KATA PENGANTAR

Segala puji syukur kepada Tuhan Yang Maha Esa atas segala Rahmat dan
Karunia-Nya sehingga kami dapat menyelesaikan Frequently Asked Question (FAQ)
Pengelolaan Risiko pada Pemerintah Daerah. FAQ ini diharapkan dapat
memberikan manfaat bagi para Stakeholder, khususnya bagi pegawai BPKP baik di
Pusat maupun perwakilan yang melaksanakan tugas pembinaan pengelolaan risiko
Pemerintah Daerah sebagai pertimbangan dan masukan dalam penugasan
pembinaan tersebut.
FAQ ini memuat pertanyaan serta pembahasannya yang sering ditanyakan
saat pembinaan pengelolaan risiko, baik terkait dengan konsep manajemen risiko,
kaitannya dengan SPIP, dan pengelolaan risiko pemerintah daerah yang terdiri dari
Budaya, Sistem dan Proses Pengelolaan Risiko yang dilakukan pada tingkat
strategis Pemda, strategis Organisasi Perangkat Daerah (OPD), dan tingkat
operasional OPD.
Penyusunan Frequently Asked Question (FAQ) ini dilakukan dengan
memperhatikan pertanyaan yang muncul saat Focus Group Discussion (FGD),
diklat, workshop, piloting, dan kegiatan lain yang terkait dengan pembinaan
pengelolaan risiko pemerintah daerah.
Kami mengucapkan terima kasih kepada seluruh pihak yang telah
berkontribusi dalam penyusunan pedoman ini. Selanjutnya, kami berharap agar
pedoman ini dapat memberikan nilai tambah bagi perbaikan penyelenggaraan SPIP
untuk mewujudkan tata kelola pemerintahan daerah yang lebih baik.

Juni 2020
Deputi Kepala BPKP,

Dadang Kurnia
NIP 19610930 198203 1 001

i
 DAFTAR ISI
Halaman

KATA PENGANTAR ............................................................................................. i

DAFTAR ISI ......................................................................................................... ii

PEMBAHASAN FAQ
A. KONSEP MANAJEMEN RISIKO 1
1. Apa yang dimaksud dengan risiko?
2. Bagaimana kaitan risiko dengan tujuan pemda? 1
3. Apakah suatu tujuan penting bagi suatu pemda? 1
4. Apakah semua tujuan terkait dengan pemda itu? 1
5. Bagaimana sebaiknya pendekatan yang digunakan dalam 2
mengidentifikasi risiko? Apakah menggunakan pendekatan top-down
atau bottom-up?
6. Apakah risiko berbeda dengan ketidakpastian? 2
7. Apa perbedaan antara risiko dan masalah? 4
8. Mengapa manajemen risiko penting? 4
9. Bagaimana proses manajemen risiko itu? 4
10. Apa hambatan/kendala dalam proses manajemen risiko? 6
11. Apakah data historis kejadian tahun sebelumnya penting bagi K/L/D
dalam manajemen risiko? 6
12. Apa teknik identifikasi risiko yang terbaik? 7
13. Bagaimana kita bisa menggambarkan risiko secara jelas dan tidak 7
ambigu?
14. Mengapa risiko perlu dilakukan pemutakhiran? 8
15. Seberapa sering pemutakhiran risiko harus dilakukan? 9
16. Bagaimana kaitan antara SPIP dan Manajemen Risiko? Apakah
Manajemen Risiko merupakan bagian dari SPIP atau sebaliknya? 9

B. PENGELOLAAN RISIKO PEMERINTAH DAERAH

1. Bagaimana pengelolaan risiko pada pemerintah daerah? 10
2. Bagaimana proses pengelolaan risiko dapat mendorong terciptanya 11
Budaya Sadar Risiko di Pemerintah Daerah?
3. Kebijakan apa saja yang harus dimiliki pemda dalam melaksanakan 11
pengelolaan risiko pemerintah daerah?
4. Bagaimana struktur pengelolaan risiko yang seharusnya? Apakah 11
harus ada struktur pengelola risiko tersendiri ataukah bisa dilekatkan
pada fungsi tertentu (menjadi tambahan tupoksi)?
5. Apakah struktur Unit Pengelola Risiko tingkat pemerintah daerah 12
dapat menyesuaikan struktur organisasi pemerintah daerah tersebut?
6. Kebijakan apa yang mengharuskan pemerintah daerah 12
menyelenggarakan SPIP dan pengelolaan risiko?

ii
7. Apabila pemerintah daerah yang telah memiliki kebijakan pengelolaan 13
risiko, apakah harus membuat kebijakan pengelolaan risiko baru yang
sejalan dengan Peraturan Deputi Kepala BPKP Bidang PPKD Nomor
4 Tahun 2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah
Daerah?
8. Pengelolaan risiko pemerintah daerah terdiri dari budaya, sistem dan 13
proses. Apa saja kegiatan dalam proses pengelolaan risiko
pemerintah daerah?
9. Bagaimana kaitan antara kuesioner Control Environment Evaluation 15
(CEE) dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4
Tahun 2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah
Daerah dan survei pendahuluan saat melakukan penilaian maturitas?
10. Dari kerangka menuju proses pengelolaan risiko, mengapa perlu 16
dilakukan identifikasi lingkungan pengendalian intern melalui CEE?
Apa korelasinya dengan risiko yang kita identifikasi?
11. Bagaimana apabila penetapan tujuan pemerintah daerah/OPD yang 16
tercantum dalam dokumen perencanaan (RPJMD/Renstra/Renja)
kurang memadai?
12. Apabila suatu tujuan memiliki beberapa sasaran, apakah seluruh 17
sasaran tersebut perlu dilakukan pengidentifikasian risiko?
13. Dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 17
2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah,
risiko didefinisikan sebagai kejadian yang mengancam pencapaian
tujuan dan sasaran. Kejadian ini bisa sudah terjadi atau yang akan
terjadi. Namun beberapa teori mendefinisikan risiko hanya kejadian
yang akan terjadi. Bagaimana penjelasannya?
14. Dalam pengidentifikasian risiko, apakah risiko yang dirumuskan hanya 17
risiko yang memberikan dampak negatif terhadap pencapaian tujuan?
15. Bagaimana sebaiknya timeline untuk pengelolaan risiko? 18
16. Terkait pengklasifikasian risiko strategis pemerintah daerah, risiko 18
strategis OPD, dan risiko operasional OPD, bisakah kita menyebutnya
sebagai tingkatan risiko?
17. Bagaimana caranya merumuskan risiko, penyebab, dan dampak 18
dengan benar? Karena dalam praktiknya ketiga hal tersebut sering
tertukar.
18. Selama ini pemerintah daerah dan OPD sudah dapat menyusun risiko 19
operasional. Bagaimana memberikan pemahaman kepada pemerintah
daerah dan OPD terkait perumusan risiko strategis?
19. Bagaimana caranya agar daftar risiko yang disusun merupakan risiko 19
yang memang benar-benar terkait dengan tujuan pemerintah daerah
sehingga Rencana Tindak Pengendalian (RTP) yang disusun dapat
mendukung pencapaian tujuan pemerintah daerah?

