Menetapkan konteks 1) Kebijakan /Piagam Manajemen Risiko
2) Kriteria Evaluasi Risiko
Mengidentifikasi risiko dan 1) Daftar Hasil Identifikasi Risiko
melakukan asesmen risiko 2) Matriks Analisis Risiko
(menganalisis dan mengevaluasi
risiko) 3) Asumsi, Metode dan Sumber Data yang
Digunakan
Memberi tanggapan dan perlakuan Daftar Rencana Tindakan/Mitigasi Risiko (Tanggapan
atas risiko dan Perlakuan)
Memantau dan mengkaji‐ulang serta 1) Daftar Hasil Monitoring Risiko
melakukan komunikasi dan 2) Laporan Status dan Kemajuan serta Rekomendasi
konsultansi Penyempurnaan atau Laporan Hasil Monev
3) Catatan Komunikasi dan Konsultansi

Dalam membangun budaya peduli risiko, terdapat beberapa hambatan dalam menerapkan
manajemen risiko, diantaranya:
• Risiko pada sektor publik seringkali masih dipandang sebagai sesuatu yang negatif, jadi jika
ditampilkan dikhawatirkan akan memberi kesan buruk. Padahal, jika risiko tersebut benar
terjadi, maka dampaknya bisa jadi lebih buruk.
• Risiko dipandang sebagai sumber pemborosan biaya. Meskipun pada umumnya pimpinan
instansi menyadari bahwa biaya/kerugian yang timbul akibat kegagalan dalam
mengatasi/memitigasi risiko yang harus ditanggung mungkin lebih besar.
• Daya tarik terhadap potensi untuk melakukan penyimpangan yang menjurus kepada
perbuatan fraud dianggap lebih memberikan keuntungan yang besar, sehingga mereka
cenderung mengabaikan peringatan terhadap dampak risiko. Contohnya adalah risiko

penunjukkan langsung dalam pemilihan penyedia barang dan jasa mempunyai risiko
terjadinya kecurangan yang tinggi, namun justru cara penunjukkan langsung banyak dipilih
oleh pembuat keputusan.
• Tata Kelola Pemerintahan yang lemah, karena control dari unit pengawasan baik internal
maupun eksternal masih sangat lemah dan mudah dikompromikan.


Bab IV
PENGENDALIAN INTERN

Setelah mengikuti pemelajaran ini diharapkan peserta diklat memiliki pengetahuan
mengenai pengendalian intern organisasi.

Banyaknya permasalahan yang terjadi dalam penyelenggaraan pemerintahan menjadi isu

penting yang harus segera diselesaikan. Untuk itu, dituntut adanya penyelenggaraan
pemerintahan yang yang transparan, akuntabel, dan terukur serta menjalankan prinsip‐prinsip
good governance. Untuk mewujudkannya diperlukan suatu sistem pengendalian intern yang
dapat memberikan keyakinan yang memadai atas tercapainya tujuan organisasi secara efektif
dan efisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap
peraturan perundang‐undangan yang berlaku.
Sistem pengendalian intern lebih dahulu berkembang pesat di sektor swasta atau korporasi.
Selanjutnya, mengingat pentingnya sistem pengendalian tersebut bagi sektor publik, konsep
pengendalian sektor korporasi ini kemudian diadopsi untuk diterapkan di sektor publik.
A. DEFINISI DAN TUJUAN PENGENDALIAN INTERN
Perkembangan sistem pengendalian intern sektor publik dipengaruhi oleh perkembangan di
sektor korporasi. Tahun 1992, The Committee of Sponsoring Organizations of the Treadway
Commission (COSO), grup studi yang populer dengan nama COSO, pada September 1992
menyampaikan laporan dengan judul “Internal Control – Integrated Framework”. COSO adalah
suatu komisi yang bertujuan merumuskan Pengendalian Intern secara lebih mendalam dan
beranggotakan wakil‐wakil dari Financial Executives Institute, AICPA, American Accounting
Associations, The Institute of Internal Auditors, dan Institute of Management Accountants.
Dengan mengacu pada sistem pengendalian intern yang dikembangkan COSO tersebut, untuk
sektor publik, General Accounting Office (GAO) pada tahun 1999 mendefinisikan pengendalian
intern sebagai berikut:

“Internal Control : a process, affected by an entity’s board of directors, management, and
other personil, designed to provide reasonable assurance regarding the improvement of
objectives in the following categories:
- Effectiveness and efficiency of operation,
- Reliability of financial reporting,
- Compliance with applicable laws and regulations”
Yang dapat diterjemahkan sebagai berikut:
Pengendalian intern merupakan suatu proses, yang dipengaruhi oleh dewan komisaris
suatu entitas, manajemen, dan personil lainnya, dirancang untuk menyediakan keyakinan
yang memadai berkaitan dengan pencapaian tujuan dalam berbagai kategori:
- Efektivitas dan efisiensi kegiatan
- Keandalan pelaporan keuangan
- Ketaatan pada peraturan dan ketentuan yang berlaku

Pada tahun 2001, International Organization of Supreme Audit Instituitions (INTOSAI) membuat
exposure draft yang berjudul "Guidelines for Internal Control Standards for the Public Sector",
yakni penerapan konsep pengendalian intern untuk sektor publik. Menurut INTOSAI Internal
Control Standards Committee, dalam Guidelines for Internal Control Standards for the Public
Sector, Budapest 2004, sistem pengendalian intern didefinisikan sebagai :
"An integral process that effected by an entity's management and personnel and is
designed to address risk and to provide reasonable assurance that in pursuit of the entity's
mission, the following general objectives are being achieved:
1) Executing orderly, ethical, economical, efficient and effective operations ;
2) Fulfilling accountability obligations;
3) Complying applicable laws and regulations ; and
4) Safeguarding resources againts loss, misuse and damage."

