Konsep dan Implementasi Risk Assessment

KODE M : 2.220

Konsep dan Implementasi Risk Assessment

2010 PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN EDISI KETIGA

i


Pusdiklatwas BPKP – Tahun 2010

ii


Judul Modul

: Konsep

dan

Implementasi

Risk

Assessment Penyusun

:

Nurharyanto, Ak.

Perevisi 1

:

Sigit Susilo Broto, Ak., M Comm.

Perevisi 2

:

Riki Antariksa, Ak.

Pereviu

:

Drs. Sura P, M.B.A.

Editor

:

Rini Septowati, Ak., MM.

:

Dikeluarkan oleh Pusat Pendidikan dan Pelatihan Pengawasan BPKP dalam rangka Diklat Sistem Pengendalian Intern Pemerintah, dan Diklat Penilaian Risiko

Edisi Pertama : Tahun 2008 Edisi kedua

: Tahun 2009

Edisi ketiga

: Tahun 2010

dang-Undang Nomor 1 Tahun 2004 tentang Perbendaharaan Negara, Dilarang keras mengutip, menjiplak, atau menggandakan sebagian atau seluruh isi modul ini, serta memperjualbelikan tanpa izin tertulis dari Pusat Pendidikan dan Pelatihan Pengawasan BPKP


iii


DAFTAR ISI KATA PENGANTAR ………………………………………………………………………. DAFTAR ISI ……………………………………………………………………………….. DAFTAR TABEL …………………………………………………………………………… DAFTAR GAMBAR ………………………………………………………………………..

ii iv v v

PENDAHULUAN ………………………………………………………………… A. Latar Belakang …………………………………………………………….. B. Kompetensi Dasar dan Indikator Keberhasilan …………………………. C. Deskripsi Singkat Struktur Modul ………………………………………… D. Metodologi Pemelajaran …………………………………………………..

1 1 3 4 5

BAB I.

BAB II. KONSEP RISIKO ……………………………………………………………….. A. B. C. D. E. F. G. H.

6 Pengertian Berkaitan dengan Risiko ……………………………………. 6 Unsur Risiko ……………………………………………………………….. 7 Kategorisasi Risiko …………………………………………………………. 8 Risk Appetite dan Risk Tolerance ……………………………………….. 11 Kriteria Risiko ……………………………………………………………….. 14 Sumber Risiko, Penyebab, dan Faktor Risiko ………………………….. 21 Risiko Inheren dan Risiko Residual ………………………………………. 24 Latihan…………………….…………………………………………………. 25

BAB III. KONSEP PENILAIAN RISIKO ………………………………………….......... A. Pengertian Penilaian Risiko ………………………………………………. B. Tujuan dan Manfaat Penilaian Risiko ……………………………………. C. Tahapan/Langkah Penilaian Risiko ………………………………………. D. Latihan……………………..…………………………………………………

26 26 27 28 33

BAB IV. METODOLOGI PENILAIAN RISIKO ………………………………………….. A. Hal-hal Terkait Penilaian Risiko …………………………………………... B. Metode Penilaian Risiko …………………………………………………… C. Teknik Penilaian Risiko ……………………………………………………. D. Penggunaan Alat Bantu Komputer (Program Software) ………………..

34 34 37 44 46

BAB V. HAL-HAL YANG PERLU DIBANGUN DALAM IMPLEMENTASI PENILAIAN RISIKO …………………………………………………………….. A. Kebijakan Risiko……………………………………….......................... B. Perencanaan dan Sumber Daya ……………………………………... C. Program Implementasi ………………………………………………….. D. Peran Kepemimpinan dan Perubahan Kultur ……………………….

48


48 48 49 51

iv


DAFTAR TABEL Tabel 2.1 Tabel 2.2 Tabel 2.3 Tabel 2.4 Tabel 2.5 Tabel 2.6 Tabel 2.7 Tabel 4.1 Tabel 4.2 Tabel 4.3 Tabel 4.4

Matriks Risiko …………………………………………………………….... Contoh Kriteria bagi Proyek Skala Medium ………………………….... Contoh Tujuan Organisasi Berkaitan Dengan Kriteria ………………… Contoh Kriteria Analisis Risiko ………………………………………….. Contoh Kriteria Penerimaan (Acceptance) Risiko ……………………... Contoh Skor Dampak Risiko dan Definisi/Kriterianya ………………… Ukuran-Ukuran Kualitatif Likelihood …………………………………….. Contoh Deskripsi Probabilitas …………………………………………… Contoh Deskripsi Dampak ………………………………………………. Contoh Matriks Analisis Risiko Secara Kualitatif ……………………… Contoh Matriks Analisis Risiko Secara Semi Kuantitatif ………………

13 16 17 18 18 19 21 38 38 38 40

DAFTAR GAMBAR Gambar 1.1.

Kubus SPIP……………………………………………………………….


2

v


BAB I PENDAHULUAN A.

Latar Belakang Peraturan Pemerintah No 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP), khususnya bagian ketiga pasal 13 ayat (1) menyebutkan bahwa pimpinan instansi pemerintah wajib melakukan penilaian risiko. Dalam Pasal 3 PP tersebut, disebutkan bahwa penilaian risiko adalah kegiatan penilaian atas kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran Instansi Pemerintah. Lebih lanjut dalam PP tersebut disebutkan bahwa penilaian risiko terdiri dari identifikasi risiko dan analisis risiko. Sistem pengendalian intern adalah proses yang integral pada tindakan dan kegiatan yang dilakukan secara terus-menerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas tercapainya tujuan instansi melalui kegiatan yang efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan perundang-undangan. SPIP terdiri atas lima unsur, yaitu: 1. unsur lingkungan pengendalian; 2. unsur penilaian risiko; 3. unsur kegiatan pengendalian; 4. unsur informasi dan komunikasi; 5. unsur pemantauan pengendalian intern.


1


SPIP diselenggarakan pada baik pada lingkup instansi (entitas) maupun pada tingkat kegiatannya. Tujuan, unsur, dan lingkup tersebut dapat diintegrasikan dalam bentuk kubus seperti pada Gambar 1.1. Penerapan unsur-unsur tersebut dilaksanakan menyatu (integrated) dan menjadi bagian integral dari kegiatan instansi pemerintah. Seperti disebutkan di muka, penilaian risiko terdiri atas identifikasi risiko dan analisis risiko. Dalam rangka penilaian risikonya, pimpinan Instansi Pemerintah menetapkan tujuan instansi dan tujuan pada tingkat kegiatan dengan berpedoman pada peraturan perundang-undangan yang berlaku.

Gambar 1.1. Kubus SPIP

Tujuan instansi pemerintah memuat pernyataan dan arahan yang spesifik, terukur, dapat dicapai, realistis, dan terikat waktu. Tujuan tersebut wajib dikomunikasikan kepada seluruh pegawainya. Untuk mencapai tujuan instansi pemerintah, pimpinan perlu menetapkan: 

strategi operasional yang konsisten,



strategi manajemen terintegrasi, dan


2




rencana penilaian risiko.

Penetapan tujuan pada tingkat kegiatan sekurang-kurangnya dilakukan dengan memperhatikan hal-hal berikut. a. Berdasarkan pada tujuan dan rencana strategis Instansi Pemerintah. b. Saling melengkapi, saling menunjang, dan tidak bertentangan satu dengan lainnya. c. Relevan dengan seluruh kegiatan utama Instansi Pemerintah; d. Mengandung unsur kriteria pengukuran. e. Didukung sumber daya Instansi Pemerintah yang cukup. f. Melibatkan seluruh tingkat pejabat dalam proses penetapannya.

Identifikasi risiko sekurang-kurangnya dilaksanakan dengan: 

menggunakan metodologi yang sesuai untuk tujuan instansi pemerintah dan tujuan pada tingkatan kegiatan secara komprehensif;



menggunakan mekanisme yang memadai untuk mengenali risiko dari faktor eksternal dan faktor internal; dan



menilai faktor lain yang dapat meningkatkan risiko.

Analisis risiko dilaksanakan untuk menentukan dampak dari risiko yang telah diidentifikasi terhadap pencapaian tujuan instansi pemerintah. Pimpinan instansi pemerintah menerapkan prinsip kehati-hatian dalam menentukan tingkat risiko yang dapat diterima (acceptable risks).

B. Kompetensi Dasar dan Indikator Keberhasilan Setelah mempelajari modul ini diharpkan peserta mampu memahami dan menjelaskan konsep-konsep terkait penilaian risiko dan memahami bagaimana mengimplementasikan penilaian risiko sesuai PP No. 60 Tahun 2008.


3


Indikator keberhasilan dari kompetensi dasar tersebut, adalah peserta diklat memiliki kemampuan sebagai berikut. 1. Mampu memahami dan menjelaskan konsep-konsep terkait risiko, mencakup definisi, unsur, kategorisasi, risk appetite, risk tolerance, kriteria, dan sumber, penyebab, faktor risiko, risiko inheren, dan risiko residual. 2. Mampu memahami dan menjelaskan penilaian risiko dan tahapannya, mencakup penetapan tujuan, identifikasi, dan analisis risiko. 3. Mampu memahami dan menjelaskan metodologi penilaian risiko, mencakup metode dan teknik penilaian risiko. 4. Mampu menyusun peta risiko. 5. Mampu

menjelaskan

hal-hal

yang

perlu

dibangun

dalam

mengimplementasikan penilaian risiko.

C. Deskripsi Singkat Struktur Modul Modul ini membekali peserta dengan pengertian, pemahaman dan konsepkonsep tentang penilaian risiko yang terdiri atas 4 materi bahasan yang dibagi dalam bentuk bab, sebagai berikut. Bab 1

Pendahuluan,

membahas

mengenai

latar

belakang,

tujuan

pemelajaran umum dan khusus, deskripsi singkat struktur modul, dan metodologi pembelajaran yang digunakan dalam pelaksanaan diklat SPIP. Bab 2

Konsep Risiko, membahas pengertian risiko, unsure risiko, kategorisasi risiko, konsep risk appetite dan risk tolerance, kriteria, sumber, penyebab dan faktor risiko, serta risiko inheren dan risiko residual.

Bab 3

Konsep Penilaian Risiko, membahas tentang pengertian penilaian risiko, tujuan dan manfaat, serta tahapan/langkah pelaksanaan penilaian risiko.


4


Bab 4

Metodologi Penilaian Risiko, membahas pengertian terkait, metode-metode penilaian risiko, teknik-teknik penilaian risiko, dan penggunaan alat bantu komputer dalam penilaian risiko.

