Tata Kelola, Manajemen Risiko, dan

Undang No. 28 Tahun 1999 tentang Penyelenggaraan Negara yang Bersih dan Bebas dari KKN. ... instansi dalam menerapkan tata kelola pemerintahan yang ba...

83 downloads 989 Views 2MB Size
                           

 

 

 

Tata Kelola, Manajemen Risiko, dan  Pengendalian Intern 

PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN  BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN 

2014   

 

  Tata Kelola, Manajemen Risiko, dan Pengendalian Intern    Dikeluarkan oleh Pusat Pendidikan dan Pelatihan Pengawasan BPKP dalam rangka   Diklat Fungsional Auditor ‐ Diklat Pembentukan Auditor Terampil/Ahli dan Penjenjangan Auditor Muda 

  Edisi Pertama        Perevisi  Narasumber  Pereviu  Penyunting  Penata Letak                   

:  Tahun 2014 

:  :  :  :  :             

Lady Martha Boturan Hasian Napitupulu, S.E., Ak., M.A.  Andilo Tohom, Ak., M.Si.  Dr. Trisacti Wahyuni, Ak., M.Ak.  Daissy Erdianthy, S.E., Ak., M.Ak.  Didik Hartadi, S.E.             

Pusdiklatwas BPKP  Jl. Beringin II, Pandansari, Ciawi, Bogor 16720  Telp. (0251) 8249001 ‐ 8249003   Fax. (0251) 8248986 ‐ 8248987  Email  : [email protected]  Website  : http://pusdiklatwas.bpkp.go.id  e‐Learning  : http://lms.bpkp.go.id 

   

Dilarang keras mengutip, menjiplak, atau menggandakan sebagian atau  seluruh isi modul ini, serta memperjualbelikan tanpa izin tertulis dari   Pusat Pendidikan dan Pelatihan Pengawasan BPKP 

 

 

Kata Pengantar   

Peran  dan  fungsi  aparat  pengawasan  intern  pemerintah  (APIP)  dalam  rangka  membantu  manajemen  untuk  mencapai  tujuan  organisasi  dilaksanakan  melalui  pemberian  jaminan  (assurance  activities)  dan  layanan  konsultansi  (consulting  activities)  sesuai  standar,  sehingga  memberikan  perbaikan  efisiensi  dan  efektivitas  atas  tata  kelola,  manajemen  risiko,  dan  pengendalian intern organisasi. Selain itu, Peraturan Pemerintah Nomor 60 Tahun 2008 tentang  Sistem  Pengendalian  Intern  Pemerintah  mengatur  bahwa  pelaksanaan  audit  intern  di  lingkungan  instansi  pemerintah  dilaksanakan  oleh  pejabat  yang  mempunyai  tugas  melaksanakan pengawasan yang telah memenuhi syarat kompetensi keahlian sebagai auditor.  Hal  tersebut  selaras  dengan  komitmen  pemerintah  untuk  mewujudkan  pemerintahan  yang  transparan  dan  akuntabel  serta  bebas  korupsi,  kolusi,  dan  nepotisme  pada  berbagai  aspek  pelaksanaan  tugas  umum  pemerintahan  dan  pembangunan  yang  dituangkan  dalam  Undang‐ Undang No. 28 Tahun 1999 tentang Penyelenggaraan Negara yang Bersih dan Bebas dari KKN.  Untuk  menjaga  tingkat  profesionalisme  aparat  pengawasan,  salah  satu  medianya  adalah  pendidikan  dan  pelatihan  (diklat)  sertifikasi  auditor  yang  bertujuan  untuk  meningkatkan  pengetahuan,  keterampilan,  dan  perubahan  sikap/perilaku  auditor  pada  tingkat  kompetensi  tertentu  sesuai  dengan  perannya  sesuai  dengan  keputusan  bersama  Kepala  Pusat  Pembinaan  Jabatan  Fungsional  Auditor  dan  Kepala  Pusat  Pendidikan  dan  Pelatihan  Pengawasan  Badan  Pengawasan  Keuangan  dan  Pembangunan  Nomor  KEP‐82/JF/1/2014  dan  Nomor  KEP‐ 168/DL/2/2014 tentang Kurikulum Pendidikan dan Pelatihan Fungsional Auditor.  Guna  mencapai  tujuan  di  atas,  sarana  diklat  berupa  modul  dan  bahan  ajar  perlu  disajikan  dengan sebaik mungkin. Evaluasi terhadap modul perlu dilakukan secara terus menerus untuk  menilai  relevansi  substansi  modul  terhadap  perubahan  lingkungan  yang  terjadi.  Modul  ini  ditujukan  untuk  memutakhirkan  substansi  modul  agar  sesuai  dengan  perkembangan  profesi  auditor,  dan  dapat  menjadi  referensi  yang  lebih  berguna  bagi  para  peserta  diklat  sertifikasi  auditor.   Akhirnya  kami  mengucapkan  terima  kasih  kepada  semua  pihak  yang  telah  memberikan  kontribusi atas terwujudnya modul ini.        Ciawi, 30 April 2014  Kepala Pusdiklat Pengawasan BPKP      N u r d i n , Ak., M.B.A. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

i

 

 

ii 

 

2014 |Pusdiklatwas BPKP

 

Daftar Isi   

Kata Pengantar .......................................................................................................................... i  Daftar Isi.................................................................................................................................. iii  Daftar Gambar dan Tabel ......................................................................................................... v  Bab I  

PENDAHULUAN ........................................................................................................... 1  A.  Latar Belakang .......................................................................................................... 1  B.  Indikator Keberhasilan ............................................................................................. 1  C.  Deskripsi Singkat Struktur Modul ............................................................................ 2  D.  Metodologi Pemelajaran ......................................................................................... 3 

Bab II   TATA KELOLA (GOVERNANCE) ..................................................................................... 5  A.  Revolusi Manajemen Sektor Publik ......................................................................... 6  B.  Pergeseran Paradigma New Public Management ke Governance .......................... 7  C.  Konsep Good Governance (Tata Kelola yang Baik) ................................................ 11  D.  Prinsip‐Prinsip Good Governance .......................................................................... 13  Bab III   MANAJEMEN RISIKO ................................................................................................. 17  A.  Risiko ...................................................................................................................... 18  B.  Manajemen Risiko .................................................................................................. 25  C.  Dokumentasi Manajemen Risiko ........................................................................... 45  Bab IV   PENGENDALIAN INTERN ............................................................................................ 49  A.  Definisi Dan Tujuan Pengendalian Intern .............................................................. 49  B.  Unsur Pengendalian Intern .................................................................................... 53  C.  Keterbatasan Pengendalian Intern ........................................................................ 66  D.  Perkembangan Terkini Konsep Pengendalian Intern ............................................ 68  Bab V   AUDITOR INTERN DAN TATA KELOLA‐  MANAJEMEN RISIKO‐ PENGENDALIAN .......... 73  A.  Hubungan Antara Tata Kelola‐Manajemen Risiko‐Pengendalian.......................... 73  B.  Peran Audit Internal dalam Tata Kelola–Manajemen Risiko–Pengendalian ......... 76  Bab VI   PEMANTAUAN DAN EVALUASI .................................................................................. 83  A.  Pemantauan dan Evaluasi atas Efektivitas Proses Tata Kelola .............................. 84  B.  Pemantauan dan Evaluasi atas Efektivitas Manajemen Risiko .............................. 85  C.  Pemantauan dan Evaluasi atas Efektivitas Pengendalian Intern ........................... 87  Daftar Pustaka ........................................................................................................................ 91     

 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

iii

 

iv 

 

2014 |Pusdiklatwas BPKP

 

Daftar Gambar dan Tabel    Gambar  Gambar 2.1 

Tiga Pilar Good Governance  .......................................................................  



Gambar 2.2 

Konsep Tata Kelola menurut IIA ..................................................................  

10 

Gambar 2.3 

Komponen Kunci Pengawasan Tata Kelola .................................................     11 

Gambar 2.4 

Membangun Nilai Tambah Berkelanjutan ..................................................  

13 

Gambar 3.1 

Elemen/Proses Manajemen Risiko..............................................................  

33 

Gambar 3.2 

Peta Risiko  ..................................................................................................  

40 

Gambar 4.1 

Sistem Pengendalian Intern Pemerintah ....................................................  

53 

Gambar 4.2 

Hubungan Pengendalian Risiko ...................................................................  

58 

Gambar 4.3 

Siklus Penyelenggaraan SPIP .......................................................................  

66 

Gambar 4.4 

Perbandingan COSO 1992 dan COSO 2013 .................................................  

69 

Gambar 5.1 

Hubungan GRC menurut PP Nomor 60 Tahun 2008  ..................................  

