MANAJEMEN RISIKO
Untuk Diklat PPBR
DAFTAR ISI
• Manajemen Risiko dan Pengawasan Intern Berbasis Risiko
• Gambaran Umum Manajemen Risiko
• Istilah Umum dalam Manajemen Risiko
• Framework COSO IC, COSO ERM dan ISO
• Kompatibilitas SPIP PP 60 2008 dengan MR COSO maupun ISO
• Budaya, Struktur, dan Proses Manajemen Risiko
• Budaya Risiko
• Struktur Manajemen Risiko
• Proses Manajemen Risiko
• Maturitas Manajemen Risiko
• Peran APIP dalam Manajemen Risiko
• Analisis Kebijakan MR dan Risk Register siap dan belum siap PIBR
• Best Practice Penerapan MR
• Pembagian Kelompok dan Tugas Menyusun Risk Register
MANAJEMEN RISIKO
DAN
PENGAWASAN
INTERN BERBASIS
RISIKO
MR dan PIBR
Pengawasan intern
berbasis risiko merupakan
suatu metodologi yang
menghubungkan audit
intern dengan seluruh
kerangka manajemen
risiko yang memungkinkan
proses audit intern
mendapatkan keyakinan
memadai bahwa
manajemen risiko
organisasi telah dikelola
dengan memadai
sehubungan dengan risiko
yang dapat diterima (risk
appetite).
APA PERBEDAAN ANTARA AUDIT
DAN AUDIT INTERN?
PERBEDAAN AUDIT/PENGAWASAN INTERN Internal
DENGAN PENUGASAN AUDIT Control
Risk
Management
Control Based
Governance
Process Based
Audit
Risk Based
Reviu
Risk management
Assurance
Based
Evaluasi
Pemantauan
Audit/Pengawasan
Intern
Asistensi
Consulting Bimtek
Sosialisasi
PERBEDAAN AUDIT/PENGAWASAN INTERN DENGAN
PENUGASAN AUDIT
• SAIPI 2014: Audit intern adalah kegiatan yang independen dan obyektif dalam bentuk pemberian
keyakinan [assurance activities] dan konsultansi [consulting activities], yang dirancang untuk
memberi nilai tambah dan meningkatkan operasional sebuah organisasi [auditi]. Kegiatan ini
membantu organisasi [auditi] mencapai tujuannya dengan cara menggunakan pendekatan yang
sistematis dan teratur untuk menilai dan meningkatkan efektivitas dari proses manajemen risiko,
kontrol [pengendalian], dan tata kelola [sektor publik].
• Di dalam PP 60 Tahun 2008 tentang SPIP, istilah audit intern disebut sebagai pengawasan intern.
DI LUAR
FUNGSI IC
Pembaruan COSO IC
2013 (1)
• The 2013 Framework focuses on five integrated components of internal
control: control environment, risk assessment, control activities,
information and communication, and monitoring activities (see Exhibit 1).
The updated 2013 Framework:
• Clarifies the application of the 2013 Framework in today’s environment
with the various business models, technology, and related risks
• Codifies criteria that can be used in developing and evaluating the
effectiveness of systems of internal control – making explicit 17
principles, each with points of focus (see Exhibit 2)
• Expands reporting objectives to support internal, financial and
nonfinancial reporting, and operational and compliance objectives
• Emphasizes the need for judgment in evaluating whether a company
achieves effective internal control Focuses on accountability for
internal control throughout the organization starting at the board level
and senior management
• Explicitly considers IT controls and identifies the need for fraud risk
consideration not limited to financial statements but also within
compliance and operations
Pembaruan COSO IC 2013 (2)
1. Pada akhir tahun 2010, COSO mengumumkan sebuah proyek untuk memperbarui Internal Control-Integrated Framework yang diterbitkan tahun 1992. Sama dengan
proyek manajemen risiko, proyek ini juga dilaksanakan oleh PwC.
2. Proyek ini membuahkan hasil nyata dengan terbitnya kerangka kerja pengendalian intern yang baru pada tahun 2013 dengan judul yang sama dengan kerangka kerja
tahun 1992 yaitu Internal Control - Integrated Framework. Pada kerangka kerja yang baru ini tidak terjadi perubahan definisi dan komponen sistem pengendalian intern
dari kerangka kerja yang lama.
