Modul Manajemen Risiko Sektor Publik 2021
Modul Manajemen Risiko Sektor Publik 2021
Manajamen risiko umumnya diterapkan pada organisasi yang bersifat privat, yang ditujukan untuk
melindungi organisasi dan juga untuk memberikan nilai tambah bagi organisasi. Saat ini kesadaran untuk
menerapkan manajemen risiko pada sektor publik semakin meningkat. Penerapan manajemen risiko yang
terstruktur dan sistematis manjadikan pengelolaan risiko menjadi lebih efisien dan efektif, karena tidak
semua risiko yang akan dikelola, namun hanya risiko risiko yang tinggi yang akan ditanganai dengan lebih
fokus. Pelatihan ini diharap dapat meningkatkan kompetensi para pimpinan organisasi dan segenap
jajarannya, sehingga mampu menerapkan manajemen risiko di organisasinya.
Pusdiklatwas BPKP sebagai salah satu unit kerja BPKP yang bertindak sebagai learning office Government
Internal Audit University (GIA Corpu) memiliki tugas pokok dan fungsi mengelola dan melaksankan
pelatihan dan sertifikasi. Dalam rangka melaksanakan pengembangan kompetensi bagi para peserta
pelatihannya, berkomitmen memberikan yang terbaik. Kurikulum dan bahan ajar dirancang dengan praktik
yang ada pada kementerian/lembaga/pemerintah daerah, sehingga materi pelatihan adalah cerminan
penerapan ilmu pengetahuan di lapangan. Dengan demikian para peserta pelatihan diharapkan mampu
menerapkan hasil pelatihan pada instansinya.
Modul Pelatihan ini adalah salah satu bahan ajar tertulis, yang selain menjadi acuan dalam proses
pembelajaran, juga diharapkan dapat menjadi penambah referensi dalam penerapan di tempat kerja para
peserta pelatihan. Namun modul bukan satu satunya referensi yang berkenaan dengan substansi materi.
Bahan ajar lain yang disampaikan fasilitator juga melengkapi materi pelatihan. Selain itu, peserta pelatihan
juga diharapkan tetap memperkaya dengan referensi lain.
Meskipun modul ini telah disusun dengan proses evaluasi dan reviu, kami menyadari perbaikan terus
menerus masih perlu dilakukan. Untuk itu, kami mengharapkan saran perbaikan untuk menjadikan modul
ini lebih bermanfaat.
Akhir kata, kami mengucapkan terimakasih, kepada semua pihak yang telah berkontribusi atas terbitnya
modul pelatihan ini.
D. SISTEMATIKA MODUL.......................................................................................................................... 6
1. PENGERTIAN RISIKO................................................................................................................................. 13
E. Proses MR ....................................................................................................................................... 25
B. Analisis Risiko........................................................................................................................................ 50
BAB IV. PROSES RISIKO - PENANGANAN RISIKO, MONITORING & REVIU, PENCATATAN &
PELAPORAN ................................................................................................................................................... 60
C. Monitoring dan Reviu atas Risiko, pengendalian dan penanganan risiko ........................... 84
A. LATAR BELAKANG
Suatu organisasi dalam mencapai tujuan dihadapkan pada kemungkinan kendala yang akan mengancam
tujuan tidak tercapai. Kemungkinan kendala tersebut dikenal dengan istilah risiko. Risiko yang tidak dikelola
dengan baik akan menjadi masalah, dan sudah menjadi hal umum bahwa masalah akan menjadi kerugian
bagi suatu organisasi. Oleh karena itu risiko harus dikelola dengan baik oleh organisasi, termasuk
organisasi sektor publik, diantaranya adalah instansi pemerintah. Pada sektor privat, pengelolaan risiko
lebih ditujukan pada pengelolaan risiko yang dapat menimbulkan kerugian bagi perusahaan, sehingga
berdampak pada menurunnya nilai kepemilikan para pemegang saham. Pada instansi pemerintah, sesuai
karakternya yaitu tidak mencari keuntungan, maka pengelolaan risiko tidak melulu ditujukan untuk
mengelola aspek finansial, tapi juga aspek layanan masyarakat. Tidak dikelolanya risiko pada instansi
pemerintah dapat berdampak pada masyarakat, misalnya kesejahteraan masyarakat, pengangguran,
kemiskinan, kesehatan, keamanan, lingkungan bahkan termasuk ancaman kedaulatan negara dan bangsa.
Oleh karena itu pengelolaan risiko pada sektor pemerintah, harusnya dilakukan secara sistematis dan
terstruktur agar dapat mengamankan tujuan bangsa dan Negara.
Pimpinan instansi pemerintah dan jajarannya bertanggung jawab mengelola risiko sesuai tugas, tanggung
jawab dan kewenangan yang dimilikinya. Instansi pemerintah dihadapkan pada lingkungan selalu berubah,
misalnya masyarakat menginginkan perbaikan, perkembangan teknologi meningkat, kegiatan menjadi
lebih kompleks, era globalisasi. Suatu perubahan dapat menjadi sumber risiko, setiap organisasi dituntut
untuk mampu mengelola risiko ini agar terhindar dari masalah sehingga tujuan tercapai secara efektif dan
efisien. Disisi lain perubahan adalah peluang untuk menjadi lebih baik, sehingga bila pemerintah mampu
memanfaatkan peluang sambil mengelola dampak negatifnya, maka perbaikan berkelanjutan terhadap
layanan masyarakat dapat dicapai. Oleh karena itu, sudah menjadi tuntutan bagi instansi pemerintah untuk
menerapkan manajemen risiko, agar mampu mengelola risiko secara terstruktur dan sitematis.
Pelatihan ini memberikan peserta pengetahuan untuk mampu menerapkan proses risiko. Hal-hal yang
akan dibahas dalam mata pelatihan ini adalah konsep menajemen risiko, tahapan dan proses manajmen
risiko dan evaluasi serta pelaporan manajemen risiko.
Alokasi waktu pembelajaran adah 50 JP @45 menit atau 225 menit. Pembelajaran dapat dilakukan secara
tatap muka langsung atau dengan jarak jauh.
B. KOMPETENSI DASAR
Setelah mengikuti pembelajaran ini, peserta diharapkan mampu menjelaskan konsep manajemen risiko
dan menerapkan proses manajemen risiko secara sistematis dan terstruktur.
D. SISTEMATIKA MODUL
Tinjauan Diklat
Bagian ini berisi latar belakang disusunnya modul, tujuan pembelajaran, indikator keberhasilan, sistematika
modul, dan petunjuk penggunaan modul.
Bagian ini menguraikan kasus gagalnya mengelola risiko pada organisasi sektor publik, yang berdampak
kerugian yang cukup besar pada masyarakat banyak.
Bab ini menguraikan konsep risiko dan konsep manajemen risiko yang terdiri dari prinsip
manajmen risiko, kerangka kerja manajemen risiko serta tahapan dalam proses manajemen
risiko. Bab ini juga menguraikan penerapan manajemen risiko di sektor publik, serta menguraikan
budaya manajemen risiko dan struktur manajemen risiko.
Bab ini menguraikan tahap awal dari proses MR, yaitu komunikasi dan konsultasi pada proses
MR dengan pendekatan RACI. Bab ini juga membahas penetapan konteks ketika akan
melakukan prose MR, meliputi penetapan lingkup MR, konteks tujuan, lingkungan internal dan
eksternal serta kriteria penilaian risiko.
Bab ini menguraikan proses penilaian risiko, yang terdiri dari identifikasi, analisis, dan evaluasi
risiko. Pada tahap ini diuraikan metodologi untuk mengidentifikasi risiko, menilai kemungkinan
dan dampak serta mengevaluasi risiko. Dengan dilakukan penilaian risiko maka akan diperoleh
sekumpulan risiko yang menjadi prioritas untuk di kelola. Bab ini juga memberi contoh
dokumentasi atas proses penilaian risiko adalah risk register.
Bab IV : Proses MR – Penanganan Risiko, Monitoring & Review, Pencatatan dan Pelaporan
Bab ini menguraikan proses penanganan risiko, yaitu proses pengambilan keputusan agar risiko
tinggi yang diprioritas dapat diturunkan nilainya. Bab ini juga menguraikan kegiatan monitoring
dan review, serta pencatatan dan pelaporan. Kegiatan monitoring yang diuraikan adalah
monitoring atas penanganan yang telah dilaksanakan, dan review atas efektifitas dari
penanganan tersebut.
Bab ini menguraikan contoh proses penilaian MR dalam suatu instansi pemerintah (pemda),
meliputi kegiatan MR saat perencanaan , saat pelaksanaandan pengambilan keputusan, dan saat
terdapat perubahan.
Bab ini menguraikan monitoring dan evaluasi pada kerangka kerja, monitoring dan evaluasi pada
kegiatan Proses manajemen risiko, monitoring serta evaluasi atas risiko, pengendalian dan
penanganan risiko. Evaluasi kerangka kerja dilakukan untuk perbaikan berkelanjutan atas
manajemen risiko secara keseluruhan dengan melakukan penilaian maturitas. Sedang
monitoring dan evaluasi pada proses MR dilakukan untuk perbaikan proses MR.
E. METODOLOGI PEMBELAJARAN
Metode yang digunakan untuk mencapai tujuan pembelajaran menggunakan pendekatan andragogi.
Pendekatan ini disebut pendekatan pembelajaran orang dewasa mengingat peserta didik adalah orang
yang telah memiliki pengalaman dan pengetahuan sebelumnya (prior knowledge) terkait dengan
beberapa bagian dari materi diklat.
Oleh karena itu, metode pembelajaran ini menggunakan kombinasi proses belajar mengajar dengan cara
ceramah, tanya jawab, diskusi, serta latihan soal dan studi kasus.
Modul ini digunakan bersamaan dengan buku kerja untuk mata ajar yang sama. Para peserta diklat
diharapkan mempelajari secara mandiri berbagai konsep dan teori yang diuraikan dalam modul ini.
Ilustrasi dan contoh dapat digunakan sebagai bahan untuk mengerjakan latihan yang disajikan pada buku
kerja.
Gonjang-ganjing PT Asuransi Jiwasraya kembali mencuat pada awal Februari 2019. Perusahaan yang
berdiri sejak zaman kolonial Belanda dan memiliki sekitar tujuh juta nasabah ini harus menunda
pembayaran klaim asuransi dari nasabah JS Saving Plan mereka senilai Rp 802 miliar.
JS Saving Plan yang diluncurkan lima tahun lalu merupakan produk asuransi PT Asuransi Jiwasraya yang
dibalut dengan investasi. Nasabah cukup membayar Rp 100 juta di awal dan bisa menarik imbal hasil
dengan persentase tinggi setelah investasi mengendap satu tahun, serta langsung memperoleh
perlindungan asuransi selama lima tahun penuh. Sebanyak 17 ribu nasabah ikut dalam program JS Saving
Plan. Premi asuransi yang diperoleh perusahaan melejit dalam waktu singkat, tapi menimbulkan
permasalahan besar ketika klaim-nya mulai jatuh tempo di bulan Oktober 2018.
Lampu kuning sebetulnya sudah dinyalakan oleh Badan Pemeriksa Keuangan (BPK) lewat laporan hasil
pemeriksaan 2016. Saat itu, BPK telah mendeteksi investasi yang tak wajar, yakni pembelian saham PT
Trikomsel Oke Rp 449, 5 miliar, PT Sugih Energy Rp 318,1 miliar, dan PT Eureka Prima Jakarta Rp 118
miliar. BPK menilai pembelian saham-saham ini kurang cermat karena fundamental perusahaan itu
sebetulnya kurang bagus. Selain itu, perusahaan juga berinvestasi hingga Rp 6,3 triliun untuk saham PT
Inti Agri Resources lewat reksa dana. BPK memberikan catatan: investasi pada satu saham dengan nilai
cukup besar ini bisa menimbulkan potensi gelembung (bubble). Kisruh PT Asuransi Jiwasraya pun
terungkap ke publik karena laporan keuangan perusahaan unaudited tahun 2017 yang awalnya mencatat
laba bersih Rp 2,4 triliun harus direvisi. Dalam hal ini, kantor akuntan publik Pricewaterhouse Coopers
(PwC) merevisi auditnya, sehingga laba bersih perusahaan menciut menjadi Rp 360 miliar saja.
