KODE M : 2.220
Konsep dan Implementasi Risk Assessment
2010 PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN EDISI KETIGA
i
Konsep dan Implementasi Risk Assessment
Pusdiklatwas BPKP – Tahun 2010
ii
Konsep dan Implementasi Risk Assessment
Judul Modul
: Konsep
dan
Implementasi
Risk
Assessment Penyusun
:
Nurharyanto, Ak.
Perevisi 1
:
Sigit Susilo Broto, Ak., M Comm.
Perevisi 2
:
Riki Antariksa, Ak.
Pereviu
:
Drs. Sura P, M.B.A.
Editor
:
Rini Septowati, Ak., MM.
:
Dikeluarkan oleh Pusat Pendidikan dan Pelatihan Pengawasan BPKP dalam rangka Diklat Sistem Pengendalian Intern Pemerintah, dan Diklat Penilaian Risiko
Edisi Pertama : Tahun 2008 Edisi kedua
: Tahun 2009
Edisi ketiga
: Tahun 2010
dang-Undang Nomor 1 Tahun 2004 tentang Perbendaharaan Negara, Dilarang keras mengutip, menjiplak, atau menggandakan sebagian atau seluruh isi modul ini, serta memperjualbelikan tanpa izin tertulis dari Pusat Pendidikan dan Pelatihan Pengawasan BPKP
Pusdiklatwas BPKP – Tahun 2010
iii
Konsep dan Implementasi Risk Assessment
DAFTAR ISI KATA PENGANTAR ………………………………………………………………………. DAFTAR ISI ……………………………………………………………………………….. DAFTAR TABEL …………………………………………………………………………… DAFTAR GAMBAR ………………………………………………………………………..
ii iv v v
PENDAHULUAN ………………………………………………………………… A. Latar Belakang …………………………………………………………….. B. Kompetensi Dasar dan Indikator Keberhasilan …………………………. C. Deskripsi Singkat Struktur Modul ………………………………………… D. Metodologi Pemelajaran …………………………………………………..
1 1 3 4 5
BAB I.
BAB II. KONSEP RISIKO ……………………………………………………………….. A. B. C. D. E. F. G. H.
6 Pengertian Berkaitan dengan Risiko ……………………………………. 6 Unsur Risiko ……………………………………………………………….. 7 Kategorisasi Risiko …………………………………………………………. 8 Risk Appetite dan Risk Tolerance ……………………………………….. 11 Kriteria Risiko ……………………………………………………………….. 14 Sumber Risiko, Penyebab, dan Faktor Risiko ………………………….. 21 Risiko Inheren dan Risiko Residual ………………………………………. 24 Latihan…………………….…………………………………………………. 25
BAB III. KONSEP PENILAIAN RISIKO ………………………………………….......... A. Pengertian Penilaian Risiko ………………………………………………. B. Tujuan dan Manfaat Penilaian Risiko ……………………………………. C. Tahapan/Langkah Penilaian Risiko ………………………………………. D. Latihan……………………..…………………………………………………
26 26 27 28 33
BAB IV. METODOLOGI PENILAIAN RISIKO ………………………………………….. A. Hal-hal Terkait Penilaian Risiko …………………………………………... B. Metode Penilaian Risiko …………………………………………………… C. Teknik Penilaian Risiko ……………………………………………………. D. Penggunaan Alat Bantu Komputer (Program Software) ………………..
34 34 37 44 46
BAB V. HAL-HAL YANG PERLU DIBANGUN DALAM IMPLEMENTASI PENILAIAN RISIKO …………………………………………………………….. A. Kebijakan Risiko……………………………………….......................... B. Perencanaan dan Sumber Daya ……………………………………... C. Program Implementasi ………………………………………………….. D. Peran Kepemimpinan dan Perubahan Kultur ……………………….
48
Pusdiklatwas BPKP – Tahun 2010
48 48 49 51
iv
Konsep dan Implementasi Risk Assessment
DAFTAR TABEL Tabel 2.1 Tabel 2.2 Tabel 2.3 Tabel 2.4 Tabel 2.5 Tabel 2.6 Tabel 2.7 Tabel 4.1 Tabel 4.2 Tabel 4.3 Tabel 4.4
Matriks Risiko …………………………………………………………….... Contoh Kriteria bagi Proyek Skala Medium ………………………….... Contoh Tujuan Organisasi Berkaitan Dengan Kriteria ………………… Contoh Kriteria Analisis Risiko ………………………………………….. Contoh Kriteria Penerimaan (Acceptance) Risiko ……………………... Contoh Skor Dampak Risiko dan Definisi/Kriterianya ………………… Ukuran-Ukuran Kualitatif Likelihood …………………………………….. Contoh Deskripsi Probabilitas …………………………………………… Contoh Deskripsi Dampak ………………………………………………. Contoh Matriks Analisis Risiko Secara Kualitatif ……………………… Contoh Matriks Analisis Risiko Secara Semi Kuantitatif ………………
13 16 17 18 18 19 21 38 38 38 40
DAFTAR GAMBAR Gambar 1.1.
Kubus SPIP……………………………………………………………….
Pusdiklatwas BPKP – Tahun 2010
2
v
Konsep dan Implementasi Risk Assessment
BAB I PENDAHULUAN A.
Latar Belakang Peraturan Pemerintah No 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP), khususnya bagian ketiga pasal 13 ayat (1) menyebutkan bahwa pimpinan instansi pemerintah wajib melakukan penilaian risiko. Dalam Pasal 3 PP tersebut, disebutkan bahwa penilaian risiko adalah kegiatan penilaian atas kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran Instansi Pemerintah. Lebih lanjut dalam PP tersebut disebutkan bahwa penilaian risiko terdiri dari identifikasi risiko dan analisis risiko. Sistem pengendalian intern adalah proses yang integral pada tindakan dan kegiatan yang dilakukan secara terus-menerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas tercapainya tujuan instansi melalui kegiatan yang efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan perundang-undangan. SPIP terdiri atas lima unsur, yaitu: 1. unsur lingkungan pengendalian; 2. unsur penilaian risiko; 3. unsur kegiatan pengendalian; 4. unsur informasi dan komunikasi; 5. unsur pemantauan pengendalian intern.
Pusdiklatwas BPKP – Tahun 2010
1
Konsep dan Implementasi Risk Assessment
SPIP diselenggarakan pada baik pada lingkup instansi (entitas) maupun pada tingkat kegiatannya. Tujuan, unsur, dan lingkup tersebut dapat diintegrasikan dalam bentuk kubus seperti pada Gambar 1.1. Penerapan unsur-unsur tersebut dilaksanakan menyatu (integrated) dan menjadi bagian integral dari kegiatan instansi pemerintah. Seperti disebutkan di muka, penilaian risiko terdiri atas identifikasi risiko dan analisis risiko. Dalam rangka penilaian risikonya, pimpinan Instansi Pemerintah menetapkan tujuan instansi dan tujuan pada tingkat kegiatan dengan berpedoman pada peraturan perundang-undangan yang berlaku.
Gambar 1.1. Kubus SPIP
Tujuan instansi pemerintah memuat pernyataan dan arahan yang spesifik, terukur, dapat dicapai, realistis, dan terikat waktu. Tujuan tersebut wajib dikomunikasikan kepada seluruh pegawainya. Untuk mencapai tujuan instansi pemerintah, pimpinan perlu menetapkan:
strategi operasional yang konsisten,
strategi manajemen terintegrasi, dan
Pusdiklatwas BPKP – Tahun 2010
2
Konsep dan Implementasi Risk Assessment
rencana penilaian risiko.
Penetapan tujuan pada tingkat kegiatan sekurang-kurangnya dilakukan dengan memperhatikan hal-hal berikut. a. Berdasarkan pada tujuan dan rencana strategis Instansi Pemerintah. b. Saling melengkapi, saling menunjang, dan tidak bertentangan satu dengan lainnya. c. Relevan dengan seluruh kegiatan utama Instansi Pemerintah; d. Mengandung unsur kriteria pengukuran. e. Didukung sumber daya Instansi Pemerintah yang cukup. f. Melibatkan seluruh tingkat pejabat dalam proses penetapannya.
Identifikasi risiko sekurang-kurangnya dilaksanakan dengan:
menggunakan metodologi yang sesuai untuk tujuan instansi pemerintah dan tujuan pada tingkatan kegiatan secara komprehensif;
menggunakan mekanisme yang memadai untuk mengenali risiko dari faktor eksternal dan faktor internal; dan
menilai faktor lain yang dapat meningkatkan risiko.
Analisis risiko dilaksanakan untuk menentukan dampak dari risiko yang telah diidentifikasi terhadap pencapaian tujuan instansi pemerintah. Pimpinan instansi pemerintah menerapkan prinsip kehati-hatian dalam menentukan tingkat risiko yang dapat diterima (acceptable risks).
B. Kompetensi Dasar dan Indikator Keberhasilan Setelah mempelajari modul ini diharpkan peserta mampu memahami dan menjelaskan konsep-konsep terkait penilaian risiko dan memahami bagaimana mengimplementasikan penilaian risiko sesuai PP No. 60 Tahun 2008.
Pusdiklatwas BPKP – Tahun 2010
3
Konsep dan Implementasi Risk Assessment
Indikator keberhasilan dari kompetensi dasar tersebut, adalah peserta diklat memiliki kemampuan sebagai berikut. 1. Mampu memahami dan menjelaskan konsep-konsep terkait risiko, mencakup definisi, unsur, kategorisasi, risk appetite, risk tolerance, kriteria, dan sumber, penyebab, faktor risiko, risiko inheren, dan risiko residual. 2. Mampu memahami dan menjelaskan penilaian risiko dan tahapannya, mencakup penetapan tujuan, identifikasi, dan analisis risiko. 3. Mampu memahami dan menjelaskan metodologi penilaian risiko, mencakup metode dan teknik penilaian risiko. 4. Mampu menyusun peta risiko. 5. Mampu
menjelaskan
hal-hal
yang
perlu
dibangun
dalam
mengimplementasikan penilaian risiko.
C. Deskripsi Singkat Struktur Modul Modul ini membekali peserta dengan pengertian, pemahaman dan konsepkonsep tentang penilaian risiko yang terdiri atas 4 materi bahasan yang dibagi dalam bentuk bab, sebagai berikut. Bab 1
Pendahuluan,
membahas
mengenai
latar
belakang,
tujuan
pemelajaran umum dan khusus, deskripsi singkat struktur modul, dan metodologi pembelajaran yang digunakan dalam pelaksanaan diklat SPIP. Bab 2
Konsep Risiko, membahas pengertian risiko, unsure risiko, kategorisasi risiko, konsep risk appetite dan risk tolerance, kriteria, sumber, penyebab dan faktor risiko, serta risiko inheren dan risiko residual.
Bab 3
Konsep Penilaian Risiko, membahas tentang pengertian penilaian risiko, tujuan dan manfaat, serta tahapan/langkah pelaksanaan penilaian risiko.
Pusdiklatwas BPKP – Tahun 2010
4
Konsep dan Implementasi Risk Assessment
Bab 4
Metodologi Penilaian Risiko, membahas pengertian terkait, metode-metode penilaian risiko, teknik-teknik penilaian risiko, dan penggunaan alat bantu komputer dalam penilaian risiko.