3. Hal yang baru dari kerangka kerja pengendalian intern 2013 di antaranya:
a. Membuat kodifikasi prinsip yang merepresentasikan konsep fundamental terkait dengan lima komponen pengendalian intern. Hal ini dilakukan untuk meningkatkan
pemahaman manajemen atas pelaksanaan pengendalian intern secara efektif. Komponen dan prinsip yang telah ditetapkan akan menciptakan suatu kriteria dan
titik fokus yang akan membantu manajemen dalam menilai apakah komponen pengendalian intern ada, berfungsi dan beroperasi secara bersamaan dalam
organisasi.
b. Memperjelas peran penetapan tujuan dalam pengendalian intern. Pada kerangka yang lama disebut bahwa penetapan tujuan merupakan proses manajemen
yang dilakukan di pra-kondisi pengendalian intern. Konsep tersebut dipertegas pada kerangka yang baru dengan menunjukkan bahwa penetapan
tujuan bukan merupakan bagian dari pengendalian intern.
c. Mencerminkan relevansi peningkatan teknologi dalam mempengaruhi penerapan komponen pengendalian intern. Hal ini penting karena jumlah organisasi yang
menggunakan atau bergantung pada teknologi telah berkembang secara pesat.
d. Memperkuat konsep governance terutama yang terkait dengan dewan direksi, anggota dewan, termasuk komite audit, kompensasi, nominasi, dan
governance. Dewan direksi memiliki peran yang penting dalam pengawasan untuk menciptakan pengendalian yang efektif.
e. Memuat lebih banyak pembahasan mengenai kecurangan.
f. Memperluas kategori tujuan pelaporan keuangan dengan mempertimbangkan pelaporan eksternal di luar pelaporan keuangan serta pelaporan internal baik
keuangan maupun non-keuangan.
g. Meningkatkan fokus pada tujuan selain pelaporan keuangan. Perluasan fokus tersebut memberikan panduan yang lebih jelas terkait tujuan operasi, kepatuhan dan
tujuan non-pelaporan keuangan.
Sumber: https://www.klikharso.com/2016/04/sejarah-lengkap-coso.html
Perbedaan Prinsip (Sub Unsur) COSO IC 1992
vs COSO IC 2013
5 Components 20 Principles
Commitment to Competence
Organizational Structure
Activity-level Objectives
Managing Change
Control Activities Types of Control Activities (such as Top Level Reviews, Direct Functional or
Activity Management, Information Processing, Physical Controls, Performance
Indicators, Segregation of Duties)
Communication
Separate Evaluations
Reporting Deficiencies
Perbedaan Desain COSO IC 1992 vs COSO IC 2013
Perluasan pada
Reporting di
luar Financial
Reporting
LATAR BELAKANG COSO ERM 2004
• Terjadinya kegagalan dan skandal bisnis besar seperti Enron, Tyco International,
Adelphia, Peregrine Systems dan WorldCom telah menyadarkan perlunya
penguatan tata kelola dan manajemen risiko organisasi.
• Merespon hal itu, pada tahun 2001 COSO menggandeng kantor akuntan
PricewaterhouseCoopers (PwC) untuk mengembangkan kerangka kerja yang
dapat dipakai untuk menilai dan memperbaiki manajemen risiko organisasi.
Hasilnya, pada tahun 2004 COSO mempublikasikan Enterprise Risk
Management-Integrated Framework.
• Tujuan organisasi yang hendak dicapai melalui kerangka kerja manajemen risiko
meliputi empat hal yaitu: (1) tujuan strategis yang sejalan dengan misi
organisasi; (2) efektivitas dan efisiensi operasi; (3) keandalan pelaporan; dan (4)
kepatuhan terhadap hukum dan peraturan.
• Catatan:
Sumber: https://www.klikharso.com/2016/04/sejarah-
• Meskipun kerangka kerja tersebut merupakan perluasan dari kerangka kerja
pengendalian intern, namun COSO menyatakan bahwa kerangka COSO ERM 2004 lengkap-coso.html
itu tidak dimaksudkan untuk menggantikan kerangka kerja Internal Control
Integrated Framework 1992.
Within the context of an entity’s established mission or vision,
management establishes strategic objectives, selects strategy,
Fitur COSO ERM 2004 and sets aligned objectives cascading through the enterprise.
