BAB I PENDAHULUAN Manajemen risiko adalah kegiatan kunci bagi suatu organisasi.

Manajemen risiko yang berhasil akan menjamin pencapaian tujuan organisasi secara efektif dan efisien. Tujuan organisasi tersebut dicapai melalui serangkaian aktivitas dari penetapan perencanaan strategis, operasional, proses dan proyek. melibatkan risiko. Manajemen risiko membantu pengambilan keputusan dengan mempertimbangkan ketidakpastian dan pengaruhnya terhadap pencapaian tujuan. Menteri Keuangan telah menetapkan Peraturan Menteri Keuangan Nomor Keseluruhan aktivitas tersebut

191/PMK..09/2008 tentang Penerapan Manajemen Risiko di Lingkungan Departemen Keuangan. Peraturan tersebut telah dilengkapi dengan pedoman umum dan pedoman pelaksanaan sebagai arahan bagi seluruh unit eselon I dalam menerapkan manajemen risiko. Proses manajemen risiko menurut PMK tersebut di atas terdiri dari penetapan konteks, identifikasi risiko, analisis risiko, evaluasi risiko, monitoring dan reviu, dan komunikasi dan konsultasi. Untuk memberikan petunjuk lebih lanjut, disusun buku petunjuk teknis proses manajemen risiko. Dengan disusunnya buku ini, diharapkan dapat memberikan penjelasan dan dapat mengembangkan penerapan manajemen risiko lebih lanjut. Pembahasan buku ini dilakukan mengikuti tahapan proses manajemen risiko. Petunjuk teknis ini mengambil acuan dari standar manajemen risiko AS/NZ4360: 2004, COSO ERM, dan ISO 31000 final draft.

BAB II PENETAPAN KONTEKS 1. Pengantar Penetapan konteks menyangkut penentuan batasan-batasan risiko yang akan dikelola dan menentukan lingkup proses manajemen risiko selanjutnya. Konteks tersebut menyangkut lingkungan internal dan eksternal dan tujuan aktivitas manajemen risiko. Oleh karena itu, penetapan tujuan setiap tahapan proses manajemen risiko harus memperhatikan lingkungan organisasi dan lingkungan eksternal. Setiap orang memiliki pandangan yang berbeda, sehingga berbeda pula dalam mengidentifikasi, menilai, dan menanggapi risiko. Langkah penetapan konteks ini akan lebih memberikan pengertian bahwa risiko adalah yang berkaitan dengan tujuan organisasi. 2. Tujuan Kegiatan Tujuan utama kegiatan ini adalah memahami seluruh faktor yang akan berpengaruh terhadap kemampuan organisasi dalam mencapai tujuan. Langkah ini diperlukan untuk: a. Mengklarifikasi tujuan organisasi; b. Mengidentifikasi lingkungan tempat upaya pencapaian tujuan.; c. Mengetahui dan menetapkan pihak-pihak yang berkepentingan dengan proses manajemen risiko beserta dengan hasilnya; d. Menetapkan ruang lingkup dan tujuan penerapan manajemen risiko, kondisi yang membatasinya dan hasil yang diharapkan; e. Menetapkan kriteria yang akan digunakan dalam melakukan analisis dan evaluasi risiko.

3. Dokumen sumber bagi kegiatan Dokumen yang dibutuhkan antara lain: a. Regulasi terkait dengan struktur, tugas serta fungsi organisasi; b. Surat Keputusan Struktur Manajemen Risiko; c. Balanced Score Card; d. SWOT analysis; e. Anggaran; f. Laporan Kinerja Tahunan;

4. Metodologi kegiatan a. Klarifikasi Tujuan Risiko adalah segala sesuatu yang berdampak negatif terhadap pencapaian tujuan yang diukur berdasarkan kemungkinan dan dampaknya. Oleh karena itu, untuk meyakinkan bahwa seluruh risiko telah diidentifikasi, penting untuk mengetahui tujuan suatu fungsi organisasi atau aktivitas. Dengan mempertimbangkan situsi dan kondisi yang dihadapi oleh Departemen Keuangan pada saat ini, tujuan tersebut berarti tujuan yang tercantum dalam Balance Scorecard. Meskipun demikian, hal tersebut bukan berarti membatasi tujuan strategis organisasi hanya pada dokumen Balance Scorecard tersebut. Mengingat Unit Pemilik Risiko adalah unit Eselon II, maka Balance Scorecard yang digunakan juga Balance Scorecard untuk eselon II. Dalam tahap ini penting sekali memastikan bahwa pemahaman terhadap tujuan telah cukup mendalam sehingga dapat melangkah ke tahap identifikasi risiko dengan lebih baik. Tahap ini dituangkan dalam formulir 1 poin 2. b. Identifikasi pihak-pihak pemangku kepentingan (stakeholders). Identifikasi pihak yang berkepentingan baik eksternal maupun internal adalah langkah penting dalam proses manajemen risiko ini. Ada beberapa pihak pemangku kepentingan yang dapat dibagi menjadi pemangku kepentingan eksternal dan pemangku kepentingan internal. Pemangku kepentingan eksternal adalah pihak yang berkepentingan terhadap organisasi yang berada di luar unit eselon I. Pemangku kepentingan eksternal tersebut antara lain: - Menteri Keuangan - Direktorat Jenderal atau unit Eselon I lainnya yang terpengaruh oleh kegiatan organisasi - Pelanggan atau pengguna akhir jasa organisasi. - Legislator dan regulator - Kontraktor atau pemasok Pemangku kepentingan internal adalah pihak yang berkepentingan dan berada di dalam unit eselon I. Pemangku kepentingan internal tersebut antara lain: - Pegawai dan pejabat di dalam organisasi. - Pelanggan internal yang menggunakan jasa organisasi.

Pemangku kepentingan harus dianalisis dan dipahami kebutuhannya. Pemahaman terhadap kebutuhan pemangku kepentingan penting dalam menjamin keberhasilan proses manajemen risiko. Analisis kebutuhan pemangku kepentingan dapat dilakukan secara sederhana maupun dengan metode yang lebih kompleks tergantung kesiapan organisasi. Tahap ini dituangkan dalam formulir 1 poin 4. c. Menetapkan Kriteria Organisasi harus mengembangkan kriteria yang digunakan untuk menganalisis dan mengevaluasi risiko. Kriteria tersebut mencerminkan nilai, tujuan, dan sumber daya organisasi. Kriteria risiko meliputi dua dimensi, yaitu dimensi kemungkinan keterjadian (frekuencies/possibilities/likelihood) dan dimensi dampak risiko

(impact/consequencies).

Beberapa kriteria berkaitan dengan persyaratan yang

ditentukan dalam ketentuan perundangan. Kriteria risiko menyangkut selera risiko (risk appetite) sehingga penetapan kriteria risiko harus oleh Komite Manajemen Risiko. d. Kriteria risiko disusun setelah kegiatan identifikasi risiko dilakukan. Kriteria risiko disusun per-risiko, dan bukan per-kategori atau jenis risiko. e. Formulir 1 PMK 191 tahun 2008 untuk nomor 8c., merupakan pola (pattern) yang digunakan dalam melakukan analisis risiko, sehingga tidak diubah-ubah. 5. Teknis pelaksanaan kegiatan a. Data umum penerapan proses manajemen risiko
Nama Unit Pemilik Risiko : Diisi dengan nama unit Eselon II selaku unit pemilik risiko (UPR) di setiap unit eselon I. Diisi dengan nama pemimpin atau pejabat unit eselon II dari UPR yang bersangkutan. Diisi dengan nomor telepon kantor dari UPR. Diisi dengan alamat domisili dimana UPR berkedudukan. Diisi dengan urutan seri kegiatan penilaian risiko (risk assessment) yang dilakukan oleh UPR, misalnya first risk assessment, second risk assessment, third risk assessment, dst. Diisi dengan output dari pelaksanaan kegiatan penilaian risiko

Nama Pemilik Risiko

Telepon Risk Owner (RO) Lokasi Tujuan Pelaksanaan

: : :

Keluaran (Output)

yaitu: profil risiko. Ruang Lingkup : Diisi dengan tugas dan fungsi unit Eselon II sesuai dengan regulasi yang terkait, yang mengatur hal ini. Diisi dengan periode waktu berlakunya dokumen proses manajemen risiko, dihitung maju kedepan selama 3 atau 6 bulan semenjak dokumen profil risiko disahkan oleh pemilik risiko. Pertimbangkan jangka waktu dengan proses penganggaran mengingat penanganan risiko berkaitan dengan sumber daya dan dana. Jadual pelaksanaan : Diisi dengan jadwal waktu pelaksanaan penilaian risiko, dimulai dari hari mulai penugasan hingga dokumen profil risiko disahkan. Diisi dengan metode pengambilan keputusan yang digunakan dalam melakukan penilaian risiko, misalnya: secara focused group discussion, secara voting, brainstorming, decision making model, dll. Diisi dengan mekanisme komunikasi yang dilakukan dalam rangka penilaian risiko, misalnya: secara rapat berkala, konsinyering, teleconference, dll. Diisi dengan saluran komunikasi yang digunakan dalam proses penilaian risiko, misalnya: korespondensi (hard copy), transfer data (soft copy), laporan, email, media telekomunikasi dll.

Horison waktu (time horizon)

Proses pengambilan keputusan

Mekanisme komunikasi

Saluran komunikasi

b. Identifikasi sasaran
No Sasaran Diisi dengan sasaran strategis (SS) yang ada dalam BSC, yang meliputi Learning & Growth perspective dan Strategic Driver perspective. Untuk setiap sub-SS yang memiliki action plan dijabarkan tersendiri sebagai sebuah SS, untuk dipetakan risikonya. Uraian Singkat Sasaran Diisi dengan penjelasan sesuai dengan Deskripsi Sasaran Strategis sesuai dengan IKU terkait, untuk menjelaskan maksud dari pernyataan SS yang disebutkan.

c. Komposisi anggota tim

No Nama Diisi dengan nama pejabat di unit Eselon II sebagai UPR yang melaksanakan kegiatan penilaian risiko. Pengisian dimulai dari pemilik risiko (pejabat Eselon II), koordinator manajemen risiko (pejabat eselon III), administrator manajemen risiko (pejabat eselon IV) dan anggota tim penilaian risiko. Jabatan Diisi dengan jabatan struktural atau fungsional dari setiap anggota yang melaksanakan kegiatan penilaian risiko. Tugas dan Tanggung Jawab Diisi dengan jabatan sesuai dengan struktur manajemen risiko. Untuk pegawai yang tidak masuk kedalam struktur manajemen risiko, maka bertindak sebagai anggota tim.

d. Daftar pemangku kepentingan (stakeholder eksternal)

No Nama/instansi Diisi dengan nama instansi di luar unit eselon I dimana UPR berada, yang memiliki kepentingan dan berhubungan dengan tugas dan fungsi yang dijalankan oleh UPR yang bersangkutan, dalam mencapai tujuannya. Keterangan Diisi dengan uraian penjelasan mengenai bidang atau dalam hal apa hubungan antara UPR dengan instansi di luar unit eselon I tersebut dilakukan.

e. Daftar pemangku kepentingan (stakeholder internal)

No Nama/unit kerja Diisi dengan nama instansi di dalam unit eselon I dimana UPR berada, yang memiliki kepentingan dan berhubungan dengan tugas dan fungsi yang dijalankan oleh UPR yang bersangkutan, dalam mencapai tujuannya. Keterangan Diisi dengan uraian penjelasan mengenai bidang atau dalam hal apa hubungan antara UPR dengan instansi di dalam unit eselon I tersebut dilakukan.

f.