74 

Gambar 5.2 

Hubungan GRC menurut IIA  .......................................................................  

75 

Gambar 5.3 

Internal Auditing = Assurance, Insight and Objectivity ...............................  

80 

Gambar 5.4 

ASSURANCE = Governance, Risk and Control ..............................................  

81 

Gambar 5.5 

INSIGHT = Catalyst, Analyses, and Assessments  ........................................  

81 

Gambar 5.6 

OBJECTIVITY = Integrity, Accountability, and Independence ......................  

82 

Tabel 3.1  

Skala Dampak Risiko  ...................................................................................  

39 

Tabel 3.2 

Skala Kemungkinan Terjadi Risiko ...............................................................  

39 

Tabel 4.1 

Prinsip Pengendalian Intern COSO 2013  ....................................................  

71 

  Tabel 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

v

   

vi 

 

2014 |Pusdiklatwas BPKP

 

Bab I  PENDAHULUAN   

A.

LATAR BELAKANG  

Setiap  organisasi  pasti  menghadapi  berbagai  risiko,  baik  dari  dalam  maupun  luar  organisasi.  Dengan  perkembangan  lingkungan  yang  semakin  cepat  dan  kompleks,  serta  persaingan  yang  semakin  keras,  maka  risiko‐risiko  yang  dihadapi  suatu  organisasi  untuk  mencapai  tujuannya  akan  semakin  kompleks  juga.  Guna  mengantisipasi  dan  mengatasi  risiko‐risiko  tersebut,  diperlukan praktik tata kelola serta fungsi manajemen risiko yang baik agar risiko‐risiko yang ada  tidak menimbulkan kejutan dan tujuan organisasi dapat diyakini tidak terganggu pencapaiannya.  Tata kelola merupakan kombinasi proses dan struktur yang diterapkan oleh manajemen untuk  menginformasikan, mengarahkan, mengelola, dan memantau kegiatan organisasi dalam rangka  pencapaian  tujuan.  Tata  kelola  memiliki  keterkaitan  dengan  manajemen  risiko  dan  pengendalian  intern.  Aktivitas  tata  kelola  yang  efektif  mempertimbangkan  risiko  pada  saat  menyusun  strategi.  Sebaliknya,  manajemen  risiko  didasarkan  pada  tata  kelola  yang  efektif  (misalnya,  tone  at  the  top,  selera  risiko  dan  toleransi  risiko,  budaya  risiko,  dan  pengawasan  manajemen  risiko).  Tata  kelola  yang  efektif  juga  bergantung  pada  pengendalian  intern  dan  komunikasi efektivitas pengendalian‐pengendalian tersebut kepada manajemen. 

B.

INDIKATOR KEBERHASILAN  

Modul  ini  disusun  untuk  memenuhi  materi  pemelajaran  pada  Diklat  Fungsional  Pembentukan  Auditor Ahli di lingkungan instansi pemerintah. Kompetensi dasar yang ingin dicapai dari diklat  ini  adalah  peserta  mampu  mengidentifikasi  titik‐titik  kritis  pada  pelaksanaan  tata  kelola  organisasi, manajemen risiko, dan pengendalian internal.  Sedangkan  indikator  keberhasilan  khusus  dari  diklat  ini  adalah  setelah  mengikuti  proses  pemelajaran, peserta diklat diharapkan mampu:  1.

menjelaskan mengenai tata kelola organisasi yang baik (good governance); 

2.

menjelaskan mengenai manajemen risiko; 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

1

  3.

menjelaskan mengenai pengendalian intern; 

4.

menjelaskan  mengenai  hubungan  keterkaitan  tata  kelola,  manajemen  risiko  dan  pengendalian intern; dan 

5.

menjelaskan  mengenai  prinsip‐prinsip  pemantauan  dan  evaluasi  atas  efektivitas  proses  tata kelola organisasi, manajemen risiko, dan pengendalian intern. 

C.

DESKRIPSI SINGKAT STRUKTUR MODUL 

Modul  ini  dirancang  untuk  membekali  peserta  dengan  pengertian,  pemahaman,  dan  konsep‐ konsep tentang tata kelola, manajemen risiko, pengendalian intern, peran auditor internal dan  hubungan  antara  tata  kelola,  manajemen  risiko,  pengendalian  intern  serta  prinsip‐prinsip  pemantauan  dan  evaluasi  atas  efektivitas  tata  kelola,  manajemen  risiko,  pengendalian  intern  yang terdiri atas enam materi bahasan yang dibagi dalam bab berikut.  Bab I 

Pendahuluan, membahas mengenai latar belakang, indikator keberhasilan, deskripsi  singkat struktur modul, dan metodologi pemelajaran. 

Bab II 

Tata  Kelola  (Governance),  membahas  mengenai  revolusi  manajemen  sektor  publik,  pergeseran  paradigma  new  public  management  ke  governance,  konsep  tata  kelola  yang baik (good governance), dan prinsip‐prinsip good governance. 

Bab III 

Manajemen Risiko, membahas mengenai risiko, manajemen risiko dan dokumentasi  manajemen risiko 

Bab IV 

Pengendalian Intern, membahas mengenai definisi dan tujuan pengendalian intern,  unsur  pengendalian  intern,  keterbatasan  pengendalian  intern,  dan  perkembangan  terkini konsep pengendalian intern. 

Bab V 

Auditor  Intern  dan  Tata  Kelola‐Manajemen  Risiko‐Pengendalian,  membahas  mengenai hubungan antara tata kelola, manajemen risiko, pengendalian intern serta  peran auditor intern dalam tata kelola, manajemen risiko, dan pengendalian intern. 

Bab VI 

Pemantauan  dan  Evaluasi,  membahas  mengenai  pemantauan  dan  evaluasi  atas  efektivitas proses tata kelola, pemantauan dan evaluasi atas efektivitas manajemen  risiko, pemantauan dan evaluasi atas efektivitas pengendalian intern. 



 

2014 |Pusdiklatwas BPKP

  D.

METODOLOGI PEMELAJARAN 

Metodologi  pemelajaran  yang  digunakan  untuk  mencapai  tujuan  pemelajaran  adalah  menggunakan  pendekatan  andragogi.  Pendekatan  ini  disebut  pendekatan  pemelajaran  orang  dewasa  mengingat  peserta  didik  adalah  orang  yang  telah  memiliki  pengalaman  dan  pengetahuan sebelumnya (prior knowledge) terkait dengan beberapa bagian dari materi diklat.  Oleh  karena  itu,  metode  pemelajaran  ini  menggunakan  kombinasi  proses  belajar  mengajar  dengan cara: ceramah, tanya jawab dan diskusi, serta latihan dan kasus.  1.

Ceramah  Widyaiswara/instruktur  membantu  peserta  dalam  memahami  materi  dengan  ceramah  dan  dalam  proses  ini  peserta  diberi  kesempatan  untuk  mengajukan  tanya  jawab  atau  memberikan  pendapat  dalam  sesi  curah  pendapat.  Selain  itu,  agar  proses  pendalaman  materi  dapat  berlangsung  dengan  lebih  baik,  dilakukan  pula  diskusi  dan  latihan  secara  berkelompok sehingga peserta didik benar‐benar dapat secara aktif terlibat dalam proses  belajar mengajar. 

2.

Tanya jawab dan diskusi  Widyaiswara  dan  peserta  bertanya  jawab  untuk  mendalami  permasalahan/kondisi  yang  terkait dengan tata kelola, pengelolaan risiko dan pengendalian internal. 

3.

Latihan  Peserta  berlatih  menyelesaikan  soal‐soal  yang  terkait  dengan  permasalahan  tata  kelola,  manajemen risiko dan pengendalian intern.   

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

3

   



 

2014 |Pusdiklatwas BPKP

 

Bab II  TATA KELOLA (GOVERNANCE)       Indikator Keberhasilan  Setelah mengikuti pemelajaran ini diharapkan peserta diklat memiliki pengetahuan mengenai   tata kelola organisasi yang baik (good governance)    

  Tuntutan  gencar  yang  dilakukan  masyarakat  kepada  pemerintah  untuk  menjalankan  penyelenggaraan  pemerintahan  yang  baik,  sejalan  dengan  meningkatnya  tingkat  pengetahuan  masyarakat, merupakan hal yang sedang hangat terjadi dalam kehidupan bernegara saat ini.   Krisis  mutidimensi  yang  diawali  oleh  krisis  finansial  pada  tahun  1997‐1998,  telah  mendorong  arus  balik  yang  menuntut  perbaikan  atau  reformasi  dalam  penyelenggaraan  negara  termasuk  birokrasi pemerintahannya. Salah satu penyebab terjadinya krisis multidimensi yang kita alami  tersebut adalah buruknya atau salah kelola dalam penyelengaraan tata kepemerintahan (poor  governance), yang antara lain diindikasikan oleh beberapa masalah, antara lain:   ƒ

dominasi kekuasaan oleh satu pihak terhadap pihak‐pihak lainnya, sehingga pengawasan  menjadi sulit dilakukan;  

ƒ

terjadinya tindakan korupsi, kolusi, dan nepotisme (KKN); dan 

ƒ

rendahnya kinerja aparatur termasuk dalam pelayanan kepada publik atau masyarakat di  berbagai bidang. 