Bab 5 Hal-Hal yang Perlu Dibangun dalam Implementasi Penilaian Risiko,

membahas

tentang

membangun

kebijakan

risiko,

perencanaan dan sumber daya, program implementasi dan peran pimpinan serta perubahan kultur yang perlu dibangun dalam mengimplementasikan penilaian risiko. D. Metodologi Pemelajaran Agar

peserta

mampu

memahami

konsep

penilaian

risiko

dan

implementasinya, proses belajar mengajar menggunakan pendekatan pemelajaran orang dewasa (andragogi). Dengan metode ini, peserta didorong untuk berperan serta secara aktif melalui komunikasi dua arah. Metode pemelajaran ini menerapkan kombinasi proses belajar mengajar dengan cara ceramah, tanya jawab, dan diskusi/latihan pemecahan kasus. Instruktur akan membantu peserta dalam memahami materi dengan metode ceramah dan pembahasan contoh kasus. Dalam proses ini peserta diberi kesempatan untuk mengajukan pertanyaan atau menanggapi. Agar proses pendalaman materi dapat berlangsung dengan lebih baik, dilakukan pula diskusi kelompok sehingga peserta benar-benar dapat secara aktif terlibat dalam proses belajar-mengajar. Dalam modul ini disertakan pula soal-soal teori dan pertanyaan untuk diskusi dalam rangka membantu peserta memahami materi.


5


BAB II KONSEP RISIKO Indikator Keberhasilan Setelah mempelajari bab ini peserta diklat diharap mampu menjelaskan konsep-konsep terkait risiko, mencakup definisi, unsur, kategorisasi, risk appetite, risk tolerance, kriteria, dan sumber, penyebab, faktor risiko, risiko inheren, dan risiko residual.

A.

Pengertian Berkaitan dengan Risiko Di berbagai literatur terdapat banyak pengertian risiko. Dalam beberapa pedoman atau kerangka (framework), risiko didefinisikan sebagai berikut. 

Effect of uncertainty upon objectives (AS/NZS ISO 31000: Risk Management – Principles and Guidelines on Implementation).



The chance of something happening that will have an impact on objectives. A risk is often specified in terms of an event or circumstance and the consequences that may flow from it. Risk is measured in terms of a combination of the consequences of an event and their likelihood. (AS/NZS 4360: 2004).



Events that may have a negative impact (COSO II – ERM).



Kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran instansi pemerintah (PP 60/2008) .

Risiko

mengacu

pada

ketidakpastian

(uncertainty).

Ketidakpastian

diartikan sebagai kurangnya pengetahuan dalam menjelaskan sesuatu atau hasilnya di masa depan, dengan banyak kemungkinan hasil, sementara risiko adalah ketidakpastian yang kemungkinan hasilnya akan berakibat tidak diinginkan atau mendatangkan kerugian yang signifikan. Pusdiklatwas BPKP – Tahun 2010

6


Meskipun berkonotasi negatif, risiko bukan merupakan sesuatu yang harus dihindari melainkan harus dikelola melalui suatu mekanisme yang dinamakan pengelolaan atau pengendalian risiko. Risiko seringkali diungkapkan dalam bentuk suatu kejadian atau peristiwa dan dampak atau konsekuensi yang mengikutinya. Oleh karenanya, risiko diukur dengan mengombinasikan dampak suatu peristiwa dengan kemungkinan kejadiannya (likelihood atau probabilitas).

B.

Unsur Risiko Dari beberapa pengertian risiko di atas, dapat disimpulkan bahwa risiko terdiri dari unsur-unsur berikut ini. 

Kemungkinan kejadian atau peristiwa.



Dampak atau konsekuensi (jika terjadi, risiko akan membawa akibat atau konsekuensi).



Kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk probabilitas).

Untuk pembahasan berikutnya, unsur-unsur risiko selalu terintegrasi dalam pengertian risiko. Perlu dicatat bahwa unsur-unsur tersebut harus selalu ada ketika instansi melakukan penilaian risiko. Jika salah satu unsur tidak terpenuhi maka tidak atau belum dapat dikatakan sebagai risiko. Contoh: “Risiko kebakaran akan berdampak kerugian material dan korban jiwa, dengan kemungkinan kejadian tinggi pada musim kemarau.” Dari pernyataan tersebut, dapat dilihat bahwa semua unsur risiko terpenuhi, yaitu: 

adanya kemungkinan kejadian atau peristiwa: risiko kebakaran;



adanya dampak: kerugian material dan korban jiwa;


7




adanya kemungkinan kejadian: potensi kejadian tinggi pada musim kemarau.

Selain dari unsur-unsur risiko di atas, ada satu hal lagi yang juga mutlak ada dalam penilaian risiko, yaitu adanya tujuan, baik tujuan tingkat instansi maupun tujuan di tingkat kegiatannya. Hal ini akan dibahas lebih lanjut dalam Bab III.

C. Kategorisasi Risiko Ada beberapa kategori risiko tergantung dari sudut pandang mana kita melihatnya. 1. Risiko dari Sudut Pandang Penyebab Apabila dilihat dari sebab terjadinya, ada dua macam risiko, yaitu risiko keuangan, dan risiko operasional. Risiko keuangan adalah risiko yang disebabkan oleh faktor-faktor keuangan, misalnya risiko kredit. Risiko operasional

adalah

risiko

yang

disebabkan

oleh

faktor-faktor

nonkeuangan, misalnya manusia, teknologi, sistem dan prosedur, dan alam. Di samping risiko dari sudut pandang penyebab, risiko juga bersumber dari risiko stratejik yaitu risiko yang berdampak terhadap entitas dan bersifat strategis (misalnya keuangan, perubahan politik dan keamanan) sebagai akibat keputusan strategis yang tidak sesuai dengan lingkungan eksternal dan internal organisasi serta risiko eksternalitas, yaitu risiko

yang timbul dari faktor eksternal, antara lain reputasi,

lingkungan, sosial, dan hukum. 2. Risiko dari Sudut Pandang Akibat Ada dua kategori risiko jika dilihat dari akibat yang ditimbulkan, yaitu risiko murni dan risiko spekulatif. Apabila suatu kejadian berakibat hanya merugikan dan tidak memungkinkan adanya keuntungan disebut risiko murni, misalnya terjadi kebakaran. Risiko spekulatif adalah risiko


8


yang

tidak

saja

memungkinkan

terjadinya

kerugian

tetapi

juga

memungkinkan terjadinya keuntungan, misalnya risiko melakukan investasi. 3. Risiko dari Sudut Pandang Aktivitas Ada berbagai macam aktivitas yang dapat menimbulkan risiko, misalnya aktivitas pemberian kredit oleh bank, aktivitas pelayanan kepada masyarakat. 4. Risiko dari Sudut Pandang Kejadian Risiko dilihat dari sudut pandang kejadiannya, misalnya risiko kebakaran. 5. Risiko dari Sudut Pandang Jenis Risikonya Risiko dari sudut pandang jenis risikonya, mencakup: 

risiko teknologi,



risiko keuangan/ekonomi,



risiko sumber daya manusia (kapasitas, hak intelektual),



risiko kesehatan,



risiko politik,



risiko hukum,



risiko keamanan, dan lain-lain.

6. Risiko dari Sudut Pandang Sumbernya Risiko dari sudut pandang sumbernya, meliputi: 

risiko eksternal (politik, ekonomi, bencana alam);



risiko internal (reputasi, keamanan, manajemen, informasi untuk pengambilan keputusan).


9


7. Risiko dari Sudut Pandang Penerima Risiko atau Pihak Yang Terkena Dampak Risiko Risiko dari sudut pandang penerima risiko atau pihak yang terkena dampak risiko, mencakup: 

orang (human risk),



risiko reputasi (reputational risk),



hasil program,



bangunan dan aset,



lingkungan (environmental risk),



pelayanan (service delivery risk), dan lain-lain.

8. Risiko dari Sudut Pandang Tingkat Kemungkinan dan Dampak Risiko (Level/Status Risiko) Risiko dari sudut pandang tingkat kemungkinan dan dampak risiko (level/status risiko), mencakup: 

risiko rendah (low risk),



risiko menengah (medium risk),



risiko tinggi (high risk).

Kategorisasi tersebut tergantung dari pertimbangan organisasi sendiri. Organisasi dapat membuat kategorisasi risiko tersebut lebih dari tiga macam, misalnya dalam lima tingkatan: risiko sangat rendah, risiko rendah, risiko menengah, risiko tinggi, dan risiko sangat tinggi.

9. Risiko dari Sudut Pandang Kemampuan Mengendalikan Risiko dari sudut pandang kemampuan mengendalikan, mencakup: 

risiko yang sangat terkendali (highly controllabe risk),



risiko yang kurang terkendali (low controllable risk), dan



risiko yang tidak atau sangat sulit dikendalikan (uncontrollable risk).


10


10. Risiko dari Sudut Pandang Hirarki Risiko Risiko dari sudut pandang hirarki risiko, mencakup:

D.



risiko stratejik,



risiko program,



risiko proyek,



risiko operasional.

Risk Appetite dan Risk Tolerance Selera risiko (risk appetite) adalah suatu tingkatan dari sekelompok risiko dimana organisasi akan menerima dan dapat mengelola dalam suatu periode tertentu; dengan kata lain, risk appetite adalah sejumlah (sekumpulan) risiko dalam entitas yang akan diterima dalam rangka pencapaian misi atau visi. Hal itu mencerminkan sikap instansi terhadap risiko dan selanjutnya memengaruhi budaya dan gaya pengoperasian instansi. Istilah “toleransi risiko” sering digunakan bergantian dengan istilah “ambang risiko” atau “limit risiko.” Toleransi risiko adalah batas pengambilan risiko yang dapat diterima dari variasi relatif pada pencapaian tujuan dalam tingkat toleransi yang diperkenankan dalam konteks instansi secara keseluruhan. Terkadang menjadi ukuran terbaik dalam instansi serupa untuk mengukur sasaran terkait. Tidaklah selalu efisien untuk mengurangi risiko sampai tingkat yang bernilai residu nol atau batas residu yang sangat rendah karena adanya kendala waktu, biaya, dan usaha yang diperlukan. Di lain pihak, adalah praktik manajemen yang lemah jika menerima begitu saja risiko-risiko yang akan berdampak buruk terhadap instansi. Oleh karena itu, adalah penting bagi instansi untuk membuat ketentuan yang informatif tentang seberapa

banyak

atau

seberapa

besar

risiko

dapat

diterima

(acceptable) sebagai bagian dari praktik manajemen instansi yang wajar.


11


Tingkat risiko yang dapat diterima ini dikenal sebagai “risiko yang ditoleransi atau tingkat toleransi risiko.” Tingkat toleransi dapat bervariasi dan dipengaruhi oleh beberapa hal berikut. 

Kemampuan dan kemauan dari pegawai untuk mengambil dan mengelola risiko.



Ukuran dan tipe dari instansi yang bersangkutan.



Kematangan (maturitas) dan kompleksitas dari proses pengelolaan/ pengendalian risiko dan lingkungan pengendaliannya.



