PENGANTAR

MANAJEMEN RISIKO
Untuk Diklat PPBR
 DAFTAR ISI
• Manajemen Risiko dan Pengawasan Intern Berbasis Risiko
• Gambaran Umum Manajemen Risiko
• Istilah Umum dalam Manajemen Risiko
• Framework COSO IC, COSO ERM dan ISO
• Kompatibilitas SPIP PP 60 2008 dengan MR COSO maupun ISO
• Budaya, Struktur, dan Proses Manajemen Risiko
• Budaya Risiko
• Struktur Manajemen Risiko
• Proses Manajemen Risiko
• Maturitas Manajemen Risiko
• Peran APIP dalam Manajemen Risiko
• Analisis Kebijakan MR dan Risk Register siap dan belum siap PIBR
• Best Practice Penerapan MR
• Pembagian Kelompok dan Tugas Menyusun Risk Register
MANAJEMEN RISIKO
DAN
PENGAWASAN
INTERN BERBASIS
RISIKO
 MR dan PIBR
Pengawasan intern
berbasis risiko merupakan
suatu metodologi yang
menghubungkan audit
intern dengan seluruh
kerangka manajemen
risiko yang memungkinkan
proses audit intern
mendapatkan keyakinan
memadai bahwa
manajemen risiko
organisasi telah dikelola
dengan memadai
sehubungan dengan risiko
yang dapat diterima (risk
appetite).
APA PERBEDAAN ANTARA AUDIT
DAN AUDIT INTERN?
 PERBEDAAN AUDIT/PENGAWASAN INTERN Internal
DENGAN PENUGASAN AUDIT Control

Risk
Management
Control Based

Governance
Process Based

Audit

Risk Based

Reviu
Risk management
Assurance
Based
Evaluasi

Pemantauan
Audit/Pengawasan
Intern

Asistensi

Consulting Bimtek

Sosialisasi
 PERBEDAAN AUDIT/PENGAWASAN INTERN DENGAN
PENUGASAN AUDIT
• SAIPI 2014: Audit intern adalah kegiatan yang independen dan obyektif dalam bentuk pemberian
keyakinan [assurance activities] dan konsultansi [consulting activities], yang dirancang untuk
memberi nilai tambah dan meningkatkan operasional sebuah organisasi [auditi]. Kegiatan ini
membantu organisasi [auditi] mencapai tujuannya dengan cara menggunakan pendekatan yang
sistematis dan teratur untuk menilai dan meningkatkan efektivitas dari proses manajemen risiko,
kontrol [pengendalian], dan tata kelola [sektor publik].
• Di dalam PP 60 Tahun 2008 tentang SPIP, istilah audit intern disebut sebagai pengawasan intern.

Sub Unsur 1.7 SPIP

GAMBARAN UMUM
MANAJEMEN RISIKO
ISTILAH UMUM DALAM MANAJEMEN RISIKO
(1)
• Definisi Risiko (ISO 31000:2018): ‘effect of uncertainty on objectives’
• Catatan: ‘An effect is a deviation from the expected. It can be positive,
negative or both, and can address, create or result in opportunities
and threats’
• Risiko positif adalah peluang
• Risiko negatif adalah ancaman atau sesuatu yang dapat menghambat
pencapaian tujuan
• Manajemen Risiko (ISO 31000:2018): ‘coordinated activities to direct
and control an organization with regard to risk”
ISTILAH UMUM DALAM MANAJEMEN RISIKO
(2)
• Definisi Risiko (COSO ERM 2004): ‘Events with a negative impact, which can
prevent value creation or erode existing value’
• Definisi Peluang (COSO ERM 2004): ‘Events with a positive impact,…..affect
the achievement of objectives, supporting value creation or preservation’
• Definisi Manajemen Risiko (COSO ERM 2004): ‘Enterprise risk management
deals with risks and opportunities affecting value creation or preservation,
defined as follows:
• Enterprise risk management is a process, effected by an entity’s board of directors,
management and other personnel, applied in strategy setting and across the
enterprise, designed to identify potential events that may affect the entity, and
manage risk to be within its risk appetite, to provide reasonable assurance regarding
the achievement of entity objectives.
ISTILAH UMUM DALAM MANAJEMEN RISIKO
(3)
• Definisi Risiko (COSO ERM 2004): ‘Events with a negative impact, which can
prevent value creation or erode existing value’
• Definisi Peluang (COSO ERM 2004): ‘Events with a positive impact,…..affect
the achievement of objectives, supporting value creation or preservation’
• Definisi Manajemen Risiko (COSO ERM 2004): ‘Enterprise risk management
deals with risks and opportunities affecting value creation or preservation,
defined as follows:
• Enterprise risk management is a process, effected by an entity’s board of directors,
management and other personnel, applied in strategy setting and across the
enterprise, designed to identify potential events that may affect the entity, and
manage risk to be within its risk appetite, to provide reasonable assurance regarding
the achievement of entity objectives.
ISTILAH UMUM DALAM MANAJEMEN RISIKO
(4)
• Definisi Enterprise Risk Management (ERM) (COSO ERM 2017):
‘Budaya, Kapabilitas, dan Praktik yang terintegrasi dengan penentuan
dan eksekusi strategi, yang diandalkan oleh organisasi untuk
mengelola risiko dalam menciptakan, memelihara dan mewujudkan
nilai organisasi’