Daftar regulasi, kebijakan, peraturan, prosedur terkait

No Regulasi, kebijakan, peraturan, prosedur Diisi dengan regulasi, kebijakan, peraturan, prosedur, yang terkait dengan tugas dan fungsi yang dijalankan oleh UPR. Pengisian regulasi diurutkan sesuai dengan tingkat urutan kekuatan hukum dari regulasi tersebut. Jika regulasi yang terkait banyak jumlahnya, maka dipilih regulasi yang signifikan dan memiliki pengaruh besar terhadap tugas dan fungsi yang dijalankan oleh UPR yang bersangkutan. Keterangan Diisi dengan uraian penjelasan mengenai bidang atau dalam hal apa regulasi tersebut digunakan atau menunjang tugas dan fungsi yang dijalankan oleh UPR yang bersangkutan.

g. Struktur organisasi unit pemilik risiko

Pemilik Risiko : Diisi dengan nama pejabat eselon II di unit eselon II yang bersangkutan sebagai pemilik risiko, sebagaimana tertuang dalam SK Struktur Manajemen Risiko. Diisi dengan nama pejabat setingkat eselon III yang ditunjuk sebagai koordinator manajemen risiko, sebagaimana tertuang dalam SK Struktur Manajemen Risiko. Jumlah koordinator manajemen risiko dalam satu UPR disesuaikan dengan sifat dan karakteristik organisasi dari UPR yang bersangkutan. Diisi dengan nama pejabat setingkat eselon IV yang ditunjuk sebagai administrator manajemen risiko, sebagaimana tertuang dalam SK Struktur Manajemen Risiko. Jumlah administrator manajemen risiko dalam satu UPR disesuaikan dengan sifat dan karakteristik organisasi dari UPR yang bersangkutan.

Koordinator Manajemen Risiko

Administrator Manajemen Risiko

h. Kriteria risiko 1). Kriteria konsekuensi

No 1. Level Rendah Kriteria Kuantitatif Diisi dengan nilai kuantifikasi (nilai angka) dari konsekuensi atas satu risiko yang telah diidentifikasi, dimana nilai tersebut mengacu pada konsekuensi yang ditimbulkan oleh risiko tersebut bernilai (berada pada level) rendah. Kriteria Kualitatif Diisi dengan nilai kualitatif (pernyataan secara wording) yang merupakan parameter dari konsekuensi atas satu risiko yang telah diidentifikasi, dimana pernyataan atau parameter tersebut mengacu pada konsekuensi yang ditimbulkan oleh risiko tersebut ternisbatkan (berada pada level) rendah. Diisi dengan nilai kualitatif (pernyataan secara wording) yang merupakan parameter dari konsekuensi atas satu risiko yang telah diidentifikasi, dimana pernyataan atau parameter tersebut mengacu pada konsekuensi yang ditimbulkan oleh risiko tersebut ternisbatkan (berada pada level) sedang. Diisi dengan nilai kualitatif (pernyataan secara wording) yang merupakan parameter dari konsekuensi atas satu risiko yang telah diidentifikasi, dimana pernyataan atau parameter tersebut mengacu pada konsekuensi yang ditimbulkan oleh risiko tersebut ternisbatkan (berada pada level) tinggi.

2.

Sedang

Diisi dengan nilai kuantifikasi (nilai angka) dari konsekuensi atas satu risiko yang telah diidentifikasi, dimana nilai tersebut mengacu pada konsekuensi yang ditimbulkan oleh risiko tersebut bernilai (berada pada level) sedang.

3.

Tinggi

Diisi dengan nilai kuantifikasi (nilai angka) dari konsekuensi atas satu risiko yang telah diidentifikasi, dimana nilai tersebut mengacu pada konsekuensi yang ditimbulkan oleh risiko tersebut bernilai (berada pada level) tinggi.

Dasar penentuan kriteria diisi dengan pertimbangan penetapan kriteria untuk konsekuensi risiko, misalnya dengan menggunakan past event data, subjective analysis, benchmarking, atau focused group discussion, dll.

2). Kriteria kemungkinan terjadinya risiko

No 4. Level Rendah Kriteria Kuantitatif Diisi dengan nilai kuantifikasi (nilai angka) dari kemungkinan keterjadian (frekuensi) atas satu risiko yang telah diidentifikasi, dimana nilai tersebut mengacu pada tingkat frekuensi terjadinya risiko tersebut Kriteria Kualitatif Diisi dengan nilai kualitatif (pernyataan secara wording) yang merupakan parameter dari kemungkinan keterjadian atas satu risiko yang telah diidentifikasi, dimana pernyataan atau parameter tersebut mengacu pada

bernilai (berada pada level) rendah. 5. Sedang Diisi dengan nilai kuantifikasi (nilai angka) dari kemungkinan keterjadian (frekuensi) atas satu risiko yang telah diidentifikasi, dimana nilai tersebut mengacu pada tingkat frekuensi terjadinya risiko tersebut bernilai (berada pada level) sedang. Diisi dengan nilai kuantifikasi (nilai angka) dari kemungkinan keterjadian (frekuensi) atas satu risiko yang telah diidentifikasi, dimana nilai tersebut mengacu pada tingkat frekuensi terjadinya risiko tersebut bernilai (berada pada level) tinggi.

tingkat frekuensi terjadinya risiko tersebut ternisbatkan (berada pada level) rendah. Diisi dengan nilai kualitatif (pernyataan secara wording) yang merupakan parameter dari kemungkinan keterjadian atas satu risiko yang telah diidentifikasi, dimana pernyataan atau parameter tersebut mengacu pada tingkat frekuensi terjadinya risiko tersebut ternisbatkan (berada pada level) sedang. Diisi dengan nilai kualitatif (pernyataan secara wording) yang merupakan parameter dari kemungkinan keterjadian atas satu risiko yang telah diidentifikasi, dimana pernyataan atau parameter tersebut mengacu pada tingkat frekuensi terjadinya risiko tersebut ternisbatkan (berada pada level) tinggi.

6.

Tinggi

Dasar penentuan kriteria diisi dengan pertimbangan penetapan kriteria untuk kemungkinan keterjadian risiko, misalnya dengan menggunakan past event data, subjective analysis, benchmarking, atau focused group discussion, dll.

6. Output kegiatan a. Formulir 1 PMK 191 tahun 2008 tentang Piagam Manajemen Risiko yang telah terisi lengkap; b. Piagam Manajemen Risiko, sebagai dasar bagi pelaksanaan proses manajemen risiko di UPR yang bersangkutan.

7. Outcome kegiatan a. Adanya dasar bagi para perangkat struktur manajemen risiko dalam hal pelaksanaan proses manajemen risiko di UPR masing-masing; b. Adanya landasan (basis) dan batasan (boundaries) bagi pelaksanaan

keseluruhan tahapan proses manajemen risiko yang akan dilakukan.

BAB III IDENTIFIKASI RISIKO

1. Pengantar Langkah ini merupakan langkah identifikasi risiko yang akan dikelola. Identifikasi harus dilakukan dengan komprehensif karena risiko yang tidak teridentifikasi pada tahap ini tidak akan dianalisis lebih lanjut. Identifikasi harus mencakup risiko secara komprehensif tanpa memperhatikan apakah risiko tersebut dalam kendali orgainsasi atau tidak.

2. Tujuan Kegiatan Tujuan kegiatan ini adalah: a. Mengembangkan daftar komprehensif dan menyeluruh tentang sumber risiko, dan kejadian yang mempunyai pengaruh terhadap pencapaian sasaran UPR. b. Melakukan formulasi dan kategorisasi risiko dengan komponen: apa yang mungkin terjadi (event identification), penyebab terjadinya risiko, waktu terjadinya dan dampak negatif dari risiko tersebut. c. Melakukan penggolongan atau kategorisasi risiko menurut penyebabnya kedalam jenis risiko sesuai dengan kategori risiko yang tertuang dalam PMK 191 tahun 2008.

3. Dokumen sumber bagi kegiatan a. Balanced Score Card; b. Past Event Data; c. Laporan kegiatan; d. SOP; e. Kuesioner; f. Hasil wawancara identifikasi risiko; g. Piagam Manajemen Risiko. 4. Metodologi kegiatan a. Kegiatan identifikasi risiko dalam proses manajemen risiko dituangkan kedalam formulir 2 dari PMK 191 tahun 2008. b. Proses identifikasi risiko harus didasarkan pada konteks yang telah ditetapkan pada piagam manajemen risiko.

c. Identifikasi risiko pada umumnya kurang bermanfaat apabila dilakukan untuk suatu aktivitas organisasi secara keseluruhan. Proses identifikasi akan lebih efektif jika aktivitas organisasi dibagi menjadi beberapa bagian atau elemen kunci. Elemen kunci adalah sekumpulan topik yang lebih kecil dari aktivitas secara keseluruhan sehingga identifikasi risiko dapat dilakukan lebih fokus dan mendalam. Beberapa contoh elemen kunci yang dapat dijadikan dasar adalah: proses bisnis, komponen fisik, lokasi fisik, aktivitas proyek, dan pemangku kepentingan. Untuk pencapaian sasaran strategis (sebagaimana yang tercantum dalam BSC) disarankan pembagian elemen kunci berdasarkan proses bisnis kunci. d. Untuk mengembangkan daftar risiko yang komprehensif harus digunakan proses yang

sistematis dengan mengikuti proses bisnis, proyek atau aktivitas sesuai dengan elemen kunci tersebut di atas. Hal tersebut akan membantu lengkapnya risiko yang teridentifikasi dan agar hal-hal penting tidak terlewatkan. e. Komponen-komponen risiko: 1) Sumber risiko: sesuatu yang memiliki potensi bahaya. Secara umum sumber risiko diantaranya hubungan komersial dan legal, kejadian ekonomi, perilaku manusia, kejadian politik, teknologi, dan aktivitas individu. 2) Apa yang mungkin terjadi (event): sesuatu yang terjadi sehingga sumber risiko memiliki akibat atau konsekuensi. Sebagai contoh: adanya peraturan baru, adanya pelanggan baru, dan/atau suatu pengukuran kinerja telah mencapai tingkat yang berbahaya. Dalam hal identifikasi risiko berlaku konsep decomposition of risk, dimana satu penyebab dapat diturunkan menjadi satu risiko yang lain. Dalam hal ini harus tetap dipertimbangkan relevansinya dengan sasaran UPR, jika penyebab tersebut tidak relevan dengan sasaran, maka penyebab tersebut tidak dapat dijadikan sebagai risiko. Melakukan dekomposisi risiko terhdap penyebab berhenti sampai sebelum penyebab tersebut menyangkut sumber daya, waktu, dan kualitas. Jadi sumber daya, waktu , dan kualitas tidak dapat dijadikan risiko. 3) Konsekuensi : akibat dari terjadinya risiko. Identifikasi konsekuensi risiko

adalah penting karena akan berpengaruh dalam menyusun kriteria bagi konsekuensi atas risiko tersebut. Hal-hal yang dapat menjadi area konsekuensi risiko antara lain: aktiva, pendapatan, biaya, manusia, masyarakat, kinerja, jadwal aktivitas, lingkungan, reputasi, dan kualitas lingkungan.

