BAB II PENETAPAN KONTEKS

Transkripsi

1 BAB I PENDAHULUAN Manajemen risiko adalah kegiatan kunci bagi suatu organisasi. Manajemen risiko yang berhasil akan menjamin pencapaian tujuan organisasi secara efektif dan efisien. Tujuan organisasi tersebut dicapai melalui serangkaian aktivitas dari penetapan perencanaan strategis, operasional, proses dan proyek. Keseluruhan aktivitas tersebut melibatkan risiko. Manajemen risiko membantu pengambilan keputusan dengan mempertimbangkan ketidakpastian dan pengaruhnya terhadap pencapaian tujuan. Menteri Keuangan telah menetapkan Peraturan Menteri Keuangan mor 191/PMK..09/2008 tentang Penerapan Manajemen di Lingkungan Departemen Keuangan. Peraturan tersebut telah dilengkapi dengan pedoman umum dan pedoman pelaksanaan sebagai arahan bagi seluruh unit eselon I dalam menerapkan manajemen risiko. Proses manajemen risiko menurut PMK tersebut di atas terdiri dari penetapan konteks, identifikasi risiko, analisis risiko, evaluasi risiko, monitoring dan reviu, dan komunikasi dan konsultasi. Untuk memberikan petunjuk lebih lanjut, disusun buku petunjuk teknis proses manajemen risiko. Dengan disusunnya buku ini, diharapkan dapat memberikan penjelasan dan dapat mengembangkan penerapan manajemen risiko lebih lanjut. Pembahasan buku ini dilakukan mengikuti tahapan proses manajemen risiko. Petunjuk teknis ini mengambil acuan dari standar manajemen risiko AS/NZ4360: 2004, COSO ERM, dan ISO final draft. 1

2 BAB II PENETAPAN KONTEKS 1. Pengantar Penetapan konteks menyangkut penentuan batasan-batasan risiko yang akan dikelola dan menentukan lingkup proses manajemen risiko selanjutnya. Konteks tersebut menyangkut lingkungan internal dan eksternal dan tujuan aktivitas manajemen risiko. Oleh karena itu, penetapan tujuan setiap tahapan proses manajemen risiko harus memperhatikan lingkungan organisasi dan lingkungan eksternal. Setiap orang memiliki pandangan yang berbeda, sehingga berbeda pula dalam mengidentifikasi, menilai, dan menanggapi risiko. Langkah penetapan konteks ini akan lebih memberikan pengertian bahwa risiko adalah yang berkaitan dengan tujuan organisasi. 2. Tujuan Kegiatan Tujuan utama kegiatan ini adalah memahami seluruh faktor yang akan berpengaruh terhadap kemampuan organisasi dalam mencapai tujuan. Langkah ini diperlukan untuk: a. Mengklarifikasi tujuan organisasi; b. Mengidentifikasi lingkungan tempat upaya pencapaian tujuan.; c. Mengetahui dan menetapkan pihak-pihak yang berkepentingan dengan proses manajemen risiko beserta dengan hasilnya; d. Menetapkan ruang lingkup dan tujuan penerapan manajemen risiko, kondisi yang membatasinya dan hasil yang diharapkan; e. Menetapkan kriteria yang akan digunakan dalam melakukan analisis dan evaluasi risiko. 3. Dokumen sumber bagi kegiatan Dokumen yang dibutuhkan antara lain: a. Regulasi terkait dengan struktur, tugas serta fungsi organisasi; b. Surat Keputusan Struktur Manajemen ; c. Balanced Score Card; d. SWOT analysis; e. Anggaran; f. Laporan Kinerja Tahunan; 2

3 4. Metodologi kegiatan a. Klarifikasi Tujuan adalah segala sesuatu yang berdampak negatif terhadap pencapaian tujuan yang diukur berdasarkan kemungkinan dan dampaknya. Oleh karena itu, untuk meyakinkan bahwa seluruh risiko telah diidentifikasi, penting untuk mengetahui tujuan suatu fungsi organisasi atau aktivitas. Dengan mempertimbangkan situsi dan kondisi yang dihadapi oleh Departemen Keuangan pada saat ini, tujuan tersebut berarti tujuan yang tercantum dalam Balance Scorecard. Meskipun demikian, hal tersebut bukan berarti membatasi tujuan strategis organisasi hanya pada dokumen Balance Scorecard tersebut. Mengingat Unit Pemilik adalah unit Eselon II, maka Balance Scorecard yang digunakan juga Balance Scorecard untuk eselon II. Dalam tahap ini penting sekali memastikan bahwa pemahaman terhadap tujuan telah cukup mendalam sehingga dapat melangkah ke tahap identifikasi risiko dengan lebih baik. Tahap ini dituangkan dalam formulir 1 poin 2. b. Identifikasi pihak-pihak pemangku kepentingan (stakeholders). Identifikasi pihak yang berkepentingan baik eksternal maupun internal adalah langkah penting dalam proses manajemen risiko ini. Ada beberapa pihak pemangku kepentingan yang dapat dibagi menjadi pemangku kepentingan eksternal dan pemangku kepentingan internal. Pemangku kepentingan eksternal adalah pihak yang berkepentingan terhadap organisasi yang berada di luar unit eselon I. Pemangku kepentingan eksternal tersebut antara lain: - Menteri Keuangan - Direktorat Jenderal atau unit Eselon I lainnya yang terpengaruh oleh kegiatan organisasi - Pelanggan atau pengguna akhir jasa organisasi. - Legislator dan regulator - Kontraktor atau pemasok Pemangku kepentingan internal adalah pihak yang berkepentingan dan berada di dalam unit eselon I. Pemangku kepentingan internal tersebut antara lain: - Pegawai dan pejabat di dalam organisasi. - Pelanggan internal yang menggunakan jasa organisasi. 3

4 Pemangku kepentingan harus dianalisis dan dipahami kebutuhannya. Pemahaman terhadap kebutuhan pemangku kepentingan penting dalam menjamin keberhasilan proses manajemen risiko. Analisis kebutuhan pemangku kepentingan dapat dilakukan secara sederhana maupun dengan metode yang lebih kompleks tergantung kesiapan organisasi. Tahap ini dituangkan dalam formulir 1 poin 4. c. Menetapkan Kriteria Organisasi harus mengembangkan kriteria yang digunakan untuk menganalisis dan mengevaluasi risiko. Kriteria tersebut mencerminkan nilai, tujuan, dan sumber daya organisasi. Kriteria risiko meliputi dua dimensi, yaitu dimensi kemungkinan keterjadian (frekuencies/possibilities/likelihood) dan dimensi dampak risiko (impact/consequencies). Beberapa kriteria berkaitan dengan persyaratan yang ditentukan dalam ketentuan perundangan. Kriteria risiko menyangkut selera risiko (risk appetite) sehingga penetapan kriteria risiko harus oleh Komite Manajemen. d. Kriteria risiko disusun setelah kegiatan identifikasi risiko dilakukan. Kriteria risiko disusun per-risiko, dan bukan per-kategori atau jenis risiko. e. Formulir 1 PMK 191 tahun 2008 untuk nomor 8c., merupakan pola (pattern) yang digunakan dalam melakukan analisis risiko, sehingga tidak diubah-ubah. 5. Teknis pelaksanaan kegiatan a. Data umum penerapan proses manajemen risiko Nama Unit Pemilik : Diisi dengan nama unit Eselon II selaku unit pemilik risiko (UPR) di setiap unit eselon I. Nama Pemilik : Diisi dengan nama pemimpin atau pejabat unit eselon II dari UPR yang bersangkutan. Telepon Risk Owner (RO) : Diisi dengan nomor telepon kantor dari UPR. Lokasi : Diisi dengan alamat domisili dimana UPR berkedudukan. Tujuan Pelaksanaan : Diisi dengan urutan seri kegiatan penilaian risiko (risk assessment) yang dilakukan oleh UPR, misalnya first risk assessment, second risk assessment, third risk assessment, dst. Keluaran (Output) : Diisi dengan output dari pelaksanaan kegiatan penilaian risiko 4