• Definisi Enterprise Risk Management (ERM) (Australia/New Zealand

Risk Management Standard): ‘ERM is the culture, process and
structures that are directed towards realizing potential opportunities
whilst managing adverse effects’
ISTILAH UMUM DALAM MANAJEMEN RISIKO
(5)
• Definisi Risiko (SPIP PP 60 2008) penjelasan pasal 3 ayat 1 huruf b:
‘Yang dimaksud dengan “penilaian risiko” adalah kegiatan penilaian
atas kemungkinan kejadian yang mengancam pencapaian tujuan dan
sasaran Instansi Pemerintah’.
• Definisi Risk Tolerance/ Toleransi Risiko (SPIP PP 60 2008) Pasal 17
ayat 2: ‘Pimpinan Instansi Pemerintah menerapkan prinsip kehati-
hatian dalam menentukan tingkat risiko yang dapat diterima’.
• Penjelasan Pasal 17 ayat 2: ‘Yang dimaksud dengan “tingkat risiko
yang dapat diterima” adalah batas toleransi risiko dengan
mempertimbangkan aspek biaya dan manfaat’.
ISTILAH UMUM DALAM MANAJEMEN RISIKO
(5)
• Definisi inherent risk: ‘the amount of risk in the absence of any direct or focused actions
by management to alter its severity’
• Definisi target residual risk: ‘the amount of risk that an entity prefers to assume in the
pursuit of its strategy and business objectives, knowing that management will
implement, or has implemented, direct or focused actions to alter the severity of the
risk’.
• Definisi actual residual risk: ‘the risk remaining after management has taken action to
alter its severity’. Actual residual risk should be equal to or less than the target residual
risk. Where actual residual risk exceeds target risk, additional actions should be identified
that allow management to alter risk severity further.
• Definisi Risiko retrospective: risiko-risiko yang sebelumnya telah terjadi, dan berpotensi
untuk terjadi kembali (berulang) di waktu yang akan datang.
• Definisi Risiko prospective: risiko-risiko yang belum pernah terjadi, tetapi mungkin dapat
terjadi pada waktu yang akan datang.
• Definisi Risk Management Champion: ‘The Risk Champion is the energizer / catalyst for
risk management activities and is a critical role in implementing the effective
management of risk’
Framework COSO IC, COSO ERM,
dan ISO
COSO IC 1992
COSO IC 2013
COSO ERM 2004
COSO ERM 2017
ISO 31000:2009
ISO 31000:2018
SEJARAH COSO IC 1992
• Sehubungan dengan maraknya kecurangan (fraud) keuangan dan
praktik penyuapan perusahaan Amerika Serikat kepada
pejabat/pegawai asing pada tahun 1970-an, SEC dan Kongres
Amerika Serikat menerbitkan undang-undang yang dikenal dengan
nama Foreign Corrupt Practices Act (FCPA) pada tahun 1977;
• Sampai dengan pertengahan tahun 1980-an, FCPA tersebut dirasakan
belum berpengaruh signifikan karena praktik kecurangan masih saja
terjadi. Sebagai respon hal tersebut, pada tahun 1985 dibentuk
komisi nasional yang disebut National Commission on Fraudulent
Financial Reporting oleh lima asosiasi profesi yang berpusat di
Amerika Serikat (yaitu AICPA, AAA, FEI, IMA dan IIA). Komisi tersebut
selanjutnya lebih dikenal dengan nama The Treadway Comission
yang menjadi cikal bakal Committee of Sponsoring Organizations of
the Treadway Commission (COSO);
• COSO selanjutnya menggandeng kantor akuntan besar Coopers &
Lybrand untuk melakukan studi dan menerbitkan kerangka kerja
pengendalian intern. Pada tahun 1992 COSO mempublikasikan
sebuah kerangka kerja pengendalian intern yang dikenal dengan
sebutan Internal Control-Integrated Framework.
• Kerangka kerja pengendalian intern COSO 1992 memberikan definisi
umum tentang pengendalian intern dan memberikan kerangka kerja
untuk menilai dan memperbaiki sistem pengendalian intern.
Kerangka tersebut menyatakan bahwa pengendalian intern
dirancang untuk memberi keyakinan memadai terhadap pencapaian
tiga tujuan organisasi yaitu: (1) efektivitas dan efisiensi operasi; (2)
keandalan pelaporan keuangan; dan (3) kepatuhan terhadap hukum Sumber: https://www.klikharso.com/2016/04/sejarah-lengkap-coso.html
dan peraturan. Komponennya terdiri dari lima unsur yaitu: (1) control
environment; (2) risk assessment; (3) control activities; (4)
information and communication; dan (5) monitoring.
 Batasan Fungsi COSO IC 1992

DI LUAR
FUNGSI IC
 Pembaruan COSO IC
2013 (1)
• The 2013 Framework focuses on five integrated components of internal
control: control environment, risk assessment, control activities,
information and communication, and monitoring activities (see Exhibit 1).
The updated 2013 Framework:
• Clarifies the application of the 2013 Framework in today’s environment
with the various business models, technology, and related risks
• Codifies criteria that can be used in developing and evaluating the
effectiveness of systems of internal control – making explicit 17
principles, each with points of focus (see Exhibit 2)
• Expands reporting objectives to support internal, financial and
nonfinancial reporting, and operational and compliance objectives
• Emphasizes the need for judgment in evaluating whether a company
achieves effective internal control Focuses on accountability for
internal control throughout the organization starting at the board level
and senior management
• Explicitly considers IT controls and identifies the need for fraud risk
consideration not limited to financial statements but also within
compliance and operations
Pembaruan COSO IC 2013 (2)
1. Pada akhir tahun 2010, COSO mengumumkan sebuah proyek untuk memperbarui Internal Control-Integrated Framework yang diterbitkan tahun 1992. Sama dengan
proyek manajemen risiko, proyek ini juga dilaksanakan oleh PwC.
2. Proyek ini membuahkan hasil nyata dengan terbitnya kerangka kerja pengendalian intern yang baru pada tahun 2013 dengan judul yang sama dengan kerangka kerja
tahun 1992 yaitu Internal Control - Integrated Framework. Pada kerangka kerja yang baru ini tidak terjadi perubahan definisi dan komponen sistem pengendalian intern
dari kerangka kerja yang lama.
3. Hal yang baru dari kerangka kerja pengendalian intern 2013 di antaranya:
a. Membuat kodifikasi prinsip yang merepresentasikan konsep fundamental terkait dengan lima komponen pengendalian intern. Hal ini dilakukan untuk meningkatkan
pemahaman manajemen atas pelaksanaan pengendalian intern secara efektif. Komponen dan prinsip yang telah ditetapkan akan menciptakan suatu kriteria dan
titik fokus yang akan membantu manajemen dalam menilai apakah komponen pengendalian intern ada, berfungsi dan beroperasi secara bersamaan dalam
organisasi.
b. Memperjelas peran penetapan tujuan dalam pengendalian intern. Pada kerangka yang lama disebut bahwa penetapan tujuan merupakan proses manajemen
yang dilakukan di pra-kondisi pengendalian intern. Konsep tersebut dipertegas pada kerangka yang baru dengan menunjukkan bahwa penetapan
tujuan bukan merupakan bagian dari pengendalian intern.
c. Mencerminkan relevansi peningkatan teknologi dalam mempengaruhi penerapan komponen pengendalian intern. Hal ini penting karena jumlah organisasi yang
menggunakan atau bergantung pada teknologi telah berkembang secara pesat.
d. Memperkuat konsep governance terutama yang terkait dengan dewan direksi, anggota dewan, termasuk komite audit, kompensasi, nominasi, dan
governance. Dewan direksi memiliki peran yang penting dalam pengawasan untuk menciptakan pengendalian yang efektif.
e. Memuat lebih banyak pembahasan mengenai kecurangan.
f. Memperluas kategori tujuan pelaporan keuangan dengan mempertimbangkan pelaporan eksternal di luar pelaporan keuangan serta pelaporan internal baik
keuangan maupun non-keuangan.
g. Meningkatkan fokus pada tujuan selain pelaporan keuangan. Perluasan fokus tersebut memberikan panduan yang lebih jelas terkait tujuan operasi, kepatuhan dan
tujuan non-pelaporan keuangan.
Sumber: https://www.klikharso.com/2016/04/sejarah-lengkap-coso.html
 Perbedaan Prinsip (Sub Unsur) COSO IC 1992
vs COSO IC 2013
5 Components 20 Principles