This enterprise risk management framework is geared to
achieving an entity’s objectives, set forth in four categories:
• Strategic – high-level goals, aligned with and supporting its
mission
• Aligning risk appetite and strategy – Management considers • Operations – effective and efficient use of its resources
the entity’s risk appetite in evaluating strategic alternatives,
setting related objectives, and developing mechanisms to • Reporting – reliability of reporting
manage related risks.
• Compliance – compliance with applicable laws and
• Enhancing risk response decisions – Enterprise risk regulations.
management provides the rigor to identify and select among
alternative risk responses – risk avoidance, reduction,
sharing, and acceptance.
• Reducing operational surprises and losses – Entities gain
enhanced capability to identify potential events and establish
responses, reducing surprises and associated costs or losses.
• Identifying and managing multiple and cross-enterprise risks
– Every enterprise faces a myriad of risks affecting different
parts of the organization, and enterprise risk management
facilitates effective response to the interrelated impacts, and
integrated responses to multiple risks.
• Seizing opportunities – By considering a full range of
potential events, management is positioned to identify and
proactively realize opportunities.
• Improving deployment of capital – Obtaining robust risk
information allows management to effectively assess overall
capital needs and enhance capital allocation.
35 Sub Unsur/ Elemen
COSO ERM 2004
Risk Culture dalam COSO ERM 2004
Pembaruan COSO ERM 2017
• Pokok-pokok penyempurnaan tersebut di antaranya adalah:
• Menekankan aspek strategi dan tujuan di dalam definisi risiko. Risiko didefinisikan sebagai "kemungkinan peristiwa akan
terjadi dan berpengaruh pada strategi dan tujuan bisnis". Organisasi didorong untuk mempertimbangkan misi utamanya saat
memilih strategi risiko serta mempertimbangkan bagaimana pengaruh pendekatan pengelolaan risiko terhadap profil risiko
dan hambatan apa yang mungkin dihadapi saat menjalankan pendekatan tersebut.
• Menyederhanakan definisi ERM yaitu menjadi "budaya, kapabilitas, dan praktik yang terintegrasi dengan penentuan dan
eksekusi strategi, yang diandalkan oleh organisasi untuk mengelola risiko dalam menciptakan, memelihara, dan
mewujudkan nilai."
• Menghilangkan penjelasan eksplisit empat kategori tujuan organisasi yang hendak dicapai melalui ERM yang sebelumnya ada
pada kerangka 2004.
• Mengubah komponen ERM yang semula terdiri dari delapan menjadi lima komponen yaitu: (1) tata kelola dan budaya risiko
(risk governance and culture); (2) risiko, strategi dan penentuan tujuan (risk, strategy, and objective-setting); (3) risiko dalam
pelaksanaan (risk in execution); (4) informasi, komunikasi, dan pelaporan risiko (risk information, communication, and Sumber: https://www.klikharso.com/2016/07/manajemen-risiko-
reporting); (5) pemantauan kinerja ERM (monitoring ERM performance). coso-dulu-dan-nanti.html
• Mendorong pengguna untuk memperlakukan ERM sebagai bagian dari proses manajemen organisasi dan bukan sebagai
aktivitas yang terpisah atau silo.
• Mengangkat pembahasan tentang strategi dengan fokus pada tiga konsep, yaitu kemungkinan strategi dan tujuan tidak
selaras dengan misi, visi, dan nilai-nilai; implikasi dari strategi yang dipilih; dan risiko pelaksanaan strategi tersebut.
• Memperkuat keterkaitan antara kinerja dan ERM dengan fokus pada peran risiko sebagai bagian integral dari penentuan
tujuan organisasi.
• Mengkaji peran budaya yang mencakup nilai etika organisasi, perilaku yang harapkan, dan pemahaman tentang risiko.
Hubungan antara budaya dan konteks bisnis mempengaruhi pemilihan dan pelaksanaan strategi.
• Menghubungkan secara lebih eksplisit antara ERM dengan pengambilan keputusan. Keputusan mengenai berbagai hal seperti
pemilihan strategi, penetapan tujuan dan target kinerja, dan alokasi sumber daya akan memiliki informasi yang lebih kaya jika
informasi tentang risiko di-share.