5 yaitu: profil risiko. Ruang Lingkup : Diisi dengan tugas dan fungsi unit Eselon II sesuai dengan regulasi yang terkait, yang mengatur hal ini. Horison waktu (time horizon) : Diisi dengan periode waktu berlakunya dokumen proses manajemen risiko, dihitung maju kedepan selama 3 atau 6 bulan semenjak dokumen profil risiko disahkan oleh pemilik risiko. Pertimbangkan jangka waktu dengan proses penganggaran mengingat penanganan risiko berkaitan dengan sumber daya dan dana. Jadual pelaksanaan : Diisi dengan jadwal waktu pelaksanaan penilaian risiko, dimulai dari hari mulai penugasan hingga dokumen profil risiko disahkan. Proses keputusan pengambilan : Diisi dengan metode pengambilan keputusan yang digunakan dalam melakukan penilaian risiko, misalnya: secara focused group discussion, secara voting, brainstorming, decision making model, dll. Mekanisme komunikasi : Diisi dengan mekanisme komunikasi yang dilakukan dalam rangka penilaian risiko, misalnya: secara rapat berkala, konsinyering, teleconference, dll. Saluran komunikasi : Diisi dengan saluran komunikasi yang digunakan dalam proses penilaian risiko, misalnya: korespondensi (hard copy), transfer data (soft copy), laporan, , media telekomunikasi dll. b. Identifikasi sasaran Sasaran Uraian Singkat Sasaran Diisi dengan sasaran strategis (SS) yang ada dalam BSC, yang meliputi Learning & Growth perspective dan Strategic Driver perspective. Untuk setiap sub-ss yang memiliki action plan dijabarkan tersendiri sebagai sebuah SS, untuk dipetakan risikonya. Diisi dengan penjelasan sesuai dengan Deskripsi Sasaran Strategis sesuai dengan IKU terkait, untuk menjelaskan maksud dari pernyataan SS yang disebutkan. c. Komposisi anggota tim Nama Jabatan Tugas dan Tanggung Jawab Diisi dengan nama pejabat di unit Eselon II sebagai UPR yang melaksanakan kegiatan penilaian risiko. Pengisian dimulai dari pemilik risiko (pejabat Eselon II), koordinator manajemen risiko (pejabat eselon III), administrator manajemen risiko (pejabat eselon IV) dan anggota tim penilaian risiko. Diisi dengan jabatan struktural atau fungsional dari setiap anggota yang melaksanakan kegiatan penilaian risiko. Diisi dengan jabatan sesuai dengan struktur manajemen risiko. Untuk pegawai yang tidak masuk kedalam struktur manajemen risiko, maka bertindak sebagai anggota tim. 5

6 d. Daftar pemangku kepentingan (stakeholder eksternal) Nama/instansi Keterangan Diisi dengan nama instansi di luar unit eselon I dimana UPR berada, yang memiliki kepentingan dan berhubungan dengan tugas dan fungsi yang dijalankan oleh UPR yang bersangkutan, dalam mencapai tujuannya. Diisi dengan uraian penjelasan mengenai bidang atau dalam hal apa hubungan antara UPR dengan instansi di luar unit eselon I tersebut dilakukan. e. Daftar pemangku kepentingan (stakeholder internal) Nama/unit kerja Keterangan Diisi dengan nama instansi di dalam unit eselon I dimana UPR berada, yang memiliki kepentingan dan berhubungan dengan tugas dan fungsi yang dijalankan oleh UPR yang bersangkutan, dalam mencapai tujuannya. Diisi dengan uraian penjelasan mengenai bidang atau dalam hal apa hubungan antara UPR dengan instansi di dalam unit eselon I tersebut dilakukan. f. Daftar regulasi, kebijakan, peraturan, prosedur terkait Regulasi, kebijakan, peraturan, prosedur Keterangan Diisi dengan regulasi, kebijakan, peraturan, prosedur, yang terkait dengan tugas dan fungsi yang dijalankan oleh UPR. Pengisian regulasi diurutkan sesuai dengan tingkat urutan kekuatan hukum dari regulasi tersebut. Jika regulasi yang terkait banyak jumlahnya, maka dipilih regulasi yang signifikan dan memiliki pengaruh besar terhadap tugas dan fungsi yang dijalankan oleh UPR yang bersangkutan. Diisi dengan uraian penjelasan mengenai bidang atau dalam hal apa regulasi tersebut digunakan atau menunjang tugas dan fungsi yang dijalankan oleh UPR yang bersangkutan. g. Struktur organisasi unit pemilik risiko Pemilik : Diisi dengan nama pejabat eselon II di unit eselon II yang bersangkutan sebagai pemilik risiko, sebagaimana tertuang dalam SK Struktur Manajemen. Koordinator Manajemen Administrator Manajemen : Diisi dengan nama pejabat setingkat eselon III yang ditunjuk sebagai koordinator manajemen risiko, sebagaimana tertuang dalam SK Struktur Manajemen. Jumlah koordinator manajemen risiko dalam satu UPR disesuaikan dengan sifat dan karakteristik organisasi dari UPR yang bersangkutan. : Diisi dengan nama pejabat setingkat eselon IV yang ditunjuk sebagai administrator manajemen risiko, sebagaimana tertuang dalam SK Struktur Manajemen. Jumlah administrator manajemen risiko dalam satu UPR disesuaikan dengan sifat dan karakteristik organisasi dari UPR yang bersangkutan. 6

7 h. Kriteria risiko 1). Kriteria konsekuensi Level Kriteria Kuantitatif Kriteria Kualitatif 1. Rendah Diisi dengan nilai kuantifikasi (nilai angka) dari konsekuensi atas satu risiko yang telah diidentifikasi, dimana nilai tersebut mengacu pada konsekuensi yang ditimbulkan oleh risiko tersebut bernilai (berada pada level) rendah. 2. Sedang Diisi dengan nilai kuantifikasi (nilai angka) dari konsekuensi atas satu risiko yang telah diidentifikasi, dimana nilai tersebut mengacu pada konsekuensi yang ditimbulkan oleh risiko tersebut bernilai (berada pada level) sedang. 3. Tinggi Diisi dengan nilai kuantifikasi (nilai angka) dari konsekuensi atas satu risiko yang telah diidentifikasi, dimana nilai tersebut mengacu pada konsekuensi yang ditimbulkan oleh risiko tersebut bernilai (berada pada level) tinggi. Diisi dengan nilai kualitatif (pernyataan secara wording ) yang merupakan parameter dari konsekuensi atas satu risiko yang telah diidentifikasi, dimana pernyataan atau parameter tersebut mengacu pada konsekuensi yang ditimbulkan oleh risiko tersebut ternisbatkan (berada pada level) rendah. Diisi dengan nilai kualitatif (pernyataan secara wording ) yang merupakan parameter dari konsekuensi atas satu risiko yang telah diidentifikasi, dimana pernyataan atau parameter tersebut mengacu pada konsekuensi yang ditimbulkan oleh risiko tersebut ternisbatkan (berada pada level) sedang. Diisi dengan nilai kualitatif (pernyataan secara wording ) yang merupakan parameter dari konsekuensi atas satu risiko yang telah diidentifikasi, dimana pernyataan atau parameter tersebut mengacu pada konsekuensi yang ditimbulkan oleh risiko tersebut ternisbatkan (berada pada level) tinggi. Dasar penentuan kriteria diisi dengan pertimbangan penetapan kriteria untuk konsekuensi risiko, misalnya dengan menggunakan past event data, subjective analysis, benchmarking, atau focused group discussion, dll. 2). Kriteria kemungkinan terjadinya risiko Level Kriteria Kuantitatif Kriteria Kualitatif 4. Rendah Diisi dengan nilai kuantifikasi (nilai angka) dari kemungkinan keterjadian (frekuensi) atas satu risiko yang telah diidentifikasi, dimana nilai tersebut mengacu pada tingkat frekuensi terjadinya risiko tersebut Diisi dengan nilai kualitatif (pernyataan secara wording ) yang merupakan parameter dari kemungkinan keterjadian atas satu risiko yang telah diidentifikasi, dimana pernyataan atau parameter tersebut mengacu pada 7

