PENERAPAN MANAJEMEN RISIKO

DALAM RANGKA IMPLEMENTASI 1

SISTEM PENGENDALIAN INTERN PEMERINTAH

DI LINGKUNGAN PEMPROV. JAWA BARAT

Disampaikan oleh : JEJEN JUMARA

Auditor Madya pada Perwakilan BPKP Provinsi Jawa Barat
Padalarang, Kamis / 28 Desember 2017
 PENERAPAN MANAJEMEN RISIKO (MR) 2

MENURUT PP NO. 60 TAHUN 2008 TTG SPIP

(LINGKUNGAN PENGENDALIAN)
• Pasal 3 ayat (1) huruf b SPIP terdiri atas unsur: a. lingkungan pengendalian;
b. penilaian risiko; c. kegiatan pengendalian; d. informasi dan komunikasi;
dan e. pemantauan pengendalian intern.
• Pasal 4 Lingkungan Pengendalian terdisi atas sub unsur: a. etika; b.komitmen
terhadap kompetensi; c. kepemimpinan yang kondusif; d. pembentukan
struktur organisasi yang sesuai dengan kebutuhan; e. pendelegasian
wewenang dan tanggung jawab yang tepat; f. penyusunan dan penerapan
kebijakan yang sehat tentang pembinaan sumber daya manusia; g.
perwujudan peran aparat pengawasan intern pemerintah yang efektif; dan
h. hubungan kerja yang baik dengan Instansi Pemerintah terkait.
• Pasal 7 Kepemimpinan yang kondusif sebagaimana dimaksud dalam Pasal
4 huruf c sekurang-kurangnya ditunjukkan dengan: a. mempertimbangkan
risiko dalam pengambilan keputusan;
 PENERAPAN MANAJEMEN RISIKO (MR) 3

MENURUT PP NO. 60 TAHUN 2008 TTG SPIP

(PENILAIAN RISIKO)

Pasal 13
(1) Pimpinan Instansi Pemerintah wajib melakukan penilaian risiko.
(2) Penilaian risiko sebagaimana dimaksud pada ayat (1) terdiri atas:
a. identifikasi risiko; dan
b. analisis risiko.
(3) Dalam rangka penilaian risiko sebagaimana dimaksud pada ayat (1),
pimpinan Instansi Pemerintah menetapkan:
a. tujuan Instansi Pemerintah; dan
b. b. tujuan pada tingkatan kegiatan,
dengan berpedoman pada peraturan perundang-undangan.
 4

PENERAPAN MANAJEMEN RISIKO (MR)

MENURUT PP NO. 60 TAHUN 2008 TTG SPIP

Pasal 16
Identifikasi risiko sebagaimana dimaksud dalam Pasal 13
ayat (2) huruf a sekurang-kurangnya dilaksanakan dengan:
a. menggunakan metodologi yang sesuai untuk tujuan
Instansi Pemerintah dan tujuan pada tingkatan kegiatan
secara komprehensif;
b. menggunakan mekanisme yang memadai untuk
mengenali risiko dari faktor eksternal dan faktor internal;
dan
c. menilai faktor lain yang dapat meningkatkan risiko.
 PENERAPAN MANAJEMEN RISIKO (MR) 5

MENURUT PP NO. 60 TAHUN 2008 TTG SPIP

Pasal 17
(1) Analisis risiko sebagaimana dimaksud dalam Pasal 13
ayat (2) huruf b dilaksanakan untuk menentukan dampak
dari risiko yang telah diidentifikasi terhadap pencapaian
tujuan Instansi Pemerintah.
(2) Pimpinan Instansi Pemerintah menerapkan prinsip kehati-
hatian dalam menentukan tingkat risiko yang dapat
diterima.
 MANAJEMEN RISIKO (MR) 6

A. Pengertian Risiko dan Manajemen Risiko

B. Budaya Risiko
C. Struktur Manajemen Risiko
D. Penetapan Konteks (Establishing Context)
E. Identifikasi Risiko (Risk Identification)
F. Analisis Risiko (Risk Analysis)
G. Evaluasi Risiko (Risk Evaluation)
H. Perlakuan Terhadap Risiko (Risk Treatment)
I. Pemantauan dan Reviu (Monitoring and Review)
J. Komunikasi dan Konsultasi (Communication and Consultation)
K. Pelaporan Risiko
 7