10

4) Penyebab: adalah penyebab yang langsung dan mendasar dari suatu risiko (event). Penyebab satu risiko hendaknya merupakan hal yang benar-benar memiliki kontribusi signifikan, dekat dan langsung, yang menjadi faktor pemicu (trigger) bagi munculnya risiko tersebut. f. Dalam melakukan identifikasi risiko (khususnya saat identifikasi awal) metode yang disarankan adalah melalui Forum Group Discussion atau Facilitated Workshop. Facilitated Workshop diikuti oleh individu dengan beragam fungsi dan level jabatan (disarankan dihadiri oleh Pemilik Risiko yang bersangkutan) sehingga diperoleh pengetahuan kolektif yang memadai dalam identifikasi risiko. Garis besar proses facilitated workshop tersebut adalah: 1) Sebelum workshop : (1) Tentukan fasilitator yang memandu acara identifikasi risiko, mengelola dinamika kelompok, dan rencana bagaimana menangkap ide yang muncul dalam diskusi. (2) Tentukan dan setujui aturan-aturan dasar dalam berdiskusi. (3) Pahami perbedaan kepribadian peserta, pertimbangkan bagaimana

meningkatkan partisipasi dan semangat peserta. (4) Identifikasikan tujuan, kategori, atau Unit Pemilik Risiko yang akan dibahas. (5) Undang peserta yang memadai (maksimal 15 orang). (6) Buat target yang realistis dalam pencapaian tujuan workshop. 2) Agenda (1) Perkenalan: terangkan latar belakang dan alasan mengapa peserta diundang. (2) Terangkan aturan-aturan dasar. (3) Terankan proses workshop. Risiko adalah segala seuatu yang akan menghambat, mengurangi, dan menurunkan tujuan organisasi. (4) Untuk tiap tujuan, fasilitator akan mendiskusikan risiko yang muncul dari faktor-faktor: eksternal: kondisi ekonomi, politik, sosial, lingkungan alam dan teknologi. Internal : infrastruktur, personil, proses, dan teknologi. (5) Jelaskan bagaimana dan kapan voting dan masukan verbal akan diambil. (6) Terangkan bagaimana ide dan kesimpulan akan dicatat. 3) Pembahasan tujuan ke-1, dst. (1) Identifikasikan sasaran, indikator kinerja utama, dan pengukurannya.

11

(2) Diskusikan faktor-faktor eksternal dan internal yang dapat menimbulkan risiko. (3) Tentukan event yang menjadi risiko dalam pencapaian tujuan. (4) Pertimbangkan kemungkinan adanya beberapa risiko yang saling

berhubungan satu sama lain dalam tujuan yang sama. 4) Langkah selanjutnya Membagikan hasil workshop selambat-lambatnya 48 jam. Pedoman rinci kegiatan rapat oleh Pemilik Risiko terdapat pada lampiran 1. g. Sebagai ancangan dalam memulai identifikasi risiko dapat dilakukan dengan jalan negasi IKU (dalam BSC) tetapi langkah selanjutnya harus kembali memperhatikan elemen-elemen kunci yang telah diuraikan di atas. Proses identifikasi risiko dapat pula dimulai dari kategori risiko. Proses kategorisasi risiko didasarkan pada kategori risiko sebagaimana disebutkan dalam PMK 191 tahun 2008, yang meliputi: risiko strategis dan kebijakan, risiko operasional, risiko kepatuhan, risiko finansial dan risiko fraud. Kategorisasi risiko dilakukan dengan mempertimbangkan penyebab terjadinya risiko tersebut. h. Waktu keterjadian risiko berpengaruh dan akan digunakan sebagai pertimbangan dalam menyusun kriteria bagi kemungkinan keterjadian atas risiko tersebut. 5. Teknis pelaksanaan kegiatan a. Data judul (heading) formulir
Unit Kerja : Diisi dengan nama unit eselon II selaku UPR yang melakukan proses identifikasi risiko. : Diisi dengan tugas dan fungsi unit Eselon II sesuai dengan regulasi yang terkait, yang mengatur hal ini. : Diisi dengan jangka waktu berlakunya dokumen identifikasi risiko, yaitu 6 bulan (sesuai dengan peninjauan ulang dan monitoring risiko secara berkala setiap 6 bulan sekali). : Diisi dengan maksud dari pengisian formulir 2 PMK 191 tahun 2008, yaitu: identifikasi risiko. Jawab : Diisi dengan nama pejabat eselon II terkait selaku pemilik risiko.

Ruang Lingkup Proses

Jangka Waktu Proses

Tujuan Proses

Penanggung Proses Tanggal

: Diisi dengan tanggal waktu pelaksanaan identifikasi risiko.

12

b. Tabel identifikasi risiko 1). Sasaran UPR

No Sasaran UPR Diisi dengan sasaran strategis (SS) yang ada dalam BSC, yang meliputi Learning & Growth perspective dan Strategic Driver perspective. Untuk setiap sub-SS yang memiliki action plan dijabarkan tersendiri sebagai sebuah SS, untuk dipetakan risikonya. Kategori Risiko

2). Kategori risiko

No Sasaran UPR Kategori Risiko Diisi dengan kategori risiko, sesuai dengan PMK 191 tahun 2008. Terdapat 5 jenis kategori risiko sesuai PMK 191 tahun 2008, yaitu: risiko strategis dan kebijakan, risiko operasional, risiko kepatuhan, risiko finansial dan risiko fraud. Risiko strategis dan kebijakan adalah risiko yang disebabkan oleh karena adanya perubahan kebijakan, baik dari lingkungan eksternal maupun internal organisasi. Risiko operasional adalah risiko yang disebabkan oleh kegagalan dalam hal proses, orang dan sistem. Risiko kepatuhan adalah risiko yang disebabkan oleh karena tidak dipatuhinya ketentuan yang berlaku. Risiko finansial adalah risiko yang disebabkan oleh kegagalan pihak ketiga dalam memenuhi kewajibannya kepada UPR. Risiko fraud adalah risiko yang disebabkan oleh karena adanya tindakan fraud (intention and organization loss). Setiap risiko hanya memiliki satu jenis kategori risiko. Dalam menggolongkan risiko kedalam salah satu kategori risiko, dasar yang dijadikan patokan adalah penyebab terjadinya risiko itu.

3). Apa yang mungkin terjadi

Risiko No Kategori Risiko Apa yang mungkin terjadi Diisi dengan kejadian atau keadaan yang bertendensi sebagai risiko, yaitu yang bisa menghambat, menunda atau menggagalkan pencapaian tujuan suatu organisasi (sasaran strategis). Merupakan rumusan dari risk statement. Berlaku konsep decomposition of risk. Harus relevan dan terkait dengan sasaran strategis yang dituju. Penyebab terjadinya

13

4). Penyebab terjadinya

Risiko No Apa yang mungkin terjadi Penyebab terjadinya Diisi penyebab terjadi dari masing-masing risiko yang ada di kolom sebelumnya. Diisi dengan mengacu pada risiko yang telah disebutkan pada kolom sebelumnya. Merupakan faktor pemicu (trigger) langsung yang menyebabkan terjadinya risiko. Penyebab dapat berasal maupun eksternal UPR. dari internal Kapan terjadinya

Berlaku konsep decomposition of risk. Sumber daya organisasi merupakan penyebab akhir (final causes), yang tidak bisa bertindak sebagai risiko. Penyebab terjadinya sebuah risiko dapat lebih dari satu macam, diurutkan dari yang paling signifikan dan besar pengaruhnya terhadap risiko.

5). Kapan terjadinya

Risiko No Penyebab terjadinya Kapan terjadinya Diisi dengan periode waktu dimana masing-masing risiko yang ada di kolom sebelumnya biasanya terjadi (take place). Penentuan waktu ini penting karena menyangkut penyususnan anggaran bagi langkah mitigasi. Diisi dengan mengacu pada risiko yang telah disebutkan di kolom sebelumnya, bukan mengacu pada penyebab terjadinya risiko. Sedapat mungkin diisi dengan waktu yang spesifik (specific time) dimana sebuah risiko mungkin akan terjadi. Jika tidak bisa ditentukan waktu yang spesifik, maka diisi dengan tahapan dari alur suatu kegiatan yang biasanya dijalankan. Dapat bersifat berulang (repetitive), sekali saja terjadinya (once random) atau secara terus menerus mengikuti proses (continuous depend on activity). Deskripsi Konsekuensi Risiko

14

6). Deskripsi konsekuensi risiko

Risiko No Kapan terjadinya Diisi dengan dampak atau akibat yang ditimbulkan oleh risiko yang telah disebutkan pada kolom sebelumnya. Diisi dengan mengacu pada risiko yang telah disebutkan di kolom sebelumnya, bukan mengacu pada penyebab terjadinya risiko. Diisi dengan akibat atau dampak yang memiliki kaitan langsung (yang paling dekat) dengan risiko yang disebutkan. Harus relevan dan berkaitan dengan pencapaian sasaran UPR yang telah didefinisikan. Dampak risiko dapat lebih dari satu macam, namun demikian hendaknya diurutkan dari dampak yang paling langsung dari satu risiko dan paling signifikan bagi organisasi. Deskripsi Konsekuensi Risiko

6. Output kegiatan a. Formulir 2 PMK 191 tahun 2008 tentang Risk Register A Proses Identifikasi Risio yang telah terisi lengkap; b. Kumpulan risiko, lengkap dengan komponennya, yang siap untuk dikelola oleh satu UPR.

7. Outcome kegiatan a. Adanya kesadaran pegawai terhadap risiko yang ada di organisasinya.; b. Adanya dasar bagi pelaksanaan tahapan proses manjaemen risiko selanjutnya yaitu analisis risiko.

15

BAB IV ANALISIS RISIKO

1. Pengantar Analisis risiko merupakan pengembangan pemahaman terhadap risiko. Analisis risiko merupakan masukan bagi evaluasi risiko pada tahap selanjutnya dan digunakan untuk pengambilan keputusan apakah suatu risiko akan dimitigasi atau tidak. Risiko dianalisis dengan mengkombinasikan konsekuensi (consequences) dan kemungkinan terjadinya (likelihood). Analisis awal dapat dilakukan untuk mengggabungkan beberapa risiko yang sama atau mirip. Analisis risiko juga mempertimbangkan pengendalian yang sudah ada. (existing control).

2. Tujuan kegiatan a. Mengetahui profil risiko yang ada dalam satu UPR. b. Menentukan level risiko untuk dimensi kemungkinan keterjadian dari setiap risiko. c. Menentukan level risiko untuk dimensi konsekuensi dari setiap risiko. d. Menentukan level masing-masing risiko. e. Melakukan evaluasi terhadap sistem pengendalian internal yang ada dalam UPR.

3. Dokumen sumber bagi kegiatan a. Dokumentasi sistem pengendalian internal; b. Past Event Data; c. SOP; d. Piagam manajemen risiko.

