Segala puji syukur kepada Tuhan Yang Maha Esa atas segala Rahmat dan
Karunia-Nya sehingga kami dapat menyelesaikan Frequently Asked Question (FAQ)
Pengelolaan Risiko pada Pemerintah Daerah. FAQ ini diharapkan dapat
memberikan manfaat bagi para Stakeholder, khususnya bagi pegawai BPKP baik di
Pusat maupun perwakilan yang melaksanakan tugas pembinaan pengelolaan risiko
Pemerintah Daerah sebagai pertimbangan dan masukan dalam penugasan
pembinaan tersebut.
FAQ ini memuat pertanyaan serta pembahasannya yang sering ditanyakan
saat pembinaan pengelolaan risiko, baik terkait dengan konsep manajemen risiko,
kaitannya dengan SPIP, dan pengelolaan risiko pemerintah daerah yang terdiri dari
Budaya, Sistem dan Proses Pengelolaan Risiko yang dilakukan pada tingkat
strategis Pemda, strategis Organisasi Perangkat Daerah (OPD), dan tingkat
operasional OPD.
Penyusunan Frequently Asked Question (FAQ) ini dilakukan dengan
memperhatikan pertanyaan yang muncul saat Focus Group Discussion (FGD),
diklat, workshop, piloting, dan kegiatan lain yang terkait dengan pembinaan
pengelolaan risiko pemerintah daerah.
Kami mengucapkan terima kasih kepada seluruh pihak yang telah
berkontribusi dalam penyusunan pedoman ini. Selanjutnya, kami berharap agar
pedoman ini dapat memberikan nilai tambah bagi perbaikan penyelenggaraan SPIP
untuk mewujudkan tata kelola pemerintahan daerah yang lebih baik.
Juni 2020
Deputi Kepala BPKP,
Dadang Kurnia
NIP 19610930 198203 1 001
i
DAFTAR ISI
Halaman
PEMBAHASAN FAQ
A. KONSEP MANAJEMEN RISIKO 1
1. Apa yang dimaksud dengan risiko?
2. Bagaimana kaitan risiko dengan tujuan pemda? 1
3. Apakah suatu tujuan penting bagi suatu pemda? 1
4. Apakah semua tujuan terkait dengan pemda itu? 1
5. Bagaimana sebaiknya pendekatan yang digunakan dalam 2
mengidentifikasi risiko? Apakah menggunakan pendekatan top-down
atau bottom-up?
6. Apakah risiko berbeda dengan ketidakpastian? 2
7. Apa perbedaan antara risiko dan masalah? 4
8. Mengapa manajemen risiko penting? 4
9. Bagaimana proses manajemen risiko itu? 4
10. Apa hambatan/kendala dalam proses manajemen risiko? 6
11. Apakah data historis kejadian tahun sebelumnya penting bagi K/L/D
dalam manajemen risiko? 6
12. Apa teknik identifikasi risiko yang terbaik? 7
13. Bagaimana kita bisa menggambarkan risiko secara jelas dan tidak 7
ambigu?
14. Mengapa risiko perlu dilakukan pemutakhiran? 8
15. Seberapa sering pemutakhiran risiko harus dilakukan? 9
16. Bagaimana kaitan antara SPIP dan Manajemen Risiko? Apakah
Manajemen Risiko merupakan bagian dari SPIP atau sebaliknya? 9
ii
7. Apabila pemerintah daerah yang telah memiliki kebijakan pengelolaan 13
risiko, apakah harus membuat kebijakan pengelolaan risiko baru yang
sejalan dengan Peraturan Deputi Kepala BPKP Bidang PPKD Nomor
4 Tahun 2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah
Daerah?
8. Pengelolaan risiko pemerintah daerah terdiri dari budaya, sistem dan 13
proses. Apa saja kegiatan dalam proses pengelolaan risiko
pemerintah daerah?
9. Bagaimana kaitan antara kuesioner Control Environment Evaluation 15
(CEE) dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4
Tahun 2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah
Daerah dan survei pendahuluan saat melakukan penilaian maturitas?
10. Dari kerangka menuju proses pengelolaan risiko, mengapa perlu 16
dilakukan identifikasi lingkungan pengendalian intern melalui CEE?
Apa korelasinya dengan risiko yang kita identifikasi?