iii
20. Apakah ada aplikasi yang dapat mendukung pengelolaan risiko? 20
Bagaimana aplikasi tersebut dapat mengakomodir kebutuhan
pemerintah daerah dalam pengelolaan risiko?
21. Pada Kementerian Dalam Negeri dan Kementerian Keuangan 20
terdapat pengklasifikasian atas risiko yang telah diidentifikasi dalam
beberapa kategori risiko seperti Risiko Keuangan, Risiko Kebijakan,
Risiko Reputasi, Risiko Fraud, Risiko Legal, Risiko Kepatuhan dan
sebagainya. Apakah pengklasifikasian risiko tersebut menunjukkan
tingkatan risiko tertentu dan mengapa hal tersebut tidak diakomodir
dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun
2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah.
22. Untuk risk register dan RTP yang telah disusun terdapat formulir 21
pemantauan yang digunakan untuk memonitor peristiwa risiko,
pelaksanaan RTP, dan efektivitas RTP, tetapi untuk pelaksanaan
informasi dan komunikasi apakah ada form khusus untuk
memantaunya?
23. Bagaimana mekanisme informasi dan komunikasi, pemantauan, dan 21
tindak lanjut atas tingkat keterjadian risiko dan RTP yang baik, efektif,
efisien, tepat dan mudah dilakukan oleh pemerintah daerah?

iv
A. KONSEP MANAJEMEN RISIKO
1. Apa yang dimaksud dengan risiko?
Jawaban:
Menurut ISO 31000, risiko adalah adanya ketidakpastian pada tujuan sehingga
jelas ketidakpastian pada pencapaian tujuan pemda, dengan demikian
ketidakpastian adalah faktor pertama dalam mempertimbangkan risiko. Faktor
kedua, risiko memiliki efek pada suatu tujuan. Adapun ketidakpastian adalah
peristiwa atau kondisi yang tidak pasti. Jika itu terjadi memiliki efek positif atau
negatif pada pencapaian tujuan pemda. Sehingga ketidakpastian akan berbeda
dari risiko.

2. Bagaimana kaitan risiko dengan tujuan pemda?

Jawaban:
Menurut ISO 31000, yaitu bahwa risiko adalah ketidakpastian yang berpengaruh
pada pencapaian tujuan. Ada dua elemen risiko, yaitu adanya ketidakpastian, dan
ada hubungannya dengan pencapaian tujuan. Setiap pencapaian tujuan suatu
entitas akan diikuti dengan risiko yang dapat mengganggu pencapaian tujuan
suatu entitas. Risiko pemda dikategorikan dalam risiko strategis pemda, risiko
strategis OPD, dan risiko operasional OPD. Risiko strategis adalah efek
ketidakpastian pada sasaran strategis.

3. Apakah suatu tujuan penting bagi suatu pemda?

Jawaban:
Sangat Penting, setiap entitas pasti ada tujuan pembentukkannya. Dalam
pencapaian tujuan tersebut akan diikuti risiko dalam pencapaiannya. Manajemen
risiko suatu entitas harus memikirkan adanya ketidakpastian yang dapat
memengaruhi pencapaian tujuan tersebut

4. Apakah ada tujuan yang tidak terkait dengan entitas itu?

Jawaban:
Tidak, seluruh tujuan pada masing-masing level di entitas pada prinsipnya
mendukung pencapaian tujuan di level atasnya. Sesuai sistem akuntabilitas
keuangan pemerintah, maka terdapat hierarki tujuan sehingga tujuan dimulai di
level yang disebut dengan tujuan strategis. Selanjutnya tujuan strategis tersebut
dijabarkan ke level dibawahnya yaitu di level eselon I dan II, serta level
1
 operasional. Dengan demikian pengelola risiko pada setiap level organisasi akan
berkontribusi secara berjenjang.

5. Bagaimana sebaiknya pendekatan yang digunakan dalam mengidentifikasi risiko?

Apakah menggunakan pendekatan top-down atau bottom-up?
Jawaban:
Sebaiknya tujuan diturunkan secara top-down. Dimulai dengan tujuan strategis
yang dijabarkan ke dalam berbagai tujuan dan sasaran yang lebih rinci serta
operasional dalam melaksanakan kegiatan dalam upaya pencapaian tujuan
dilakukan secara bottom-up sehingga dalam melakukan kegiatan untuk memenuhi
tujuan. Intinya adalah risiko didefinisikan secara top-down dan dikelola secara
bottom –up

6. Apakah risiko berbeda dengan ketidakpastian?

Jawaban:
Risiko dan ketidakpastian tidaklah sama. Semua risiko adalah suatu
ketidakpastian namun tidak seluruh ketidakpastian adalah risiko. Jadi terdapat
banyak ketidakpastian di dunia ini, milyaran jumlahnya. Kita tidak harus
memperhitungkan seluruh ketidakpastian tersebut. Kita perlu memilah milyaran
ketidakpastian tersebut menjadi segala sesuatu yang mungkin dapat terjadi, yang
tidak kita ketahui secara pasti, kemudian kita kurangi ketidakpastian tersebut,
selanjutnya kita pilah menjadi sejumlah risiko terpilih. Jadi apakah filter yang kita
gunakan untuk memilah ketidakpastian mana yang akan kita masukkan ke dalam
daftar risiko kita, yang mana perlu kita rekam, pikirkan, kelola, reviu, dan awasi.
Apabila kita lihat ke belakang, beberapa orang membedakan antara kedua hal
tersebut secara matematis. Sebagaimana menurut ISO 31000 khususnya tentang
definisi risiko; terdapat efek atas ketidakpastian terhadap pencapaian tujuan.
Terdapat tiga kata untuk mendefinisikan risiko, yaitu ketidakpastian yang berarti,
karena mayoritas dari milyaran ketidakpastian di dunia ini tidak berarti. Apabila
ketidakpastian ini tidak berarti apa-apa, tidak relevan untuk kita, dan tidak
mempengaruhi tujuan kita, hal tersebut merupakan ketidakpastian namun bukan
merupakan risiko. Jadi ketika berusaha mengidentifikasi risiko adalah
mengidentifikasi ketidakpastian yang berarti. Selain itu, suatu kejadian yang sama,
dapat menjadi risiko atau bukan tergantung dari kepentingan/tujuan masing-