Secara eksternal, pengaruh globalisasi juga telah memaksa setiap pimpinan instansi pemerintah  untuk  menerapkan  good  governance.  Pendekatan  atau  cara  yang  digunakan  setiap  pimpinan  instansi dalam menerapkan tata kelola pemerintahan yang baik (good governance) tidak sama,  namun  semua  berorientasi  pada  masyarakat  melalui  peningkatan  kualitas  layanan  dan  perbaikan sistem manajemen pemerintahan. Pemahaman mengenai revolusi manajemen sektor  publik berikut akan memberikan wacana dasar untuk pemelajaran tata kelola (governance).   

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

5

  A.

REVOLUSI MANAJEMEN SEKTOR PUBLIK  

Seiring  dengan  meningkatnya  peran  swasta  dan  masyarakat  dalam  penyelenggaraan  pemerintahan, manajemen sektor publik telah mengalami perubahan yang cukup signifikan. Hal  ini  antara  lain  dipicu  oleh  pemikiran  Osborne  dan  Gaebler  dalam  bukunya  Reinventing  Government  (1992)  atau  pemerintahan  wirausaha.  Perubahan  tersebut  pada  dasarnya  diarahkan  pada  penciptaan  manajemen  publik  yang  handal  dan  peningkatan  kualitas  penyelenggaraan  administrasi  publik.  Konsep  dan  sistem  administrasi  publik  yang  kaku,  struktural/hirarkis,  dan  birokratis  telah  ditinggalkan  dan  sebagai  gantinya  telah  dikembangkan  suatu konsep manajemen publik yang fleksibel dan berorientasi kepada pasar. Dalam paradigma  manajemen  sektor  publik  yang  baru,  birokrasi  pemerintah  dibuat  seefisien  dan  seefektif  mungkin  sehingga  dapat  bergerak  fleksibel  dalam  mengikuti  tuntutan  masyarakat  dan  perubahan  lingkungan.  Paradigma  baru  ini  dianggap  sebagai  solusi  atas  berbagai  label  negatif  yang  melekat  pada  sektor  publik    yaitu  dengan  mengacu  pada  kaidah‐kaidah  new  public  management (NPM).  Menurut C. Hood (1991) terdapat 7 karakteristik New Public Management, yaitu:  1.

Hands‐on  professional  management  (Pelaksanaan  tugas  manajemen  pemerintahaan  diserahkan kepada manajer profesional). 

2.

Explicit standards and measures of performance (Adanya standar dan ukuran kinerja yang  jelas). 

3.

Greater  emphasis  on  output  controls  (Lebih  ditekankan  pada  pengendalian  hasil/keluaran). 

4.

A shift to desegregations of units in the public sector (Pembagian tugas ke dalam unit‐unit  yang di bawah). 

5.

A shift to greater competition in the public sector (Ditumbuhkannya persaingan di sektor  publik). 

6.

A  stress  on  private  sectore  styles  of  management  practice  (Lebih  menekankan  diterapkannya gaya manajemen sektor privat). 



 

2014 |Pusdiklatwas BPKP

  7.

A  stress  on  greater  discipline  and  parsimony  in  resource  use  (Lebih  menekankan  pada  kedisiplinan  yang  tinggi  dan  tidak  boros  dalam  menggunakan  berbagai  sumber).  Sektor  publik seyogianya bekerja lebih keras dengan sumber‐sumber yang terbatas (to do more  with less). 

Perubahan  ini  bukan  perubahan  sederhana  dalam  “management  style”  administrasi  publik.  Akan tetapi, perubahan ini merupakan perubahan peranan pemerintah dalam masyarakat dan  hubungan antara pemerintah dengan masyarakatnya. Paradigma baru ini merupakan tantangan  langsung  atas  berbagai  prinsip  administrasi  publik  yang  telah  diyakini  sebagai  paradigma  terpenting selama hampir 20 abad. Dalam paradigma baru, birokrat dan pemerintah bukanlah  satu‐satunya  penyedia  barang  dan  jasa  masyarakat.  Perspektif  ini  menempatkan  organisasi  swasta  sebagai  mitra  pemerintah  untuk  menyediakan  berbagai  kebutuhan  publik.  Pemerintah  berperan  dalam  memfasilitasi  kebutuhan  masyarakatnya  melalui  subsidi,  pengaturan  perundang‐undangan dan pengaturan kontrak. Keterbukaan pemerintah juga ditekankan dalam  paradigma  baru  ini,  yang  ditunjukkan  dengan  diadopsinya  berbagai  prinsip  dan  sistem  manajemen sektor swasta ke dalam sektor publik untuk memperbaiki kinerja birokrasi.  Dalam  mekanisme  dan  pola  hubungan  ini  akuntabilitas  yang  ada  tidak  hanya  mengalir  dari  bawah  ke  atas,  dalam  arti  pegawai  secara  hierarkis  mempertanggungjawabkan  kegiatan  yang  dilakukannya  kepada  pejabat  di  atasnya,  namun  pertanggungjawaban  juga  dilakukan  kepada  pihak luar (eksternal) organisasi publik (misalnya masyarakat ataupun kepada sektor swasta). 

B.

PERGESERAN PARADIGMA NEW PUBLIC MANAGEMENT KE GOVERNANCE  

Orientasi  “privatisasi”  yang  terdapat  pada  new  public  management  tidak  berarti  bahwa  peran  pemerintah  berkurang.  Peran  pemerintah  ini  tetap  terwujud  dengan  munculnya  peranan  pengaturan  (regulations)  terhadap  keterlibatan  sektor  swasta  dan  juga  dengan  mengelola  respon  yang  efektif  terhadap  tuntuntan  sosial  dan  ekonomi  masyarakat.  World  Bank  (1997)  menyebutkan bahwa meskipun terjadi kecenderungan “privatisasi” terhadap berbagai kegiatan  pemerintah,  hal  ini  tidak  berarti  bahwa  peran  pemerintah  menjadi  berkurang.  Peran  pemerintah  masih  sangat  penting/dominan  dalam  manajemen  pembangunan.  Peran  pemerintah  mungkin  akan  berkurang  dalam    memberikan  arahan  dan  petunjuk  dari  pusat  pemerintahan. Akan tetapi, pemerintah masih tetap bertanggung jawab terhadap perancangan  dan  pelaksanaan  kebijakan  publik,  terutama  yang  berkaitan  dengan  transformasi  ekonomi, 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

7

  pengurangan kemiskinan, peningkatan kinerja sektor pertanian, ketenagakerjaan, fasilitas sosial  dan umum, serta pengelolaan lingkungan hidup.   Hal lain yang mendukung bahwa peran pemerintah masih sangat dibutuhkan dalam pelayanan  publik adalah kenyataan bahwa prinsip ekonomi dan efisiensi tidak selalu dapat diterapkan pada  semua  aktivitas  pemerintah  (misalnya  fasilitas  sosial  dan  fasilitas  umum).  Pemerintahan  yang  modern tidak hanya mencakup efisiensi dan peningkatan keekonomisan, tetapi juga merupakan  hubungan  akuntabilitas  antara  negara  dengan  warga  negara,  dimana  warga  negara  tidak  diberlakukan hanya sebagai konsumen tapi juga sebagai warga negara yang memiliki hak untuk  mendapatkan  jaminan  atas  kebutuhan  dasar  dan  menuntut  pemerintah  untuk  bertanggung  jawab atas berbagai kebijakan yang dilakukan. Hal ini merupakan perubahan pandangan dalam  manajemen  publik  dari  penekanan  pada  hubungan  antara  negara  dengan  pasar  ke  hubungan  antara negara dengan warga negaranya. Pandangan ini dikenal dengan governance.   World  Bank  mendefinisikan  governance sebagai:  “the  way  state  power  is  used  in  managing  economic and social resources for development of society”; suatu penyelenggaraan manajemen  pembangunan  yang  solid  dan  bertanggungjawab  yang  sejalan  dengan  prinsip  demokrasi  dan  pasar  yang  efisien,  penghindaran  salah  alokasi  dana  investasi,  dan  pencegahan  korupsi  baik  secara  politik  maupun  administratif,  menjalankan  disiplin  anggaran  serta  penciptaan legal  and  political framework bagi tumbuhnya aktivitas usaha  Governance  atau  kepemerintahan  diartikan  oleh  UNDP  (United  Nations  Development  Programme)  sebagai  “…  the  exercise  of  political,  economic and  administrative  authority  in  the  management  of  a  country’s  affairs  at  all  level…comprises  the  complex  mechanisms,  processes  and  institutions  through  which  citizens  and  groups  articulate  their  interests,  mediate  their  differences and exercise legal rights and obligations” (UNDP, 1995).   Dengan  kata  lain,  governance  meliputi  berbagai  kewenangan  baik  yang  menyangkut  kewenangan politik, ekonomi, dan administrasi berinteraksi satu dengan lainnya. Hubungan ini  mencakup  hubungan  yang  komplek  antar  berbagai  kewenangan  dalam  semua  level  pemerintahan dalam bentuk mekanisme, proses dan pembentukan institusi dimana masyarakat  dan kelompok masyarakat dapat menyampaikan keinginan, mengatur berbagai perbedaan, dan  juga mendapatkan jaminan hukum (dan pengaturannya).  Pengertian  governance  yang  dijelaskan  oleh  UNDP  mengandung  aspek  politik,  ekonomi  dan  administratif,  yang  disebut  dengan  three  legs  (tiga  kaki),  yaitu  economic,  political,  dan  8 