• Memperjelas perbedaan antara selera risiko dan variasi yang dapat diterima dalam kinerja atau sering disebut toleransi risiko.
Selera risiko adalah jumlah risiko yang siap diterima organisasi dalam mencapai strategi dan tujuan. Sementara toleransi risiko
bukan merupakan versi lebih rinci dari selera risiko melainkan penentuan besaran risiko yang dapat diterima untuk tingkat
kinerja tertentu. Risiko dan kinerja tidak dianggap statis dan terpisah tapi selalu berubah dan mempengaruhi satu sama lain.
20 Sub Unsur COSO ERM 2017
LATAR BELAKANG
1. The International Organization for Standardization (ISO) 31000: 2009 Risk Management –
Principles and Guidelines merupakan sebuah standar internasional yang disusun dengan tujuan
memberikan prinsip dan panduan generik untuk penerapan manajemen risiko.
2. Standar internasional yang diterbitkan pada 13 November 2009 ini dapat digunakan oleh segala
jenis organisasi dalam menghadapi berbagai risiko yang melekat pada aktivitas mereka.
3. Walaupun ISO 31000: 2009 menyediakan panduan generik, standar ini tidak ditujukan untuk
menyeragamkan manajemen risiko lintas organisasi, tetapi ditujukan untuk memberikan standar
pendukung penerapan manajemen risiko dalam usaha memberikan jaminan terhadap
pencapaian sasaran organisasi.
4. ISO 31000: 2009 menyediakan prinsip, kerangka kerja, dan proses manajemen risiko yang
dapat digunakan sebagai arsitektur manajemen risiko dalam usaha menjamin penerapan
manajemen risiko yang efektif.
ISO 31000, 2009
“ISO 31000 2009 memisahkan secara tegas antara Prinsip (budaya), Framework, dan Proses”
PENYEMPURNAAN MR ISO 2009
1. Pada Februari 2018, organisasi standar internasional ISO menerbitkan ISO 31000:2018 Risk management —
Guidelines. Standar ini menggantikan ISO 31000:2009 Risk management — Principles and guidelines yang
diterbitkan pada November 2009. Revisi ini merupakan bagian dari proses peninjauan sistematis yang diterapkan
pada semua standar ISO;
2. Secara umum, ISO 31000:2018 menyederhanakan versi 2009. Hal itu langsung terlihat antara lain dari nama yang
berubah dari “principles and guidelines” menjadi hanya “guidelines” serta dari jumlah halaman yang menyusut
dari 24 halaman menjadi 16 halaman.
3. Diagram yang menggambarkan hubungan prinsip, kerangka kerja, dan proses manajemen proses pun berubah.
Pada versi 2009, prinsip, kerangka kerja, dan proses digambarkan sebagai rangkaian unsur yang berurutan,
sedangkan pada versi 2018 ketiga bagian ini digambarkan sebagai sistem terbuka yang saling berkaitan;
4. Proses manajemen risiko relatif tidak berubah. Proses “penetapan konteks” diubah namanya menjadi “lingkup,
konteks, dan kriteria”. Proses “pencatatan dan pelaporan” dicantumkan secara eksplisit di dalam diagram setelah
sebelumnya hanya ada pada bagian teks pada versi 2009;
5. SO 31000:2018 menekankan tujuan manajemen risiko, yaitu menciptakan dan melindungi nilai. Tujuan itu
diwujudkan dengan (1) meningkatkan kinerja, (2) mendorong inovasi, dan (3) mendukung pencapaian sasaran.
Manajemen risiko adalah bagian dari tata kelola (governance) dan harus terintegrasi di dalam proses organisasi.
Penerapan manajemen risiko memerlukan kepemimpinan dan komitmen dari manajemen puncak, serta
keterlibatan aktif dari semua anggota organisasi.