2
 masing pihak. Suatu ketidakpastian dapat menjadi risiko bagi satu orang, akan
tetapi bukan merupakan risiko badi orang yang lain.
Dengan demikian, terdapat hubungan antara risiko dengan tujuan. Tujuan adalah
yang utama sehingga yang perlu diidentifikasi adalah ketidakpastian yang dapat
memengaruhi pencapaian tujuan tersebut. Jika dikaitkan dengan ISO 31000, risiko
adalah efek atas ketidakpastian terhadap pencapaian tujuan. Semua risiko adalah
tidak pasti, tetapi semua risiko berarti maka yang perlu kita lakukan ketika
memikirkan apa yang akan masuk ke dalam daftar risiko adalah semua yang
terdapat dalam daftar risiko haruslah bersifat tidak pasti. Jika sesuatu bersifat
pasti maka itu bukanlah risiko. Di sisi lain ketidakpastian yang berarti tersebut
harus terkait dengan tujuan.
Tetapi jika kita ingin mengingat definisi risiko yang sangat sederhana,
ketidakpastian yang berarti, hanya tiga kata. Berarti bahwa ketidakpastian adalah
peristiwa di mana Kita tidak tahu konsekuensinya, Kita tidak tahu probabilitas
dalam kemungkinannya, dan tidak dapat diperlakukan, contohnya, sebagai
statistik. Namun risiko, Kita tahu konsekuensinya, Kita tahu kemungkinan, dan
bahkan kemungkinan risiko itu akan terjadi. Sebagaimana yang dikatakan Frank
Knight dengan Knightian Uncertainty, perbedaan antara bisa mengukur dan tidak
bisa mengukur. Risiko adalah ketidakpastian yang penting, dan jika kita kembali
ke definisi ISO 31000, (menyebutkan adanya) efek ketidakpastian pada tujuan dan
saya menyebutkan bahwa stkitar ISO 31000 memiliki 11 prinsip, salah satu
prinsipnya adalah manajemen risiko menangani semua jenis ketidakpastian,
bukan hanya peristiwa. Jadi ada kekurangan pengetahuan jika saya tidak tahu
sesuatu, itu menciptakan ketidakpastian. Ada variasi jika kita akan melakukan
sesuatu, tetapi kita tidak yakin berapa lama kemudian. Bukannya ada masalah di
sekitar probabilitas. Kita tahu akan melakukannya dan tidak ada dampaknya.
Hanya saja kita tidak tahu berapa lama waktu yang dibutuhkan, jadi ada berbagai
jenis ketidakpastian, tetapi ketidakpastian yang penting adalah sesuatu yang perlu
kita pikirkan, dan sesuatu yang perlu saya persiapkan dan coba kelola.

7. Apa perbedaan antara risiko dan masalah?

Jawaban:
Menurut definisi risiko ISO 31000, perbedaan mendasar antara risiko dengan
masalah adalah risiko merupakan ketidakpastian yang belum terjadi, sedangkan
suatu masalah adalah ketidakpastian yang sudah terjadi. Masalah dapat
3
 menimbulkan risiko ke depannya dan jika itu terjadi dapat menimbulkan masalah
lain dan seterusnya sehingga menciptakan siklus yang terus berputar. Satu-
satunya cara untuk dapat memutus siklus masalah adalah dengan manajemen
risiko karena risiko belum terjadi. Jika dilakukan manajemen risiko, maka dapat
menangani risiko atau potensi masalah tersebut.

8. Mengapa manajemen risiko penting?

Jawaban:
Jika kita kembali ke definisi risiko maka risiko adalah ketidakpastian yang penting.
Alasan mengapa manajemen risiko penting adalah karena risiko adalah
ketidakpastian yang penting karena mempengaruhi pencapaian tujuan kita. Jadi
jika ingin berhasil tentu saja harus mengelola risiko sekarang. Kita harus
melakukan segala yang mungkin untuk memastikan pencapaian tujuan yang
sudah ditetapkan termasuk berpikir ke depan secara proaktif untuk mengatasi
ketidakpastian tersebut sehingga manajemen risiko dapat memberikan peluang
terbaik untuk mencapai tujuan kita. Dengan demikian, manajemen risiko sangat
penting karena dengan keberhasilan atau kegagalan dalam pencapaian tujuan
atau sasaran yang sudah ditetapkan termasuk sebagai dasar strategi dan
anggaran serta rencana sumber daya. Jika kita mengikuti rencana yang sudah
ditetapkan seharusnya kita akan berhasil mencapai tujuan. Tetapi kita dapat tidak
berhasil, karena hal-hal yang belum kita duga sebelumnya dan belum ditetapkan
rencana mitigasi seperti menyusun jadwal dan sumber daya yang diperlukan.
Untuk itu, perlu mengelola risiko secara efektif karena efektivitas pengelolaan
risiko akan berkorelasi secara langsung dengan probabilitas keberhasilan
pencapaian tujuan.

9. Bagaimana proses manajemen risiko itu?

Jawaban:
Menurut ISO 31000, langkah pertama dalam proses manajemen risiko adalah
membangun konteks. Dalam versi lain disebut perencanaan manajemen risiko
atau inisiasi proses risiko. Untuk memahami pengelolaan risiko kita coba dengan
menjawab pertanyaan-pertanyaan berikut:.
a. Pertanyaan pertama adalah: Apa yang saya coba lakukan? Apa yang saya
coba capai?

4
 ISO 31000 mendefinisikan risiko sebagai efek ketidakpastian pada tujuan. Jika
tidak tahu apa tujuannya, maka kita tidak dapat memulai proses pengelolaan
risiko. Sehingga pertanyaan pertama dalam pengelolaan risiko adalah apa
yang akan dicapai atau mendefinisikan tujuan.
b. Pertanyaan kedua adalah: Apa yang mungkin dapat mempengaruhi
pencapaian tujuan? Kita harus tahu apa tujuan kita, apa yang direncanakan.
Apa yang mungkin terjadi dan dapat memengaruhi kemampuan kita untuk
mencapainya? Inilah yang dimaksud dengan identifikasi risiko, atau
mengidentifikasi risiko. Cara berpikir seperti ini akan memberi kita daftar
panjang risiko.
c. Pertanyaan ketiga : Dari daftar panjang risiko, pilih risiko mana yang paling
besar dan penting? Cara berpikir seperti itu mengarahkan kita pada prioritas
penanganan risiko. Kita perlu menilai risiko dan menganalisisnya untuk
berpikir tentang karakteristik seberapa besar kemungkinannya — apa dampak
potensial mereka, dan memutuskan mana yang paling penting. Jadi sekarang
kami memiliki daftar panjang risiko yang kami prioritaskan dan kami dapat
memilih yang besar, ancaman terburuk dan peluang terbaik.
d. Setelah kita tahu apa risikonya, pertanyaan selanjutnya adalah: Apa yang bisa
kita lakukan? Langkah selanjutnya adalah menyusun perencanaan respons
atas risiko. Kita harus tahu mana ancaman terburuk peluang terbaik. Apa yang
akan kita lakukan untuk memposisikan diri atau mempersiapkan diri untuk
mengelola risiko-risiko tersebut? Selanjutkan kita akan menetapkan pilihan
dan respons risiko kita.
e. Pertanyaan berikutnya setelah kita menetapkan respon resiko adalah
mengimplementasikannya. Hal yang wajar untuk ditanyakan adalah: Apakah
itu berhasil? Kita perlu memiliki langkah pemutakhiran risiko melihat respons,
memeriksa apakah responsnya efektif. Kita juga dapat kami melihat
bagaimana pelaksanaan kondisi risiko telah berubah, apakah ancamannya
semakin kecil? Atau apakah peluang semakin besar? Atau apakah ada
hal/risiko baru yang muncul? Dengan kata lain, langkah pemutakhiran risiko
akan menjawab pertanyaan: apa yang berubah setelah dilakukan respon atas
risiko.
f. Ketika kita telah menemukan risiko yang paling penting, merencanakan
beberapa respon atas risiko, dan mengimplementasikan respon atas risiko
dan melihat apa yang terjadi maka kita perlu mengomunikasikan hasil dari
5
 proses pengelolaan risiko sehingga komunikasi risiko atau pelaporan risiko
akan menjawab pertanyaan: siapa yang harus kita beri tahu?
g. Dan akhirnya, apakah ada risiko yang baru? Atau apabila ada, apa yang
berubah? Setelah kita melakukan pengelolaan risiko, agar mengidentifikasi
beberapa risiko besar, merencanakan beberapa tanggapan, dan menerapkan,
dan melaporkannya. Sekarang kita harus melakukan pembaruan atas risiko
kita atau mencari tahu risiko baru apa yang muncul, risiko apa yang hilang,
dan bagaimana kita melakukan perubahan atau upgrade tanggapan atas
risiko baru.