Selanjutnya, Institute of Internal Auditors (IIA) mendefinisikan internal control sebagai "Any
action taken by management, the board, and other parties to enhance risk management and
increase the likelihood that established objectives and goals will be achieved. Management
plans, organizes, and directs the performance of sufficient actions to provide reasonable
assurance that objectives and goals will be achieved "
Pengendalian intern dibangun untuk mencapai tujuan organisasi melalui pemanfaatan seluruh
sumber daya secara ekonomis, efisien, efektif dan sesuai dengan ketentuan yang berlaku. Pada
prinsipnya fungsi pengendalian internal bertujuan untuk mengidentifikasi terjadinya deviasi

atau penyimpangan atas pelaksanaan kegiatan dibandingkan dengan rencana yang telah
ditetapkan, sehingga dapat dilakukan tindakan koreksi oleh pihak manajemen. Pengendalian
intern dapat mencakup pengendalian yang bersifat preventif yaitu berupa perancangan suatu
sistem pengendalian, ataupun detektif untuk mengatasi penyimpangan yang sudah terjadi.
Dari pengertian pengendalian intern yang diberikan oleh Committee of sponsoring
Organizations of the Treadway Commission (COSO) dapat disimpulkan bahwa dengan adanya
pengendalian intern diharapkan:
1. Suatu organisasi sebagai suatu entitas dapat mencapai tujuan organisasi dengan efektif
dan efisien.
2. Laporan keuangan dapat diandalkan.
3. Organisasi taat terhadap peraturan perundang‐undangan yang berlaku.
Di lain pihak, Institute of Internal Auditor (IIA), merinci tujuan dan sasaran pengendalian, yaitu
untuk memperoleh jaminan yang memadai bahwa:
1. Informasi keuangan dan operasional layak dipercaya.
2. Seluruh transaksi atau kegiatan, dilaksanakan berdasarkan ketaatan terhadap kebijakan,

rencana, prosedur, dan peraturan perundang‐undangan yang berlaku.
3. Terselenggaranya pengamanan aset dengan baik.
4. Penggunaan sumber daya dilakukan secara ekonomis.
5. Kegiatan operasional telah ditangani sesuai rencana dan hasilnya telah sesuai dengan
tujuan dan sasaran yang telah ditetapkan.
Terkait sektor pemerintahan di Indonesia, pendekatan terkini dari sistem pengendalian intern
adalah Sistem Pengendalian Intern Pemerintah (SPIP) yang didasarkan pada Peraturan
Pemerintah Nomor 60 Tahun 2008. Pengertian Sistem Pengendalian Intern menurut PP Nomor
60 Tahun 2008 tentang SPIP adalah:
"Proses yang integral pada tindakan dan kegiatan yang dilakukan secara terus menerus
oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas
tercapainya tujuan organisasi melalui kegiatan yang efektif dan efisien, keandalan

pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan
perundang‐undangan."
Tujuan SPIP adalah memberikan keyakinan memadai atas tercapainya tujuan organisasi melalui:
1. kegiatan yang efektif dan efisien;
2. laporan keuangan yang dapat diandalkan;
3. pengamanan aset negara; serta
4. ketaatan terhadap peraturan perundang‐undangan.
Keempat tujuan tersebut di atas tidak perlu dicapai secara khusus atau terpisah‐pisah. Dengan
kata lain, instansi pemerintah tidak harus merancang secara khusus pengendalian untuk
mencapai satu tujuan. Suatu kebijakan atau prosedur dapat saja dikembangkan untuk dapat
mencapai lebih dari satu tujuan pengendalian.
Menurut SPIP, terdapat lima unsur yang menjadi substansi dari sistem pengendalian, yakni:
Lingkungan Pengendalian, Penilaian Risiko, Aktivitas Pengendalian, Informasi dan Komunikasi,
serta Pemantauan Pengendalian Intern. Kelima unsur sistem pengendalian intern merupakan
komponen yang terjalin erat satu dengan yang lainnya dengan komponen lingkungan
pengendalian sebagai fondasinya. Unsur lingkungan pengendalian memiliki dampak yang sangat
kuat terhadap struktur kegiatan, penetapan tujuan dan penilaian risiko. Lingkungan
pengendalian juga mempengaruhi kegiatan pengendalian, sistem informasi dan komunikasi, dan
pemantauan pengendalian intern. Gambar kubus di bawah ini menjelaskan bahwa semua unsur
pengendalian disusun dengan urutan kronologisnya yang bertujuan (kubus paling atas) untuk
memperoleh kegiatan operasi yang efisien dan efektif, pengamanan aset, pelaporan keuangan
yang dapat diandalkan, dan ketaatan kepada peraturan dan ketentuan yang berlaku. Sedangkan
sisi kanan kubus menjelaskan bahwa implementasi kelima unsur pengendalian tersebut dapat
diterapkan untuk aktivitas unit atau kegiatan tertentu. Hubungan kelima unsur dapat
digambarkan sebagai berikut.

Gambar 4.1
Sistem Pengendalian Intern Pemerintah

Penjelasan yang lebih rinci dari masing‐masing unsur SPIP disampaikan pada sub bab berikut.
B. UNSUR PENGENDALIAN INTERN
COSO memberikan suatu kerangka kerja pengendalian intern secara umum, yang didesain untuk
memuaskan kebutuhan semua kelompok yang berhubungan dengan sistem pengendalian
intern, yaitu manajemen entitas, auditor ekstern dan intern, manajemen keuangan, akuntan
manajemen, dan pemegang otoritas (pasar modal). Tujuan sistem pengendalian intern menjadi
luas, mencakup tidak hanya untuk menjamin keandalan pelaporan keuangan, tetapi juga untuk
efektivitas dan efesiensi operasi, serta kepatuhan terhadap hukum dan peraturan yang berlaku.
COSO merumuskan 5 unsur utama pengendalian intern yang saling berkaitan, yaitu:
1. Lingkungan pengendalian (control environment)
2. Penilaian risiko (risk assessment)
3. Aktivitas pengendalian (control activities)
4. Informasi dan komunikasi (information and communication)
5. Pemantauan (monitoring)