Kekuatan keuangan instansi dan kemampuannya bertahan terhadap peristiwa-peristiwa

mengejutkan/tak

terduga

atau

perubahan

mendadak. Tidak ada pendekatan yang “sesuai untuk semua keadaan” dalam rangka menentukan tingkat toleransi risiko instansi. Hal tersebut ditentukan oleh tingkat kematangan praktik pengendalian risiko, ketersediaan data, keahlian manajemen, dinamika di lingkungan instansi, dan faktorfaktor lainnya. Namun demikian, prinsip-prinsip berikut ini dapat dijadikan rujukan dalam menentukan tingkat toleransi risiko instansi. 1. Lakukan analisis tentang kemampuan instansi untuk segera pulih secara fisik dan finansial dari adanya suatu kejadian penting (misalnya terhadap risiko pandemi flu burung, risiko tidak mampu mensuplai barang/jasa, bencana alam, krisis perbankan). 2. Analisis tersebut akan memberikan gambaran tentang kebutuhan dan pentingnya rencana kontinjensi, sumber finansial, fisik, dan SDM, serta pentingnya pengendalian. Dari analisis tersebut, tetapkan toleransi yang dapat ditanggung atau diterima oleh instansi. 3. Manajemen

kemudian

dikomunikasikan

kepada

menetapkan seluruh

tingkat

pegawai

oleh

toleransi

dan

pejabat

yang

berwenang. Pusdiklatwas BPKP – Tahun 2010

12


4. Tingkat toleransi risiko yang telah ditetapkan akan tercermin dalam skala peringkat risiko yang akan digunakan untuk menilai risiko (assess the risks). 

Area atas (upper band) dimana risiko-risiko tidak dapat ditoleransi (intolerable),

walau

ada

manfaat

yang

dapat

diperoleh,

pengurangan risiko merupakan keharusan, seberapapun biayanya. 

Area tengah (middle band) atau area „abu-abu‟, dimana biaya dan manfaat diperhitungkan, dan peluangnya bersifat seimbang antara peluang dengan potensi konsekuensi yang buruk.



Area bawah (lower band) dimana baik risiko positif maupun negatif dapat diabaikan (negligible), atau karena biaya terkait dengan pelaksanaan tindakan pengendalian risiko ternyata lebih besar dibandingkan biaya dampak jika risiko tersebut benar-benar terjadi.

Tingkat toleransi risiko akan membantu dalam penetapan tipe dan luas tindakan yang diperlukan untuk mengendalikan risiko, serta tingkatan manajemen yang harus mengelola dan memantau risiko tersebut. Tingkat toleransi risiko secara praktis didefinisikan melalui kode warna dalam matriks kemungkinan dan dampak risiko (lihat contoh Tabel 2.1). Warna merah dan oranye merupakan wilayah area atas, sedangkan warna hijau dan biru merupakan wilayah area bawah.

Tabel 2.1. Matriks Risiko


13


Tergantung pada sifat risikonya, tingkat toleransi risiko dapat dinyatakan baik dalam bentuk kualitatif maupun kuantitatif. Dalam beberapa kasus, risiko yang dinilai mungkin melebihi batas toleransi, namun tidak dapat dihindari (misalnya ada program prioritas nasional). Manfaat dari kegiatan yang sudah jelas tingkat toleransi risikonya, adalah dapat terhindar dari bahaya risiko yang terlalu ketat kendalinya (overcontrolling risks). Berikut adalah contoh sikap instansi terhadap risiko di instansinya. Terhadap risiko “kebakaran di gedung kantor instansi”, instansi A mungkin akan berbeda risk appetite-nya dibandingkan instansi B. Jika instansi A memiliki sikap yang risk taker, maka instansi tersebut akan lebih banyak mengalokasikan sumber daya yang dimilikinya untuk menghadapi risiko kebakaran setelah juga mempertimbangkan toleransi instansi tersebut terhadap risikonya. Instansi A akan lebih banyak memasang alat pemadam kebakaran di lingkungan kantornya, memasang petunjuk evakuasi, menyelenggarakan pelatihan simulasi situasi gawat darurat secara berkala, dan selalu mengecek kesiapan alat damkarnya. Di lain pihak, jika instansi B memiliki sikap yang risk avoidance, maka instansi tersebut cenderung membatasi risiko kebakaran, misalnya tidak memperbolehkan adanya peralatan atau benda/material yang mudah menimbulkan kebakaran di lingkungan kantornya, pelarangan kegiatan yang dapat menimbulkan percikan atau yang menggunakan api. Pada intinya, instansi tersebut berupaya semaksimalnya untuk menghindari halhal yang berpotensi menimbulkan api, sekecil apapun.

E. Kriteria Risiko Kriteria risiko merupakan sumber acuan (term of reference) bagi penilaian atas signifikansi risiko. Kriteria risiko dapat mencakup masalah biaya dan manfaat, peraturan dan hukum, aspek sosioekonomi dan lingkungan, hal-hal


14


yang menjadi perhatian stakeholders, prioritas-prioritas, dan input lainnya terhadap penilaian risiko. Pengembangan kriteria risiko sebenarnya dimulai pada tahap awal yaitu penetapan tujuan, yang nantinya kriteria ini akan digunakan dalam rangka melakukan prioritas terhadap risiko. Keputusan mengenai apakah diperlukan penanganan risiko dapat didasarkan pada kriteria operasional, teknis, keuangan, hukum, sosial, lingkungan, atau kriteria lainnya. Kriteria tersebut harus mencerminkan tujuan yang telah ditetapkan. Hal ini tergantung pada kebijakan

internal

instansi,

tujuan

dan

sasaran

serta

kepentingan

stakeholders. Kriteria dapat dipengaruhi oleh persepsi stakeholders dan oleh hukum atau peraturan perundang-undangan. Adalah penting agar kriteria yang tepat telah ditetapkan di awal. Walaupun kriteria umum untuk pengambilan keputusan dibangun pada awal penetapan tujuan, namun demikian masih dapat dikembangkan lebih lanjut bersamaan dengan saat teridentifikasinya risiko-risiko tertentu dan teknik-teknik analisis risiko ditetapkan. Kriteria risiko harus berkaitan dengan tipe risiko dan bagaimana tingkat risiko dinyatakan. Kriteria-kriteria penting yang perlu dipertimbangkan adalah: 

macam dampak atau konsekuensi yang akan dipertimbangkan;



bagaimana kemungkinan (likelihood) didefinisikan;



bagaimana menentukan bahwa tingkat risiko sedemikian rupa sehingga diperlukan kegiatan penanganan/pengendalian.

Kriteria yang akan digunakan untuk menilai tingkat risiko memainkan peranan penting dalam menentukan metode-metode yang akan digunakan menganalisis

risiko.

Oleh

karena

itu,

sangat

penting

untuk

mempertimbangkan kriteria yang tepat di awal proses pengendalian risiko. Peraturan organisasi dan stakeholders yang relevan dapat digunakan untuk menetapkan sekumpulan ukuran kinerja kritikal. Ukuran kinerja ini dapat


15


menyediakan kriteria spesifik untuk penilaian risiko pada tahap selanjutnya dari penilaian risiko. Peraturan organisasi dan stakeholders digunakan untuk membuat satu set kriteria untuk analisis, yang akan digunakan untuk menentukan skala-skala spesifik dalam menilai konsekuensi risiko. Rentang dari kriteria mungkin luas. Tabel berikut menunjukkan contoh yang diambil dari suatu proyek skala menengah, dimana tingkat akseptasi masyarakat adalah penting. Daftar kriteria ini berharga bagi manajer proyek mulai dari perencanaan dan tahap desain proyek. Tabel 2.2. Contoh Kriteria Bagi Proyek Berskala Medium KRITERIA

URAIAN

Ketersediaan

Ketersediaan fasilitas harus dimaksimalkan dengan cara mengurangi sejauh mungkin gangguan terhadap operasional saat ini.

Hubungan masyarakat

Standar tertinggi untuk hubungan masyarakat harus terus dijaga.

Ekonomi

Proyek harus dapat dibenarkan dalam kerangka ekonomi, diukur dalam profitabilitas dan tingkat pengembalian (rate of return).

Lingkungan

Solusi-solusi untuk masalah teknis harus baik dari segi lingkungan; alternatif solusi pun harus tersedia.

Pendanaan

Hindari pengeluaran di luar anggaran yang tersedia; maksimalkan penggunaan dana hibah untuk tujuan tertentu.

Hubungan dengan industri

Maksimalkan hubungan dengan kalangan industri dengan cara negosiasi dengan staf representatif serta gunakan kesepakatankesepakatan yang tepat.

Tata kelola

GCG dan pengambilan keputusan yang transparan merupakan aturan pemerintah.

Kualitas

Klien mensyaratkan peralatan yang dibuat dengan benar dan andal.

Keselamatan

Proses dalam proyek harus memastikan standar keselamatan tertinggi; dalam kontrak harus ada klausul yang mencerminkan hal tersebut.

Pengembangan staf (SDM)

Metode dan hasil proyek harus dapat meningkatkan ketrampilan utama dari organisasi dan kemampuan staf yang terlibat.

Jadwal waktu

Proyek harus selesai dalam waktu yang telah ditentukan.


16


Contoh kriteria dan tujuan yang berkaitan bagi organisasi yang tergantung pada aset fisik dapat dilihat pada tabel berikut. Tabel 2.3. Contoh Tujuan Organisasi Berkaitan dengan Kriteria KRITERIA

URAIAN TUJUAN

Rugi produksi atau ada pembatasan

  

Memaksimalkan nilai aset. Meningkatkan produksi berkelanjutan. Memenuhi target dan biaya produksi tahunan.

Integritas fasilitas

 

Meminimalkan gangguan terhadap operasi. Memelihara kondisi dan kinerja aset atau sistem.

Kinerja proyek

  

Strategi yang cost-effective. Dilibatkannya entitas operasi. Implementasi dan operasi fasilitas proyek yang tepat waktu.

Dampak keuangan

   

Biaya suplai dikurangi 10%. Biaya modal dioptimalkan. Biaya operasi diperbaiki. Tidak ada kerugian, tidak ada tambahan biaya.

  

Perputaran rendah, skill dan pengalaman meningkat. Kinerja kesehatan, keselamatan, dan mental. Meminimalkan risiko kesehatan, keselamatan, dan lingkungan selama konstruksi.

 

Kinerja kesehatan dan keselamatan. Meminimalkan risiko kesehatan dan keselamatan selama konstruksi. Tidak ada kecelakaan, luka berat, dan masalah kesehatan jangka panjang.

Pegawai

Kesehatan dan Keselamatan

Lingkungan dan Komunitas

Citra dan reputasi

   

Kinerja lingkungan dan komunitas. Meminimalkan risiko terhadap lingkungan dan komunitas selama konstruksi. Tidak ada pembuangan limbah.

 

Kinerja tinggi. Dukungan dan kepercayaan pemegang saham dan publik.