Bab 5 Hal-Hal yang Perlu Dibangun dalam Implementasi Penilaian Risiko,
membahas
tentang
membangun
kebijakan
risiko,
perencanaan dan sumber daya, program implementasi dan peran pimpinan serta perubahan kultur yang perlu dibangun dalam mengimplementasikan penilaian risiko. D. Metodologi Pemelajaran Agar
peserta
mampu
memahami
konsep
penilaian
risiko
dan
implementasinya, proses belajar mengajar menggunakan pendekatan pemelajaran orang dewasa (andragogi). Dengan metode ini, peserta didorong untuk berperan serta secara aktif melalui komunikasi dua arah. Metode pemelajaran ini menerapkan kombinasi proses belajar mengajar dengan cara ceramah, tanya jawab, dan diskusi/latihan pemecahan kasus. Instruktur akan membantu peserta dalam memahami materi dengan metode ceramah dan pembahasan contoh kasus. Dalam proses ini peserta diberi kesempatan untuk mengajukan pertanyaan atau menanggapi. Agar proses pendalaman materi dapat berlangsung dengan lebih baik, dilakukan pula diskusi kelompok sehingga peserta benar-benar dapat secara aktif terlibat dalam proses belajar-mengajar. Dalam modul ini disertakan pula soal-soal teori dan pertanyaan untuk diskusi dalam rangka membantu peserta memahami materi.
Pusdiklatwas BPKP – Tahun 2010
5
Konsep dan Implementasi Risk Assessment
BAB II KONSEP RISIKO Indikator Keberhasilan Setelah mempelajari bab ini peserta diklat diharap mampu menjelaskan konsep-konsep terkait risiko, mencakup definisi, unsur, kategorisasi, risk appetite, risk tolerance, kriteria, dan sumber, penyebab, faktor risiko, risiko inheren, dan risiko residual.
A.
Pengertian Berkaitan dengan Risiko Di berbagai literatur terdapat banyak pengertian risiko. Dalam beberapa pedoman atau kerangka (framework), risiko didefinisikan sebagai berikut.
Effect of uncertainty upon objectives (AS/NZS ISO 31000: Risk Management – Principles and Guidelines on Implementation).
The chance of something happening that will have an impact on objectives. A risk is often specified in terms of an event or circumstance and the consequences that may flow from it. Risk is measured in terms of a combination of the consequences of an event and their likelihood. (AS/NZS 4360: 2004).
Events that may have a negative impact (COSO II – ERM).
Kemungkinan kejadian yang mengancam pencapaian tujuan dan sasaran instansi pemerintah (PP 60/2008) .
Risiko
mengacu
pada
ketidakpastian
(uncertainty).
Ketidakpastian
diartikan sebagai kurangnya pengetahuan dalam menjelaskan sesuatu atau hasilnya di masa depan, dengan banyak kemungkinan hasil, sementara risiko adalah ketidakpastian yang kemungkinan hasilnya akan berakibat tidak diinginkan atau mendatangkan kerugian yang signifikan. Pusdiklatwas BPKP – Tahun 2010
6
Konsep dan Implementasi Risk Assessment
Meskipun berkonotasi negatif, risiko bukan merupakan sesuatu yang harus dihindari melainkan harus dikelola melalui suatu mekanisme yang dinamakan pengelolaan atau pengendalian risiko. Risiko seringkali diungkapkan dalam bentuk suatu kejadian atau peristiwa dan dampak atau konsekuensi yang mengikutinya. Oleh karenanya, risiko diukur dengan mengombinasikan dampak suatu peristiwa dengan kemungkinan kejadiannya (likelihood atau probabilitas).
B.
Unsur Risiko Dari beberapa pengertian risiko di atas, dapat disimpulkan bahwa risiko terdiri dari unsur-unsur berikut ini.
Kemungkinan kejadian atau peristiwa.
Dampak atau konsekuensi (jika terjadi, risiko akan membawa akibat atau konsekuensi).
Kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk probabilitas).
Untuk pembahasan berikutnya, unsur-unsur risiko selalu terintegrasi dalam pengertian risiko. Perlu dicatat bahwa unsur-unsur tersebut harus selalu ada ketika instansi melakukan penilaian risiko. Jika salah satu unsur tidak terpenuhi maka tidak atau belum dapat dikatakan sebagai risiko. Contoh: “Risiko kebakaran akan berdampak kerugian material dan korban jiwa, dengan kemungkinan kejadian tinggi pada musim kemarau.” Dari pernyataan tersebut, dapat dilihat bahwa semua unsur risiko terpenuhi, yaitu:
adanya kemungkinan kejadian atau peristiwa: risiko kebakaran;
adanya dampak: kerugian material dan korban jiwa;
Pusdiklatwas BPKP – Tahun 2010
7
Konsep dan Implementasi Risk Assessment
adanya kemungkinan kejadian: potensi kejadian tinggi pada musim kemarau.
Selain dari unsur-unsur risiko di atas, ada satu hal lagi yang juga mutlak ada dalam penilaian risiko, yaitu adanya tujuan, baik tujuan tingkat instansi maupun tujuan di tingkat kegiatannya. Hal ini akan dibahas lebih lanjut dalam Bab III.
C. Kategorisasi Risiko Ada beberapa kategori risiko tergantung dari sudut pandang mana kita melihatnya. 1. Risiko dari Sudut Pandang Penyebab Apabila dilihat dari sebab terjadinya, ada dua macam risiko, yaitu risiko keuangan, dan risiko operasional. Risiko keuangan adalah risiko yang disebabkan oleh faktor-faktor keuangan, misalnya risiko kredit. Risiko operasional
adalah
risiko
yang
disebabkan
oleh
faktor-faktor
nonkeuangan, misalnya manusia, teknologi, sistem dan prosedur, dan alam. Di samping risiko dari sudut pandang penyebab, risiko juga bersumber dari risiko stratejik yaitu risiko yang berdampak terhadap entitas dan bersifat strategis (misalnya keuangan, perubahan politik dan keamanan) sebagai akibat keputusan strategis yang tidak sesuai dengan lingkungan eksternal dan internal organisasi serta risiko eksternalitas, yaitu risiko
yang timbul dari faktor eksternal, antara lain reputasi,
lingkungan, sosial, dan hukum. 2. Risiko dari Sudut Pandang Akibat Ada dua kategori risiko jika dilihat dari akibat yang ditimbulkan, yaitu risiko murni dan risiko spekulatif. Apabila suatu kejadian berakibat hanya merugikan dan tidak memungkinkan adanya keuntungan disebut risiko murni, misalnya terjadi kebakaran. Risiko spekulatif adalah risiko
Pusdiklatwas BPKP – Tahun 2010
8
Konsep dan Implementasi Risk Assessment
yang
tidak
saja
memungkinkan
terjadinya
kerugian
tetapi
juga
memungkinkan terjadinya keuntungan, misalnya risiko melakukan investasi. 3. Risiko dari Sudut Pandang Aktivitas Ada berbagai macam aktivitas yang dapat menimbulkan risiko, misalnya aktivitas pemberian kredit oleh bank, aktivitas pelayanan kepada masyarakat. 4. Risiko dari Sudut Pandang Kejadian Risiko dilihat dari sudut pandang kejadiannya, misalnya risiko kebakaran. 5. Risiko dari Sudut Pandang Jenis Risikonya Risiko dari sudut pandang jenis risikonya, mencakup:
risiko teknologi,
risiko keuangan/ekonomi,
risiko sumber daya manusia (kapasitas, hak intelektual),
risiko kesehatan,
risiko politik,
risiko hukum,
risiko keamanan, dan lain-lain.
6. Risiko dari Sudut Pandang Sumbernya Risiko dari sudut pandang sumbernya, meliputi:
risiko eksternal (politik, ekonomi, bencana alam);
risiko internal (reputasi, keamanan, manajemen, informasi untuk pengambilan keputusan).
Pusdiklatwas BPKP – Tahun 2010
9
Konsep dan Implementasi Risk Assessment
7. Risiko dari Sudut Pandang Penerima Risiko atau Pihak Yang Terkena Dampak Risiko Risiko dari sudut pandang penerima risiko atau pihak yang terkena dampak risiko, mencakup:
orang (human risk),
risiko reputasi (reputational risk),
hasil program,
bangunan dan aset,
lingkungan (environmental risk),
pelayanan (service delivery risk), dan lain-lain.
8. Risiko dari Sudut Pandang Tingkat Kemungkinan dan Dampak Risiko (Level/Status Risiko) Risiko dari sudut pandang tingkat kemungkinan dan dampak risiko (level/status risiko), mencakup:
risiko rendah (low risk),
risiko menengah (medium risk),
risiko tinggi (high risk).
Kategorisasi tersebut tergantung dari pertimbangan organisasi sendiri. Organisasi dapat membuat kategorisasi risiko tersebut lebih dari tiga macam, misalnya dalam lima tingkatan: risiko sangat rendah, risiko rendah, risiko menengah, risiko tinggi, dan risiko sangat tinggi.
9. Risiko dari Sudut Pandang Kemampuan Mengendalikan Risiko dari sudut pandang kemampuan mengendalikan, mencakup:
risiko yang sangat terkendali (highly controllabe risk),
risiko yang kurang terkendali (low controllable risk), dan
risiko yang tidak atau sangat sulit dikendalikan (uncontrollable risk).
Pusdiklatwas BPKP – Tahun 2010
10
Konsep dan Implementasi Risk Assessment
10. Risiko dari Sudut Pandang Hirarki Risiko Risiko dari sudut pandang hirarki risiko, mencakup:
D.
risiko stratejik,
risiko program,
risiko proyek,
risiko operasional.
Risk Appetite dan Risk Tolerance Selera risiko (risk appetite) adalah suatu tingkatan dari sekelompok risiko dimana organisasi akan menerima dan dapat mengelola dalam suatu periode tertentu; dengan kata lain, risk appetite adalah sejumlah (sekumpulan) risiko dalam entitas yang akan diterima dalam rangka pencapaian misi atau visi. Hal itu mencerminkan sikap instansi terhadap risiko dan selanjutnya memengaruhi budaya dan gaya pengoperasian instansi. Istilah “toleransi risiko” sering digunakan bergantian dengan istilah “ambang risiko” atau “limit risiko.” Toleransi risiko adalah batas pengambilan risiko yang dapat diterima dari variasi relatif pada pencapaian tujuan dalam tingkat toleransi yang diperkenankan dalam konteks instansi secara keseluruhan. Terkadang menjadi ukuran terbaik dalam instansi serupa untuk mengukur sasaran terkait. Tidaklah selalu efisien untuk mengurangi risiko sampai tingkat yang bernilai residu nol atau batas residu yang sangat rendah karena adanya kendala waktu, biaya, dan usaha yang diperlukan. Di lain pihak, adalah praktik manajemen yang lemah jika menerima begitu saja risiko-risiko yang akan berdampak buruk terhadap instansi. Oleh karena itu, adalah penting bagi instansi untuk membuat ketentuan yang informatif tentang seberapa
banyak
atau
seberapa
besar
risiko
dapat
diterima
(acceptable) sebagai bagian dari praktik manajemen instansi yang wajar.
Pusdiklatwas BPKP – Tahun 2010
11
Konsep dan Implementasi Risk Assessment
Tingkat risiko yang dapat diterima ini dikenal sebagai “risiko yang ditoleransi atau tingkat toleransi risiko.” Tingkat toleransi dapat bervariasi dan dipengaruhi oleh beberapa hal berikut.
Kemampuan dan kemauan dari pegawai untuk mengambil dan mengelola risiko.
Ukuran dan tipe dari instansi yang bersangkutan.
Kematangan (maturitas) dan kompleksitas dari proses pengelolaan/ pengendalian risiko dan lingkungan pengendaliannya.