4. Metodologi kegiatan a. Kegiatan analisis risiko dalam proses manajemen risiko dituangkan kedalam formulir 3 dari PMK 191 tahun 2008. b. Proses analisis risiko harus didasarkan pada konteks yang telah ditetapkan pada piagam manajemen risiko.

16

c. Dalam melakukan identifikasi dan penilaian terhadap sistem pengendalian yang ada untuk mengendalikan suatu risiko dalam UPR berpedoman pada PP nomor 60 tahun 2008 tentang Sistem Pengendalian Internal Pemerintah (PP SPIP). d. Besarnya konseksuensi dari suatu risiko (event), jika terjadi, dan kemungkinan terjadinya dinilai sesuai dengan strategi dan pengendalian yang ada saat ini. KOnsekuensi dan kemungkinan terjadinya risiko digabungkan untuk

memperoleh level risiko. Konsekuensi dan kemungkinan terjadinya dapat diestimasi menggunakan analisis statistik . Ketika tidak ada data historis yang relevan dan dapat dipercaya, estimasi subjektif dapat dilakukan oleh individu atau kelompok. e. Analisis konsekuensi dan kemungkinan harus menggunakan informasi yang dapat dipercaya. Sumber informasi yang dapat digunakan antara lain: 1) Catatan historis. 2) Pengalaman yang relevan 3) Buku teks 4) Riset pasar

5) Hasil konsultasi resmi 6) Eksperimen 7) Model ekonomi, teknik, dsb. 8) Pertimbangan ahli.

f.

Sebelum menentukan level risiko, baik untuk dimensi kemungkinan keterjadian maupun dimensi konsekuensi, harus ditetapkan terlebih dahulu kriteria bagi masing-masing risiko (per-risiko, bukan per-kategori risiko).

g. Proses

penentuan

level

untuk

masing-masing

dimensi

risiko

dapat

menggunakan benchmarking, profesional judgement, atau subjective analysis yang dilakukan secara focused group discussion atau facillitated workshop. h. Jenis analisis yang dapat dilakukan untuk masing-masing risiko adalah analisis kualitatif, semi kuantitatif, dan kuantitatif. Jenis analisis harus konsisten dengan kriteria risiko yang telah ditentukan dalam proses sebelumnya. 1) Analisis kualitatif (1) Analisis kualitatif menggunakan kata-kata untuk menguraikan besarnya potensi konsekuensi dan kemungkinan terjadinya suatu risiko. (2) Analisis kualitatif biasa digunakan:

17

a) Sebagai analisis awal sebelum suatu risiko dianalisis lebih lanjut. b) Ketika analisis ini cocok untuk pengambilan keputusan. c) Jika data numerik dan sumber daya tidak memadai untuk analisis kuantitatif. (3) Analisis kualitatif menggunakan informasi atau data yang faktual bila mungkin. 2) Analisis semi kuantitatf (1) Pada analisis semi kuantitatif, skala kualitatif yang digunakan di atas diberi nilai. Tujuannya adalah memberikan skala pemeringkatan yang lebih informatif dibandingkan dengan analisis kualitatif di atas. Meskipun demikian, pembeian angka atau nilai tersebut tidak berarti memberikan nilai yang tepat terhadap risiko seperti pada analisis kuantitatif. (2) Perlu diperhatikan bahwa pemberian nilai angka pada konsekuensi dan kemungkinan bukanlah berdasarkan akurasi data statistik. 3) Analisis kuantitatif (1) Analisis kuantitatif menggunakan nilai angka (bukan skala deskriptif pada analisis kualitatif atau skala angka pada analisis semi kuantitatif) baik untuk konsekuensi maupun kemungkinan. (2) Kualitas analisis kuantitatif bergantung kepada ketepatan dan

kelengkapan nilai angka dan model yang digunakan. Level konsekuensi dapat dilakukan dengan pemodelan, dari data historis atau dari hasil eksperimen. Konsekuensi dapat dinyatakan dengan nilai uang atau satuan lain yang relevan. i. Proses penentuan level untuk masing-masing dimensi risiko dilakukan dengan jalan membandingkan antara hasil analisis atau estimasi masing-masing dimensi risiko untuk periode yang akan datang (future) dengan kriteria yang telah ditetapkan untuk masing-masing dimensi pada formulir 1 PMK 191 tahun 2008. j. Penentuan level risiko dilakukan dengan berpedoman pada pola yang ada pada formulir 1 nomor 8c dalam formulir 1 PMK 191 tahun 2008. k. Tingkatan atau level untuk melakukan analisis risiko dapat menggunakan beberapa jenjang. PMK 191 tahun 2008 menganut 3 jenjang level risiko, yaitu: rendah, sedang dan tinggi.

18

l.

Bobot konsekuensi terhadap level risiko diasumsikan lebih tinggi daripada bobot frekuensi (formulir 1 PMK 191 tahun 2008).

5. Teknis pelaksanaan kegiatan a. Data judul (heading) formulir

Unit Kerja : Diisi dengan nama unit eselon II selaku UPR yang melakukan proses analisis risiko. : Diisi dengan tugas dan fungsi unit Eselon II sesuai dengan regulasi yang terkait, yang mengatur hal ini. : Diisi dengan jangka waktu berlakunya dokumen analisis risiko, yaitu 6 bulan (sesuai dengan peninjauan ulang dan monitoring risiko secara berkala setiap 6 bulan sekali). : Diisi dengan maksud dari pengisian formulir 3 PMK 191 tahun 2008, yaitu: analisis risiko. Jawab : Diisi dengan nama pejabat eselon II terkait selaku pemilik risiko.

Ruang Lingkup Proses

Jangka Waktu Proses

Tujuan Proses

Penanggung Proses Tanggal

: Diisi dengan tanggal waktu pelaksanaan analisis risiko.

b. Tabel analisis risiko 1). Sistem pengendalian yang ada

No Deskripsi Konsekuensi Risiko Sistem Pengendalian yang ada Diisi dengan bentuk pengendalian yang ada di UPR, yang digunakan untuk meng-counter masingmasing risiko yang telah disebutkan pada kolom sebelumnya. Diisi dengan berpatokan pada masingmasing risiko yang telah disebutkan, bukan berpatokan pada penyebab atau konsekuensi dari risiko. Diisi dengan bentuk pengendalian yang ada, bukan kelemahan dari sistem pengendalian tersebut atau sistem pengendalian yang seharusnya ada. Diisi sesuai dengan kerangka unsur-unsur pengendalian internal dalam PP nomor 60 tahun 2008. Bentuk sistem pengendalian yang diisikan harus relevan dengan risiko yang disebutkan. Jika memang tidak ada sistem pengendalian yang terkait, maka kolom ini tidak perlu diisi. Tingkat Konsekuensi Risiko

19

2). Tingkat konsekuensi risiko

No Sistem Pengendalian yang ada Tingkat Kemungkinan Terjadinya Risiko

Tingkat Konsekuensi Risiko

Diisi dengan level dimensi konsekuensi dari masing-masing risiko yang telah disebutkan pada kolom sebelumnya. Terlebih dahulu harus disusun kriteria untuk dimensi konsekuensi dari masingmasing risiko, yang dijabarkan pada formulir 1 PMK 191 tahun 2008. Dilakukan estimasi konsekuensi dari risiko yang bersangkutan apabila di kemudian hari benar-benar terjadi (future perspective). Proses estimasi konsekuensi dapat dilakukan secara subjective estimation yang dilakukan secara focused group discussion. Dilakukan perbandingan antara hasil estimasi konsekuensi dengan kriteria konsekuensi yang telah disusun pada formulir 1 PMK 191 tahun 2008. Hasil perbandingan berupa level untuk konsekuensi masing-masing risiko: rendah atau sedang atau tinggi, dan diisikan pada kolom ini. Level dimensi konsekuensi dapat menggunakan notasi angka: (1) untuk level rendah, (2) untuk level sedang dan (3) untuk level tinggi.

3). Tingkat kemungkinan terjadinya risiko

No Tingkat Konsekuensi Risiko Tingkat Kemungkinan Terjadinya Risiko Diisi dengan level dimensi kemungkinan keterjadian (frekuensi) dari masing-masing risiko yang telah disebutkan pada kolom sebelumnya. Terlebih dahulu harus disusun kriteria untuk dimensi frekuensi dari masing-masing risiko, yang dijabarkan pada formulir 1 PMK 191 tahun 2008. Dilakukan estimasi frekuensi kemungkinan terjadinya risiko yang bersangkutan untuk masa yang akan datang (future perspective). Level Risiko

20

 Proses estimasi frekuensi keterjadian atas satu risiko dapat dilakukan secara subjective estimation yang dilakukan secara focused group discussion. Dilakukan perbandingan antara hasil estimasi frekuensi keterjadian risiko dengan kriteria kemungkinan keterjadian (frekuensi) yang telah disusun pada formulir 1 PMK 191 tahun 2008. Hasil perbandingan berupa level untuk frekuensi keterjadian masing-masing risiko: rendah atau sedang atau tinggi, dan diisikan pada kolom ini. Level dimensi kemungkinan keterjadian dapat menggunakan notasi angka: (1) untuk level rendah, (2) untuk level sedang dan (3) untuk level tinggi.

4). Level risiko

No Tingkat Kemungkinan Terjadinya Risiko Trend Risiko

Level Risiko

Diisi dengan level dari masing-masing risiko yang telah disebutkan pada kolom sebelumnya. Merupakan istilah (term) untuk level dari satu risiko utuh. Dilakukan dengan jalan menggabungkan (memfungsikan) level dari dimensi konsekuensi dan level dari dimensi frekuensi untuk setiap masingmasing risiko. Penentuan level risiko dilakukan dengan berpedoman pada pola (pattern) yang ada pada formulir 1 PMK 191 tahun 2008 nomor 8c. Hasil dari fungsi (penggabungan) antara level konsekuensi dengan level frekuensi perbandingan berupa level untuk masing-masing risiko: rendah atau sedang atau tinggi, dan diisikan pada kolom ini. Level risiko dapat menggunakan notasi angka: (1) untuk level rendah, (2) untuk level sedang dan (3) untuk level tinggi.