Temuan Badan Pemeriksa Keuangan. Tiga tahun lalu, BPK telah mengungkap potensi terjadinya hal di
• pengelolaan dan pengawasan properti investasi PT Asuransi Jiwasraya tidak sesuai dengan
ketentuan dan tidak memberikan kontribusi pendapatan yang optimal;
• pengelolaan dan pengawasan atas aset lain pun dinilai tidak mengikuti kaidah;
• kerja sama sewa lahan tahun 2001 yang belum memperhitungkan penyerahan lahan fasilitas sosial
dan umum serta kurang memadai;
Pada saat yang sama, BPK telah menyalakan sinyal lampu kuning dan menyebutkan bahwa PT Asuransi
Jiwasraya berpotensi menghadapi risiko gagal bayar atas transaksi investasi pembelian surat utang jangka
menengah atau Medium Term Note (MTN) PT Hanson International. BPK mempertanyakan kebijakan
manajemen yang menjadikan perusahaan sebagai investor terbesar yaitu 97,14 persen di instrumen
investasi tersebut dengan melakukan penempatan saham sebesar Rp 680 miliar. Padahal BPK menilai
bahwa PT Hanson International merupakan perusahaan yang tidak berkinerja baik. Berdasarkan laporan
laba-rugi perusahaan, pendapatan dan laba bersih perusahaan relatif tidak besar, bahkan merugi cukup
besar pada tahun 2013.
Achsanul Qosasi (Majalah Berita Mingguan TEMPO 17 Februari 2019), anggota BPK yang saat itu
membawahkan audit tersebut, mengatakan temuan BPK tersebut sudah sangat tegas. “Kami minta
Jiwasraya mengganti investasinya ke saham-saham bermutu, yakni ke LQ45. Sudah dipindahkan Rp 1,5
triliun” ujar Achsanul.
Dalam kesempatan terpisah, Audit BPK yang dirilis pada Juli 2016 menemukan 16 masalah yang terkait
dengan pengelolaan bisnis asuransi, investasi, pendapatan, dan biaya operasional PT Asuransi Jiwasraya
sepanjang 2014-2015. BPK menyebutkan nilai pendapatan dari penyewaan aset properti milik PT Asuransi
Jiwasraya tidak signifikan dibandingkan dengan nilai asetnya. Setidaknya 471 penyewa pernah
menunggak pembayaran. Nilai sewanya tidak wajar bila dibandingkan dengan nilai aset dan harga sewa
setempat.
Saat itu, belum muncul kasus gagal bayar klaim karena pembayaran masih bisa ditutup dari setoran premi
nasabah baru. Tapi, menurut Anto Prabowo, OJK sudah memberikan peringatan. Jiwasraya harus segera
menyelesaikan masalah produknya. “Karena tinggal menunggu waktu bila tidak ditangani dengan baik.”
Dalam laporan pengawasan, OJK juga menemukan penempatan dana ke perusahaan yang merugi, seperti
PT Inti Agri Resources Tbk sebesar Rp 546 miliar dan PT Trada Maritime Tbk sebesar Rp 363 miliar.
Sikap Direksi PT Asuransi Jiwasraya. Hasil audit PwC keluar setelah tiga anggota direksi sebelumnya,
yakni Direktur Utama Hendrisman Rahim, Direktur Keuangan Hary Prasetyo, serta Direktur Investasi dan
Teknologi De Yong Adrian lengser per akhir Januari 2018. Trio ini menjabat dua periode sejak 2008.
Direktur Utama PT Asuransi Jiwasraya sekarang, Hexana Tri Sasongko, menerima bom waktu. Ia baru
diangkat OJK Oktober 2018 menggantikan Asmawi Syam yang belum sampai setahun memimpin PT
Asuransi Jiwasraya. Saat peralihan manajemen, kabar mengenai keuangan PT Asuransi Jiwasraya belum
merebak. Baru setelah Asmawi dan Hexana menerima laporan PwC, kejanggalan laba perusahaan yang
tercantum dalam laporan keuangan perusahaan 2017 mulai terkuak. Laba yang tadinya Rp 2,7 triliun
menciut menjadi Rp 328,44 miliar karena ada kenaikan cadangan premi. Menurut Hexana, perubahan laba
itu terjadi karena portofolio keuangan manajemen lama dikelola dengan risiko tinggi untuk mendapatkan
imbal hasil yang tinggi. Sedangkan aset perusahaan yang besar belum tentu menjanjikan profitabilitas
tinggi. “Sehingga dia akan memompa risiko,” ujar Hexana.
Hexana tidak menampik adanya temuan BPK dan OJK serta semua permasalahan PT Asuransi Jiwasraya
yang terungkap. Namun, beliau enggan berkomentar dengan alasan masalah itu sedang dalam proses
audit investigatif BPK. “Lebih baik menunggu hasil audit,” ujar beliau.
Saat ini, Hexana tengah sibuk menata kembali Jiwasraya, memilih berkonsentrasi ke depan sembari
Ke depan, Hexana berencana memangkas jumlah properti yang terserak sporadis di mana-mana. Saat ini,
perusahaan harus membayar pajak lebih mahal karena ada penilaian ulang terhadap aset properti
perusahaan beberapa tahun lalu.
Akibatnya, nilai aset-aset tersebut menjadi lebih tinggi. Di satu sisi, hal itu mempercantik laporan keuangan,
tapi di sisi lain perusahaan harus menanggung beban pajak yang lebih mahal. Karena itu, nantinya
perusahaan akan lebih mempertahankan aset yang komersial. “Mungkin akan kami kurangi propertinya,
karena setelah revaluasi, pembayaran PBB naik semua.”
Sikap direksi periode sebelumnya. Direksi sebelumnya yang dipimpin oleh Direktur Utama Hendrisman
Rahim, Direktur Keuangan Hary Prasetyo, serta Direktur Investasi dan Teknologi De Yong Adrian lengser
per akhir Januari 2018. Trio ini dikenal sebagai “The Legend” dan menjabat dua periode sejak 2008. Dua
dari tiga “The Legend” tersebut, yaitu Hendrisman Rahim dan Hary Prasetyo memberikan penjelasan
banyak hal kepada majalah tempo (sekitar 8 Februari 2019). Mereka datang ke kantor MBM TEMPO tetapi
menolak dikutip panjang-lebar. Secara singkat, mereka memastikan bahwa kekeliruan investasi bukan
penyebab limbungnya PT Asuransi Jiwas- raya. Manajemen lama menyebutkan perusahaan goyah karena
tak mampu lagi berjualan produk.
Sejak dinyatakan sehat pada 2013 oleh Menteri BUMN saat itu Dahlan Iskan, direksi lama sebetulnya
menyimpan diagnosis penyakit jangka panjang perusahaan. Sejak krisis 2008, manajemen lama
memprediksi PT Asuransi Jiwasraya - yang ketika itu membutuhkan dana Rp 6,7 triliun - baru betul-betul
sehat 17 tahun kemudian. Agar bisa bangkit, manajemen lama memakai aneka “jurus silat”. Makanya PT
Asuransi Jiwasraya tidak bisa dilihat sepotongsepotong,” ujar Hendrisman. “Harus diberi obat
berkesinambungan”. (MBM TEMPO 17 Februari 2018).
Sikap wakil pemegang saham. Sebagai BUMN (Badan Usaha Milik Negara), sikap dan pernyataan wakil
pemegang saham diberikan oleh Deputi Usaha Jasa Keuangan, Jasa Survei, dan Jasa Konsultan
Kementerian BUMN Gatot Trihargo yang mengatakan bahwa tidak berdisplinnya manajemen dalam
Menurut Gatot (MBM TEMPO tanggal 17 Februari 2019), manajemen terbiasa mengasumsikan semua
nasabah akan memperpanjang polis. Sedangkan dana besar itu tidak diinvestasikan pada produk-produk
yang cair. “Selisih antara cost of fund dan imbal hasilnya sangat dalam,” ucap Gatot.
Pemilik saham sudah lama menyoroti pengelolaan investasi perusahaan yang tak wajar. Jika menilik
laporan keuangan, tak terlihat Jiwasraya menyimpan demam sejak dahulu. Setiap kali akan ada RUPS
(Rapat Umum Pemegang Saham), kata Gatot, manajemen memoles laporan keuangan dengan
menempatkan saham yang tiba-tiba harganya tinggi di akhir bulan. “Semestinya yang dipakai adalah harga
saham berdasarkan fair market value, bukan harga pasar saja.”.(Praja et al., 2020)
Indikator Keberhasilan
Setelah mempelajari materi ini, peserta diklat diharap dapat menjelaskan konsep risiko, konsep
manajemen risiko, bangunan manajemen risiko yang terdiri dari prinsip, kerangka kerja dan proses;
serta juga memahami implementasi manajemen risiko yang meliputi budaya dan struktur manajemen
risiko.
A. KONSEP RISIKO
1. PENGERTIAN RISIKO
Definisi risiko
- ISO 31000: 2018 mendefinisikan risiko sebagai ketidakpastian yang berdampak pada sasaran.
- PP 60 tahun 2008 tentang SPIP mendefinisikan risiko adalah kemungkinan kejadian yang
mengancam pencapaian tujuan dan sasaran Instansi
Pemerintah.
Unsur Risiko
c. Dampak atau konsekuensi (jika terjadi, risiko akan membawa akibat atau konsekuensi/con
sequence)
d. Kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk proba-bilitas /
likelihood)
Risiko adalah suatu peristiwa. Suatu risiko tidak akan muncul tiba tiba, risiko muncul karena adanya suatu
kondisi yang menjadi sumber atau sebab risiko muncul. Dan suatu risiko, apabila terjadi akan menimbulkan
dampak, dan dampak ini akan mempengaruhi tujuan.
Kondisi Kemungkinan
Mempengaruhi TUJUAN
(SEBAB) peristiwa
(DAMPAK)
(RISIKO)
Gambar 1
Contoh:
Ani mengikuti diklat manajemen risiko untuk mampu mengelola risiko dalam menjalankan tugasnya di
kantor.
Maka, Tujuan Ani adalah: mampu menyusun laporan keuangan pemerintah daerah.
Saat ini, proses yang sedang dijalankan Ani untuk mencapai tujuan tersebut adalah mengikuti diklat, karena
saat ini di kantor sedang banyak kegiatan, Ani tetap diberi tugas oleh atasannya. Kemungkinan ia tidak
dapat fokus dalam pelatihan, sehingga ia tidak paham menyusun laporan keuangan pemerintah daerah.
Tujuan mampu menyusun laporan keuangan pemerintah daerah menjadi terganggu.
Peristiwa yang mungkin terjadi (risiko) : Tidak dapat fokus dalam pelatihan.
Kemungkinan risiko terjadi : Ani tetap diberi penugasan ketika mengikuti diklat.
Tetap diberi
Tidak fokus Tidak faham
tugas
(DAMPAK) Tidak mampu
(RISIKO) TUJUAN
(SEBAB)
Gambar 2
Masalah Ani, adalah peristiwa yang sudah terjadi yang menjadi pemicu risiko, yaitu: kegiatan di kantor
Ani banyak, dan bisa dipastikan Ani tetap diminta mengerjakan tugas kantor, meski sedang mengikuti
diklat.
Risiko Ani adalah peristiwa yang mungkin terjadi yang memengaruhi tujuan yaitu: Tidak fokus dalam
pelatihan.
Terdapat berbagai definisi tentang manajemen risiko diantaranya adalah sebagai berikut
coordinated activities to direct and control an organization with regard to risk (ISO31000:2018)
Manajemen risiko adalah proses sistematis dan terstruktur yang didukung budaya sadar risiko
untuk mengelola risiko organisasi pada tingkat yang dapat diterima guna memberikan keyakinan
yang memadai dalam pencapaian sasaran organisasi, yang bertujuan untuk: a) meningkatkan
kemungkinan pencapaian visi, misi, sasaran organisasi dan peningkatan kinerja; dan b) melindungi
dan meningkatkan nilai tambah organisasi.
The culture, processes and structures that are directed towards realizing potential opportunities
whilst managing adverse effects. (Whitfield, 2004).
Pada bangunan ini tampak terdapat 3 hal yang diatur dalam ISO, yaitu Prinsip, Kerangka kerja
dan Proses.