Tabel 2.4. di bawah ini mendefinisikan tingkat toleransi instansi terhadap risiko atau risk appetite dan merupakan pedoman tingkat akseptabilitas risiko. Untuk setiap level risiko, tabel tersebut menggambarkan bagaimana risiko dipersepsikan (yaitu rendah, menengah, tinggi, atau ekstrim) serta


17


menjelaskan tingkat peringkat pengendalian yang diperlukan untuk dapat menerima risikonya. Kriteria tersebut umumnya mendefinisikan bagaimana risiko-risiko dilaporkan, direviu, dan siapa pihak yang memutuskan tingkat acceptance-nya. Tabel 2.4. Contoh Kriteria Analisis Risiko Kemungkinan (Likelihood) 1

2

3

4

5

Sangat jarang

Jarang

Moderat

Sering

Hampir pasti

Konsekuensi

5

Katastropik

5

10

15

20

25

4

Major

4

8

12

16

20

3

Moderat

3

6

9

12

15

2

Minor

2

4

6

8

10

1

Tidak signifikan

1

2

3

4

5

Tabel 2.5. Contoh Kriteria Penerimaan (Acceptance) Risiko Level Risiko

Kriteria untuk Analisis Risiko

Yang Bertanggung Jawab

1–3

Dapat diterima

Dengan pengendalian yang cukup

Pimpinan Menengah/

4–6

Dipantau


Pimpinan Menengah/ Operasional

6–9

Diperlukan Pengendalian oleh Manajemen


Pimpinan Menengah/ Operasional

10 – 14

Harus menjadi perhatian manajemen (urgent)

Dapat diterima hanya dengan pengendalian yang sangat baik (excellent)

Pimpinan Puncak

15 – 25

Tak dapat diterima (unacceptable)

Dapat diterima hanya dengan pengendalian yang sangat baik (excellent)

Pimpinan Puncak


Operasional

18


Tabel 2.6. di bawah ini dapat digunakan untuk menentukan pada tingkat mana dampak risiko akan ditetapkan berdasarkan salah satu atau beberapa syarat yang terpenuhi. Tabel ini mencerminkan kriteria dampak yang ditetapkan oleh pimpinan instansi. Dalam praktik tentu saja satu unit/instansi dapat memiliki ukuran kriteria dampak yang berbeda antara satu instansi dengan instansi yang lain. Tabel 2.6. Contoh Skor Dampak Risiko dan Definisi/Kriterianya Definisi/Kriteria

Level/Skor 1 – Tidak berarti



Agak mengganggu pelayanan.



Tidak menimbulkan kerusakan.



Kerugian kurang dari Rp5.000.000,00.



Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp25.000.000,00.

2 – Kecil



Tidak berdampak pada pencapaian tujuan secara umum.



Tidak berdampak pada pencemaran/reputasi.



Tidak ada/hanya berdampak kecil pada kerusakan lingkungan.



Cukup mengganggu jalannya pelayanan.



Menimbulkan kerusakan kecil.



Kerugian diatas Rp25.000.000,00 sampai Rp50.000.000,00.






Menggangu pencapaian tujuan instansi meskipun tidak signifikan.



Berdampak pada pandangan negatif terhadap instansi dalam skala lokal (telah masuk dalam pemberitaan media lokal).

3 – Sedang



Adanya kerusakan kecil terhadap lingkungan.



Mengganggu kegiatan pelayanan secara signifikan.



Adanya kekerasan, ancaman dan menimbulkan kerusakan yang serius.



Kerugian

yang

terjadi

diatas

Rp100.000.000,00

sampai

Rp500.000.000,00. 




Menggangu pencapaian tujuan instansi secara signifikan.


19


Definisi/Kriteria

Level/Skor 

Berdampak pada pandangan negatif terhadap instansi dalam skala nasional (telah masuk dalam pemberitaan media lokal dan nasional).

4 – Besar



Adanya kerusakan cukup besar terhadap lingkungan.



Terganggunya pelayanan lebih dari 2 hari tetapi kurang dari 1 minggu.



Adanya kekerasan, ancaman dan menimbulkan kerusakan yang serius dan membutuhkan perbaikan yang cukup lama.



Kerugian

yang

terjadi

diatas

Rp500.000.000,00

sampai

Rp1.000.000.000,00. 

Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp1.000.000.000,00.



Sebagian tujuan instansi gagal dilaksanakan.



Merusak citra institusi dalam skala nasional (telah masuk dalam pemberitaan media lokal dan nasional).



Adanya kerusakan besar terhadap lingkungan.

5 – Luar Biasa/



Terganggunya pelayanan lebih dari 1 minggu.

Bencana



Kerusakan fatal.



Kerugian yang terjadi d atas Rp1.000.000.000,00.



Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp2.000.000.000,00.



Sebagian besar tujuan instansi gagal dilaksanakan.



Merusak citra institusi dalam skala nasional, penggantian pucuk pimpinan instansi secara mendadak.



Terjadinya KKN dan diproses secara hukum.

Ukuran lainnya dari risiko adalah likelihood atau kemungkinan atau probabilitas, dan umumnya juga diukur dalam skala 1 sampai 5, dimana 1 berarti ”sangat jarang” atau ”sangat tidak mungkin” dan 5 berarti ”sangat sering” atau ”hampir pasti.” Likelihood dapat dipandang dalam dua aspek. Aspek pertama, skala dapat dibuat dalam bentuk frekuensi dari konsekuensi yang akan terjadi, misalnya lebih dari 2 kali dalam setahun, setiap tahun, setiap 3 tahun, dan sebagainya. Aspek kedua, skala dapat Pusdiklatwas BPKP – Tahun 2010

20


dibuat dalam bentuk probabilitas kejadiannya pada rentang waktu tertentu, misalnya dalam 5 tahun kedepan suatu konsekuensi adalah hampir pasti, kemungkinan besar, mungkin, jarang, hampir tidak mungkin, dan sebagainya. Dalam beberapa hal, tiap level skala tersebut perlu dikuantifikasi. Dengan demikian, tabel-tabel konsekuensi dan likelihood menjadi bagian dari ”bahasa risiko” di instansi dan sekaligus mencerminkan tingkat toleransi suatu instansi terhadap risikonya.

Level 1

Tabel 2.7. Ukuran-Ukuran Kualitatif Likelihood Deskriptor Contoh Deskripsi Rinci Sangat Jarang

2

Kejadiannya muncul HANYA dalam keadaan

Kurang dari sekali dalam

tertentu.

10 tahun.

Kejadiannya DAPAT muncul pada saat yang

Paling sedikit sekali

sama.

dalam 10 tahun.

Kejadiannya SEHARUSNYA muncul pada


saat yang sama.

dalam 5 tahun.

Kejadiannya MUNGKIN muncul pada


kebanyakan situasi.

dalam 1 tahun.

Hampir Pasti/Sangat

Kejadiannya DIHARAPKAN muncul pada

Lebih dari satu kali dalam

Sering

kebanyakan situasi.

setahun.

Jarang

3

Moderat

4

Sering

5

Frekuensi

F. Sumber Risiko, Penyebab, dan Faktor Risiko Sumber risiko menurut

Australian Standard/New Zealand Standard

(AS/NZS) 4360:2004, meliputi: 

perilaku personel,



aktivitas manajemen dan pengendalian,



kondisi ekonomi,



kejadian yang biasa/tidak biasa,



kondisi politik,



isu-isu teknologi/teknis,


21




hubungan hukum dan komersial,



tanggung jawab terhadap produk/publik, dan



aktivitas itu sendiri.

Sumber risiko menurut PP 60 Tahun 2008 Pasal 16 Huruf b dan c, terdiri atas sumber eksternal dan sumber internal, serta risiko yang berasal dari faktor lain. Sumber eksternal mencakup misalnya: 

peraturan perundang-undangan baru,



perkembangan teknologi,



bencana alam, dan



gangguan keamanan.

Sedangkan sumber internal mencakup misalnya: 

keterbatasan dana operasional,



sumber daya manusia yang tidak kompeten,



peralatan yang tidak memadai,



kebijakan dan prosedur yang tidak jelas, dan



suasana kerja yang tidak kondusif.

Risiko dari faktor lainnya adalah risiko akibat kegagalan pencapaian tujuan dan keterbatasan anggaran yang pernah terjadi, antara lain disebabkan oleh: 

pengeluaran program yang tidak tepat,



pelanggaran terhadap pengendalian dana,



ketidaktaatan terhadap peraturan perundang-undangan,



risiko yang melekat pada sifat misinya atau pada signifikansi dan kompleksitas dari setiap program atau kegiatan spesifik yang dilaksanakan.


22


Penyebab ada yang dapat dikendalikan dan ada yang tidak dapat dikendalikan.

Istilah

risiko

dan

penyebab

seringkali

tertukar

atau

membingungkan. Untuk itu, coba perhatikan pernyataan berikut ini: “Para ahli telah mengidentifikasi apa yang diyakini sebagai faktor-faktor risiko penyakit kanker paru, misalnya kebiasaan merokok bisa memicu kanker paru, akan tetapi belum ada yang mengetahui apa sebenarnya penyebab penyakit tersebut, karena ada juga orang yang biasa merokok tetapi tidak terkena kanker paru.” Jika mereka mengetahui, tentulah sekarang sudah ada obat yang tepat untuk penyakit tersebut. Jadi faktor risiko hanyalah penanda adanya risiko, dan tidak selalu menjadi penyebab akan terjadinya risiko. Contoh lain: berjalan sendirian pada malam hari di lorong gelap akan menempatkan anda pada risiko perampokan. Oleh karena itu, orang akan mengatakan sebaiknya berjalan pada siang hari di jalan yang ramai. Tetapi, apakah berjalan sendirian pada malam hari di lorong gelap adalah penyebab adanya perampokan? Tentu bukan. Lorong tersebut, kesendirian, berjalan, suasana malam hari, semua itu tidak akan menyebabkan anda dirampok. Bahkan mungkin seringkali anda melakukan hal itu tanpa bertemu perampok sekalipun. Sebaliknya, bisa saja anda berjalan di siang hari pada jalan yang ramai, bahkan ditambah dengan pengawal di sisi anda, namun tetap saja anda dirampok. Artinya kita di sini berbicara tentang ketidakpastian. Pertanyaan selanjutnya: apakah lebih berisiko untuk berjalan sendirian pada malam hari di lorong gelap? Jawabnya, ya. Apakah lebih aman berjalan di siang hari dengan dikawal? Jawabnya, ya. Tetapi, apakah kedua skenario tersebut menyebabkan anda dirampok? Jawabnya, tidak. Jadi apa yang menyebabkan anda dirampok? Jawabannya bukan terletak pada lorong gelap atau ramai, saat malam atau siang, atau siapa korbannya, tetapi pada pelaku perampokan itu sendiri (niat) dan adanya peluang untuk melakukan perampokan.

Apa yang menyebabkan orang itu merampok? Bisa saja


23


karena kebutuhan yang mendesak, atau karena adanya penyakit kejiwaan pada diri sang perampok. Dari penjelasan dan contoh-contoh tersebut di atas, dapat disimpulkan bahwa suatu risiko ada penyebabnya, karena penyebab adalah (1) “a factor or event that produces a second event” atau (2) “something that brings about a particular condition, result or effect.” Sedangkan definisi risiko adalah “a chance of something happening that will have an impact upon objectives.” Jika risiko adalah kemungkinan kejadian, maka penyebab adalah sesuatu yang menghasilkan kejadian itu. Namun jika kita bawa pada pengertian (2) dari penyebab, maka risiko yang tidak diantisipasi bisa menjadi penyebab atas dampak kejadiannya. Dalam bahasa sederhana, risiko berbicara tentang kejadian masa depan yang belum terjadi, sedangkan penyebab bisa mencakup baik masa lalu maupun masa depan.