5). Trend risiko

No Level Risiko Trend Risiko Level Konsekuensi Diisi dengan kecenderungan pergerakan (trend) dari level dimensi Level Frekuensi Diisi dengan kecenderungan pergerakan (trend) dari level dimensi Level Risiko Diisi dengan kecenderungan pergerakan (trend) dari level risiko

21

konsekuensi untuk masing-masing risiko. Diisi dengan notasi: menurun, atau menaik, atau stabil. Hanya diisi pada saat melakukan second risk assessment dan risk asssesment berikutnya. Untuk first risk assessment, kolom ini tidak diisi, karena tren level konsekuensi belum dapat diketahui. Dilakukan dengan membandingkan antara level konsekuensi untuk periode saat dilakukannya risk assessment dengan level konsekuensi untuk periode risk assessment sebelumnya.

frekuensi untuk masing-masing risiko. Diisi dengan notasi: menurun, atau menaik, atau stabil. Hanya diisi pada saat melakukan second risk assessment dan risk asssesment berikutnya. Untuk first risk assessment, kolom ini tidak diisi, karena tren level frekuensi belum dapat diketahui. Dilakukan dengan membandingkan antara level frekuensi untuk periode saat dilakukannya risk assessment dengan level frekuensi untuk periode risk assessment sebelumnya.

untuk masingmasing risiko. Diisi dengan notasi: menurun, atau menaik, atau stabil. Hanya diisi pada saat melakukan second risk assessment dan risk asssesment berikutnya. Untuk first risk assessment, kolom ini tidak diisi, karena tren level risiko belum dapat diketahui. Dilakukan dengan membandingkan antara level risiko untuk periode saat dilakukannya risk assessment dengan level risiko untuk periode risk assessment sebelumnya.

c. Profil risiko
Konsekuensi

Profil Risiko

: Risiko dengan level Tinggi

: Risiko dengan level Sedang

: Risiko dengan level Rendah Frekuensi

: Tren Risiko Sebaran Risiko Komposit per-kategori risiko

22

 Profil risiko merupakan gambaran dari perkategori risiko berdasarkan distribusinya pada sumbu kartesius dengan dimensi konsekuensi dan dimensi kemungkinan sebagai faktor pembentuknya. Tingkat risiko komposit untuk masing-masing jenis kategori risiko diperoleh dengan menghitung rata-rata level konsekuensi dan rata-rata level kemunkinan untuk perkategori risiko. Apabila dipandang perlu, sebaran risiko pada cartesius chart dapat pula dilakukan secara mandiri per-risiko, bukan perkategori risiko. Chart profil risiko digunakan oleh manajemen untuk mengambil keputusan terkait dengan langkah pengelolaan risiko.

6. Output kegiatan a. Formulir 3 PMK 191 tahun 2008 tentang Risk Register B Proses Analisis Risiko yang telah terisi lengkap; b. Kumpulan risiko, lengkap dengan komponennya dan tingkatan (level) dari masing-masing risiko dalam satu UPR; c. Profil risiko yang ada dalam satu UPR, baik secara komposit atau secara mandiri.

7. Outcome kegiatan a. Adanya informasi mengenai kondisi risiko yang ada dalam satu UPR; b. Adanya dasar bagi pelaksanaan tahapan proses manjaemen risiko selanjutnya yaitu evaluasi risiko.

23

BAB V EVALUASI RISIKO 1. Pengantar Evaluasi risiko dilakukan untuk pengambilan keputusan risiko mana yang membutuhkan penanganan dan jenis penanganannya. Evaluasi risiko menyangkut pembandingan level risiko yang telah dilakukan pada tahap sebelumnya sesuai dengan kriteria yang telah ditentukan.

2. Tujuan kegiatan a. Mengetahui risiko yang memiliki tingkat prioritas tertinggi hingga risiko yang memiliki tingkat prioritas terendah dari keseluruhan risiko yang telah diidentifikasi. b. Menetapkan perlu tidaknya dilakukan langkah penanganan terhadap risiko yang telah diidentifikasi. c. Menentukan risiko mana saja yang akan ditindaklanjuti dengan langkah mitigasi risiko dan risiko mana saja yang hanya perlu dipantau, karena masih termasuk risiko yang dapat diabaikan sesuai selera risiko (risk appetite) UPR yang bersangkutan.

3. Dokumen sumber bagi kegiatan a. Formulir 3: Risk Register B Proses Analisis Risiko; b. Piagam Manajemen Risiko.

4. Metodologi kegiatan a. Kegiatan evaluasi risiko dalam proses manajemen risiko dituangkan kedalam formulir 4 dari PMK 191 tahun 2008. b. Proses evaluasi risiko harus didasarkan pada konteks yang telah ditetapkan pada piagam manajemen risiko. c. Evaluasi risiko dilakukan dengan cara yang sistematis untuk menilai setiap risiko guna menentukan urutan prioritas bagi masing-masing risiko yang telah diidentifikasi. d. Pertimbangan untuk melakukan penilaian terhadap risiko adalah: level risiko, tingkat (level) dimensi konsekuensi dari risiko, kategori risiko dan frekuensi risiko.

24

e. Cara penilaian terhadap risiko adalah: 1). Menentukan tingkat level risiko dari yang tertinggi hingga yang terendah; 2). Jika dalam satu level risiko terdiri lebih dari satu buah risiko, maka pengurutan risiko tersebut dilihat dari tingkat level dimensi konsekuensi risiko, kemudian diurutkan dari risiko yang memiliki level konsekuensi tertinggi hingga yang terendah; 3). Jika dalam satu level risiko dan dalam satu level konsekuensi terdiri lebih dari satu buah risiko, maka pengurutan risiko tersebut dilihat dari kategori risiko dari masing-masing risiko itu, kemudian diurutkan dengan urutan kategori sebagai berikut: (1) risiko fraud; (2) risiko strategik dan kebijakan; (3) risiko operasional; (4) risiko kepatuhan; (5) risiko finansial; 4). Jika dalam satu level risiko dan dalam satu level konsekuensi serta dalam satu kategori risiko terdiri lebih dari satu buah risiko, maka pengurutan risiko tersebut dilihat dari tingkat frekuensi dari risiko tersebut, kemudian diurutkan dari risiko dengan tingkat frekuensi yang tertinggi hingga yang terendah; 5). Jika dalam satu level risiko, dalam satu level konsekuensi dan dalam satu kategori risiko serta dalam satu level frekuensi terdiri lebih dari satu buah risiko, maka pertimbangan selanjutnya untuk pengurutan risiko dilakukan sesuai dengan selera atau pertimbangan subjektif dari UPR.

5. Teknis pelaksanaan kegiatan 1. Data judul (heading) formulir

Unit Kerja : Diisi dengan nama unit eselon II selaku UPR yang melakukan proses evaluasi risiko. : Diisi dengan tugas dan fungsi unit Eselon II sesuai dengan regulasi yang terkait, yang mengatur hal ini. : Diisi dengan jangka waktu berlakunya dokumen evaluasi risiko, yaitu 6 bulan (sesuai dengan peninjauan ulang dan monitoring risiko secara berkala setiap 6 bulan sekali). : Diisi dengan maksud dari pengisian formulir 4 PMK 191 tahun 2008, yaitu: evaluasi risiko. Jawab : Diisi dengan nama pejabat eselon II terkait selaku pemilik risiko.

Ruang Lingkup Proses

Jangka Waktu Proses

Tujuan Proses

Penanggung Proses Tanggal

: Diisi dengan tanggal waktu pelaksanaan evaluasi risiko.

25

2. Tabel evaluasi risiko

No Trend Risiko Prioritas Risiko Diisi dengan nomor urutan yang menunjukkan prioritas dari semua risiko yang telah diidentifikasi. Merupakan kode angka (numeris) urut yang menunjukkan risiko dengan prioritas tertinggi hingga risiko dengan prioritas terendah. Dilakukan dengan menilai level risiko, level dimensi konsekuensi dari risiko, kategori dari risiko, level dimensi frekuensi risiko dan pertimbangan subjektif lainnya yang logis dan rasional. Proses penilaian atas risiko dilakukan dalam lingkup keseluruhan satu UPR, bukan per-segmen organisasi UPR, atau perkategori risiko, atau persasaran UPR. Risiko dengan level rendah tidak dilakukan langkah penanganan (mitigasi) risko, tetapi cukup dilakukan pemantauan terhadap risiko tersebut.

3. Profil risiko
Profil Risiko
Konsekuensi

: Risiko dengan level Tinggi

: Risiko dengan level Sedang

: Risiko dengan level Rendah Frekuensi

: Tren Risiko Sebaran Risiko Komposit per-kategori risiko

Profil risiko merupakan gambaran dari perkategori risiko berdasarkan distribusinya pada sumbu kartesius dengan dimensi konsekuensi dan dimensi frekuensi sebagai faktor pembentuknya. Tingkat risiko komposit untuk masing-masing jenis kategori risiko diperoleh dengan menghitung rata-rata level konsekuensi dan rata-rata level frekuensi untuk perkategori risiko. Sebaran risiko pada cartesius chart dapat pula dilakukan secara mandiri per-risiko, bukan perkategori risiko. Chart profil risiko digunakan oleh manajemen untuk mengambil keputusan terkait dengan langkah pengelolaan risiko.

26

6. Output kegiatan a. Formulir 4 PMK 191 tahun 2008 tentang Risk Register C Proses Evaluasi Risiko yang telah terisi lengkap; b. Kumpulan risiko, lengkap dengan komponennya dan tingkatan (level) dari masingmasing risiko, yang telah terurutkan berdasarkan prioritasnya dari yang tertinggi hingga yang terendah, dalam satu UPR; c. Profil risiko yang ada dalam satu UPR, baik secara komposit atau secara mandiri. 7. Outcome kegiatan a. Adanya informasi mengenai kondisi risiko yang ada dalam satu UPR; b. Adanya informasi mengenai prioritisasi risiko yang ada dalam satu UPR; c. Adanya dasar bagi pelaksanaan tahapan proses manjaemen risiko selanjutnya yaitu penanganan (mitigasi) risiko.

27

BAB VI PENANGANAN RISIKO 1. Pengantar Penanganan risiko menyangkut identifikasi opsi penanganan risiko, menilai opsiopsi tersebut, dan persiapan dan implementasi rencana penanganan, sehingga risiko dengan level tertentu bisa memiliki level risiko yang sesuai dengan selera risiko (risk appetite) dari UPR yang bersangkutan.

2. Tujuan kegiatan a. Menentukan langkah penanganan yang efektif dan efisien terhadap risiko dengan level tertentu. b. Memilih opsi penanganan risiko yang mungkin untuk diterapkan dalam UPR yang bersangkutan. c. Memutuskan rencana penanganan risiko yang akan dilakukan dengan mendasarkan pada pertimbangan yang logis dan rasional. d. Menentukan target kinerja dari rencana penanganan risiko yang akan dijalankan untuk mengukur tingkat keberhasilan aksi penanganan risiko. e. Menentukan jadual waktu pelaksanaan aksi penanganan risiko. f. Menentukan tingkat risiko residual yang diharapkan, dengan mempertimbangkan efektifitas aksi penanganan risiko yang dijalankan. 3. Dokumen sumber bagi kegiatan a. Formulir 4: Risk Register C Proses Evaluasi Risiko; b. Balanced Score Card; c. Rencana Anggaran dan Biaya (RAB); d. Rencana Kerja Tahunan (RKT); e. Program Kerja Organisasi; f. Piagam Manajemen Risiko.

4. Metodologi kegiatan a. Kegiatan rencana penanganan risiko dalam proses manajemen risiko dituangkan kedalam formulir 5 dari PMK 191 tahun 2008.