ISO 31000, 2018
Kompatibilitas
SPIP dengan
COSO ERM dan
ISO 31000
SPIP PP 60 2008
• Pasal 2 ayat 3: SPIP sebagaimana dimaksud pada ayat (2) bertujuan untuk
memberikan keyakinan yang memadai bagi tercapainya efektivitas dan
efisiensi pencapaian tujuan penyelenggaraan pemerintahan negara,
keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan
terhadap peraturan perundang-undangan
• Pasal 13 ayat 3: Dalam rangka penilaian risiko sebagaimana
dimaksud pada ayat (1), pimpinan Instansi Pemerintah menetapkan:
a. tujuan Instansi Pemerintah; dan
b. tujuan pada tingkatan kegiatan,
dengan berpedoman pada peraturan perundangundangan
SPIP dan • Pada COSO ERM 2017, Budaya Risiko yang diselenggarakan melalui Governance and Culture
menekankan elemen exercises board risk oversight-the board of directors provides the oversight
of strategy and carries out governance responsibilities to support management in achieving
Budaya •
strategy and business objectives. hal ini telah diakomodir dalam SPIP PP 60 melalui pasal 13 ayat
1 dan 3 yakni:
(1) Pimpinan Instansi Pemerintah wajib melakukan penilaian risiko.
Risiko versi • (3) Dalam rangka penilaian risiko sebagaimana dimaksud pada ayat (1), pimpinan Instansi
Pemerintah menetapkan:
2017 •
•
Pasal ini ditegaskan Kembali pada Pasal 14 ayat 1 dan 3 yakni:
(1)Tujuan Instansi Pemerintah sebagaimana dimaksud dalam Pasal 13 ayat (3) huruf a memuat
pernyataan dan arahan yang spesifik, terukur, dapat dicapai, realistis, dan terikat waktu.
• (3) Untuk mencapai tujuan Instansi Pemerintah sebagaimana dimaksud pada ayat (1), pimpinan
Instansi Pemerintah menetapkan:
a. strategi operasional yang konsisten; dan
b. strategi manajemen terintegrasi dan rencana penilaian risiko
SPIP dan Budaya Risiko Versi ISO 31000 2018 (1)
Sub Unsur ISO 31000 2018 uraian Pasal PP 60 SPIP uraian Sub Unsur ISO 31000 2018 uraian Pasal PP 60 SPIP uraian
Integrated manajemen risiko adalah bagian Definisi SPIP Sistem Pengendalian Intern adalah proses yang integral pada Customized kerangka kerja dan proses manajemen Pasal 8 Pembentukan struktur organisasi yang sesuai dengan kebutuhan
integral dari semua aktivitas tindakan dan kegiatan yang dilakukan secara terus menerus oleh risiko disesuaikan dan proporsional sebagaimana dimaksud dalam Pasal 4 huruf d sekurang-kurangnya dilakukan
organisasi. pimpinan dan seluruh pegawai untuk memberikan keyakinan dengan konteks eksternal dan internal dengan:
memadai atas tercapainya tujuan organisasi melalui kegiatan yang organisasi yang berkaitan dengan a. menyesuaikan dengan ukuran dan sifat kegiatan Instansi Pemerintah;
efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset sasarannya. b. memberikan kejelasan wewenang dan tanggung jawab dalam Instansi
negara, dan ketaatan terhadap peraturan perundang-undangan Pemerintah;
Pasal 3 ayat 2 Penerapan unsur SPIP sebagaimana dimaksud pada ayat c. memberikan kejelasan hubungan dan jenjang pelaporan intern dalam
(1)dilaksanakan menyatu dan menjadi bagian integral dari kegiatan Instansi Pemerintah;
Instansi Pemerintah. d. melaksanakan evaluasi dan penyesuaian periodik terhadap struktur
organisasi sehubungan dengan perubahan lingkungan strategis; dan
Pasal 14 ayat 3 Untuk mencapai tujuan Instansi Pemerintah sebagaimana dimaksud
e. menetapkan jumlah pegawai yang sesuai, terutama untuk posisi pimpinan
pada ayat (1), pimpinan Instansi Pemerintah menetapkan:
a. strategi operasional yang konsisten; dan Pasal 16 Identifikasi risiko sebagaimana dimaksud dalam Pasal 13 ayat (2) huruf a
b. strategi manajemen terintegrasi dan rencana penilaian risiko. sekurang-kurangnya dilaksanakan dengan:
Penjelasan Pasal 3 Dalam menerapkan unsur SPIP, pimpinan Instansi Pemerintah a. menggunakan metodologi yang sesuai untuk tujuan Instansi Pemerintah
ayat 2 bertanggung jawab untuk mengembangkan kebijakan, prosedur dan dan tujuan pada tingkatan kegiatan secara komprehensif;
praktik detil untuk menyesuaikan dengan kegiatan Instansi b. menggunakan mekanisme yang memadai untuk mengenali risiko dari
Pemerintah dan untuk memastikan bahwa unsur tersebut telah faktor eksternal dan faktor internal; dan
menyatu dan menjadi bagian integral dari kegiatan Instansi c. menilai faktor lain yang dapat meningkatkan risiko.