Menurut COSO, unsur‐unsur tersebut bersumber dari cara manajemen (pimpinan)
menyelenggarakan tugasnya dan oleh karena itu unsur ini menyatu (built in) dan terjalin
(permeatted) dalam proses bisnis.
Konsep COSO tersebut kemudian diadopsi dalam PP Nomor 60 Tahun 2008 tentang Sistem
Pengendalian Intern Pemerintah (SPIP), dengan penjelasan masing‐masing unsur pengendalian
intern adalah sebagai berikut:
1. Lingkungan Pengendalian
PP Nomor 60 Tahun 2008 mewajibkan pimpinan instansi pemerintah untuk menciptakan
dan memelihara lingkungan pengendalian yang menimbulkan perilaku positif dan kondusif
untuk penerapan sistem pengendalian intern dalam lingkungan kerjanya. Hal ini
merupakan komponen yang sangat penting dan menjadi unsur dasar di dalam SPIP.
Kemampuan pimpinan untuk menciptakan dan memelihara lingkungan kerja yang
kondusif akan menjadi motivasi kuat bagi para pegawai untuk memberikan yang terbaik
dalam pelaksanaan pekerjaannya. Sebaliknya, pimpinan yang tidak/kurang kompeten
dalam menciptakan lingkungan yang positif akan berpotensi mempengaruhi pegawai
untuk melakukan hal‐hal negatif yang dapat merugikan instansinya.
Untuk menciptakan lingkungan pengendalian seperti dimaksud PP tersebut, pimpinan

instansi dapat menerapkannya melalui sub unsur‐sub unsur lingkungan pengendalian
sebagai berikut:
a. Penegakan integritas dan nilai etika;
b. Komitmen terhadap kompetensi;
c. Kepemimpinan yang kondusif;
d. Pembentukan struktur organisasi yang sesuai dengan kebutuhan;
e. Pendelegasian wewenang dan tanggung jawab yang tepat;
f. Penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya
manusia;
g. Perwujudan peran aparat pengawasan intern pemerintah yang efektif; dan
h. Hubungan kerja yang baik dengan Instansi Pemerintah terkait.

2. Penilaian Risiko
Tahap penilaian risiko (risk assessment) merupakan tahap awal dalam pembangunan
infrastruktur pengendalian. Melalui penilaian risiko dapat diketahui risiko yang dihadapi
unit kerja, untuk kemudian ditetapkan kebijakan respon terhadap risiko (mitigate, avoid,
transfer, share), serta kegiatan pengendalian yang diperlukan. Risiko diidentifikasi pada
konteks terkait tujuan entitas maupun aktivitas. Agar risiko tersebut dapat diidentifikasi
dengan baik, maka perlu terlebih dahulu dipahami proses bisnis/kegiatan organisasi.
Penilaian risiko terdiri dari empat sub unsur yaitu:
a. Penetapan Tujuan Instansi
Identifikasi risiko dimulai dengan penetapan konteks/tujuan organisasi yang jelas

dan konsisten, Penetapan konteks dilakukan dengan menjabarkan latar belakang,
ruang lingkup, tujuan dan hubungan organisasi dengan lingkungan eksternal dan
internal. Oleh karena itu, sebelum melakukan penilaian risiko, organisasi perlu
melakukan analisis lingkungan internal dan eksternal yang dapat menimbulkan risiko
dan mempengaruhi pencapaian tujuan organisasi.
b. Penetapan Tujuan Kegiatan
Penetapan konteks/tujuan secara jelas dan konsisten juga dilakukan di tingkat
kegiatan/aktivitas.
Sebelum identifikasi risiko, kriteria evaluasi dan struktur analisis risiko perlu
ditetapkan dalam rangka menentukan strategi aktivitas yang konsisten dan strategi
manajemen terintegrasi dengan rencana penilaian risiko. Strategi aktivitas
diperlukan untuk menentukan kriteria evaluasi mana yang akan dianalisis sesuai
dengan struktur analisis
Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan
bagaimana sesuatu dapat terjadi, sehingga dapat berdampak negatif terhadap
pencapaian tujuan. Proses ini meliputi identifikasi risiko yang mungkin terjadi pada

level entitas maupun aktivitas. Salah satu aspek penting dalam identifikasi risiko
adalah memperoleh data risiko sebanyak‐banyaknya.
d. Analisis Risiko
Semua risiko yang telah diidentifikasi harus dianalisis untuk mengestimasi

kemungkinan munculnya (probabilitas) dan besaran dampak risiko terhadap
pencapaian tujuan entitas maupun aktivitas.
Hasil penilaian risiko ini kemudian digunakan sebagai dasar dalam membangun
infrastruktur dan melakukan aktivitas pengendalian.
3. Kegiatan Pengendalian
Unsur sistem pengendalian intern yang ketiga adalah kegiatan pengendalian. Kegiatan
pengendalian intern adalah kebijakan dan prosedur yang dapat membantu memastikan
dilaksanakannya arahan pimpinan Instansi Pemerintah untuk mengurangi risiko yang telah
diidentifikasi selama proses penilaian risiko.
Kebijakan dibuat untuk mengarahkan apa yang seharusnya dikerjakan dan berfungsi
sebagai dasar bagi penyusunan prosedur. Prosedur adalah rangkaian urut‐urutan tindakan
yang dilakukan oleh satu atau beberapa orang dalam melaksanakan kegiatan tertentu.
Kebijakan dan prosedur tertulis harus ditetapkan oleh manajemen, sebagai dasar
pelaksanaan kegiatan pengendalian.
Pengertian yang lebih luas dari kegiatan pengendalian mencakup bukan hanya kebijakan
dan prosedur tetapi juga teknik dan mekanismenya. Teknik merupakan penjelasan yang
lebih rinci dari prosedur sedangkan mekanisme menjelaskan siapa dan bagaimana
menjalankan teknik tersebut.
Kegiatan pengendalian yang diterapkan dalam suatu Instansi Pemerintah dapat berbeda
dengan yang diterapkan pada Instansi Pemerintah lain. Perbedaan penerapan ini antara
lain disebabkan oleh perbedaan:
a. visi, misi, dan tujuan;
b. lingkungan dan cara beroperasi;

c. tingkat kerumitan organisasi;
d. sejarah atau latar belakang serta budaya; dan
e. risiko yang dihadapi.
Pimpinan Instansi pemerintah wajib menyelenggarakan kegiatan pengendalian sesuai