Gambar 4
Enterprise Risk Management (Williams, 2020)
Setiap organisasi dapat saja memilih salah satu dari metodologi pengembang manajemen risiko,
namun dalam modul ini, penjelasan pada bab bab selanjutnya akan mengacu pada ISO 31000.
Untuk menerapkan manajemen risiko yang terstruktur, ISO 31000 menetapkan prinsip sebagai
mana tertuang pada gambar 5. Prinsip Manajemen Risiko. Prinsip ini digunakan sebagai acuan
dalam mengimplementasikan kerangka kerja dan proses manajemen risiko.
Tujuan menerapkan manajemen risiko adalah menciptakan dan melindungi nilai organisasi.
Dengan menjalankan manajemen risiko, suatu organisasi seharusnya terlindungi dari kendala
dan masalah, serta memiliki kemampuan untuk menjadi lebih baik.
Gambar 5
ISO 31000
a. Prinsip Terintegrasi; manajemen risiko adalah bagian yang terintegrasi dari semua aktivitas
organisasi, misalnya dalam proses perencanaan strategis, penetapan anggaran, pelaksanaan
kegiatan dan pelaporan. Untuk itu diperlukan kebijakan formal yang mengkaitkan antara
manajemen risiko dengan sistem manajemen lainnya.
c. Prinsip Disesuaikan; kerangka kerja dan proses manajemen risiko disesuaikan dengan
konteks internal dan eksternal organisasi yang berkaitan dengan sasarnnya, untuk itu
diperlukan antara lain pemetaan konteks internal dan eksternal serta kerlibatan stakeholder-
nya, serta aturan yang harus ditaati.
d. Prinsip Inklusif; adanya pelibatan yang sesuai dan tepat waktu dari pemangku kepentingan,
sehingga pengetahuan, pandangan dan persepsi mereka dapat dipertimbangkan. Salah satu
penerpannya, adanya program pengkinian informasi kebutuhan dan harapan pemangku
kepentingan terhadap layanan organisasi.
f. Prinsip Informasi Terbaik yang Tersedia; manajemen risiko didasarkan pada informasi historis,
saat ini dan harapan masa depan. Untuk itu, organisasi perlu melakukan pemutakhiran data
secara berkala, kecukupan dan kualitas informasi juga dilakukan perbaikan terus menerus,
agar pimpinan dapat mengambil keputusan secara tepat waktu dan tepat sasarn.
g. Prinsip Faktor Manusia dan Budaya; manajemen risiko sangat dipengaruhi oleh faktor manusia
dan budayaOleh karena itu, organisasi perlu membangun budaya risiko dan mengkaitkan
kompetensi SDM nya dalam penerapan manajemen risiko.
h. Prinsip Perbaikan Berkelanjutan; untuk memperoleh hasil yang semakin baik, MR perlu
diperbaiki terus menerus; diantaranya dengan cara mengukur dan meningkatkan maturitas
level MR.
b. Kerangka kerja Terintegrasi; manajemen risiko merupakan bagian yang tidak terpisahkan dari
tujuan, tata kelola, kepemimpinan dan komitmen,
strategi, sasaran dan operasional organisasi.
Kerangka kerja terintegrasi, memastikan
penerapan manajemen risiko: (1) sudah
mempertimbangkan harapan dan tuntutan para
pemangku kepentingan, (2) merupakan bagian
terpadu dari tata kelola, dan (3) ditujukan untuk
capain jangka panjang dan jangka pendek.
e. Kerangka kerja Evaluasi; efektifitas kerangka kerja perlu dievaluasi untuk ditinjau ulang oleh
pimpinan organisasi. Evaluasi kerangka kerja mengukur kinerja kerangka kerja manajemen
risiko secara berkala terhadap tujuan, rencana implementasi, indikator dan perilaku yang
diharapkan; menentukan apakah kerangka kerja masih sesuai mendukung capain kinerja.
Proses manajemen risiko adalah aplikasi dari penerpan kebijakan, prosedur dan praktik MR yang
meliputi kegiatan: komunikasi, penetapan konteks, identifikasi risiko, evaluasi, dan penanganan
risiko, dan monitoring serta reviu risiko. Proses manajemen risiko diilustrasikan pada gambar 7
tentang Proses MR. Uraian lebih lanjut terkait proses manajemen risiko dilakukan pada sesi
terpisah.
Proses MR (ISO31000:2018)
(ISO31000:2018)
Organisasi publik adalah organisasi yang didirikan untuk memenuhi kebutuhan msyarakat akan jasa
publik dan layanan sipil. Undang-Undang No 14 tahun 2018 menyatakan bahwa sektor publik adalah
lembaga eksekutif, legislatif, yudikatif, dan sektor lain yang fungsi dan tugas pokoknya berkaitan
dengan penyelenggaraan negara yang sebagian atau seluruh dananya bersumber dari APBN
dan/atau APBD, atau organisasi non pemerintah sepanjang sebagian atau seluruh dananya
bersumber dari APBN dan/atau APBD, sumbangan masyarakat, dan/atau luar negeri. (MR Sektor
Publik ISO 31000_2018.Pdf, n.d.)
Karakter sektor publik yang utama adalah tujuannya mensejahterakan dan melayani masyarakat. Bagi
pemerintah Indonesia tujuan bernegara tercantum dalam pembukaan UUD 1945. Tujuan ini kemudian
diturunkan kepada instansi pemerintah sesuai tugas, tanggung jawab dan kewenangannya. Dalam
pelaksanaannya, masing-masing instansi bertanggung jawab untuk mencapai tujuannya secara
Pengelolaan risiko pada sektor pemerintahan diawali di Inggris pada tahun 2000, dengan membuat
dengan panduan pengelolaan risiko yaitu “The Orange Book: Management of Risk-Principles and
Concepts”, dan Green Book yang berisikan “Appraisal and Evaluation in Central Government”.
Di Amerika Serikat, pengelolaan risiko pada awalnya diatur oleh Department of Homeland Security,
pada tahun 2006 yang menerbitkan National Infrastructure Protection Plan, yang lebih menekankan
perlindungan risiko dalam aspek keamanan fisik. Dilanjutkan dengan General Accountability Office
pada tahun 2007 yang menerbitkan “Homeland Security: Applying Risk Management Principles to
Guide Federal Investments, GAO-07-386T” sebagai panduan bagi pembuat keputusan publik untuk
melakukan asesmen risiko, alokasi sumber daya dan melakukan tindakan dalam kondisi yang tidak
pasti (uncertainty).
Di Australia, standar yang digunakan adalah Australian /New Zealand Standard 4360:2004 Risk
Management dan dikembangkan terus menerus menjadi AS/NZS ISO 31000:2009, GRM
Framework/Guidelines, dan saat ini disesuaikan dengan ISO 31000-2018. Standar ini digunakan
sebagai acuan bagi setiap negara bagian untuk menyusun panduan Government Risk Management
Framework/Guidelines (GRM Framework/Guidelines).
1. “Pedoman Manajemen Risiko Berbasis Governance” yang diterbitkan oleh Komite Nasional
Kebijakan Governance (KNKG) pada tahun 2009.
Pengelola risiko dalam organisasi seharusnya adalah pemilik risiko, yaitu para pejabat dan pegawai yang
terlibat dalam pencapaian tujuan organisasi. Dalam kenyataannya para pemilik risiko terkadang terlalu
sibuk dengan mengeksekusi kegiatannya sehingga tidak memiliki waktu untuk menerapkan manajemen
risiko dengan lebih komprehensif. Oleh karena itu pemilik risiko dibantu oleh pihak lain yang tidak terlibat
langsung dengan kegiatannya, yaitu unit manajemen risiko untuk melaksanakan proses manajemen risiko,
serta menjadikan manajemen risiko integratif dalam suatu organisasi. Selain itu untuk menjamin bahwa
manajemen risiko telah diterapkan sesuai yang di tetapkan dalam kebijakan organisasi, maka pihak yang
independen yaitu auditor internal melakukan proses penjaminannya. Pemilik risiko, unit manajemen risiko
dan auditor internal merupakan tiga pihak yang terlibat dalam penerapan MR, struktur antara 3 pihak
tersebut oleh IIA (the Institute of Internal Auditors) dituangkan dalam konsep The Three lines Model.
Three lines model IIA tersebut, diadopsi di Indonesia pada ISO 31000 untuk sektor publik sebagaimana
gambar 9
Gambar 9
Adopsi ISO 3100 untuk sector public Indonesia
b. Menetapkan profil risiko kunci kementerian serta rencana mitigasinya berdasarkan sasaran
strategis kementerian secara tahunan.
b. Menyusun dan menetapkan risiko kunci pada unit operasional Es 1 dan risiko di es 2 terutama
yang berkarakteristik sama atau homogen
c. Menyusun, menetapkan dan melaporkan profil risiko, beserta rencana mitigasinya berdasarakan
sasaran strategis unit operasional ybs.
d. Menginformasikan risiko risiko kunci kementerian pada unit operasional es 1, dan ditinkat es 2
yang homogen , serta rencana mitigasi yang relevan pada seluruh unit operasional.
e. Memantau dan melaporkan tingkat actual risiko kunci dan pelaksanaan mitigasinya atas risiko
kunci pada unit operasional, serta pelaksanaan mitigasi risiko kunci Lembaga/kementerian pada
unit opersional terkait.
f. Menelaah rekomendasi dari inspektorat jenderal kepada unit unit operasional bersangkutan dan
menentukan tindak lanjutnya
E. PROSES MR
Proses MR, diawali dengan menetapkan bagaimana pola komunikasi dan konsultansi yang akan
diterapkan, lalu menetapkan konteks dengan cara memindai lingkungan internal dan eksternal, selanjutnya
melakukan penilaian risiko yang dilaksanakan dengan kegiatan, identifikasi, analisis, dan evaluasi risiko,
sehingga diperoleh informasi risiko yang harus dipriioritaskan. Kegiatan selanjutnya adalah menetapkan
rencana penanganan risiko, dan terakhir memantau dan mereview proses MR yang telah diterapkan.
Proses MR pada bangunan ISO 31000 digambarkan sebagai berikut.
Proses MR (ISO31000:2018)
Definisi Budaya risiko, salah satunya dikemukakan oleh KPMG sebagai berikut: “risk culture as the norms
of behavior for groups and individuals within an organization that determine the collective ability to identify,
openly discuss, understand, and act on the organizations current and future risk.” (HUSSAINI et al., 2018).
Budaya manajemen risiko dibangun untuk menjadikan semua pegawai merasa menjadi bagian integral dari
proses organisasi; mereka bersedia untuk berpartisipasi dalam penerapan sistem manajemen risiko; dan
ini mutlak diperlukan untuk mendukung manajemen dengan semua informasi yang diperlukan tentang
ketidakpastian atau ancaman untuk mengambil keputusan yang tepat.
1. Tone from the top; tauladan dan komitmen dari pimpinan (Tone from the top) untuk selalu menerapakan
manajemen risiko dalam langkah tindaknya.
2. Accountabilty; setiap pegawai dilibatkan untuk melaksanakan manajemen risiko, dan memformalkan
tanggungjawab manajemen risiko dalam job description pegawai.
3. Effective communication and challenge; organisasi perlu membangun komunikasi vertikal (antara
pejabat yang lebih tinggi dengan pejabat di bawahnya) dan komunikasi horizontal (komunikasi antar
pejabat, antar fungsi, dan antar kegiatan) sehingga informasi risiko, pengendalian dan penangannya
menjadi efektif.
4. Incentive; benefit dan reward yang baik bagi para pihak yang terlibat dengan manajemen risiko, akan
memotivasi penerapan manajemen risiko untuk mengelola risiko saat ini dan risiko di masa yang akan
datang.
ISO 31000:2018 SNI menguraikan bahwa budaya risiko dibangun dengan komitmen pimpinan organisasi
melalui 8 inisiatif kegiatan, yaitu:
1. Komitmen pimpinan dan manajemen puncak, ditunjukkan dengan selalu mempertimbangkan risiko
dalam pengambilan keputusan dan Tindakan, hal ini akan menjadi tauladan bagi seluruh pegawai
yang ada. Komitmen pimpinan juga ditunjukkan dalam memastikan sumber daya yang memadai
dalam penerapan manajemen risiko.
2. Edukasi; pelatihan kepada seluruh pegawai dan litra eksternal yang terlibat dalam proses bisnis,
menjadikan mereka tahu dan sadar akan manajemen risiko.