Kekuatan keuangan instansi dan kemampuannya bertahan terhadap peristiwa-peristiwa
mengejutkan/tak
terduga
atau
perubahan
mendadak. Tidak ada pendekatan yang “sesuai untuk semua keadaan” dalam rangka menentukan tingkat toleransi risiko instansi. Hal tersebut ditentukan oleh tingkat kematangan praktik pengendalian risiko, ketersediaan data, keahlian manajemen, dinamika di lingkungan instansi, dan faktorfaktor lainnya. Namun demikian, prinsip-prinsip berikut ini dapat dijadikan rujukan dalam menentukan tingkat toleransi risiko instansi. 1. Lakukan analisis tentang kemampuan instansi untuk segera pulih secara fisik dan finansial dari adanya suatu kejadian penting (misalnya terhadap risiko pandemi flu burung, risiko tidak mampu mensuplai barang/jasa, bencana alam, krisis perbankan). 2. Analisis tersebut akan memberikan gambaran tentang kebutuhan dan pentingnya rencana kontinjensi, sumber finansial, fisik, dan SDM, serta pentingnya pengendalian. Dari analisis tersebut, tetapkan toleransi yang dapat ditanggung atau diterima oleh instansi. 3. Manajemen
kemudian
dikomunikasikan
kepada
menetapkan seluruh
tingkat
pegawai
oleh
toleransi
dan
pejabat
yang
berwenang. Pusdiklatwas BPKP – Tahun 2010
12
Konsep dan Implementasi Risk Assessment
4. Tingkat toleransi risiko yang telah ditetapkan akan tercermin dalam skala peringkat risiko yang akan digunakan untuk menilai risiko (assess the risks).
Area atas (upper band) dimana risiko-risiko tidak dapat ditoleransi (intolerable),
walau
ada
manfaat
yang
dapat
diperoleh,
pengurangan risiko merupakan keharusan, seberapapun biayanya.
Area tengah (middle band) atau area „abu-abu‟, dimana biaya dan manfaat diperhitungkan, dan peluangnya bersifat seimbang antara peluang dengan potensi konsekuensi yang buruk.
Area bawah (lower band) dimana baik risiko positif maupun negatif dapat diabaikan (negligible), atau karena biaya terkait dengan pelaksanaan tindakan pengendalian risiko ternyata lebih besar dibandingkan biaya dampak jika risiko tersebut benar-benar terjadi.
Tingkat toleransi risiko akan membantu dalam penetapan tipe dan luas tindakan yang diperlukan untuk mengendalikan risiko, serta tingkatan manajemen yang harus mengelola dan memantau risiko tersebut. Tingkat toleransi risiko secara praktis didefinisikan melalui kode warna dalam matriks kemungkinan dan dampak risiko (lihat contoh Tabel 2.1). Warna merah dan oranye merupakan wilayah area atas, sedangkan warna hijau dan biru merupakan wilayah area bawah.
Tabel 2.1. Matriks Risiko
Pusdiklatwas BPKP – Tahun 2010
13
Konsep dan Implementasi Risk Assessment
Tergantung pada sifat risikonya, tingkat toleransi risiko dapat dinyatakan baik dalam bentuk kualitatif maupun kuantitatif. Dalam beberapa kasus, risiko yang dinilai mungkin melebihi batas toleransi, namun tidak dapat dihindari (misalnya ada program prioritas nasional). Manfaat dari kegiatan yang sudah jelas tingkat toleransi risikonya, adalah dapat terhindar dari bahaya risiko yang terlalu ketat kendalinya (overcontrolling risks). Berikut adalah contoh sikap instansi terhadap risiko di instansinya. Terhadap risiko “kebakaran di gedung kantor instansi”, instansi A mungkin akan berbeda risk appetite-nya dibandingkan instansi B. Jika instansi A memiliki sikap yang risk taker, maka instansi tersebut akan lebih banyak mengalokasikan sumber daya yang dimilikinya untuk menghadapi risiko kebakaran setelah juga mempertimbangkan toleransi instansi tersebut terhadap risikonya. Instansi A akan lebih banyak memasang alat pemadam kebakaran di lingkungan kantornya, memasang petunjuk evakuasi, menyelenggarakan pelatihan simulasi situasi gawat darurat secara berkala, dan selalu mengecek kesiapan alat damkarnya. Di lain pihak, jika instansi B memiliki sikap yang risk avoidance, maka instansi tersebut cenderung membatasi risiko kebakaran, misalnya tidak memperbolehkan adanya peralatan atau benda/material yang mudah menimbulkan kebakaran di lingkungan kantornya, pelarangan kegiatan yang dapat menimbulkan percikan atau yang menggunakan api. Pada intinya, instansi tersebut berupaya semaksimalnya untuk menghindari halhal yang berpotensi menimbulkan api, sekecil apapun.
E. Kriteria Risiko Kriteria risiko merupakan sumber acuan (term of reference) bagi penilaian atas signifikansi risiko. Kriteria risiko dapat mencakup masalah biaya dan manfaat, peraturan dan hukum, aspek sosioekonomi dan lingkungan, hal-hal
Pusdiklatwas BPKP – Tahun 2010
14
Konsep dan Implementasi Risk Assessment
yang menjadi perhatian stakeholders, prioritas-prioritas, dan input lainnya terhadap penilaian risiko. Pengembangan kriteria risiko sebenarnya dimulai pada tahap awal yaitu penetapan tujuan, yang nantinya kriteria ini akan digunakan dalam rangka melakukan prioritas terhadap risiko. Keputusan mengenai apakah diperlukan penanganan risiko dapat didasarkan pada kriteria operasional, teknis, keuangan, hukum, sosial, lingkungan, atau kriteria lainnya. Kriteria tersebut harus mencerminkan tujuan yang telah ditetapkan. Hal ini tergantung pada kebijakan
internal
instansi,
tujuan
dan
sasaran
serta
kepentingan
stakeholders. Kriteria dapat dipengaruhi oleh persepsi stakeholders dan oleh hukum atau peraturan perundang-undangan. Adalah penting agar kriteria yang tepat telah ditetapkan di awal. Walaupun kriteria umum untuk pengambilan keputusan dibangun pada awal penetapan tujuan, namun demikian masih dapat dikembangkan lebih lanjut bersamaan dengan saat teridentifikasinya risiko-risiko tertentu dan teknik-teknik analisis risiko ditetapkan. Kriteria risiko harus berkaitan dengan tipe risiko dan bagaimana tingkat risiko dinyatakan. Kriteria-kriteria penting yang perlu dipertimbangkan adalah:
macam dampak atau konsekuensi yang akan dipertimbangkan;
bagaimana kemungkinan (likelihood) didefinisikan;
bagaimana menentukan bahwa tingkat risiko sedemikian rupa sehingga diperlukan kegiatan penanganan/pengendalian.
Kriteria yang akan digunakan untuk menilai tingkat risiko memainkan peranan penting dalam menentukan metode-metode yang akan digunakan menganalisis
risiko.
Oleh
karena
itu,
sangat
penting
untuk
mempertimbangkan kriteria yang tepat di awal proses pengendalian risiko. Peraturan organisasi dan stakeholders yang relevan dapat digunakan untuk menetapkan sekumpulan ukuran kinerja kritikal. Ukuran kinerja ini dapat
Pusdiklatwas BPKP – Tahun 2010
15
Konsep dan Implementasi Risk Assessment
menyediakan kriteria spesifik untuk penilaian risiko pada tahap selanjutnya dari penilaian risiko. Peraturan organisasi dan stakeholders digunakan untuk membuat satu set kriteria untuk analisis, yang akan digunakan untuk menentukan skala-skala spesifik dalam menilai konsekuensi risiko. Rentang dari kriteria mungkin luas. Tabel berikut menunjukkan contoh yang diambil dari suatu proyek skala menengah, dimana tingkat akseptasi masyarakat adalah penting. Daftar kriteria ini berharga bagi manajer proyek mulai dari perencanaan dan tahap desain proyek. Tabel 2.2. Contoh Kriteria Bagi Proyek Berskala Medium KRITERIA
URAIAN
Ketersediaan
Ketersediaan fasilitas harus dimaksimalkan dengan cara mengurangi sejauh mungkin gangguan terhadap operasional saat ini.
Hubungan masyarakat
Standar tertinggi untuk hubungan masyarakat harus terus dijaga.
Ekonomi
Proyek harus dapat dibenarkan dalam kerangka ekonomi, diukur dalam profitabilitas dan tingkat pengembalian (rate of return).
Lingkungan
Solusi-solusi untuk masalah teknis harus baik dari segi lingkungan; alternatif solusi pun harus tersedia.
Pendanaan
Hindari pengeluaran di luar anggaran yang tersedia; maksimalkan penggunaan dana hibah untuk tujuan tertentu.
Hubungan dengan industri
Maksimalkan hubungan dengan kalangan industri dengan cara negosiasi dengan staf representatif serta gunakan kesepakatankesepakatan yang tepat.
Tata kelola
GCG dan pengambilan keputusan yang transparan merupakan aturan pemerintah.
Kualitas
Klien mensyaratkan peralatan yang dibuat dengan benar dan andal.
Keselamatan
Proses dalam proyek harus memastikan standar keselamatan tertinggi; dalam kontrak harus ada klausul yang mencerminkan hal tersebut.
Pengembangan staf (SDM)
Metode dan hasil proyek harus dapat meningkatkan ketrampilan utama dari organisasi dan kemampuan staf yang terlibat.
Jadwal waktu
Proyek harus selesai dalam waktu yang telah ditentukan.
Pusdiklatwas BPKP – Tahun 2010
16
Konsep dan Implementasi Risk Assessment
Contoh kriteria dan tujuan yang berkaitan bagi organisasi yang tergantung pada aset fisik dapat dilihat pada tabel berikut. Tabel 2.3. Contoh Tujuan Organisasi Berkaitan dengan Kriteria KRITERIA
URAIAN TUJUAN
Rugi produksi atau ada pembatasan
Memaksimalkan nilai aset. Meningkatkan produksi berkelanjutan. Memenuhi target dan biaya produksi tahunan.
Integritas fasilitas
Meminimalkan gangguan terhadap operasi. Memelihara kondisi dan kinerja aset atau sistem.
Kinerja proyek
Strategi yang cost-effective. Dilibatkannya entitas operasi. Implementasi dan operasi fasilitas proyek yang tepat waktu.
Dampak keuangan
Biaya suplai dikurangi 10%. Biaya modal dioptimalkan. Biaya operasi diperbaiki. Tidak ada kerugian, tidak ada tambahan biaya.
Perputaran rendah, skill dan pengalaman meningkat. Kinerja kesehatan, keselamatan, dan mental. Meminimalkan risiko kesehatan, keselamatan, dan lingkungan selama konstruksi.
Kinerja kesehatan dan keselamatan. Meminimalkan risiko kesehatan dan keselamatan selama konstruksi. Tidak ada kecelakaan, luka berat, dan masalah kesehatan jangka panjang.
Pegawai
Kesehatan dan Keselamatan
Lingkungan dan Komunitas
Citra dan reputasi
Kinerja lingkungan dan komunitas. Meminimalkan risiko terhadap lingkungan dan komunitas selama konstruksi. Tidak ada pembuangan limbah.
Kinerja tinggi. Dukungan dan kepercayaan pemegang saham dan publik.