G. Risiko Inheren dan Risiko Residual Risiko inheren adalah risiko yang murni ada tanpa memperhitungkan pengendalian yang sudah ada (eksis), atau risiko yang diukur sebelum memperhitungkan kondisi pengendaliannya. Risiko

residual

merupakan

produk

dari

risiko

inheren

dan

risiko

pengendalian. Atau dengan bahasa yang lebih teknis, risiko residual adalah risiko terkait dengan kegiatan (inheren) dikurangi jumlah kesalahan yang terdeteksi oleh pengendalian, yaitu jumlah kesalahan yang masih tetap belum terdeteksi (residual). Risiko residual juga dikenal sebagai „net risk’, risiko netto. Ini merupakan tingkatan risiko yang tersisa setelah kontrolkontrol yang relevan diaplikasikan oleh manajemen atau setelah manajemen melakukan upaya mitigasi terhadap risiko inheren.


24


H. Latihan Diskusikanlah dengan kelompok anda terhadap pertanyaan-pertanyaan berikut ini. 1. Apakah ada perbedaan antara ketidakpastian dengan risiko? Jelaskan! 2. Apakah risiko dapat disamakan dengan masalah (problem)? Berikan penjelasan! 3. Apakah risiko juga dapat mengandung arti positif? Jelaskan! 4. Berikan beberapa contoh risiko yang tidak dapat ditoleransi! Demikian pula berikan beberapa contoh risiko yang dapat diabaikan! 5. Mengapa kriteria risiko perlu ditetapkan di awal pencapaian tujuan instansi? 6. Berikan contoh kriteria risiko di instansi anda (dapat kualitatif atau kuantitatif). 7. Apa perbedaan risk appetite dan risk tolerance? Berikan contoh. Apakah risk appetite berpengaruh terhadap toleransi risiko dalam instansi? 8. Berikan contoh sumber eksternal dan internal risiko selain dari pada yang telah disebutkan dalam Pasal 16 PP 60 tahun 2008! 9. Apa perbedaan penyebab risiko dan faktor risiko? Berikan contoh di lingkungan instansi pemerintah!


25


BAB 3 PENILAIAN RISIKO Indikator Keberhasilan Setelah mempelajari bab ini peserta diklat diharap mampu menjelaskan penilaian risiko dan tahapannya, mencakup penetapan tujuan, identifikasi, dan analisis risiko

A.

Pengertian Penilaian Risiko Sebelum menguraikan lebih lanjut pengertian penilaian risiko, beberapa istilah penilaian risiko (risk assessment) mempunyai pengertian yang berbeda, tumpang tindih, dan saling dipertukarkan pemakaiannya dalam literatur pengelolaan risiko.

Misalnya, istilah “risk analysis”, “risk

assessment” dan “risk evaluation.” Pemakaian istilah penilaian risiko dalam PP Nomor 60 Tahun 2008 adalah sama pengertiannya dengan risk assessment. Sesuai dengan PP Nomor 60 Tahun 2008, khususnya bagian ketiga, pasal 13, ayat (1) disebutkan bahwa pimpinan instansi wajib melakukan penilaian risiko. Penilaian risiko sebagaimana dimaksud pada ayat (1), terdiri atas (a) identifikasi risiko; dan (b) analisis risiko. Lebih lanjut dalam PP tersebut disebutkan bahwa penilaian risiko diawali dengan penetapan maksud dan tujuan Instansi Pemerintah yang jelas dan konsisten baik pada tingkat instansi maupun pada tingkat kegiatan. Menurut Handbook 436: 2004 penilaian risiko (risk assessment) diartikan sebagai “the overall process of risk identification, risk analysis, and risk evaluation.” Ini dapat dilihat dari Gambar Proses Pengelolaan Risiko, di


26


mana penilaian risiko merupakan bagian yang integral atau terpadu dari proses pengelolaan risiko. Hal ini juga sejalan dengan definisi yang dikemukakan oleh Allen L. Burgensen bahwa penilaian risiko adalah

“A systematic process of

organizing to support a risk decision to be made within a risk management process. It consists of the identification of the hazards and analysis and evaluation of risks associated with the exposure to these hazard.” Menurut Australian Government, Department of the Environment and Heritage Australian Government Office (2006) penilaian risiko didefinisikan sebagai “The set of tasks to here collectively as a risk assessment, consists of three central steps in the risk management process: identify the risks, analyze the risks, and evaluate the risks.” Dari uraian di atas dapat disimpulkan bahwa penilaian risiko merupakan proses yang dilakukan oleh suatu instansi atau organisasi dan merupakan bagian yang integral dari proses pengelolaan risiko dalam pengambilan keputusan risiko dengan melakukan tahap identifikasi risiko, analisis risiko, dan evaluasi risiko. Proses penilaian risiko dilakukan setelah penetapan tujuan organisasi . Jika dikaitkan dengan SPIP, penilaian risiko merupakan unsur atau komponen sistem pengendalian intern, dengan subunsur identifikasi dan analisis risiko; sedangkan evaluasi risiko, dengan mempertimbangkan bahwa proses evaluasi sejatinya adalah proses menilai risiko yang akan diprioritaskan (setelah dianalisis termasuk mempertimbangkan tingkat risiko yang dapat diterima) dan direspon, maka proses ini dapat digabungkan dalam proses analisis risiko.

B.

Tujuan dan Manfaat Penilaian Risiko Sebagaimana dikemukakan sebelumnya, penilaian risiko merupakan bagian yang integral atau terpadu dari proses pengelolaan risiko dan juga sistem pengendalian intern. Proses dapat didefinisikan sebagai urutan Pusdiklatwas BPKP – Tahun 2010

27


tindakan yang dilakukan untuk mencapai tujuan tertentu. Hal ini berarti proses penilaian risiko merupakan prosedur terpadu yang meliputi identifikasi dan analisis risiko-risiko yang timbul. Dari pengertian tersebut, maka tujuan penilaian risiko adalah untuk: 1. mengidentifikasi dan menguraikan semua risiko-risiko potensial yang berasal baik dari faktor internal maupun faktor eksternal; 2. memeringkat risiko-risiko yang memerlukan perhatian manajemen instansi dan yang memerlukan penanganan segera atau tidak memerlukan tindakan lebih lanjut; 3. memberikan suatu masukan atau rekomendasi untuk meyakinkan bahwa terdapat risiko-risiko yang menjadi prioritas paling tinggi untuk dikelola dengan efektif. Manfaat penilaian risiko di antaranya adalah: 

membantu pencapaian tujuan instansi dengan informasi tentang risiko;



adanya kesinambungan pelayanan kepada stakeholders;



adanya efisiensi dan efektivitas pelayanan yang lebih baik;



dapat menjadi salah satu pertimbangan dalam penyusunan rencana strategis;



C.

membantu menghindari pemborosan.

Tahapan Penilaian Risiko Penilaian risiko diawali dengan penetapan maksud dan tujuan instansi pemerintah yang jelas dan konsisten baik pada tingkat instansi maupun pada tingkat kegiatan. Selanjutnya instansi pemerintah mengidentifikasi risiko yang dapat menghambat pencapaian tujuan tersebut, baik yang bersumber dari dalam maupun luar instansi. Terhadap risiko yang telah


28


diidentifikasi, selanjutnya dianalisis untuk mengetahui pengaruhnya terhadap pencapaian tujuan. Pimpinan instansi pemerintah merumuskan pendekatan pengelolaan risiko dan kegiatan pengendalian risiko yang diperlukan untuk memperkecil risiko. Tahapan penilaian risiko terdiri atas: penetapan tujuan, identifikasi risiko, dan analisis risiko. 1. Penetapan tujuan Identifikasi/penilaian risiko diawali dengan penetapan konteks/ tujuan instansi yang jelas dan konsisten baik pada tingkat stratejik atau kebijakan maupun tingkat operasional. Penetapan tujuan dilakukan dengan cara menjabarkan latar belakang, ruang lingkup, tujuan, dan hubungan organisasi dengan lingkungan eksternal dan internal. Risiko merupakan segala sesuatu yang berdampak terhadap pencapaian tujuan yang diukur berdasarkan kemungkinan dan konsekuensinya. Oleh karena itu, untuk meyakinkan bahwa semua risiko signifikan telah tercakup, maka perlu mengetahui tujuan dan fungsi atau aktivitas instansi yang ditelaah. Pada dasarnya, penetapan tujuan merupakan inti dari penetapan konteks. Dalam penetapan tujuan, instansi harus mempunyai unsur kriteria keberhasilan atau indikator kinerja kunci (key performance indicators) sebagai dasar pengukuran atau kriteria evaluasi pencapaian tujuan, dan juga digunakan untuk mengidentifikasi dan mengukur dampak atau konsekuensi risiko yang dapat mengganggu tujuan instansi. Tujuan penetapan konteks/tujuan adalah: 1) menjelaskan pernyataan tujuan yang spesifik, terukur, dapat dicapai, realistis, dan berjangka waktu; 2) mengidentifikasi lingkungan di mana tujuan akan dicapai; 3) menetapkan ruang lingkup dan tujuan penerapan penilaian risiko, kondisi yang membatasi, dan hasil yang diharapkan; Pusdiklatwas BPKP – Tahun 2010

29


4) mengidentifikasi

berbagai

kriteria

yang

digunakan

untuk

menganalisis dan mengevaluasi risiko (lihat kriteria risiko baik dampak maupun probabilitas di bab 2); 5) menetapkan struktur analisis risiko. Dalam PP 60 Tahun 2008, tujuan Instansi Pemerintah sebagaimana dimaksud dalam Pasal 13 ayat (3) huruf a memuat pernyataan dan arahan yang spesifik, terukur, dapat dicapai, realistis, dan terikat waktu. Tujuan Instansi Pemerintah tersebut wajib dikomunikasikan kepada seluruh pegawai. Untuk mencapai tujuan Instansi Pemerintah, pimpinan Instansi Pemerintah menetapkan: 

strategi operasional yang konsisten, dan



strategi manajemen terintegrasi serta rencana penilaian risiko.

Penetapan tujuan pada tingkatan kegiatan sebagaimana dimaksud dalam Pasal 13 ayat (3) huruf b sekurang-kurangnya dilakukan dengan memperhatikan ketentuan sebagai berikut. 

Berdasarkan

pada

tujuan

dan

rencana

strategis

Instansi

Pemerintah. 

Saling melengkapi, saling menunjang, dan tidak bertentangan satu dengan lainnya.



Relevan dengan seluruh kegiatan utama Instansi Pemerintah.



Mengandung unsur kriteria pengukuran.



