METODE SSRA UNTUK ANALISIS RISIKO PADA SPIP *) Dengan diterbitkannya Peraturan Pemerintah Nomor 60 Tahun 2008 pada tanggal 28 Agustus 2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP), maka unit/satuan kerja instansi pemerintah diharapkan dapat mengidentifikasi terjadinya deviasi atau penyimpanan atas pelaksanaan kegiatan dibandingkan dengan rencana. Hal ini dimaksudkan sebagai umpan balik untuk melakukan tindakan koreksi atau perbaikan dalam mencapain tujuan organisasi. SPIP itu sendiri merupakan proses yang integral pada tindakan dan kegiatan yang dilakukan secara berkelanjutan oleh pimpinan dan seluruh pegawai untuk memastikan bahwa program/kegiatan dilaksanakan secara efektif dan efisien, pelaporan keuangan handal, pengamanan aset negara, dan ketaatan terhadap peraturan perundang-undangan. SPIP terdiri LIMA unsur yaitu: (a) lingkungan pengendalian; (b) penilaian risiko; (c) kegiatan pengendalian; (d) informasi dan komunikasi; dan (e) pemantauan pengendalian Intern. Penerapan lima unsur ini dilaksanakan menyatu dan menjadi bagian integral dari kegiatan instansi pemerintah. Berdasarkan pengalaman selama ini, terlihat bahwa penilaian risiko merupakan satu unsur terlemah dari unsur SPIP. Lemah baik dalam metodologi maupun dalam implementasinya. Metode analisis risiko belum banyak dikembangkan di dalam SPIP. Demikian pula lemah dalam implementasi yang mencakup komponen identifikasi risiko, penilaian tingkat risiko, pengelolaan maupun pemantauan risikonya. 1. Mekanisme Manajemen Risiko Sebelum mengulas mengenai alur manajemen risiko, diperlukan pengertian dasar dari risiko. Risiko adalah perkiraan kejadian merugikan yang akan datang (saat ini belum terjadi, tetapi berpotensi akan terjadi di masa mendatang). Sumber risiko bisa berasal dari dalam (internal) maupun dari luar (eksternal). Berdasarkan tingkatan risiko dibedakan menjadi: (1) risiko manajemen yang mengarah kepada yang bersifat strategis/kebijakan dan finansial, yang di dalam pemerintahan bisa disejajarkan dengan level kebijakan/program dengan indikator kinerjanya berupa impact/outcome dan (2) risiko operasional yang mengarah kepada kegiatan teknis maupun operasional, yang di dalam pemerintahan bisa disejajarkan dengan level kegiatan dengan indikator output). Sumber risiko berasal dari internal pada level operasional misalnya: pengelolaan man-money, material (3M), sistem dan prosedur, kelembagaan intern dan lainnya, sedangkan risiko yang berasal dari eksternal misalnya akibat regulasi, pasar, kondisi sosial-budaya masyarakat, faktor lingkungan dan lainnya.
BAGAN 1. MEKANISME MANAJEMEN RISIKO
IDENTIFIKASI RISIKO
ANALISIS RISIKO
PERENCANAAN RISIKO
PENANGANAN RISIKO
PEMANTAUAN RISIKO
Daftar Risiko Potensial
Daftar Prioritas / Titik Kritis Risiko
Rencana Menghindari Risiko & Rencana Kontingensi
-Antisipasi - Mitigasi - Adaptasi
Kondisi Risiko Terkini
Penanggung jawab kegiatan
Penanggung jawab kegiatan
Penanggung jawab & Pelaks kegiatan
Secara umum manajemen risiko dilakukan melalui lima tahapan, yaitu: (1) identifikasi, (2) analisis risiko, (3) perencanaan risiko, (4) penanganan risiko, dan (5) pemantauan risiko. Tahapan ini berlaku umum baik dalam manajemen risiko di sektor privat maupun publik yang secara skematis disajikan pada Bagan 1.