Control Environment Integrity and Ethical Values

Commitment to Competence

Tone at The Top (Board of Directors or Audit Committee)

Management’s Philosophy and Operating Style

Organizational Structure

Assignment of Authority and Responsibility

Human Resource Policies and Practices

Risk Assessment Entity-Wide Objectives

Activity-level Objectives

Risks (Identification and Evaluation)

Managing Change

Control Activities Types of Control Activities (such as Top Level Reviews, Direct Functional or
Activity Management, Information Processing, Physical Controls, Performance
Indicators, Segregation of Duties)

Policies and Procedures

Integration with Risk Assessment

Controls over Information Systems (General Controls, Data Center Operations

Controls, System Software Controls, Access Security Controls, Application
System Development and Maintenance Controls)

Information and Communication Information

Communication

Monitoring On Going Monitoring

Separate Evaluations

Reporting Deficiencies
Perbedaan Desain COSO IC 1992 vs COSO IC 2013

Perluasan pada
Reporting di
luar Financial
Reporting
 LATAR BELAKANG COSO ERM 2004
• Terjadinya kegagalan dan skandal bisnis besar seperti Enron, Tyco International,
Adelphia, Peregrine Systems dan WorldCom telah menyadarkan perlunya
penguatan tata kelola dan manajemen risiko organisasi.

• Tuntutan Sarbanes-Oxley Act of 2002

• Merespon hal itu, pada tahun 2001 COSO menggandeng kantor akuntan
PricewaterhouseCoopers (PwC) untuk mengembangkan kerangka kerja yang
dapat dipakai untuk menilai dan memperbaiki manajemen risiko organisasi.
Hasilnya, pada tahun 2004 COSO mempublikasikan Enterprise Risk
Management-Integrated Framework.

• Kerangka tersebut pada dasarnya merupakan kerangka pengendalian intern

yang diperluas dengan perhatian yang lebih kuat pada aspek manajemen
risiko.

• Tujuan organisasi yang hendak dicapai melalui kerangka kerja manajemen risiko
meliputi empat hal yaitu: (1) tujuan strategis yang sejalan dengan misi
organisasi; (2) efektivitas dan efisiensi operasi; (3) keandalan pelaporan; dan (4)
kepatuhan terhadap hukum dan peraturan.

• Komponen kerangka kerja manajemen risiko lebih banyak dibanding

pengendalian intern, yaitu dari delapan unsur: (1) internal environment; (2)
objective setting; (3) event identification; (4) risk assessment; (5) risk response;
(6) control activities; (7) information and communication; dan (8) monitoring.

• Catatan:
Sumber: https://www.klikharso.com/2016/04/sejarah-
• Meskipun kerangka kerja tersebut merupakan perluasan dari kerangka kerja
pengendalian intern, namun COSO menyatakan bahwa kerangka COSO ERM 2004 lengkap-coso.html
itu tidak dimaksudkan untuk menggantikan kerangka kerja Internal Control
Integrated Framework 1992.
 Within the context of an entity’s established mission or vision,
management establishes strategic objectives, selects strategy,

Fitur COSO ERM 2004 and sets aligned objectives cascading through the enterprise.
This enterprise risk management framework is geared to
achieving an entity’s objectives, set forth in four categories:
• Strategic – high-level goals, aligned with and supporting its
mission
• Aligning risk appetite and strategy – Management considers • Operations – effective and efficient use of its resources
the entity’s risk appetite in evaluating strategic alternatives,
setting related objectives, and developing mechanisms to • Reporting – reliability of reporting
manage related risks.
• Compliance – compliance with applicable laws and
• Enhancing risk response decisions – Enterprise risk regulations.
management provides the rigor to identify and select among
alternative risk responses – risk avoidance, reduction,
sharing, and acceptance.
• Reducing operational surprises and losses – Entities gain
enhanced capability to identify potential events and establish
responses, reducing surprises and associated costs or losses.
• Identifying and managing multiple and cross-enterprise risks
– Every enterprise faces a myriad of risks affecting different
parts of the organization, and enterprise risk management
facilitates effective response to the interrelated impacts, and
integrated responses to multiple risks.
• Seizing opportunities – By considering a full range of
potential events, management is positioned to identify and
proactively realize opportunities.
• Improving deployment of capital – Obtaining robust risk
information allows management to effectively assess overall
capital needs and enhance capital allocation.
35 Sub Unsur/ Elemen
COSO ERM 2004
Risk Culture dalam COSO ERM 2004
 Pembaruan COSO ERM 2017
• Pokok-pokok penyempurnaan tersebut di antaranya adalah:
• Menekankan aspek strategi dan tujuan di dalam definisi risiko. Risiko didefinisikan sebagai "kemungkinan peristiwa akan
terjadi dan berpengaruh pada strategi dan tujuan bisnis". Organisasi didorong untuk mempertimbangkan misi utamanya saat
memilih strategi risiko serta mempertimbangkan bagaimana pengaruh pendekatan pengelolaan risiko terhadap profil risiko
dan hambatan apa yang mungkin dihadapi saat menjalankan pendekatan tersebut.
• Menyederhanakan definisi ERM yaitu menjadi "budaya, kapabilitas, dan praktik yang terintegrasi dengan penentuan dan
eksekusi strategi, yang diandalkan oleh organisasi untuk mengelola risiko dalam menciptakan, memelihara, dan
mewujudkan nilai."
• Menghilangkan penjelasan eksplisit empat kategori tujuan organisasi yang hendak dicapai melalui ERM yang sebelumnya ada
pada kerangka 2004.
• Mengubah komponen ERM yang semula terdiri dari delapan menjadi lima komponen yaitu: (1) tata kelola dan budaya risiko
(risk governance and culture); (2) risiko, strategi dan penentuan tujuan (risk, strategy, and objective-setting); (3) risiko dalam
pelaksanaan (risk in execution); (4) informasi, komunikasi, dan pelaporan risiko (risk information, communication, and Sumber: https://www.klikharso.com/2016/07/manajemen-risiko-
reporting); (5) pemantauan kinerja ERM (monitoring ERM performance). coso-dulu-dan-nanti.html
• Mendorong pengguna untuk memperlakukan ERM sebagai bagian dari proses manajemen organisasi dan bukan sebagai
aktivitas yang terpisah atau silo.
• Mengangkat pembahasan tentang strategi dengan fokus pada tiga konsep, yaitu kemungkinan strategi dan tujuan tidak
selaras dengan misi, visi, dan nilai-nilai; implikasi dari strategi yang dipilih; dan risiko pelaksanaan strategi tersebut.
• Memperkuat keterkaitan antara kinerja dan ERM dengan fokus pada peran risiko sebagai bagian integral dari penentuan
tujuan organisasi.
• Mengkaji peran budaya yang mencakup nilai etika organisasi, perilaku yang harapkan, dan pemahaman tentang risiko.
Hubungan antara budaya dan konteks bisnis mempengaruhi pemilihan dan pelaksanaan strategi.
• Menghubungkan secara lebih eksplisit antara ERM dengan pengambilan keputusan. Keputusan mengenai berbagai hal seperti
pemilihan strategi, penetapan tujuan dan target kinerja, dan alokasi sumber daya akan memiliki informasi yang lebih kaya jika
informasi tentang risiko di-share.
• Memperjelas perbedaan antara selera risiko dan variasi yang dapat diterima dalam kinerja atau sering disebut toleransi risiko.
Selera risiko adalah jumlah risiko yang siap diterima organisasi dalam mencapai strategi dan tujuan. Sementara toleransi risiko
bukan merupakan versi lebih rinci dari selera risiko melainkan penentuan besaran risiko yang dapat diterima untuk tingkat
kinerja tertentu. Risiko dan kinerja tidak dianggap statis dan terpisah tapi selalu berubah dan mempengaruhi satu sama lain.
20 Sub Unsur COSO ERM 2017
LATAR BELAKANG