dengan ukuran, kompleksitas, serta sifat dari tugas dan fungsi instansi pemerintah yang
bersangkutan. Dalam pelaksanaannya, unsur kegiatan pengendalian memiliki beberapa
sub‐unsur, sebagai berikut:
a. Review atas kinerja Instansi Pemerintah yang bersangkutan;
b. Pembinaan sumber daya manusia;
c. Pengendalian atas pengelolaan sistem informasi;
d. Pengendalian fisik atas aset;
e. Penetapan dan review atas indikator dan ukuran kinerja;
f. Pemisahan fungsi;
g. Otorisasi atas transaksi dan kejadian yang penting;
h. Pencatatan yang akurat dan tepat waktu atas transaksi dan kejadian;
i. Pembatasan akses atas sumber daya dan pencatatannya;
j. Akuntabilitas terhadap sumber daya dan pencatatannya; dan
k. Dokumentasi yang baik atas Sistem Pengendalian Intern serta transaksi dan kejadian
penting.
Dalam mengembangkan kegiatan pengendalian, instansi pemerintah harus mencapai

keseimbangan yang tepat antara kegiatan pengendalian yang bersifat detektif dengan
preventif. Kegiatan pengendalian yang didominasi oleh pengendalian preventif seperti
prosedur otorisasi yang berbelit‐belit, akan mengganggu kelancaran kegiatan layanan
publik.

Berdasarkan tujuan instansi pemerintah, kegiatan pengendalian berkaitan dengan
operasi, laporan keuangan, dan ketaatan terhadap peraturan perundang‐undangan serta
pengamanan aset negara. Meskipun kegiatan pengendalian berkaitan dengan salah satu
tujuan pengendalian tersebut, namun dalam praktiknya saling berhubungan, tergantung
dari lingkungannya. Kegiatan pengendalian tertentu dapat membantu pencapaian lebih
dari satu tujuan instansi pemerintah tersebut. Jadi pengendalian untuk operasi juga dapat
membantu menjamin keandalan laporan keuangan. Pengawasan laporan keuangan dapat
memengaruhi ketaatan dan meningkatkan pengamanan aset negara.
Kegiatan pengendalian terjadi di semua tingkat organisasi, kegiatan, unit dan fungsi
instansi pemerintah.Kegiatan pengendalian merupakan suatu bagian yang tidak
terpisahkan dari perencanaan, penerapan, serta review kinerja dari instansi pemerintah.
Dalam menetapkan kegiatan pengendalian, harus didasarkan pada hasil penilaian risiko
dan mempertimbangkan kecukupan kegiatan pengendalian. Berdasarkan pertimbangan
tersebut, kegiatan untuk mengendalikan risiko dikategorikan dalam dua hal yaitu
prevention dan mitigation. Perbedaan pengendalian tersebut digambarkan sebagai
berikut.

Gambar 4.2
Hubungan Pengendalian Risiko

Berdasarkan gambar di atas, prevention digambarkan sebagai kegiatan pengendalian

untuk mengurangi probabilitasnya, sedang mitigasi digambarkan sebagai kegiatan

pengendalian yang dimaksudkan untuk mengurangi dampak dari suatu kerugian yang
mungkin terjadi.
Bagaimana bentuk kedua kegiatan pengendalian ini dicontohkan dalam kegiatan

pengendalian kebakaran. Kegiatan prevention diibaratkan sebagai kegiatan terhadap
pembatasan penggunaan bahan‐bahan yang mudah terbakar dan pelarangan kegiatan
yang membahayakan seperti merokok. Sedangkan kegiatan mitigasi diibaratkan sebagai
kegiatan menyiapkan alat pemadam kebakaran, sehingga apabila terjadi kebakaran dapat
digunakan untuk mengurangi dampaknya.
Untuk mengelola risiko yang berkaitan dengan pencapaian tujuan masing‐masing

kegiatan, pimpinan instansi pemerintah harus selalu memperhatikan kedua aspek
pengendalian di atas. Dengan demikian, setiap kali melakukan penilaian risiko selalu
diiringi dengan kegiatan pengendalian untuk mengurangi probabilitas dan dampaknya.
Selain hal tersebut di atas, berkaitan dengan perkembangan penggunaan teknologi
informasi, analisis dan evaluasi kecukupan kegiatan pengendalian juga mencakup
pengendalian terhadap sistem informasi terkomputerisasi yaitu, meliputi pengendalian
umum dan pengendalian aplikasi.
Agar kegiatan pengendalian menjadi efektif, maka harus memenuhi kriteria:
a. pengendalian yang tepat pada tempat yang tepat dan terhadap risiko terkait;
b. sesuai dengan rencana organisasi yang ditetapkan;
c. memperhatikan biaya dan manfaatnya;
d. bersifat komprehensif, logis, dan berhubungan langsung dengan tujuan

pengendalian.
4. Informasi dan Komunikasi
Unsur pengendalian intern keempat adalah informasi dan komunikasi. Sub unsur dari
unsur informasi dan komunikasi adalah:
a. Sarana Komunikasi
b. Manajemen sistem informasi

Instansi pemerintah harus memiliki informasi yang relevan dan dapat diandalkan baik
informasi keuangan maupun nonkeuangan, yang berhubungan dengan peristiwa‐peristiwa
eksternal serta internal. Informasi tersebut harus direkam dan dikomunikasikan kepada
pimpinan instansi pemerintah dan lainnya di seluruh instansi pemerintah yang
memerlukannya dalam bentuk serta dalam kerangka waktu, yang memungkinkan yang
bersangkutan melaksanakan pengendalian intern dan tanggung jawab operasional.
Informasi adalah data yang telah diolah, yang dapat digunakan untuk pengambilan
keputusan dalam rangka penyelenggaraan tugas dan fungsi instansi pemerintah. Instansi
pemerintah harus memiliki informasi yang relevan dan dapat diandalkan, baik informasi
keuangan maupun non keuangan yang berhubungan dengan peristiwa‐teristiwa eksternal
serta internal. Informasi yang relevan dan dapat diandalkan tersebut harus diidentifikasi,
diperoleh, dan didistribusikan kepada pimpinan semua tingkatan dan pihak yang berhak;
dengan rincian yang memadai, bentuk, dan waktu yang tepat sehingga memungkinkan
mereka dapat melaksanakan tugas dan tanggung jawab pengendalian intern dan
operasional secara efisien dan efektif.
Informasi dari sumber internal dan eksternal didapat dan disampaikan kepada pimpinan
instansi pemerintah sebagai bagian dari pelaporan instansi sehubungan dengan
pencapaian kinerja operasi dalam mencapai tujuan instansi yang telah ditetapkan.
Informasi yang perlu diidentifikasi, diperoleh, dan dilaporkan adalah informasi internal
yang penting dalam mencapai tujuan instansi pemerintah, termasuk informasi yang
berkaitan dengan faktor‐faktor keberhasilan yang kritis dan informasi eksternal yang
relevan, yang dapat mempengaruhi tercapainya misi, maksud dan tujuan instansi
pemerintah, terutama yang berkaitan dengan perkembangan peraturan perundang‐
undangan serta perubahan politik dan ekonomis. Agar informasi yang diidentifikasi dan
dilaporkan adalah informasi yang berkualitas, maka informasi tersebut harus memenuhi
syarat sebagai berikut.
a. Sesuai kebutuhan, yaitu informasi yang diperlukan telah tersedia.
b. Tepat waktu, yaitu informasi tersedia ketika diperlukan.
c. Mutakhir, yaitu informasi yang terkini, telah tersedia.