8 bernilai (berada pada level) rendah. 5. Sedang Diisi dengan nilai kuantifikasi (nilai angka) dari kemungkinan keterjadian (frekuensi) atas satu risiko yang telah diidentifikasi, dimana nilai tersebut mengacu pada tingkat frekuensi terjadinya risiko tersebut bernilai (berada pada level) sedang. 6. Tinggi Diisi dengan nilai kuantifikasi (nilai angka) dari kemungkinan keterjadian (frekuensi) atas satu risiko yang telah diidentifikasi, dimana nilai tersebut mengacu pada tingkat frekuensi terjadinya risiko tersebut bernilai (berada pada level) tinggi. tingkat frekuensi terjadinya risiko tersebut ternisbatkan (berada pada level) rendah. Diisi dengan nilai kualitatif (pernyataan secara wording ) yang merupakan parameter dari kemungkinan keterjadian atas satu risiko yang telah diidentifikasi, dimana pernyataan atau parameter tersebut mengacu pada tingkat frekuensi terjadinya risiko tersebut ternisbatkan (berada pada level) sedang. Diisi dengan nilai kualitatif (pernyataan secara wording ) yang merupakan parameter dari kemungkinan keterjadian atas satu risiko yang telah diidentifikasi, dimana pernyataan atau parameter tersebut mengacu pada tingkat frekuensi terjadinya risiko tersebut ternisbatkan (berada pada level) tinggi. Dasar penentuan kriteria diisi dengan pertimbangan penetapan kriteria untuk kemungkinan keterjadian risiko, misalnya dengan menggunakan past event data, subjective analysis, benchmarking, atau focused group discussion, dll. 6. Output kegiatan a. Formulir 1 PMK 191 tahun 2008 tentang Piagam Manajemen yang telah terisi lengkap; b. Piagam Manajemen, sebagai dasar bagi pelaksanaan proses manajemen risiko di UPR yang bersangkutan. 7. Outcome kegiatan a. Adanya dasar bagi para perangkat struktur manajemen risiko dalam hal pelaksanaan proses manajemen risiko di UPR masing-masing; b. Adanya landasan (basis) dan batasan (boundaries) bagi pelaksanaan keseluruhan tahapan proses manajemen risiko yang akan dilakukan. 8

9 BAB III IDENTIFIKASI RISIKO 1. Pengantar Langkah ini merupakan langkah identifikasi risiko yang akan dikelola. Identifikasi harus dilakukan dengan komprehensif karena risiko yang tidak teridentifikasi pada tahap ini tidak akan dianalisis lebih lanjut. Identifikasi harus mencakup risiko secara komprehensif tanpa memperhatikan apakah risiko tersebut dalam kendali orgainsasi atau tidak. 2. Tujuan Kegiatan Tujuan kegiatan ini adalah: a. Mengembangkan daftar komprehensif dan menyeluruh tentang sumber risiko, dan kejadian yang mempunyai pengaruh terhadap pencapaian sasaran UPR. b. Melakukan formulasi dan kategorisasi risiko dengan komponen: apa yang mungkin terjadi (event identification), penyebab terjadinya risiko, waktu terjadinya dan dampak negatif dari risiko tersebut. c. Melakukan penggolongan atau kategorisasi risiko menurut penyebabnya kedalam jenis risiko sesuai dengan kategori risiko yang tertuang dalam PMK 191 tahun Dokumen sumber bagi kegiatan a. Balanced Score Card; b. Past Event Data; c. Laporan kegiatan; d. SOP; e. Kuesioner; f. Hasil wawancara identifikasi risiko; g. Piagam Manajemen. 4. Metodologi kegiatan a. Kegiatan identifikasi risiko dalam proses manajemen risiko dituangkan kedalam formulir 2 dari PMK 191 tahun b. Proses identifikasi risiko harus didasarkan pada konteks yang telah ditetapkan pada piagam manajemen risiko. 9

10 c. Identifikasi risiko pada umumnya kurang bermanfaat apabila dilakukan untuk suatu aktivitas organisasi secara keseluruhan. Proses identifikasi akan lebih efektif jika aktivitas organisasi dibagi menjadi beberapa bagian atau elemen kunci. Elemen kunci adalah sekumpulan topik yang lebih kecil dari aktivitas secara keseluruhan sehingga identifikasi risiko dapat dilakukan lebih fokus dan mendalam. Beberapa contoh elemen kunci yang dapat dijadikan dasar adalah: proses bisnis, komponen fisik, lokasi fisik, aktivitas proyek, dan pemangku kepentingan. Untuk pencapaian sasaran strategis (sebagaimana yang tercantum dalam BSC) disarankan pembagian elemen kunci berdasarkan proses bisnis kunci. d. Untuk mengembangkan daftar risiko yang komprehensif harus digunakan proses yang sistematis dengan mengikuti proses bisnis, proyek atau aktivitas sesuai dengan elemen kunci tersebut di atas. Hal tersebut akan membantu lengkapnya risiko yang teridentifikasi dan agar hal-hal penting tidak terlewatkan. e. Komponen-komponen risiko: 1) Sumber risiko: sesuatu yang memiliki potensi bahaya. Secara umum sumber risiko diantaranya hubungan komersial dan legal, kejadian ekonomi, perilaku manusia, kejadian politik, teknologi, dan aktivitas individu. 2) Apa yang mungkin terjadi (event): sesuatu yang terjadi sehingga sumber risiko memiliki akibat atau konsekuensi. Sebagai contoh: adanya peraturan baru, adanya pelanggan baru, dan/atau suatu pengukuran kinerja telah mencapai tingkat yang berbahaya. Dalam hal identifikasi risiko berlaku konsep decomposition of risk, dimana satu penyebab dapat diturunkan menjadi satu risiko yang lain. Dalam hal ini harus tetap dipertimbangkan relevansinya dengan sasaran UPR, jika penyebab tersebut tidak relevan dengan sasaran, maka penyebab tersebut tidak dapat dijadikan sebagai risiko. Melakukan dekomposisi risiko terhdap penyebab berhenti sampai sebelum penyebab tersebut menyangkut sumber daya, waktu, dan kualitas. Jadi sumber daya, waktu, dan kualitas tidak dapat dijadikan risiko. 3) Konsekuensi : akibat dari terjadinya risiko. Identifikasi konsekuensi risiko adalah penting karena akan berpengaruh dalam menyusun kriteria bagi konsekuensi atas risiko tersebut. Hal-hal yang dapat menjadi area konsekuensi risiko antara lain: aktiva, pendapatan, biaya, manusia, masyarakat, kinerja, jadwal aktivitas, lingkungan, reputasi, dan kualitas lingkungan. 10