Tabel 2.4. di bawah ini mendefinisikan tingkat toleransi instansi terhadap risiko atau risk appetite dan merupakan pedoman tingkat akseptabilitas risiko. Untuk setiap level risiko, tabel tersebut menggambarkan bagaimana risiko dipersepsikan (yaitu rendah, menengah, tinggi, atau ekstrim) serta
Pusdiklatwas BPKP – Tahun 2010
17
Konsep dan Implementasi Risk Assessment
menjelaskan tingkat peringkat pengendalian yang diperlukan untuk dapat menerima risikonya. Kriteria tersebut umumnya mendefinisikan bagaimana risiko-risiko dilaporkan, direviu, dan siapa pihak yang memutuskan tingkat acceptance-nya. Tabel 2.4. Contoh Kriteria Analisis Risiko Kemungkinan (Likelihood) 1
2
3
4
5
Sangat jarang
Jarang
Moderat
Sering
Hampir pasti
Konsekuensi
5
Katastropik
5
10
15
20
25
4
Major
4
8
12
16
20
3
Moderat
3
6
9
12
15
2
Minor
2
4
6
8
10
1
Tidak signifikan
1
2
3
4
5
Tabel 2.5. Contoh Kriteria Penerimaan (Acceptance) Risiko Level Risiko
Kriteria untuk Analisis Risiko
Yang Bertanggung Jawab
1–3
Dapat diterima
Dengan pengendalian yang cukup
Pimpinan Menengah/
4–6
Dipantau
Dengan pengendalian yang cukup
Pimpinan Menengah/ Operasional
6–9
Diperlukan Pengendalian oleh Manajemen
Dengan pengendalian yang cukup
Pimpinan Menengah/ Operasional
10 – 14
Harus menjadi perhatian manajemen (urgent)
Dapat diterima hanya dengan pengendalian yang sangat baik (excellent)
Pimpinan Puncak
15 – 25
Tak dapat diterima (unacceptable)
Dapat diterima hanya dengan pengendalian yang sangat baik (excellent)
Pimpinan Puncak
Pusdiklatwas BPKP – Tahun 2010
Operasional
18
Konsep dan Implementasi Risk Assessment
Tabel 2.6. di bawah ini dapat digunakan untuk menentukan pada tingkat mana dampak risiko akan ditetapkan berdasarkan salah satu atau beberapa syarat yang terpenuhi. Tabel ini mencerminkan kriteria dampak yang ditetapkan oleh pimpinan instansi. Dalam praktik tentu saja satu unit/instansi dapat memiliki ukuran kriteria dampak yang berbeda antara satu instansi dengan instansi yang lain. Tabel 2.6. Contoh Skor Dampak Risiko dan Definisi/Kriterianya Definisi/Kriteria
Level/Skor 1 – Tidak berarti
Agak mengganggu pelayanan.
Tidak menimbulkan kerusakan.
Kerugian kurang dari Rp5.000.000,00.
Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp25.000.000,00.
2 – Kecil
Tidak berdampak pada pencapaian tujuan secara umum.
Tidak berdampak pada pencemaran/reputasi.
Tidak ada/hanya berdampak kecil pada kerusakan lingkungan.
Cukup mengganggu jalannya pelayanan.
Menimbulkan kerusakan kecil.
Kerugian diatas Rp25.000.000,00 sampai Rp50.000.000,00.
Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp100.000.000,00.
Menggangu pencapaian tujuan instansi meskipun tidak signifikan.
Berdampak pada pandangan negatif terhadap instansi dalam skala lokal (telah masuk dalam pemberitaan media lokal).
3 – Sedang
Adanya kerusakan kecil terhadap lingkungan.
Mengganggu kegiatan pelayanan secara signifikan.
Adanya kekerasan, ancaman dan menimbulkan kerusakan yang serius.
Kerugian
yang
terjadi
diatas
Rp100.000.000,00
sampai
Rp500.000.000,00.
Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp500.000.000,00.
Menggangu pencapaian tujuan instansi secara signifikan.
Pusdiklatwas BPKP – Tahun 2010
19
Konsep dan Implementasi Risk Assessment
Definisi/Kriteria
Level/Skor
Berdampak pada pandangan negatif terhadap instansi dalam skala nasional (telah masuk dalam pemberitaan media lokal dan nasional).
4 – Besar
Adanya kerusakan cukup besar terhadap lingkungan.
Terganggunya pelayanan lebih dari 2 hari tetapi kurang dari 1 minggu.
Adanya kekerasan, ancaman dan menimbulkan kerusakan yang serius dan membutuhkan perbaikan yang cukup lama.
Kerugian
yang
terjadi
diatas
Rp500.000.000,00
sampai
Rp1.000.000.000,00.
Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp1.000.000.000,00.
Sebagian tujuan instansi gagal dilaksanakan.
Merusak citra institusi dalam skala nasional (telah masuk dalam pemberitaan media lokal dan nasional).
Adanya kerusakan besar terhadap lingkungan.
5 – Luar Biasa/
Terganggunya pelayanan lebih dari 1 minggu.
Bencana
Kerusakan fatal.
Kerugian yang terjadi d atas Rp1.000.000.000,00.
Terjadi penambahan anggaran yang tidak diprogramkan namun tidak lebih dari Rp2.000.000.000,00.
Sebagian besar tujuan instansi gagal dilaksanakan.
Merusak citra institusi dalam skala nasional, penggantian pucuk pimpinan instansi secara mendadak.
Terjadinya KKN dan diproses secara hukum.
Ukuran lainnya dari risiko adalah likelihood atau kemungkinan atau probabilitas, dan umumnya juga diukur dalam skala 1 sampai 5, dimana 1 berarti ”sangat jarang” atau ”sangat tidak mungkin” dan 5 berarti ”sangat sering” atau ”hampir pasti.” Likelihood dapat dipandang dalam dua aspek. Aspek pertama, skala dapat dibuat dalam bentuk frekuensi dari konsekuensi yang akan terjadi, misalnya lebih dari 2 kali dalam setahun, setiap tahun, setiap 3 tahun, dan sebagainya. Aspek kedua, skala dapat Pusdiklatwas BPKP – Tahun 2010
20
Konsep dan Implementasi Risk Assessment
dibuat dalam bentuk probabilitas kejadiannya pada rentang waktu tertentu, misalnya dalam 5 tahun kedepan suatu konsekuensi adalah hampir pasti, kemungkinan besar, mungkin, jarang, hampir tidak mungkin, dan sebagainya. Dalam beberapa hal, tiap level skala tersebut perlu dikuantifikasi. Dengan demikian, tabel-tabel konsekuensi dan likelihood menjadi bagian dari ”bahasa risiko” di instansi dan sekaligus mencerminkan tingkat toleransi suatu instansi terhadap risikonya.
Level 1
Tabel 2.7. Ukuran-Ukuran Kualitatif Likelihood Deskriptor Contoh Deskripsi Rinci Sangat Jarang
2
Kejadiannya muncul HANYA dalam keadaan
Kurang dari sekali dalam
tertentu.
10 tahun.
Kejadiannya DAPAT muncul pada saat yang
Paling sedikit sekali
sama.
dalam 10 tahun.
Kejadiannya SEHARUSNYA muncul pada
Paling sedikit sekali
saat yang sama.
dalam 5 tahun.
Kejadiannya MUNGKIN muncul pada
Paling sedikit sekali
kebanyakan situasi.
dalam 1 tahun.
Hampir Pasti/Sangat
Kejadiannya DIHARAPKAN muncul pada
Lebih dari satu kali dalam
Sering
kebanyakan situasi.
setahun.
Jarang
3
Moderat
4
Sering
5
Frekuensi
F. Sumber Risiko, Penyebab, dan Faktor Risiko Sumber risiko menurut
Australian Standard/New Zealand Standard
(AS/NZS) 4360:2004, meliputi:
perilaku personel,
aktivitas manajemen dan pengendalian,
kondisi ekonomi,
kejadian yang biasa/tidak biasa,
kondisi politik,
isu-isu teknologi/teknis,
Pusdiklatwas BPKP – Tahun 2010
21
Konsep dan Implementasi Risk Assessment
hubungan hukum dan komersial,
tanggung jawab terhadap produk/publik, dan
aktivitas itu sendiri.
Sumber risiko menurut PP 60 Tahun 2008 Pasal 16 Huruf b dan c, terdiri atas sumber eksternal dan sumber internal, serta risiko yang berasal dari faktor lain. Sumber eksternal mencakup misalnya:
peraturan perundang-undangan baru,
perkembangan teknologi,
bencana alam, dan
gangguan keamanan.
Sedangkan sumber internal mencakup misalnya:
keterbatasan dana operasional,
sumber daya manusia yang tidak kompeten,
peralatan yang tidak memadai,
kebijakan dan prosedur yang tidak jelas, dan
suasana kerja yang tidak kondusif.
Risiko dari faktor lainnya adalah risiko akibat kegagalan pencapaian tujuan dan keterbatasan anggaran yang pernah terjadi, antara lain disebabkan oleh:
pengeluaran program yang tidak tepat,
pelanggaran terhadap pengendalian dana,
ketidaktaatan terhadap peraturan perundang-undangan,
risiko yang melekat pada sifat misinya atau pada signifikansi dan kompleksitas dari setiap program atau kegiatan spesifik yang dilaksanakan.
Pusdiklatwas BPKP – Tahun 2010
22
Konsep dan Implementasi Risk Assessment
Penyebab ada yang dapat dikendalikan dan ada yang tidak dapat dikendalikan.
Istilah
risiko
dan
penyebab
seringkali
tertukar
atau
membingungkan. Untuk itu, coba perhatikan pernyataan berikut ini: “Para ahli telah mengidentifikasi apa yang diyakini sebagai faktor-faktor risiko penyakit kanker paru, misalnya kebiasaan merokok bisa memicu kanker paru, akan tetapi belum ada yang mengetahui apa sebenarnya penyebab penyakit tersebut, karena ada juga orang yang biasa merokok tetapi tidak terkena kanker paru.” Jika mereka mengetahui, tentulah sekarang sudah ada obat yang tepat untuk penyakit tersebut. Jadi faktor risiko hanyalah penanda adanya risiko, dan tidak selalu menjadi penyebab akan terjadinya risiko. Contoh lain: berjalan sendirian pada malam hari di lorong gelap akan menempatkan anda pada risiko perampokan. Oleh karena itu, orang akan mengatakan sebaiknya berjalan pada siang hari di jalan yang ramai. Tetapi, apakah berjalan sendirian pada malam hari di lorong gelap adalah penyebab adanya perampokan? Tentu bukan. Lorong tersebut, kesendirian, berjalan, suasana malam hari, semua itu tidak akan menyebabkan anda dirampok. Bahkan mungkin seringkali anda melakukan hal itu tanpa bertemu perampok sekalipun. Sebaliknya, bisa saja anda berjalan di siang hari pada jalan yang ramai, bahkan ditambah dengan pengawal di sisi anda, namun tetap saja anda dirampok. Artinya kita di sini berbicara tentang ketidakpastian. Pertanyaan selanjutnya: apakah lebih berisiko untuk berjalan sendirian pada malam hari di lorong gelap? Jawabnya, ya. Apakah lebih aman berjalan di siang hari dengan dikawal? Jawabnya, ya. Tetapi, apakah kedua skenario tersebut menyebabkan anda dirampok? Jawabnya, tidak. Jadi apa yang menyebabkan anda dirampok? Jawabannya bukan terletak pada lorong gelap atau ramai, saat malam atau siang, atau siapa korbannya, tetapi pada pelaku perampokan itu sendiri (niat) dan adanya peluang untuk melakukan perampokan.
Apa yang menyebabkan orang itu merampok? Bisa saja
Pusdiklatwas BPKP – Tahun 2010
23
Konsep dan Implementasi Risk Assessment
karena kebutuhan yang mendesak, atau karena adanya penyakit kejiwaan pada diri sang perampok. Dari penjelasan dan contoh-contoh tersebut di atas, dapat disimpulkan bahwa suatu risiko ada penyebabnya, karena penyebab adalah (1) “a factor or event that produces a second event” atau (2) “something that brings about a particular condition, result or effect.” Sedangkan definisi risiko adalah “a chance of something happening that will have an impact upon objectives.” Jika risiko adalah kemungkinan kejadian, maka penyebab adalah sesuatu yang menghasilkan kejadian itu. Namun jika kita bawa pada pengertian (2) dari penyebab, maka risiko yang tidak diantisipasi bisa menjadi penyebab atas dampak kejadiannya. Dalam bahasa sederhana, risiko berbicara tentang kejadian masa depan yang belum terjadi, sedangkan penyebab bisa mencakup baik masa lalu maupun masa depan.