 

2014 |Pusdiklatwas BPKP

  administrative.  Economic  governance  meliputi  proses‐proses  pembuatan  keputusan  (decision  making  process)  yang  memfasilitasi  aktivitas  ekonomi  di  dalam  negeri  dan  interaksi  di  antara  penyelenggara  ekonomi.  Karena  itulah,  economic  governance  mempunyai  pengaruh  atau  implikasi terhadap equity, poverty, dan quality of life. Political governance adalah proses‐proses  pembuatan  keputusan  untuk  formulasi  kebijakan.  Dengan  kata  lain,  political  governance  menunjuk  pada  proses  pembuatan  keputusan  dan  implementasi  kebijakan  suatu  negara  yang  legitimate  dan  authoritatif.  Itu  sebabnya,  di  sini  negara  terdiri  dari  tiga  lembaga  negara  yang  terpisah  yaitu  legislatif,  eksekutif  dan  yudikatif.  Administrative  governance  adalah  sistem  implementasi proses kebijakan yang melaksanakan sektor publik secara efisien, tidak memihak,  akuntabel dan terbuka. 

Pemerintah  (Good Public  Governance)

Dunia Usaha Swasta (Good Corporate  Governance)

Masyarakat

  Gambar 2.1  Tiga Pilar Good Governance 

  Konsep  ini  lebih  luas  dari  fungsi  dan  kapasitas  sektor  publik,  akan  tetapi  konsep  ini  berkaitan  dengan  manajemen  proses  pembangunan  yang  melibatkan  pemerintah,  swasta,  dan  masyarakat sebagai pilar good governance (lihat gambar 2.1). Idealnya, hubungan semua pihak  ini bukan merupakan kerangka kegiatan yang terpisah melainkan dalam kerangka keterpaduan  dan  kerja  sama  yang  harmonis  untuk  pencapaian  tujuan  dan  kepentingan  bersama.  Tujuan  interaksi  sosial‐politik‐ekonomi  dalam  pengertian  ini  adalah  tercapainya  suatu  keseimbangan  dan sinergi dalam pemenuhan kebutuhan dan kepentingan masing‐masing institusi dalam satu  keselarasan dan keseimbangan.  Sedangkan konsep governance menurut IIA adalah sebagai berikut. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

9

  The  combination  of  processes  and  structures  implemented  by  the  board  of  directors  in  order  to  inform,  direct,  manage  and  monitor  the  activities  of  the  organization  toward  achieving its objectives.  Menurut  IIA,  tata  kelola  adalah  kombinasi  dari  proses  dan  struktur  yang  dilaksanakan  oleh  dewan  direksi  untuk  menginformasikan,  mengarahkan,  mengelola  dan  memantau  kegiatan  organisasi dalam mencapai tujuannya.  Secara garis besar, konsep tata kelola menurut IIA dapat digambarkan sebagai berikut.     

Governance Umbrella  Board of Directors 

   

Strategic  Direction 

Governance  Oversight 

  Gambar 2.2  Konsep Tata Kelola Menurut IIA   

Gambar  2.2  menunjukkan  bahwa  ada  dua  area  penting  dari  tata  kelola,  yaitu  arah  strategis  (strategic  direction)  dan  pengawasan  tata  kelola  (governance  oversight).  Poin  penting  dari  gambar tersebut adalah sebagai berikut:  •

Tata  kelola  dimulai  dari  pimpinan  organisasi  dan  jajarannya,  berperan  sebagai  ‘payung’  bagi  organisasi.  Jajaran  pimpinan  memberi  arah  kepada  manajemen,  memberikan  wewenang  kepada  manajemen  untuk  bertindak  dan  mengawasi  hasilnya.  (Lihat  gambar  2.3) 



Jajaran  pimpinan  harus  mengetahui  dan  fokus  terhadap  pemenuhan  kebutuhan  stakeholders. 



Secara  harian,  tata  kelola  dilaksanakan  oleh  manajemen  melalui  kegiatan  manajemen  risiko. 

10 

 

2014 |Pusdiklatwas BPKP

  •

Aktivitas  internal  dan  eksternal  memberikan  jaminan  kepada  manajemen  dan  pimpinan  terhadap efektivitas proses tata kelola 

Untuk pengawasan terhadap tata kelola, bisa digambarkan sebagai berikut.  Stakeholders

     

Governance Umbrella  Board of Directors 

        Risk Management

 

Assurance

Senior Management

  Risk Owner

Internal Activitie

External Activities

  Gambar 2.3  Komponen Kunci Pengawasan Tata Kelola 

C.

KONSEP GOOD GOVERNANCE (TATA KELOLA YANG BAIK)  

Menurut  Bank  Dunia  (World  Bank),  good  governance  merupakan  cara  kekuasaan  yang  digunakan  dalam  mengelola  berbagai  sumber  daya  sosial  dan  ekonomi  untuk  pengembangan  masyarakat  (Mardoto,  2009).  Sedangkan  menurut  UNDP  (United  National  Development  Planning), good governance merupakan praktek penerapan kewenangan pengelolaan berbagai  urusan penyelenggaraan negara secara politik, ekonomi dan administratif di semua tingkatan.   Dalam konsep di atas, ada tiga pilar good governance yang penting, yaitu:  a.

Kesejahteraan rakyat (economic governance). 

b.

Proses pengambilan keputusan (political governance). 

c.

Tata laksana pelaksanaan kebijakan (administrative governance) (Prasetijo, 2009). 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

11

  Menurut  Bappenas,  penerapan  tata  kepemerintahan  yang  baik  di  lingkungan  pemerintahan  tidak  terlepas  dari  penerapan  sistem  manajemen  kepemerintahan  yang  merupakan  rangkaian  hasil  dari  pelaksanaan  fungsi‐fungsi  manajemen  (planning,  organizing,  actuating,  dan  controlling) yang dilaksanakan secara profesional dan konsisten. Penerapan sistem manajemen  tersebut  mampu  menghasilkan  kemitraan  positif  antara  pemerintah,  dunia  usaha  swasta,  dan  masyarakat.  Dengan  demikian,  lingkungan  instansi  pemerintah  diharapkan  dapat  memberikan  pelayanan prima kepada masyarakat.  Gambar 2.2 menjelaskan proses pengembangan nilai tambah berkelanjutan di antara tiga pilar  tata  kepemerintahan  yang  baik,  yakni  pemerintah,  dunia  usaha  swasta,  dan  masyarakat.  Kepercayaan,  dukungan,  dan  legitimasi  politik  dari  masyarakat  akan  diperoleh  apabila  pemerintah  dapat  menyediakan  pelayanan  publik  yang  memadai  dan  menjalankan  fungsi  perlindungan pada masyarakat. Di sisi lain pemerintah juga harus mampu menciptakan stabilitas  politik, hukum, pertahanan dan keamanan, ekonomi, serta sosial dan budaya untuk mendorong  peran dunia usaha swasta dalam pembangunan ekonomi. Dunia usaha swasta yang sehat akan  menghasilkan kualitas layanan serta memberikan nilai tambah yang positif bagi masyarakat. Hal  ini  tentunya  juga  akan  menghasilkan  pertumbuhan  kegiatan  usaha  yang  tinggi  sehingga  dapat  menumbuhkan loyalitas konsumen dan kontribusi keuntungan yang lebih besar dari masyarakat  sebagai  target  pasar.  Integrasi  pengelolaan  ketiga  rantai  nilai  tersebut  secara  selaras  akan  menghasilkan nilai tambah bagi masyarakat. 