Pemerintah. Penjelasan Pasal 14 ayat 3 Dalam menetapkan strategi manajemen terintegrasi dan rencana penilaian
Penjelasan Pasal 14 Dalam menetapkan strategi manajemen terintegrasi dan rencana huruf b risiko, pimpinan Instansi
ayat 3 huruf b penilaian risiko, pimpinan Instansi Pemerintah:
Pemerintah: 1. mempertimbangkan tujuan Instansi Pemerintah dan sumber risiko yang
1. mempertimbangkan tujuan Instansi Pemerintah dan sumber risiko relevan dari faktor internal dan faktor eksternal, dan
yang relevan dari faktor internal dan faktor eksternal, dan 2. menetapkan struktur pengendalian untuk menangani risiko tersebut.
2. menetapkan struktur pengendalian untuk menangani risiko Inclusive pelibatan yang sesuai dan tepat waktu BAGIAN II PENILAIAN RISIKO Pimpinan dan pegawai Instansi Pemerintah yang berkepentingan
tersebut. dari pemangku kepentingan HURUF D ANALISIS RISIKO diikutsertakan dalam kegiatan analisis risiko.
BAGIAN V 2.Dalam proses melaksanakan kegiatan rutin, pegawai Instansi memungkinkan pengetahuan,
PEMANTAUAN Pemerintah mendapatkan informasi berfungsinya pengendalian pandangan, dan persepsi mereka untuk
intern secara efektif. Hal-hal yang perlu dipertimbangkan adalah dipertimbangkan
sebagai berikut: BAGIAN II PENILAIAN RISIKO Cara suatu risiko diidentifikasi, diperingkat, dianalisis, dan diatasi telah
a. Laporan operasional sudah terintegrasi atau direkonsiliasi dengan HURUF C IDENTIFIKASI dikomunikasikan kepada pegawai yang berkepentingan.
data laporan keuangan dan anggaran dan digunakan untuk RISIKO
mengelola operasional berkelanjutan, serta pimpinan Instansi
Structured and pendekatan terstruktur dan Pasal 8 Pembentukan struktur organisasi yang sesuai dengan kebutuhan
Comprehensive komprehensif terhadap manajemen penjelasan Pasal 16 Huruf a Metode identifikasi risiko dapat mencakup pemeringkatan (ranking activities)
risiko berkontribusi terhadap hasil secara kualitatif dan kuantitatif, pembahasan pada tingkat pimpinan,
yang konsisten dan terstruktur. prakiraan dan perencanaan strategis, serta pertimbangan terhadap temuan
Pasal 14 ayat 1 Tujuan Instansi Pemerintah sebagaimana dimaksud dalam Pasal 13 audit dan evaluasi aparat pengawasan intern pemerintah.
ayat (3) huruf a memuat pernyataan dan arahan yang spesifik,
terukur, dapat dicapai, realistis, dan terikat waktu
SPIP dan Budaya Risiko Versi ISO 31000 2018 (2)
Sub Unsur ISO 31000 2018 uraian Pasal PP 60 SPIP uraian
Dynamic risiko dapat muncul, berubah, atau hilang seiring perubahan konteks Penjelasan Pasal 16 Huruf b Risiko yang berasal dari faktor eksternal misalnya peraturan perundang-undangan baru, perkembangan teknologi, bencana alam, dan
eksternal dan internal organisasi. Manajemen risiko mengantisipasi, gangguan keamanan. Risiko yang berasal dari faktor internal misalnya keterbatasan dana operasional, sumber daya manusia yang tidak
mendeteksi, mengakui, dan menanggapi perubahan dan peristiwa kompeten, peralatan yang tidak memadai, kebijakan dan prosedur yang tidak jelas, dan suasana kerja yang tidak kondusif.
tersebut secara sesuai dan tepat waktu.