3. Praktik; kegiatan berbagi pengetahuan dan pengalaman mengenai MR antar karyawan, atau dengan
karyawan organisasi lain, akan meningkatkan pengetahuan dan kesadaran serta kemampuan dalam
penerapan MR.
4. Komunikasi; komunikasi berkelanjutan terkait pentingnya MR, pelaksanaan MR, proses MR, profil
risiko, peta risiko dan mitigasi risiko, akan meningkatkan dukungan dan keterlibatan para pegawai dan
pihak pihak terkait.
5. Pencatatan: prosedur pengelolaan risiko didokumentasikan dan disosialisasikan, untuk
diimplementasikan dalam keseharian pengambilan keputusan. Hasil penerapan MR juga dicatat,
dilaporkan dan didokumentasikan untuk dilakukan evaluasi dalam rangka perbaikan berkelanjutan.
Indikator Keberhasilan
Setelah mempelajari materi ini, peserta diklat diharap mampu merancang komunikasi dan konsultasi
dalam proses MR, serta menetapkan konteks lingkup, pemindaian lingkungan internal dan eksternal,
serta menetapkan kriteria penilaian risiko, untuk diterapkan dalam proses MR
Proses manajemen risiko dilakukan untuk mendapatkan pemahaman dan kesepakatan tentang risiko
tertinggi pada organisasi dan bagaimana risiko tersebut dikelola. Dengan proses manajemen risiko akan
diperoleh informasi risiko yang berpotensi paling signifikan bagi organisasi dan pengaruhnya terhadap
tujuan organisasi.
Proses manajemen risiko seharusnya terpadu dengan proses manajemen secara keseluruhan khususnya
manajamen kinerja serta sistem pengendalian intern, serta menyatu dalam budaya organisasi, oleh karena
itu pada proses manajemen risiko, komite risiko dan unit manajemen risiko perlu mengikutsertakan pejabat
dan pegawai kunci terkait.
Proses manajemen risiko meliputi kegiatan yang sistematis, berurutan dan iteratif, mulai komunikasi dan
konsultasi, penetapan konteks dan kriteria, penilaian risiko (identifikasi, analisis dan evaluasi),
penanganan/perlakuan risiko, pencatatan dan pelaporan serta pemantauan dan review.
Komunikasi dan konsultasi ditujukan untuk membantu para pemangku kepentingan yang relevan
memahami risiko, dasar mengambil keputusan dan alasan mengapa suatu tindakan diambil. Komunikasi
ditujuan untuk mendorong kesadaran dan pemahaman risiko, sedang konsultasi ditujuan untuk mencari
umpan balik dan informasi pendukung untuk mengambil keputusan.
Dengan kegiatan informasi dan konsultasi diharapkan diperoleh informasi yang faktual, tepat waktu,
relevan, akurat dan dapat dipahami. Proses informasi dan konsultasi tetap harus mempertimbangkan
kerahasiaan, integritas informasi dan privasi individu.
Kegiatan komunikasi dan konsultasi dengan pemangku kepentingan internal dan eksternal yang tepat,
sebaiknya dilakukan selama proses manajemen risiko.
4. Membangun rasa keterlibatan dan kepemilikan di antara para pihak yang terpengaruh dengan
risiko.
ISO 31000 menyatakan bahwa dalam proses komunikasi dan konsultasi, pimpinan dan manajemen
puncak memastikan setidak-tidaknya:
- Metode komunikasi dan konsultasi yang tepat bagi masing-masing pemangku kepentingan; dan
- Proses aktivitas komunikasi dan konsultasi terdokumentasikan sehingga dapat ditelusuri dan
dijadikan rujukan.
Salah satu metodologi yang digunakan pada tahap ini adalah dengan menggunakan RACI matrix.
No. Tahap Proses MR Pimpinan Pejabat Pejabat Pejabat Unit MR auditor Exsternal
Organisasi Es 1 Es 2 Es 3 internal stakeholder
1 Persiapan A
I C R C
2 Komunikasi & Konsultasi I I A R C C I
3 Menentukan konteks I A R R C C I
4 Assessment risiko :
Identifikasi risiko I A R R C C
Analisis risiko I A R R C C
Evaluasi risiko I A R R C C
5 Perlakuan risiko I A R R C C/I C/I
Keterangan:
ENTITAS ES 1 ES 2
LINI KE 2 /UNIT MR KEPALA BIRO MKOT KEPALA BIRO MKOT BIRO MKOT
n
Koordinator
No. Tahap Proses MR Pemilik pengelola Lini ke 2 Auditor internal Exsternal
pengelola
(MKOT) stakeholder
1 Persiapan R A
I A I
2 Komunikasi & Konsultasi I A R C/I I I
3 Menentukan konteks A R R C/I I I
4 Assessment risiko :
1. Penetapan Lingkup MR
Proses manajemen risiko dapat diterapkan pada berbagai lingkup, misalnya strategis, operasi,
program, proyek, atau kegiatan, sebagaimana tampak pada gambar 10. Oleh karena itu perlu
ditetapkan lingkup cakupannya, tujuan/sasaran yang akan diamankan, serta keselarasan dengan
tujuan/sasaran organisasi.
Gambar 10
Lingkup Manajemen Risiko
TUJUAN
TARGET SASARAN
NAMA UPR
LOKASI …..
Penetapan lingkup, merupakan sarana persiapan dalam pelaksanaan proses manajemen risiko,
oleh karena itu perlu juga ditetapkan struktur yang akan melaksanakan proses manajemen risiko
tersebut agar terdapat kejelasan kewenangan dan tanggungjawabnya.
STRUKTUR MR
PEMILIK RISIKO
KOORDINATOR MR
ADMINISTRATOR MR
ANGGOTA TIM
ANGGOTA TIM
PROSES PENGAMBILAN
…..
KEPUTUSAN
Proses penetapan konteks adalah proses untuk mengenali lingkungan internal dan eksternal, hal
ini karena risiko disebabkan oleh suatu pemicu, dimana pemicu tersebut bisa dari internal atau
eksternal, atau bahkan sebaliknya risiko yang terkait dengan tujuan yang diamankan, mungkin
akan berdampak sasaran organisasi yang lebih tinggi, atau aktifitas lain dalam organisasi.
Dengan memahami proses suatu kegiatan, maka proses penilaian risiko akan mudah
dilaksankan, karena pada proses tersebut telah melekat suatu risiko yang disebut risiko
inheren, atau risiko bawaan. Suatu kegiatan umumnya dilakukan dengan rangkaian Input-
Proses-Output (IPO), dan pada setiap tahapan tersebut kemungkinan risiko dapat saja
terjadi.
money proses 1
tujuan
proses proses
method
machine,
material 3 2
Contoh risiko pada input: SDM sakit, pemotongan anggaran, mesin rusak, SOP tidak sesuai
dengan perubahan lingkungan.
Contoh risiko pada proses layanan publik: masyarakat tidak mengetahui persyaratannya,
masyarakat mengabaikan ketentuan yang ada.
Contoh risiko pada output: output yang dihasilkan tidak digunakan, output kadaluarsa.
Pembuatan konteks proses dapat dilakukan dengan menggambarkan alur proses, misalnya
dengan menggunakan flowchart.
Pada tahap ini dilakukan pemindaian untuk memastikan kekuatan dan kelemahan internal
serta kekuatan dan kelemahan eksternal yang kan mempengaruhi tujuan.
Pada lingkungan internal yang perlu diidentifikasi adalah kondisi sumber daya yang digunakan,
yaitu man, money, method, material dan machine. Kelemahan pada sumber daya akan
menjadikan sumber risiko; misalnya jumlah sumber daya manusia (SDM) yang sedikit,
sementara jumlah pelanggan banyak, akan mengakibatkan risiko pegawai lelah dan mudah
sakit, sehingga tujuan tidak tercapai. Kondisi ini akan menjadikan nilai risiko menjadi tinggi;
dibandingkan ketika kondisi jumlah SDM memadai.
Pemetaan dan perlakuan kepada stakeholder dapat digambarkan pada matrik berikut.
Gambar 12
Matrik Tipologi Pemangku Kepentingan
Kriteria risiko perlu ditetapkan untuk mengevaluasi signifikasi risiko dan untuk mendukung proses
pengambilan keputusan. Kriteria risiko sebaiknya selaras dengan kerangka kerja manajemen risiko
dan disesuaikan dengan tujuan khusus dan cakupan lingkup proses manajemen risiko.
g. Kapasitas organiisasi.
Kriteria risiko yang ditetapkan dapat terdiri dari kriteria atau jenis risiko, penilaian kemungkinan
dan dampak, tingkat selera risiko (risk appetite), dan level risiko.
Berikut jenis risiko yang dapat dijadikan referensi bagi organisasi untuk mengelompokkan jenis
risiko organisasinya. Kriteria risiko yang diuraikan pada ISO 31000 adalah sebagai berikut.
2 Risiko belanja Risiko yang disebabkan oleh kegagalan organisasi dalam penyerapan
belanja negara yang tidak sesuai proyeksi. (proporsionatitas
penyerapan), atau tidak sesuai dengan sasaran penggunaan.
5 Risiko fraud Risiko yang disebabkan oleh kecurangan yang disengaja yang
merugikan keuangan negara. Fraud meliputi: penggelapan aset
(barang milik negara atau kas dan setara kas), korupsi (suap-
menyuap, gratifikasi, dan lain-lain) serta manipulasi laporan kinerja
dan keuangan.
CATATAN: Dalam merancang kategori risiko, setiap organisasi tidak harus menggunakan jumlah
dan jenis kategori yang sama. Hal ini tergantung oleh tingkat atau ukuran setiap organisasi sektor
publik.
Selain contoh di atas, berikut jenis risiko yang dapat dijadikan referensi bagi organisasi untuk
mengelompokkan jenis risiko organisasinya.
Kriteria penilaian kemungkinan dan dampak, ISO 3001 mencontohkan sebagai berikut.
Kriteria risiko juga digunakan untuk menetapkan tingkat risk appetite, yaitu tingkat yang dapat
diterima. Risiko yang melebihi batas risk appetite wajib dimitigasi. Sebagai contoh, ISO 31000
menguraikan sebagai berikut.
4 Risiko Strategis ≥9
5 Risiko Fraud ≥4
6 Risiko Kepatuhan ≥9
Indikator Keberhasilan
Setelah mempelajari materi ini, peserta diklat diharap dapat melaksanakan proses penilain risiko, yang
meliputi kegiatan identifikasi risiko, analisis risiko dan evaluasi risiko.
Penilaian risiko adalah tahapan setelah kita menetapkan konteks, terdiri dari kegiatan Identifikasi risiko,
analisis risiko, dan evaluasi risiko. Dengan input data yang dikumpulkan pada saat penetapan konteks,
kegiatan penilaian risiko akan mengolah data tersebut sehingga diperoleh daftar risiko sesuai prioritasnya
dan perlakuan untuk masing masing risiko tersebut.
A. IDENTIFIKASI RISIKO
Kegiatan identifikasi risiko adalah kegiatan menginventarisir peristiwa, penyebab dan dampak dari
peristiwa risiko yang dapat menghalangi, menurunkan atau menunda pencapaian tujuan organisasi.
Hasil kegiatan identifikasi risiko adalah daftar peristiwa yang mungkin terjadi, beserta informasi
lainnya, antara lain: sumber risiko, dampak terhadap tujuan/sasaran, waktu. Informasi lain yang
dianggap perlu dapat ditambahkan pada saat mengidentifikasi ini, sebagaimana contoh pada tabel 1.
Tahap identifikasi menggunakan informasi pada hasil kegiatan penetapan konteks proses,
stakeholders, dan lingkungan internal dan eksternal, dan tahap ini, tidak hanya menginventarisir
peristiwa yang mungkin terjadi, namun juga mengidentifikasi sumber risiko.
1. SUMBER RISIKO
a. Risiko internal yakni risiko yang bersumber dari internal organisasi yang dapat dikategorikan
dalam non-technical risk (manusia, material, keuangan)
b. Risiko internal yang bersifat teknis atau technical risk (terkait dengan metodolgi yang
digunakan).