12 

 

2014 |Pusdiklatwas BPKP

 

  Gambar 2.4  Membangun Nilai Tambah Berkelanjutan 

D.

PRINSIP‐PRINSIP GOOD GOVERNANCE  

Kunci  utama  untuk  memahami  good  governance  adalah  pemahaman  terhadap  kaidah‐kaidah  yang ada di dalamnya. Pengertian kaidah sendiri menurut Kamus Besar Bahasa Indonesia adalah  rumusan asas yang menjadi hukum, aturan yang sudah pasti, patokan. Dengan demikian, prinsip  berarti asas (kebenaran yang menjadi pokok dasar berpikir, bertindak, dan sebagainya). Bertolak  dari  prinsip‐prinsip  ini  akan  didapatkan  tolok  ukur  kinerja  suatu  pemerintahan.  Baik‐buruknya  pemerintahan bisa dinilai bila ia telah bersinggungan dengan semua unsur prinsip‐prinsip good  governance. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

13

  Menyadari  pentingnya  masalah  ini    dan  dalam  rangka  mengembangkan  strategi  yang  lebih  implementatif,  terdapat  banyak  karakteristik  dan  prinsip  tentang  good  governance.  Prinsip‐ prinsip good governance yang dikemukakan oleh UNDP adalah sebagai berikut:  1.

Partisipasi (Participation)  Terdapat jaminan kesamaan hak bagi setiap individu dalam pengambilan keputusan (baik  secara  langsung  maupun  melalui  lembaga  perwakilan).  Dalam  kaitannya  dengan  partisipasi ini, terdapat tuntutan agar pemerintah meningkatkan fungsi kontrol terhadap  manajemen  pemerintah  dan  pembangunan  dengan  melibatkan  organisasi  non‐ pemerintah.  Peran  organisasi  non‐pemerintah  sangat  penting  dalam  konteks  ini  karena  diyakini organisasi ini memiliki kontak yang lebih baik dengan masyarakat miskin, memiliki  hubungan  yang  baik  dengan  daerah  pedalaman  dan  pedesaan,  mampu  menyediakan  metode  alternatif  pelayanan  publik  dengan  harga  yang  murah  dan  sebagai  mediator  dalam menyampaikan berbagai pandangan dan kebutuhan masyarakat. 

2.

Penegakan Hukum (Rule of Law)  Kerangka hukum harus adil dan diberlakukan tanpa pandang bulu, termasuk di dalamnya  hukum‐hukum yang menyangkut hak asasi manusia. 

3.

Transparansi (Transparency)  Adanya  kebebasan  dan  kemudahan  dalam  memperoleh  informasi  yang  akurat  dan  memadai bagi mereka yang memerlukan. Informatif, mutakhir, dapat diandalkan, mudah  diperoleh  dan  dimengerti  adalah  beberapa  parameter  yang  digunakan  untuk  mengecek  keberhasilan tranparansi. 

4.

Daya Tanggap (Responsiveness)  Dalam  melaksanakan  kepemerintahan  semua  institusi  dan  proses  yang  dilaksanakan  pemerintah harus melayani semua stakeholders secara tepat, baik dan dalam waktu yang  tepat (tanggap terhadap kemauan masyarakat).   

14 

 

2014 |Pusdiklatwas BPKP

  5.

Orientasi pada Kesepakatan (Consensus Orientation)  Tata pemerintahan yang baik menjembatani kepentingan‐kepentingan yang berbeda demi  terbangunnya  suatu  konsensus  menyeluruh  dalam  hal  apa  yang  terbaik  bagi  kelompok‐ kelompok  masyarakat,  dan  bila  mungkin,  konsensus  dalam  hal  kebijakan‐kebijakan  dan  prosedur‐prosedur. 

6.

Kesetaraan (Equity)  Terdapat jaminan bagi masyarakat untuk mendapatkan pelayanan dan kesempatan yang  sama dalam menjalankan kehidupannya. Sifat adil ini diperoleh dari aspek ekonomi, sosial  dan politik. Adil ini juga berarti terdapat jaminan akan kesejahteraan masyarakat dimana  semua masyarakat merasa bahwa mereka memiliki hak dan tidak merasa diasingkan dari  kehidupan masyarakat. 

7.

Efektivitas dan Efisiensi (Effectiveness and Efficiency)  Proses‐proses pemerintahan dan lembaga‐lembaga membuahkan hasil sesuai kebutuhan  warga  masyarakat  dan  dengan  menggunakan  sumber‐sumber  daya  yang  ada  seoptimal  mungkin. 

8.

Akuntabilitas (Accountability)  Semua  pihak  (baik  pemerintah,  swasta  dan  masyarakat)  harus  mampu  memberikan  pertanggungjawaban  atas  mandat  yang  diberikan  kepadanya  (stakeholders‐nya).  Secara  umum organisasi atau institusi harus akuntabel kepada mereka yang terpengaruh dengan  keputusan atau aktivitas yang mereka lakukan. 

9.

Visi Strategis (Strategic Vision)  Para pemimpin dan masyarakat memiliki perspektif yang luas dan jauh ke depan atas tata  pemerintahan yang baik dan pembangunan manusia, serta kepekaan akan apa saja yang  dibutuhkan  untuk  mewujudkan  perkembangan  tersebut.  Selain  itu  mereka  juga  harus  memiliki  pemahaman  atas  kompleksitas  kesejarahan,  budaya  dan  sosial  yang  menjadi  dasar bagi perspektif tersebut. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

15

  Berdasarkan  konsep  di  atas,  dapat  dilihat  bahwa  good  governance  mempunyai  tujuan  yang  lebih besar dari sekedar manajemen yang efisien dan penggunaan sumber daya yang ekonomis.  Good  governance  adalah  strategi  untuk  menciptakan  institusi  masyarakat  yang  kuat,  dan  juga  untuk  membuat  pemerintah/publik  sektor  semakin  terbuka,  responsif,  akuntabel  dan  demokratis.  Di  samping  itu,  konsep  good  governance  jika  dikembangkan  akan  menciptakan  modern  governance  (baik  good  ‘national’  governance  maupun  good  local  governance)  yang  handal  yang  tidak  hanya  menekankan  aktivitasnya  dalam  kerangka  efisiensi  tetapi  juga  akuntabilitasnya di mata publik.   Yang tidak kalah pentingnya, penerapan good governance sangat berperan dalam pencegahan  dan pemberantasan praktik‐praktik KKN. Hal ini berarti bahwa dengan adanya good governance  maka penyalahgunaan fasilitas publik untuk kepentingan pribadi dapat dihindarkan semaksimal  mungkin. Hal tersebut selaras dengan sasaran penciptaan tata kepemerintahan yang baik yaitu:  1.

berkurangnya secara nyata praktik korupsi kolusi dan nepotisme di birokrasi, yang dimulai  dari jajaran pejabat yang paling atas; 

2.

terciptanya  sistem  kelembagaan  &  ketatalaksanaan  pemerintah  yang  efisien,  efektif  dan  profesional transparan dan akuntabel; 

3.

terhapusnya peraturan dan praktik yang bersifat diskriminatif terhadap warga negara; 

4.

meningkatnya partisipasi masyarakat dalam pengambilan kebijakan publik; 

5.

terjaminnya konsistensi seluruh peraturan pusat dan daerah 

Penerapan  good  governance  tidak  hanya  di  tingkat  institusi,  misalnya  pemerintah  daerah  dan  kementerian/ lembaga namun harus dilaksanakan juga di tingkat unit kerja, misalnya organisasi  APIP, dinas ataupun direktorat teknis.     