11. Bagaimana apabila penetapan tujuan pemerintah daerah/OPD yang 16
tercantum dalam dokumen perencanaan (RPJMD/Renstra/Renja)
kurang memadai?
12. Apabila suatu tujuan memiliki beberapa sasaran, apakah seluruh 17
sasaran tersebut perlu dilakukan pengidentifikasian risiko?
13. Dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 17
2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah,
risiko didefinisikan sebagai kejadian yang mengancam pencapaian
tujuan dan sasaran. Kejadian ini bisa sudah terjadi atau yang akan
terjadi. Namun beberapa teori mendefinisikan risiko hanya kejadian
yang akan terjadi. Bagaimana penjelasannya?
14. Dalam pengidentifikasian risiko, apakah risiko yang dirumuskan hanya 17
risiko yang memberikan dampak negatif terhadap pencapaian tujuan?
15. Bagaimana sebaiknya timeline untuk pengelolaan risiko? 18
16. Terkait pengklasifikasian risiko strategis pemerintah daerah, risiko 18
strategis OPD, dan risiko operasional OPD, bisakah kita menyebutnya
sebagai tingkatan risiko?
17. Bagaimana caranya merumuskan risiko, penyebab, dan dampak 18
dengan benar? Karena dalam praktiknya ketiga hal tersebut sering
tertukar.
18. Selama ini pemerintah daerah dan OPD sudah dapat menyusun risiko 19
operasional. Bagaimana memberikan pemahaman kepada pemerintah
daerah dan OPD terkait perumusan risiko strategis?
19. Bagaimana caranya agar daftar risiko yang disusun merupakan risiko 19
yang memang benar-benar terkait dengan tujuan pemerintah daerah
sehingga Rencana Tindak Pengendalian (RTP) yang disusun dapat
mendukung pencapaian tujuan pemerintah daerah?
iii
20. Apakah ada aplikasi yang dapat mendukung pengelolaan risiko? 20
Bagaimana aplikasi tersebut dapat mengakomodir kebutuhan
pemerintah daerah dalam pengelolaan risiko?
21. Pada Kementerian Dalam Negeri dan Kementerian Keuangan 20
terdapat pengklasifikasian atas risiko yang telah diidentifikasi dalam
beberapa kategori risiko seperti Risiko Keuangan, Risiko Kebijakan,
Risiko Reputasi, Risiko Fraud, Risiko Legal, Risiko Kepatuhan dan
sebagainya. Apakah pengklasifikasian risiko tersebut menunjukkan
tingkatan risiko tertentu dan mengapa hal tersebut tidak diakomodir
dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun
2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah.
22. Untuk risk register dan RTP yang telah disusun terdapat formulir 21
pemantauan yang digunakan untuk memonitor peristiwa risiko,
pelaksanaan RTP, dan efektivitas RTP, tetapi untuk pelaksanaan
informasi dan komunikasi apakah ada form khusus untuk
memantaunya?
23. Bagaimana mekanisme informasi dan komunikasi, pemantauan, dan 21
tindak lanjut atas tingkat keterjadian risiko dan RTP yang baik, efektif,
efisien, tepat dan mudah dilakukan oleh pemerintah daerah?
iv
A. KONSEP MANAJEMEN RISIKO
1. Apa yang dimaksud dengan risiko?
Jawaban:
Menurut ISO 31000, risiko adalah adanya ketidakpastian pada tujuan sehingga
jelas ketidakpastian pada pencapaian tujuan pemda, dengan demikian
ketidakpastian adalah faktor pertama dalam mempertimbangkan risiko. Faktor
kedua, risiko memiliki efek pada suatu tujuan. Adapun ketidakpastian adalah
peristiwa atau kondisi yang tidak pasti. Jika itu terjadi memiliki efek positif atau
negatif pada pencapaian tujuan pemda. Sehingga ketidakpastian akan berbeda
dari risiko.
2
masing pihak. Suatu ketidakpastian dapat menjadi risiko bagi satu orang, akan
tetapi bukan merupakan risiko badi orang yang lain.
Dengan demikian, terdapat hubungan antara risiko dengan tujuan. Tujuan adalah
yang utama sehingga yang perlu diidentifikasi adalah ketidakpastian yang dapat
memengaruhi pencapaian tujuan tersebut. Jika dikaitkan dengan ISO 31000, risiko
adalah efek atas ketidakpastian terhadap pencapaian tujuan. Semua risiko adalah
tidak pasti, tetapi semua risiko berarti maka yang perlu kita lakukan ketika
memikirkan apa yang akan masuk ke dalam daftar risiko adalah semua yang
terdapat dalam daftar risiko haruslah bersifat tidak pasti. Jika sesuatu bersifat
pasti maka itu bukanlah risiko. Di sisi lain ketidakpastian yang berarti tersebut
harus terkait dengan tujuan.