A. PENGERTIAN RISIKO DAN MANAJEMEN RISIKO

1. Pengertian Risiko
“Kemungkinan terjadinya sesuatu yang akan mempunyai dampak terhadap
tujuan”
(AS/NZS 4360 : 2004)
”Kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran
instansi pemerintah”
(PP 60/2008 penjelasan Ps. 3 ayat 1.b)
2. Manajemen Risiko
Budaya, proses dan struktur yang diarahkan untuk merealisasikan peluang potensial dan
pada saat bersamaan mengelola pengaruh yang merugikan.
(Standar Manajemen Risiko AS/NZS 4360 : 2004)
 PENERAPAN MANAJEMEN RISIKO 8

DI LINGKUNGAN PEMPROV. JAWA BARAT

Pemerintah Provinsi Jawa Barat telah

memiliki Keputusan Gubenur Nomor
900/Kep964-Insp/2016 tentang
Penerapan Manajemen Risiko di wilayah
Pemerintah Provinsi Jawa Barat.
 9

TUJUAN PENERAPAN MANAJEMEN RISIKO

• Meningkatkan kemungkinan pencapaian tujuan dan peningkatan

kinerja;
• Mendorong manajemen yang proaktif;
• Memberikan dasar yang kuat dalam pengambilan keputusan dan
perencanaan;
• Meningkatkan efektivitas alokasi dan efisiensi penggunaan sumber
daya organisasi;
• Meningkatkan kepatuhan kepada ketentuan;
• Meningkatkan kepercayaan para pemangku kepentingan; dan
• Meningkatkan ketahanan organisasi.
 10

MANFAAT PENERAPAN MANAJEMEN RISIKO

a. Berkurangnya kejutan (surprises);

b. Eksploitasi peluang;
c. Meningkatnya perencanaan, kinerja, dan efektivitas organisasi;
d. Meningkatnya hubungan dengan pemangku kepentingan;
e. Meningkatnya mutu informasi untuk pengambilan keputusan;
f. Meningkatnya reputasi;
g. Perlindungan bagi pemimpin;
h. Meningkatnya akuntabilitas dan governance organisasi;
i. Meningkatnya reputasi;
 11

MANFAAT PENERAPAN MANAJEMEN RISIKO

j. Perlindungan bagi pemimpin; dan

k. Meningkatnya akuntabilitas dan governance organisasi Dengan
mendokumentasikan pendekatan Manajemen Risiko yang
diterapkan dan perhatian setiap level organisasi atas
ketaatan terhadap ketentuan, akuntabilitas dan governance akan
meningkat.
 PRINSIP PENERAPAN MANAJEMEN RISIKO 12

a. berkontribusi dalam pencapaian tujuan dan peningkatan kinerja;

b. menjadi bagian dari proses organisasi secara keseluruhan;
c. membantu pengambilan keputusan;
d. memperhitungkan ketidakpastian;
e. sistematis, terstruktur, dan tepat waktu;
f. berdasarkan informasi terbaik yang tersedia;
g. disesuaikan dengan keadaan organisasi;
h. memperhitungkan faktor manusia dan budaya organisasi;
i. transparan dan inklusif;
j. dinamis dan tanggap terhadap perubahan; dan
k. perbaikan terus menerus.
 B. BUDAYA RISIKO 13

1. Organisasi meyakinkan bahwa pimpinan puncak secara langsung

memimpin dan mengelola proses manajemen risiko organisasi
secara strategis.
2. Staf yang terlibat dalam identifikasi risiko memiliki pengetahuan
yang cukup tentang proses atau aktivitas yang direviu dan tentang
risiko yang harus dikelola sebagai bagian dari aktivitas;
3. Semua staf peduli kepada tanggung jawab mereka terkait
identifikasi, perlakuan dan manajemen risiko;
4. Pimpinan puncak dan pejabat senior telah memastikan budaya
instansi didorong oleh manajemen risiko yang kuat dan diarahkan
kepada standar yang tepat dan insentif untuk para profesional dan
perilaku yang bertanggung jawab;
 14

B. BUDAYA RISIKO
5. Pejabat senior secara konsisten memberi kontribusi kepada
pengelolaan risiko dan perilaku beretika sehingga memperkuat
pedoman perilaku, strategi remunerasi, dan program-program
pelatihan;
6. Adanya komunikasi antar anggota organisasi dari level tertinggi
sampai level pelaksana yang terkait dengan budaya risiko, seperti
memberikan kenyamanan bagi pegawai untuk dapat
menyampaikan pemikiran atau permasalahan kepada pimpinan;
7. Adanya penegasan tentang pentingnya untuk menjaga perliaku
yng benar secara konsisten dengan memperhatikan keseimbangan
antara reward and punishment;
8. Seluruh pihak di dalam organisasi menerapkan pengendalian
sebagai upaya menjamiin organisasi mencapai tujuannya.
 15