Didukung sumber daya Instansi Pemerintah yang cukup.



Melibatkan seluruh tingkat pejabat dalam proses penetapannya.


30


2. Identifikasi risiko Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan bagaimana sesuatu dapat terjadi, sehingga dapat berdampak negatif terhadap pencapaian tujuan. Tujuannya adalah untuk menghasilkan suatu daftar sumber-sumber risiko dan kejadiankejadian yang berpotensi membawa dampak terhadap pencapaian tiap tujuan yang telah diidentifikasi dalam penetapan tujuan. Potensi kejadian-kejadian

tersebut

dapat

mencegah,

menghambat,

menurunkan, memperlama atau justru meningkatkan pencapaian tujuan-tujuan tersebut. Setelah

mengidentifikasi

apa

yang

dapat

terjadi,

maka

perlu

dipertimbangkan kemungkinan-kemungkinan penyebab dan skenarioskenario yang dapat terjadi. Terdapat banyak jalan untuk kemunculan suatu kejadian, dan oleh karenanya adalah perlu agar jangan sampai ada penyebab-penyebab signifikan yang tertinggal. Akibat ancaman/gangguan risiko terhadap pencapaian tujuan adalah sebagai berikut. 

Tujuan menjadi lebih lama tercapainya.



Tujuan tercapai hanya sebagian (<100%).



Tujuan tidak tercapai sama sekali.



Tujuan tercapai namun lebih mahal (high cost).



Tujuan melenceng dari yang telah ditetapkan.

Jika dikatkan dengan SPIP, identifikasi risiko dapat diarahkan terutama kepada empat tujuan di SPIP. 1) Apa yang akan/berpotensi mengganggu efisiensi dan efektivitas operasi di instansi pemerintah? 2) Apa yang berpotensi mengancam pelaporan keuangan yang andal?


31


3) Apa yang berpotensi menghambat dalam hal pengamanan aset di instansi pemerintah? 4) Apa yang berpotensi menjadi tantangan atau gangguan dalam hal ketaatan terhadap peraturan perundang-undangan di instansi pemerintah?

3. Analisis risiko Analisis risiko adalah proses penilaian terhadap risiko yang telah teridentifikasi, dalam rangka mengestimasi kemungkinan munculnya dan besaran dampaknya, untuk menetapkan level atau status risikonya. Status risiko diperoleh dari hubungan antara kemungkinan (frekuensi atau probabilitas kemunculan) dan dampak (besaran efek) jika risiko terjadi. Status risiko biasanya disajikan dalam bentuk tabel. Secara sederhana, level risiko dihitung dengan rumus berikut.

Level Risiko = Kemungkinan x Dampak Analisis risiko dilaksanakan untuk menentukan dampak dari risiko yang telah diidentifikasi terhadap pencapaian tujuan instansi pemerintah. Pimpinan instansi pemerintah menerapkan prinsip kehati-hatian dalam menentukan tingkat risiko yang dapat diterima (acceptable risk).


32


D. Latihan Diskusikanlah dengan kelompok anda terhadap pertanyaan-pertanyaan berikut ini. 1. Dikaitkan dengan empat unsur SPIP lainnya (lingkungan pengendalian, kegiatan pengendalian, informasi & komunikasi, dan pemantauan pengendalian intern), seberapa pentingkah unsur penilaian risiko? Jelaskan! 2. Mengapa penetapan konteks/tujuan amat penting dalam tahapan penilaian risiko? Jelaskan! 3. Di antara manfaat penilaian risiko adalah dapat dijadikan pertimbangan untuk penyusunan rencana strategis instansi. Jelaskan bagaimana penilaian risiko dapat membawa manfaat tersebut! 4. Berikan contoh hasil identifikasi risiko (menurut persepsi anda) di instansi anda! Identifikasi anda dapat dikaitkan dengan potensi ancaman terhadap pencapaian tujuan instansi maupun terhadap empat tujuan SPIP.


33


BAB 4 METODOLOGI PENILAIAN RISIKO Indikator Keberhasilan Setelah mempelajari bab ini peserta diklat diharap mampu menjelaskan pengertian terkait, metode-metode penilaian risiko, teknik-teknik penilaian risiko, dan penggunaan alat bantu komputer dalam penilaian risiko.

A. Hal-hal Terkait Penilaian Risiko Pada dasarnya, identifikasi risiko dapat dilakukan dengan cara retrospektif (retrospectively) dan prospektif (prospectively). Identifikasi risiko retrospektif (retrospective risks) adalah risiko-risiko yang sebelumnya telah terjadi, seperti insiden atau kecelakaan. Identifikasi risiko retrospektif biasanya merupakan cara yang sangat umum dan

mudah untuk mengidentifikasi

risiko. Adalah lebih mudah untuk mempercayai sesuatu jika sesuatu tersebut telah terjadi sebelumnya, sehingga lebih mudah untuk mengkuantifikasi dampaknya dan melihat bahaya yang menyebabkannya. Sumber informasi risiko retrospektif, meliputi:  daftar atau register insiden/bahaya;  laporan audit, hasil evaluasi, dan penilaian lainnya;  keluhan pelanggan/stakeholders;  dokumen dan laporan;  staf lama atau survai pelanggan; dan  media profesional atau surat kabar, seperti jurnal atau websites. Risiko prospektif (prospective risks) biasanya lebih sulit diidentifikasi. Risiko ini adalah sesuatu yang belum terjadi, tetapi mungkin terjadi beberapa waktu yang akan datang. Identifikasi akan meliputi semua risiko, apakah risiko tersebut akan dikelola sekarang atau tidak. Dasar pemikirannya di sini Pusdiklatwas BPKP – Tahun 2010

34


adalah mencatat semua risiko signifikan dan memantau atau mereviu efektivitas pengendaliannya. Metode untuk mengidentifikasi risiko prospektif meliputi hal berikut. 

Melakukan brainstorming dengan staf atau pemangku kepentingan eksternal.



Riset ekonomi, politik, legislatif, dan lingkungan operasi.



Melakukan wawancara dengan orang-orang atau organisasi yang relevan.



Melakukan survai staf atau pelanggan untuk mengidentifikasi isu-isu atau problem yang diantisipasi.



Bagan arus suatu proses.



Mereviu desain sistem atau membuat teknik-teknik analisis sistem.



Analisis SWOT.

Ruang lingkup pelaksanaan penilaian risiko antara satu unit dengan unit lain bisa saja berbeda. Pelaksanaan penilaian risiko instansi dapat dilakukan pada tingkatan berikut. 1. Tingkat stratejik, meliputi antara lain pengembangan kebijakan, penyampaian layanan, program ketaatan, dan pertimbangan politik. 2. Tingkat instansi dan program, meliputi antara lain prioritas dan strategi organisasi, manajemen keuangan, hubungan antar organisasi, teknologi, pengendalian

dan

pencegahan

kecurangan,

kemampuan

staf,

manajemen aset, kewajiban sosial dan strategi koordinasi. 3. Tingkat kegiatan/proyek, meliputi antara lain perencanaan, proses, prioritas pekerjaan, pengembangan dan pelatihan, kontrak, prosedur, kualitas

data,

organisasi,

pengadaan,

komunikasi,

konsultan,

pemberdayaan

jaminan pegawai,

kualitas,

struktur

konstruksi

dan

bangunan, informasi teknologi, dan joint ventures.


35


4. Tingkat individu, meliputi antara lain mutasi pegawai, pengembangan kemampuan, keseimbangan antara urusan pekerjaan dan rumah tangga, tingkat komitmen, etika dan nilai (kualitas kepemimpinan), isu kesehatan, kewajiban hukum pegawai. Secara praktis, langkah untuk melakukan penilaian risiko adalah sebagai berikut. 1. Penetapan unit risiko, yaitu penetapan organisasi atau unit mana yang akan diidentifikasi risikonya dan tingkatan risikonya (risiko strategik atau risiko kegiatan). 2. Pemahaman terhadap tupoksi organisasi/unit yang bersangkutan. 3. Pemahaman terhadap aktivitas utama dari organisasi. 4. Reviu atas kriteria risiko yang ada, mencakup tingkat toleransi risiko, kriteria dampak, kriteria kemungkinan, dan kriteria tingkat efektivitas pengendalian yang sudah ada. 5. Pembuatan daftar risiko (risk register), yang memuat pernyataan risiko, dampak, penyebab, kemungkinan kejadian, pengendalian yang sudah ada, kegiatan pengendalian yang diperlukan, dan pemilik risiko, serta waktu pelaksanaan rencana tindak. 6. Pembuatan peta atau profil risiko. Analisis risiko pada intinya adalah mengukur risiko (measuring risks) yang telah teridentifikasi. Pengukuran dimaksudkan untuk memperoleh status atau level risiko (lihat rumus di Bab 3). Faktor-faktor yang harus diperhatikan dalam menganalisis risiko adalah sebagai berikut. 1. Memahami Pengelolaan/Pengendalian Risiko yang Ada Lakukan identifikasi sistem pengendalian yang ada, petunjuk teknis dan prosedur untuk mengendalikan risiko serta lakukan penilaian terhadap kekuatan dan kelemahannya. Instrumen yang digunakan, antara lain


36


adalah: checklist, pertimbangan sesuai pengalaman dan dokumen, flow charts,

brainstorming,

analisis

sistem,

analisis

skenario,

teknik

pengembangan sistem, inspeksi, dan teknik CSA (Control SelfAssessment). 2. Kemungkinan dan Dampak Kemungkinan dan dampak dikombinasikan untuk menghasilkan status risiko tertentu. Kemungkinan dan dampak dapat ditentukan dengan menggunakan analisis statistik dan perhitungan tertentu. Jika tidak ada data tersedia, estimasi subjektif dapat dibuat untuk mencerminkan tingkat keyakinan individu atau kelompok bahwa suatu kejadian atau hasilnya akan terjadi.

B. Metode Penilaian Risiko Analisis risiko dapat dilakukan pada berbagai tingkatan kedalaman tergantung pada informasi risiko, data, dan biaya yang tersedia. Ada tiga tipe metode analisis risiko yang dapat digunakan untuk menetapkan status/level risiko yaitu kualitatif, semi kuantitatif, dan kuantitatif. 1. Analisis Kualitatif Analisis kualitatif menggunakan bentuk verbal atau skala deskriptif untuk menjelaskan besaran kemungkinan dan dampak risiko. Skala ini dapat disesuaikan berdasarkan kondisi dan penjelasan yang berbeda dapat digunakan untuk risiko yang berbeda. Analisis kualitatif digunakan bila level risiko tidak memungkinkan dari segi waktu dan sumber daya yang ada untuk melakukan analisis numerik dan data numerik tidak mencukupi untuk analisis kuantitatif, atau untuk melakukan pemindaian dini terhadap risiko sebelum melakukan analisis lebih lanjut yang lebih rinci. Contoh-contoh analisis kualitatif disajikan pada Tabel 4.1 sampai dengan tabel 4.4.