• tidak tercapai
• proses • Risiko Internal • tercapai sebagian
• stakeholder teknis
• Risiko internal
• terlambat
• lingkungan internal
nonteknis • tidak tepat mutu
• lingkungan eksternal • pemborosan
• Risiko eksternal
• hilangnya peluang
2. PERNYATAAN RISIKO
Pernyataan risiko sebaiknya terdiri atas informasi “apa yang mungkin terjadi, kapan terjadi,
dimana, kapan, bagaimana terjadinya, dan mengapa terjadi.”
Risiko gagal panen hasil pertanian mungkin terjadi di desa Asri pada bulan Desember 20x0,
karena saat itu terdapat cuaca ekstrem, dan desa tersebut merupakan daerah dengan curah
hujan tertinggi; hal ini mengakibatkan petani tidak memperoleh penghasilan dan daya beli
masyarakat menurun karena harga hasil pertanian yang tinggi.
Jika suatu proses manajemen risiko pernah dilakukan dan telah menghasilkan catatan daftar
risiko, maka daftar ini dapat dijadikan sebagai daftar risiko organisasi (risk library) sebagai acuan
di masa yang akan datang, dan pihak yang melakukan proses identifikasi pada tahun kedua dan
seterusnya hanya diminta untuk mencentang formulir, metodologi ini yang disebut dengan
metode check list.
Yang perlu diperhatikan ketika identifikasi risiko, adalah kita memprediksi peristiwa di masa yang
akan datang, dengan mempertimbangkan informasi di masa lampau dan saat ini, atau informasi
pada kegiatan sejenis, serta kondisi yang akan dihadapi di masa yang akan datang. Karena bisa
saja suatu risiko di masa lampau, namun tidak terjadi di masa yang kan datang. Atau sebaliknya,
dimasa lampau bukan risiko, namun mungkin menjadi risiko dimasa yang akan datang.
a. Tentukan sasaran yang akan diidentifikasi risikonya, sasaran harus bersifat Specific,
Measurable, Agreeable, Realistic, Time-bounded, dan Continuously improved (SMART-C).
b. Tentukan hasil pada setiap mata rantai tahap proses mencapai sasaran.
2) Tetapkan pegawai atau pihak-pihak yang tepat untuk dilibatkan dalam mengidentifikasi.
3) Gunakan teknik dan tools yang telah ditetapkan, untuk mengidentifikasi risiko.
Alternatif metodologi dalam identifikasi risiko antara lain adalah sebagai berikut.
1) Brainstorming
Metodelogi dengan melakukan diskusi diantara para pihak yang terkait dan kompeten.
2) Check list
Metodologi dengan melakukan cek atas risiko yang tepat dari suatu daftar.
3) Delphi
Metodologi dengan meminta pendapat secara tertulis dari beberapa ahli yang tidak saling
mengetahui pendapat pihak lainnya, lalu pendapat mereka disebar ke ahli lainnya untuk
diminta pendapatnya kembali. Proses pengulangan bisa berlangsung beberapa kali.
Metode ini digunakan untuk mencari akar sebab masalah, salah satunya yaitu dengan cara 5
why’s, yaitu menanyakan sebab hingga 5 kali.
Misalnya.
Jawabannya adalah sebab 1, misalnya: lapangan kerja terbatas jumlah penduduk meningkat.
Why 3: mengapa pertumbuhan ekonomi tidak sebanding dengan jumlah sumber daya
manusia yang ada?
Dengan analisis 5 why’s, maka diperoleh sebab tingginya pengangguran karena kurangnya
infrastruktur di desa.
Metode ini sering juga di sebut dengan nama fishbone analysis, karena analysis nya
menyerupai tulang ikan. Dimana factor penyebabnya yang dianalisis bisa lebih dari satu.
Gambar 13
Fishbone Analysis
REF https://lspmks.co.id/wp-content/uploads/2020/03/Cause-and-Effect-Analysis.pdf
(Sebab-dan-akibat, n.d.)
Metode FMEA menganalisis permasalahan yang mungkin akan muncul pada suatu produk
atau jasa, dan bila permasalahan ini muncul, maka apa dampaknya. Pada dunia industri,
istilah FMEA bisa diartikan sebagai suatu metode analisa potensi kegagalan yang dilakukan
sebelum design produk direalisasikan dan atau sebelum produksi massal dimulai.
Gambar 14
Fault Tree Analysis (hank marquis, 2008)
Contoh
Periode
Deskripsi atau No. HP E-mail
Kode N Kategori Unit Kerja / Identifik Dampak Pemilik Jabatan Pemilik
Sasaran Kejadian Akar Penyebab Indikator Risiko Pemilik Pemilik
Risiko o. Risiko Fungsi asi Kualitatif Risiko Risiko
Risiko Risiko Risiko
Risiko
1. peserta yang
menghasilk 1. Pengajar sulit 1. nilai peserta dari
Strategy lulus tidak
an auditor Salah dalam mengajar sambil menilai pengajar relatif sama
and Tahun kompeten (812) 973-
PI-003 3 renbang internal memberikan keaktifan peserta diklat 2. jumlah peserta per Dr Agus Kabid Renbang
Planning 2020 2. reputasi 5510
yang penilaian 2. jumlah peserta yang kelas yang melebihi
Risk profesi internal
profesional dinilai banyak standar
auditor
Tabel 3.
Identifikasi Risiko
Jenis risiko dapat dilihat dari persepsi pembaca, sehingga satu risiko dapat dikelompokkan pada
jenis yang berbeda antara satu orang dengan orang lain. Oleh karena itu, setiap organisasi, perlu
menetapka jenis risiko yang sesuai dengan karakter organisasi, dan memberikan penjelasan yang
cukup untuk tiap jenis risikonya.
Secara umum berikut adalah Risiko yang terdapat pada sektor pemerintah, antara lain yaitu:
1. Risiko kesehatan;
2. Risiko keamanan
3. Risiko keuangan
Pemerintah bertanggungjawab agar tetap memiliki dana dalam menjalankan operasinya, serta
bertanggungjawab untuk menjalankan perekonomian negara. Oleh karena itu pemerintah wajib
mengelola risiko fiscal dan risiko moneter.
Tujuan bernegara adalah kesejahteraan masyarakat, oleh karena itu pemerintah wajib
mengelola segala risiko yang menjadikan masyarakat tidak sejahtera, setidaknya risiko yang
menjadikan masyarakat tidak mampu memenuhi kebutuhan pokoknya misalnya risiko
pengangguran, risiko kelangkaan sembako, risiko ketidakmampuan memiliki tempat tinggal,
7. Risiko politik
Pemerintah wajib melindungi masyarakat dari risiko yang timbul dari aspek politik sehingga
masyarakat kehilangan hak demokrasinya, atau risiko atas kecurangan atau ketidak adilan dari
politik yang dijalankan.
8. Risiko Hukum
Bencana alam merupakan risiko yang tidak dapat ditolak, namun pemerintah wajib
meminimalisir baik kemungkinan maupun dampaknya, misalnya bencana banjir, bencana
gempa bumi, gunung meletus, bencana paceklik, atau bencana lainnya.
6. RISIKO KECURANGAN
Dalam COSO internal control tahun 2013, dinyatakan pada unsur penilaian risiko, terdapat risiko
yang juga harus dinilai yaitu risiko teknologi informasi serta risiko kecurangan (fraud risk).
Risiko IT dapat bersifat sangat teknis, oleh karena itu dalam mengidentifikasi risiko ini sebaiknya
melibatkan ahli yang kompeten terkait IT.
Risiko fraud adalah suatu risiko yang memenuhi kriteria fraud, yaitu risiko yang disebabkan oleh 3
kondisi atau sering dikenal dengan fraud triangle, yaitu tekanan, pembenaran (rasionalisasi),
kesempatan.
Tekanan atau pressure adalah motivasi seseorang berbuat curang karena adanya tekanan,
misalnya: tuntutan gaya hidup, beban hutang, keserakahan, perilaku terlarang (judi, narkoba,
selingkuh), atau bahkan tuntutan dari atasan atau lingkungan.
Pembenaran (rasionalisasi) adalah sikap, karakter, atau sistem nilai yang digunakan oleh pelaku
dengan cara mencari pembenaran atas perbuatan curangnya. Contoh alasan pembenaran:
- Gaji rendah sedangkan beban kerja tinggi, masa kerja sudah lama, dan merasa berhak
mendapatkan lebih dari yang diperoleh saat ini
Kesempatan yaitu situasi yang membuka kesempatan/peluang pelaku secara leluasa untuk
melakukan kecurangan. Peluang umumnya muncul karena pengendalian internal perusahaan yang
lemah, ketidakdisiplinan, kurangnya pengawasan dan penyalahgunaan wewenang, serta sikap
apatis yang dilakukan antar pegawai.
Dengan mengetahui sebab dari fraud, maka organisasi dapat melakukan pengendalian atas fraud
dengan tepat. Kegiatan penilaian risiko fraud terkadang dilakukan secara khusus dan biasa disebut
risk fraud assessment.
B. ANALISIS RISIKO
Kegiatan analisa risiko ditujukan untuk memahami sifat risiko dan karakteristiknya, sehingga didapat
pemahaman seberapa besar risiko tersebut dilihat dari sudut kemungkinan dan dampaknya.
Terdapat berbagai cara untuk menilai kemungkinan dan dampak, diantaranya adalah sebagai
berikut.
expected value adalah estimasi nilai dampak yang kita peroleh dari rata-rata pengalaman
masa lampau.
misalnya kita ingin mengetahui, berapa jumlah pendaftar layanan yang membatalkan
registrasinya, maka kita bisa menghitung dengan rata-rata pengalaman masa lampau.
Pada kerugian yang bernilai uang, maka nilai kerugian di masa lampau harus disesuaikan
dengan tingkat inflasi, sehingga diperoleh nilai saat ini.
Misalnya dampak kerugian petani karena musim paceklik, maka kita dapat menghitung rata-
rata dari pengalaman di masa lampau. (nilai saat ini = ∑(nilai masa lampau x (1+ tingkat
Mean digunakan apabila data yang ada bersifat distribusi normal, sedang bila tidak
terdistribusi normal maka menggunakan median. Sedang modus bila yang diinginkan adalah
gambaran umum data, yaitu data yang paling banyak muncul, misalnya kita ingin mengetahui
pekerjaan apa yang paling banyak dibutuhkan dalam suatu wilayah.
Unexpected value adalah nilai yang tidak diharapkan, juga dikenal dengan istilah VaR atau
value at risk. Per definisi Value at Risk adalah kerugian terbesar yang mungkin terjadi dalam
rentang waktuperiode tertentu. VaR dihitung dengan rumus nilai rata-rata ditambah dengan
nilai standar deviasi yang disesuaikan pada tingkat keyakinan tertentu.misalnya tingkat rata-
rata kerugian adalah Rp10 juta, maka dengan nilai standar deviasi yang disesuiakan pada
tingkat 95% adalah 2 juta, maka nilai VaR adalah 12 juta. Biasa ditulis dengan VaR Rp12juta at
5%, artinya tingkat kemungkinan kerugian maksimal adalah 12 juta, namun tersirat masih ada
kemungkinan sebanyak 5% kerugian diatas Rp12juta.
- expert opinion, yaitu dengan meminta ahli untuk memperkirakan suatu kerugian.
Terkadang pendapat satu ahli bisa bias, oleh karena itu, diperlukan beberapa ahli
sedikitnya 3 ahli. Nilai perkiraan dihitung dengan cara:
- Consensus adalah dengan mengumpulkan para ahli, dan meminta mereka membuat
consensus nilai perkiraan dampak.
- Delphi adalah teknik meminta pendapat dari para ehli secra tertulis, yang hasilnya
dikonfirmasi beberapa kali.
Terdapat beberapa teknik untuk menilai kemungkinan, salah satunya apabila tidak data
historis maka menggunakan metode approximated value. Namun bila memiliki data historis
dapat menggunakan teknik lain, misalnya: distribusi normal, distribusi poison, distribusi
binomial.
Distribusi normal bisa digunakan untuk menilai kemungkinan yang bisa bersifat decimal,
misalnya tingkat inflasi, tingkat pengangguran, tingkat kematian.
Z=(x-ẋ)2 : (s)
Distribusi poison digunakan untuk memperkirakan kemungkinan atas kejadian yang hanya
dihitung dengan nilai bulat, bukan decimal, misalnya, menghitung kemungkinan kejadian
kebakaran, kemungkinan kejadian pencurian. Teknik ini digunakan untuk memperkirakan pada
suatu periode tertentu di masa yad.