1. The International Organization for Standardization (ISO) 31000: 2009 Risk Management –
Principles and Guidelines merupakan sebuah standar internasional yang disusun dengan tujuan
memberikan prinsip dan panduan generik untuk penerapan manajemen risiko.
2. Standar internasional yang diterbitkan pada 13 November 2009 ini dapat digunakan oleh segala
jenis organisasi dalam menghadapi berbagai risiko yang melekat pada aktivitas mereka.
3. Walaupun ISO 31000: 2009 menyediakan panduan generik, standar ini tidak ditujukan untuk
menyeragamkan manajemen risiko lintas organisasi, tetapi ditujukan untuk memberikan standar
pendukung penerapan manajemen risiko dalam usaha memberikan jaminan terhadap
pencapaian sasaran organisasi.
4. ISO 31000: 2009 menyediakan prinsip, kerangka kerja, dan proses manajemen risiko yang
dapat digunakan sebagai arsitektur manajemen risiko dalam usaha menjamin penerapan
manajemen risiko yang efektif.
ISO 31000, 2009

“ISO 31000 2009 memisahkan secara tegas antara Prinsip (budaya), Framework, dan Proses”
PENYEMPURNAAN MR ISO 2009
1. Pada Februari 2018, organisasi standar internasional ISO menerbitkan ISO 31000:2018 Risk management —
Guidelines. Standar ini menggantikan ISO 31000:2009 Risk management — Principles and guidelines yang
diterbitkan pada November 2009. Revisi ini merupakan bagian dari proses peninjauan sistematis yang diterapkan
pada semua standar ISO;
2. Secara umum, ISO 31000:2018 menyederhanakan versi 2009. Hal itu langsung terlihat antara lain dari nama yang
berubah dari “principles and guidelines” menjadi hanya “guidelines” serta dari jumlah halaman yang menyusut
dari 24 halaman menjadi 16 halaman.
3. Diagram yang menggambarkan hubungan prinsip, kerangka kerja, dan proses manajemen proses pun berubah.
Pada versi 2009, prinsip, kerangka kerja, dan proses digambarkan sebagai rangkaian unsur yang berurutan,
sedangkan pada versi 2018 ketiga bagian ini digambarkan sebagai sistem terbuka yang saling berkaitan;
4. Proses manajemen risiko relatif tidak berubah. Proses “penetapan konteks” diubah namanya menjadi “lingkup,
konteks, dan kriteria”. Proses “pencatatan dan pelaporan” dicantumkan secara eksplisit di dalam diagram setelah
sebelumnya hanya ada pada bagian teks pada versi 2009;
5. SO 31000:2018 menekankan tujuan manajemen risiko, yaitu menciptakan dan melindungi nilai. Tujuan itu
diwujudkan dengan (1) meningkatkan kinerja, (2) mendorong inovasi, dan (3) mendukung pencapaian sasaran.
Manajemen risiko adalah bagian dari tata kelola (governance) dan harus terintegrasi di dalam proses organisasi.
Penerapan manajemen risiko memerlukan kepemimpinan dan komitmen dari manajemen puncak, serta
keterlibatan aktif dari semua anggota organisasi.
ISO 31000, 2018
Kompatibilitas
SPIP dengan
COSO ERM dan
ISO 31000
 SPIP PP 60 2008

SPIP PP 60 2008 mengadopsi Framework

COSO IC namun sudah dimodifikasi dan
ditambahkan fitur-fitur ERM
 SPIP dan Manajemen Strategis
SPIP mengakomodir salah satu tujuan utama COSO ERM, yakni Strategic
– high-level goals, aligned with and supporting its mission

• Pasal 2 ayat 3: SPIP sebagaimana dimaksud pada ayat (2) bertujuan untuk
memberikan keyakinan yang memadai bagi tercapainya efektivitas dan
efisiensi pencapaian tujuan penyelenggaraan pemerintahan negara,
keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan
terhadap peraturan perundang-undangan
• Pasal 13 ayat 3: Dalam rangka penilaian risiko sebagaimana
dimaksud pada ayat (1), pimpinan Instansi Pemerintah menetapkan:
a. tujuan Instansi Pemerintah; dan
b. tujuan pada tingkatan kegiatan,
dengan berpedoman pada peraturan perundangundangan

• Pasal 14 ayat 1: Tujuan Instansi Pemerintah sebagaimana dimaksud dalam

Pasal 13 ayat (3) huruf a memuat pernyataan dan arahan yang spesifik,
terukur, dapat dicapai, realistis, dan terikat waktu.
• Pasal 14 ayat 3: Untuk mencapai tujuan Instansi Pemerintah
sebagaimana dimaksud pada ayat (1), pimpinan Instansi Pemerintah
menetapkan: a. strategi operasional yang konsisten; dan
b. strategi manajemen terintegrasi dan rencana penilaian risiko

• Pasal 15:Penetapan tujuan pada tingkatan kegiatan sebagaimana dimaksud

dalam Pasal 13 ayat (3) huruf b sekurangkurangnya dilakukan dengan
memperhatikan ketentuan sebagai berikut:
a. berdasarkan pada tujuan dan rencana strategis Instansi Pemerintah;
 • Baik COSO ERM maupun ISO 31000 menegaskan bahwa Prinsip/Budaya Risiko adalah sesuatu
yang di mulai dari Pimpinan (Tone at the Top). Salah satu Prinsip/Budaya risiko pada ISO 31000
adalah “part of decision making”, Pada SPIP PP 60 hal ini diakomodir dalam Pasal 7 Huruf a
yakni: “Kepemimpinan yang kondusif sebagaimana dimaksud dalam Pasal 4 huruf c sekurang-
kurangnya ditunjukkan dengan:
a. mempertimbangkan risiko dalam pengambilan keputusan;”

SPIP dan • Pada COSO ERM 2017, Budaya Risiko yang diselenggarakan melalui Governance and Culture
menekankan elemen exercises board risk oversight-the board of directors provides the oversight
of strategy and carries out governance responsibilities to support management in achieving

Budaya •
strategy and business objectives. hal ini telah diakomodir dalam SPIP PP 60 melalui pasal 13 ayat
1 dan 3 yakni:
(1) Pimpinan Instansi Pemerintah wajib melakukan penilaian risiko.
Risiko versi • (3) Dalam rangka penilaian risiko sebagaimana dimaksud pada ayat (1), pimpinan Instansi
Pemerintah menetapkan:

COSO ERM a. tujuan Instansi Pemerintah; dan

b. tujuan pada tingkatan kegiatan,
dengan berpedoman pada peraturan perundangundangan.