d. Akurat, yaitu informasi yang diperoleh adalah benar.
e. Dapat diakses, yaitu informasi dapat diperoleh dengan mudah oleh pihak‐pihak
yang terkait.
Komunikasi adalah proses penyampaian pesan atau informasi dengan menggunakan

simbol atau lambang tertentu baik secara langsung maupun tidak langsung untuk
mendapatkan umpan balik. Proses komunikasi merupakan tahap‐tahap antara
komunikator dengan komunikan yang menghasilkan pentransferan dan pemahaman
makna. Menurut Stephen P. Robbins, proses komunikasi meliputi 7 (tujuh) bagian, yakni:
a. sumber komunikasi (komunikator),
b. pengkodean,
c. pesan,
d. saluran,
e. pendekodean,
f. penerima (komunikan),
g. umpan balik.
Efektivitas dari komunikasi terlihat dari umpan balik yang ditunjukkan oleh pihak yang
menerima pesan. Umpan balik itu akan menunjukkan apakah telah terjadi kesamaan
pemahaman atas makna pesan yang disampaikan.
Komunikasi terdiri dari komunikasi internal dan eksternal. Komunikasi internal dan
eksternal yang efektif harus terjadi baik secara vertikal maupun horizontal melalui
komunikasi dua arah serta lintas unit/instansi.
Pimpinan instansi pemerintah harus memastikan terjalinnya komunikasi internal dan

eksternal yang efektif terutama yang memberikan dampak signifikan terhadap program,
proyek, operasi, dan kegiatan lainnya termasuk penganggaran dan pendanaannya. Untuk
menyelenggarakan komunikasi yang efektif, pimpinan instansi pemerintah harus
menyediakan dan memanfaatkan berbagai bentuk sarana komunikasi dalam
mengomunikasikan informasi penting kepada pimpinan, pegawai dan pihak lainnya, serta
mengelola, mengembangkan, dan memperbarui sistem informasi secara terus menerus
untuk meningkatkan kegunaan dan keandalan informasi.

Dukungan/komitmen pimpinan instansi pemerintah terhadap pengembangan teknologi
informasi ditunjukkan dengan menyediakan sumber daya manusia dan pendanaan yang
memadai terhadap upaya pengembangan tersebut.
5. Pemantauan Pengendalian Intern
Pemantauan merupakan unsur pengendalian intern yang kelima atau terakhir.

Pemantauan Sistem Pengendalian Intern dilaksanakan melalui pemantauan berkelanjutan,
evaluasi terpisah, dan tindak lanjut rekomendasi hasil audit dan review lainnya.
Pemantauan berkelanjutan diselenggarakan melalui kegiatan pengelolaan rutin, supervisi,
pembandingan, rekonsiliasi, dan tindakan lain yang terkait dalam pelaksanaan tugas.
Evaluasi terpisah diselenggarakan melalui penilaian sendiri, review, dan pengujian

efektivitas Sistem Pengendalian Intern yang dapat dilakukan oleh aparat pengawasan
intern pemerintah atau pihak eksternal pemerintah dengan menggunakan daftar uji
pengendalian intern.
Tindak lanjut rekomendasi hasil audit dan review lainnya harus segera diselesaikan dan
dilaksanakan sesuai dengan mekanisme penyelesaian rekomendasi hasil audit dan review
lainnya yang ditetapkan.
a. Pemantauan Berkelanjutan (on‐going monitoring)
Pemantauan atas pengendalian intern yang sedang berjalan menyatu pada kegiatan
rutin dan berulang. Pemantauan ini mencakup setiap komponen sistem
pengendalian internal dan kegiatan untuk mencegah terjadinya kondisiyang tidak
lazim, tidak etis, tidak ekonomis, tidak efisien dan tidak efektif dalam pelaksanaan
kegiatan. Kegiatan monitoring dalam suatu organisasi merupakan tangungjawab
seluruh jenjang organisasi namun dengan fokus yang berbeda‐beda, yaitu berikut.
1) Bagi pegawai, fokus pemantauan adalah untuk mengetahui bahwa pekerjaan

dilaksanakan sebagaimana mestinya. Setiap pegawai hendaknya melakukan
pengecekan terhadap pekerjaan sebelum disampaikan kepada atasannya.
Penyimpangan pada tingkat ini segera dapat dideteksi.

2) Di tingkat penyelia, pemantauan dilakukan atas seluruh kegiatan di bawah
kendalinya guna memastikan bahwa seluruh pegawai yang ada di bawah
kendalinya telah melaksanakan tanggungjawabnya masing‐masing.
3) Pada tingkat manajer, pemantauan dilakukan untuk menilai apakah sistem

pengendalian intern telah berfungsi pada masing‐masing unit dalam organisasi
dan sejauhmana para penyelia telah melakukan pemantauan pada bagian yang
menjadi tanggung jawabnya.
4) Pada tingkat pimpinan eksekutif, fokus pemantauan adalah pada organisasi

dalam lingkup yang menyeluruh, yaitu pemantauan apakah tujuan organisasi
telah tercapai. Pimpinan juga melakukan pemantauan atas keberadaan
tantangan dan peluang, baik dari sisi internal maupun eksternal yang mungkin
membutuhkan perubahan dalam perencanaan organisasi.
Dalam melakukan pemantauan pengendalian intern, hal‐hal yang menjadi titik

perhatian adalah berikut.
1) Pimpinan memiliki strategi untuk memastikan bahwa monitoring yang sedang
berjalan efektif dan melaksanakan evaluasi terpisah apabila terjadi keadaan
kritis.
2) Dalam kegiatan rutin, terdapat informasi yang menggambarkan apakah

pengendalian internal berfungsi dengan baik.
3) Komunikasi dengan pihak luar dikonfirmasikan dengan data intern yang

dimiliki organisasi.
4) Struktur organisasi yang sesuai kebutuhan dan adanya supervisi untuk

mengawasi fungsi pengendalian internal.
5) Terdapat pembandingan data yang dicatat dengan fisiknya secara periodik.
6) Terdapat respon yang segera terhadap rekomendasi auditor ekstern dan

intern sebagai alat untuk memperkuat pengendalian internal.