E=2,718
Contoh, bila dalam 6 tahun kebelakang terjadi demo sebanyak 3x, maka berapakah
kemungkinan ada 1x demo dalam satu tahun ke depan?
Maka x=1; µ = (3xdalam setahun) = 0,5 tahun; maka probabilitasnya adalah 0,3033; artinya
kemungkinan ada demo dalam 1 tahun ke depan adalah 30,33%.
Distribusi Binomial dilakukan bila ada data historis, ketrjadiannya dihitung dalam bilangan
bulat, dan diketahui probabilitias berhasil dan gagal.
Dari data historis sebuah koperasi berhasil menternakkan 3 sapi dari setiap 5 sapi yang dimiiki.
(p = 3/5=0,6; q = 1-p = 0,4)
Jika suatu pemda ingin memberikan hibah 3 ekor sapi ke suatu kelompok tani. Dan tidak ingin
berisiko gagal, atau gagal = 0. (n=3, x=0).
Artinya, kemungkinan kelompok tani tidak berhasil menternakkan satupun sapi yang
dihibahkan adalah 6,4%.
Nilai risiko dihitung dari perkalian nilai kemungkinan dan nilai dampak.
Nilai kemungkinan dan dampak, adalah nilai yang telah dihitung dengan teknik diatas, kemudian
dinilai dengan kriteria penilaian yang telah ditetapkan pada tahap konteks.
Contoh.
Kriteria penilaian:
1 ≤10% ≤10%
5 >50% >50%
Dari hasil penilaian risiko kebakaran, diperoleh nilai kemungkinan 10%, dan dampaknya adalah
50%. Berdasarkan kriteria penilaian kemungkinan 10% nilainya adalah 1; sedang nilai dampak
50% memiliki nilai 4.
Namun bila nilai risiko adalah tergantung dari peta, maka kita harus memasukkan nilai
kemungkinan dan dampak pada peta risiko.
Nilai Risiko
RisikRiRisikosik
Tingkat risiko inheren adalah tingkat risiko sebelum adanya pengendalian, tingkat ini diperoleh dari
hasil kali nilai kemungkinan terjadinya risiko dan kemungkinan dampak yang ditimbulkan. Nilai
b. jika, ada, apakah pengendalian cukup memadai untuk mencegah risiko terjadi?
d. jika telah dilaksanakan dengan konsisten, apakah risiko sudah tidak terjadi?
Setiap jawaban “iya” atas pertanyaan tersebut, menunjukkan pengendalian telah efektif, sebaliknya
bila terdapat jawaban “tidak” maka halini menunjukkan belum efektifnya pengendalian.
Tingkat risiko residual adalah tingkat risiko setelah adanya pengendalian, dilakukan dengan
melakukan analisis nilai kemungkinan dan nilai dampak setelah adanya pengendalian. Bila
pengendalian efektif, maka seharusnya nilai risiko berkurang hingga tingkat risk appetite, namun
bila pengendalian masih belum efektif, akan mengakibatkan nilai risiko residual masih diatas risk
appetite.
Hasil analisis risiko adalah suatu daftar risiko yang telah dilengkapi dengan informasi nilai risiko
inheren, efektifitas pengendalian yang ada, nilai risiko residual. Daftar risiko yang dihasilkan dapat
juga dituangkan dalam peta risiko, yang akan memudahkan untuk memantau risiko yang masih di
atas risk appetite
Tingkat
Efektif/ Risiko
Deskripsi atau Kejadian Skor Faktor Positif / Internal Control Proba- Skor
Probabilit Dampak Tingkat Risiko kurang/ keterangan Dampak Residual
Risiko Risiko Yang Ada Saat Ini bilitas Risiko
as (P) (I) Inherent tidak (I) (I)
Inherent (P) Residual
1. Organisasi telah
menganggarkan dana untuk
pembuatan modul.
Materi pengajaran
3= 2. organisasi telah kurang 2= HIGH
tidak up to date Sedang
4 = Berat 12 HIGH RISK Kecil
4 = sedang 8
RISK
menganggarkan dana untuk
program training maupun
pendidikan berkelanjutan
MEDIUM
1. ada pedoman penilaian
Salah dalam
4= 2. unsur penilaian hanya 2 kurang 3=
memberikan penilaian Sedang
3 = Berat 12 HIGH RISK Sedang
2 = Berat 6
aspek
Tahap evaluasi risiko adalah tahap mengevaluasi apakah suatu risiko perlu dilakukan penanganan,
atau diterima. Jika dilakukan penanganan maka risiko mana yang diprioritaskan.
a. Membandingkan nilai risiko dengan tingkat risiko yang dapat diterima (risk appetite), dengan
mempertimbangkan ancaman dan peluang yang dihadapi.
b. Memutuskan tindak lanjut terhadap risiko, bila nilai risiko masih pada tingkat risk appetite maka
risiko dapat diterima,
Dari hasil analisis terdapat beberapa alternatif keputusan yang dapat ditetapkan antara lain:
Bila nilai risiko berada pada tingkat yang dapat diterima (risk appetite), maka tidak perlu dilakukan
penanganan risiko, namun kegiatan monitoring dan reviu dilaksanakan.
Contoh:
4 = Besar
(20% < p <
50%)
Pro- 3 = Sedang
babi- (10% < p ≤
litas 20%)
2 = Kecil
(5% < p <
10%)
1 = Sangat
Kecil
≤ 5%
Dampak
Dengan melihat risiko masih di atas level risk appetite maka, dan dengan pertimbangan lain, maka
ditetapkan apakah risiko akan di lakukan penanganan atau diterima. Keputusan ini ditetapkan dan
dicatat pada risk register.
Indikator Keberhasilan
Setelah mempelajari materi ini, peserta diklat diharap dapat menetapkan penanganan risiko yang terbaik
untuk dapat menurunkan risiko yang tinggi, peserta juga mampu menjelaskan kegiatan monitoring dan
reviu, serta pencatatan dan pelaporan.
A. PENANGANAN/PERLAKUAN RISIKO
Penanganan risiko adalah tindakan yang dilakukan agar tingkat risiko sampai setidaknya pada tingkat
risk appetite yang telah ditentukan. Penanganan risiko dapat dilakukan dengan cara menurunkan
tingkat kemungkinan atau mengurangi tingkat dampak.
7. Menilai apakah tingkat risiko tersisa (residual risk) setelah penanganan risiko sesuai dengan
selera risiko atau tidak. Jika tidak maka terapkan perlakuan risiko lanjutan.
Opsi penanganan risiko dapat dilakukan dengan cara salah satu atau lebih dari kegiatan berikut.
1. Menghindari risiko, dengan meutuskan untuk tidak memulai atau melanjutkan aktivitas yang
menimbulkan risiko.
4. Mengubah kemungkinan.
5. Mengubah konsekuensi.
1. sasaran organisasi,
Jika tidak terdapat opsi penanganan, atau jika perlakuan risiko tidak mengubah tingkat risiko, maka
risiko tersebut harus dicatat dan tetap di-monitor.
Penetapan penanganan risiko juga diikuti dengan informasi siapa yang akan melaksanakan
kapan due date-nya, sumberdaya yang diperlukan, risiko lanjutan apa yang harus diwaspadai,
pihak yang harus diinformasikan, bagaimana memonitornya, bagaimana pelaporannya.
Pada tahap ini, juga dapat ditetapkan nilai risiko harapan setelah dilakukan penanganan risiko,
penetapan nilai risiko harapan dapat menjadi acuan untuk menilai efektifitas dari penanganan
risiko.
Salah dalam
memberikan 1. membuat aplikasi untuk mempermudah
MITIGATE Rp100,000,000
penilaian
penilaian peserta diklat
Monitoring dan reviu ditujukan untuk memastikan dan meningkatkan mutu dan efektifitas disain,
implementasi dan hasil proses manajemen risiko. Monitoring dan reviu ada di semua tahapan proses
manajemen risiko, dengan memperhatikan:
1. Efektifitas indikator risiko yang digunakan untuk memantau gejala keterjadian risiko.
2. Mekanisme untuk memperoleh data indikator risiko, dan pihak yang menjadi sumber data telah
terinformasikan dan siap mendukung data sesuai kebutuhan.
3. Batasan kemungkinan keterkejadian risiko, batas atas dan batas bawah telah ditetapkan melalui
pertimbangan yang matang.
4. Jadwal pemantauan ditetapkan dengan mempertimbangkan kondisi beban kerja pemantau dan
kebutuhan akurasi pemantauan.
Pemantauan dilakukan dalam bentuk evalausi atas proses manajemen risiko, sedikitnya untuk fokus
berikut:
Bila hasil evaluasi menunjukkan ketidak patuhan, ketidakefektifan, dan adanya perubahan yang
mempengaruhi proses manajemen risiko, maka dicari sumber penyebabnya untuk dibuat rekomendasi
perbaikan.
Monitoring dan reviu meliputi kegiatan: perencanaan, pengumpulan dan analisis informasi, pencatatan
hasil dan pemberian umpan balik.
Pembahasan monitoring dan review lebih detil terdapat pada bab Monitoring, Reviu dan Evaluasi.
Terkait dengan monitoring dan reviu atas risiko yang telah teridentifikasi pada proses risiko sebelumnya,
maka dilakukan monitor atas pelaksanaan penanganan risiko, serta nilai risiko setelah penanganan
tersebut.
Skor
Probabilitas Dampak Risiko Tingkat
Deskripsi atau Kejadian Risiko Risiko
Penanganan Yang Telah Dilakukan Risiko Residual Residual Risiko
Residual
(P') (I') Residual
(W')
1. Membuat aplikasi.
Salah dalam memberikan penilaian LOW
2. Mewajibkan pengajar untuk 1 = Sangat Kecil 2 = kecil 2
memanfaatkan aplikasi. RISK
64
Manajemen Risiko Sektor Publik
C. PENCATATAN DAN PELAPORAN
Pencatatan dan pelaporan dilakukan untuk mendokumentasikan proses dan hasil proses manajemen
risiko ditujukan untuk:
Pelaporan adalah bagian yang integral dalam tatakelola organisasi, dan seharusnya meningkatkan
mutu komunikasi dan pengambilan keputusan. Faktor yang dipertimbangkan dalam membangun
sistem pencatatan dan pelaporan adalah:
3. Metode pelaporan.
Indikator Keberhasilan
Setelah mempelajari materi ini, peserta diklat diharap dapat menjelaskan proses manajemen risiko pada
saat perencanaan kegiatan, pelaksanaan kegiatan dan pada saat perubahan strategi.
Manajemen risiko adalah suatu metodologi yang dapat digunakan untuk berbagai kepentingan, diantaranya
untuk perencanaan, pengambilan keputusan dari berbagai alternatif, mengambil keputusan ketika terjadi
perubahan, atau untuk menetapkan pengendalian. Penerapannya dapat untuk seluruh organisasi, atau unit
kerja, atau pada program, proyek atau kegiatan tertentu.
Setiap organisasi akan memulai kegiatan dengan perencanaan, baik perencanaan jangka panjang dalam
bentuk renstra, ataupun jangka tahunan dalam bentuk rencana kerja tahunan atau rencana kerja, bahkan
rencana yang bersifat kegiatan.
Manajemen risiko sudah dilaksanakan sejak penyusunan renstra. Dalam mencapai visi dan misi organisasi
umumnya menetapkan strateginya dengan analisis SWOT atau PEST. Analisa SWOT atau PEST pada
manajemen risiko identik dengan memindai lingkungan internal dan eksternal. Penetapan strategi
diantaranya dapat berupa keputusan apa yang akan kita ambil dengan memanfatkan kekuatan dan
peluang, sambil mengantisipasi dampak buruk dari kelemahan yang dimiliki, serta ancaman yang ada.
Fungsi manajemen risiko pada tahap perencanan juga digunakan ketika suatu keputusan strategi sudah
ditetapkan, maka keputusan ini harus diamankan dari risiko-risiko ketika penerapannya. Penanganan atas
risiko pada tahap perencanaan strategi pada level entitas, mungkin saja menjadi suatu kegiatan pada level
di satuan kerja yang terkait.
Penerapan manajemen risiko pada tahap perencanaan strategis pada pemerintah daerah dapat
digambarkan sebagai berikut (gambar 15) .