G. Risiko Inheren dan Risiko Residual Risiko inheren adalah risiko yang murni ada tanpa memperhitungkan pengendalian yang sudah ada (eksis), atau risiko yang diukur sebelum memperhitungkan kondisi pengendaliannya. Risiko
residual
merupakan
produk
dari
risiko
inheren
dan
risiko
pengendalian. Atau dengan bahasa yang lebih teknis, risiko residual adalah risiko terkait dengan kegiatan (inheren) dikurangi jumlah kesalahan yang terdeteksi oleh pengendalian, yaitu jumlah kesalahan yang masih tetap belum terdeteksi (residual). Risiko residual juga dikenal sebagai „net risk’, risiko netto. Ini merupakan tingkatan risiko yang tersisa setelah kontrolkontrol yang relevan diaplikasikan oleh manajemen atau setelah manajemen melakukan upaya mitigasi terhadap risiko inheren.
Pusdiklatwas BPKP – Tahun 2010
24
Konsep dan Implementasi Risk Assessment
H. Latihan Diskusikanlah dengan kelompok anda terhadap pertanyaan-pertanyaan berikut ini. 1. Apakah ada perbedaan antara ketidakpastian dengan risiko? Jelaskan! 2. Apakah risiko dapat disamakan dengan masalah (problem)? Berikan penjelasan! 3. Apakah risiko juga dapat mengandung arti positif? Jelaskan! 4. Berikan beberapa contoh risiko yang tidak dapat ditoleransi! Demikian pula berikan beberapa contoh risiko yang dapat diabaikan! 5. Mengapa kriteria risiko perlu ditetapkan di awal pencapaian tujuan instansi? 6. Berikan contoh kriteria risiko di instansi anda (dapat kualitatif atau kuantitatif). 7. Apa perbedaan risk appetite dan risk tolerance? Berikan contoh. Apakah risk appetite berpengaruh terhadap toleransi risiko dalam instansi? 8. Berikan contoh sumber eksternal dan internal risiko selain dari pada yang telah disebutkan dalam Pasal 16 PP 60 tahun 2008! 9. Apa perbedaan penyebab risiko dan faktor risiko? Berikan contoh di lingkungan instansi pemerintah!
Pusdiklatwas BPKP – Tahun 2010
25
Konsep dan Implementasi Risk Assessment
BAB 3 PENILAIAN RISIKO Indikator Keberhasilan Setelah mempelajari bab ini peserta diklat diharap mampu menjelaskan penilaian risiko dan tahapannya, mencakup penetapan tujuan, identifikasi, dan analisis risiko
A.
Pengertian Penilaian Risiko Sebelum menguraikan lebih lanjut pengertian penilaian risiko, beberapa istilah penilaian risiko (risk assessment) mempunyai pengertian yang berbeda, tumpang tindih, dan saling dipertukarkan pemakaiannya dalam literatur pengelolaan risiko.
Misalnya, istilah “risk analysis”, “risk
assessment” dan “risk evaluation.” Pemakaian istilah penilaian risiko dalam PP Nomor 60 Tahun 2008 adalah sama pengertiannya dengan risk assessment. Sesuai dengan PP Nomor 60 Tahun 2008, khususnya bagian ketiga, pasal 13, ayat (1) disebutkan bahwa pimpinan instansi wajib melakukan penilaian risiko. Penilaian risiko sebagaimana dimaksud pada ayat (1), terdiri atas (a) identifikasi risiko; dan (b) analisis risiko. Lebih lanjut dalam PP tersebut disebutkan bahwa penilaian risiko diawali dengan penetapan maksud dan tujuan Instansi Pemerintah yang jelas dan konsisten baik pada tingkat instansi maupun pada tingkat kegiatan. Menurut Handbook 436: 2004 penilaian risiko (risk assessment) diartikan sebagai “the overall process of risk identification, risk analysis, and risk evaluation.” Ini dapat dilihat dari Gambar Proses Pengelolaan Risiko, di
Pusdiklatwas BPKP – Tahun 2010
26
Konsep dan Implementasi Risk Assessment
mana penilaian risiko merupakan bagian yang integral atau terpadu dari proses pengelolaan risiko. Hal ini juga sejalan dengan definisi yang dikemukakan oleh Allen L. Burgensen bahwa penilaian risiko adalah
“A systematic process of
organizing to support a risk decision to be made within a risk management process. It consists of the identification of the hazards and analysis and evaluation of risks associated with the exposure to these hazard.” Menurut Australian Government, Department of the Environment and Heritage Australian Government Office (2006) penilaian risiko didefinisikan sebagai “The set of tasks to here collectively as a risk assessment, consists of three central steps in the risk management process: identify the risks, analyze the risks, and evaluate the risks.” Dari uraian di atas dapat disimpulkan bahwa penilaian risiko merupakan proses yang dilakukan oleh suatu instansi atau organisasi dan merupakan bagian yang integral dari proses pengelolaan risiko dalam pengambilan keputusan risiko dengan melakukan tahap identifikasi risiko, analisis risiko, dan evaluasi risiko. Proses penilaian risiko dilakukan setelah penetapan tujuan organisasi . Jika dikaitkan dengan SPIP, penilaian risiko merupakan unsur atau komponen sistem pengendalian intern, dengan subunsur identifikasi dan analisis risiko; sedangkan evaluasi risiko, dengan mempertimbangkan bahwa proses evaluasi sejatinya adalah proses menilai risiko yang akan diprioritaskan (setelah dianalisis termasuk mempertimbangkan tingkat risiko yang dapat diterima) dan direspon, maka proses ini dapat digabungkan dalam proses analisis risiko.
B.
Tujuan dan Manfaat Penilaian Risiko Sebagaimana dikemukakan sebelumnya, penilaian risiko merupakan bagian yang integral atau terpadu dari proses pengelolaan risiko dan juga sistem pengendalian intern. Proses dapat didefinisikan sebagai urutan Pusdiklatwas BPKP – Tahun 2010
27
Konsep dan Implementasi Risk Assessment
tindakan yang dilakukan untuk mencapai tujuan tertentu. Hal ini berarti proses penilaian risiko merupakan prosedur terpadu yang meliputi identifikasi dan analisis risiko-risiko yang timbul. Dari pengertian tersebut, maka tujuan penilaian risiko adalah untuk: 1. mengidentifikasi dan menguraikan semua risiko-risiko potensial yang berasal baik dari faktor internal maupun faktor eksternal; 2. memeringkat risiko-risiko yang memerlukan perhatian manajemen instansi dan yang memerlukan penanganan segera atau tidak memerlukan tindakan lebih lanjut; 3. memberikan suatu masukan atau rekomendasi untuk meyakinkan bahwa terdapat risiko-risiko yang menjadi prioritas paling tinggi untuk dikelola dengan efektif. Manfaat penilaian risiko di antaranya adalah:
membantu pencapaian tujuan instansi dengan informasi tentang risiko;
adanya kesinambungan pelayanan kepada stakeholders;
adanya efisiensi dan efektivitas pelayanan yang lebih baik;
dapat menjadi salah satu pertimbangan dalam penyusunan rencana strategis;
C.
membantu menghindari pemborosan.
Tahapan Penilaian Risiko Penilaian risiko diawali dengan penetapan maksud dan tujuan instansi pemerintah yang jelas dan konsisten baik pada tingkat instansi maupun pada tingkat kegiatan. Selanjutnya instansi pemerintah mengidentifikasi risiko yang dapat menghambat pencapaian tujuan tersebut, baik yang bersumber dari dalam maupun luar instansi. Terhadap risiko yang telah
Pusdiklatwas BPKP – Tahun 2010
28
Konsep dan Implementasi Risk Assessment
diidentifikasi, selanjutnya dianalisis untuk mengetahui pengaruhnya terhadap pencapaian tujuan. Pimpinan instansi pemerintah merumuskan pendekatan pengelolaan risiko dan kegiatan pengendalian risiko yang diperlukan untuk memperkecil risiko. Tahapan penilaian risiko terdiri atas: penetapan tujuan, identifikasi risiko, dan analisis risiko. 1. Penetapan tujuan Identifikasi/penilaian risiko diawali dengan penetapan konteks/ tujuan instansi yang jelas dan konsisten baik pada tingkat stratejik atau kebijakan maupun tingkat operasional. Penetapan tujuan dilakukan dengan cara menjabarkan latar belakang, ruang lingkup, tujuan, dan hubungan organisasi dengan lingkungan eksternal dan internal. Risiko merupakan segala sesuatu yang berdampak terhadap pencapaian tujuan yang diukur berdasarkan kemungkinan dan konsekuensinya. Oleh karena itu, untuk meyakinkan bahwa semua risiko signifikan telah tercakup, maka perlu mengetahui tujuan dan fungsi atau aktivitas instansi yang ditelaah. Pada dasarnya, penetapan tujuan merupakan inti dari penetapan konteks. Dalam penetapan tujuan, instansi harus mempunyai unsur kriteria keberhasilan atau indikator kinerja kunci (key performance indicators) sebagai dasar pengukuran atau kriteria evaluasi pencapaian tujuan, dan juga digunakan untuk mengidentifikasi dan mengukur dampak atau konsekuensi risiko yang dapat mengganggu tujuan instansi. Tujuan penetapan konteks/tujuan adalah: 1) menjelaskan pernyataan tujuan yang spesifik, terukur, dapat dicapai, realistis, dan berjangka waktu; 2) mengidentifikasi lingkungan di mana tujuan akan dicapai; 3) menetapkan ruang lingkup dan tujuan penerapan penilaian risiko, kondisi yang membatasi, dan hasil yang diharapkan; Pusdiklatwas BPKP – Tahun 2010
29
Konsep dan Implementasi Risk Assessment
4) mengidentifikasi
berbagai
kriteria
yang
digunakan
untuk
menganalisis dan mengevaluasi risiko (lihat kriteria risiko baik dampak maupun probabilitas di bab 2); 5) menetapkan struktur analisis risiko. Dalam PP 60 Tahun 2008, tujuan Instansi Pemerintah sebagaimana dimaksud dalam Pasal 13 ayat (3) huruf a memuat pernyataan dan arahan yang spesifik, terukur, dapat dicapai, realistis, dan terikat waktu. Tujuan Instansi Pemerintah tersebut wajib dikomunikasikan kepada seluruh pegawai. Untuk mencapai tujuan Instansi Pemerintah, pimpinan Instansi Pemerintah menetapkan:
strategi operasional yang konsisten, dan
strategi manajemen terintegrasi serta rencana penilaian risiko.
Penetapan tujuan pada tingkatan kegiatan sebagaimana dimaksud dalam Pasal 13 ayat (3) huruf b sekurang-kurangnya dilakukan dengan memperhatikan ketentuan sebagai berikut.
Berdasarkan
pada
tujuan
dan
rencana
strategis
Instansi
Pemerintah.
Saling melengkapi, saling menunjang, dan tidak bertentangan satu dengan lainnya.
Relevan dengan seluruh kegiatan utama Instansi Pemerintah.
Mengandung unsur kriteria pengukuran.
Didukung sumber daya Instansi Pemerintah yang cukup.
Melibatkan seluruh tingkat pejabat dalam proses penetapannya.