7) Pertemuan rutin pimpinan denganstaf dan pelaksanaan pelatihan digunakan
untuk memperoleh umpan balik untuk mengetahui apakah pengendalian telah
berjalan efektif.
8) Terdapat pemantauan secara teratur kepada seluruh karyawan untuk

mengetahui tingkat pemahaman dan kepatuhan terhadap aturan perilaku
yangberlaku.
9) Terdapat efektivitas kegiatan audit internal.

b. Evaluasi yang Terpisah (separate evaluations)
Evaluasi terpisah adalah penilaian secara periodik atas kinerja organisasi

dibandingkan dengan standar pengukuran yang ada atau yang telah disepakati.
Ruang lingkup dan frekuensi evaluasi yang terpisah bergantung pada penilaian risiko
dan efektivitas prosedur pemantauan yang sedang diterapkan. Evaluasi ini
bermanfaat untuk memusatkan secara langsung kepada efektivitas pengendalian
pada suatu waktu tertentu dan dapat berbentuk penilaian mandiri (self assessment).
Semua penyimpangan yang dijumpai dalam pemantauan pengendalian intern ini

baik yang sedang berlangsung maupun yang telah berjalan harus dikomunikasikan
kepada pihak yang terkait untuk mengambil tindakan perbaikan.
Dalam melakukan evaluasi terpisah, perlu memperhatikan hal‐hal sebagai berikut.
1) Ruang lingkup dan frekuensi evaluasi yang terpisah terhadap sistem

2) Terdapat metode yang logis dan sesuai kebutuhan untuk mengevaluasi

3) Bila evaluasi terpisah dilakukan oleh auditor internal maka harus dilaksanakan
oleh sumber daya manusia yang memiliki kemampuan yang memadai dan
independen.
4) Kelemahan yang ditemukan selama evaluasi terpisah segera diatasi.

Tindak lanjut atas temuan audit dilakukan untuk memastikan bahwa temuan audit
dan review lainnya segera diselesaikan. Hal‐hal yang harus dilakukan organisasi
dalam tindak lanjut atas temuan audit adalah sebagai berikut.
1) Organisasi memiliki mekanisme untuk memastikan adanya penyelesaian atas

temuan hasil audit dan review lainnya dengan segera.
2) Pimpinan organisasi tanggap atas temuan‐temuan dan rekomendasi audit dan
review lainnya yang bertujuan memperkuat sistem pengendalian internal.
3) Organisasi melakukan tindak lanjut yang sesuai dengan temuan dan

rekomendasi audit serta review lainnya.
Dalam tahap penyelenggaraan SPIP, langkah‐langkah penyelenggaraan SPIP

didasarkan pada kerangka pemikiran siklus penyelenggaraan SPIP sebagaimana
terlihat pada gambar 4.3. Meskipun dengan menggunakan pendekatan siklus,
pembangunan SPIP tidak secara kaku harus selalu mulai dari satu tahapan tertentu
karena dengan siklus penyelenggaraan SPIP maka tahapan akan selalu berputar dan
kembali pada suatu tahapan yang sama secara terus menerus dengan mendasarkan
seluruh siklus pada dokumen yang disebut rencana tindak pengendalian (RTP). Siklus
penyelenggaraan SPIP, diharapkan secara kontinyu akan dapat mengintegrasikan
SPIP ke dalam proses‐proses penyelenggaraan pemerintahanPenyelenggaraan
sistem pengendalian intern pemerintah (SPIP) harus disesuaikan dengan
karakteristik setiap instansi, yang meliputi tugas dan fungsi utama instansi, sifat,
tujuan, dan kompleksitas, serta risiko‐risiko yang dihadapi oleh masing‐masing
instansi.

Gambar 4.3
Siklus Penyelenggaraan SPIP

C. KETERBATASAN PENGENDALIAN INTERN
Beberapa hal merupakan keterbatasan dan dapat mengakibatkan kegagalan suatu sistem
pengendalian. Kegagalan yang sering terjadi dalam sistem pengendalian intern antara lain
dikarenakan hal‐hal sebagai berikut :
1. Pertimbangan yang kurang matang
Efektivitas pengendalian dibatasi dengan adanya keterbatasan manusia itu sendiri dalam
pengambilan keputusan. Keputusan yang diambil sangat dipengaruhi oleh beberapa
pertimbangan atas waktu yang tersedia, informasi yang dimiliki dan tekanan yang berasal
dari lingkungan tertentu. Ada kalanya bahwa beberapa keputusan yang diambil secara
demikian ini akan memberikan hasil yang kurang efektif dari yang diharapkan sebelumnya.