Penjelasan Pasal 16 Huruf c Dalam menilai faktor lain yang dapat meningkatkan risiko, pimpinan Instansi Pemerintah mempertimbangkan seluruh risiko akibat kegagalan
pencapaian tujuan dan keterbatasan anggaran yang pernah terjadi antara lain disebabkan oleh pengeluaran program yang tidak tepat,
pelanggaran terhadap pengendalian dana, dan ketidaktaatan terhadap peraturan perundang-undangan. Selain itu, pimpinan Instansi
Pemerintah mengidentifikasi setiap risiko yang melekat pada sifat misinya atau pada signifikansi dan kompleksitas dari setiap program atau
kegiatan spesifik yang dilaksanakan.
Best available Information masukan manajemen risiko didasarkan atas informasi historis dan Penjelasan Pasal 16 Huruf c Dalam menilai faktor lain yang dapat meningkatkan risiko, pimpinan Instansi Pemerintah mempertimbangkan seluruh risiko akibat kegagalan
saat ini, dan juga harapan masa depan. Manajemen risiko secara pencapaian tujuan dan keterbatasan anggaran yang pernah terjadi antara lain disebabkan oleh pengeluaran program yang tidak tepat,
eksplisit memperhitungkan segala batasan dan ketidakpastian yang pelanggaran terhadap pengendalian dana, dan ketidaktaatan terhadap peraturan perundang-undangan. Selain itu, pimpinan Instansi
berkaitan dengan informasi dan harapan tersebut. Informasi Pemerintah mengidentifikasi setiap risiko yang melekat pada sifat misinya atau pada signifikansi dan kompleksitas dari setiap program atau
sebaiknya tepat waktu, jelas, dan tersedia bagi pemangku kegiatan spesifik yang dilaksanakan.
kepentingan yang relevan.
Penjelasan Pasal 38 ayat 1 Pencatatan yang akurat dan tepat waktu bertujuan agar tersedia informasi yang relevan dan terpercaya untuk pengambilan keputusan.
Penjelasan Pasal 38 ayat 2 Klasifikasi yang tepat dan pencatatan yang segera dilakukan agar informasi yang diperoleh tetap relevan, bernilai, dan bermanfaat bagi
pimpinan Instansi Pemerintah dalam mengendalikan kegiatan dan dalam pengambilan keputusan. Klasifikasi yang tepat atas transaksi dan
kejadian mencakup pengaturan dan format informasi pada dokumen sumber dan catatan ikhtisar (summary record) sebagai sumber
pelaporan.
Penjelasan Pasal 42 ayat 2 huruf a Bentuk dan sarana untuk mengkomunikasikan informasi penting antara lain berupa buku pedoman kebijakan dan prosedur, surat edaran,
memorandum, papan pengumuman, situs internet dan intranet, rekaman video, e-mail, dan arahan lisan, termasuk pula tindakan pimpinan
yang mendukung implementasi Sistem Pengendalian Intern.
Penjelasan Pasal 42 ayat 2 huruf b Dalam rangka mengelola, mengembangkan, dan memperbarui sistem informasi, pimpinan Instansi Pemerintah perlu mempertimbangkan
manajemen sistem informasi, mekanisme identifikasi kebutuhan informasi, perkembangan dan kemajuan teknologi informasi, pemantauan
mutu informasi, dan kecukupan sumber daya manusia dan keuangan untuk pengembangan teknologi informasi.
Sub Unsur ISO 31000 2018 uraian Pasal PP 60 SPIP uraian
Human and Cultural Factors perilaku dan budaya manusia secara signifikan memengaruhi semua Penjelasan Pasal 42 ayat 2 huruf b Dalam rangka mengelola, mengembangkan, dan memperbarui sistem informasi, pimpinan Instansi Pemerintah perlu mempertimbangkan
aspek manajemen risiko pada semua tingkat dan tahap manajemen sistem informasi, mekanisme identifikasi kebutuhan informasi, perkembangan dan kemajuan teknologi informasi, pemantauan
mutu informasi, dan kecukupan sumber daya manusia dan keuangan untuk pengembangan teknologi informasi.
Penjelasan Pasal 20 huruf b Strategi perencanaan dan pembinaan sumber daya manusia mencakup kebijakan, program, praktik yang menjadi acuan bagi Instansi
Pemerintah tersebut dan dapat mengidentifikasi kebutuhan sumber daya manusia pada saat ini dan masa yang akan datang.