2017 •
•
Pasal ini ditegaskan Kembali pada Pasal 14 ayat 1 dan 3 yakni:
(1)Tujuan Instansi Pemerintah sebagaimana dimaksud dalam Pasal 13 ayat (3) huruf a memuat
pernyataan dan arahan yang spesifik, terukur, dapat dicapai, realistis, dan terikat waktu.
• (3) Untuk mencapai tujuan Instansi Pemerintah sebagaimana dimaksud pada ayat (1), pimpinan
Instansi Pemerintah menetapkan:
a. strategi operasional yang konsisten; dan
b. strategi manajemen terintegrasi dan rencana penilaian risiko
 SPIP dan Budaya Risiko Versi ISO 31000 2018 (1)
Sub Unsur ISO 31000 2018 uraian
Integrated manajemen risiko adalah bagian
integral dari semua aktivitas
organisasi.
Structured and pendekatan terstruktur dan
Comprehensive komprehensif terhadap manajemen
risiko berkontribusi terhadap hasil
yang konsisten dan terstruktur.
Pasal PP 60 SPIP uraian
Definisi SPIP Sistem Pengendalian Intern adalah proses yang integral pada
tindakan dan kegiatan yang dilakukan secara terus menerus oleh
pimpinan dan seluruh pegawai untuk memberikan keyakinan
memadai atas tercapainya tujuan organisasi melalui kegiatan yang
efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset
negara, dan ketaatan terhadap peraturan perundang-undangan
Pasal 3 ayat 2 Penerapan unsur SPIP sebagaimana dimaksud pada ayat
(1)dilaksanakan menyatu dan menjadi bagian integral dari kegiatan
Instansi Pemerintah.
Pasal 14 ayat 3 Untuk mencapai tujuan Instansi Pemerintah sebagaimana dimaksud
pada ayat (1), pimpinan Instansi Pemerintah menetapkan:
a. strategi operasional yang konsisten; dan
b. strategi manajemen terintegrasi dan rencana penilaian risiko.
Penjelasan Pasal 3 Dalam menerapkan unsur SPIP, pimpinan Instansi Pemerintah
ayat 2 bertanggung jawab untuk mengembangkan kebijakan, prosedur dan
praktik detil untuk menyesuaikan dengan kegiatan Instansi
Pemerintah dan untuk memastikan bahwa unsur tersebut telah
menyatu dan menjadi bagian integral dari kegiatan Instansi
Pemerintah.
Penjelasan Pasal 14 Dalam menetapkan strategi manajemen terintegrasi dan rencana
ayat 3 huruf b penilaian risiko, pimpinan Instansi
Pemerintah:
1. mempertimbangkan tujuan Instansi Pemerintah dan sumber risiko
yang relevan dari faktor internal dan faktor eksternal, dan
2. menetapkan struktur pengendalian untuk menangani risiko
tersebut.
BAGIAN V 2.Dalam proses melaksanakan kegiatan rutin, pegawai Instansi
PEMANTAUAN Pemerintah mendapatkan informasi berfungsinya pengendalian
intern secara efektif. Hal-hal yang perlu dipertimbangkan adalah
sebagai berikut:
a. Laporan operasional sudah terintegrasi atau direkonsiliasi dengan
data laporan keuangan dan anggaran dan digunakan untuk
mengelola operasional berkelanjutan, serta pimpinan Instansi
Pasal 8 Pembentukan struktur organisasi yang sesuai dengan kebutuhan
Pasal 14 ayat 1 Tujuan Instansi Pemerintah sebagaimana dimaksud dalam Pasal 13
ayat (3) huruf a memuat pernyataan dan arahan yang spesifik,
terukur, dapat dicapai, realistis, dan terikat waktu
Sub Unsur ISO 31000 2018 uraian
Customized kerangka kerja dan proses manajemen
risiko disesuaikan dan proporsional
dengan konteks eksternal dan internal
organisasi yang berkaitan dengan
sasarannya.
Inclusive pelibatan yang sesuai dan tepat waktu
dari pemangku kepentingan
memungkinkan pengetahuan,
pandangan, dan persepsi mereka untuk
dipertimbangkan
Pasal PP 60 SPIP uraian
Pasal 8 Pembentukan struktur organisasi yang sesuai dengan kebutuhan
sebagaimana dimaksud dalam Pasal 4 huruf d sekurang-kurangnya dilakukan
dengan:
a. menyesuaikan dengan ukuran dan sifat kegiatan Instansi Pemerintah;
b. memberikan kejelasan wewenang dan tanggung jawab dalam Instansi
Pemerintah;
c. memberikan kejelasan hubungan dan jenjang pelaporan intern dalam
Instansi Pemerintah;
d. melaksanakan evaluasi dan penyesuaian periodik terhadap struktur
organisasi sehubungan dengan perubahan lingkungan strategis; dan
e. menetapkan jumlah pegawai yang sesuai, terutama untuk posisi pimpinan
Pasal 16 Identifikasi risiko sebagaimana dimaksud dalam Pasal 13 ayat (2) huruf a
sekurang-kurangnya dilaksanakan dengan:
a. menggunakan metodologi yang sesuai untuk tujuan Instansi Pemerintah
dan tujuan pada tingkatan kegiatan secara komprehensif;
b. menggunakan mekanisme yang memadai untuk mengenali risiko dari
faktor eksternal dan faktor internal; dan
c. menilai faktor lain yang dapat meningkatkan risiko.
Penjelasan Pasal 14 ayat 3 Dalam menetapkan strategi manajemen terintegrasi dan rencana penilaian
huruf b risiko, pimpinan Instansi
Pemerintah:
1. mempertimbangkan tujuan Instansi Pemerintah dan sumber risiko yang
relevan dari faktor internal dan faktor eksternal, dan
2. menetapkan struktur pengendalian untuk menangani risiko tersebut.
BAGIAN II PENILAIAN RISIKO Pimpinan dan pegawai Instansi Pemerintah yang berkepentingan
HURUF D ANALISIS RISIKO diikutsertakan dalam kegiatan analisis risiko.
BAGIAN II PENILAIAN RISIKO Cara suatu risiko diidentifikasi, diperingkat, dianalisis, dan diatasi telah
HURUF C IDENTIFIKASI dikomunikasikan kepada pegawai yang berkepentingan.
RISIKO
penjelasan Pasal 16 Huruf a Metode identifikasi risiko dapat mencakup pemeringkatan (ranking activities)
secara kualitatif dan kuantitatif, pembahasan pada tingkat pimpinan,
prakiraan dan perencanaan strategis, serta pertimbangan terhadap temuan
audit dan evaluasi aparat pengawasan intern pemerintah.
 SPIP dan Budaya Risiko Versi ISO 31000 2018 (2)
Sub Unsur ISO 31000 2018 uraian Pasal PP 60 SPIP uraian
Dynamic risiko dapat muncul, berubah, atau hilang seiring perubahan konteks Penjelasan Pasal 16 Huruf b Risiko yang berasal dari faktor eksternal misalnya peraturan perundang-undangan baru, perkembangan teknologi, bencana alam, dan
eksternal dan internal organisasi. Manajemen risiko mengantisipasi, gangguan keamanan. Risiko yang berasal dari faktor internal misalnya keterbatasan dana operasional, sumber daya manusia yang tidak