Pusdiklatwas BPKP – Tahun 2010
30
Konsep dan Implementasi Risk Assessment
2. Identifikasi risiko Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan bagaimana sesuatu dapat terjadi, sehingga dapat berdampak negatif terhadap pencapaian tujuan. Tujuannya adalah untuk menghasilkan suatu daftar sumber-sumber risiko dan kejadiankejadian yang berpotensi membawa dampak terhadap pencapaian tiap tujuan yang telah diidentifikasi dalam penetapan tujuan. Potensi kejadian-kejadian
tersebut
dapat
mencegah,
menghambat,
menurunkan, memperlama atau justru meningkatkan pencapaian tujuan-tujuan tersebut. Setelah
mengidentifikasi
apa
yang
dapat
terjadi,
maka
perlu
dipertimbangkan kemungkinan-kemungkinan penyebab dan skenarioskenario yang dapat terjadi. Terdapat banyak jalan untuk kemunculan suatu kejadian, dan oleh karenanya adalah perlu agar jangan sampai ada penyebab-penyebab signifikan yang tertinggal. Akibat ancaman/gangguan risiko terhadap pencapaian tujuan adalah sebagai berikut.
Tujuan menjadi lebih lama tercapainya.
Tujuan tercapai hanya sebagian (<100%).
Tujuan tidak tercapai sama sekali.
Tujuan tercapai namun lebih mahal (high cost).
Tujuan melenceng dari yang telah ditetapkan.
Jika dikatkan dengan SPIP, identifikasi risiko dapat diarahkan terutama kepada empat tujuan di SPIP. 1) Apa yang akan/berpotensi mengganggu efisiensi dan efektivitas operasi di instansi pemerintah? 2) Apa yang berpotensi mengancam pelaporan keuangan yang andal?
Pusdiklatwas BPKP – Tahun 2010
31
Konsep dan Implementasi Risk Assessment
3) Apa yang berpotensi menghambat dalam hal pengamanan aset di instansi pemerintah? 4) Apa yang berpotensi menjadi tantangan atau gangguan dalam hal ketaatan terhadap peraturan perundang-undangan di instansi pemerintah?
3. Analisis risiko Analisis risiko adalah proses penilaian terhadap risiko yang telah teridentifikasi, dalam rangka mengestimasi kemungkinan munculnya dan besaran dampaknya, untuk menetapkan level atau status risikonya. Status risiko diperoleh dari hubungan antara kemungkinan (frekuensi atau probabilitas kemunculan) dan dampak (besaran efek) jika risiko terjadi. Status risiko biasanya disajikan dalam bentuk tabel. Secara sederhana, level risiko dihitung dengan rumus berikut.
Level Risiko = Kemungkinan x Dampak Analisis risiko dilaksanakan untuk menentukan dampak dari risiko yang telah diidentifikasi terhadap pencapaian tujuan instansi pemerintah. Pimpinan instansi pemerintah menerapkan prinsip kehati-hatian dalam menentukan tingkat risiko yang dapat diterima (acceptable risk).
Pusdiklatwas BPKP – Tahun 2010
32
Konsep dan Implementasi Risk Assessment
D. Latihan Diskusikanlah dengan kelompok anda terhadap pertanyaan-pertanyaan berikut ini. 1. Dikaitkan dengan empat unsur SPIP lainnya (lingkungan pengendalian, kegiatan pengendalian, informasi & komunikasi, dan pemantauan pengendalian intern), seberapa pentingkah unsur penilaian risiko? Jelaskan! 2. Mengapa penetapan konteks/tujuan amat penting dalam tahapan penilaian risiko? Jelaskan! 3. Di antara manfaat penilaian risiko adalah dapat dijadikan pertimbangan untuk penyusunan rencana strategis instansi. Jelaskan bagaimana penilaian risiko dapat membawa manfaat tersebut! 4. Berikan contoh hasil identifikasi risiko (menurut persepsi anda) di instansi anda! Identifikasi anda dapat dikaitkan dengan potensi ancaman terhadap pencapaian tujuan instansi maupun terhadap empat tujuan SPIP.
Pusdiklatwas BPKP – Tahun 2010
33
Konsep dan Implementasi Risk Assessment
BAB 4 METODOLOGI PENILAIAN RISIKO Indikator Keberhasilan Setelah mempelajari bab ini peserta diklat diharap mampu menjelaskan pengertian terkait, metode-metode penilaian risiko, teknik-teknik penilaian risiko, dan penggunaan alat bantu komputer dalam penilaian risiko.
A. Hal-hal Terkait Penilaian Risiko Pada dasarnya, identifikasi risiko dapat dilakukan dengan cara retrospektif (retrospectively) dan prospektif (prospectively). Identifikasi risiko retrospektif (retrospective risks) adalah risiko-risiko yang sebelumnya telah terjadi, seperti insiden atau kecelakaan. Identifikasi risiko retrospektif biasanya merupakan cara yang sangat umum dan
mudah untuk mengidentifikasi
risiko. Adalah lebih mudah untuk mempercayai sesuatu jika sesuatu tersebut telah terjadi sebelumnya, sehingga lebih mudah untuk mengkuantifikasi dampaknya dan melihat bahaya yang menyebabkannya. Sumber informasi risiko retrospektif, meliputi: daftar atau register insiden/bahaya; laporan audit, hasil evaluasi, dan penilaian lainnya; keluhan pelanggan/stakeholders; dokumen dan laporan; staf lama atau survai pelanggan; dan media profesional atau surat kabar, seperti jurnal atau websites. Risiko prospektif (prospective risks) biasanya lebih sulit diidentifikasi. Risiko ini adalah sesuatu yang belum terjadi, tetapi mungkin terjadi beberapa waktu yang akan datang. Identifikasi akan meliputi semua risiko, apakah risiko tersebut akan dikelola sekarang atau tidak. Dasar pemikirannya di sini Pusdiklatwas BPKP – Tahun 2010
34
Konsep dan Implementasi Risk Assessment
adalah mencatat semua risiko signifikan dan memantau atau mereviu efektivitas pengendaliannya. Metode untuk mengidentifikasi risiko prospektif meliputi hal berikut.
Melakukan brainstorming dengan staf atau pemangku kepentingan eksternal.
Riset ekonomi, politik, legislatif, dan lingkungan operasi.
Melakukan wawancara dengan orang-orang atau organisasi yang relevan.
Melakukan survai staf atau pelanggan untuk mengidentifikasi isu-isu atau problem yang diantisipasi.
Bagan arus suatu proses.
Mereviu desain sistem atau membuat teknik-teknik analisis sistem.
Analisis SWOT.
Ruang lingkup pelaksanaan penilaian risiko antara satu unit dengan unit lain bisa saja berbeda. Pelaksanaan penilaian risiko instansi dapat dilakukan pada tingkatan berikut. 1. Tingkat stratejik, meliputi antara lain pengembangan kebijakan, penyampaian layanan, program ketaatan, dan pertimbangan politik. 2. Tingkat instansi dan program, meliputi antara lain prioritas dan strategi organisasi, manajemen keuangan, hubungan antar organisasi, teknologi, pengendalian
dan
pencegahan
kecurangan,
kemampuan
staf,
manajemen aset, kewajiban sosial dan strategi koordinasi. 3. Tingkat kegiatan/proyek, meliputi antara lain perencanaan, proses, prioritas pekerjaan, pengembangan dan pelatihan, kontrak, prosedur, kualitas
data,
organisasi,
pengadaan,
komunikasi,
konsultan,
pemberdayaan
jaminan pegawai,
kualitas,
struktur
konstruksi
dan
bangunan, informasi teknologi, dan joint ventures.
Pusdiklatwas BPKP – Tahun 2010
35
Konsep dan Implementasi Risk Assessment
4. Tingkat individu, meliputi antara lain mutasi pegawai, pengembangan kemampuan, keseimbangan antara urusan pekerjaan dan rumah tangga, tingkat komitmen, etika dan nilai (kualitas kepemimpinan), isu kesehatan, kewajiban hukum pegawai. Secara praktis, langkah untuk melakukan penilaian risiko adalah sebagai berikut. 1. Penetapan unit risiko, yaitu penetapan organisasi atau unit mana yang akan diidentifikasi risikonya dan tingkatan risikonya (risiko strategik atau risiko kegiatan). 2. Pemahaman terhadap tupoksi organisasi/unit yang bersangkutan. 3. Pemahaman terhadap aktivitas utama dari organisasi. 4. Reviu atas kriteria risiko yang ada, mencakup tingkat toleransi risiko, kriteria dampak, kriteria kemungkinan, dan kriteria tingkat efektivitas pengendalian yang sudah ada. 5. Pembuatan daftar risiko (risk register), yang memuat pernyataan risiko, dampak, penyebab, kemungkinan kejadian, pengendalian yang sudah ada, kegiatan pengendalian yang diperlukan, dan pemilik risiko, serta waktu pelaksanaan rencana tindak. 6. Pembuatan peta atau profil risiko. Analisis risiko pada intinya adalah mengukur risiko (measuring risks) yang telah teridentifikasi. Pengukuran dimaksudkan untuk memperoleh status atau level risiko (lihat rumus di Bab 3). Faktor-faktor yang harus diperhatikan dalam menganalisis risiko adalah sebagai berikut. 1. Memahami Pengelolaan/Pengendalian Risiko yang Ada Lakukan identifikasi sistem pengendalian yang ada, petunjuk teknis dan prosedur untuk mengendalikan risiko serta lakukan penilaian terhadap kekuatan dan kelemahannya. Instrumen yang digunakan, antara lain
Pusdiklatwas BPKP – Tahun 2010
36
Konsep dan Implementasi Risk Assessment
adalah: checklist, pertimbangan sesuai pengalaman dan dokumen, flow charts,
brainstorming,
analisis
sistem,
analisis
skenario,
teknik
pengembangan sistem, inspeksi, dan teknik CSA (Control SelfAssessment). 2. Kemungkinan dan Dampak Kemungkinan dan dampak dikombinasikan untuk menghasilkan status risiko tertentu. Kemungkinan dan dampak dapat ditentukan dengan menggunakan analisis statistik dan perhitungan tertentu. Jika tidak ada data tersedia, estimasi subjektif dapat dibuat untuk mencerminkan tingkat keyakinan individu atau kelompok bahwa suatu kejadian atau hasilnya akan terjadi.
B. Metode Penilaian Risiko Analisis risiko dapat dilakukan pada berbagai tingkatan kedalaman tergantung pada informasi risiko, data, dan biaya yang tersedia. Ada tiga tipe metode analisis risiko yang dapat digunakan untuk menetapkan status/level risiko yaitu kualitatif, semi kuantitatif, dan kuantitatif. 1. Analisis Kualitatif Analisis kualitatif menggunakan bentuk verbal atau skala deskriptif untuk menjelaskan besaran kemungkinan dan dampak risiko. Skala ini dapat disesuaikan berdasarkan kondisi dan penjelasan yang berbeda dapat digunakan untuk risiko yang berbeda. Analisis kualitatif digunakan bila level risiko tidak memungkinkan dari segi waktu dan sumber daya yang ada untuk melakukan analisis numerik dan data numerik tidak mencukupi untuk analisis kuantitatif, atau untuk melakukan pemindaian dini terhadap risiko sebelum melakukan analisis lebih lanjut yang lebih rinci. Contoh-contoh analisis kualitatif disajikan pada Tabel 4.1 sampai dengan tabel 4.4.
Pusdiklatwas BPKP – Tahun 2010
37
Konsep dan Implementasi Risk Assessment
Tabel 4.1. Contoh Deskripsi Probabilitas (Kemungkinan) Level
Deskriptor
Deskripsi
5
Hampir pasti
Diperkirakan muncul dalam semua situasi.