Tetapi jika kita ingin mengingat definisi risiko yang sangat sederhana,
ketidakpastian yang berarti, hanya tiga kata. Berarti bahwa ketidakpastian adalah
peristiwa di mana Kita tidak tahu konsekuensinya, Kita tidak tahu probabilitas
dalam kemungkinannya, dan tidak dapat diperlakukan, contohnya, sebagai
statistik. Namun risiko, Kita tahu konsekuensinya, Kita tahu kemungkinan, dan
bahkan kemungkinan risiko itu akan terjadi. Sebagaimana yang dikatakan Frank
Knight dengan Knightian Uncertainty, perbedaan antara bisa mengukur dan tidak
bisa mengukur. Risiko adalah ketidakpastian yang penting, dan jika kita kembali
ke definisi ISO 31000, (menyebutkan adanya) efek ketidakpastian pada tujuan dan
saya menyebutkan bahwa stkitar ISO 31000 memiliki 11 prinsip, salah satu
prinsipnya adalah manajemen risiko menangani semua jenis ketidakpastian,
bukan hanya peristiwa. Jadi ada kekurangan pengetahuan jika saya tidak tahu
sesuatu, itu menciptakan ketidakpastian. Ada variasi jika kita akan melakukan
sesuatu, tetapi kita tidak yakin berapa lama kemudian. Bukannya ada masalah di
sekitar probabilitas. Kita tahu akan melakukannya dan tidak ada dampaknya.
Hanya saja kita tidak tahu berapa lama waktu yang dibutuhkan, jadi ada berbagai
jenis ketidakpastian, tetapi ketidakpastian yang penting adalah sesuatu yang perlu
kita pikirkan, dan sesuatu yang perlu saya persiapkan dan coba kelola.
4
ISO 31000 mendefinisikan risiko sebagai efek ketidakpastian pada tujuan. Jika
tidak tahu apa tujuannya, maka kita tidak dapat memulai proses pengelolaan
risiko. Sehingga pertanyaan pertama dalam pengelolaan risiko adalah apa
yang akan dicapai atau mendefinisikan tujuan.
b. Pertanyaan kedua adalah: Apa yang mungkin dapat mempengaruhi
pencapaian tujuan? Kita harus tahu apa tujuan kita, apa yang direncanakan.
Apa yang mungkin terjadi dan dapat memengaruhi kemampuan kita untuk
mencapainya? Inilah yang dimaksud dengan identifikasi risiko, atau
mengidentifikasi risiko. Cara berpikir seperti ini akan memberi kita daftar
panjang risiko.
c. Pertanyaan ketiga : Dari daftar panjang risiko, pilih risiko mana yang paling
besar dan penting? Cara berpikir seperti itu mengarahkan kita pada prioritas
penanganan risiko. Kita perlu menilai risiko dan menganalisisnya untuk
berpikir tentang karakteristik seberapa besar kemungkinannya — apa dampak
potensial mereka, dan memutuskan mana yang paling penting. Jadi sekarang
kami memiliki daftar panjang risiko yang kami prioritaskan dan kami dapat
memilih yang besar, ancaman terburuk dan peluang terbaik.
d. Setelah kita tahu apa risikonya, pertanyaan selanjutnya adalah: Apa yang bisa
kita lakukan? Langkah selanjutnya adalah menyusun perencanaan respons
atas risiko. Kita harus tahu mana ancaman terburuk peluang terbaik. Apa yang
akan kita lakukan untuk memposisikan diri atau mempersiapkan diri untuk
mengelola risiko-risiko tersebut? Selanjutkan kita akan menetapkan pilihan
dan respons risiko kita.
e. Pertanyaan berikutnya setelah kita menetapkan respon resiko adalah
mengimplementasikannya. Hal yang wajar untuk ditanyakan adalah: Apakah
itu berhasil? Kita perlu memiliki langkah pemutakhiran risiko melihat respons,
memeriksa apakah responsnya efektif. Kita juga dapat kami melihat
bagaimana pelaksanaan kondisi risiko telah berubah, apakah ancamannya
semakin kecil? Atau apakah peluang semakin besar? Atau apakah ada
hal/risiko baru yang muncul? Dengan kata lain, langkah pemutakhiran risiko
akan menjawab pertanyaan: apa yang berubah setelah dilakukan respon atas
risiko.