mendeteksi, mengakui, dan menanggapi perubahan dan peristiwa kompeten, peralatan yang tidak memadai, kebijakan dan prosedur yang tidak jelas, dan suasana kerja yang tidak kondusif.
tersebut secara sesuai dan tepat waktu.
Penjelasan Pasal 16 Huruf c Dalam menilai faktor lain yang dapat meningkatkan risiko, pimpinan Instansi Pemerintah mempertimbangkan seluruh risiko akibat kegagalan
pencapaian tujuan dan keterbatasan anggaran yang pernah terjadi antara lain disebabkan oleh pengeluaran program yang tidak tepat,
pelanggaran terhadap pengendalian dana, dan ketidaktaatan terhadap peraturan perundang-undangan. Selain itu, pimpinan Instansi
Pemerintah mengidentifikasi setiap risiko yang melekat pada sifat misinya atau pada signifikansi dan kompleksitas dari setiap program atau
kegiatan spesifik yang dilaksanakan.
Best available Information masukan manajemen risiko didasarkan atas informasi historis dan Penjelasan Pasal 16 Huruf c Dalam menilai faktor lain yang dapat meningkatkan risiko, pimpinan Instansi Pemerintah mempertimbangkan seluruh risiko akibat kegagalan
saat ini, dan juga harapan masa depan. Manajemen risiko secara pencapaian tujuan dan keterbatasan anggaran yang pernah terjadi antara lain disebabkan oleh pengeluaran program yang tidak tepat,
eksplisit memperhitungkan segala batasan dan ketidakpastian yang pelanggaran terhadap pengendalian dana, dan ketidaktaatan terhadap peraturan perundang-undangan. Selain itu, pimpinan Instansi
berkaitan dengan informasi dan harapan tersebut. Informasi Pemerintah mengidentifikasi setiap risiko yang melekat pada sifat misinya atau pada signifikansi dan kompleksitas dari setiap program atau
sebaiknya tepat waktu, jelas, dan tersedia bagi pemangku kegiatan spesifik yang dilaksanakan.
kepentingan yang relevan.
Penjelasan Pasal 38 ayat 1 Pencatatan yang akurat dan tepat waktu bertujuan agar tersedia informasi yang relevan dan terpercaya untuk pengambilan keputusan.
Penjelasan Pasal 38 ayat 2 Klasifikasi yang tepat dan pencatatan yang segera dilakukan agar informasi yang diperoleh tetap relevan, bernilai, dan bermanfaat bagi
pimpinan Instansi Pemerintah dalam mengendalikan kegiatan dan dalam pengambilan keputusan. Klasifikasi yang tepat atas transaksi dan
kejadian mencakup pengaturan dan format informasi pada dokumen sumber dan catatan ikhtisar (summary record) sebagai sumber
pelaporan.
Penjelasan Pasal 42 ayat 2 huruf a Bentuk dan sarana untuk mengkomunikasikan informasi penting antara lain berupa buku pedoman kebijakan dan prosedur, surat edaran,
memorandum, papan pengumuman, situs internet dan intranet, rekaman video, e-mail, dan arahan lisan, termasuk pula tindakan pimpinan
yang mendukung implementasi Sistem Pengendalian Intern.
Penjelasan Pasal 42 ayat 2 huruf b Dalam rangka mengelola, mengembangkan, dan memperbarui sistem informasi, pimpinan Instansi Pemerintah perlu mempertimbangkan
manajemen sistem informasi, mekanisme identifikasi kebutuhan informasi, perkembangan dan kemajuan teknologi informasi, pemantauan
mutu informasi, dan kecukupan sumber daya manusia dan keuangan untuk pengembangan teknologi informasi.
Sub Unsur ISO 31000 2018 uraian Pasal PP 60 SPIP uraian
Human and Cultural Factors perilaku dan budaya manusia secara signifikan memengaruhi semua Penjelasan Pasal 42 ayat 2 huruf b Dalam rangka mengelola, mengembangkan, dan memperbarui sistem informasi, pimpinan Instansi Pemerintah perlu mempertimbangkan
aspek manajemen risiko pada semua tingkat dan tahap manajemen sistem informasi, mekanisme identifikasi kebutuhan informasi, perkembangan dan kemajuan teknologi informasi, pemantauan
mutu informasi, dan kecukupan sumber daya manusia dan keuangan untuk pengembangan teknologi informasi.
Penjelasan Pasal 20 huruf b Strategi perencanaan dan pembinaan sumber daya manusia mencakup kebijakan, program, praktik yang menjadi acuan bagi Instansi
Pemerintah tersebut dan dapat mengidentifikasi kebutuhan sumber daya manusia pada saat ini dan masa yang akan datang.
Penjelasan Pasal 16 huruf b Risiko yang berasal dari faktor eksternal misalnya peraturan perundang-undangan baru, perkembangan teknologi, bencana alam, dan
gangguan keamanan. Risiko yang berasal dari faktor internal misalnya keterbatasan dana operasional, sumber daya manusia yang tidak
kompeten, peralatan yang tidak memadai, kebijakan dan prosedur yang tidak jelas, dan suasana kerja yang tidak kondusif.
I.UMUM Sistem Pengendalian Intern perlu mempertimbangkan aspek biaya manfaat (cost and benefit), sumber daya manusia, kejelasan kriteria
pengukuran efektivitas, dan perkembangan teknologi informasi serta dilakukan secara komprehensif.
Sistem Pengendalian Intern dalam Peraturan Pemerintah ini dilandasi pada pemikiran bahwa Sistem Pengendalian Intern melekat sepanjang
kegiatan, dipengaruhi oleh sumber daya manusia, serta hanya memberikan keyakinan yang memadai, bukan keyakinan mutlak.
Continual Improvement manajemen risiko diperbaiki secara berkelanjutan melalui pelajaran BAGIAN VI IKHTISAR PENGENDALIAN Pemantauan pengendalian intern menilai kualitas kinerja pengendalian intern Instansi Pemerintah secara terus-menerus sebagai bagian dari
dan pengalaman. INTERN SECARA KESELURUHAN proses pelaksanaan kegiatan sehari-hari. Selain itu, evaluasi terpisah terhadap pengendalian intern dilakukan secara berkala dan kelemahan
HURUF E. PEMANTAUAN yang ditemukan diteliti lebih lanjut. Sudah ada
prosedur untuk memastikan bahwa seluruh temuan audit dan reviu lainnya segera dievaluasi, ditentukan tanggapan yang tepat, dan
dilaksanakan tindakan perbaikannya
BAGIAN V PEMANTAUAN HURUF A. Adanya strategi yang meliputi rencana untuk mengevaluasi secara berkala kegiatan pengendalian atas kegiatan operasi penting dan sistem
PEMANTAUAN BERKELANJUTAN, pendukung pencapaian misi
poin e.
 Penjelasan Daftar Uji SPIP pada PP 60 2008:
• Daftar Uji Pengendalian Intern Pemerintah dapat dijadikan panduan
PP 60 SPIP bagi pimpinan Instansi Pemerintah dan evaluator. Daftar uji ini hanya
merupakan referensi awal serta dapat disesuaikan dengan situasi,