Manajemen risiko sebagai suatu sistem berarti pada satu tahapan Checklist dengan dengan tahapan List Titik Realisasi Pemantau Tahapan Tabel kritis Risiko Penangan an Risiko Kegiatan dan Tingkat Analisis berikutnya saling berkaitan dan an Risiko Risiko merupakan proses yang dimulai dengan identifikasi yaitu menyusun daftar risiko potensial, yang ditindaklanjuti dengan tahapan yang kedua yaitu analisis risiko. Pada tahap ini dilakukan analisis titik kritis dari daftar risiko yang ada. Selanjutnya berdasarkan hasil analisis risiko dilakukan perencanaan risiko mencakup rencana menghindari, mengurangi maupun bila mampu menghilangkan risiko. Berdasarkan perencanaan risiko tersebut dilakukan implementasi atau penanganan risiko dan dilakukan pemantauan risiko. Hasil pemantauan risiko ini menjadi umpan-balik untuk analisis risiko berikutnya secara terus menerus. Manajemen risiko sebagai proses maka mekanisme loop umpan-balik positif ini yang akan terus-menerus memperbaiki manajemen risiko secara berkelanjutan. Bagaimana penerapan manajemen risiko ini di sektor publik diperlukan pengayaan metode analisisnya. Penanggung jawab kegiatan
Satlak SPI
2. Metode SSRA Metode ini diperoleh dengan memodifikasi dan menyederhanakan dari teori-teori manajemen risiko yang berkembang selama ini. Sebagaimana diketahui bahwa manajemen risiko yang berkembang saat ini lebih dominan diterapkan di sektor swasta, sedangkan di sektor publik (pemerintah) belum berkembang dengan baik, untuk itu saya mencoba mereplikasi metode analisis risiko yang ada saat ini dan disederhanakan sehingga dengan mudah diterapkan di sektor pemerintah. Analisis risiko ini dilakukan secara berurutan dengan metode Enam Langkah yang selanjutnya saya beri nama Enam Langkah Analisis Risiko atau Six Steps of Risk Analysis disingkat SSRA. Metode SSRA dapat diaplikasikan untuk analisis risiko di sektor publik. Kelebihan metode SSRA ini relatif sederhana, mudah dipahami, menggunakan format yang mudah diterapkan. Metode ini bisa diterapkan pada semua sektor/ subsektor di pemerintahan, karena tidak membeda-bedakan aspek keuangan, aset, teknis maupun lainya. Metode ini juga dapat digunakan untuk menganalisis risiko baik pada level manajemen maupun level operasional.
Berikut disajikan penerapan SSRA untuk analisis risiko pada level operasional yang di dalam pemerintahan bisa disejajarkan dengan level kegiatan dengan indikator kinerjanya berupa output. Metode SSRA ini menggunakan Enam Langkah dalam melakukan analisis risiko. Masing-masing langkah dibantu dengan menggunakan lembar kerja. Metode SSRA ini cukup sederhana, namun diperlukan kejelian dalam mengisinya. Pada setiap tahapan dilakukan aktivitas yang sederhana dan mudah dilakukan dengan tanpa mengurangi substansi dari manajemen risiko. a. Langkah pertama: Mengidentifikasi Tahapan dan Check-list Kegiatan Risiko dapat terjadi pada setiap kegiatan dan tahapan kegiatan yang dilakukan baik pada tahap perencanaan (perencanaan anggaran dan preparasi kegiatan), pelaksanaan, monitoring dan evaluasi, serta tahap pelaporan dan tindaklanjut. Risiko yang tidak dapat terdeteksi atau tidak dapat dikelola dengan baik akan mengakibatkan tujuan dari instansi pemerintah yang telah ditetapkan tidak dapat tercapai atau pencapaiannya tidak