28

b. Penyusunan rencana penanganan risiko harus mempertimbangkan sumber daya organisasi yang dimiliki oleh UPR, yang meliputi antara lain: dana, manusia, waktu dan sarana serta prasarana. c. Pemilihan opsi penanganan risiko harus mempertimbangkan level dimensi konsekuensi dan level dimensi frekuensi dari masing-masing risiko. d. Opsi penanganan risiko yang mungkin untuk diambil antara lain: 1). Menerima risiko, artinya terhadap kegiatan yang dilaksanakan yang didalamnya mengandung risiko, tidak dilakukan aksi penanganan terhadap risiko yang terkandung dalam kegiatan tersebut. 2). Menghindari risiko, artinya terhadap kegiatan yang mengandung risiko tidak jadi dilaksanakan sehingga organisasi terhindar dari risiko yang terkandung dalam kegiatan tersebut. 3). Menurunkan dampak atau konsekuensi risiko, artinya terhadap kegiatan yang dilaksanakan yang didalamnya terkandung suatu risiko, atas risiko tersebut diberikan rencana langkah aksi untuk menurunkan dampak negatif apabila risiko tersebut benar-benar terjadi di kemudian hari. Beberapa

contoh penanganan berupa penurunan dampak adalah rencana kontinjensi, pengaturan kontrak, rencana pemulihan bencana, rencana pengendalian kecurangan, perencanaan protofolio, hubungan masyarakat, dan pemberian ganti rugi. 4). Mengurangi kemungkinan terjadinya risiko, artinya terhadap kegiatan yang dilaksanakan yang didalamnya terkandung suatu risiko, atas risiko tersebut diberikan rencana langkah aksi untuk menekan atau bahkan mungkin menghilangkan (apabila bisa) kemungkinan keterjadian atas risiko tersebut. Beberapa contoh penanganan penurunan kemungkinan terjadinya risiko adalah audit, peeliharaan, pemeliharaan kualitas, penelitian dan

pengembangan, dan pendidikan dan pelatihan personil. 5). Mengalihkan atau membagi risiko, artinya terhadap kegiatan yang dilaksanakan yang didalamnya terkandung suatu risiko, atas risiko tersebut diberikan langkah aksi berupa membagi risiko tersebut kepada pihak lain untuk menurunkan tingkat risiko yang dihadapi oleh UPR. e. Penyusunan rencana penanganan risiko harus memperhatikan penyebab yang menjadi pemicu terjadinya suatu risiko.

29

f.

Rencana penanganan risiko sedapat mungkin diarahkan untuk menghilangkan atau menekan penyebab dari risiko yang bersangkutan.

g. Rencana penanganan risiko ditujukan bagi risiko dengan level risiko tinggi dan sedang, sementara itu untuk risiko dengan level rendah tidak dilakukan penanganan risiko, tetapi cukup dipantau saja. h. Rencana penanganan risiko sedapat mungkin diarahkan untuk mampu menekan risiko hingga risiko residualnya berada pada level yang lebih rendah atau berada pada level yang sesuai dengan selera risiko dari UPR. i. Rencana penanganan risiko harus diintegrasikan dengan proses penganggaran dalam UPR. j. Rencana penanganan risiko harus dijalankan dan dipantau pelaksanaannya untuk mengefektifkan proses mitigasi risiko. k. Proses pelaksanaan rencana penanganan risiko harus diawasi oleh penanggung jawab sesuai dengan jabatan dalam struktur manajemen risiko. l. Pihak yang bertanggung jawab dalam pelaksanaan penanganan risiko adalah: 1). untuk risiko dengan level tinggi, yang bertanggung jawab adalah ketua manajemen risiko bersama dengan pemilik risiko; 2). untuk risiko dengan level sedang, yang bertanggung jawab adalah pemilik risiko; 3). Untuk risiko dengan level rendah, yang bertanggung jawab untuk memantau adalah koordinator manajemen risiko. 5. Teknis pelaksanaan kegiatan a. Data judul (heading) formulir
Unit Kerja : Diisi dengan nama unit eselon II selaku UPR yang melakukan proses penanganan risiko. : Diisi dengan tugas dan fungsi unit Eselon II sesuai dengan regulasi yang terkait, yang mengatur hal ini. : Diisi dengan jangka waktu berlakunya dokumen pananganan risiko, yaitu 6 bulan (sesuai dengan peninjauan ulang dan monitoring risiko secara berkala setiap 6 bulan sekali). : Diisi dengan maksud dari pengisian formulir 5 PMK 191 tahun 2008, yaitu: rencana penanganan risiko. Jawab : Diisi dengan nama pejabat eselon II terkait selaku pemilik risiko.

Ruang Lingkup Proses

Jangka Waktu Proses

Tujuan Proses

Penanggung Proses

30

Tanggal

: Diisi dengan tanggal penanganan risiko.

waktu

penyusunan

formulir

rencana

b. Analisis opsi rencana penanganan risiko 1). Risiko berdasarkan prioritas risiko dari daftar risiko
No Risiko (berdasarkan prioritas risiko dari daftar risiko) Diisi dengan risiko yang telah diidentifikasi sesuai dengan urutan prioritasnya, yang telah disusun pada tahap sebelumnya. Peletakan risiko menunjukkan urutan prioritas risiko untuk dilakukan tindakan rencana aksi penanganan risiko. Diambil dari risiko sesuai urutannya pada formulir 4 PMK 191 tahun 2008. Keputusan untuk memilih risiko mana yang akan dilakukan penanganan sepenuhnya tergantung pada UPR, dengan tetap harus mempertimbangkan sumber daya organisasi yang dimiliki. Risiko yang akan ditangani, yang dimasukkan pada kolom ini adalah risiko dengan level tinggi dan level sedang. Risiko dengan level rendah tidak dilakukan penanganan dan tidak dimasukkan kedalam kolom ini. Opsi Penanganan yang mungkin

c. Opsi penanganan yang mungkin

No Risiko (berdasarkan prioritas risiko dari daftar risiko) Opsi yang dipilih

Opsi Penanganan yang mungkin

Diisi dengan satu atau beberapa macam opsi penanganan risiko yang berkemungkinan untuk dilakukan oleh UPR yang bersangkutan. a. Pilihan opsi yang tersedia adalah: menerima risiko, menghindari risiko, mengurangi dampak risiko, menurunkan kemungkinan keterjadian dan membagi risiko. Pilihan atas opsi penanganan harus mempertimbangkan ciri dan karakteristik organisasi UPR serta sifat kegiatan yang dilakukan dalam rangka mencapai sasaran UPR. Tidak semua atau belum tentu semua opsi yang tersedia ini memungkinkan bagi suatu UPR. Untuk organisasi kepemerintahan (government agencies) yang bersifat pelayanan (nonprofit oriented) yang bekerja berdasarkan aturan dan mandat, maka kecil kemungkinan untuk memilih

b.

c. d.

31

opsi untuk menghindari risiko dan opsi membagi risiko.

d. Opsi yang dipilih

No Opsi Penanganan yang mungkin Dasar Pemilihan Opsi Penanganan

Opsi yang dipilih

Diisi dengan opsi penanganan risiko yang dipilih untuk dirinci rencana aksi kegiatan penanganan risikonya. a. Pemilihan opsi penanganan risiko harus mempertimbangkan sumber daya organisasi yang dimiliki oleh UPR. Pemilihan opsi penanganan risiko hendaknya mempertimbangkan level dari dimensi konsekuensi dan level dari dimensi frekuensi atas risiko yang bersangkutan. Pemilihan opsi penanganan risiko berkaitan dengan bentuk rencana aksi penanganan risiko yang akan dijalankan. Untuk risiko dengan dimensi frekuensi dan atau dimensi konsekuensi berada pada level rendah, tidak ada lagi opsi untuk menurunkan kemungkinan keterjadian dan atau mengurangi dampak risiko.

b.

c.

d.

e. Dasar pemilihan opsi penanganan

No Opsi yang dipilih Dasar Pemilihan Opsi Penanganan Diisi dengan dasar sebagai alasan pertimbangan yang digunakan untuk memilih opsi penanganan risiko yang telah dipilih pada kolom sebelumnya. a. Dasar pemilihan opsi penanganan merupakan landasan pemikiran mengapa suatu UPR memilih opsi penanganan risiko tersebut. Dasar pemilihan opsi penanganan dapat mencakup pertimbangan atas: waktu, dana, personil, akseptabilitas, program kerja, kemudahan, dll. Alasan pemilihan opsi hendaknya dipikirkan secara logis, rasional dan mendalam terhadap beberapa alternatif pertimbangan yang ada. Dasar pemilihan opsi penanganan risiko menentukan sukses tidaknya implementasi rencana aksi penanganan risiko. Dasar pemilihan opsi penanganan risiko harus mengacu pada dan relevan dengan risiko yang bersangkutan.

b.

c.

d.

e.

32

f.

Rencana penanganan risiko

1). Risiko berdasarkan prioritas risiko dari daftar risiko

No Risiko (berdasarkan prioritas risiko dari daftar risiko) Perincian Rencana Penanganan Risiko

Diisi dengan risiko yang telah diidentifikasi sesuai dengan urutan prioritasnya, yang telah disusun pada tahap sebelumnya. a. b. c. Peletakan risiko menunjukkan urutan prioritas risiko untuk dilakukan tindakan rencana aksi penanganan risiko. Diambil dari risiko sesuai urutannya pada formulir 4 PMK 191 tahun 2008. Keputusan untuk memilih risiko mana yang akan dilakukan penanganan sepenuhnya tergantung pada UPR, dengan tetap harus mempertimbangkan sumber daya organisasi yang dimiliki. Risiko yang akan ditangani, yang dimasukkan pada kolom ini adalah risiko dengan level tinggi dan level sedang. Risiko dengan level rendah tidak dilakukan penanganan dan tidak dimasukkan kedalam kolom ini.

d. e.

2). Opsi penanganan yang mungkin

No Risiko (berdasarkan prioritas risiko dari daftar risiko)

Perincian Rencana Penanganan Risiko

Ukuran Kinerja

Diisi dengan rencana aksi berupa kegiatan yang akan dilakukan dalam rangka untuk menangani risiko yang telah ditetapkan untuk dimitigasi. f. Rencana kegiatan yang hendak dijalankan harus mengacu pada dan relevan dengan risiko yang telah ditetapkan untuk dimitigasi. Rencana kegiatan yang dipaparkan sedapat mungkin harus bisa menghilangkan penyebab yang menjadi pemicu bagi timbulnya risiko yang bersangkutan. Penyusunan rencana kegiatan sedapat mungkin harus specific, measurable, achievable, realistic dan ada time bound-nya. Penyusunan rencana kegiatan dalam rangka penanganan risiko dapat mengacu pada activity plan yang ada dalam BSC. Rencana kegiatan penanganan risiko harus jelas dipaparkan dan mudah untuk dimengerti.

g.

h.

i.

j.

33

3). Ukuran kinerja

No Perincian Rencana Penanganan Risiko Target Kinerja

Ukuran Kinerja

Diisi dengan ukuran atau satuan kinerja dari rencana kegiatan dalam rangka penanganan risiko. k. Merupakan satuan yang menjadi ukuran bagi penilaian keberhasilan atas rencana penanganan risiko yang telah dijalankan. Penyusunan ukuran kinerja dapat mengacu pada ukuran kinerja yang terdapat dalam BSC.

l.

m. Ukuran kinerja harus relevan, konsisten, valid, reliabel dan benar-benar bisa mengukur secara tepat dan sahih atas rencana aksi kegiatan yang hendak dijalankan. n. Satuan kinerja dapat berupa: jumlah paket kegiatan, jumlah hari, jumlah output, lamanya waktu, dll.