16 

 

2014 |Pusdiklatwas BPKP

 

Bab III  MANAJEMEN RISIKO       Indikator Keberhasilan  Setelah mengikuti pemelajaran ini diharapkan peserta diklat mampu menjelaskan   mengenai manajemen risiko   

  Aktivitas organisasi sektor publik dan bisnis senantiasa berubah dan berkembang seiring dengan  perubahan  di  lingkungan  internal  dan  eksternal  organisasi.  Perubahan  di  lingkungan  internal  biasanya  dapat  dikendalikan  oleh  manajemen.  Sedangkan  perubahan  di  lingkungan  eksternal,  seperti perubahan iklim demokrasi dan peraturan, berada di luar kontrol organisasi.  Tuntutan  perubahan  dan  peningkatan  kapabilitas  organisasi  memunculkan  risiko (risk)  dan  sekaligus  peluang  (opportunities)  bagi  organisasi.  Risiko  berkenaan  dengan  kemungkinan  terjadinya kegagalan dan kerugian bagi organisasi. Risiko berskala rendah tidak mengkuatirkan  bagi  organisasi.  Namun,  risiko  berskala  besar  dapat  berdampak  pada  tidak  tercapainya  tujuan  dan misi organisasi.  Kegagalan  tujuan  dan  misi  bagi  organisasi  publik  dapat  mengakibatkan  ketidakpercayaan  (distrust)  dari  publik  atas  pelayanan  yang  diberikan.  Dalam  kondisi  terjelek  dan  sebagaimana  yang pernah terjadi, distrust dapat menyebabkan hilangnya organisasi yang bersangkutan.  Manajemen  risiko  (risk  management)  menjadi  kebutuhan  yang  strategis  dan  menentukan  perbaikan  kinerja  dari  organisasi.  Risiko  yang  dikelola  dengan  optimal  bahkan  memunculkan  berbagai  peluang  bagi  organisasi  yang  bersangkutan.  Manajemen  risiko  diperlukan  untuk  mengoptimalkan  penggunaan  sumber  daya  terbatas  yang  dimiliki  organisasi.  Pengalokasian  sumber daya didasarkan pada prioritas risiko yang dimulai dari risiko skala tertinggi. Demikian  pula, manajemen risiko yang ada perlu dievaluasi secara periodik melalui aktivitas pengendalian  (internal control).         

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

17

  A.

RISIKO  

1.

Pengertian Risiko  Banyak  definisi  atau  pengertian  yang  diberikan  oleh  para  ahli  mengenai  risiko  sesuai  dengan  disiplin  keilmuan  dan  lingkup  keahliannya.  Risiko  memiliki  keterkaitan  dengan  ketidakpastian.  Peraturan  Pemerintah  Nomor  60  Tahun  2008  menyatakan  bahwa  risiko  adalah suatu kejadian yang mungkin terjadi dan apabila terjadi akan memberikan dampak  negatif pada pencapaian tujuan instansi pemerintah.   Menurut  Badan  Sertifikasi  Manajemen  Risiko  (2007),  definisi  risiko  adalah  peluang  terjadinya bencana, kerugian atau hasil yang buruk. Risiko terkait dengan situasi dimana  hasil negatif dapat terjadi dan besar kecilnya kemungkinan terjadinya hasil tersebut dapat  diperkirakan.  Menurut  Namee  dan  Salim  (1998)  dalam  makalah  “Risk  Management,  Changing the Auditor Paradigm”, pengertian risiko (risk) adalah:  “Risk is a concept used to express uncertainty about events and/ or their outcomes  that could have a material effect on the goals of the organizations.”  Adapun  definisi  risiko  menurut  AS/NZS  4360:2004  adalah  “the  chance    of  something  happening  that  will  have  an  impact  on  objectives.”  Sedangkan  definisi  risiko  menurut  Enterprise  Risk  Management  ‐  COSO  adalah  “events  with  a  negative  impact  represent  risks, which can prevent value creation or erode existing value.”       Kemungkinan    terjadinya  peristiwa 

Yang membawa   akibat  yang tidak diinginkan  

Tujuan  Strategi   Sasaran dan  atau Target 

    Dari berbagai definisi tersebut, risiko selalu dihubungkan dengan kemungkinan terjadinya  akibat buruk (kerugian) yang tidak diinginkan, atau tidak terduga. Dengan kata lain, risiko  terdiri dari unsur‐unsur berikut ini.    18 

 

2014 |Pusdiklatwas BPKP

  •

Kemungkinan kejadian atau peristiwa 



Dampak  atau  konsekuensi  (jika  terjadi,  risiko  akan  membawa  akibat  atau  konsekuensi) 



Kemungkinan kejadian (risiko masih berupa kemungkinan atau diukur dalam bentuk  probabilitas) 

Contoh:  “Risiko  kebakaran  akan  berdampak  kerugian  material  dan  korban  jiwa,  dengan  kemungkinan kejadian tinggi pada musim kemarau.”   Semua unsur risiko terpenuhi:  •

adanya kejadian atau peristiwa yang mungkin terjadi: risiko kebakaran; 



adanya dampak: kerugian material dan korban jiwa; 



adanya  probabilitas/kemungkinan  kejadian:  potensi  kejadian  tinggi  pada  musim  kemarau. 

Risiko dapat terjadi pada pelayanan, kinerja, dan reputasi dari institusi yang bersangkutan.  Risiko  yang  terjadi  dapat  disebabkan  oleh  berbagai  faktor  antara  lain  kejadian  alam,  operasional, manusia, politik, teknologi, pegawai, keuangan, hukum, dan manajemen dari  organisasi.  Suatu  risiko  yang  terjadi  dapat  berasal  dari  risiko  lainnya,  dan  dapat  disebabkan oleh berbagai faktor. Risiko rendahnya kinerja suatu instansi berasal dari risiko  rendahnya  mutu  pelayanan  kepada  publik.  Risiko  terakhir  disebabkan  oleh  faktor‐faktor  sumber daya manusia yang dimiliki organisasi dan operasional seperti keterbatan fasilitas  kantor.  Risiko  yang  terjadi  akan  berdampak  pada  tidak  tercapainya  misi  dan  tujuan  dari  instansi tersebut, dan timbulnya ketidakpercayaan dari publik.  Risiko  berbeda  dengan  masalah.  Apabila  salah  satu  dari  ketiga  unsur  risiko  tidak  terpenuhi,  maka  suatu  pernyataan  tidak  dapat  dikategorikan  sebagai  risiko,  melainkan  suatu masalah.       Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

19

  Contoh:  Koran Tempo, tanggal 20 Januari 2009  halaman 1 menyajikan sebuah berita yang bertajuk  “Petaka 21.30”, sebagai berikut:  “Sebuah  ledakan  besar  mengawali  terbakarnya  tangki  bahan  bakar  di  Depo  Unit  Pemasaran  dan  Pembekalan  Dalam  Negeri  III  Plumpang,  Jakarta,  Ahad  malam  lalu  sekitar  pukul  21.30.  Ledakan  itu  kemudian  disusul  lidah  api  yang  menjilat  tangki  nomor  24  yang  berisi  1.500  ‐  2.000  kiloliter  premium.  Baru  sepuluh  jam  kemudian  api  akhirnya  padam.  Seorang  pegawai  ditemukan  tewas  terbakar  dan  kerugian  diperkirakan mencapai Rp15 miliar .... “  Pertanyaan:  Risiko  apa  saja  yang  akan  dihadapi  Pertamina  atas  kejadian  kebakaran  tersebut?  Untuk  menjawabnya,  harus  dilakukan  analisis  terlebih  dahulu  terhadap  pemenuhan  unsur‐unsur risiko, sebagai berikut:  Pertama 

:  Apakah  terjadinya  kebakaran  di  Depo  Plumpang  adalah  sebuah  kejadian?  Jawabannya ya. 

Kedua 

:  Apakah  kebakaran  tersebut  merupakan  kemungkinan?  Tidak,  karena  sudah  terjadi. 

Ketiga 

:  Apakah terjadi kerugian? Ya.  

Karena  salah  satu  dari  tiga  kriteria  yang  ada  mengenai  risiko  tidak  terpenuhi,  maka  pernyataan tersebut tidak bisa dikategorikan sebagai risiko.  Berkenaan  dengan  sektor  publik  yang  menuntut  transparansi  dan  peningkatan  kinerja  dengan  dana  yang  terbatas,  risiko  yang  dihadapi  instansi  pemerintah  akan  semakin  bertambah  dan  meningkat.  Oleh  karenanya,  pemahaman  terhadap  risiko  menjadi  suatu  keharusan  untuk  dapat  menentukan  prioritas  strategi  dan  program  dalam  pencapaian  tujuan organisasi.     

20 

 

2014 |Pusdiklatwas BPKP

  2.

Perilaku Organisasi terhadap Risiko  a.