optimal. Pada langkah pertama ini dibantu dengan menggunakan lembar kerja dengan contoh isian format tiga kolom yaitu tahapan kegiatan, chechk-list dan keterangan. Pada tahapan pertama yaitu identifikasi risiko disarankan agar dilakukan sendiri oleh penanggung-jawab kegiatan karena mereka yang lebih menguasai mengenai karakteristik kegiatan dimaksud. Identifikasi risiko dimulai dengan menyusun check-list detail tahapan kegiatan. pada Lembar Kerja-1 ini diminta masingmasing penanggungjawab kegiatan untuk mengindentifikasi dan mengisi daftar check-list tahapan kegiatan. Mengingat cakupan kegiatan sangat bervariasi, ada kegiatan yang besar dengan banyak komponennya, juga terdapat kegiatan yang sederhana, maka daftar check-list ini bisa dibuat baik pada level kegiatan, keluaran kegiatan/output, komponen ataupun sub-kegiatan sesuai dengan kebutuhan. Untuk menyusun check-list ini dimulai dengan mengisi tahapan dari masing-masing kegiatan. Secara umum tahapan kegiatan mencakup tiga hal yaitu: tahap persiapan, tahap pelaksanaan, tahap pelaporan, namun detail dari setiap kegiatan tentunya bervariasi sesuai karakteristik dari kegiatan dimaksud. Sebagai contoh untuk jenis kegiatan dengan output buku atau laporan, maka biasanya tahapan kegiatan ini dimulai dari persiapan, menyusun TOR, kuesioner, pengumpulan data dan diakhiri dengan penyusunan, penggandaan dan pengiriman laporan.
Identifikasi tahapan kegiatan ini penting dan merupakan langkah awal dalam proses analisis risiko. Indentifikasi semestinya dilakukan secara cermat, mengingat hasil identifikasi tahapan kegiatan akan dijadikan dasar untuk: (1) penentuan titik kritis kegiatan, (2) acuan pelaksanaan sesuai tahapan, serta (3) melakukan check-list pada pemantauan perkembangan kegiatan. Pada Lembar Kerja-1 ini dapat digunakan sebagai acuan dalam memantau terhadap pelaksanaan kegiatan, dengan mengisi check-list (sudah/belum dilakukan) atau diisi kuantitatif (bisa dalam bentuk % tau angka absolut) serta pada kolom keterangan diisi penjelasan-penjelasan. a. Langkah kedua: Identifikasi Titik Kritis, Sebab, Dampak dan Tingkat Risiko Pada langkah ke-2 dilakukan identifikasi titik kritis dengan mengisi Lembar Kerja-2 yang terdiri dari lima kolom yaitu: kolom titik kritis, penyebab, dampak, tingkat risiko dan potensi kendala. Langkah ke-2 ini merupakan langkah tersulit dalam analisis risiko, mengingat diperlukan kemampuan untuk menentukan sejumlah titik kritis dari tahapan kegiatan pada Lembar Kerja-1, mengidentifikasi sebab-sebab Lembar Kerja-3: Rencana risiko kemungkinan terjadi, Pengelolaan Risiko Lembar kerja-2: Identifikasi Titik Kritis Kegiatan memprediksi dampak (terutma dampak negatif), menentukan Rencana Pengelolaan Risiko Tingkat No. TitikKritis Penyebab Kendala Dampak Resiko tingkat risiko (tinggi/ sedang/ Pengendalian Pemantauan rendah) dan mengidentifikasi 1 Pengumpula Belum Ketersediaan Data tinggi Penjajakan data Pada tahap n data di dibangun data di daerah menjadi sekunder dan persiapan potensi kendala yang akan daerah/ lapa database yang dan kendala sulit konfirmasi uji lapang dan ngan (data memadai aksesibilitas dianalisis kuesioner tahap dihadapi. lengkap dan tepat waktu)
/ transportasi
dan kualitas laporan Kualitas laporan
pengumpulan data