4). Target kinerja

No Ukuran Kinerja Target Kinerja Risiko Residual yang Diharapkan setelah Penanganan

Diisi dengan ukuran atau satuan kinerja dari rencana kegiatan dalam rangka penanganan risiko. o. Merupakan satuan yang menjadi ukuran bagi penilaian keberhasilan atas rencana penanganan risiko yang telah dijalankan. Penyusunan ukuran kinerja dapat mengacu pada ukuran kinerja yang terdapat dalam BSC. Ukuran kinerja harus relevan, konsisten, valid, reliabel dan benar-benar bisa mengukur secara tepat dan sahih atas rencana aksi kegiatan yang hendak dijalankan. Satuan kinerja dapat berupa: jumlah paket kegiatan, jumlah hari, jumlah output, lamanya waktu, dll.

p. q.

r.

5). Risiko residual yang diharapkan setelah penanganan

34

No

Target Kinerja

Risiko Residual yang Diharapkan setelah Penanganan Level Konsekuensi Diisi dengan level dari dimensi konsekuensi yang diharapkan setelah adanya langkah aksi penanganan risiko. s. Diisi dengan level tinggi, atau sedang atau rendah. Bisa diisi dengan menggunakan notasi angka berupa: (3) untuk level tinggi, (2) untuk level sedang dan (1) untuk level rendah. Berkaitan dengan langkah opsi penanganan risiko berupa pengurangan dampak atau pembagian risiko. Level Frekuensi Diisi dengan level dari dimensi frekuensi yang diharapkan setelah adanya langkah aksi penanganan risiko. v. Diisi dengan level tinggi, atau sedang atau rendah. Level Risiko Diisi dengan level dari risiko yang diharapkan setelah adanya langkah aksi penanganan risiko tersebut. y. Diisi dengan level tinggi, atau sedang atau rendah. Bisa diisi dengan menggunakan notasi angka berupa: (3) untuk level tinggi, (2) untuk level sedang dan (1) untuk level rendah.

Jadual Implementasi

z.

t.

w. Bisa diisi dengan menggunakan notasi angka berupa: (3) untuk level tinggi, (2) untuk level sedang dan (1) untuk level rendah. x. Berkaitan dengan langkah opsi penanganan risiko berupa penurunan kemungkinan terjadinya risiko.

u.

aa. Merupakan penggabungan atau fungsi dari kedua level dimensi dari risiko yang bersangkutan.

6). Jadual implementasi

No Risiko Residual yang Diharapkan Penanggung Jawab

Jadual Implementasi

35

setelah Penanganan Diisi dengan waktu yang merupakan jadwal bagi pelaksanaan rencana aksi penanganan risiko yang telah ditetapkan pada kolom sebelumnya. bb. Merupakan bentuk perencanaan waktu mengenai kapan langkah penanganan risiko akan dilakukan atau diiplementasikan. cc. Penyusunan jadual pelaksanaan langkah penanganan risiko dapat mengacu pada BSC. dd. Jadual implementasi kegiatan penanganan risiko dapat dilakukan secara berkala (repetitif) atau sekali saja dalam satu periode masa berlakunya dokumen (6 bulan). ee. Dapat diisi dengan waktu yang tertentu (specific time) atau mengacu pada tahapan alur suatu kegiatan yang terkait dengan risiko tersebut.

7). Penanggung jawab

No Jadual Implementasi Penanggung Jawab Diisi dengan penanggung jawab dari implementasi langkah penanganan risiko yang telah direncanakan. ff. Diisi dengan jabatan sesuai dengan struktur manajemen risiko. gg. Untuk risiko dengan level tinggi, penanggung jawab atas implementasi langkah penanganan risiko adalah ketua manajemen risiko bersama dengan pemilik risiko. hh. Untuk risiko dengan level sedang, penanggung jawab atas implementasi langkah penanganan risiko adalah pemilik risiko. ii. Untuk risiko dengan level rendah, penanggung jawab atas monitoring risiko adalah koordinator manajemen risiko.

6. Output kegiatan a. Formulir 5 PMK 191 tahun 2008 tentang Rencana Penanganan Risiko yang telah terisi lengkap; b. Kumpulan risiko yang akan dilakukan langkah mitigasinya; c. Rencana penanganan risiko, lengkap dengan bentuk kegiatan, ukuran kinerja, target kinerja, dan waktu pelaksanaannya serta pihak yang bertanggung jawab; d. Kerangka acuan dalam rangka pelaksanaan langkah penanganan risiko.

36

1. Outcome kegiatan a. Adanya informasi mengenai program kerja penanganan risiko, yang berguna bagi manajemen; b. Adanya dasar atau panduan bagi pihak yang terkait dalam hal pelaksanaan kegiatan dalam rangka penanganan risiko dalam satu UPR; c. Adanya dasar bagi pelaksanaan tahapan proses manajemen risiko selanjutnya yaitu monitoring penanganan (mitigasi) risiko.

37

BAB VII MONITORING DAN REVIU 1. Pengantar Monitoring merupakan pengamatan terus menerus terhadap kinerja yang sebenarnya dibandingkan kinerja yang diharapkan. Sedangkan reviu merupakan pemeriksaan periodik terhdap kondisi terkini dan biasanya terfokus pada hal tertentu. Monitoring dan reviu amat penting dalam proses manajemen risiko. Monitoring dan reviu dilakukan terhadap risiko itu sendiri, efektivitas penanganan risiko, perencanaan manajemen risiko, dan sistem manajemen risiko secara keseluruhan. Ketika terjadi perubahan organisasi atau terdapat faktor eksternal yang berubah, UPR juga akan mengalami perubahan dalam hal konteks organisasi (seperti tujuan, atau kriteria risiko), risiko dan level risiko, dan efektivitas penanganan risiko. 2. Tujuan kegiatan a. Memastikan langkah penanganan risiko benar-benar dilaksanakan sesuai dengan rencana; b. Mengantisipasi adanya perubahan risiko yang bersifat mendadak yang dapat berpengaruh pada profil risiko; c. Mengetahui kondisi akhir dari profil risiko dalam satu UPR; d. Mengetahui adanya penyimpangan atau perbedaan antara harapan dengan kenyataan atas proses manajemen risiko; e. Menentukan langkah selanjutnya yang diperlukan, terkait dengan proses

manajemen risiko.

3. Dokumen sumber bagi kegiatan a. Formulir 4: Risk Register C Proses Evaluasi Risiko; b. Formulir 5: Rencana Penanganan; c. Piagam Manajemen Risiko.

4. Metodologi kegiatan a. Kegiatan monitoring penanganan risiko dalam proses manajemen risiko dituangkan kedalam formulir 6 dari PMK 191 tahun 2008. b. Monitoring penanganan risiko digunakan untuk melihat adanya perubahan konteks organisasi, perubahan risiko dan level risiko, dan efisiensi dan efektifitas implementasi langkah penanganan risiko.

38

c. Monitoring penanganan risiko dapat dilakukan oleh: tinjauan atas risiko pada saat rapat berkala komite manajemen risiko; reviu mandiri oleh UPR; audit oleh APIP. d. Pelaksanaan monitoring penanganan risiko dapat dilakukan secara terus-menerus, berkala atau insidentil. e. Monitoring penanganan risiko dapat dilakukan secara keseluruhan untuk semua rencana aksi penanganan risiko, atau hanya dilakukan terhadap sebagian rencana aksi penanganan risiko saja berdasarkan prioritas tertentu. f. Monitoring penanganan risiko dilakukan dengan melihat tingkat kemajuan pencapaian atas implementasi rencana penanganan risiko. g. Di akhir periode dokumen (misalnya 6 (enam) bulan), dilakukan perhitungan secara agregat atas keberhasilan langkah penanganan risiko, dengan membandingkannya terhadap periode sebelumnya.

5. Teknis pelaksanaan kegiatan a. Data judul (heading) formulir

Unit Kerja : Diisi dengan nama unit eselon II selaku UPR yang melakukan proses monitoring penanganan risiko. : Diisi dengan tugas dan fungsi unit Eselon II sesuai dengan regulasi yang terkait, yang mengatur hal ini. : Diisi dengan jangka waktu berlakunya dokumen monitoring pananganan risiko, yaitu 6 bulan (sesuai dengan peninjauan ulang dan monitoring risiko secara berkala setiap 6 bulan sekali). : Diisi dengan maksud dari pengisian formulir 6 PMK 191 tahun 2008, yaitu: monitoring penanganan risiko. Jawab : Diisi dengan nama pejabat eselon II terkait selaku pemilik risiko.

Ruang Lingkup Proses

Jangka Waktu Proses

Tujuan Proses

Penanggung Proses Tanggal

: Diisi dengan tanggal waktu penyusunan formulir monitoring penanganan risiko.

2. Monitoring penanganan risiko untuk sasaran 1). Risiko berdasarkan prioritas risiko dari Register C
No Risiko (berdasarkan prioritas risiko dari Register C) Diisi dengan risiko yang telah diidentifikasi sesuai dengan urutan prioritasnya, yang telah disusun pada tahap sebelumnya. Trend Risiko

39

a. b. c.

Peletakan risiko menunjukkan urutan prioritas risiko untuk dilakukan tindakan rencana aksi penanganan risiko. Diambil dari risiko sesuai urutannya pada formulir 4 PMK 191 tahun 2008. Risiko yang akan dimonitor langkah penanganannya, yang dimasukkan pada kolom ini adalah risiko dengan level tinggi dan level sedang (lihat formulir 5 PMK 191 tahun 2008).

2). Tren risiko

No Risiko (berdasarkan prioritas risiko dari Register C) Trend Risiko Level Konsekuensi Diisi sesuai dengan formulir 3 dan formulir 4 PMK 191 tahun 2008 Level Frekuensi Diisi sesuai dengan formulir 3 dan formulir 4 PMK 191 tahun 2008 Level Risiko Diisi sesuai dengan formulir 3 dan formulir 4 PMK 191 tahun 2008 Risiko Residual Aktual

3). Risiko residual aktual

No Trend Risiko Level Konsekuensi Diisi dengan kondisi level dimensi konsekuensi, yang diukur pada saat pelaksanaan monitoring penanganan risiko. Risiko Residual Aktual Level Frekuensi Diisi dengan kondisi level dimensi frekuensi, yang diukur pada saat pelaksanaan monitoring penanganan risiko. Level Risiko Diisi dengan level risiko yang merupakan fungsi dari dimensi konsekuensi dan frekuensi yang diukur pada saat pelaksanaan monitoring penanganan risiko. Risiko Residual yang Diharapkan

4). Risiko residual yang diharapkan

No Risiko Residual Aktual Risiko Residual yang Diharapkan Level Konsekuensi Diisi sesuai dengan formulir 5 PMK 191 Level Frekuensi Diisi sesuai dengan formulir 5 PMK 191 Level Risiko Diisi sesuai dengan formulir 5 PMK 191 tahun 2008 Kesenjangan dan atau deviasi

40

tahun 2008

tahun 2008

5). Kesenjangan dan atau deviasi

No Risiko Residual yang Diharapkan Langkah Korektif dan Rekomendasi

Kesenjangan dan atau deviasi

Diisi dengan perbedaan antara resiko residual aktual dengan risiko residual yang diharapkan. d. Merupakan mekanisme efektifitas langkah penanganan risiko. untuk menilai implementasi

e.