Ketujuh pertanyaan sederhana itu adalah proses manajemen risiko. Penetapan

tujuan, mengidentifikasi risiko, memprioritaskan, merencanakan dan
mengimplementasikan respon atas risiko, melakukan peninjauan kembali risiko,
melaporkan risiko, dan melakukan pembaruan risiko.

10. Apa hambatan/kendala dalam proses manajemen risiko?

Jawaban:
Proses manajemen risiko mulai dari merencanakan proses, mengidentifikasi
risiko, penilaian risiko, perencanaan respons, pemantauan, dan pemutakhiran.
Yang paling sulit dalam manajemen risiko atas proses manajemen risiko
khususnya saat perencanaan respon risiko dan pemantauan keterjadian risiko dan
pelaksanaan respon atas risiko. Manajemen risiko seringkali dilaksanakan sebagai
optional atau aktivitas yang terpisah dari pekerjaan sehari-hari. Untuk itu harus
dihubungkan antara proses manajemen risiko dengan pekerjaan sehari-hari.

11. Apakah data historis kejadian tahun sebelumnya penting bagi K/L/D dalam
manajemen risiko?
Jawaban:
Sebelumnya kita harus membahas dulu teknik identifikasi risiko. Di situlah fokus
itu masuk. Jika kita selalu dan hanya melihat di masa lalu, kita belajar pelajaran di
masa lalu, tetapi kita tidak melihat apa yang berbeda di masa depan. Hal yang
sama berlaku juga dalam bisnis, keuangan, proyek dan dalam kehidupan pribadi
kita. Setiap situasi adalah baru, dan manajemen risiko adalah radar yang
berpandangan ke depan. Memberi tahu mengatakan apa yang ada di luar sana
dan apa yang akan terjadi. Beberapa hal itu buruk dan harus dijauhi demi
6
 mencapai tujuan. Beberapa hal di radar risiko merupakan hal yang baik dan perlu
bergerak ke sana, tetapi tetap fokus pada tujuan. Manajemen risiko memiliki fokus
tersebut. Melihat ke belakang dan mempelajari pelajaran bagaimana sampai ke
titik ini dan kemudian memindai masa depan untuk melihat apa yang akan terjadi
dan memposisikan diri secara proaktif untuk itu dengan belajar dari pengalaman
masa lalu.

12. Apa teknik identifikasi risiko yang terbaik?

Jawaban:
Ada banyak teknik identifikasi risiko, dan secara umum mengelompokkannya ke
dalam dua cara.
Pertama yaitu teknik individu yang dapat dilakukan sendiri. Yang kedua, teknik
kelompok. Teknik dilakukan dengan berdiskusi dan bersama-sama menemukan
jawaban.
Selain itu, yang diperlukan adalah fokus pada waktu pelaksanaan identifikasi,
yaitu masa lalu, masa sekarang, dan masa depan. Jika melihat pada masa lalu,
maka kita bisa melihat pengalaman dari pelaksanaan proram/kegiatan
sebelumnya atau rencana strategis sebelumnya. Selanjutnya cermati risiko apa
yang terjadi pada saat itu dan apakah dapat terjadi kembali saat ini. Kita bisa
meninjau laporan pelajaran yang didapat jika ada hal seperti itu dan lihat apa yang
dapat kita ambil dari situ untuk situasi ini.

13. Bagaimana cara menggambarkan risiko secara jelas dan tidak ambigu?
Jawaban:
Risiko adalah ketidakpastian, sehingga deskripsi risiko harus menggunakan
bahasa ketidakpastian. Jadi, sesuatu yang mungkin atau tidak mungkin harus
dipikirkan. Kemudian dampaknya hanya akan terjadi jika risikonya terjadi.
Selanjutnya risiko terjadi pasti karena ada penyebabnya dan sangat sering
penyebab risiko atau efek risiko ambigu dengan risiko itu sendiri. Contoh terkait
pengiriman, risiko pengiriman terlambat, bukan merupakan risiko tetapi dampak
dari suati risiko. Salah satu cara untuk menemukan risiko adalah memiliki
deskripsi terstruktur dari risiko yang menempatkan penyebab, risiko, dan
kemudian dampaknya sehingga kita dapat dikatakan karena kita memiliki tim
yang tidak berpengalaman, kita mungkin menghabiskan waktu lebih lama untuk

7
 merancang dan mengembangkan solusi yang akan menyebabkan pengiriman
tertunda.
Jadi apa yang akan kita kelola, kita tidak dapat mengelola pengiriman yang
tertunda. Kita tidak dapat menyalahkan tim yang tidak berpengalaman. Kita
mempunyai tim yang tidak berpengalaman. Sehingga, yang bisa dikelola adalah
mungkin menghabiskan waktu terlalu lama untuk mendesain dan
mengembangkan solusinya. Sehingga bagaimana kita mengelola risiko antara lain
melalui pelatihan, penggunaan template, penggunaan kembali solusi yang ada
melalui manajemen, dan perencanaan dan sebagainya.

14. Mengapa risiko perlu dimutakhirkan ?

Jawaban:
Risiko adalah tantangan yang sangat dinamis. Bukan hanya sesuatu yang terjadi
sekali. Risiko dapat terjadi setiap saat. Kita akan terus-menerus terpapar risiko
dari berbagai jenis dan berbagai tingkat keparahan, dan yang terpenting adalah
kita mengenali risiko sebagai tantangan yang dinamis. Jadi risiko yang kita hadapi
saat ini, seperti saat duduk di ruangan, berbeda dari risiko yang akan kita hadapi
ketika kita pergi ke luar ruangan.

Saat risiko berubah, kita harus mengidentifikasi risiko, memprioritaskan risiko,

mengembangkan respons atas risiko dan mengimplementasikannya. Jadi, jika kita
melakukan sesuatu yang memerlukan rentang waktu seperti program/kegiatan
harus mengidentifikasi risiko di awal, yang akan menentukan strategi kita untuk
periode ini, Dan inilah bagaimana kita akan bergerak maju dengan risiko yang kita
ketahui sekarang. Kita dapat mengubah situasi melalui keputusan dan tindakan
kita. Beberapa risiko yang telah kita identifikasi sebelumya telah hilang dan risiko
baru akan muncul. Sehingga beberapa risiko Jadi dengan pemutakhiran risiko apa
yang kita lakukan adalah kita melihat perubahan dalam paparan risiko
sehubungan dengan waktu dan mengatakan kita sudah pernah melakukan ini
sebelumnya, kita mengambil tindakan ini, sekarang kita sudah sampai di sini. Dan
Kita berharap bahwa ancaman yang telah kita identifikasi sebelumnya telah hilang
atau setidaknya semakin kecil. Peluang yang telah kita identifikasi sebelumnya
telah kita tangkap atau bertambah besar dan kita perlu melihat ke depan untuk
melihat risiko baru yang muncul, yang tidak bisa kita lihat sebelumnya. Jadi kita

8
 menguji efektivitas respons risiko kita dan kita memperbarui atau meninjau
psikologi. Dan itulah mengapa kita harus melakukan pemutakhiran risiko

15. Seberapa sering pemutakhiran risiko harus dilakukan?

Jawaban:
Tergantung pada seberapa sering hal-hal berubah. Jika kita memiliki situasi yang
sangat stabil maka kita perlu melakukan pemutakhiran risiko lebih jarang. Jika kita
berada dalam program/kegiatan yang sangat rumit di mana segala sesuatunya
berubah terus-menerus mungkin dengan proses pengembangan yang tangkas,
rilis tambahan, persyaratan baru yang berasal dari klien mungkin kita perlu
melakukan pemutakhiran risiko setiap minggu. Itu tergantung pada volatilitas,
tingkat perubahan, dan seberapa dinamisnya situasi tersebut.