Titik kritis pada kolom pertama ini diisi dengan mencantumkan satu atau beberapa tahapan yang dinilai 2 Ketersedian Laporan tinggi waktu Tim terlambat sebagai tahapan yang 'kritis' Pembahasan digunaka draf n untuk dari seluruh tahapan kegiatan kebijakan yang ada. Jumlah titik kritis sangat bervariasi antar kegiatan tergantung dari karakteristik kegiatan dimaksud. Pada kolom ini disetiap titik kritis ini ditelaah lebih lanjut dengan mengisi pada kolom-kolom berikutnya yaitu mengisi faktor penyebab terjadinya titik kritis, prediksi dampak negatif yang akan terjadi bila tidak dilakukan pengelolaan risiko, mengisi tingkat risiko dan potensi kendala-kendala. Sampai saat ini belum dikembangkan secara kuantitatif dalam penentuan tingkat risiko, namun untuk memudahkan mengisi tingkat risiko dapat menggunakan salah satu atau kombinasi dari lima kriteria sebagai berikut: (1) disebut risiko tinggi apabila titik kritis akan berdampak/ berakibat pada: (a) tidak tercapainya tujuan/sasaran kegiatan, (b) kerugian keuangan negara, (c) kerugian aset pemerintah, (d) gagalnya pelayanan publik, dan (e) terkait ketaatan peraturan per-undang-undangan, (2) apabila titik kritis tidak berakibat pada satu atau kombinasi dari 2
Penyusunan Pengolahan laporan data memerlukan waktu dan kelengkapan referensi Penyampaia Keterlambatan n/ pengirima kirim karena n laporan proses finalisasi memakan waktu lama
Kelengkapan dan ketajaman analisis data
tinggi
Memperbanyak referensi dan literatur yang terkait
Pada tahap persiapan, pengolahan data dan penyusunan draf Mematuhi target Pada saat waktu finalsiasi dan penyelesaian pengiriman laporan
lima kriteria tersebut berarti akan masuk ke dalam tingkat risiko sedang atau rendah, yang apabila dampak negatifnya relatif kecil maka dikategorikan sebagai tingkat risiko rendah. Ke depan perlu dipikirkan lebih lanjut mengenai aspek kuantitatif (dalam bentuk skor, bobot, dan lainnya) untuk diterapkan dalam analisis risiko termasuk uji validitasnya. c. Langkah ketiga: Menyusun Rencana Pengelolaan Risiko Pada langkah ke-3 diperlukan kemampuan penanggungjawab/ pelaksana kegiatan untuk merancang rencana pengelolaan risiko. Para rencana pengelolaan risiko ini mencakup dua hal yaitu: rencana pengendalian risiko dan rencana pemantauan risiko sebagaimana disajikan pada Lembar kerja-3. Pada dasarnya rencana pengendalian dimaksudkan untuk minimal mengurangi atau diupayakan menghilangkan risiko yang akan terjadi, sehingga tidak berdampak negatif terhadap pencapaian tujuan. Pengendalian dapat dilakukan melalui: (1) antisipasi yaitu melakukan upaya pencegahan sejak awal /preventif supaya tidak terjadi risiko maupun melakukan persiapan-persiapan yang diperlukan bila nantinyaa akan terjadi risiko, (2) adaptasi yaitu langkah-langkah menyesuaikan diri pada saat terjadi risiko, termasuk upaya penyelamatan, dan (3) mitigasi ini merupakan upaya pengobatan/kuratif pada saat terjadi risiko, sehingga dmpak negatif dapat dikurangi atau dihilangkan sama sekali. Rencana pemantauan risiko disusun dalam rangka memastikan bahwa rencana pengendalian risiko dapat diterapkan/dilaksanakan, melalui mekaanisme pemantauan dan evaluasi sebagai umpan-balik untuk perbaikan pelaksanaan maupun masukan perbaikan rencana lebih lanjut. Pemantauan ini tentunya