11 4) Penyebab: adalah penyebab yang langsung dan mendasar dari suatu risiko (event). Penyebab satu risiko hendaknya merupakan hal yang benar-benar memiliki kontribusi signifikan, dekat dan langsung, yang menjadi faktor pemicu (trigger) bagi munculnya risiko tersebut. f. Dalam melakukan identifikasi risiko (khususnya saat identifikasi awal) metode yang disarankan adalah melalui Forum Group Discussion atau Facilitated Workshop. Facilitated Workshop diikuti oleh individu dengan beragam fungsi dan level jabatan (disarankan dihadiri oleh Pemilik yang bersangkutan) sehingga diperoleh pengetahuan kolektif yang memadai dalam identifikasi risiko. Garis besar proses facilitated workshop tersebut adalah: 1) Sebelum workshop : (1) Tentukan fasilitator yang memandu acara identifikasi risiko, mengelola dinamika kelompok, dan rencana bagaimana menangkap ide yang muncul dalam diskusi. (2) Tentukan dan setujui aturan-aturan dasar dalam berdiskusi. (3) Pahami perbedaan kepribadian peserta, pertimbangkan bagaimana meningkatkan partisipasi dan semangat peserta. (4) Identifikasikan tujuan, kategori, atau Unit Pemilik yang akan dibahas. (5) Undang peserta yang memadai (maksimal 15 orang). (6) Buat target yang realistis dalam pencapaian tujuan workshop. 2) Agenda (1) Perkenalan: terangkan latar belakang dan alasan mengapa peserta diundang. (2) Terangkan aturan-aturan dasar. (3) Terankan proses workshop. adalah segala seuatu yang akan menghambat, mengurangi, dan menurunkan tujuan organisasi. (4) Untuk tiap tujuan, fasilitator akan mendiskusikan risiko yang muncul dari faktor-faktor: eksternal: kondisi ekonomi, politik, sosial, lingkungan alam dan teknologi. Internal : infrastruktur, personil, proses, dan teknologi. (5) Jelaskan bagaimana dan kapan voting dan masukan verbal akan diambil. (6) Terangkan bagaimana ide dan kesimpulan akan dicatat. 3) Pembahasan tujuan ke-1, dst. (1) Identifikasikan sasaran, indikator kinerja utama, dan pengukurannya. 11

12 (2) Diskusikan faktor-faktor eksternal dan internal yang dapat menimbulkan risiko. (3) Tentukan event yang menjadi risiko dalam pencapaian tujuan. (4) Pertimbangkan kemungkinan adanya beberapa risiko yang saling berhubungan satu sama lain dalam tujuan yang sama. 4) Langkah selanjutnya Membagikan hasil workshop selambat-lambatnya 48 jam. Pedoman rinci kegiatan rapat oleh Pemilik terdapat pada lampiran 1. g. Sebagai ancangan dalam memulai identifikasi risiko dapat dilakukan dengan jalan negasi IKU (dalam BSC) tetapi langkah selanjutnya harus kembali memperhatikan elemen-elemen kunci yang telah diuraikan di atas. Proses identifikasi risiko dapat pula dimulai dari kategori risiko. Proses kategorisasi risiko didasarkan pada kategori risiko sebagaimana disebutkan dalam PMK 191 tahun 2008, yang meliputi: risiko strategis dan kebijakan, risiko operasional, risiko kepatuhan, risiko finansial dan risiko fraud. Kategorisasi risiko dilakukan dengan mempertimbangkan penyebab terjadinya risiko tersebut. h. Waktu keterjadian risiko berpengaruh dan akan digunakan sebagai pertimbangan dalam menyusun kriteria bagi kemungkinan keterjadian atas risiko tersebut. 5. Teknis pelaksanaan kegiatan a. Data judul (heading) formulir Unit Kerja : Diisi dengan nama unit eselon II selaku UPR yang melakukan proses identifikasi risiko. Ruang Lingkup Proses : Diisi dengan tugas dan fungsi unit Eselon II sesuai dengan regulasi yang terkait, yang mengatur hal ini. Jangka Waktu Proses : Diisi dengan jangka waktu berlakunya dokumen identifikasi risiko, yaitu 6 bulan (sesuai dengan peninjauan ulang dan monitoring risiko secara berkala setiap 6 bulan sekali). Tujuan Proses : Diisi dengan maksud dari pengisian formulir 2 PMK 191 tahun 2008, yaitu: identifikasi risiko. Penanggung Proses Jawab : Diisi dengan nama pejabat eselon II terkait selaku pemilik risiko. Tanggal : Diisi dengan tanggal waktu pelaksanaan identifikasi risiko. 12

13 b. Tabel identifikasi risiko 1). Sasaran UPR Sasaran UPR Kategori Diisi dengan sasaran strategis (SS) yang ada dalam BSC, yang meliputi Learning & Growth perspective dan Strategic Driver perspective. Untuk setiap sub-ss yang memiliki action plan dijabarkan tersendiri sebagai sebuah SS, untuk dipetakan risikonya. 2). Kategori risiko Sasaran UPR Kategori Diisi dengan kategori risiko, sesuai dengan PMK 191 tahun Terdapat 5 jenis kategori risiko sesuai PMK 191 tahun 2008, yaitu: risiko strategis dan kebijakan, risiko operasional, risiko kepatuhan, risiko finansial dan risiko fraud. strategis dan kebijakan adalah risiko yang disebabkan oleh karena adanya perubahan kebijakan, baik dari lingkungan eksternal maupun internal organisasi. operasional adalah risiko yang disebabkan oleh kegagalan dalam hal proses, orang dan sistem. kepatuhan adalah risiko yang disebabkan oleh karena tidak dipatuhinya ketentuan yang berlaku. finansial adalah risiko yang disebabkan oleh kegagalan pihak ketiga dalam memenuhi kewajibannya kepada UPR. fraud adalah risiko yang disebabkan oleh karena adanya tindakan fraud (intention and organization loss). Setiap risiko hanya memiliki satu jenis kategori risiko. Dalam menggolongkan risiko kedalam salah satu kategori risiko, dasar yang dijadikan patokan adalah penyebab terjadinya risiko itu. 3). Apa yang mungkin terjadi Kategori Apa yang mungkin terjadi Penyebab terjadinya Diisi dengan kejadian atau keadaan yang bertendensi sebagai risiko, yaitu yang bisa menghambat, menunda atau menggagalkan pencapaian tujuan suatu organisasi (sasaran strategis). Merupakan rumusan dari risk statement. Berlaku konsep decomposition of risk. Harus relevan dan terkait dengan sasaran strategis yang dituju. 13