2. Gagal menterjemahkan suatu perintah
Walaupun sistem pengendalian intern telah dirancang dengan baik, sistem tersebut masih
mungkin mengalami kegagalan. Kegagalan dalam hal ini diakibatkan adanya pegawai yang
mungkin menyalahartikan suatu perintah.
Mereka membuat pertimbangan yang salah atau membuat kesalahan sebagai akibat
ketidaktahuan, keteledoran, ataupun kealpaan. Kegagalan sistem ini akan lebih besar
pengaruhnya jika yang membuat kesalahan adalah seorang pimpinan, karena secara
otomatis akan berdampak pada pengambilan keputusan pimpinan di bawahnya.
3. Pengabaian Manajemen
Pengendalian intern hanya dapat berjalan secara efektif jika masing‐masing pelaksana
dari atas sampai ke bawah melaksanakan tugas dan fungsinya sesuai dengan kewenangan
dan tanggung jawabnya. Meskipun suatu organisasi memiliki sistem pengendalian yang
memadai, jika salah satu atau beberapa dari unsur pimpinan atau pelaksana,
mengabaikan pengendalian tersebut akan mengakibatkan tidak efektifnya sistem
pengendalian yang bersangkutan.
Istilah “pengabaian manajemen” ini ditujukan pada tindakan manajemen yang

mengabaikan pengendalian dengan tujuan untuk kepentingan pribadi atau untuk
meningkatkan penyajian kondisi laporan kegiatan atau keuangan organisasi yang
bersangkutan.
Seorang pimpinan unit atau bahkan pimpinan suatu organisasi, mungkin mengabaikan
sistem pengendalian dengan berbagai alasan, misalnya meningkatkan laporan
kegiatan/kinerja organisasi untuk menutupi terjadinya ketidaktepatan dalam pencapaian
target yang telah ditentukan, meningkatkan laporan pendapatan untuk memenuhi
anggaran pendapatan yang tidak realistis, untuk memenuhi proyeksi pendapatan guna
mendukung laporan realisasi pendapatan secara keseluruhan, atau bahkan untuk
menyembunyikan adanya tindakan melawan hukum/ketentuan yang berlaku.
Praktik‐praktik pengabaian sistem pengendalian intern ini juga termasuk penyalahgunaan
data/laporan kepada Bank, Konsultan Hukum, Instansi Pengawasan, Pemasok dan
sebagainya dengan cara menerbitkan dokumen palsu. Istilah “pengabaian pengawasan” di

sini berbeda dengan istilah “intervensi manajemen” yang merupakan tindakan
manajemen mengabaikan/mengesampingkan kebijakan atau prosedur yang ada, tetapi
justru ditujukan untuk kepentingan organisasi. Intervensi manajemen diperlukan untuk
mengatasi adanya kejadian/transaksi yang tidak biasa dan tidak akan mengakibatkan
kerugian bagi organisasi jika ditangani dengan tidak tepat melalui sistem pengendalian.
Hal ini karena tidak ada satu sistem pun yang dapat dirancang untuk mengantisipasi setiap
kondisi yang terjadi atau akan terjadi secara mendadak.
4. Kolusi
Terjadinya kolusi dari dua pihak atau lebih dapat mengakibatkan kegagalan dalam sistem
pengendalian intern. Para pelaku melakukan perubahan atau menyembunyikan data
keuangan atau informasi manajemen lainnya dengan suatu cara yang tidak dapat
diidentifikasikan oleh pengawasan melekat.
Kolusi antara pegawai yang memiliki kewenangan penting dengan pemasok atau pegawai
lainnya, dapat dicontohkan sebagai berikut: pemasok memberikan barang yang dipesan
dengan kualitas/ kuantitas yang berbeda tetapi dinyatakan dalam faktur penagihan sesuai
dengan yang dipesan. Di lain pihak, si penerima barang memproses penerimaan barang
tersebut seolah‐olah telah diterima sesuai dengan kualitas/kuantitas yang dipesan.
D. PERKEMBANGAN TERKINI KONSEP PENGENDALIAN INTERN
Pada tanggal 14 Mei 2013, COSO mempublikasikan Kerangka Pengendalian Intern Terintegrasi
yang telah diperbarui (COSO Internal Control Integrated Framework 2013, dikenal dengan COSO
2013). Dengan tetap menggunakan pendekatan prinsipil, kerangka terbaru ini menyediakan
tuntunan yang lebih terperinci dalam mengilustrasikan dan menjelaskan konsep‐konsep yang
ada dengan tujuan untuk membantu organisasi beradaptasi dengan lingkungan bisnis yang
semakin kompleks dan terus berubah dengan cepat.
Latar belakang meng‐update Original Framework COSO’s Internal Control–Integrated

Framework (1992 Edition) yang sudah baik dan diadopsi di seluruh dunia adalah:
1. Lingkungan bisnis dan operasional berubah sangat cepat, menjadi semakin kompleks,
technology driven, dan global

2. Ekspektasi yang besar terhadap governance
3. Stakeholders lebih terlibat, menginginkan transparansi dan akuntabilitas
4. Meningkatnya ekspektasi akan penilaian risiko di semua tingkat organisasi (keuangan,
operasi, regulasi, IT)
5. Kompleksitas dalam undang‐undang, peraturan dan standar telah meningkat secara

signifikan
6. Telah terjadi kerusakan dalam skala besar terhadap tata kelola dan pengendalian internal
dalam 20 tahun terakhir
7. Adanya ekspektasi yang besar terkait pencegahan dan deteksi fraud di setiap tingkatan
8. Permintaan akan pelaporan internal dan eksternal yang update dan bermutu
Berikut ini perbandingan antara COSO 1992 dan COSO 2013.

Gambar 4.4
Perbandingan COSO 1992 dan COSO 2013


Beberapa hal baru yang diakomodasi dalam COSO 2013 adalah:
1. Perluasan ruang lingkup dari tujuan pelaporan, bukan hanya pelaporan informasi
keuangan
2. Mempertimbangkan perubahan dalam lingkungan bisnis dan operasional
3. Formalisasi konsep dasar dalam COSO 1992 menjadi 17 prinsip
4. Adanya titik fokus (points of focus) yang menyoroti karakteristik penting dari masing‐
masing prinsip
5. Tambahan pendekatan dan contoh‐contoh yang relevan dari tujuan operasi, compliance,
dan nonfinancial reporting
6. Pertimbangan eksplisit penyedia layanan outsourcing dan pihak ketiga lainnya yang
mempengaruhi pengendalian internal
7. Pertimbangan yang eksplisit tentang potensi fraud dalam penilaian risiko
8. Pentingnya peran judgement dalam desain, implementasi, dan dalam mengassess

efektivitas pengendalian internal
9. Prinsip spesifik terkait dengan teknologi informasi
Ada 17 prinsip dari komponen‐komponen pengendalian internal dalam COSO 2013 seperti
dijabarkan berikut.