Ketika gubernur menyatakan memiliki risiko suangai tercemar sampah dan limbah, maka Kepala OPD
mengamankan risiko gubernur dengan menetapkan “tertanganinya sampah dan limbah ….” sebagai
sasarannya, dan diikuti dengan merencanakan kegiatan yang mendukung sasaran ini, yaitu kegiatan
“pengangkatan sampah ke…” .
Kepala OPD LH ketika menetapkan sasaran “tertanganinya sampah dan limbah …” juga memiliki risiko
“volume sampah perhari tidak sesuai standar” yang disebabkan karena “kesalahan teknik pengumpulan
sampah” dan “kerusakan alat angkut sampah”. untuk menangani risiko tersebut, maka kepala OPD LH,
Gambar 15
penggunaan manajemen risiko pada renstra
Dalam perencanaan tahunan risiko pada renstra tetap dipantau, seperti tampak pada gambar 3.2.
Pada gambar ini, tampak pemanfaatan manajemen risiko dilakukan sejak juni-juli ketika KUA PPAS,
kemudian pada saat penyusunan RKA bulan September – Oktober. Dan penanganan atas risiko yang
teridentifikasi sudah dijalankan sebaiknya sebelum kegiatan tersebut dimulai, yaitu pada bulan November
dan Desember. Pengananan tersebut dikomunikasikan pada pihak terkait.
Pada contoh gambar di atas gubernur menyatakan target “kualitas indeks lingkungan hidup adalah 1.5,
sehingga indeks pencemaran air juga tidak lebih dari 1.5” pernyataan ini menunjukkan bahwa indeks
pencemaran air, tidak boleh lebih dari 1.5.
Gubernur juga menyatakan “jika pencemaran air mencapai 0,005 tidak apa-apa”, pernyataan ini
menunjukkan risk appetite dari gubernur.
Pernyataan ini merupakan komunikasi atas strategi pimpinan organisasi dalam penanganan risiko
pencemaran sampah dan limbah. Strategi ini harus ditaati oleh kepala OPD LH, selaku pejabat yang
bertanggungjawab.
Risiko yang teridentifikasi pada saat perencanaan anggaran, ditindaklanjuti dengan menjadikan
penanganan risiko sebagai suatu kegiatan. Pada contoh di atas, kepala OPD LH mencantumkan kegiatan,
penyusunan dan sosialisasi SOP pengumpulan sampah, dan kegiatan pengadaan alat angkut sampah.
Pada awal tahun, suatu organisasi sebaiknya melakukan penilaian risiko atas kegiatan yang akan
dilaksanakan dalam tahun berjalan. Hal ini untuk mengamankan kegiatan dari risiko yang akan
mengganggu capaian tujuan.
Contoh pada kasus di atas, untuk mengamankan risiko yang dirasakan oleh kepala daerah, maka kepala
OPD LH bertanggungjawab untuk mengelola risiko terkait sampah dan limbah.
Pada level OPD maka disusun risk register yang antara lain memuat informasi sebgai berikut.
Penetapan konteks:
Tujuan organisasi :
Sasaran : Tertanganinya sampah dan limbah dari fasilitas kesehatan dasar, kegiatan usaha kecil dan rumah tangga.
IKU : Persentase sampah terkirim ke TPA.
Nama kegiatan :
a. Sosialisasi SOP pengangkutan sampah.
b. Kegiatan pengadaan alat angkut sampah.
Target kegiatan :
a. 2 x kegiatan sosialisasi.
b. 10 truk sampah.
Lingkungan internal :
a. Jumlah petugas pengangkut sampah 60 orang, dengan karakter lulus SD, SMP, SMA usia 40 s.d. 50 tahun. Petugas yang akan
sosialisasi sebanyak 2 orang latar belakang S1 dan S2, usia 25 dan 30 tahun.
b. Pengadaan barang dilakukan oleh ULP yang kompeten, dengan rincian spek dari OPD LH.
Lingkungan eksternal :
Kondisi pandemi covid
72
Manajemen Risiko Sektor Publik
kegiatan Risiko sebab akibat K D NR IC E/ Keterangan K D N Penanganan PIC
K/ R risiko
T
73
Manajemen Risiko Sektor Publik
Dari hasil penilaian risiko atas kegiatan pengelolaan sampah, kegiatan pertama yaitu sosialisasi SOP,
ternyata menghasilkan risiko residual kemungkinan 2, dan dampak 3 sehingga nilai risiko sebesar 6, dan
masih di atas risk appetite (nilai risiko 2) sehingga harus dilakukan penambahan penanganan risiko.
Sedang risiko kedua memiliki nilai risk residual pada area risk appetite, sehingga tidak perlu dilakukan
penanganan tambahan.
Dalam melaksanakan kegiatan terkadang kita harus memilih salah satu dari beberapa alternatif yang
terbaik, yaitu alternatif yang paling menguntungkan dan paling sedikit memiliki dampak negatif. Untuk
memilih alternatif tersebut, terdapat beberapa metodologi, diantaranya adalah metodologi kuantitatif
berupa analisis NPV dan IRR dalam pengambilan keputusan keuangan. Pada sektor publik yang sarat
dengan layanan publik, terkadang pengambilan keputusan juga memperhatikan hal yang bersifat kualitatif.
Dimana hal yang diipertimbangkan adalah yang memiliki benefit besar, namun risiko terkecil. Salah satu
metodologinya dapat dicontohkan sebagai berikut.
Melanjutkan kasus sebelumnya, terkait pelaksanaan pembelian alat angkut sampah. Sebelumnya telah
ditetapkan akan dibeli 10 truk sampah dengan spesifikasi tertentu. Namun kepala daerah merasa lebih baik
truk sampah yang dibeli adalah truk sampah compactor, karena beberapa keunggulannya. Kepala daerah
meminta kepala OPD melakukan kajian, untuk mempertimbangkan apakah akan melanjutkan rencana awal
yaitu membeli truk sampah konvensional, atau membeli truk sampah otomatis.
Pejabat yang diminta kepla OPD LH, dapat malakukan analisis cost and benfit sebagai berikut.
Setiap kali terdapat perubahan lingkungan, baik perubahan lingkungan internal maupun perubahan
lingkungan eksternal, akan mengubah risiko yang dihadapi, dan hal ini berarti menuntut adanya tindakan
untuk mengendalikan dan memitigasi risiko yang sebelumnya.
Contoh.
Melanjutkan risiko kasus pembelian truk sampah, dimana terdapat perubahan rencana pembelian alat
angkut sampah, dan terdapat risiko lain yang muncul dari perubahan tersebut (lihat tabel sebelumnya no.
….), maka risk register yang ada akan disesuaikan.
Sosialisasi
fisik hanya
untuk ketua
regu. Yang
harus swab
terlebih
dahulu.
Dari contoh di atas, tampak bahwa perubahan lingkungan dapat menjadikan nilai risiko yang berubah, penambahan risiko baru, atau berkurangnya
risiko karena tidak relevan.
Atas risiko yang masih di atas risk appetite, dilakukan penanganannya, untuk dilaksanakn dan dipantau oleh pejabat yang terkait.
Indikator Keberhasilan
Setelah mempelajari materi ini, peserta diklat diharap dapat menjelaskan kegiatan monitoring , review
dan evaluasi atas penerapan MR dalam suatu organisasi, dan mamu melaksanakan kegiatan monitoring,
reviu dan evaluasi proses MR.
Monitoring atau pemantauan, reviu dan evaluasi adalah kata yang sering saling menggantikan, menurut
KBBI ketiga istilah ini terdapat perbedaan, pemantauan adalah pengamatan, reviu adalah tinjauan, dan
evaluasi adalah penilaian. Monitoring atau pengamatan dilakukan pada saat pelaksanaan kegiatan dan
dapat dilakukan kapan saja, untuk mengetahui apakah kondisi masih sesuai dengan yang diharapkan;
sedang reviu tidak sekedar mengamati namun sudah melakukan tinjauan atau analisis, misalnya dari hasil
monitoring terdapat kondisi yang tidak sesuai dengan harapan, maka perlu dilakukan analisis trend
penyimpangannya, tingkat seriusnya, dan sebabnya; istilah evaluasi lebih digunakan untuk memberikan
nilai, kegiatannya bisa ketika pelaksanaaan kegiatan atau setelah kegiatan dilaksanakan, hasil evaluasi
adalah suatu pernyataan telah sesuai atau belum sesuainya pelaksanaan dengan standar, kriteria atau
target.
Monitoring manajemen risiko perlu dilakukan terus menerus untuk mengawasi secara kritis,
mengobservasi, atau menentukan status untuk mengidentifikasi ketidaksesuaian dengan rencana atau
target. Monitoring dapat diterapkan untuk memantau kerangka kerja manajemen risiko, proses manajemen
risiko, risiko dan pengendaliannya. dan prinsip manajemen risiko.
Organisasi harus memiliki sifat adaptif agar mampu bertahan dengan perubahan lingkungan dan mampu
memanfaatkan peluangnya sehingga, dengan demikian organisasi dapat meningkatkan nilainya. Sifat
adaptif ini didapat jika organisasi terus memantau dan mengevaluasi serta menyesuaikan kerangka kerja
manajemen risikonya dengan perubahan eksternal dan internal.
- Secara berkala mengukur kinerja kerangka kerja manajemen risiko terhadap tujuannya,
pelaksanaannya, rencana, indikator dan perilaku yang diharapkan; dan
- menentukan apakah kerangka tetap sesuai untuk mendukung pencapaian tujuan organisasi.
1. Mengevaluasi efektifitas penerapan manajemen risiko secara berkala dan teratur oleh pihak internal
atau eksternal.
3. Menyampaikan hasil evaluasi untuk menjadi bahan tinjau ulang pimpinan dan manajemen puncak
agar penerapan manajemen risiko tetap efektif, relevan, kontekstual, dengan perkembangan situasi,
tantangan dan sasaran organisasi.
Salah satu metodologi monitoring dan evaluasi adalah dengan menilai tingkat maturitas manajemen risiko
organisasi. Tingkat maturitas manajemen risiko sektor publik di Indonesia di uraikan pada ISO 31000 2018
SNI 8848: 2019 tentang Panduan Implementasi SNI 31000:2018 di sektor publik, sebagai berikut.
Di bawah ini adalah model tingkat maturitas risiko dengan lima tingkatan:
- Tingkat maturitas 1: Belum sadar risiko (Risk naïve) dimana organisasi memiliki tingkat
maturitas ≤ 20% dari skala 100%.
- Tingkat maturita 2: Sudah mulai sadar risiko (Risk aware) dimana organisasi memiliki
tingkat maturitas >20% - ≤40% dari skala 100%.
- Tingkat maturitas 3: Sadar risiko dan risiko terdefinisi (Risk defined) dimana organisasi
memiliki tingkat maturitas >40% - ≤60% dari skala 100%.
- Tingkat maturitas 4: Budaya sadar risiko tercipta dan risiko terkelola (Risk managed)
dimana organisasi memiliki tingkat maturitas > 60% - ≤80% dari skala 100%.
- Tingkat maturitas 5: Budaya sadar risiko optimal dan manajemen risiko sudah menjadi
alat pemampu unggulan organisasi dalam pencapaian sasaran (Risk enabled) dimana
organisasi memiliki tingkat maturitas >80% - ≤ 100%.
Catatan 1 Model tingkat maturitas risiko bersifat dinamis mengikuti perkembangan konteks organisasi.
Catatan 2 parameter penilaian dalam tabel model tingkat maturitas risiko adalah parameter minimum
dengan empat unsur yang sedikitnya harus digunakan oleh organisasi
Catatan 3 penerapan tabel model tingkat maturitas risiko membutuhkan penggunaan indicator yang
relevan agar penilaian dapat terukur dan dapat diperbandingkan satu sama lain.
Proses manajemen risiko terdiri dari kegiatan komunikasi dam konsultasi, penetapan konteks, identifikasi
risiko, analisis risiko, penanganan risiko, serta monitoring dan review, dan juga pencatatan dan
dokumentasi. Kegiatan monitoring dan reviu terdapat pada setiap kegiatan pada proses manajemen risiko,
yaitu kegiatan untuk memastikan bahwa setiap kegiatan pada proses manajemen risiko telah berjalan
sebagaimana direncanakan dan memberikan hasil yang andal.