14 4). Penyebab terjadinya Apa yang mungkin terjadi Penyebab terjadinya Kapan terjadinya Diisi penyebab terjadi dari masing-masing risiko yang ada di kolom sebelumnya. Diisi dengan mengacu pada risiko yang telah disebutkan pada kolom sebelumnya. Merupakan faktor pemicu (trigger) langsung yang menyebabkan terjadinya risiko. Penyebab dapat berasal dari internal maupun eksternal UPR. Berlaku konsep decomposition of risk. Sumber daya organisasi merupakan penyebab akhir (final causes), yang tidak bisa bertindak sebagai risiko. Penyebab terjadinya sebuah risiko dapat lebih dari satu macam, diurutkan dari yang paling signifikan dan besar pengaruhnya terhadap risiko. 5). Kapan terjadinya Penyebab terjadinya Kapan terjadinya Deskripsi Konsekuensi Diisi dengan periode waktu dimana masing-masing risiko yang ada di kolom sebelumnya biasanya terjadi (take place). Penentuan waktu ini penting karena menyangkut penyususnan anggaran bagi langkah mitigasi. Diisi dengan mengacu pada risiko yang telah disebutkan di kolom sebelumnya, bukan mengacu pada penyebab terjadinya risiko. Sedapat mungkin diisi dengan waktu yang spesifik (specific time) dimana sebuah risiko mungkin akan terjadi. Jika tidak bisa ditentukan waktu yang spesifik, maka diisi dengan tahapan dari alur suatu kegiatan yang biasanya dijalankan. Dapat bersifat berulang (repetitive), sekali saja terjadinya (once random) atau secara terus menerus mengikuti proses (continuous depend on activity). 14

15 6). Deskripsi konsekuensi risiko Kapan terjadinya Deskripsi Konsekuensi Diisi dengan dampak atau akibat yang ditimbulkan oleh risiko yang telah disebutkan pada kolom sebelumnya. Diisi dengan mengacu pada risiko yang telah disebutkan di kolom sebelumnya, bukan mengacu pada penyebab terjadinya risiko. Diisi dengan akibat atau dampak yang memiliki kaitan langsung (yang paling dekat) dengan risiko yang disebutkan. Harus relevan dan berkaitan dengan pencapaian sasaran UPR yang telah didefinisikan. Dampak risiko dapat lebih dari satu macam, namun demikian hendaknya diurutkan dari dampak yang paling langsung dari satu risiko dan paling signifikan bagi organisasi. 6. Output kegiatan a. Formulir 2 PMK 191 tahun 2008 tentang Risk Register A Proses Identifikasi Risio yang telah terisi lengkap; b. Kumpulan risiko, lengkap dengan komponennya, yang siap untuk dikelola oleh satu UPR. 7. Outcome kegiatan a. Adanya kesadaran pegawai terhadap risiko yang ada di organisasinya.; b. Adanya dasar bagi pelaksanaan tahapan proses manjaemen risiko selanjutnya yaitu analisis risiko. 15

16 BAB IV ANALISIS RISIKO 1. Pengantar Analisis risiko merupakan pengembangan pemahaman terhadap risiko. Analisis risiko merupakan masukan bagi evaluasi risiko pada tahap selanjutnya dan digunakan untuk pengambilan keputusan apakah suatu risiko akan dimitigasi atau tidak. dianalisis dengan mengkombinasikan konsekuensi (consequences) dan kemungkinan terjadinya (likelihood). Analisis awal dapat dilakukan untuk mengggabungkan beberapa risiko yang sama atau mirip. Analisis risiko juga mempertimbangkan pengendalian yang sudah ada. (existing control). 2. Tujuan kegiatan a. Mengetahui profil risiko yang ada dalam satu UPR. b. Menentukan level risiko untuk dimensi kemungkinan keterjadian dari setiap risiko. c. Menentukan level risiko untuk dimensi konsekuensi dari setiap risiko. d. Menentukan level masing-masing risiko. e. Melakukan evaluasi terhadap sistem pengendalian internal yang ada dalam UPR. 3. Dokumen sumber bagi kegiatan a. Dokumentasi sistem pengendalian internal; b. Past Event Data; c. SOP; d. Piagam manajemen risiko. 4. Metodologi kegiatan a. Kegiatan analisis risiko dalam proses manajemen risiko dituangkan kedalam formulir 3 dari PMK 191 tahun b. Proses analisis risiko harus didasarkan pada konteks yang telah ditetapkan pada piagam manajemen risiko. 16

17 c. Dalam melakukan identifikasi dan penilaian terhadap sistem pengendalian yang ada untuk mengendalikan suatu risiko dalam UPR berpedoman pada PP nomor 60 tahun 2008 tentang Sistem Pengendalian Internal Pemerintah (PP SPIP). d. Besarnya konseksuensi dari suatu risiko (event), jika terjadi, dan kemungkinan terjadinya dinilai sesuai dengan strategi dan pengendalian yang ada saat ini. KOnsekuensi dan kemungkinan terjadinya risiko digabungkan untuk memperoleh level risiko. Konsekuensi dan kemungkinan terjadinya dapat diestimasi menggunakan analisis statistik. Ketika tidak ada data historis yang relevan dan dapat dipercaya, estimasi subjektif dapat dilakukan oleh individu atau kelompok. e. Analisis konsekuensi dan kemungkinan harus menggunakan informasi yang dapat dipercaya. Sumber informasi yang dapat digunakan antara lain: 1) Catatan historis. 2) Pengalaman yang relevan 3) Buku teks 4) Riset pasar 5) Hasil konsultasi resmi 6) Eksperimen 7) Model ekonomi, teknik, dsb. 8) Pertimbangan ahli. f. Sebelum menentukan level risiko, baik untuk dimensi kemungkinan keterjadian maupun dimensi konsekuensi, harus ditetapkan terlebih dahulu kriteria bagi masing-masing risiko (per-risiko, bukan per-kategori risiko). g. Proses penentuan level untuk masing-masing dimensi risiko dapat menggunakan benchmarking, profesional judgement, atau subjective analysis yang dilakukan secara focused group discussion atau facillitated workshop. h. Jenis analisis yang dapat dilakukan untuk masing-masing risiko adalah analisis kualitatif, semi kuantitatif, dan kuantitatif. Jenis analisis harus konsisten dengan kriteria risiko yang telah ditentukan dalam proses sebelumnya. 1) Analisis kualitatif (1) Analisis kualitatif menggunakan kata-kata untuk menguraikan besarnya potensi konsekuensi dan kemungkinan terjadinya suatu risiko. (2) Analisis kualitatif biasa digunakan: 17

18 a) Sebagai analisis awal sebelum suatu risiko dianalisis lebih lanjut. b) Ketika analisis ini cocok untuk pengambilan keputusan. c) Jika data numerik dan sumber daya tidak memadai untuk analisis kuantitatif. (3) Analisis kualitatif menggunakan informasi atau data yang faktual bila mungkin. 2) Analisis semi kuantitatf (1) Pada analisis semi kuantitatif, skala kualitatif yang digunakan di atas diberi nilai. Tujuannya adalah memberikan skala pemeringkatan yang lebih informatif dibandingkan dengan analisis kualitatif di atas. Meskipun demikian, pembeian angka atau nilai tersebut tidak berarti memberikan nilai yang tepat terhadap risiko seperti pada analisis kuantitatif. (2) Perlu diperhatikan bahwa pemberian nilai angka pada konsekuensi dan kemungkinan bukanlah berdasarkan akurasi data statistik. 3) Analisis kuantitatif (1) Analisis kuantitatif menggunakan nilai angka (bukan skala deskriptif pada analisis kualitatif atau skala angka pada analisis semi kuantitatif) baik untuk konsekuensi maupun kemungkinan. (2) Kualitas analisis kuantitatif bergantung kepada ketepatan dan kelengkapan nilai angka dan model yang digunakan. Level konsekuensi dapat dilakukan dengan pemodelan, dari data historis atau dari hasil eksperimen. Konsekuensi dapat dinyatakan dengan nilai uang atau satuan lain yang relevan. i. Proses penentuan level untuk masing-masing dimensi risiko dilakukan dengan jalan membandingkan antara hasil analisis atau estimasi masing-masing dimensi risiko untuk periode yang akan datang (future) dengan kriteria yang telah ditetapkan untuk masing-masing dimensi pada formulir 1 PMK 191 tahun j. Penentuan level risiko dilakukan dengan berpedoman pada pola yang ada pada formulir 1 nomor 8c dalam formulir 1 PMK 191 tahun k. Tingkatan atau level untuk melakukan analisis risiko dapat menggunakan beberapa jenjang. PMK 191 tahun 2008 menganut 3 jenjang level risiko, yaitu: rendah, sedang dan tinggi. 18