16. Bagaimana kaitan antara SPIP dan Manajemen Risiko? Apakah Manajemen
Risiko merupakan bagian dari SPIP atau sebaliknya?
Jawaban:
Manajemen Risiko dan SPIP memang berbeda tapi merupakan satu kesatuan
yang tidak terpisahkan. Apabila mengacu pada Peraturan Pemerintah Nomor 60
Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah, sebagian proses
Manajemen Risiko telah menjadi bagian dari SPIP karena secara substansi
sebagian besar tahapan Manajemen Risiko ada pada sub unsur-sub unsur SPIP,
khususnya identifikasi risiko dan analisis risiko. Terkait pengendalian atas risiko
yang sudah diidentifikasi dan dianalisis dapat dilakukan dengan sub unsur-sub
unsur dalam unsur Kegiatan Pengendalian. Pengkomunikasian atas risiko dan
RTP terkait erat dengan unsur Informasi dan Komunikasi, sedangkan pemantauan
atas risiko, kejadian risiko, pelaksanaan RTP, serta efektivitas RTP secara
substansi masuk dalam unsur Pemantauan. Kita dapat mengkomunikasikan
kepada pemerintah daerah bahwa Manajemen Risiko merupakan SPIP Plus,
mengingat sebelumnya SPIP hanya berfokus pada tata kelola dan belum berfokus
pada pembangunan infrastruktur pengelolaan risiko sebagai pendukung perbaikan
tata kelola. Manajemen Risiko ini diharapkan dapat menjadi pendukung atau
penyempurna tata kelola melalui pembangunan struktur pengelolaan risiko dan
adanya timeline pengelolaan risiko yang jelas.

9
B. PENGELOLAAN RISIKO PEMERINTAH DAERAH
1. Bagaimana pengelolaan risiko pada pemerintah daerah?
Jawaban:
Pengelolaan risiko (manajemen risiko) pada dasarnya dapat dipahami sebagai
suatu kombinasi antara budaya, sistem, dan proses yang dilakukan oleh suatu
instansi/ organisasi untuk mengkoordinasikan, mengidentifikasi, dan mengelola
risiko.
Di Indonesia, seluruh instansi pemerintah termasuk pemerintah daerah diharuskan
menerapkan sistem pengendalian internal untuk pencapaian tujuan organisasi
dengan mengacu pada PP Nomor 60 Tahun 2008 tentang SPIP yang terdiri dari 5
unsur yaitu lingkungan pengendalian, penilaian risiko, kegiatan pengendalian,
informasi dan komunikasi, dan pemantauan. Pimpinan Instansi Pemerintah juga
perlu merumuskan pendekatan manajemen risiko dan kegiatan pengendalian atas
risiko yang diperlukan untuk memperkecil risiko (Lampiran PP No.60 Tahun 2008).
Oleh karena itu, framework manajemen risiko, yang merupakan perpaduan antara
budaya, sistem, dan proses untuk mengkoordinasikan, mengidentifikasi, dan
mengelola risiko, dari beberapa standar, dapat dirumuskan sebagai bagian dari
penguatan penerapan SPIP dalam rangka pencapaian tujuan organisasi.
Pengelolaan risiko pada pemerintah daerah dapat digambarkan sebagai berikut:

Dengan menggunakan sudut pandang kerangka SPIP, perbaikan/pembangunan

budaya dan sistem manajemen risiko dapat diadaptasi sebagai penguatan
unsur lingkungan pengendalian, sedangkan proses manajemen risiko dapat

10
 diadaptasi ke dalam unsur SPIP yang lain yaitu penilaian risiko, kegiatan
pengendalian, informasi dan komunikasi, dan pemantauan.

2. Bagaimana proses pengelolaan risiko dapat mendorong terciptanya Budaya

Sadar Risiko di Pemerintah Daerah?
Jawaban:
Dalam kegiatan proses pengelolaan risiko pemerintah daerah terdapat kegiatan
identifikasi kelemahan lingkungan internal melalui CEE yang secara tidak
langsung akan mendorong budaya sadar risiko.

3. Kebijakan apa saja yang harus dimiliki pemda dalam melaksanakan

pengelolaan risiko pemerintah daerah?
Jawaban:
Kebijakan terkait pengelolaan risiko pemerintah daerah antara lain Kebijakan
Pedoman Pengelolaan Risiko Pemerintah Daerah, Keputusan Kepala Daerah
tentang Struktur Pengelolaan Risiko Pemerintah Daerah, Dokumen Arahan dan
Kebijakan Penilaian Risiko 5 Tahunan, dan Dokumen Arahan dan Kebijakan
Penilaian Risiko 1 Tahunan. Struktur Pengelolaan Risiko Pemerintah Daerah
apabila tidak memungkinkan menjadi satu struktur tersendiri, dapat dilekatkan
fungsiya pada struktur pemerintahan daerah, dan hal tersebut tetap diatur dalam
suatu kebijakan.

4. Bagaimana struktur pengelolaan risiko yang seharusnya? Apakah harus struktur

pengelola risiko tersendiri ataukah bisa dilekatkan pada fungsi tertentu (menjadi
tambahan tupoksi)?
Jawaban:
Dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 2019
tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah terdapat contoh
struktur pengelolaan risiko dengan membagi kewenangan/fungsi pengelolaan
risiko menjadi 6, yaitu Penanggung Jawab, Koordinator Penyelenggaraan, Unit
Pemilik Risiko, Komite Pengelolaan Risiko, dan Unit Kepatuhan, dan
Penanggungjawab Pengawasan. Pembagian tersebut telah mempertimbangkan
Three Lines of Defense yaitu (1st Line: Unit Pemilik Risiko, 2nd Line: Unit
Kepatuhan, dan 3rd Line: Penanggungjawab Pengawasan). Meskipun dalam
peraturan tersebut telah dicontohkan siapa yang dapat mengisi struktur

11
 tersebut, tetapi dalam implementasinya dapat disesuaikan dengan kondisi pada
masing-masing pemerintah daerah. Hal yang perlu dipastikan hanyalah adanya
fungsi-fungsi tersebut dalam struktur pengelolaan risiko. Dalam penetapan
struktur pengelola risiko apabila memang memungkinkan dapat langsung
ditambahkan sebagai tambahan tugas pokok dan fungsi pada masing-masing
OPD melalui Peraturan Kepala Daerah tentang Kedudukan, Susunan
Organisasi, Tugas dan Fungsi, serta Tata Kerja OPD.