f. Ketika kita telah menemukan risiko yang paling penting, merencanakan
beberapa respon atas risiko, dan mengimplementasikan respon atas risiko
dan melihat apa yang terjadi maka kita perlu mengomunikasikan hasil dari
5
proses pengelolaan risiko sehingga komunikasi risiko atau pelaporan risiko
akan menjawab pertanyaan: siapa yang harus kita beri tahu?
g. Dan akhirnya, apakah ada risiko yang baru? Atau apabila ada, apa yang
berubah? Setelah kita melakukan pengelolaan risiko, agar mengidentifikasi
beberapa risiko besar, merencanakan beberapa tanggapan, dan menerapkan,
dan melaporkannya. Sekarang kita harus melakukan pembaruan atas risiko
kita atau mencari tahu risiko baru apa yang muncul, risiko apa yang hilang,
dan bagaimana kita melakukan perubahan atau upgrade tanggapan atas
risiko baru.
11. Apakah data historis kejadian tahun sebelumnya penting bagi K/L/D dalam
manajemen risiko?
Jawaban:
Sebelumnya kita harus membahas dulu teknik identifikasi risiko. Di situlah fokus
itu masuk. Jika kita selalu dan hanya melihat di masa lalu, kita belajar pelajaran di
masa lalu, tetapi kita tidak melihat apa yang berbeda di masa depan. Hal yang
sama berlaku juga dalam bisnis, keuangan, proyek dan dalam kehidupan pribadi
kita. Setiap situasi adalah baru, dan manajemen risiko adalah radar yang
berpandangan ke depan. Memberi tahu mengatakan apa yang ada di luar sana
dan apa yang akan terjadi. Beberapa hal itu buruk dan harus dijauhi demi
6
mencapai tujuan. Beberapa hal di radar risiko merupakan hal yang baik dan perlu
bergerak ke sana, tetapi tetap fokus pada tujuan. Manajemen risiko memiliki fokus
tersebut. Melihat ke belakang dan mempelajari pelajaran bagaimana sampai ke
titik ini dan kemudian memindai masa depan untuk melihat apa yang akan terjadi
dan memposisikan diri secara proaktif untuk itu dengan belajar dari pengalaman
masa lalu.
13. Bagaimana cara menggambarkan risiko secara jelas dan tidak ambigu?
Jawaban:
Risiko adalah ketidakpastian, sehingga deskripsi risiko harus menggunakan
bahasa ketidakpastian. Jadi, sesuatu yang mungkin atau tidak mungkin harus
dipikirkan. Kemudian dampaknya hanya akan terjadi jika risikonya terjadi.
Selanjutnya risiko terjadi pasti karena ada penyebabnya dan sangat sering
penyebab risiko atau efek risiko ambigu dengan risiko itu sendiri. Contoh terkait
pengiriman, risiko pengiriman terlambat, bukan merupakan risiko tetapi dampak
dari suati risiko. Salah satu cara untuk menemukan risiko adalah memiliki
deskripsi terstruktur dari risiko yang menempatkan penyebab, risiko, dan
kemudian dampaknya sehingga kita dapat dikatakan karena kita memiliki tim
yang tidak berpengalaman, kita mungkin menghabiskan waktu lebih lama untuk
7
merancang dan mengembangkan solusi yang akan menyebabkan pengiriman
tertunda.
Jadi apa yang akan kita kelola, kita tidak dapat mengelola pengiriman yang
tertunda. Kita tidak dapat menyalahkan tim yang tidak berpengalaman. Kita
mempunyai tim yang tidak berpengalaman. Sehingga, yang bisa dikelola adalah
mungkin menghabiskan waktu terlalu lama untuk mendesain dan
mengembangkan solusinya. Sehingga bagaimana kita mengelola risiko antara lain
melalui pelatihan, penggunaan template, penggunaan kembali solusi yang ada
melalui manajemen, dan perencanaan dan sebagainya.