19 l. Bobot konsekuensi terhadap level risiko diasumsikan lebih tinggi daripada bobot frekuensi (formulir 1 PMK 191 tahun 2008). 5. Teknis pelaksanaan kegiatan a. Data judul (heading) formulir Unit Kerja : Diisi dengan nama unit eselon II selaku UPR yang melakukan proses analisis risiko. Ruang Lingkup Proses : Diisi dengan tugas dan fungsi unit Eselon II sesuai dengan regulasi yang terkait, yang mengatur hal ini. Jangka Waktu Proses : Diisi dengan jangka waktu berlakunya dokumen analisis risiko, yaitu 6 bulan (sesuai dengan peninjauan ulang dan monitoring risiko secara berkala setiap 6 bulan sekali). Tujuan Proses : Diisi dengan maksud dari pengisian formulir 3 PMK 191 tahun 2008, yaitu: analisis risiko. Penanggung Proses Jawab : Diisi dengan nama pejabat eselon II terkait selaku pemilik risiko. Tanggal : Diisi dengan tanggal waktu pelaksanaan analisis risiko. b. Tabel analisis risiko 1). Sistem pengendalian yang ada Deskripsi Konsekuensi Sistem Pengendalian yang ada Tingkat Konsekuensi Diisi dengan bentuk pengendalian yang ada di UPR, yang digunakan untuk meng-counter masingmasing risiko yang telah disebutkan pada kolom sebelumnya. Diisi dengan berpatokan pada masingmasing risiko yang telah disebutkan, bukan berpatokan pada penyebab atau konsekuensi dari risiko. Diisi dengan bentuk pengendalian yang ada, bukan kelemahan dari sistem pengendalian tersebut atau sistem pengendalian yang seharusnya ada. Diisi sesuai dengan kerangka unsur-unsur pengendalian internal dalam PP nomor 60 tahun Bentuk sistem pengendalian yang diisikan harus relevan dengan risiko yang disebutkan. Jika memang tidak ada sistem pengendalian yang terkait, maka kolom ini tidak perlu diisi. 19

20 2). Tingkat konsekuensi risiko Sistem Pengendalian yang ada Tingkat Konsekuensi Tingkat Kemungkinan Terjadinya Diisi dengan level dimensi konsekuensi dari masing-masing risiko yang telah disebutkan pada kolom sebelumnya. Terlebih dahulu harus disusun kriteria untuk dimensi konsekuensi dari masingmasing risiko, yang dijabarkan pada formulir 1 PMK 191 tahun Dilakukan estimasi konsekuensi dari risiko yang bersangkutan apabila di kemudian hari benar-benar terjadi (future perspective). Proses estimasi konsekuensi dapat dilakukan secara subjective estimation yang dilakukan secara focused group discussion. Dilakukan perbandingan antara hasil estimasi konsekuensi dengan kriteria konsekuensi yang telah disusun pada formulir 1 PMK 191 tahun Hasil perbandingan berupa level untuk konsekuensi masing-masing risiko: rendah atau sedang atau tinggi, dan diisikan pada kolom ini. Level dimensi konsekuensi dapat menggunakan notasi angka: (1) untuk level rendah, (2) untuk level sedang dan (3) untuk level tinggi. 3). Tingkat kemungkinan terjadinya risiko Tingkat Konsekuensi Tingkat Kemungkinan Terjadinya Level Diisi dengan level dimensi kemungkinan keterjadian (frekuensi) dari masing-masing risiko yang telah disebutkan pada kolom sebelumnya. Terlebih dahulu harus disusun kriteria untuk dimensi frekuensi dari masing-masing risiko, yang dijabarkan pada formulir 1 PMK 191 tahun Dilakukan estimasi frekuensi kemungkinan terjadinya risiko yang bersangkutan untuk masa yang akan datang (future perspective). 20

21 Proses estimasi frekuensi keterjadian atas satu risiko dapat dilakukan secara subjective estimation yang dilakukan secara focused group discussion. Dilakukan perbandingan antara hasil estimasi frekuensi keterjadian risiko dengan kriteria kemungkinan keterjadian (frekuensi) yang telah disusun pada formulir 1 PMK 191 tahun Hasil perbandingan berupa level untuk frekuensi keterjadian masing-masing risiko: rendah atau sedang atau tinggi, dan diisikan pada kolom ini. Level dimensi kemungkinan keterjadian dapat menggunakan notasi angka: (1) untuk level rendah, (2) untuk level sedang dan (3) untuk level tinggi. 4). Level risiko Tingkat Kemungkinan Terjadinya Level Trend Diisi dengan level dari masing-masing risiko yang telah disebutkan pada kolom sebelumnya. Merupakan istilah (term) untuk level dari satu risiko utuh. Dilakukan dengan jalan menggabungkan (memfungsikan) level dari dimensi konsekuensi dan level dari dimensi frekuensi untuk setiap masingmasing risiko. Penentuan level risiko dilakukan dengan berpedoman pada pola (pattern) yang ada pada formulir 1 PMK 191 tahun 2008 nomor 8c. Hasil dari fungsi (penggabungan) antara level konsekuensi dengan level frekuensi perbandingan berupa level untuk masing-masing risiko: rendah atau sedang atau tinggi, dan diisikan pada kolom ini. Level risiko dapat menggunakan notasi angka: (1) untuk level rendah, (2) untuk level sedang dan (3) untuk level tinggi. 5). Trend risiko Level Trend Level Konsekuensi Level Frekuensi Level Diisi dengan Diisi dengan Diisi dengan kecenderungan kecenderungan kecenderungan pergerakan (trend) pergerakan (trend) pergerakan (trend) dari level dimensi dari level dimensi dari level risiko 21

22 konsekuensi untuk masing-masing risiko. Diisi dengan notasi: menurun, atau menaik, atau stabil. Hanya diisi pada saat melakukan second risk assessment dan risk asssesment berikutnya. Untuk first risk assessment, kolom ini tidak diisi, karena tren level konsekuensi belum dapat diketahui. Dilakukan dengan membandingkan antara level konsekuensi untuk periode saat dilakukannya risk assessment dengan level konsekuensi untuk periode risk assessment sebelumnya. frekuensi untuk masing-masing risiko. Diisi dengan notasi: menurun, atau menaik, atau stabil. Hanya diisi pada saat melakukan second risk assessment dan risk asssesment berikutnya. Untuk first risk assessment, kolom ini tidak diisi, karena tren level frekuensi belum dapat diketahui. Dilakukan dengan membandingkan antara level frekuensi untuk periode saat dilakukannya risk assessment dengan level frekuensi untuk periode risk assessment sebelumnya. untuk masingmasing risiko. Diisi dengan notasi: menurun, atau menaik, atau stabil. Hanya diisi pada saat melakukan second risk assessment dan risk asssesment berikutnya. Untuk first risk assessment, kolom ini tidak diisi, karena tren level risiko belum dapat diketahui. Dilakukan dengan membandingkan antara level risiko untuk periode saat dilakukannya risk assessment dengan level risiko untuk periode risk assessment sebelumnya. c. Profil risiko Konsekuensi Profil : dengan level Tinggi : dengan level Sedang : dengan level Rendah Frekuensi : Tren : Sebaran Komposit per-kategori risiko 22