C. STRUKTUR MANAJEMEN RISIKO

1. Organisasi memiliki kebijakan Manajemen Risiko (MR) yang dinyatakan

secara jelas;
2. Organisasi memiliki sebuah Komite MR (atau sejenisnya) yang memiliki
struktur khusus yang bertanggung jawab, akuntabel, dan mengukur MR;
3. Struktur Komite Manajemen Risiko (atau sejenisnya) dan Unit Pemilik Risiko
ditetapkan secara resmi (SK/ ND/ Tugas dan Fungsi);
4. Komite MR melaksanakan rapat yang dipimpin oleh Pimpinan tertinggi
serta dihadiri oleh 2/3 anggota Komite;
5. Organisasi memiliki rencana-rencana kontinjensi untuk penanggulangan
bencana (disaster recovery) dan keberlanjutan bisnis (business continuity)
yang terdokumentasi secara formal;
6. Organisasi memberikan pelatihan manajemen risiko kepada staf sesuai
kebutuhan organisasi minimal sekali setahun;
 16

C. STRUKTUR MANAJEMEN RISIKO

7. Pejabat senior meyakinkan bahwa terdapat cukup pelatihan risiko

operasional yang disediakan di setiap tingkatan di dalam institusi;
8. Seluruh pengelola Manajemen Risiko (Pemilik Risiko, Koordinator MR, dan
Administrator MR) telah mengikuti pelatihan MR;
9. Pelatihan (in house training) MR dilaksanakan selama periode berjalan
dan telah mewakili seluruh perwakilan unit di bawah Unit Pemilik Risiko
(UPR);
10. Ada tim atau petugas khusus yang dibentuk untuk menyusun pelaporan
risiko;
11. Adanya penilaian yang dilakukan oleh auditor internal terkait efektivitas
pelaksanaan manajemen risiko dan supervisi yang dilakukan oleh
pimpinan tertinggi.
17
 18

D. PENETAPAN KONTEKS (ESTABLISHING CONTEXT)

1. Organisasi mengimplementasikan proses-proses yang tepat dalam

mengidentifikasi baik lingkungan eksternal maupun internal dalam mana
organisasi beroperasi;
2. Risiko ditetapkan dengan mengacu kepada sasaran dan perencanaan
strategis organisasi;
3. Dalam menetapkan konteks, apakah organisasi mempertimbangkan
tantangan dan peluang;
4. Organisasi mempertimbangkan konteks eksternal dan internal dalam
hubungannya dengan pengelolaan risiko;
5. Konteks secara rutin direviu untuk meyakinkan bahwa konteks tetap
sesuai dengan sistem dan pengendalian organisasi;
6. Organisasi menentukan kriteria risiko yang tepat selaras dengan sasaran-
sasarannya.
 19

E. IDENTIFIKASI RISIKO (RISK IDENTIFICATION)

1. Risiko yang teridentifikasi merujuk dan terkait kepada rencana strategis

organisasi, yaitu terkait dengan sasaran dan hasil yang harus
disampaikan oleh organisasi;
2. Risiko yang teridentifikasi merujuk dan terkait dengan rencana
operasional organisasi;
3. Risiko yang teridentifikasi merujuk dan terkait dengan rencana proyek
dan program organisasi;
4. Organisasi mengidentifikasikan baik tantangan maupun peluang;
5. Organisasi mempertimbangkan baik risiko internal maupun eksternal;
6. Organisasi memiliki proses-proses identifikasi risiko yang diterapkan,
komprehensif, dan sistematik;
7. Risiko teridentifikasi dicatat dalam register risiko.
 20

F. ANALISIS RISIKO (RISK ANALYSIS)

1. Organisasi telah mendokumentasikan prosedur-prosedur untuk
menganalisis kemungkinan dan konsekuensi masing-masing risiko;
2. Organisasi melakukan analisis secara tepat atas sifat dan keberadaan
sebab dan dampak dari risiko-risiko yang dianalisis;
3. Semua risiko yang dianalisis didokumentasikan dengan baik;
4. Organisasi telah memeriksa dan mengevaluasi pengendalian yang telah
ada atas risiko teridentifikasi merujuk pada kekuatan dan kelemahan
organisasi;
5. Pengendalian-pengendalian dalam pengelolaan risiko secara rutin
dipantau;
6. Tingkatan manajemen dan pegawai yang tepat terlibat dalam proses
analisis risiko;
7. Analisis risiko termasuk meyakinkan bahwa organisasi tidak berlebihan
dalam mengendalikan/menangani risiko yang ditemuinya.
 21