8
menguji efektivitas respons risiko kita dan kita memperbarui atau meninjau
psikologi. Dan itulah mengapa kita harus melakukan pemutakhiran risiko
16. Bagaimana kaitan antara SPIP dan Manajemen Risiko? Apakah Manajemen
Risiko merupakan bagian dari SPIP atau sebaliknya?
Jawaban:
Manajemen Risiko dan SPIP memang berbeda tapi merupakan satu kesatuan
yang tidak terpisahkan. Apabila mengacu pada Peraturan Pemerintah Nomor 60
Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah, sebagian proses
Manajemen Risiko telah menjadi bagian dari SPIP karena secara substansi
sebagian besar tahapan Manajemen Risiko ada pada sub unsur-sub unsur SPIP,
khususnya identifikasi risiko dan analisis risiko. Terkait pengendalian atas risiko
yang sudah diidentifikasi dan dianalisis dapat dilakukan dengan sub unsur-sub
unsur dalam unsur Kegiatan Pengendalian. Pengkomunikasian atas risiko dan
RTP terkait erat dengan unsur Informasi dan Komunikasi, sedangkan pemantauan
atas risiko, kejadian risiko, pelaksanaan RTP, serta efektivitas RTP secara
substansi masuk dalam unsur Pemantauan. Kita dapat mengkomunikasikan
kepada pemerintah daerah bahwa Manajemen Risiko merupakan SPIP Plus,
mengingat sebelumnya SPIP hanya berfokus pada tata kelola dan belum berfokus
pada pembangunan infrastruktur pengelolaan risiko sebagai pendukung perbaikan
tata kelola. Manajemen Risiko ini diharapkan dapat menjadi pendukung atau
penyempurna tata kelola melalui pembangunan struktur pengelolaan risiko dan
adanya timeline pengelolaan risiko yang jelas.
9
B. PENGELOLAAN RISIKO PEMERINTAH DAERAH
1. Bagaimana pengelolaan risiko pada pemerintah daerah?
Jawaban:
Pengelolaan risiko (manajemen risiko) pada dasarnya dapat dipahami sebagai
suatu kombinasi antara budaya, sistem, dan proses yang dilakukan oleh suatu
instansi/ organisasi untuk mengkoordinasikan, mengidentifikasi, dan mengelola
risiko.
Di Indonesia, seluruh instansi pemerintah termasuk pemerintah daerah diharuskan
menerapkan sistem pengendalian internal untuk pencapaian tujuan organisasi
dengan mengacu pada PP Nomor 60 Tahun 2008 tentang SPIP yang terdiri dari 5
unsur yaitu lingkungan pengendalian, penilaian risiko, kegiatan pengendalian,
informasi dan komunikasi, dan pemantauan. Pimpinan Instansi Pemerintah juga
perlu merumuskan pendekatan manajemen risiko dan kegiatan pengendalian atas
risiko yang diperlukan untuk memperkecil risiko (Lampiran PP No.60 Tahun 2008).
Oleh karena itu, framework manajemen risiko, yang merupakan perpaduan antara
budaya, sistem, dan proses untuk mengkoordinasikan, mengidentifikasi, dan
mengelola risiko, dari beberapa standar, dapat dirumuskan sebagai bagian dari
penguatan penerapan SPIP dalam rangka pencapaian tujuan organisasi.
Pengelolaan risiko pada pemerintah daerah dapat digambarkan sebagai berikut:
10
diadaptasi ke dalam unsur SPIP yang lain yaitu penilaian risiko, kegiatan
pengendalian, informasi dan komunikasi, dan pemantauan.
11
tersebut, tetapi dalam implementasinya dapat disesuaikan dengan kondisi pada
masing-masing pemerintah daerah. Hal yang perlu dipastikan hanyalah adanya
fungsi-fungsi tersebut dalam struktur pengelolaan risiko. Dalam penetapan
struktur pengelola risiko apabila memang memungkinkan dapat langsung
ditambahkan sebagai tambahan tugas pokok dan fungsi pada masing-masing
OPD melalui Peraturan Kepala Daerah tentang Kedudukan, Susunan
Organisasi, Tugas dan Fungsi, serta Tata Kerja OPD.
5. Apakah struktur Unit Pengelola Risiko (UPR) tingkat pemerintah daerah dapat
menyesuaikan dengan struktur organisasi pemerintah daerah tersebut? Karena
dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 2019
tentang Pedoman Pengelolaan Risiko pada Pemerintah disebutkan bahwa
Koordinator Teknis untuk UPR tingkat pemerintah daerah adalah Kepala
Bappeda yang memungkinkan posisi Sekretaris Daerah menjadi di bawahnya
tidak dapat dimungkinkan dalam praktik di pemerintah daerah.