5. Apakah struktur Unit Pengelola Risiko (UPR) tingkat pemerintah daerah dapat
menyesuaikan dengan struktur organisasi pemerintah daerah tersebut? Karena
dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 2019
tentang Pedoman Pengelolaan Risiko pada Pemerintah disebutkan bahwa
Koordinator Teknis untuk UPR tingkat pemerintah daerah adalah Kepala
Bappeda yang memungkinkan posisi Sekretaris Daerah menjadi di bawahnya
tidak dapat dimungkinkan dalam praktik di pemerintah daerah.
Jawaban:
Pada struktur UPR tingkat pemerintah daerah, diharapkan Ketua diisi oleh
Kepala Daerah, tetapi peran Koordinator Teknis tetap harus diisi oleh Kepala
Bappeda, sebagai kepala unit kerja yang menangani perencanaan tingkat
pemerintah daerah. Terkait Sekretaris Daerah, posisinya dapat disesuaikan
sesuai kebijakan masing-masing pemerintah daerah.

6. Kebijakan apa yang mengharuskan pemerintah daerah menyelenggarakan

SPIP dan pengelolaan risiko?
Jawaban:
Penyelenggaraan SPIP merupakan hal yang diamanatkan dalam Peraturan
Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern
Pemerintah. Terkait pengelolaan risiko, selain telah diamanatkan juga dalam
Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian
Intern Pemerintah sebagai pelaksanaan dari unsur SPIP kedua (Penilaian
Risiko) juga telah diamanatkan dalam Peraturan Menteri Dalam Negeri Nomor
99 Tahun 2018 tentang Pembinaan dan Pengendalian Penataan Perangkat
Daerah dan Peraturan Menteri Pendayagunaan Aparatur Negara dan
Reformasi Birokrasi Nomor 30 Tahun 2018 tentang Pedoman Evaluasi
Reformasi Birokrasi serta telah ditetapkan sebagai indikator kinerja dalam
12
 RPJMN 2020-2024. Meskipun demikian, penyelenggaraan SPIP dan
pelaksanaan pengelolaan risiko diharapkan bukan dipandang sebagai suatu
keharusan, tetapi sebagai kebutuhan dan sarana pemerintah daerah untuk
memperbaiki proses kerja dan membantu pencapaian tujuan.

7. Apabila pemerintah daerah yang telah memiliki kebijakan pengelolaan risiko,

apakah harus membuat kebijakan pengelolaan risiko baru yang sejalan dengan
Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 2019 tentang
Pedoman Pengelolaan Risiko pada Pemerintah Daerah?
Jawaban:
Sebaiknya Perwakilan BPKP memberikan masukan kepada pemerintah daerah
untuk melakukan revisi perbaikan atas kebijakan pengelolaan risiko yang sudah
ditetapkan menyesuaikan dengan pedoman pengelolaan risiko yang disusun
BPKP. Ke depannya APIP pemerintah daerah juga akan melaksanakan PIBR
yang sejalan dengan pedoman pengelolaan risiko yang disusun BPKP ini.
Hingga saat ini, pada kebijakan pemerintah daerah terkait pengelolaan risiko
yang sudah ditetapkan, sebagian besar belum mengatur mengenai struktur
pengelolaan risiko dan pengklasifikasian konteks risiko, sehingga dalam
prakteknya tidak ada yang mengkoordinir dan memantau serta hanya
mengelola risiko operasional OPD. Dengan mengacu pada Peraturan Deputi
Kepala BPKP Bidang PPKD Nomor 4 Tahun 2019 tentang Pedoman
Pengelolaan Risiko pada Pemerintah Daerah diharapkan pemerintah daerah
dapat menetapkan struktur pengelolaan risiko sehingga terdapat kejelasan
terkait pihak-pihak yang bertanggung jawab di setiap tahapan pengelolaan
risiko dan adanya pengelolaan risiko atas risiko strategis pemerintah daerah
dan risiko strategis OPD.

8. Pengelolaan risiko pemerintah daerah terdiri dari budaya, sistem dan proses.
Apa saja kegiatan dalam proses pengelolaan risiko pemerintah daerah?
Jawaban:
Proses pengelolaan Risiko dilakukan melalui beberapa tahapan yang
membentuk suatu siklus sebagaimana dapat diilustrasikan pada gambar di
bawah ini:.

13
Tahapan proses pengelolaan risiko pemerintah daerah tersebut, terinci sebagai
berikut:
1. Identifikasi Kelemahan Lingkungan Pengendalian
a. Persiapan penilaian kelemahan lingkungan pengendalian;
b. Penilaian awal atas kelemahan lingkungan pengendalian melalui reviu
dokumen;
c. Survei terhadap lingkungan pengendalian melalui Control Environtment
Evaluation (CEE);
d. Simpulan kelemahan lingkungan pengendalian urusan wajib/pilihan.
2. Penilaian Risiko
a. Penetapan Konteks/Tujuan
1) Menetapkan konteks/tujuan dan pemilihan tujuan yang akan dilakukan
penilaian risiko;
2) Persiapan penilaian risiko;
a) Menetapkan kriteria dan skala dampak dan kemungkinan risiko;
b) Menetapkan tingkat risiko yang dapat diterima.
b. Identifikasi Risiko
Dalam tahapan ini, berbagai risiko yang mengancam pencapaian tujuan
diidentifikasi dengan melibatkan pihak-pihak terkait.
c. Analisis Risiko
1) Melakukan analisis dampak dan kemungkinan risiko;
2) Melakukan validasi risiko;

14
 3) Melakukan evaluasi pengendalian yang ada dan yang dibutuhkan;
4) Menyusun Rencana Tindak Pengendalian (RTP);
a) Merumuskan tindakan untuk mengatasi kelemahan Lingkungan
Pengendalian;
b) Merumuskan Kegiatan Pengendalian yang dibutuhkan dalam rangka
mengatasi risiko;
c) Menyelaraskan Rencana Tindak Pengendalian;
d) Menyusun rancangan informasi dan komunikasi atas RTP;
e) Menyusun rancangan monitoring dan evaluasi risiko dan RTP.
3. Kegiatan Pengendalian
a. Pembangunan infrastruktur yang meliputi penyusunan atau
penyempurnaan kebijakan dan prosedur sebagai tindak lanjut dari RTP;
b. Pelaksanaan kebijakan dan prosedur pengendalian.
4. Informasi dan Komunikasi
Pengomunikasian pengendalian yang dibangun dan hasil dari tiap tahapan
pengelolaan risiko.
5. Pemantauan
a. Pemantauan atas implementasi pengendalian;
b. Pemantauan kejadian risiko.
c. Memantau pelaksanaan tiap tahapan pengelolaan risiko

9. Bagaimana kaitan antara kuesioner Control Environment Evaluation (CEE)

dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 2019
tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah dan survei
pendahuluan saat melakukan penilaian maturitas?
Jawaban:
Pada proses manajemen risiko, CEE digunakan untuk menilai memadai atau
tidak memadainya 8 sub unsur lingkungan pengendalian pada pemerintah
daerah, sebagai alternatifpembentuk Risk Culture, sedangkan survei
pendahuluan pada e-SPIP berisi tentang persepsi pegawai dengan opsi
jawaban 1-5 sesuai dengan level SPIP dan untuk seluruh sub unsur SPIP.
Kuesioner CEE pada pengelolaan risiko dapat disesuaikan pertanyaannya
sesuai kebutuhan/kondisi di masing-masing pemerintah daerah, sedangkan
pada survei pendahuluan pada e-SPIP sudah ditetapkan oleh BPKP.