Risk Appetite   Risk  appetite  (selera  risiko)  adalah  suatu  tingkatan  dari  sekelompok  risiko  dimana  organisasi  akan  menerima  dan  dapat  mengelola  dalam  suatu  periode  tertentu.  Dengan  kata  lain,  risk  appetite  adalah  sejumlah  risiko  dalam  organisasi  yang  akan  diterima  dalam  rangka  pencapaian  misi  atau  visi.  Hal  itu  mencerminkan  sikap  organisasi  terhadap  risiko  dan  akan  mepengaruhi  budaya  dan  gaya  pengoperasian  organisasi tersebut.  Salah  satu  cara  yang  paling  jitu  ketika  sebuah  organisasi  dapat  menanamkan  pertimbangan  risiko  ke  dalam  proses  eksekusi  strategi  adalah  melalui  penyataan  tertulis  perihal  risk  appetite.  Hal  ini  akan  memberikan  jaminan  yang  cukup  kuat  kepada  stakeholders  bahwa  organisasi  telah  sangat  paham  dengan  sejumlah  risiko  yang dihadapi dan risiko‐risiko tersebut berada dalam pengendalian yang tepat dan  cermat.  Bukan  sekadar  strategi  sederhana  menjadi  seperangkat  tujuan  dan  mendefinisikan  key  performance  indicator  (KPI),  seperti  pada  pendekatan  balanced  scorecard,  organisasi  harus  mengambil  langkah  tambahan:  mengevaluasi  tingkat  risiko  yang  akan mereka ambil untuk mencapai tujuan mereka. Dengan mengambil langkah ini,  organisasi‐organisasi  telah  berada  pada  proses  pengembangan  dari  pendekatan  terintegrasi  dan  selaras  dengan  pelaksanaan  strategi  yang  menggabungkan  risiko  dan tata kelola organisasi.  Risk  appetite  bisa  dinyatakan  secara  kuantitatif  dan  kualitatif  tergantung  pada  kualitas  tingkat  pengukuran  risiko  di  suatu  organisasi.  Intinya,  risk  appetite  harus  mencerminkan  strategi  bisnis,  ekspektasi  dari  stakeholders,  sifat  dan  karakteristik  risiko  yang  diambil,  dan  kemungkinan  contagion  dari  situasi  risiko  tertentu  lintas  unit organisasi. Proses  pendefinisian risk appetite ini tentu harus didahului dengan  terdapatnya perangkat untuk menentukan profil risiko pada suatu organisasi untuk  semua  kategori  risiko  yang  dianggap  dapat  berpengaruh  pada  pencapaian  tujuan  organisasi yang tercantum dalam pernyataan visi dan misi organisasi.   

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

21

  b.

Risk Tolerance  Risk tolerance ( toleransi risiko) sering digunakan bergantian dengan istilah ambang  risiko atau limit risiko. Risk tolerance meliputi pemahaman tentang jenis risiko, cara  menyikapi  risiko,  dan  metode  pengambilan  risiko.  Risk  tolerance  adalah  batas  pengambilan  risiko  yang  dapat  diterima  dari  variasi  relatif  pada  pencapaian  tujuan  dalam  tingkat  toleransi  yang  diperkenankan  dalam  konteks  organisasi  secara  keseluruhan.  Suatu organisasi harus membuat ketentuan yang informatif tentang seberapa besar  risiko dapat diterima (acceptable) sebagai bagian dari praktik manajemen organisasi  yang wajar. Tingkat risiko yang dapat diterima tersebut dikenal sebagai risiko yang  ditoleransi  atau  tingkat  toleransi  risiko.  Toleransi  terhadap  risiko  merupakan  salah  satu  faktor  yang  mempengaruhi  sikap  pengambilan  risiko,  di  samping  faktor  keterampilan  kerja,  pendidikan,  intelegensi,  lingkungan  kerja,  rasa  aman,  dan  kemampuan dalam pengambilan keputusan.   Contoh:   Terhadap  risiko  “kebakaran  di  gedung  kantor  instansi”,  instansi  A  berbeda  risk  appetite‐nya dibandingkan instansi B.   ƒ

instansi  A:  risk  taker,  lebih  banyak  mengalokasikan  sumber  daya  yang  dimilikinya  untuk  menghadapi  risiko  kebakaran  setelah  mempertimbangkan  toleransi  instansi  tersebut  terhadap  risikonya.  Misalnya  akan  lebih  banyak  memasang  alat  pemadam  kebakaran  di  lingkungan  kantornya,  memasang  petunjuk evakuasi, menyelenggarakan pelatihan simulasi situasi gawat darurat  secara berkala, dan selalu mengecek kesiapan alat damkarnya.  

ƒ

instansi  B:  risk  avoidance,  cenderung  membatasi  risiko  kebakaran.  Misalnya  tidak  memperbolehkan  peralatan  atau  benda/material  yang  mudah  menimbulkan  kebakaran  di  lingkungan  kantornya,  pelarangan  kegiatan  yang  dapat menimbulkan percikan atau yang menggunakan api.      

22 

 

2014 |Pusdiklatwas BPKP

  3.

 Klasifikasi Risiko  Ada beberapa kategori risiko, tergantung dari sudut pandang kita melihatnya.  a.

Risiko dari Sudut Pandang Penyebab  Dilihat dari sebab terjadinya, ada dua macam risiko, yaitu:  1)

Risiko keuangan  :  Risiko yang disebabkan oleh faktor‐faktor keuangan. 

2)

Risiko operasional :  Risiko yang disebabkan oleh faktor‐faktor non keuangan,  misalnya  manusia,  teknologi,  sistem  dan  prosedur,  dan  alam. 

b.

Risiko dari Sudut Pandang Akibat  Dilihat dari akibat yang ditimbulkan, ada dua macam risiko, yaitu:  1)

Risiko murni 

:  Apabila  suatu  kejadian  berakibat  hanya  merugikan  dan  tidak  memungkinkan  adanya  keuntungan,  misalnya  terjadi kebakaran. 

2)

Risiko spekulatif  :  Risiko yang tidak saja memungkinkan terjadinya kerugian  tetapi  juga  memungkinkan  terjadinya  keuntungan,  misalnya risiko melakukan investasi. 

c.

Risiko dari Sudut Pandang Aktivitas   Ada  berbagai  macam  aktivitas  yang  dapat  menimbulkan  risiko,  misalnya  aktivitas  pemberian kredit oleh bank, aktivitas pelayanan kepada masyarakat. 

d.

Aktivitas dari Sudut Pandang Kejadian   Risiko dilihat dari sudut pandang kejadiannya, misalnya risiko kebakaran.     

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

23

  e.

Risiko dari Sudut Pandang Jenis Risiko   Risiko dari sudut pandang jenis risikonya, mencakup: 

f.

1)

Risiko teknologi 

2)

Risiko keuangan/ ekonomi 

3)

Risiko sumber daya manusia (kapasitas, hak intelektual) 

4)

Risiko kesehatan 

5)

Risiko politik  

6)

Risiko hukum 

7)

Risiko keamanan, dan lain‐lain. 

Risiko dari Sudut Pandang Sumbernya  Risiko dari sudut pandang sumbernya, meliputi:  1)

Risiko eksternal (politik, ekonomi, bencana alam) 

2)

Risiko internal (reputasi, keamanan, manajemen, informasi untuk pengambilan  keputusan) 

g.

Risiko dari Sudut Pandang Penerima Risiko  Risiko  dari  sudut  pandang  penerima  risiko  mencakup  orang  (human  risk),  risiko  reputasi, hasil program, bangunan dan aset, lingkungan, peyananan dan lain lain. 

h.

Risiko dari Sudut Pandang Tingkat Kemungkinan (Level/Status Risiko):  1)

Risiko rendah 

2)

Risiko menengah 

3)

Risiko tinggi     

24 

 

2014 |Pusdiklatwas BPKP

  i.

j.

k.

Risiko dari Sudut Pandang Kemampuan Mengendalikan:  1)

Risiko yang dangat terkendali (highly controllable risk) 

2)

Risiko yang kurang terkendali (low controllable risk) 

3)

Risiko yang tidak atau sangat sulit dikendalikan (uncontrollable risk) 

Risiko dari Sudut Pandang Hierarki Risiko:  1)

Risiko Strategis 

2)

Risiko Program 

3)

Risiko Proyek 

4)

Risiko Operasional 

Risiko dari Sudut Pandang Penetapan Tujuan Organisasi:  1)

Risiko Strategis, berhubungan dengan keselarasan dengan selera risiko 

2)

Risiko  Operasional,  berhubungan  dengan  efektivitas  dan  efisiensi  aktivitas  operasi 

3)

Risiko Pelaporan, berhubungan dengan keandalan dalam proses pengambilan  keputusan 

4)

Risiko  Ketaatan,  berhubungan  dengan  kesesuaian  terhadap  regulasi  yang  berlaku. 

B.

MANAJEMEN RISIKO  

1.  