Untuk dapat memonitor dan mereviu proses manajemen risiko, prasyaratnya adalah pada tahap persiapan
telah disusun rencana kerja serta ditetapkan sumberdaya yang digunakan, metodologi yang akan
diterapkan, time schedul, pihak yang akan dillibatkan, serta output yang dihasilkan.
Dengan monitoring dan reviu diharap permasalahan pada proses manajemen risiko dapat diantisipasi sejak
awal sehingga tidak banyak kendala dalam penerapannya, sehingga proses manajemen risiko dapat
dilaksanakan dengan tepat waktu, diperoleh informasi yang andal, dihasilkan keputusan yang andal pula.
rencana realisasi
kegiatan output keterangan
waktu Sdm anggaran waktu Sdm anggaran
1. Penetapan Laporan
konteks konteks
5. Penanganan Kegiatan
risiko pananganan
Setelah risiko dinilai dan ditetapkan rencana tindak pengendalian dan penanganannya, maka perlu
dilakukan pemantauan terhadap rencana pengendalian dan penanganan yang telah ditetapkan
untuk memastikan bahwa rencana tersebut dilaksanakan.
REKOMENDA
PENANGGU
JADWAL DAN STATUS PELAKSANA SI /
BIAYA PENANGANAN RISIKO VARIANS DIPERIKSA PEMILIK NG JAWAB
PELAKSANA PENGENDALI PENANGAN TINDAKAN
(RP) BIAYA OLEH RISIKO PENANGANA
AN AN AN RISIKO LEBIH
N RISIKO
LANJUT
KODE DESKRIPSI
N PENANGANAN KETERANG
RISIK KEJADIAN
O. RISIKO AN
O RISIKO (%) SPI URM
SESUAI /
TIDAK RENCANA REALISASI
SESUAI
[√] [√]
1.
memanfaatkan
media sosial
untuk
jumlah memperluas
peserta sosialisasi diklat
diklat 2. membuat
PI-
1 dengan vidio Rp200,000,000 Dr Ika
001
jalur PNBP pembelajaran
kurang dari pendek, dan
target diupload di
youtube untuk
menarik minat
target peserta
diklat
1. perubahan
materi modul
yang signifikan
dan segera,
Materi disusun dalam
PI- pengajaran bentuk
2 Rp200,000,000 Dr Agus
002 tidak up to suplemen.
date 2.
Menyelenggraka
n pertemuan
ilmiah secara
internal dan rutin
1. membuat
Salah
aplikasi untuk
PI- dalam
3 mempermudah Rp100,000,000 Dr Agus
003 memberika
penilaian
n penilaian
peserta diklat
Risiko yang telah diidentifikasi harus dimonitor, apakah setelah ditetapkan pengendalian dan penanganan,
risiko masih terjadi. Apabila keterjadian risiko masih terjadi dan meningkat maka pemilik risiko dan
pengelola risiko harus melakukan review untuk mengambil suatu keputusan apakah rencana kontigensi
perlu dilakukan agar dampak dapat diminimalisir dan tingkat risiko dapat diturunkan kembali.
Atas keterjadian risiko, review juga dilakukan terhadap pengendalian dan penanganan yang telah
ditetapkan, untuk menjawab pertanyaan “apakah penyebabnya karena pengendalian tidak dijalankan
sepenuhnya” atau “apakah terdapat faktor lain yang menjadikan pengendalian tidak berjalan sebagaimana
yang diharap”. Reviu atas pengendalian dan penanganan tersebut akan menghasilkan keputusan apakah
pengendalian dan penanganan yang telah ditetapkan perlu dilakukan revisi atau tidak. Jika dilakukan revisi
apa bentuk revisinya dan siapa penanggungjawabnya; bila tidak dilakukan revisi maka apa yang harus
dilakukan terhadap pengendalian dan penanganan yang telah ditetapkan agar lebih efektif.
Monitoring dan reviu atas risiko bisa dilakukan dengan memantau insiden atau peristiwa terjadinya risiko
yang telah diidentifikasi, dengan mencatat detil, apa peristiwanya, kapan terjadi, dimana terjadi peristiwa
tersebut, berapa lama, bagaimana terjadinya, mengapa terjadi, dan penanganan apa yang dilakukan, serta
apa dampak atas terjadinya peristiwa tersebut.
Risiko Tanggal Tempat Lama Pemicu Dampak Kejadian Pengendalian Penanganan Efektifitas
terjadi terjadi kejadian kejadian kejadian ke … yang ada yang penanganan
dilakukan
Dari pemantauan atas kejadian risiko, maka diperoleh data yang objektif atas nilai kemungkinan dan
dampak yang real, sehingga perlu dilakukan revisi atas nilai risiko yang ada. Nilai ini merupakan dasar
penilaian tingkat kemungkinan dan dampak risiko pada kegiatan proses risiko di periode berikutnya.
1. memanfaatkan
media sosial untuk
memperluas
jumlah
sosialisasi diklat
peserta
2. membuat vidio
diklat
PI- pembelajaran 5 = Sangat 4= EXTREME 4= EXTREME
1 dengan jalur V 4 = Besar
001 pendek, dan Besar Berat HIGH Berat HIGH
PNBP
diupload di
kurang dari
youtube untuk
target
menarik minat
target peserta
diklat
1. perubahan
materi modul
yang signifikan
dan segera,
Materi
disusun dalam 1=
PI- pengajaran 3= MEDIUM
2 bentuk suplemen. v 2 = Kecil 2 = Kecil Ringan LOW RISK
002 tidak up to Sedang RISK
2. sekali
date
Menyelenggrakan
pertemuan ilmiah
secara internal
dan rutin
1. membuat
Salah dalam aplikasi untuk 1=
PI- 3= MEDIUM
3 memberikan mempermudah v 2 = Kecil 2 = Kecil Ringan LOW RISK
003 Sedang RISK
penilaian penilaian peserta sekali
diklat
ESTIMASI PENANGGUNG
DESKRIPSI BIAYA PELAKSANA
KODE PENANGANAN PERUBAHAN/TAMBAHAN PEMILIK JAWAB
NO. KEJADIAN TANGGAL PENANGANAN
RISIKO RISIKO AWAL PENANGANAN RISIKO RISIKO PENANGANAN
RISIKO RISIKO
(RP) RISIKO
1. memanfaatkan
media sosial untuk
memperluas
jumlah peserta
sosialisasi diklat 1. menambah narasumber
diklat dengan
2. membuat vidio praktisi internal yang memiliki
1 PI-001 jalur PNBP Tahun 2020 Rp 200 juta Dr Ika
pembelajaran pendek, nilai jual sebagai key note
kurang dari
dan diupload di speaker
target
youtube untuk menarik
minat target peserta
diklat
Indikator Keberhasilan
Setelah mempelajari materi ini, peserta diklat mampu menjelaskan proses pelaporan manajemen risiko.
Laporan manajemen risiko merupakan salah satu bentuk komunikasi dan akuntabilitas kepada pihak
internal dan eksternal organisasi, sebagaimana telah ditetapkan pada matrik RACI.
Pelaporan pada umumnya bersifat periodik, namun dengan penggunaan teknologi informasi maka
pelaporan dapat dilakukan secara real time, bahkan dengan tampilan berupa dash board yang dapat
dipantau setiap saat, sehingga dapat segera dilakukan review untuk diambil suatu keputusan. Pada
bab ini pelaporan yang akan dibahas adalah pelaporan yang bersifat berkala.
Laporan manajemen risiko disusun sesuai dengan kepentingan pembaca yang dituju. Laporan
Manajemen Risiko dapat dikategorikan berdasarkan substansi yang akan dilaporkan, atau sasaran
pembaca laporan tersebut.
1. Laporan manajemen risiko untuk suatu tujuan tertentu, misalnya manajemen risiko untuk
proyek atau program tertentu, IKU tertentu, sasaran strategis tertentu, atau kegiatan tertentu.
2. Laporan manajemen risiko untuk suatu risiko tertentu karena menjadi suatu concern atau
risiko tersebut adalah risiko prioritas, misalnya laporan MR atas risiko banjir, tsunami,
pandemi, inflasi, pengangguran, cuaca ekstrem.
Laporan juga dapat dilihat dari sudut pandang penerima laporan, yaitu
1. Laporan untuk pimpinan organisasi dari komite MR/koordinator MR organisasi, atau dari unit
MR.
Tidak terdapat aturan khusus untuk laporan MR, namun tetap mengikuti aturan umum suatu
pelaporan, antara lain:
1. Tepat waktu
2. Tepat isi
3. Tepat saji
4. Tepat alamat
Waktu penyusunan laporan bisa berkala atau sewaktu waktu diminta oleh pimpinan organisasi.
keterlambatan penyampaian laporan akan mengakibatkan informasi menjadi kadaluarsa dan tidak
dapat menjadi pertimbangan suatu keputusan, atau bahkan menjadikan risiko tidak terkelola
sehingga menjadi masalah.
Tidak terdapat format baku terkait dengan laporan manajemen risiko, format dan substansi diatur
oleh instansi yang bersangkutan.
Substansi yang wajib ada dalam pelaporan profil risiko adalah sebagai berikut.
c. Apakah strategi penanganan efektif? - Jika tidak, apa lagi yang harus dilakukan?
d. Apakah ada risiko baru (Secondary Risk) dan apa implikasinya bagi bisnis?
Sedangkan untuk pelaporan yang lebih lengkap, substansi yang dapat disampaikan pada laporan
profil risiko antara lain adalah sebagai berikut.
1. Tujuan
2. Ruang lingkup
3. Konteks tujuan
6. Kriteria penilaian
7. Daftar risiko yang yang ada, dan daftar tinggi dan diprioritaskan
9. Nilai risko residual dan nilai risiko ekspektasi untuk risiko yang akan ditangani.
10. Secondary Risk yang timbul, dan rencana penangan atas risiko tersebut.
11. Nilai risiko real setelah ditangani (untuk laporan monitoring dan review)
Risk appetite Jumlah dan jenis resiko yang dimiliki, dimana organisasi siap
untuk mengejar, mempertahankan, atau mengambil
Kerangka kerja manajemen Satu set komponen yang menyediakan pengaturan organisasi
risiko untuk merancang, melaksanakan, memantau, mengkaji, dan
terus menyempurnakan manajemen risiko di seluruh organisasi
Pemilik risiko Seseorang atau entitas dengan akuntabilitas dan otoritas untuk
mengelola risiko.
Risiko sisa Resiko yang tersisa setelah penanganan resiko. Resiko sisa
dapat berisi risiko yang tidak teridentifikasi dan juga dapat
disebut sebagai "risiko yang ditahan".
Stakeholder
Seseorang atau organisasi yang dapat mempengaruhi,
terpengaruh oleh, atau menganggap diri mereka dipengaruhi
oleh keputusan atau aktivitas
Sumber : Kerangka Kerja Manajemen Risiko GAO (GAO, 2005) dan draf ISO 31000 Standar
Internasional tertanggal November 2009. * Dicetak ulang dengan izin. Pusat IBM untuk
Bisnis Pemerintah, “Mengelola Risiko dalam Pemerintah: Pengantar Enterprise Risk
Management, ”2010. Mengelola dan Mengkomunikasikan Risiko 111
AS-NZS-43602004-Risk-management-process. (n.d.).
Cantino, V., Vincentiis, P. De, & Racca, G. (2016). Risk management : Risk management : 51(4), 1–12.
HUSSAINI, U., BAKAR, A. A., & YUSUF, M.-B. O. (2018). The Effect of Fraud Risk Management, Risk
Culture, on the Performance of Nigerian Banking Sector: Preliminary Analysis. International Journal
https://doi.org/10.6007/ijarafms/v8-i3/4798
Praja, A. P., Haryono, A., Alijoyo, A. A., Wijaya, B., Vorst, C. R., S., P. D., Bonita, I., Siregar, J., Suroto,
S., Koestijani, Y., & Munawar, Y. (2020). Kumpulan Studi Kasus Manajemen Risiko Di Indonesia
Seri Pertama.
content/uploads/2020/03/Cause-and-Effect-Analysis.pdf
https://doi.org/10.1002/9781119201939.app4
Whitfield, J. (2004). Web links leave abstracts going nowhere. Nature, 428(6983), 592.
https://doi.org/10.1038/428592a
Williams, C. (2020, September 7). COSO ERM Framework – Background & Overview. Retrieved