dilaksanakan secara periodik sesuai karakterisktik kegiatan n kebutuhannya. d. Langkah keempat: Rekapitulasi Risiko Menurut Kegiatan/Output Pada langkah ke-4 sampai dengan ke-6 ini dapat dilakukan oleh penanggungjawab/ pelaksana kegiatan secara sederhana tetapi memerlukan waktu yang cukup untuk melakukan kompilasi semua risiko pada semua kegiatan dengan alat bantu Lembar kerja-4 sampai dengan 6. Dikatakan cukup sederhana karena tidak melakukan analisis tetapi cukup kompilasi data, sedangkan memerlukan waktu karena merekap seluruh risiko di semua kegiatan. Prinsip kehati-hatian dan ketelitian diperlukan dalam melakukan kompilasi semua risiko sehingga tidak terjadi duplikasi data atau tidak terrecord pada saat kompilasi. Lembar kerja ini didesain dengan format yang sejalan dan tindaklanjut dari Lembar kerja-2. Lembar kerja 4-6 ini nantinya akan digunakan pada saat melakukan pengelolaan risiko (pengendalian, pemantauan, pelaporan). Lembar kerja-4 berisi format kompilasi risiko menurut kegiatan pada level manajer (untuk swasta) atau setingkat Eselon-III (untuk instansi pemerintah). dengan adanya format ini akan memudahkan manajer/kepala bagian/ kepala bidang/ kasubdit dalam menelaah perencanaan risiko, melakukan pengelolaan risiko dan pelaporannya. Salah satu kelebihan format ini juga dapat di-breakdwon tingkat risiko dari bulan ke builan sepanjang tahun, sehingga pemantauan risiko secara bulanan dapa dilaksanakan dengan baik.
Berdasarkan pengalaman penerapan metode SSRA selama ini ternyata jumlah risiko berdasarkan tingkat risiko bergerak secara fluktuatif menurut per bulanan sesuai dengan karakteristik kegiatan dan kemampuan dalam pengelolaan risiko. Apabila dilakukan pengelolaan risiko dengan baik maka jumlah risiko tinggi akan bergerak ke bawah (menjadi risiko sedang/rendah) atau bahkan tidak berisiko lagi. Demikian juga sebaliknya, apabila tidak dilakukan pengelolaan risiko dengan baik, maka jumlah risiko akan meningkat menjadi lebih banyak dan tingkat risiko juga bergerak ke atas dari risiko rendah ke tinggi. Pergerakan risiko dari hulan ke bulan dalam satu tahun menjadi arena menarik untuk diamati, dianalisis dan dirumuskan upaya lebih lanjut untuk Lembar kerja-4 ini oleh manajer. e. Langkah kelima: Rekapitulasi Risiko Kegiatan Tingkat Eselon-2 Pada langkah-5 ini berupa tindakan kompilasi risiko pada level Eselon-2 (direktur/kepala biro/pusat) dari Lembar kerja-4 ke dalam Lembar kerja-5. Dengan demikian lembar kerja-5 ini sebagai alat bantu pimpinan Eselon-2 untuk menelaah rencana, pengelolaan dan pelaporan risiko. Berdasarkan alat bantu ini pimpinn Eelon-2 dapat melakukan pemantauan risiko di level di bawahnya serta melakukan tindakan pengambilan keputusan semestinya.
f. Langkah ke enam: Reakpitulasi Risiko Kegiatan Tingkat Eselon-1 Pada langkah-6 melakukan kompilasi risiko pada level Eselon-1 (direktur jenderal/ kepala badan/sekretaris jenderal/inspektur jenderal) dari Lembar kerja-5 ke dalam Lembar kerja-6. Lembar kerja-6 ini merupakan alat bantu bagi pimpinan Eselon-1 untuk menelaah rencana,
pengelolaan dan pelaporannya. Selanjutnya berdasarkan hasil pemantauan risiko secara perioik (bisa bulanan, triwulanan, semesteran, tahunan) dapat dilakukan tindakan pengambilan keputusan tindaklanjutnya.