37


Tabel 4.1. Contoh Deskripsi Probabilitas (Kemungkinan) Level

Deskriptor

Deskripsi

5

Hampir pasti

Diperkirakan muncul dalam semua situasi.

4

Cenderung terjadi

Cenderung terjadi pada kebanyakan situasi.

3

Mungkin terjadi

Kemungkinan muncul pada waktu tertentu.

2

Kadang-kadang terjadi

Dapat terjadi pada waktu tertentu.

1

Sangat jarang terjadi

Hanya terjadi pada situasi tertentu.

Tabel 4.2. Contoh Deskripsi Dampak Level

Deskriptor

Deskripsi

1

Tidak signifikan

Tidak ada yang terluka, kerugian keuangan kecil.

2

Minor

Diperlukan pertolongan pertama, kebocoran limbah dapat ditangani, kerugian keuangan sedang.

3

Moderat

Perlu penanganan medis, kebocoran limbah dapat ditangani dengan bantuan pihak luar, kerugian keuangan cukup tinggi.

4

Major

Luka parah, pembuangan limbah tidak pada tempatnya namun tidak memberi efek yang memusnahkan, kerugian keuangan besar.

5

Sangat berbahaya

Mati, pembuangan limbah tidak pada tempatnya dengan efek memusnahkan, kerugian keuangan sangat besar.

Tabel 4.3. Contoh Matriks Analisis Risiko Secara Kualitatif Dampak Kemungkinan

Tidak signifikan

Minor

Moderat

Major

Sangat berbahaya

Hampir pasti Cenderung terjadi Mungkin terjadi Kadang-kadang terjadi Sangat jarang terjadi

Moderat

Tinggi

Ekstrim

Ekstrim

Ekstrim

Rendah

Moderat

Tinggi

Ekstrim

Ekstrim

Rendah

Moderat

Moderat

Tinggi

Ekstrim

Rendah

Rendah

Moderat

Moderat

Tinggi

Rendah

Rendah

Rendah

Rendah

Moderat


38


Dari contoh di atas, ada yang dapat dijelaskan sebagai berikut. 

Risiko dengan kemungkinan terjadi “hampir pasti” dan berdampak “moderat” dikategorikan “ekstrim”.



Risiko dengan kemungkinan “kadang-kadang terjadi” dan berdampak “minor” dikategorikan “rendah”.

Keuntungan metode kualitatif adalah: 

cepat dan relatif mudah digunakan, bila penilaian risiko terstruktur dengan baik, risiko dapat segera digambarkan dan kemungkinan serta dampaknya dapat diidentifikasi;



pemakai metode ini dapat memperoleh pemahaman mengenai perbandingan antara beberapa risiko.

Kekurangan metode kualitatif adalah: 

kurang akurat karena risiko dikelompokkan dalam satu tingkatan, padahal kenyataannya secara substantif berlainan level;



sulit untuk membandingkan risiko pada basis yang sama;



perbandingan antar tingkat risiko bisa tidak konsisten;



jarang ada justifikasi yang jelas atas proses yang digunakan untuk menimbang risiko pada dampak risiko yang beragam;



pembedaan antar risiko sangat kurang;



metode ini menggunakan ukuran deskriptif emosional;



metode ini memberikan definisi yang sangat disederhanakan mengenai kejadian risiko melalui kombinasi beberapa dampak yang mungkin timbul dari satu kejadian;



aplikasi analisis keuangan kuantitatif untuk penanganan risiko sangat terbatas.


39


2. Analisis Semi Kuantitatif (Kombinasi) Dalam

analisis

semi

kuantitatif,

skala

kualitatif

yang

dijelaskan

sebelumnya diberi nilai. Nilai yang diberikan pada setiap deskripsi tidak harus memiliki hubungan yang akurat atas besaran sebenarnya dari kemungkinan

atau

dampak.

Nilai

yang

ditetapkan

harus

dapat

menghasilkan urutan prioritas yang lebih rinci daripada yang dapat dicapai analisis kualitatif, sekalipun belum merupakan nilai realistis. Pendekatan ini memberi atribut nilai pada “kemungkinan” dan “dampak” risiko, sehingga dapat dikatakan selangkah lebih maju dari pendekatan kualitatif. Tabel 4.4 – Contoh Matriks Analisis Risiko Secara Semi Kuantitatif Kemungkinan

Dampak 1

Frekuensi Tahunan

(Tidak signifikan)

2

3

4

(Minor)

(Moderat)

(Major)

5 (Sangat berbahaya)

0,5 (Hampir pasti)

0,5

1

1,5

2

2,5

0, 1 (Cenderung terjadi)

0,1

0,2

0,3

0,4

0,5

0,01 (Mungkin terjadi)

0,01

0,02

0,03

0,04

0,05

0,001

0,002

0,003

0,004

0,005

0,0001

0,0002

0,0003

0,0004

0,0005

0,001 (Kadang-kadang terjadi) 0,0001 (Sangat jarang terjadi)

Dari contoh di atas, beberapa hal dapat dijelaskan sebagai berikut. 

Risiko dengan kemungkinan terjadi “hampir pasti” dan berdampak “moderat”, dikategorikan “ekstrim” dengan nilai 1,5.



Risiko dengan kemungkinan “kadang terjadi” dan berdampak “minor”, dikategorikan “rendah” dengan nilai 0,002.


40


Keuntungan metode semi kuantitatif adalah: 

penerapannya cepat;



dapat

memberikan

pemahaman yang

masuk akal mengenai

perbandingan risiko sekalipun masih bersifat relatif dan bukan mutlak; 

pembedaan yang masuk akal antar kejadian risiko;



penggunaan ukuran deskriptif emosional untuk menentukan tingkat risiko lebih sedikit.

Kekurangan metode semi kuantitatif adalah: 

kurang akurat;



sulit untuk membandingkan risiko pada basis yang sama, sekalipun dalam beberapa kasus memungkinkan;



tidak mungkin untuk meyakini bahwa dua kejadian yang dicirikan dengan nilai risiko yang sama merupakan risiko yang serupa.



metode ini memberikan definisi yang sangat disederhanakan mengenai kejadian risiko melalui kombinasi beberapa dampak yang mungkin timbul dari satu kejadian;



aplikasi analisis keuangan kuantitatif untuk penanganan risiko terbatas.

3. Analisis Kuantitatif Analisis kuantitatif menggunakan nilai numerik untuk menyatakan kemungkinan dan dampak dengan menggunakan data dari berbagai sumber. Kualitas analisis tergantung pada akurasi dan kelengkapan nilai numerik yang digunakan. Level risiko dapat diperhitungkan dengan metode kuantitatif dalam situasi dimana kemungkinan terjadinya dan dampak risiko dapat dikuantifikasi, selain juga diperlukan dukungan data historis beberapa tahun. Misalnya penilaian risiko terhadap fraud mengarah pada metode kuantitatif. Namun perlu diwaspadai bahwa metode kuantitatif tetap memiliki kelemahan.


41


Kemungkinan terjadinya risiko biasanya dinyatakan sebagai probabilitas, frekuensi, atau kemunculan.

Dampak diestimasi dengan memodelkan

hasil dari sekelompok kejadian, atau dieksplorasi dari studi eksperimen atau data sebelumnya. Dampak dapat dinyatakan dalam ukuran uang, teknis, kriteria kemanusiaan, atau kriteria evaluasi risiko yang telah ditetapkan. Dalam beberapa kasus, diperlukan lebih dari satu nilai numerik untuk menjelaskan dampak pada situasi, kelompok, dan tempat yang berbeda. Cara

menyatakan

kemungkinan

dan

dampak

serta

cara

mengombinasikan keduanya untuk menetapkan status risiko akan berbeda, tergantung pada tipe risiko dan konteks risikonya. Keuntungan metode kuantitatif adalah: 

bila diperlukan dapat dilaksanakan dengan cepat untuk indikasi pendahuluan atas risiko relatif;



memberikan pemahaman yang jelas mengenai perbandingan risiko;



proses secara langsung menghitung beragam dampak dan rasional yang digunakan transparan;



memberi pembedaan yang baik antar kejadian;



tidak menggunakan ukuran emosional untuk menjelaskan tingkat risiko;



mendefinisikan kejadian risiko dengan sangat teliti;



mudah untuk membandingkan kejadian risiko pada basis yang sama;



dapat mencakup kejadian yang kompleks, misalnya melalui analisis pohon kejadian (event tree analysis) dengan mengombinasikan beragam dampak yang dapat timbul dari satu kejadian;



aplikasi yang ekstensif untuk pengembangan strategi penanganan risiko;



biasanya dapat mencakup kejadian yang tidak dapat dikuantifikasi (unquantifiable), dengan menggunakan pendekatan yang sistematis.


42


misalnya, dampak pengurangan akses publik memasuki suatu pantai dapat dikuantifikasi sebagai biaya transportasi menuju lokasi alternatif dan biaya melonjaknya nilai tanah. Kekurangan metode kuantitatif adalah: 

kurang mengelaborasi persepsi manusia yang justru lebih mendetail dalam hal naratif;



sulit diterapkan dalam kondisi data kuantitatif yang sangat kurang.

Contoh risiko kuantitatif adalah sebagai berikut. 

Risiko laba atau rugi keuangan Laba atau rugi finansial dikalikan dengan frekuensi laba atau rugi akan menghasilkan perkiraan nilai rupiah per tahun.



Risiko kejadian fatal Kejadian fatal dari suatu aktivitas dapat diperhitungkan sebagai berikut. Jumlah kematian per tahun dari aktivitas Jumlah kemunculan/kejadian



Bencana alam atau perbuatan manusia Dampak

dapat

dimodelkan

dengan

menggunakan

simulasi

terkomputerisasi dan kemungkinannya diperkirakan dengan data historis, pohon masalah (fault tree), atau teknik pengembangan sistem. 

Risiko kesehatan Risiko kesehatan biasanya dinyatakan dengan cara sebagai berikut . a. Rasio terjangkit wabah per tahun adalah perbandingan antara jumlah orang yang terjangkit dengan total populasi.


43


b. Rasio kemungkinan terjadinya kematian sebelum tingkat umur tertentu. c. Jumlah kejadian fatal pada orang usia 70 tahun yang diperkirakan akan muncul, dibagi dengan jumlah orang berusia 70 tahun. Risiko kesehatan dapat dikembangkan dari data epidemiologi (data survai kejadian fatal atau sakit) atau dari data percobaan terhadap hewan.