23 Profil risiko merupakan gambaran dari perkategori risiko berdasarkan distribusinya pada sumbu kartesius dengan dimensi konsekuensi dan dimensi kemungkinan sebagai faktor pembentuknya. Tingkat risiko komposit untuk masing-masing jenis kategori risiko diperoleh dengan menghitung rata-rata level konsekuensi dan rata-rata level kemunkinan untuk perkategori risiko. Apabila dipandang perlu, sebaran risiko pada cartesius chart dapat pula dilakukan secara mandiri per-risiko, bukan perkategori risiko. Chart profil risiko digunakan oleh manajemen untuk mengambil keputusan terkait dengan langkah pengelolaan risiko. 6. Output kegiatan a. Formulir 3 PMK 191 tahun 2008 tentang Risk Register B Proses Analisis yang telah terisi lengkap; b. Kumpulan risiko, lengkap dengan komponennya dan tingkatan (level) dari masing-masing risiko dalam satu UPR; c. Profil risiko yang ada dalam satu UPR, baik secara komposit atau secara mandiri. 7. Outcome kegiatan a. Adanya informasi mengenai kondisi risiko yang ada dalam satu UPR; b. Adanya dasar bagi pelaksanaan tahapan proses manjaemen risiko selanjutnya yaitu evaluasi risiko. 23

24 BAB V EVALUASI RISIKO 1. Pengantar Evaluasi risiko dilakukan untuk pengambilan keputusan risiko mana yang membutuhkan penanganan dan jenis penanganannya. Evaluasi risiko menyangkut pembandingan level risiko yang telah dilakukan pada tahap sebelumnya sesuai dengan kriteria yang telah ditentukan. 2. Tujuan kegiatan a. Mengetahui risiko yang memiliki tingkat prioritas tertinggi hingga risiko yang memiliki tingkat prioritas terendah dari keseluruhan risiko yang telah diidentifikasi. b. Menetapkan perlu tidaknya dilakukan langkah penanganan terhadap risiko yang telah diidentifikasi. c. Menentukan risiko mana saja yang akan ditindaklanjuti dengan langkah mitigasi risiko dan risiko mana saja yang hanya perlu dipantau, karena masih termasuk risiko yang dapat diabaikan sesuai selera risiko (risk appetite) UPR yang bersangkutan. 3. Dokumen sumber bagi kegiatan a. Formulir 3: Risk Register B Proses Analisis ; b. Piagam Manajemen. 4. Metodologi kegiatan a. Kegiatan evaluasi risiko dalam proses manajemen risiko dituangkan kedalam formulir 4 dari PMK 191 tahun b. Proses evaluasi risiko harus didasarkan pada konteks yang telah ditetapkan pada piagam manajemen risiko. c. Evaluasi risiko dilakukan dengan cara yang sistematis untuk menilai setiap risiko guna menentukan urutan prioritas bagi masing-masing risiko yang telah diidentifikasi. d. Pertimbangan untuk melakukan penilaian terhadap risiko adalah: level risiko, tingkat (level) dimensi konsekuensi dari risiko, kategori risiko dan frekuensi risiko. 24

25 e. Cara penilaian terhadap risiko adalah: 1). Menentukan tingkat level risiko dari yang tertinggi hingga yang terendah; 2). Jika dalam satu level risiko terdiri lebih dari satu buah risiko, maka pengurutan risiko tersebut dilihat dari tingkat level dimensi konsekuensi risiko, kemudian diurutkan dari risiko yang memiliki level konsekuensi tertinggi hingga yang terendah; 3). Jika dalam satu level risiko dan dalam satu level konsekuensi terdiri lebih dari satu buah risiko, maka pengurutan risiko tersebut dilihat dari kategori risiko dari masing-masing risiko itu, kemudian diurutkan dengan urutan kategori sebagai berikut: (1) risiko fraud; (2) risiko strategik dan kebijakan; (3) risiko operasional; (4) risiko kepatuhan; (5) risiko finansial; 4). Jika dalam satu level risiko dan dalam satu level konsekuensi serta dalam satu kategori risiko terdiri lebih dari satu buah risiko, maka pengurutan risiko tersebut dilihat dari tingkat frekuensi dari risiko tersebut, kemudian diurutkan dari risiko dengan tingkat frekuensi yang tertinggi hingga yang terendah; 5). Jika dalam satu level risiko, dalam satu level konsekuensi dan dalam satu kategori risiko serta dalam satu level frekuensi terdiri lebih dari satu buah risiko, maka pertimbangan selanjutnya untuk pengurutan risiko dilakukan sesuai dengan selera atau pertimbangan subjektif dari UPR. 5. Teknis pelaksanaan kegiatan 1. Data judul (heading) formulir Unit Kerja : Diisi dengan nama unit eselon II selaku UPR yang melakukan proses evaluasi risiko. Ruang Lingkup Proses : Diisi dengan tugas dan fungsi unit Eselon II sesuai dengan regulasi yang terkait, yang mengatur hal ini. Jangka Waktu Proses : Diisi dengan jangka waktu berlakunya dokumen evaluasi risiko, yaitu 6 bulan (sesuai dengan peninjauan ulang dan monitoring risiko secara berkala setiap 6 bulan sekali). Tujuan Proses : Diisi dengan maksud dari pengisian formulir 4 PMK 191 tahun 2008, yaitu: evaluasi risiko. Penanggung Proses Jawab : Diisi dengan nama pejabat eselon II terkait selaku pemilik risiko. Tanggal : Diisi dengan tanggal waktu pelaksanaan evaluasi risiko. 25

26 2. Tabel evaluasi risiko Trend Prioritas Diisi dengan nomor urutan yang menunjukkan prioritas dari semua risiko yang telah diidentifikasi. Merupakan kode angka (numeris) urut yang menunjukkan risiko dengan prioritas tertinggi hingga risiko dengan prioritas terendah. Dilakukan dengan menilai level risiko, level dimensi konsekuensi dari risiko, kategori dari risiko, level dimensi frekuensi risiko dan pertimbangan subjektif lainnya yang logis dan rasional. Proses penilaian atas risiko dilakukan dalam lingkup keseluruhan satu UPR, bukan per-segmen organisasi UPR, atau perkategori risiko, atau persasaran UPR. dengan level rendah tidak dilakukan langkah penanganan (mitigasi) risko, tetapi cukup dilakukan pemantauan terhadap risiko tersebut. 3. Profil risiko Profil Konsekuensi : dengan level Tinggi : dengan level Sedang Frekuensi : dengan level Rendah : Tren : Sebaran Komposit per-kategori risiko Profil risiko merupakan gambaran dari perkategori risiko berdasarkan distribusinya pada sumbu kartesius dengan dimensi konsekuensi dan dimensi frekuensi sebagai faktor pembentuknya. Tingkat risiko komposit untuk masing-masing jenis kategori risiko diperoleh dengan menghitung rata-rata level konsekuensi dan rata-rata level frekuensi untuk perkategori risiko. Sebaran risiko pada cartesius chart dapat pula dilakukan secara mandiri per-risiko, bukan perkategori risiko. Chart profil risiko digunakan oleh manajemen untuk mengambil keputusan terkait dengan langkah pengelolaan risiko. 26