3. Pengelolaan dan Pemantauan Risiko
Pengelolaan risiko adalah cara bagaimana menangani semua risiko (baik dari dalam maupun luar organisasi) yang ada di dalam instansi pemerintah, tetapi pada semua risiko yang mengancam pencapaian visi, misi, tujuan, dan sasaran instansi pemerintah. Pengelolaan penanganan risiko atas kegiatan-kegiatan yang dilakukan pada unit kerja, menjadi faktor yang sangat penting dalam mendukung pencapaian visi, misi, tujuan dan sasaran instansi pemerintah. Pengelolaan risiko tidak dapat dilakukan secara parsial oleh masing-masing unit kerja pelaksanaan kegiatan, tetapi perlu dilakukan secara komprehensif agar pengelolaan risiko dapat dilakukan secara efektif. Oleh karena itu, diperlukan suatu manajemen pengelolaan risiko. Pengelolaan risiko pada dasarnya merupakan perwujudan implementasi dari perencanaan risiko. Mengingat titik kritis berada pada satu atau beberapa tahapan dari seluruh tahapan pelaksanaan kegiatan, maka kemampuan merealisasikan seluruh tahapan kegiatan dapat diartikan kemampuan melewati titik kritis yang ada di kegiatan dimaksud. Merealisasikan pada setiap tahapan tentunya ada yang dapat dilewati dengan mudah, namun ada juga yang dilewati dengan jalan berliku dan sulit. Biasanya tahapan kegiatan yang sulit dilaksanakan atau berisiko untuk dilaksanakan disebut sebagai titik kritis. Untuk itu pengelolaan risiko difokuskan untuk dapat melewati tahapan kegiatan yang kritis tersebut dengan upaya-upaya khusus sebagaimana dituangkan ke dalam Lembar kerja-3. Pengelolaan risiko dilakukan pada saat tahapan kritis dilewati (melalui antisipasi) maupun pada saat tahapan kritis sedang berlangsung (melalui adaptasi dan atau mitigasi). Merealisasikan tahapan kegiatan seyogyanya dilakuakn secara berurutan mengacu kepada Lembar kerja-1, sedangkan pengelolaan risiko mengacu kepada Lembar kerja-3. Pelaksanaan pengelolaan risiko ini tentunya terus dipantau sehingga dapat memberikan keyakinan bahwa pengelolaan risiko dapat berjalan sesuai rencana sekaligus untuk memperoleh umpan-balik bagi perbaikan rencana risiko berikutnya. Pemantauan realisasi
kegiatan dengan menggunakan alat bantu check-list sebagaimana Lembar kerja-1, sedangkan pemantauan risiko menggunakan rencana pemantauan sebagaimana Lembar kerja-3, dengan substansi yang dipantau bagi level manajer/Eselon-3 menggunakan Lembar kerja-4, pada level Eselon-2 menggunakan Lembar kerja-5 dan pada level Eselon-1 menggunakan lembar kerja-6. 4. Tindaklanjut
Enam Langkah Analisis Risiko ini merupakan proses yang berurutan dari satu langkah ke langkah berikutnya. Metode SSRA ini bisa diterapkan baik analisis risiko pada level kegiatan dengan indikator kinerja output maupun pada level program dengan indikator kinerja outcome. Metode SSRA ini telah diujicobakan pada level kegiatan dengan hasil yang baik dan tidak ditemukan kendala- kendala dalam implementasinya. Untuk selanjutnya perlu diujicobakan untuk diterapkan dalam analisis risiko di level program. Keterampilan dalam implementasi metode SSRA dapat diwujudkan dengan memulai mencoba dan mempraktekkan analisis risiko pada kegiatan di masing-masing unit kerja. Diperlukan peningkatan kesadaran bersama bahwa pengendalian intern bukan hanya menjadi tugas Tim maupun pimpinan, namun merupakan tugas yang melekat setiap individu aparatur. Demikian pula penilaian risiko sebagai satu unsur terlemah dari lima unsur pisau analisis SPI untuk ditingkatkan kinerjanya dan merupakan tanggungjawab bersama untuk dilaksanakan dalam tugas sehari-hari. *) Dr Suwandi, Biro Perencanaan, Kementan