C. Teknik Penilaian Risiko Pada dasarnya, identifikasi risiko dapat dilakukan dengan menggunakan salah satu dari keempat metode berikut, atau bisa juga digunakan secara bersama-sama agar saling melengkapi. 1. Metode 1: Analisis Data Historis Prinsip dari metode ini adalah menggunakan berbagai informasi atau data mengenai segala sesuatu yang pernah terjadi, baik data primer maupun data sekunder. 2. Metode 2: Pengamatan dan Survai Bila tidak tersedia data historis, maka dapat dilakukan investigasi, pengamatan, atau survai di tempat (on the spot ) sehingga dapat diperoleh data primer. 3. Metode 3: Pengacuan (Benchmarking) Metode ini pada prinsipnya diterapkan untuk melengkapi identifikasi risiko menggunakan metode 1 dan 2 di atas. Seandainya dengan kedua metode di atas, risiko yang diperoleh dirasakan kurang meyakinkan, atau ada risiko yang bisa terjadi tetapi tidak ditemukan, atau tidak menyadari adanya suatu risiko terkait dengan obyek yang diamati dan memerlukan konfirmasi lebih lanjut, maka perlu dilakukan pencarian

informasi di

tempat atau organisasi lain sebagai acuan (benchmark).

Benchmark


44


merupakan obyek yang memiliki kesamaan dengan obyek yang sedang diamati berkaitan dengan keberadaan risiko. 4. Metode 4: Pendapat Ahli Pendapat ahli (expert opinion) dapat diperoleh melalui wawancara kepada satu orang, kepada sekelompok orang, atau melalui diskusi kelompok khusus, atau focus group discussion (FGD). Pihak yang diwawancarai atau dilibatkan adalah mereka yang dianggap ahli.

Selanjutnya, analisis risiko dapat dilakukan dengan metode kualitatif atau kuantitatif. 1. Metode kualitatif antara lain: 

curah pendapat (brainstorming),



evaluasi

menggunakan

kelompok

multidisiplin/Focus

Group

Discussion (FGD), 

pertimbangan ahli dan spesialis (misalnya teknik Delphi), dan



wawancara terstruktur



kuesioner.

2. Metode kuantitatif antara lain: 

analisis dampak,



analisis biaya siklus hidup,



analisis jaringan (network),



analisis probabilitas,



simulasi/model komputer (misalnya simulasi Monte Carlo),



analisis statistik/numerik, dan



survai kepuasan masyarakat dan riset pasar.


45


D. Penggunaan Alat Bantu Komputer (Program Software) Agar data dapat memberikan informasi, harus dilakukan pengolahan data dan analisis data. Pengolahan data dapat dilakukan dengan menggunakan Software SPSS, Microsoft Excel, atau pengolah data lainnya. Teknik yang dilakukan umumnya adalah statistik deskriptif Sebelum melakukan analisis terhadap data, terutama data yang diperoleh melalui kuesioner, tentunya harus dilakukan pengolahan terhadap data tersebut.

Salah satu perangkat lunak (software) yang dapat digunakan

dalam pengolahan data adalah SPSS. Proses pengolahan data dilakukan dalam empat tahap, yaitu penyuntingan (editing), pemberian kode (coding), tabulasi, dan analisis data. 1. Penyuntingan (Editing) Hasil dari pengumpulan data melalui kuesioner dikumpulkan dan disimpan dalam ordner. Lakukan pengecekan atas kelengkapan dan validitas data. Tim lalu memilih dan menyortir data valid yang akan diolah. Hal ini dilakukan untuk menghindari “garbage in garbage out. “ Proses penyuntingan berakhir jika sudah dipastikan bahwa semua lembar kertas kerja telah terkumpul dan valid. Beri nomor pada masingmasing set kuesioner. 2. Pemberian Kode (Coding) Pemberian

kode

perlu

dilakukan

karena

pemroses

data

akan

menggunakan komputer. Pemberian kode bertujuan untuk memudahkan dalam

memasukan

input

data

dan

menghindari

pengulangan

memasukkan data/kesalahan input. Pemberian kode yang dilakukan oleh penilai dapat berupa angka ataupun huruf. Sebagai contoh, data kuesioner, di dalam kuesioner memuat identitas pengisi kuesioner.


46


Identitas Respoden, Jabatan

: ………………......

Golongan : ………………. Bidang

: ………………….

Keterangan: Jabatan diisi dengan angka 1 = Kepala unit 2 = Kepala Bidang 3 = Pelaksana

3. Tabulasi Dalam proses tabulasi, dilakukan pengolahan terhadap data-data dari hasil identifikasi risiko baik melalui kuesioner, kajian dokumen, hasil FGD, maupun hasil wawancara. Program yang digunakan untuk mentabulasi adalah program SPSS untuk kuesioner, sedangkan untuk hasil wawancara, observasi dan kajian dokumen dapat dilakukan dalam program Microsoft Excel.


47


BAB 5 HAL-HAL YANG PERLU DIBANGUN DALAM IMPLEMENTASI PENILAIAN RISIKO

Indikator Keberhasilan Setelah mempelajari bab ini peserta diklat diharap mampu menjelaskan Mampu menjelaskan hal-hal yang perlu dibangun dalam mengimplementasikan penilaian risiko.

A. Kebijakan Risiko Membangun kebijakan risiko dan mekanisme pendukungnya pada instansi pemerintah

dibutuhkan

guna

menghasilkan

suatu

kerangka

bagi

pelaksanaan rencana penilaian risiko yang efektif. Pimpinan instansi perlu menyatakan kebijakannya secara tertulis tentang pengelolaan risiko yang mencakup tujuan dan komitmennya terhadap pengelolaan risiko. Kebijakan ini harus relevan dengan konteks strategik, tujuan, sasaran, serta sifat kegiatan instansi. Manajemen harus memastikan bahwa kebijakan tersebut dipahami, diimplementasikan, dan dipelihara pada setiap level pejabat/pegawai. B. Perencanaan dan Sumber Daya 1. Komitmen Jajaran Pimpinan Instansi Pimpinan instansi harus memastikan bahwa: 

rencana penilaian risiko telah ditetapkan, diimplementasikan, dan dipelihara;


48




kinerja atas rencana penilaian risiko dilaporkan kepada pimpinan untuk direviu sebagai dasar perbaikan.

2. Wewenang dan Tanggung Jawab Tanggung jawab, wewenang serta kaitan di antara personil yang melaksanakan pekerjaan yang mempengaruhi penilaian risiko harus ditetapkan dan didokumentasikan, khususnya terhadap orang-orang yang memiliki wewenang untuk melakukan satu atau lebih dari tugastugas berikut. 

Melakukan tindakan untuk mencegah atau mengurangi efek negatif risiko.



Mengendalikan risiko sampai pada level yang dapat ditoleransi.



Mengidentifikasi dan mencatat permasalahan yang berhubungan dengan penilaian risiko.



Merekomendasikan atau memberi solusi melalui saluran komunikasi yang ada.



Memverifikasi pelaksanaan dari pengendalian risiko.



Mengomunikasikan dan membahas hasil penilaian risiko.

3. Sumber Daya Instansi

harus

mengidentifikasi

kebutuhan

sumber

daya

dan

memenuhinya, mencakup penugasan personil yang terlatih untuk aktivitas pengelolaan, kinerja dan verikasi proses pengendalian risiko. C. Program Implementasi 1. Dukungan dari Jajaran Pimpinan Membangun filosofi pengelolaan risiko instansi dan kepedulian terhadap risiko pada level jajaran pimpinan. Hal ini dapat diperoleh melalui pendidikan, pelatihan dan pengarahan serta komitmen dari pimpinan instansi.


49


2. Membangun Kebijakan Institusional Kembangkan dan dokumentasikan kebijakan dan kerangka pengelolaan risiko yang diambil pimpinan tertinggi, yang kemudian akan diterapkan di seluruh lini instansi. Kebijakan tersebut mencakup antara lain: 

sasaran kebijakan serta alasan pengelolaan risiko;



hubungan antara kebijakan risiko dengan rencana stratejik;



luas atau cakupan masalah yang tercakup dalam kebijakan;



pedoman tentang risiko-risiko yang dapat ditolerir;



siapa yang bertanggung jawab mengelola risiko;



dukungan yang ada terhadap pengelola risiko;



dokumentasi yang diperlukan;



rencana reviu kinerja yang berkaitan dengan kebijakan ini.

3. Mengomunikasikan Kebijakan Kembangkan dan implementasikan infrastruktur pengelolaan risiko menjadi bagian integral dari perencanaan, proses manajemen dan kultur instansi. 4. Mengelola Risiko pada Tingkat Instansi Kembangkan program pengelolaan risiko pada level instansi dengan menerapkan sistem pengelolaan risiko yang telah disebutkan di atas. 5. Mengelola Risiko pada Tingkat Kegiatan Kembangkan program pengelolaan risiko pada setiap bagian instansi, program, atau proyek, dan kegiatan. Proses yang dilalui, keputusan yang diambil dan tindakan yang direncanakan harus terdokumentasi. 6. Monitor dan Reviu Risiko Kembangkan dan terapkan mekanisme untuk menjamin adanya reviu berkelanjutan terhadap risiko. Hal ini dilakukan agar implementasi dan


50


kebijakan pengendalian risiko tetap relevan, karena situasi selalu berubah dan reviu terhadap keputusan sebelumnya sangatlah penting. Risiko merupakan sesuatu yang tidak statis. Oleh karena itu, efektivitas proses pengelolaan risiko harus dimonitor dan direviu. D. Peran Kepemimpinan dan Perubahan Kultur Penanganan risiko membutuhkan kepemimpinan mulai dari para pemimpin di pemerintahan. Terdapat beberapa faktor eksternal yang mendorong pemerintah untuk memperbaiki kapasitas dan kemampuannya menangani risiko, yaitu: 

meningkatnya harapan publik terhadap tingkat keselamatan yang dapat diterima dan pelayanan publik oleh pemerintah;



perkembangan di negara-negara lain;



adanya kompetisi dari sektor swasta dalam area pelayanan publik, misalnya dalam bidang kesehatan, dan pendidikan;



perkembangan teknologi dan informasi, menghasilkan kesempatan untuk memperbaiki pelayanan publik.

Nilai-nilai yang dapat dijadikan arah menuju perubahan kultur dalam pemerintahan adalah sebagai berikut. 

Pengakuan terhadap tanggung jawab dan pencapaian individu.



Penyampaian hasil-hasil baik positif maupun negatif.



Dorongan terhadap ide-ide baru dan cara-cara melakukan sesuatu.



Analisis dan penilaian berdasarkan bukti empiris.



Mengkritisi asumsi-asumsi dan prosedur yang ada.



Keterbukaan, transparansi, dan kejujuran.



Memahami pentingnya stakeholders dan pelanggan (publik).



Mengantisipasi dan membagi masalah.



Belajar dari kesalahan dan menghindari budaya "saling menyalahkan.”


51


Kultur

organisasi

dapat

menjadi

“batu

sandungan”

untuk

mengimplementasikan pendekatan risiko dalam pemerintahan. Kultur yang ada dalam pemerintahan pada umumnya adalah: suka menghindari risiko (risk averse), kurang inovasi, dan terlalu memberi perhatian terhadap kegagalan dan kesalahan. Akibatnya, hal tersebut akan dapat mengarah kepada pendekatan yang reaktif dan defensif terhadap pengambilan risiko dan pengelolaannya, yang menghasilkan tindakan tidak seimbang ketika berhadapan dengan perubahan.


52

Konsep dan Implementasi Risk Assessment

Recommend Documents