4
Cenderung terjadi
Cenderung terjadi pada kebanyakan situasi.
3
Mungkin terjadi
Kemungkinan muncul pada waktu tertentu.
2
Kadang-kadang terjadi
Dapat terjadi pada waktu tertentu.
1
Sangat jarang terjadi
Hanya terjadi pada situasi tertentu.
Tabel 4.2. Contoh Deskripsi Dampak Level
Deskriptor
Deskripsi
1
Tidak signifikan
Tidak ada yang terluka, kerugian keuangan kecil.
2
Minor
Diperlukan pertolongan pertama, kebocoran limbah dapat ditangani, kerugian keuangan sedang.
3
Moderat
Perlu penanganan medis, kebocoran limbah dapat ditangani dengan bantuan pihak luar, kerugian keuangan cukup tinggi.
4
Major
Luka parah, pembuangan limbah tidak pada tempatnya namun tidak memberi efek yang memusnahkan, kerugian keuangan besar.
5
Sangat berbahaya
Mati, pembuangan limbah tidak pada tempatnya dengan efek memusnahkan, kerugian keuangan sangat besar.
Tabel 4.3. Contoh Matriks Analisis Risiko Secara Kualitatif Dampak Kemungkinan
Tidak signifikan
Minor
Moderat
Major
Sangat berbahaya
Hampir pasti Cenderung terjadi Mungkin terjadi Kadang-kadang terjadi Sangat jarang terjadi
Moderat
Tinggi
Ekstrim
Ekstrim
Ekstrim
Rendah
Moderat
Tinggi
Ekstrim
Ekstrim
Rendah
Moderat
Moderat
Tinggi
Ekstrim
Rendah
Rendah
Moderat
Moderat
Tinggi
Rendah
Rendah
Rendah
Rendah
Moderat
Pusdiklatwas BPKP – Tahun 2010
38
Konsep dan Implementasi Risk Assessment
Dari contoh di atas, ada yang dapat dijelaskan sebagai berikut.
Risiko dengan kemungkinan terjadi “hampir pasti” dan berdampak “moderat” dikategorikan “ekstrim”.
Risiko dengan kemungkinan “kadang-kadang terjadi” dan berdampak “minor” dikategorikan “rendah”.
Keuntungan metode kualitatif adalah:
cepat dan relatif mudah digunakan, bila penilaian risiko terstruktur dengan baik, risiko dapat segera digambarkan dan kemungkinan serta dampaknya dapat diidentifikasi;
pemakai metode ini dapat memperoleh pemahaman mengenai perbandingan antara beberapa risiko.
Kekurangan metode kualitatif adalah:
kurang akurat karena risiko dikelompokkan dalam satu tingkatan, padahal kenyataannya secara substantif berlainan level;
sulit untuk membandingkan risiko pada basis yang sama;
perbandingan antar tingkat risiko bisa tidak konsisten;
jarang ada justifikasi yang jelas atas proses yang digunakan untuk menimbang risiko pada dampak risiko yang beragam;
pembedaan antar risiko sangat kurang;
metode ini menggunakan ukuran deskriptif emosional;
metode ini memberikan definisi yang sangat disederhanakan mengenai kejadian risiko melalui kombinasi beberapa dampak yang mungkin timbul dari satu kejadian;
aplikasi analisis keuangan kuantitatif untuk penanganan risiko sangat terbatas.
Pusdiklatwas BPKP – Tahun 2010
39
Konsep dan Implementasi Risk Assessment
2. Analisis Semi Kuantitatif (Kombinasi) Dalam
analisis
semi
kuantitatif,
skala
kualitatif
yang
dijelaskan
sebelumnya diberi nilai. Nilai yang diberikan pada setiap deskripsi tidak harus memiliki hubungan yang akurat atas besaran sebenarnya dari kemungkinan
atau
dampak.
Nilai
yang
ditetapkan
harus
dapat
menghasilkan urutan prioritas yang lebih rinci daripada yang dapat dicapai analisis kualitatif, sekalipun belum merupakan nilai realistis. Pendekatan ini memberi atribut nilai pada “kemungkinan” dan “dampak” risiko, sehingga dapat dikatakan selangkah lebih maju dari pendekatan kualitatif. Tabel 4.4 – Contoh Matriks Analisis Risiko Secara Semi Kuantitatif Kemungkinan
Dampak 1
Frekuensi Tahunan
(Tidak signifikan)
2
3
4
(Minor)
(Moderat)
(Major)
5 (Sangat berbahaya)
0,5 (Hampir pasti)
0,5
1
1,5
2
2,5
0, 1 (Cenderung terjadi)
0,1
0,2
0,3
0,4
0,5
0,01 (Mungkin terjadi)
0,01
0,02
0,03
0,04
0,05
0,001
0,002
0,003
0,004
0,005
0,0001
0,0002
0,0003
0,0004
0,0005
0,001 (Kadang-kadang terjadi) 0,0001 (Sangat jarang terjadi)
Dari contoh di atas, beberapa hal dapat dijelaskan sebagai berikut.
Risiko dengan kemungkinan terjadi “hampir pasti” dan berdampak “moderat”, dikategorikan “ekstrim” dengan nilai 1,5.
Risiko dengan kemungkinan “kadang terjadi” dan berdampak “minor”, dikategorikan “rendah” dengan nilai 0,002.
Pusdiklatwas BPKP – Tahun 2010
40
Konsep dan Implementasi Risk Assessment
Keuntungan metode semi kuantitatif adalah:
penerapannya cepat;
dapat
memberikan
pemahaman yang
masuk akal mengenai
perbandingan risiko sekalipun masih bersifat relatif dan bukan mutlak;
pembedaan yang masuk akal antar kejadian risiko;
penggunaan ukuran deskriptif emosional untuk menentukan tingkat risiko lebih sedikit.
Kekurangan metode semi kuantitatif adalah:
kurang akurat;
sulit untuk membandingkan risiko pada basis yang sama, sekalipun dalam beberapa kasus memungkinkan;
tidak mungkin untuk meyakini bahwa dua kejadian yang dicirikan dengan nilai risiko yang sama merupakan risiko yang serupa.
metode ini memberikan definisi yang sangat disederhanakan mengenai kejadian risiko melalui kombinasi beberapa dampak yang mungkin timbul dari satu kejadian;
aplikasi analisis keuangan kuantitatif untuk penanganan risiko terbatas.
3. Analisis Kuantitatif Analisis kuantitatif menggunakan nilai numerik untuk menyatakan kemungkinan dan dampak dengan menggunakan data dari berbagai sumber. Kualitas analisis tergantung pada akurasi dan kelengkapan nilai numerik yang digunakan. Level risiko dapat diperhitungkan dengan metode kuantitatif dalam situasi dimana kemungkinan terjadinya dan dampak risiko dapat dikuantifikasi, selain juga diperlukan dukungan data historis beberapa tahun. Misalnya penilaian risiko terhadap fraud mengarah pada metode kuantitatif. Namun perlu diwaspadai bahwa metode kuantitatif tetap memiliki kelemahan.
Pusdiklatwas BPKP – Tahun 2010
41
Konsep dan Implementasi Risk Assessment
Kemungkinan terjadinya risiko biasanya dinyatakan sebagai probabilitas, frekuensi, atau kemunculan.
Dampak diestimasi dengan memodelkan
hasil dari sekelompok kejadian, atau dieksplorasi dari studi eksperimen atau data sebelumnya. Dampak dapat dinyatakan dalam ukuran uang, teknis, kriteria kemanusiaan, atau kriteria evaluasi risiko yang telah ditetapkan. Dalam beberapa kasus, diperlukan lebih dari satu nilai numerik untuk menjelaskan dampak pada situasi, kelompok, dan tempat yang berbeda. Cara
menyatakan
kemungkinan
dan
dampak
serta
cara
mengombinasikan keduanya untuk menetapkan status risiko akan berbeda, tergantung pada tipe risiko dan konteks risikonya. Keuntungan metode kuantitatif adalah:
bila diperlukan dapat dilaksanakan dengan cepat untuk indikasi pendahuluan atas risiko relatif;
memberikan pemahaman yang jelas mengenai perbandingan risiko;
proses secara langsung menghitung beragam dampak dan rasional yang digunakan transparan;
memberi pembedaan yang baik antar kejadian;
tidak menggunakan ukuran emosional untuk menjelaskan tingkat risiko;
mendefinisikan kejadian risiko dengan sangat teliti;
mudah untuk membandingkan kejadian risiko pada basis yang sama;
dapat mencakup kejadian yang kompleks, misalnya melalui analisis pohon kejadian (event tree analysis) dengan mengombinasikan beragam dampak yang dapat timbul dari satu kejadian;
aplikasi yang ekstensif untuk pengembangan strategi penanganan risiko;
biasanya dapat mencakup kejadian yang tidak dapat dikuantifikasi (unquantifiable), dengan menggunakan pendekatan yang sistematis.
Pusdiklatwas BPKP – Tahun 2010
42
Konsep dan Implementasi Risk Assessment
misalnya, dampak pengurangan akses publik memasuki suatu pantai dapat dikuantifikasi sebagai biaya transportasi menuju lokasi alternatif dan biaya melonjaknya nilai tanah. Kekurangan metode kuantitatif adalah:
kurang mengelaborasi persepsi manusia yang justru lebih mendetail dalam hal naratif;
sulit diterapkan dalam kondisi data kuantitatif yang sangat kurang.
Contoh risiko kuantitatif adalah sebagai berikut.
Risiko laba atau rugi keuangan Laba atau rugi finansial dikalikan dengan frekuensi laba atau rugi akan menghasilkan perkiraan nilai rupiah per tahun.
Risiko kejadian fatal Kejadian fatal dari suatu aktivitas dapat diperhitungkan sebagai berikut. Jumlah kematian per tahun dari aktivitas Jumlah kemunculan/kejadian
Bencana alam atau perbuatan manusia Dampak
dapat
dimodelkan
dengan
menggunakan
simulasi
terkomputerisasi dan kemungkinannya diperkirakan dengan data historis, pohon masalah (fault tree), atau teknik pengembangan sistem.
Risiko kesehatan Risiko kesehatan biasanya dinyatakan dengan cara sebagai berikut . a. Rasio terjangkit wabah per tahun adalah perbandingan antara jumlah orang yang terjangkit dengan total populasi.
Pusdiklatwas BPKP – Tahun 2010
43
Konsep dan Implementasi Risk Assessment
b. Rasio kemungkinan terjadinya kematian sebelum tingkat umur tertentu. c. Jumlah kejadian fatal pada orang usia 70 tahun yang diperkirakan akan muncul, dibagi dengan jumlah orang berusia 70 tahun. Risiko kesehatan dapat dikembangkan dari data epidemiologi (data survai kejadian fatal atau sakit) atau dari data percobaan terhadap hewan.
C. Teknik Penilaian Risiko Pada dasarnya, identifikasi risiko dapat dilakukan dengan menggunakan salah satu dari keempat metode berikut, atau bisa juga digunakan secara bersama-sama agar saling melengkapi. 1. Metode 1: Analisis Data Historis Prinsip dari metode ini adalah menggunakan berbagai informasi atau data mengenai segala sesuatu yang pernah terjadi, baik data primer maupun data sekunder. 2. Metode 2: Pengamatan dan Survai Bila tidak tersedia data historis, maka dapat dilakukan investigasi, pengamatan, atau survai di tempat (on the spot ) sehingga dapat diperoleh data primer. 3. Metode 3: Pengacuan (Benchmarking) Metode ini pada prinsipnya diterapkan untuk melengkapi identifikasi risiko menggunakan metode 1 dan 2 di atas. Seandainya dengan kedua metode di atas, risiko yang diperoleh dirasakan kurang meyakinkan, atau ada risiko yang bisa terjadi tetapi tidak ditemukan, atau tidak menyadari adanya suatu risiko terkait dengan obyek yang diamati dan memerlukan konfirmasi lebih lanjut, maka perlu dilakukan pencarian
informasi di
tempat atau organisasi lain sebagai acuan (benchmark).