15
10. Dari kerangka menuju proses pengelolaan risiko, mengapa perlu dilakukan
identifikasi lingkungan pengendalian intern melalui CEE? Apa korelasinya
dengan risiko yang kita identifikasi?
Jawaban:
CEE diperlukan untuk mengetahui gambaran umum kelemahan-kelemahan
pengendalian intern yang dapat memicu risiko, yang mungkin tidak terdeteksi
melalui FGD yang hanya mengidentifikasi risiko dengan mengacu pada
dokumen perencanaan dan pemahaman/pengalaman peserta FGD.
Selanjutnya CEE digunakan untuk menentukan besaran RTP yang akan dibuat
untuk merespon risiko. RTP yang akan dibuat harus mempertimbangkan
kelemahan lingkungan pengendalian agar dalam pelaksanaannya dapat
berjalan efektif.

11. Bagaimana apabila penetapan tujuan pemerintah daerah/OPD yang tercantum

dalam dokumen perencanaan (RPJMD/Renstra/Renja) kurang memadai?
Jawaban:
Apabila kondisi tersebut terjadi maka pemerintah daerah tidak diharuskan
mengambil tujuan yang dinyatakan dalam dokumen perencanaan. Pemerintah
daerah dapat menggunakan tujuan faktual pemerintah daerah/OPD yang dapat
dilakukan dengan melakukan diskusi terlebih dahulu dengan pihak-pihak terkait.
Misalnya untuk tujuan strategis faktual OPD dapat dirumuskan dengan
melakukan diskusi dengan pejabat struktural OPD terkait dan pihak Bappeda.
Begitu juga apabila ternyata RPJMD yang ada kurang memadai maka
penetapan tujuan strategis faktual pemerintah daerah dapat dilakukan dengan
diskusi pada tingkatan yang lebih tinggi misalnya antara Kepala Daerah dan
Bappeda. Untuk menyelaraskan tujuan tersebut tujuan strategis faktual dapat
dirumuskan terlebih dahulu pada level yang lebih tinggi yaitu RPJMD baru
kemudian dirunut hingga dokumen perencanaan di bawahnya. Untuk
menghindari hal tersebut BPKP dapat memerankan fungsi consulting-nya sejak
proses penyusunan dokumen perencanaan baik pendampingan saat
penyusunan RPJMD maupun melakukan bimkon reviu RKA kepada
Inspektorat.

16
12. Apabila suatu tujuan memiliki beberapa sasaran, apakah seluruh sasaran
tersebut perlu ditetapkan konteksnya sebelum pengidentifikasian risiko?
Jawaban:
Terkait penetapan konteks, sebenarnya tidak perlu mencantumkan seluruh
sasaran yang terkait dengan tujuan yang akan diidentifikasi risikonya. Sasaran
yang dimasukan dapat dipilih satu atau beberapa sasaran saja, yaitu sasaran
yang dinilai paling mempengaruhi pencapaian tujuan.

13. Dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 2019
tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah risiko
didefinisikan sebagai kejadian yang mengancam pencapaian tujuan dan
sasaran. Kejadian ini bisa sudah terjadi atau yang akan terjadi. Namun
beberapa teori mendefinisikan risiko hanya kejadian yang akan terjadi.
Bagaimana penjelasannya?
Jawaban:
Dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 2019
tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah konteks
kejadian yang sudah terjadi merupakan kejadian yang sebelumnya sudah
terjadi tetapi mungkin kembali terjadi lagi karena belum efektifnya pengendalian
yang telah dilakukan.

14. Dalam pengidentifikasian risiko, apakah risiko yang dirumuskan hanya risiko
yang memberikan dampak negatif terhadap pencapaian tujuan?
Jawaban:
Dalam ISO 31000 dan AS/NZS 4360:2004 risiko tidak hanya didefinisikan
sebagai kejadian-kejadian yang dapat memberikan dampak negatif, tetapi juga
yang dapat memberikan dampak positif bagi pencapaian tujuan. Namun dalam
pelaksanaan SPIP dan pengelolaan risiko, karena masih mengacu pada
Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian
Intern Pemerintah maka sesuai definisi pada peraturan tersebut untuk
sementara pengidentifikasian risiko dilakukan hanya kepada kejadian-kejadian
yang mungkin terjadi dan dapat memberikan dampak negatif bagi pencapaian
tujuan.

17
15. Bagaimana sebaiknya timeline untuk pengelolaan risiko?
Jawaban:
Pengelolaan risiko erat kaitannya dengan tujuan yang ingin dicapai oleh suatu
instansi. Tujuan tersebut tercantum dalam dokumen-dokumen perencanaan
yang disusun seperti dalam RPJMD, Renstra OPD, dan Renja OPD. Oleh
karena itu, sebaiknya tahapan pengidentifikasian risiko sebaiknya dilakukan
tepat setelah dokumen perencanaan ditetapkan. Sedangkan untuk pelaksanaan
RTP dan pemantauan RTP/peristiwa risiko dilakukan sepanjang tahun
anggaran.

16. Terkait pengklasifikasian risiko strategis pemerintah daerah, risiko strategis

OPD, dan risiko operasional OPD, bisakah kita menyebutnya sebagai tingkatan
risiko?
Jawaban:
Untuk pengklasifikasian risiko tersebut sebaiknya tidak disebut sebagai
tingkatan risiko karena akan terkesan terdapat leveling risiko dan anggapan
risiko operasional OPD berada di tingkat yang lebih rendah atau kurang penting
jika dibandingkan dengan risiko strategis pemerintah daerah dan risiko strategis
OPD. Ketiga risiko tersebut berada pada tingkatan yang sama dan sama
pentingnya, sehingga sebaiknya untuk pengklasifikasian risiko tersebut
menggunakan istilah “konteks risiko”.

17. Bagaimana caranya merumuskan risiko, penyebab, dan dampak dengan benar?
Karena dalam praktiknya ketiga hal tersebut sering tertukar.
Jawaban:
Perumusan risiko sebenarnya tidak ada pakemnya. Perumusan risiko bisa
berasal dari sebab, peristiwa, maupun dampak. Yang terpenting adalah
bagaimana kita nanti akan memitigasi hal tersebut. Namun untuk memudahkan,
kita dapat merumusnya berdasarkan tujuan yang telah ditetapkan. Setelah
tujuan ditetapkan, untuk merumuskan risiko kita perlu kembali pada definisi
risiko dan menggunakan analogi “jika hal tersebut terjadi maka tujuan bisa tidak
tercapai”. Jika kita sudah memahami proses untuk mencapai tujuan, kita dapat
mengetahui kelemahan dan hal-hal yang bisa menghambat pencapaian tujuan.
Jadi risiko bukan menegasikan tujuan yang telah ditetapkan. Setelah risiko
dirumuskan, kita perlu mengetahui hal yang dapat menyebabkan risiko terjadi
18
 dengan merunut hingga ke penyebab hakiki (root cause). Sedangkan untuk
dampak juga bukan merupakan negasi dari tujuan. Dampak suatu risiko
lingkupnya lebih kecil atau sama dengan tidak tercapainya tujuan. Untuk
dampak suatu risiko yang lingkupnya lebih kecil dari tidak tercapainya tujuan
akumulasi dengan beberapa dampak risiko lainnya baru dapat menyebabkan
tidak tercapainya tujuan.