1. Menunjukkan komitmen terhadap integritas dan

nilai‐nilai etika
Lingkungan 2. Melakukan pengawasan yang bertanggung jawab

Pengendalian 3. Menetapkan struktur, wewenang dan tanggung
jawab

4. Menunjukkan komitment terhadap kompetensi
5. Menegakkan akuntabilitas
6. Menentukan tujuan yang sesuai
7. Identifikasi dan analisis risiko
Penilaian Risiko
8. Penilaian risiko atas fraud

9. Identifikasi dan analisis perubahan yang signifikan

10. Pemilihan dan pengembangan kegiatan pengendalian
Kegiatan 11. Pemilihan dan pengembangan pengendalian terhadap
Pengendalian terknologi
12. Implementasi melalui kebijakan dan prosedur

13. Menggunakan informasi yang relevan
Informasi dan
Komunikasi 14. Komunikasi secara internal

15. Komunikasi secara eksternal

16. Melakukan evaluasi berkelanjutan dan/atau terpisah
Pemantauan
17. Mengevaluasi dan mengkomunikasikan ‘deficiencies’

(kelemahan)

Sumber: COSO Internal Control ‐ Integrated Framework 2013, diolah.

Tabel 4.1
Prinsip Pengendalian Intern COSO 2013


Bidang Manajemen Resiko

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Bidang Manajemen Resiko

Diunggah oleh

Hak Cipta:

Format Tersedia

Tuntutan gencar yang dilakukan masyarakat kepada pemerintah untuk menjalankan

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 5

Seiring dengan meningkatnya peran swasta dan masyarakat dalam penyelenggaraan

1. Hands‐on professional management (Pelaksanaan tugas manajemen pemerintahaan

3. Greater emphasis on output controls (Lebih ditekankan pada pengendalian

6 2014 |Pusdiklatwas BPKP

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 7

Governance atau kepemerintahan diartikan oleh UNDP (United Nations Development

8 2014 |Pusdiklatwas BPKP

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 9

• Jajaran pimpinan harus mengetahui dan fokus terhadap pemenuhan kebutuhan

10 2014 |Pusdiklatwas BPKP

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 11

12 2014 |Pusdiklatwas BPKP

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 13

Dalam melaksanakan kepemerintahan semua institusi dan proses yang dilaksanakan

14 2014 |Pusdiklatwas BPKP

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 15

16 2014 |Pusdiklatwas BPKP

Tuntutan perubahan dan peningkatan kapabilitas organisasi memunculkan risiko (risk) dan

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 17

18 2014 |Pusdiklatwas BPKP

• adanya probabilitas/kemungkinan kejadian: potensi kejadian tinggi pada musim

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 19

Untuk menjawabnya, harus dilakukan analisis terlebih dahulu terhadap pemenuhan

Kedua : Apakah kebakaran tersebut merupakan kemungkinan? Tidak, karena sudah

20 2014 |Pusdiklatwas BPKP

Bukan sekadar strategi sederhana menjadi seperangkat tujuan dan mendefinisikan

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 21

 instansi B: risk avoidance, cenderung membatasi risiko kebakaran. Misalnya

22 2014 |Pusdiklatwas BPKP

1) Risiko murni : Apabila suatu kejadian berakibat hanya merugikan dan

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 23

24 2014 |Pusdiklatwas BPKP

2) Risiko Operasional, berhubungan dengan efektivitas dan efisiensi aktivitas

4) Risiko Ketaatan, berhubungan dengan kesesuaian terhadap regulasi yang

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 25

Manajemen risiko dilaksanakan secara terus menerus dan dimonitor secara

Manajemen risiko ditentukan oleh pihak‐pihak yang berada di lingkungan

Strategi yang telah dipilih berdasarkan manajemen risiko diaplikasikan dalam

26 2014 |Pusdiklatwas BPKP

Manajemen risiko dirancang untuk mengidentifikasi kejadian atau keadaan yang

Manajemen risiko diharapkan dapat menjadi pedoman bagi organisasi dalam

• Mencapai kesinambungan pemberian pelayanan kepada stakeholder, sehingga

• Memberikan dasar penyusunan rencana strategi sebagai hasil dari pertimbangan

• Menghindari biaya‐biaya yang mengejutkan, karena perusahaan mengidentifikasi

• Menghindari pemborosan, dan membuka peluang bagi organisasi untuk

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 27

• Organisasi akan lebih fokus dalam melaksanakan kebijakan‐kebijakannya sehingga

Manajemen risiko berkontribusi terhadap pencapaian nyata objektif dan

28 2014 |Pusdiklatwas BPKP

Manajemen risiko membantu pengambil keputusan mengambil keputusan dengan

d. Manajemen risiko secara eksplisit menangani ketidakpastian (explicitly addresses

Manajemen risiko menangani aspek‐aspek ketidakpastian dalam pengambilan

e. Manajemen risiko bersifat sistematis, terstruktur, dan tepat waktu (systematic,

Suatu pendekatan sistematis, tepat waktu, dan terstruktur terhadap manajemen

Manajemen risiko diselaraskan dengan konteks eksternal dan internal organisasi

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern 29

Pelibatan para pemangku kepentingan, terutama pengambil keputusan, dengan

j. Manajemen risiko bersifat dinamis, iteratif, dan responsif terhadap perubahan

Seiring dengan timbulnya peristiwa internal dan eksternal, perubahan konteks dan

k. Manajemen risiko memfasilitasi perbaikan dan pengembangan berkelanjutan

Organisasi harus mengembangkan dan mengimplementasikan strategi untuk

instansi B: risk avoidance, cenderung membatasi risiko kebakaran. Misalnya

mengetahui dan menetapkan pihak yang paling berkepentingan

menetapkan ruang lingkup, tujuan, kondisi yang membatasi dan hasil

Menentukan risiko mana yang ditindaklanjuti dengan penanganan dan risiko

Penanganan risiko diarahkan pada penanganan akar permasalahan (root

Menghindari risiko, yaitu memutuskan untuk tidak memulai atau

Menerima risiko,yaitu memutuskan untuk tidak melakukan langkah

Mengurangi konsekuensi risiko, yaitu mengurangi potensi kerugian dari

adanya penolakan penanganan risiko, baik oleh personil atau oleh

memastikan penanggung jawab, jadwal, outcome yang diharapkan,

mendokumentasikan hasil dan hambatan serta jalan keluar dalam