dan Teknik kondisi, dan risiko masing-masing Instansi Pemerintah. Dalam

menerapkan daftar uji ini perlu dipertimbangkan tujuan Instansi
Pemerintah dan aspek biaya-manfaat. Pengguna harus
Proses mempertimbangkan butir-butir yang relevan serta menghilangkan
atau menambah butir lainnya jika perlu sesuai dengan situasi dan

Manajemen kondisi yang dihadapi Instansi Pemerintah. Selain itu, pengguna

dapat mengatur ulang atau menyusun kembali butir-butir tersebut
untuk memenuhi kebutuhannya dengan tetap mengikuti format
Risiko yang unsur-unsur Sistem Pengendalian Intern.
• Daftar Uji Pengendalian Intern ini dikembangkan dengan
terus menggunakan banyak sumber informasi dan ide-ide yang berbeda-
beda. Sumber utamanya adalah Internal Control Management and
berkembang Evaluation Tool dari General Accounting Office (GAO), ketentuan-
ketentuan sebagaimana dinyatakan dalam pasal-pasal dan penjelasan
Peraturan Pemerintah ini, serta peraturan perundang-undangan
lainnya.
SPIP dan FRM
 SPIP dan FRM menurut PP 60
• Penjelasan Pasal 36 ayat 1: PEMISAHAN FUNGSI ditujukan
untuk mengurangi risiko terjadinya kesalahan, pemborosan,
atau KECURANGAN.
• Penjelasan Pasal 36 ayat 2: Tanggung jawab dan tugas atas
transaksi atau kejadian dipisah-pisahkan dan dilimpahkan
kepada pegawai yang
berbeda secara sistematis untuk menjamin adanya CHECKS
AND BALANCES dan mengurangi kesempatan terjadinya
KOLUSI. Aspek utama transaksi atau kejadian meliputi
otorisasi, persetujuan, pemrosesan dan pencatatan,
pembayaran atau penerimaan dana, reviu dan audit, serta
penyimpanan dan penanganan aset.
• Catatan atas Pemisahan Fungsi: Pimpinan Instansi
Pemerintah mengurangi kesempatan terjadinya kolusi
karena adanya kesadaran bahwa KOLUSI mengakibatkan
ketidakefektifan pemisahan fungsi.
• Dalam Instansi Pemerintah yang menggunakan SISTEM
INFORMASI BERBASIS KOMPUTER, evaluasi terpisah
dilakukan dengan menggunakan TEKNIK AUDIT
BERBANTUAN KOMPUTER untuk mengidentifikasi indikator
inefisiensi, pemborosan, atau PENYALAHGUNAAN.
• Bagian Pendahuluan dari Daftar Uji Pengendalian Intern Pemerintah:
• Untuk memastikan bahwa Sistem Pengendalian Intern tersebut sudah
dirancang dan diimplementasikan dengan baik, dan SECARA MEMADAI
DIPERBAHARUI untuk MEMENUHI KEADAAN YANG TERUS BERUBAH
perlu dilakukan pemantauan secara terus-menerus.
• Instansi Pemerintah melakukan pemantauan antara lain melalui
evaluasi terpisah atas Sistem Pengendalian Internnya masing-masing
UNTUK MENGETAHUI KINERJA DAN EFEKTIVITAS SISTEM
PENGENDALIAN INTERN SERTA CARA MENINGKATKANNYA.
• Pemantauan juga berguna untuk mengidentifikasi dan mengatasi risiko
utama seperti PENGGELAPAN, pemborosan, PENYALAHGUNAAN, dan
salah-kelola (mismanagement).
• Daftar Uji Pengendalian Intern Pemerintah dapat dijadikan panduan
bagi pimpinan Instansi Pemerintah dan evaluator. Daftar uji ini hanya
merupakan REFERENSI AWAL serta DAPAT DISESUAIKAN DENGAN
SITUASI, KONDISI, DAN RISIKO MASING-MASING INSTANSI
PEMERINTAH.
• Dalam menerapkan daftar uji ini perlu dipertimbangkan tujuan Instansi
Pemerintah dan ASPEK BIAYA-MANFAAT.
• Pengguna harus mempertimbangkan butir-butir yang relevan serta
MENGHILANGKAN ATAU MENAMBAH BUTIR LAINNYA JIKA PERLU
sesuai dengan situasi dan kondisi yang dihadapi Instansi Pemerintah.
Selain itu, pengguna dapat MENGATUR ULANG ATAU MENYUSUN
KEMBALI BUTIR-BUTIR TERSEBUT untuk memenuhi kebutuhannya
dengan tetap mengikuti format unsur-unsur Sistem Pengendalian
Intern.
Kompatibilitas Antara COSO FRM dan COSO IC 2013
Kompatibilitas Antara COSO FRM dan SPIP

Unsur COSO FRM

1.Organisasi menetapkan dan mengkomunikasikan Program Fraud Risk

Management yang menggambarkan ekspektasi dan komitmen Pimpinan
Instansi/Board of Directors/Senior Management atas integritas tinggi dan nilai-nilai
etik terkait pengelolaan (managing) risiko fraud

2.Organisasi melaksanakan Fraud Risk Assessment secara komprehensif untuk

mengidentifikasikan skema-skema dan risiko fraud, serta menilai (assess)
kemungkinan (likelihood) dan signifikansinya. Serta mengevaluasi aktivitas
pengendalian fraud yang sudah ada (existing), dan memitigasi risiko fraud residual.

3.Organisasi memilih (select), mengembangkan (develop), dan melaksanakan

(deploys) aktivitas pengendalian fraud secara preventive maupun detective untuk
memitigasi risiko terjadinya aktivitas fraud atau risiko gagalnya pendeteksian fraud
sebelum aktivitas fraud terjadi.