18. Selama ini pemerintah daerah dan OPD sudah dapat menyusun risiko
operasional, tetapi untuk risiko strategis belum terlalu familiar. Bagaimana
memberikan pemahaman kepada pemerintah daerah dan OPD terkait
perumusan risiko strategis?
Jawaban:
Terdapat dua pendekatan untuk merumuskan risiko strategis. Yang pertama
terkait risiko tersebut berada di level mana pengendalian perlu dilakukan. Yang
kedua seberapa penting risiko tersebut bagi pimpinan. Misalkan suatu risiko
dirasa tidak dapat dikendalikan oleh Kepala Bidang maupun Kepala OPD, dan
hanya dapat dikendalikan oleh pejabat yang lebih tinggi, maka risiko tersebut
dapat dikategorikan sebagai risiko strategis pemerintah daerah. Sebaliknya
misalkan masalah kurangnya disiplin pegawai yang bisa menghambat suatu
kegiatan dilihat dari kepentingannya tidak perlu ditangani oleh Kepala Daerah
dan cukup ditangani oleh Kepala OPD maka bisa dikategorikan dalam risiko
operasional OPD.

19. Bagaimana caranya agar daftar risiko yang disusun merupakan risiko yang
memang benar-benar terkait dengan tujuan pemerintah daerah sehingga
Rencana Tindak Pengendalian (RTP) yang disusun dapat mendukung
pencapaian tujuan pemerintah daerah?
Jawaban:
Pertama pada saat proses pengidentifikasian risiko harus merujuk pada
dokumen perencanaan yang telah disusun (RPJMD, Renstra OPD, dan Renja
OPD). Selain itu proses pengidentifikasian risiko sebaiknya dilakukan dengan
Focus Group Discussion (FGD) yang melibatkan baik struktural maupun staf
teknis yang benar-benar menguasai proses bisnis, bukan hanya Bagian
Evaluasi Program dan Pelaporan OPD. Dalam prosesnya, peserta FGD
diharapkan jujur dan tidak menutup-nutupi kondisi yang ada pada pemerintah
19
 daerah maupun OPD sehingga semua risiko dapat teridentifikasi. Dalam
perumusan penyebab, peserta FGD juga diharapkan mampu merunut hingga
akar penyebab (root cause) dan tidak mudah memutuskannya sebagai
penyebab yang disebabkan oleh pihak eksternal dan bersifat uncontrollable,
sehingga RTP yang disusun dapat lebih efektif.

20. Apakah ada aplikasi yang dapat mendukung pengelolaan risiko? Bagaimana
aplikasi tersebut dapat mengakomodir kebutuhan pemerintah daerah dalam
pengelolaan risiko?
Jawaban:
Saat ini Deputi PPKD sedang mengembangkan aplikasi e-risk untuk membantu
pengelolaan risiko pada pemerintah daerah. Aplikasi e-risk yang dikembangkan
mengacu pada Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun
2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah yang
dalam penyusunannya telah dilakukan piloting pada beberapa pemerintah
daerah sehingga secara umum sudah dapat mengakomodir kebutuhan
pemerintah daerah dalam pengelolaan risiko. Untuk mempermudah
implementasinya sebaiknya pemerintah daerah merevisi kebijakan pengelolaan
risikonya terlebih dahulu, terutama terkait struktur pengelolaan risiko dan
pengklasifikasian konteks risiko ke dalam risiko strategis pemerintah daerah,
risiko strategis OPD, dan risiko operasional OPD, karena aplikasi disusun
dengan mengakomodir hal-hal tersebut.

21. Pada Kementerian Dalam Negeri dan Kementerian Keuangan terdapat

pengklasifikasian atas risiko yang telah diidentifikasi dalam beberapa kategori
risiko seperti Risiko Keuangan, Risiko Kebijakan, Risiko Reputasi, Risiko Fraud,
Risiko Legal, Risiko Kepatuhan dan sebagainya. Apakah pengklasifikasian risiko
tersebut menunjukan tingkatan risiko tertentu dan mengapa hal tersebut tidak
diakomodir dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4
Tahun 2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah.
Jawaban:
Pengkategorian risiko-risiko tersebut tidak menunjukan tingkatan risiko tertentu
yang menunjukan risiko mana yang lebih penting. Pengkategorian tersebut
hanya pengelompokan berdasarkan jenis risiko setelah diidentifikasi. Mengenai
mana risiko yang lebih penting tetap harus berdasarkan pada hasil analisis
20
 risiko. Dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun
2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah
pengkategorian jenis risiko tersebut lebih dilihat dari sisi dampaknya, sehingga
dalam peraturan tersebut setelah risiko diidentifikasi atas dampak yang telah
dirumuskan dapat dijelaskan kategorinya yaitu Keuangan, Kinerja, Reputasi dan
Hukum.

22. Untuk risk register dan RTP yang telah disusun terdapat formulir pemantauan
yang digunakan untuk memonitor peristiwa risiko, pelaksanaan RTP, dan
efektivitas RTP, tetapi untuk pelaksanaan informasi dan komunikasi apakah ada
form khusus untuk memantaunya?
Jawaban:
Dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 2019
tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah pemantauan
atas pelaksanaan informasi dan komunikasi menjadi satu form dengan form
rancangan pelaksanaan informasi komunikasi, dimana untuk realisasi
pelaksanaan informasi dan komunikasi dapat diisikan pada kolom Realisasi
Waktu Pelaksanaan. Untuk menginformasikan hal-hal terkait pelaksanaan
informasi dan komunikasi, termasuk efektivitasnya untuk sementara dapat
diisikan pada kolom Keterangan.

23. Bagaimana mekanisme informasi dan komunikasi, pemantauan, dan tindak

lanjut atas tingkat keterjadian risiko dan RTP yang baik, efektif, efisien, tepat
dan mudah dilakukan oleh pemerintah daerah?
Jawaban:
Dalam pelaksanaan informasi dan komunikasi harus dirancang terlebih dahulu
mekanisme. Hal terpenting yang harus disampaikan adalah risk register beserta
RTP-nya. Selanjutnya ditetapkan media penyampaian informasinya, siapa yang
akan menyampaikan, siapa yang akan menerima informasi, rencana waktu
pelaksanaan dan kemudian dipantau realisasi pelaksanaannya. Pemantauan
terhadap RTP sangat bergantung pada kualitas RTP yang disusun dan
rancangan pemantauan yang disusun. RTP yang baik memuat dengan jelas
tindak pengendalian yang harus dilakukan beserta timeline pelaksanaannya.
Selain itu harus terdapat rancangan pengkomunikasian atas RTP yang telah
disusun kepada pihak-pihak yang terkait. Selanjutnya dalam pemantauan, yang
21
perlu dilakukan adalah memantau bahwa RTP telah
dikomunikasikan/disosialisasikan, telah dilaksanakan sesuai timeline, dan
memastikan efektivitasnya. Apabila RTP belum efektif dan risiko masih terjadi,
perlu dicatat untuk kemudian dianalisis lebih lanjut dan dirumuskan kembali
pengendalian yang lebih tepat.

22