Diisi dengan notasi angka 0 sampai dengan 2, yang menunjukkan perbedaan antara level risiko residual aktual dengan level risiko residual yang diharapkan. Formula yang digunakan untuk menghitung kesenjangan atau deviasi adalah level risiko residual aktual dikurangi dengan level risiko residual yang diharapkan. Nilai deviasi hanya menunjukkan nilai beda saja, sehingga selalu bernilai positif. Kesenjangan dan atau deviasi hanya berlaku untuk level risiko saja, dan tidak berlaku untuk level dimensi konsekuensi dan level dimensi frekuensi atas suatu risiko.

f.

g. h.

6). Langkah korektif dan rekomendasi

No Kesenjangan dan atau deviasi Langkah Korektif dan Rekomendasi Diisi dengan langkah atau kegiatan dan atau saran yang dilakukan untuk menetralisir perbedaan yang bersifat tidak menguntungkan atas deviasi atau kesenjangan yang telah dihitung. i. Langkah korektif ditujukan hanya untuk menetralisir deviasi atau kesenjangan yang bersifat tidak menguntungkan bagi proses manajemen risiko. Rekomendasi diberikan apabila ada hal-hal yang perlu diperhatikan atau diungkapkan sehubungan dengan penanganan risiko pada khususnya, dan proses manajemen risiko pada umumnya. Jika tidak terdapat deviasi atau kesenjangan (nilai deviasi = 0), maka tidak diperlukan langkah korektif.

j.

k.

2. Pokok-pokok pembelajaran dari hasil implementasi

41

Pokok-pokok Pembelajaran dari Hasil Implementasi Diisi dengan hal-hal penting yang bisa dijadikan perhatian dan catatan bagi pengembangan proses manajemen risiko dalam satu UPR. a. Sedapat mungkin digunakan sebagai wahana untuk penyempurnaan langkah implementasi penanganan risiko pada khususnya dan pengembangan proses manjaemen risiko pada umumnya dalam satu UPR. Merupakan wahana untuk menangkap hal-hal pokok dan penting terkait dengan langkah implementasi penanganan risiko yang dijalankan oleh satu UPR. Hendaknya hal-hal yang dikemukakan bersifat jelas, mudah dipahami dan memiliki nilai kontribusi terhadap penyempernaan langkah implementasi penanganan risiko di masa yang akan datang.

b. c.

3. Output kegiatan 1. Formulir 6 PMK 191 tahun 2008 tentang Monitoring Penanganan: Proses Monitoring Risiko yang telah terisi lengkap; 2. Nilai perbedaan antara risiko residual yang diharapkan dengan risiko residual yang aktual; 3. Langkah korektif dan saran untuk perbaikan implementasi penanganan risiko di masa yang akan datang.

4. Outcome kegiatan 1. Adanya mekanisme untuk memantau efektifitas pelaksanaan penanganan risiko; 2. Adanya informasi untuk penyempurnaan langkah implementasi penanganan risiko di masa yang akan datang; 3. Adanya informasi untuk pengembangan proses manajemen risiko di satu UPR.

BAB VIII PELAPORAN PROSES MANAJEMEN RISIKO 1. Pengantar Pendokumentasian setiap langkah proses manajemen risiko adalah penting dalam proses manajemen risiko. Meskipun demikian, pertimbangan biaya dan manfaat harus diperhatikan dalam melakukan dokumentasi.

42

Pelaporan tersebut setidaknya mengandung unsur sebagai berikut: a. Tujuan langkah proses manajemen risiko. b. Sumber informasi yang digunakan c. Siapa yang terlibat d. Keputusan yang diambil

2. Tujuan kegiatan a. Memberikan informasi kepada pihak-pihak yang berkepentingan terkait dengan hasil pelaksanaan proses manajemen risiko yang telah dijalankan oleh UPR; b. Menyusun ringkasan atas hasil hasil pelaksanaan proses manajemen risiko dalam satu UPR.

3. Dokumen sumber bagi kegiatan a. Formulir 4: Risk Register C Proses Evaluasi Risiko; b. Formulir 5: Rencana Penanganan; c. Formulir 6: Monitoring Penanganan: Proses Monitoring Risiko; d. Piagam Manajemen Risiko.

4. Metodologi kegiatan a. Pelaporan risiko meliputi : 1) Laporan Profil dan Peta Risiko Pelaporan profil dan peta risiko setidaknya memuat: (1) deskripsi risiko, penyebab, dan konsekuensinya (2) Ringkasan pengendalian yang ada (3) Penilaian tingkat konsekuensi dan kemungkinan dari suatu risiko. (4) Peringkat risiko. (5) Prioritas risiko. Data tersebut di atas terdapat pada formulir 4. Risk Register C. Format pelaporan adalah bentuk buku. Sebagai catatan, pelaporan risiko dan level risiko ini juga menyajikan level risiko komposit untuk masing-masing kategori risiko di UPR masing-masing. Berkenaan dengan pelaporan kepada Komite Manajemen Risiko dan dari Komite kepada Menteri, dilengkapi pula dengan suatu ringkasan eksekutif tentang

43

risiko-risiko dengan level tinggi. Pengungkapan risiko dalam ringkasan eksekutif tersebut disarankan dengan pola risiko dan konsekuensinya. Sebagai contoh: Keterlambatan penyampaian laporan mengakibatkan kredibilitas organisasi menurun.

2) Laporan Rencana Penanganan Risiko Laporan ini setidaknya berisi: (1) Tindakan yang dilakukan dan risiko yang dimitigasi. (2) Siapa yang bertanggung jawab terhadap pelaksanaan rencana mitigasi. (3) Anggaran yang dibutuhkan (4) Jadwal implementasi Data tersebut terdapat pada formulir 5.

3) Laporan Monitoring Risiko Pelaporan monitoring risiko setidaknya memuat: (1) Mekanisme dan frekuensi monitoring dan reviu (2) Hasil monitoring dan reviu (3) Tindak lanjut dari rekomendasi hasil monitoring dan reviu sebelumnya. Data untuk laporan ini terdapat pada formulir 7.

b. Kegiatan pelaporan hasil monitoring penanganan risiko merupakan proses komunikasi atas ringkasan hal-hal pokok yang akan dilaporkan kepada pihak-pihak yang berkepentingan. c. Pelaporan manajemen risiko disampaikan secara berjenjang dari UPR kepada Ketua manajemen Risiko, Komite Manajemen risiko, dan Menteri Keuangan. Laporan

kepada Komite Manajemen Risiko dan Menteri Keuangan memuat ikhtisar eksekutif dan laporan UPR dengan format pelaporan sebagaimana terdapat pada lampiran 2.

5. Teknis pelaksanaan kegiatan a. Data judul (heading) formulir 7

Unit Kerja : Diisi dengan nama unit eselon II selaku UPR yang melakukan proses pelaporan hasil monitoring.

44

Ruang Lingkup Proses

: Diisi dengan tugas dan fungsi unit Eselon II sesuai dengan regulasi yang terkait, yang mengatur hal ini. : Diisi dengan jangka waktu berlakunya dokumen pelaporan hasil monitoring, yaitu 6 bulan (sesuai dengan peninjauan ulang dan monitoring risiko secara berkala setiap 6 bulan sekali). : Diisi dengan maksud dari pengisian formulir 7 PMK 191 tahun 2008, yaitu: pelaporan hasil monitoring.

Jangka Waktu Proses

Tujuan Proses

Penanggung Proses Tanggal

Jawab

: Diisi dengan nama pejabat eselon II terkait selaku pemilik risiko.

: Diisi dengan tanggal waktu penyusunan formulir pelaporan hasil monitoring.

b.Laporan level dan trend risiko komposit 1). Kategori risiko

No Kategori Risiko Diisi dengan 5 kategori risiko sesuai dengan PMK 191 tahun 2008. Yakni: risiko strategik dan kebijakan, risiko operasional, risiko kepatuhan, risiko fraud dan risiko finansial. Level Risiko Komposit

2). Level risiko komposit

No Kategori Risiko Level Risiko Komposit Diisi dengan level risiko komposit perkategori risiko dalam satu UPR. a. Diisi dengan angka yang menunjukkan nilai risiko komposit dari masing-masing kategori risiko untuk keseluruhan risiko yang telah diidentifikasi dalam satu UPR. Nilai risiko komposit diperoleh dengan jalan menghitung nilai rata-rata level dimensi konsekuensi dan level dimensi frekuensi dalam satu kategori risiko. Trend Risiko Komposit

b.

3). Trend risiko komposit

No Level Risiko Komposit Trend Risiko Komposit Diisi dengan trend atau kecenderungan dari risiko komposit, yang diperoleh dengan membandingkan antara periode saat ini dengan periode sebelumnya. Target Kinerja

45

4). Target kinerja

No Trend Risiko Komposit Target Kinerja Diisi dengan target kinerja dari penurunan nilai risiko komposit perkategori risiko yang ingin dicapai. Langkah Korektif dan Rekomendasi

5). Langkah korektif dan rekomendasi

No Target Kinerja Langkah Korektif dan Rekomendasi Diisi dengan langkah atau kegiatan yang harus dilakukan dan atau saran yang dilakukan untuk menyempurnakan langkah implementasi penanganan risiko pada khususnya dan pengembangan proses manajemen risiko pada khususnya.

c. Peta risiko komposit

Peta Risiko Komposit
Konsekuensi

: Risiko dengan level Tinggi

: Risiko dengan level Sedang

: Risiko dengan level Rendah Frekuensi

: Tren Risiko Sebaran Risiko Komposit per-kategori risiko

a.

Peta risiko komposit merupakan gambaran dari perkategori risiko berdasarkan distribusinya pada sumbu kartesius dengan dimensi konsekuensi dan dimensi frekuensi sebagai faktor pembentuknya. Tingkat risiko komposit untuk masing-masing jenis kategori risiko diperoleh dengan menghitung rata-rata level konsekuensi dan rata-rata level frekuensi untuk perkategori risiko. Chart profil risiko digunakan oleh manajemen untuk mengambil keputusan terkait dengan langkah pengelolaan risiko.

b. c.

6. Output kegiatan

46

1. Formulir 7 PMK 191 tahun 2008 tentang Pelaporan Hasil Monitoring yang telah terisi lengkap; 2. Langkah korektif dan saran untuk perbaikan implementasi penanganan risiko di masa yang akan datang. 3. Laporan risiko dan level risiko, laporan penanganan risiko, dan laporan monitoring risiko.

7. Outcome kegiatan 1. Adanya informasi untuk penyempurnaan langkah implementasi penanganan risiko di masa yang akan datang; 2. Adanya informasi untuk pengembangan proses manajemen risiko di satu UPR; 3. Adanya informasi sebagai bahan pertimbangan terkait dengan pelaksanaan proses manajemen risiko bagi pihak-pihak yang berkepentingan.

47

BAB VIII PENUTUP Penerpaan manajemen risiko harus diintegrasikan dengan filosofi manajemen organisasi. Penerapan program manajemen risiko diseluruh organisasi membutuhkan upaya yang maksimal dan terus menerus. Kemampuan mengelola risiko adalah salah satu ketrampilan pokok dalam mengelola organisasi. Organisasi yang mengelola risikonya akan lebih mampu mencapai tujuan dan berkembang. Sedangkan keberhasilan penerapan manajemen risiko di Departemen Keuangan ditunjukkan dengan dipertimbangkannya risiko dalam setiap pengambilan keputusan di berbagai tingkatan.

48