4.Organisasi menetapkan suatu proses komunikasi untuk mendapatlan informasi

atas potensi fraud dan melaksanakan investigasi serta Tindakan korektif secara
koordinatif untuk menanggulangi fraud secara tepat waktu

5.Organisasi memilih, mengembangkan, dan melaksanakan evaluasi secara berkala

untuk meyakinkan bahwa 5 unsur FRM telah dilaksanakan, dan
mengkomunikasikan kekurangan-kekurangan dari Program FRM yang dilaksanakan
secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk
melaksanakan Tindakan korektif, termasuk Pimpinan Instansi/Senior
Management/Board of Directors
BUDAYA, STRUKTUR,
DAN PROSES
MANAJEMEN RISIKO
 DEFINISI MANAJEMEN RISIKO

Sumber: PMK 171/2016

Budaya, Struktur, Proses
BUDAYA
 DEFINISI STRUKTUR

Structure is the manner of

construction of something
and the arrangement of its
parts (Oxford Dictionary)
Peran/Fungsi/Unit/Komponen/Aktor

Hubungan antar
Peran/Fungsi/Unit/Komponen/Aktor

Menurut KBBI: Menurut KBBI:

Struk.tur (n) adalah cara sesuatu Kelembagaan (n): perihal (yang bersifat lembaga)
disusun atau dibangun; susunan; Lembaga (n): pola perilaku manusia yang mapan, terdiri atas
bangunan interaksi sosial berstruktur dalam suatu kerangka nilai yang relevan
STRUKTUR

THREE LINES OF DEFENSE FRAMEWORK

Sumber: The IIA Preposition Paper

 STRUKTUR MANAJEMEN RISIKO

BOARD/ JAJARAN PIMPINAN ORGANISASI

KOMITE MANAJEMEN RISIKO

Unit Kepatuhan Catatan:

Pemilik Risiko Internal Audit
Manajemen Risiko Perlu
didukung
a. Memantau dan
a. Menciptakan lingkungan a.Melaksanakan reviu aplikasi
Pertahanan Lini Pertama

melaporkan risiko-risiko

Pertahanan Lini Kedua

Pertahanan Lini Ketiga

pengendalian yang organisasi secara dan evaluasi rancang berbasis
kondusif; keseluruhan. bangun dan IT
b. Melaksanaan kebijakan b. Pengawasan agar pemilik implementasi
dan prosedur risiko melaksanakan manajemen risiko
manajemen risiko secara kebijakan dan standar
konsisten; prosedur manajemen
secara keseluruhan;
c. Melaksanakan risiko dan kepatuhan; b.Memastikan bahwa
Pengendalian internal c. Membuat kebijakan, pertahanan lapis
yang efektif. mengembangkan, pertama dan kedua
mengedukasi dan telah berjalan efektif.
memantau manajemen
risiko organisasi secara
keseluruhan;
USULAN STRUKTUR MR
KEMENTERIAN/LEMBAGA

50
STUKTUR KEMENTERIAN

51
STRUKTUR LEMBAGA PEMERINTAH

52
 USULAN PERTAHANAN LINI PERTAMA KEMENTERIAN

KEMENTERIAN

Note: Usulan ini telah mempertimbangkan unit akuntabilitas kinerja sebagaimana Perpres 29 Tahun
2014 dan Unit Pemilik Risiko yang diterapkan di Kementerian Keuangan sesuai KMK 577/2019 53
 USULAN PERTAHANAN LINI PERTAMA LPNK

LEMBAGA

Note: Sebagian Lembaga memiliki APIP setara Eselon II (Inspektur), sebagian yang lain Eselon I
54
(Inspektur Utama)
 PEMBAGIAN PERAN DALAM SATU UNIT PEMILIK RISIKO

1. Pimpinan UPR – Bertanggung Jawab atas Implementasi MR

2. Executive Manajemen Risiko – Mengkoordinasikan Pengelolaan Risiko
3. Pengelola Risiko – Seluruh jabatan/peran yang di dalamnya terdapat risiko
4. Risk Champion – Agen perubahan Implementasi Manajemen Risiko

55
 USULAN PERTAHANAN LINI KEDUA PADA SETIAP UPR K/L

Note: Pertahanan lini kedua, diusulkan melekat pada peran

pendukung setiap Unit Pemilik Risiko
56
 USULAN PERTAHANAN LINI KEDUA PADA KEMENTERIAN/LPNK

Catatan:
Koordinator Lini Pertahanan kedua juga bertanggung jawab terhadap keberhasilan implementasi MR
57
secara keseluruhan, termasuk peran edukasi MR
PROSES

Menghasilkan

REGISTER
RISIKO
PROSES
MATURITAS
MANAJEMEN
RISIKO
 Maturitas MR

Basic – Manajemen risiko Mature – Manajemen risiko Advanced – Manajemen risiko

yang dibangun masih merupakan suatu proses
berfokus pada ketaatan. manajemen.
Organisasi mampu Aktivitas‐aktivitas dan
memenuhi ekspektasi teknik‐teknik manajemen risiko
staeholder internal dan dijalankan sehingga stakeholder
eksternal dari sudut lebih yakin bahwa risiko
pandang ketaatan minimal dikelola secara proaktif. Proses
atau dari perspektif integrasi aktivitas‐aktivitas
pengendalian intern. manajemen risiko sedang
berlangsung.
menjadi suatu alat strategis.
Manajemen risiko dipandang sebagai
sebuah alat strategis untuk
meningkatkan kinerja
dan merupakan suatu nilai utama
dari organisasi.
Maturitas MR
Maturitas MR
Maturitas MR
Bagaimana cara menilai Maturitas MR? alternatifnya
adalah:
1. Menggunakan tools penilaian maturitas MR sesuai
framework MR yang diadopsi (COSO atau ISO)
2. Menggunakan Tools 15 Pernyataan yang
disediakan di dalam Peraturan Deputi Polhukam
PMK Nomor 1 Tahun 2020 tentang Juklak PIBR K/L
3. Menggunakan hasil penilaian maturitas SPIP pada
tingkat Unit Kerja
Tools 15 Pernyataan untuk mengukur Maturitas MR
PERAN APIP DALAM MR

66
 PERAN APIP DALAM MR

Perdep 1 2020: “auditor diperbolehkan bahkan disarankan untuk Pasal 11

berperan aktif pada tahapan komunikasi dan konsultasi di dalam PP 60 2008
proses manajemen risiko sebagai Risk Management Champion
yang turut mendorong kesadaran, pemahaman risiko, serta
pencarian umpan balik dan informasi untuk mendukung
pengambilan keputusan manajemen puncak. “

67
PERAN APIP DALAM MR

68
 Batasan wewenang/Tanggungjawab APIP dalam MR
Fasilitasi merupakan peran konsultasi
yang paling dekat dengan fungsi
penjaminan