Benchmark
Pusdiklatwas BPKP – Tahun 2010
44
Konsep dan Implementasi Risk Assessment
merupakan obyek yang memiliki kesamaan dengan obyek yang sedang diamati berkaitan dengan keberadaan risiko. 4. Metode 4: Pendapat Ahli Pendapat ahli (expert opinion) dapat diperoleh melalui wawancara kepada satu orang, kepada sekelompok orang, atau melalui diskusi kelompok khusus, atau focus group discussion (FGD). Pihak yang diwawancarai atau dilibatkan adalah mereka yang dianggap ahli.
Selanjutnya, analisis risiko dapat dilakukan dengan metode kualitatif atau kuantitatif. 1. Metode kualitatif antara lain:
curah pendapat (brainstorming),
evaluasi
menggunakan
kelompok
multidisiplin/Focus
Group
Discussion (FGD),
pertimbangan ahli dan spesialis (misalnya teknik Delphi), dan
wawancara terstruktur
kuesioner.
2. Metode kuantitatif antara lain:
analisis dampak,
analisis biaya siklus hidup,
analisis jaringan (network),
analisis probabilitas,
simulasi/model komputer (misalnya simulasi Monte Carlo),
analisis statistik/numerik, dan
survai kepuasan masyarakat dan riset pasar.
Pusdiklatwas BPKP – Tahun 2010
45
Konsep dan Implementasi Risk Assessment
D. Penggunaan Alat Bantu Komputer (Program Software) Agar data dapat memberikan informasi, harus dilakukan pengolahan data dan analisis data. Pengolahan data dapat dilakukan dengan menggunakan Software SPSS, Microsoft Excel, atau pengolah data lainnya. Teknik yang dilakukan umumnya adalah statistik deskriptif Sebelum melakukan analisis terhadap data, terutama data yang diperoleh melalui kuesioner, tentunya harus dilakukan pengolahan terhadap data tersebut.
Salah satu perangkat lunak (software) yang dapat digunakan
dalam pengolahan data adalah SPSS. Proses pengolahan data dilakukan dalam empat tahap, yaitu penyuntingan (editing), pemberian kode (coding), tabulasi, dan analisis data. 1. Penyuntingan (Editing) Hasil dari pengumpulan data melalui kuesioner dikumpulkan dan disimpan dalam ordner. Lakukan pengecekan atas kelengkapan dan validitas data. Tim lalu memilih dan menyortir data valid yang akan diolah. Hal ini dilakukan untuk menghindari “garbage in garbage out. “ Proses penyuntingan berakhir jika sudah dipastikan bahwa semua lembar kertas kerja telah terkumpul dan valid. Beri nomor pada masingmasing set kuesioner. 2. Pemberian Kode (Coding) Pemberian
kode
perlu
dilakukan
karena
pemroses
data
akan
menggunakan komputer. Pemberian kode bertujuan untuk memudahkan dalam
memasukan
input
data
dan
menghindari
pengulangan
memasukkan data/kesalahan input. Pemberian kode yang dilakukan oleh penilai dapat berupa angka ataupun huruf. Sebagai contoh, data kuesioner, di dalam kuesioner memuat identitas pengisi kuesioner.
Pusdiklatwas BPKP – Tahun 2010
46
Konsep dan Implementasi Risk Assessment
Identitas Respoden, Jabatan
: ………………......
Golongan : ………………. Bidang
: ………………….
Keterangan: Jabatan diisi dengan angka 1 = Kepala unit 2 = Kepala Bidang 3 = Pelaksana
3. Tabulasi Dalam proses tabulasi, dilakukan pengolahan terhadap data-data dari hasil identifikasi risiko baik melalui kuesioner, kajian dokumen, hasil FGD, maupun hasil wawancara. Program yang digunakan untuk mentabulasi adalah program SPSS untuk kuesioner, sedangkan untuk hasil wawancara, observasi dan kajian dokumen dapat dilakukan dalam program Microsoft Excel.
Pusdiklatwas BPKP – Tahun 2010
47
Konsep dan Implementasi Risk Assessment
BAB 5 HAL-HAL YANG PERLU DIBANGUN DALAM IMPLEMENTASI PENILAIAN RISIKO
Indikator Keberhasilan Setelah mempelajari bab ini peserta diklat diharap mampu menjelaskan Mampu menjelaskan hal-hal yang perlu dibangun dalam mengimplementasikan penilaian risiko.
A. Kebijakan Risiko Membangun kebijakan risiko dan mekanisme pendukungnya pada instansi pemerintah
dibutuhkan
guna
menghasilkan
suatu
kerangka
bagi
pelaksanaan rencana penilaian risiko yang efektif. Pimpinan instansi perlu menyatakan kebijakannya secara tertulis tentang pengelolaan risiko yang mencakup tujuan dan komitmennya terhadap pengelolaan risiko. Kebijakan ini harus relevan dengan konteks strategik, tujuan, sasaran, serta sifat kegiatan instansi. Manajemen harus memastikan bahwa kebijakan tersebut dipahami, diimplementasikan, dan dipelihara pada setiap level pejabat/pegawai. B. Perencanaan dan Sumber Daya 1. Komitmen Jajaran Pimpinan Instansi Pimpinan instansi harus memastikan bahwa:
rencana penilaian risiko telah ditetapkan, diimplementasikan, dan dipelihara;
Pusdiklatwas BPKP – Tahun 2010
48
Konsep dan Implementasi Risk Assessment
kinerja atas rencana penilaian risiko dilaporkan kepada pimpinan untuk direviu sebagai dasar perbaikan.
2. Wewenang dan Tanggung Jawab Tanggung jawab, wewenang serta kaitan di antara personil yang melaksanakan pekerjaan yang mempengaruhi penilaian risiko harus ditetapkan dan didokumentasikan, khususnya terhadap orang-orang yang memiliki wewenang untuk melakukan satu atau lebih dari tugastugas berikut.
Melakukan tindakan untuk mencegah atau mengurangi efek negatif risiko.
Mengendalikan risiko sampai pada level yang dapat ditoleransi.
Mengidentifikasi dan mencatat permasalahan yang berhubungan dengan penilaian risiko.
Merekomendasikan atau memberi solusi melalui saluran komunikasi yang ada.
Memverifikasi pelaksanaan dari pengendalian risiko.
Mengomunikasikan dan membahas hasil penilaian risiko.
3. Sumber Daya Instansi
harus
mengidentifikasi
kebutuhan
sumber
daya
dan
memenuhinya, mencakup penugasan personil yang terlatih untuk aktivitas pengelolaan, kinerja dan verikasi proses pengendalian risiko. C. Program Implementasi 1. Dukungan dari Jajaran Pimpinan Membangun filosofi pengelolaan risiko instansi dan kepedulian terhadap risiko pada level jajaran pimpinan. Hal ini dapat diperoleh melalui pendidikan, pelatihan dan pengarahan serta komitmen dari pimpinan instansi.
Pusdiklatwas BPKP – Tahun 2010
49
Konsep dan Implementasi Risk Assessment
2. Membangun Kebijakan Institusional Kembangkan dan dokumentasikan kebijakan dan kerangka pengelolaan risiko yang diambil pimpinan tertinggi, yang kemudian akan diterapkan di seluruh lini instansi. Kebijakan tersebut mencakup antara lain:
sasaran kebijakan serta alasan pengelolaan risiko;
hubungan antara kebijakan risiko dengan rencana stratejik;
luas atau cakupan masalah yang tercakup dalam kebijakan;
pedoman tentang risiko-risiko yang dapat ditolerir;
siapa yang bertanggung jawab mengelola risiko;
dukungan yang ada terhadap pengelola risiko;
dokumentasi yang diperlukan;
rencana reviu kinerja yang berkaitan dengan kebijakan ini.
3. Mengomunikasikan Kebijakan Kembangkan dan implementasikan infrastruktur pengelolaan risiko menjadi bagian integral dari perencanaan, proses manajemen dan kultur instansi. 4. Mengelola Risiko pada Tingkat Instansi Kembangkan program pengelolaan risiko pada level instansi dengan menerapkan sistem pengelolaan risiko yang telah disebutkan di atas. 5. Mengelola Risiko pada Tingkat Kegiatan Kembangkan program pengelolaan risiko pada setiap bagian instansi, program, atau proyek, dan kegiatan. Proses yang dilalui, keputusan yang diambil dan tindakan yang direncanakan harus terdokumentasi. 6. Monitor dan Reviu Risiko Kembangkan dan terapkan mekanisme untuk menjamin adanya reviu berkelanjutan terhadap risiko. Hal ini dilakukan agar implementasi dan
Pusdiklatwas BPKP – Tahun 2010
50
Konsep dan Implementasi Risk Assessment
kebijakan pengendalian risiko tetap relevan, karena situasi selalu berubah dan reviu terhadap keputusan sebelumnya sangatlah penting. Risiko merupakan sesuatu yang tidak statis. Oleh karena itu, efektivitas proses pengelolaan risiko harus dimonitor dan direviu. D. Peran Kepemimpinan dan Perubahan Kultur Penanganan risiko membutuhkan kepemimpinan mulai dari para pemimpin di pemerintahan. Terdapat beberapa faktor eksternal yang mendorong pemerintah untuk memperbaiki kapasitas dan kemampuannya menangani risiko, yaitu:
meningkatnya harapan publik terhadap tingkat keselamatan yang dapat diterima dan pelayanan publik oleh pemerintah;
perkembangan di negara-negara lain;
adanya kompetisi dari sektor swasta dalam area pelayanan publik, misalnya dalam bidang kesehatan, dan pendidikan;
perkembangan teknologi dan informasi, menghasilkan kesempatan untuk memperbaiki pelayanan publik.
Nilai-nilai yang dapat dijadikan arah menuju perubahan kultur dalam pemerintahan adalah sebagai berikut.
Pengakuan terhadap tanggung jawab dan pencapaian individu.
Penyampaian hasil-hasil baik positif maupun negatif.
Dorongan terhadap ide-ide baru dan cara-cara melakukan sesuatu.
Analisis dan penilaian berdasarkan bukti empiris.
Mengkritisi asumsi-asumsi dan prosedur yang ada.
Keterbukaan, transparansi, dan kejujuran.
Memahami pentingnya stakeholders dan pelanggan (publik).
Mengantisipasi dan membagi masalah.
Belajar dari kesalahan dan menghindari budaya "saling menyalahkan.”
Pusdiklatwas BPKP – Tahun 2010
51
Konsep dan Implementasi Risk Assessment
Kultur
organisasi
dapat
menjadi
“batu
sandungan”
untuk
mengimplementasikan pendekatan risiko dalam pemerintahan. Kultur yang ada dalam pemerintahan pada umumnya adalah: suka menghindari risiko (risk averse), kurang inovasi, dan terlalu memberi perhatian terhadap kegagalan dan kesalahan. Akibatnya, hal tersebut akan dapat mengarah kepada pendekatan yang reaktif dan defensif terhadap pengambilan risiko dan pengelolaannya, yang menghasilkan tindakan tidak seimbang ketika berhadapan dengan perubahan.
Pusdiklatwas BPKP – Tahun 2010
52