Jawaban:
Pada struktur UPR tingkat pemerintah daerah, diharapkan Ketua diisi oleh
Kepala Daerah, tetapi peran Koordinator Teknis tetap harus diisi oleh Kepala
Bappeda, sebagai kepala unit kerja yang menangani perencanaan tingkat
pemerintah daerah. Terkait Sekretaris Daerah, posisinya dapat disesuaikan
sesuai kebijakan masing-masing pemerintah daerah.
8. Pengelolaan risiko pemerintah daerah terdiri dari budaya, sistem dan proses.
Apa saja kegiatan dalam proses pengelolaan risiko pemerintah daerah?
Jawaban:
Proses pengelolaan Risiko dilakukan melalui beberapa tahapan yang
membentuk suatu siklus sebagaimana dapat diilustrasikan pada gambar di
bawah ini:.
13
Tahapan proses pengelolaan risiko pemerintah daerah tersebut, terinci sebagai
berikut:
1. Identifikasi Kelemahan Lingkungan Pengendalian
a. Persiapan penilaian kelemahan lingkungan pengendalian;
b. Penilaian awal atas kelemahan lingkungan pengendalian melalui reviu
dokumen;
c. Survei terhadap lingkungan pengendalian melalui Control Environtment
Evaluation (CEE);
d. Simpulan kelemahan lingkungan pengendalian urusan wajib/pilihan.
2. Penilaian Risiko
a. Penetapan Konteks/Tujuan
1) Menetapkan konteks/tujuan dan pemilihan tujuan yang akan dilakukan
penilaian risiko;
2) Persiapan penilaian risiko;
a) Menetapkan kriteria dan skala dampak dan kemungkinan risiko;
b) Menetapkan tingkat risiko yang dapat diterima.
b. Identifikasi Risiko
Dalam tahapan ini, berbagai risiko yang mengancam pencapaian tujuan
diidentifikasi dengan melibatkan pihak-pihak terkait.
c. Analisis Risiko
1) Melakukan analisis dampak dan kemungkinan risiko;
2) Melakukan validasi risiko;
14
3) Melakukan evaluasi pengendalian yang ada dan yang dibutuhkan;
4) Menyusun Rencana Tindak Pengendalian (RTP);
a) Merumuskan tindakan untuk mengatasi kelemahan Lingkungan
Pengendalian;
b) Merumuskan Kegiatan Pengendalian yang dibutuhkan dalam rangka
mengatasi risiko;
c) Menyelaraskan Rencana Tindak Pengendalian;
d) Menyusun rancangan informasi dan komunikasi atas RTP;
e) Menyusun rancangan monitoring dan evaluasi risiko dan RTP.
3. Kegiatan Pengendalian
a. Pembangunan infrastruktur yang meliputi penyusunan atau
penyempurnaan kebijakan dan prosedur sebagai tindak lanjut dari RTP;
b. Pelaksanaan kebijakan dan prosedur pengendalian.
4. Informasi dan Komunikasi
Pengomunikasian pengendalian yang dibangun dan hasil dari tiap tahapan
pengelolaan risiko.
5. Pemantauan
a. Pemantauan atas implementasi pengendalian;
b. Pemantauan kejadian risiko.
c. Memantau pelaksanaan tiap tahapan pengelolaan risiko
15
10. Dari kerangka menuju proses pengelolaan risiko, mengapa perlu dilakukan
identifikasi lingkungan pengendalian intern melalui CEE? Apa korelasinya
dengan risiko yang kita identifikasi?
Jawaban:
CEE diperlukan untuk mengetahui gambaran umum kelemahan-kelemahan
pengendalian intern yang dapat memicu risiko, yang mungkin tidak terdeteksi
melalui FGD yang hanya mengidentifikasi risiko dengan mengacu pada
dokumen perencanaan dan pemahaman/pengalaman peserta FGD.
Selanjutnya CEE digunakan untuk menentukan besaran RTP yang akan dibuat
untuk merespon risiko. RTP yang akan dibuat harus mempertimbangkan
kelemahan lingkungan pengendalian agar dalam pelaksanaannya dapat
berjalan efektif.