Penjelasan Pasal 16 huruf b Risiko yang berasal dari faktor eksternal misalnya peraturan perundang-undangan baru, perkembangan teknologi, bencana alam, dan
gangguan keamanan. Risiko yang berasal dari faktor internal misalnya keterbatasan dana operasional, sumber daya manusia yang tidak
kompeten, peralatan yang tidak memadai, kebijakan dan prosedur yang tidak jelas, dan suasana kerja yang tidak kondusif.
I.UMUM Sistem Pengendalian Intern perlu mempertimbangkan aspek biaya manfaat (cost and benefit), sumber daya manusia, kejelasan kriteria
pengukuran efektivitas, dan perkembangan teknologi informasi serta dilakukan secara komprehensif.
Sistem Pengendalian Intern dalam Peraturan Pemerintah ini dilandasi pada pemikiran bahwa Sistem Pengendalian Intern melekat sepanjang
kegiatan, dipengaruhi oleh sumber daya manusia, serta hanya memberikan keyakinan yang memadai, bukan keyakinan mutlak.
Continual Improvement manajemen risiko diperbaiki secara berkelanjutan melalui pelajaran BAGIAN VI IKHTISAR PENGENDALIAN Pemantauan pengendalian intern menilai kualitas kinerja pengendalian intern Instansi Pemerintah secara terus-menerus sebagai bagian dari
dan pengalaman. INTERN SECARA KESELURUHAN proses pelaksanaan kegiatan sehari-hari. Selain itu, evaluasi terpisah terhadap pengendalian intern dilakukan secara berkala dan kelemahan
HURUF E. PEMANTAUAN yang ditemukan diteliti lebih lanjut. Sudah ada
prosedur untuk memastikan bahwa seluruh temuan audit dan reviu lainnya segera dievaluasi, ditentukan tanggapan yang tepat, dan
dilaksanakan tindakan perbaikannya
BAGIAN V PEMANTAUAN HURUF A. Adanya strategi yang meliputi rencana untuk mengevaluasi secara berkala kegiatan pengendalian atas kegiatan operasi penting dan sistem
PEMANTAUAN BERKELANJUTAN, pendukung pencapaian misi
poin e.
Penjelasan Daftar Uji SPIP pada PP 60 2008:
• Daftar Uji Pengendalian Intern Pemerintah dapat dijadikan panduan
PP 60 SPIP bagi pimpinan Instansi Pemerintah dan evaluator. Daftar uji ini hanya
merupakan referensi awal serta dapat disesuaikan dengan situasi,
Hubungan antar
Peran/Fungsi/Unit/Komponen/Aktor
melaporkan risiko-risiko
50
STUKTUR KEMENTERIAN
51
STRUKTUR LEMBAGA PEMERINTAH
52
USULAN PERTAHANAN LINI PERTAMA KEMENTERIAN
KEMENTERIAN
Note: Usulan ini telah mempertimbangkan unit akuntabilitas kinerja sebagaimana Perpres 29 Tahun
2014 dan Unit Pemilik Risiko yang diterapkan di Kementerian Keuangan sesuai KMK 577/2019 53
USULAN PERTAHANAN LINI PERTAMA LPNK
LEMBAGA
Note: Sebagian Lembaga memiliki APIP setara Eselon II (Inspektur), sebagian yang lain Eselon I
54
(Inspektur Utama)
PEMBAGIAN PERAN DALAM SATU UNIT PEMILIK RISIKO
55
USULAN PERTAHANAN LINI KEDUA PADA SETIAP UPR K/L
Catatan:
Koordinator Lini Pertahanan kedua juga bertanggung jawab terhadap keberhasilan implementasi MR
57
secara keseluruhan, termasuk peran edukasi MR
PROSES
Menghasilkan
REGISTER
RISIKO
PROSES
MATURITAS
MANAJEMEN
RISIKO
Maturitas MR
66
PERAN APIP DALAM MR
67
PERAN APIP DALAM MR
68
Batasan wewenang/Tanggungjawab APIP dalam MR
Fasilitasi merupakan peran konsultasi
yang paling dekat dengan fungsi
penjaminan