G. EVALUASI RISIKO (RISK EVALUATION)

1. Risiko-risiko yang ditemukan selama proses analisis diperbandingkan
dengan profil risiko, risk appetite dan risk tolerance yang disusun ketika
organisasi menetapkan konteks;
2. Semua risiko di dalam organisasi dievaluasi dengan menggunakan
metodologi yang konsisten diterapkan;
3. Prioritas risiko dievaluasi untuk meyakinkan bahwa perlakuan terhadap
risiko tertinggi telah didahulukan;
4. Risiko yang telah dievaluasi kemudian direviu oleh pihak yang
independen untuk meyakinkan bahwa risiko diperlakukan secara
konsisten;
5. Risiko dievaluasi terus menerus untuk menentukan perlunya perubahan
prioritas;
6. Risiko yang direviu atau dievaluasi sebagai bagian dari strategi organisasi
dan proses-proses perencanaan operasional.
 22

H. PERLAKUAN TERHADAP RISIKO (RISK TREATMENT)

1. Risiko ditangani menurut kriteria risiko yang telah ditetapkan sebelumnya

oleh organisasi;
2. Rencana perlakuan risiko yang diusulkan mempertimbangkan analisis
biaya/manfaat atas alternatif tindakan yang diajukan;
3. Pengelolaan risiko dan pengendalian terkait ditugaskan kepada pejabat
tertentu di dalam organisasi;
4. Organisasi memiliki rencana-rencana kontinjensi yang didokumentasikan
secara formal untuk penanggulangan bencana dan keberlangsungan
hidup bisnis;
5. Organisasi melakukan reviu dan pengujian pengendalian risiko dan
rencana kontinjensi secara rutin;
6. Pengendalian internal dibangun dan didokumentasikan untuk menangani
risiko teridentifikasi.
 I. PEMANTAUAN DAN REVIU 23

(MONITORING AND REVIEW)

1. Organisasi melaksanakan kegiatan pemantauan dan reviu secara rutin
untuk mengevaluasi relevansi risiko terhadap tercapainya sasaran-
sasaran organisasi;
2. Organisasi melaksanakan kegiatan pemantauan dan reviu secara rutin
untuk mengevaluasi efektivitas pengendalian tata kelola yang sedang
diterapkan;
3. Organisasi melaksanakan kegiatan pemantauan dan reviu secara rutin
untuk mengevaluasi aplikasi rencana perlakuan risiko dalam praktik;
4. Organisasi melaksanakan kegiatan pemantauan dan reviu secara rutin
untuk menjaga relevansi rencana perlakuan risiko terhadap sasaran-
sasaran strategis dan operasional organisasi;
 I. PEMANTAUAN DAN REVIU 24

(MONITORING AND REVIEW)

5. Organisasi memiliki kebijakan dan prosedur yang diterapkan untuk
penilaian kembali profil risiko dan peluang yang muncul karena
perubahan lingkungan internal dan/atau eksternal organisasi
6. Sistem manajemen informasi yang diimplementasikan cukup untuk
memfasilitasi pemantauan dan reviu risiko yang dipersyaratkan;
7. Risk appetite dinilai terkait dengan perubahan lingkungan;
8. Dilakukan reviu secara rutin terhadap risiko tingkat tinggi dan
pengendalian risiko terkait serta pengendalian/perlakuan yang baru.
 J. KOMUNIKASI DAN KONSULTASI 25

(COMMUNICATION AND CONSULTATION)

1. Adanya komunikasi yang intensif antara anggota di dalam organisasi
untuk memastikan bahwa MR dilaksanakan secara akurat dan efektif;
2. Strategi komunikasi yang efektif diimplementasikan untuk risiko-risiko
lintas organisasi (unit kerja);
3. Semua staf peduli kepada tanggung jawab mereka terkait identifikasi,
perlakuan dan manajemen risiko;
4. Kerangka manajemen risiko mendorong peningkatan berkelanjutan
melalui pembelajaran dan inovasi;
5. Sistem pelaporan manajemen risiko yang diterapkan meyakinkan bahwa
semua pihak yang relevan terus menerima informasi tentang risiko yang
dimiliki organisasi;
6. Persepsi-persepsi stakeholder atas risiko diberi perhatian yang memadai.
 26

K. PELAPORAN RISIKO

1. Organisasi telah menetapkan sistem dan prosedur pelaporan risiko;

2. Organisasi selalu mendistribusikan laporan kepada pihak terkait dalam
hal pengelolaan risiko;
3. Selalu dilakukan diskusi atau laporan risiko di tingkatan pimpinan;
4. Rekomendasi dalam laporan selalu ditindaklanjuti;
5. Ada tim atau petugas khusus yang dibentuk untuk menyusun pelaporan
risiko;
6. Dokumentasi MR memiliki basis data risk assessment (akumulatif masa
lampau s.d. saat ini) dan loss event database.
27