16
12. Apabila suatu tujuan memiliki beberapa sasaran, apakah seluruh sasaran
tersebut perlu ditetapkan konteksnya sebelum pengidentifikasian risiko?
Jawaban:
Terkait penetapan konteks, sebenarnya tidak perlu mencantumkan seluruh
sasaran yang terkait dengan tujuan yang akan diidentifikasi risikonya. Sasaran
yang dimasukan dapat dipilih satu atau beberapa sasaran saja, yaitu sasaran
yang dinilai paling mempengaruhi pencapaian tujuan.
13. Dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 2019
tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah risiko
didefinisikan sebagai kejadian yang mengancam pencapaian tujuan dan
sasaran. Kejadian ini bisa sudah terjadi atau yang akan terjadi. Namun
beberapa teori mendefinisikan risiko hanya kejadian yang akan terjadi.
Bagaimana penjelasannya?
Jawaban:
Dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 2019
tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah konteks
kejadian yang sudah terjadi merupakan kejadian yang sebelumnya sudah
terjadi tetapi mungkin kembali terjadi lagi karena belum efektifnya pengendalian
yang telah dilakukan.
14. Dalam pengidentifikasian risiko, apakah risiko yang dirumuskan hanya risiko
yang memberikan dampak negatif terhadap pencapaian tujuan?
Jawaban:
Dalam ISO 31000 dan AS/NZS 4360:2004 risiko tidak hanya didefinisikan
sebagai kejadian-kejadian yang dapat memberikan dampak negatif, tetapi juga
yang dapat memberikan dampak positif bagi pencapaian tujuan. Namun dalam
pelaksanaan SPIP dan pengelolaan risiko, karena masih mengacu pada
Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian
Intern Pemerintah maka sesuai definisi pada peraturan tersebut untuk
sementara pengidentifikasian risiko dilakukan hanya kepada kejadian-kejadian
yang mungkin terjadi dan dapat memberikan dampak negatif bagi pencapaian
tujuan.
17
15. Bagaimana sebaiknya timeline untuk pengelolaan risiko?
Jawaban:
Pengelolaan risiko erat kaitannya dengan tujuan yang ingin dicapai oleh suatu
instansi. Tujuan tersebut tercantum dalam dokumen-dokumen perencanaan
yang disusun seperti dalam RPJMD, Renstra OPD, dan Renja OPD. Oleh
karena itu, sebaiknya tahapan pengidentifikasian risiko sebaiknya dilakukan
tepat setelah dokumen perencanaan ditetapkan. Sedangkan untuk pelaksanaan
RTP dan pemantauan RTP/peristiwa risiko dilakukan sepanjang tahun
anggaran.
17. Bagaimana caranya merumuskan risiko, penyebab, dan dampak dengan benar?
Karena dalam praktiknya ketiga hal tersebut sering tertukar.
Jawaban:
Perumusan risiko sebenarnya tidak ada pakemnya. Perumusan risiko bisa
berasal dari sebab, peristiwa, maupun dampak. Yang terpenting adalah
bagaimana kita nanti akan memitigasi hal tersebut. Namun untuk memudahkan,
kita dapat merumusnya berdasarkan tujuan yang telah ditetapkan. Setelah
tujuan ditetapkan, untuk merumuskan risiko kita perlu kembali pada definisi
risiko dan menggunakan analogi “jika hal tersebut terjadi maka tujuan bisa tidak
tercapai”. Jika kita sudah memahami proses untuk mencapai tujuan, kita dapat
mengetahui kelemahan dan hal-hal yang bisa menghambat pencapaian tujuan.
Jadi risiko bukan menegasikan tujuan yang telah ditetapkan. Setelah risiko
dirumuskan, kita perlu mengetahui hal yang dapat menyebabkan risiko terjadi
18
dengan merunut hingga ke penyebab hakiki (root cause). Sedangkan untuk
dampak juga bukan merupakan negasi dari tujuan. Dampak suatu risiko
lingkupnya lebih kecil atau sama dengan tidak tercapainya tujuan. Untuk
dampak suatu risiko yang lingkupnya lebih kecil dari tidak tercapainya tujuan
akumulasi dengan beberapa dampak risiko lainnya baru dapat menyebabkan
tidak tercapainya tujuan.
18. Selama ini pemerintah daerah dan OPD sudah dapat menyusun risiko
operasional, tetapi untuk risiko strategis belum terlalu familiar. Bagaimana
memberikan pemahaman kepada pemerintah daerah dan OPD terkait
perumusan risiko strategis?