27 6. Output kegiatan a. Formulir 4 PMK 191 tahun 2008 tentang Risk Register C Proses Evaluasi yang telah terisi lengkap; b. Kumpulan risiko, lengkap dengan komponennya dan tingkatan (level) dari masingmasing risiko, yang telah terurutkan berdasarkan prioritasnya dari yang tertinggi hingga yang terendah, dalam satu UPR; c. Profil risiko yang ada dalam satu UPR, baik secara komposit atau secara mandiri. 7. Outcome kegiatan a. Adanya informasi mengenai kondisi risiko yang ada dalam satu UPR; b. Adanya informasi mengenai prioritisasi risiko yang ada dalam satu UPR; c. Adanya dasar bagi pelaksanaan tahapan proses manjaemen risiko selanjutnya yaitu penanganan (mitigasi) risiko. 27

28 BAB VI PENANGANAN RISIKO 1. Pengantar Penanganan risiko menyangkut identifikasi opsi penanganan risiko, menilai opsiopsi tersebut, dan persiapan dan implementasi rencana penanganan, sehingga risiko dengan level tertentu bisa memiliki level risiko yang sesuai dengan selera risiko (risk appetite) dari UPR yang bersangkutan. 2. Tujuan kegiatan a. Menentukan langkah penanganan yang efektif dan efisien terhadap risiko dengan level tertentu. b. Memilih opsi penanganan risiko yang mungkin untuk diterapkan dalam UPR yang bersangkutan. c. Memutuskan rencana penanganan risiko yang akan dilakukan dengan mendasarkan pada pertimbangan yang logis dan rasional. d. Menentukan target kinerja dari rencana penanganan risiko yang akan dijalankan untuk mengukur tingkat keberhasilan aksi penanganan risiko. e. Menentukan jadual waktu pelaksanaan aksi penanganan risiko. f. Menentukan tingkat risiko residual yang diharapkan, dengan mempertimbangkan efektifitas aksi penanganan risiko yang dijalankan. 3. Dokumen sumber bagi kegiatan a. Formulir 4: Risk Register C Proses Evaluasi ; b. Balanced Score Card; c. Rencana Anggaran dan Biaya (RAB); d. Rencana Kerja Tahunan (RKT); e. Program Kerja Organisasi; f. Piagam Manajemen. 4. Metodologi kegiatan a. Kegiatan rencana penanganan risiko dalam proses manajemen risiko dituangkan kedalam formulir 5 dari PMK 191 tahun

29 b. Penyusunan rencana penanganan risiko harus mempertimbangkan sumber daya organisasi yang dimiliki oleh UPR, yang meliputi antara lain: dana, manusia, waktu dan sarana serta prasarana. c. Pemilihan opsi penanganan risiko harus mempertimbangkan level dimensi konsekuensi dan level dimensi frekuensi dari masing-masing risiko. d. Opsi penanganan risiko yang mungkin untuk diambil antara lain: 1). Menerima risiko, artinya terhadap kegiatan yang dilaksanakan yang didalamnya mengandung risiko, tidak dilakukan aksi penanganan terhadap risiko yang terkandung dalam kegiatan tersebut. 2). Menghindari risiko, artinya terhadap kegiatan yang mengandung risiko tidak jadi dilaksanakan sehingga organisasi terhindar dari risiko yang terkandung dalam kegiatan tersebut. 3). Menurunkan dampak atau konsekuensi risiko, artinya terhadap kegiatan yang dilaksanakan yang didalamnya terkandung suatu risiko, atas risiko tersebut diberikan rencana langkah aksi untuk menurunkan dampak negatif apabila risiko tersebut benar-benar terjadi di kemudian hari. Beberapa contoh penanganan berupa penurunan dampak adalah rencana kontinjensi, pengaturan kontrak, rencana pemulihan bencana, rencana pengendalian kecurangan, perencanaan protofolio, hubungan masyarakat, dan pemberian ganti rugi. 4). Mengurangi kemungkinan terjadinya risiko, artinya terhadap kegiatan yang dilaksanakan yang didalamnya terkandung suatu risiko, atas risiko tersebut diberikan rencana langkah aksi untuk menekan atau bahkan mungkin menghilangkan (apabila bisa) kemungkinan keterjadian atas risiko tersebut. Beberapa contoh penanganan penurunan kemungkinan terjadinya risiko adalah audit, peeliharaan, pemeliharaan kualitas, penelitian dan pengembangan, dan pendidikan dan pelatihan personil. 5). Mengalihkan atau membagi risiko, artinya terhadap kegiatan yang dilaksanakan yang didalamnya terkandung suatu risiko, atas risiko tersebut diberikan langkah aksi berupa membagi risiko tersebut kepada pihak lain untuk menurunkan tingkat risiko yang dihadapi oleh UPR. e. Penyusunan rencana penanganan risiko harus memperhatikan penyebab yang menjadi pemicu terjadinya suatu risiko. 29

30 f. Rencana penanganan risiko sedapat mungkin diarahkan untuk menghilangkan atau menekan penyebab dari risiko yang bersangkutan. g. Rencana penanganan risiko ditujukan bagi risiko dengan level risiko tinggi dan sedang, sementara itu untuk risiko dengan level rendah tidak dilakukan penanganan risiko, tetapi cukup dipantau saja. h. Rencana penanganan risiko sedapat mungkin diarahkan untuk mampu menekan risiko hingga risiko residualnya berada pada level yang lebih rendah atau berada pada level yang sesuai dengan selera risiko dari UPR. i. Rencana penanganan risiko harus diintegrasikan dengan proses penganggaran dalam UPR. j. Rencana penanganan risiko harus dijalankan dan dipantau pelaksanaannya untuk mengefektifkan proses mitigasi risiko. k. Proses pelaksanaan rencana penanganan risiko harus diawasi oleh penanggung jawab sesuai dengan jabatan dalam struktur manajemen risiko. l. Pihak yang bertanggung jawab dalam pelaksanaan penanganan risiko adalah: 1). untuk risiko dengan level tinggi, yang bertanggung jawab adalah ketua manajemen risiko bersama dengan pemilik risiko; 2). untuk risiko dengan level sedang, yang bertanggung jawab adalah pemilik risiko; 3). Untuk risiko dengan level rendah, yang bertanggung jawab untuk memantau adalah koordinator manajemen risiko. 5. Teknis pelaksanaan kegiatan a. Data judul (heading) formulir Unit Kerja : Diisi dengan nama unit eselon II selaku UPR yang melakukan proses penanganan risiko. Ruang Lingkup Proses : Diisi dengan tugas dan fungsi unit Eselon II sesuai dengan regulasi yang terkait, yang mengatur hal ini. Jangka Waktu Proses : Diisi dengan jangka waktu berlakunya dokumen pananganan risiko, yaitu 6 bulan (sesuai dengan peninjauan ulang dan monitoring risiko secara berkala setiap 6 bulan sekali). Tujuan Proses : Diisi dengan maksud dari pengisian formulir 5 PMK 191 tahun 2008, yaitu: rencana penanganan risiko. Penanggung Proses Jawab : Diisi dengan nama pejabat eselon II terkait selaku pemilik risiko. 30