Jawaban:
Terdapat dua pendekatan untuk merumuskan risiko strategis. Yang pertama
terkait risiko tersebut berada di level mana pengendalian perlu dilakukan. Yang
kedua seberapa penting risiko tersebut bagi pimpinan. Misalkan suatu risiko
dirasa tidak dapat dikendalikan oleh Kepala Bidang maupun Kepala OPD, dan
hanya dapat dikendalikan oleh pejabat yang lebih tinggi, maka risiko tersebut
dapat dikategorikan sebagai risiko strategis pemerintah daerah. Sebaliknya
misalkan masalah kurangnya disiplin pegawai yang bisa menghambat suatu
kegiatan dilihat dari kepentingannya tidak perlu ditangani oleh Kepala Daerah
dan cukup ditangani oleh Kepala OPD maka bisa dikategorikan dalam risiko
operasional OPD.
19. Bagaimana caranya agar daftar risiko yang disusun merupakan risiko yang
memang benar-benar terkait dengan tujuan pemerintah daerah sehingga
Rencana Tindak Pengendalian (RTP) yang disusun dapat mendukung
pencapaian tujuan pemerintah daerah?
Jawaban:
Pertama pada saat proses pengidentifikasian risiko harus merujuk pada
dokumen perencanaan yang telah disusun (RPJMD, Renstra OPD, dan Renja
OPD). Selain itu proses pengidentifikasian risiko sebaiknya dilakukan dengan
Focus Group Discussion (FGD) yang melibatkan baik struktural maupun staf
teknis yang benar-benar menguasai proses bisnis, bukan hanya Bagian
Evaluasi Program dan Pelaporan OPD. Dalam prosesnya, peserta FGD
diharapkan jujur dan tidak menutup-nutupi kondisi yang ada pada pemerintah
19
daerah maupun OPD sehingga semua risiko dapat teridentifikasi. Dalam
perumusan penyebab, peserta FGD juga diharapkan mampu merunut hingga
akar penyebab (root cause) dan tidak mudah memutuskannya sebagai
penyebab yang disebabkan oleh pihak eksternal dan bersifat uncontrollable,
sehingga RTP yang disusun dapat lebih efektif.
20. Apakah ada aplikasi yang dapat mendukung pengelolaan risiko? Bagaimana
aplikasi tersebut dapat mengakomodir kebutuhan pemerintah daerah dalam
pengelolaan risiko?
Jawaban:
Saat ini Deputi PPKD sedang mengembangkan aplikasi e-risk untuk membantu
pengelolaan risiko pada pemerintah daerah. Aplikasi e-risk yang dikembangkan
mengacu pada Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun
2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah yang
dalam penyusunannya telah dilakukan piloting pada beberapa pemerintah
daerah sehingga secara umum sudah dapat mengakomodir kebutuhan
pemerintah daerah dalam pengelolaan risiko. Untuk mempermudah
implementasinya sebaiknya pemerintah daerah merevisi kebijakan pengelolaan
risikonya terlebih dahulu, terutama terkait struktur pengelolaan risiko dan
pengklasifikasian konteks risiko ke dalam risiko strategis pemerintah daerah,
risiko strategis OPD, dan risiko operasional OPD, karena aplikasi disusun
dengan mengakomodir hal-hal tersebut.
22. Untuk risk register dan RTP yang telah disusun terdapat formulir pemantauan
yang digunakan untuk memonitor peristiwa risiko, pelaksanaan RTP, dan
efektivitas RTP, tetapi untuk pelaksanaan informasi dan komunikasi apakah ada
form khusus untuk memantaunya?
Jawaban:
Dalam Peraturan Deputi Kepala BPKP Bidang PPKD Nomor 4 Tahun 2019
tentang Pedoman Pengelolaan Risiko pada Pemerintah Daerah pemantauan
atas pelaksanaan informasi dan komunikasi menjadi satu form dengan form
rancangan pelaksanaan informasi komunikasi, dimana untuk realisasi
pelaksanaan informasi dan komunikasi dapat diisikan pada kolom Realisasi
Waktu Pelaksanaan. Untuk menginformasikan hal-hal terkait pelaksanaan
informasi dan komunikasi, termasuk efektivitasnya untuk sementara dapat
diisikan pada kolom Keterangan.
22