Pengertian Manajemen Risiko  Risiko  tidak  tercapainya  tujuan  dan  program  organisasi  tidak  semata  terjadi  di  sektor  bisnis,  namun  juga  di  sektor  publik.  Oleh  karena  itu,  instansi  pemerintah  perlu  menyelenggarakan manajemen risiko.  Definisi  Manajemen  Risiko  menurut  AS/NZ  Standard  4360:  2004  adalah  “the  culture,  processes,  structures  that  are  directed  towards  realizing  potential  opportunities  whils 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

25

  managing  adverse  effects.”  Sedangkan  menurut  COSO, risk  management   (manajemen  resiko)  dapat  diartikan  sebagai  “a process,  effected  by  an  entity’s  board  of  directors,  management  and  other  personnel,  applied  in  strategy  setting  and  across  the  enterprise,  designed to identify potential events that may affect the entity, manage risk to be within  its  risk  appetite,  and  provide  reasonable  assurance  regarding  the  achievement  of  entity  objectives.”   Definisi manajemen  risiko  di  atas  dapat  dijabarkan  lebih  lanjut  berdasarkan  kata‐kata  kunci sebagai berikut:  •

On Going Process  Manajemen  risiko  dilaksanakan  secara  terus  menerus  dan  dimonitor  secara  berkala. Manajemen  risiko bukanlah  suatu  kegiatan  yang  dilakukan  sesekali  (one  time event). 



Effected by People   Manajemen  risiko   ditentukan  oleh  pihak‐pihak  yang  berada  di  lingkungan  organisasi.  Untuk  lingkungan  institusi  pemerintah, Manajemen  risiko   dirumuskan  oleh pimpinan dan pegawai institusi/ departemen yang bersangkutan. 



Applied in Strategy Setting   Manajemen  risiko   telah  disusun  sejak  dari  perumusan  strategi  organisasi  oleh  manajemen puncak organisasi. Dengan penggunaan manajemen risiko, strategi yang  disiapkan  disesuaikan  dengan  risiko  yang  dihadapi  oleh  masing‐masing  bagian/unit  dari organisasi. 



Applied Across The Enterprise   Strategi  yang  telah  dipilih  berdasarkan manajemen  risiko diaplikasikan  dalam  kegiatan  operasional,  dan  mencakup  seluruh  bagian/unit  pada  organisasi.  Mengingat  risiko  masing‐masing  bagian  berbeda,  maka  penerapan manajemen  risiko berdasarkan penentuan risiko oleh masing‐masing bagian.   

26 

 

2014 |Pusdiklatwas BPKP

  •

Designed to Identify Potential Events   Manajemen  risiko  dirancang  untuk  mengidentifikasi  kejadian  atau  keadaan  yang  secara potensial menyebabkan terganggunya pencapaian tujuan organisasi. 



Provide Reasonable Assurance  Risiko  yang  dikelola  dengan  tepat  dan  wajar  akan  menyediakan  jaminan  bahwa  kegiatan dan pelayanan oleh organisasi dapat berlangsung secara optimal. 



Geared to Achieve Objectives  Manajemen  risiko  diharapkan  dapat  menjadi  pedoman  bagi  organisasi  dalam  mencapai tujuan yang telah ditentukan. 

Manajemen risiko yang dilaksanakan secara efektif dan wajar dapat memberikan manfaat  bagi organisasi, yakni:  •

Membantu pencapaian tujuan organisasi. 



Mencapai  kesinambungan  pemberian  pelayanan  kepada  stakeholder,  sehingga  meningkatkan kualitas dan nilai organisasi. 



Mencapai  hasil  yang  lebih  baik  berupa  efisiensi  dan  efektivitas  pelayanan,  seperti:  meningkatkan pelayanan kepada publik dan atau meningkatkan penggunaan sumber  daya yang lebih baik (masyarakat, informasi, dana, dan peralatan). 



Memberikan  dasar  penyusunan  rencana  strategi  sebagai  hasil  dari  pertimbangan  yang terstruktur terhadap unsur kunci risiko. 



Menghindari  biaya‐biaya  yang  mengejutkan,  karena  perusahaan  mengidentifikasi  dan mengelola risiko yang tidak diperlukan, termasuk menghindari biaya dan waktu  yang dihabiskan dalam suatu perkara. 



Menghindari  pemborosan,  dan  membuka  peluang  bagi  organisasi  untuk  memberikan pelayanan yang terbaik. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

27

  •

Mencapai  pengambilan  keputusan  yang  terbuka  dan  berjalannya  proses  manajemen. 



Meningkatkan akuntabilitas dan corporate governance. 



Mengubah pandangan terhadap risiko menjadi lebih terbuka, ada toleransi terhadap  kesalahan  tapi  tidak  terhadap  kekeliruan  yang  disembunyikan.  Perubahan  pandangan ini memungkinkan organisasi belajar dari kesalahan masa lalunya untuk  terus memperbaiki kinerjanya. 



Organisasi  akan  lebih  fokus  dalam  melaksanakan  kebijakan‐kebijakannya  sehingga  dapat meminimalkan ‘gangguan‐gangguan’ yang tidak dikehendaki. 

Selain itu, agar manajemen rirsko dapat terlaksana secara efektif, suatu organisasi harus  mengikuti prinsip‐prinsip dasar sebagai berikut:  a.

Manajemen risiko menciptakan nilai tambah (creates value)  Manajemen  risiko  berkontribusi  terhadap  pencapaian  nyata  objektif  dan  peningkatan, antara lain, kesehatan dan keselamatan manusia, kepatuhan terhadap  hukum  dan  peraturan,  penerimaan  publik,  perlindungan  lingkungan,  kinerja  keuangan,  kualitas  produk,  efisiensi  operasi,  serta  tata  kelola  dan  reputasi  perusahaan. 

b.

Manajemen risiko adalah bagian integral proses dalam organisasi (an integral part of  organizational processes)  Manajemen risiko adalah bagian tanggung jawab manajemen dan merupakan suatu  bagian integral dalam proses normal organisasi seperti juga merupakan bagian dari  seluruh  proses  proyek  dan  manajemen  perubahan.  Manajemen  risiko  bukanlah  merupakan aktivitas yang berdiri sendiri yang terpisah dari aktivitas‐aktivitas utama  dan proses dalam organisasi.   

28 

 

2014 |Pusdiklatwas BPKP

  c.

Manajemen  risiko  adalah  bagian  dari  pengambilan  keputusan  (part  of  decision  making)  Manajemen  risiko  membantu  pengambil  keputusan  mengambil  keputusan  dengan  informasi  yang  cukup.  Manajemen  risiko  dapat  membantu  memprioritaskan  tindakan  dan  membedakan  berbagai  pilihan  alternatif  tindakan.  Pada  akhirnya,  manajemen risiko dapat membantu memutuskan apakah suatu risiko dapat diterima  atau apakah suatu penanganan risiko telah memadai dan efektif. 

d.

Manajemen  risiko  secara  eksplisit  menangani  ketidakpastian  (explicitly  addresses  uncertainty)  Manajemen  risiko  menangani  aspek‐aspek  ketidakpastian  dalam  pengambilan  keputusan, sifat alami dari ketidakpastian itu, dan bagaimana menanganinya. 

e.

Manajemen  risiko  bersifat  sistematis,  terstruktur,  dan  tepat  waktu  (systematic,  structured and timely)  Suatu  pendekatan  sistematis,  tepat  waktu,  dan  terstruktur  terhadap  manajemen  risiko  memiliki  kontribusi  terhadap  efisiensi  dan  hasil  yang  konsisten,  dapat  dibandingkan, serta andal. 

f.

Manajemen  risiko  berdasarkan  informasi  terbaik  yang  tersedia  (based  on  the  best  available information)  Masukan untuk proses pengelolaan risiko didasarkan oleh sumber informasi seperti  pengalaman,  umpan  balik,  pengamatan,  prakiraan,  dan  pertimbangan  pakar.  Meskipun  demikian,  pengambil  keputusan  harus  terinformasi  dan  harus  mempertimbangkan  segala  keterbatasan  data  atau  model  yang  digunakan  atau  kemungkinan perbedaan pendapat antar pakar. 

g.

Manajemen risiko dibuat sesuai kebutuhan (tailored)  Manajemen  risiko  diselaraskan  dengan  konteks  eksternal  dan  internal  organisasi  serta profil risikonya.   

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

29

  h.

Manajemen risiko memperhitungkan faktor manusia dan budaya (takes human and  cultural factors into account)  Manajemen risiko organisasi mengakui kapabilitas, persepsi, dan tujuan pihak‐ pihak  eksternal dan internal yang dapat mendukung atau malah menghambat pencapaian  tujuan organisasi. 

i.

Manajemen risiko bersifat transparan dan inklusif (transparent and inclusive)  Pelibatan  para  pemangku  kepentingan,  terutama  pengambil  keputusan,  dengan  sesuai  dan  tepat  waktu  pada  semua  tingkatan  organisasi,  memastikan  manajemen  risiko tetap relevan dan mengikuti perkembangan. Pelibatan ini juga memungkinkan  pemangku  kepentingan  untuk  cukup  terwakili  dan  diperhitungkan  sudut  pandangnya dalam menentukan kriteria risiko. 

j.

Manajemen  risiko  bersifat  dinamis,  iteratif,  dan  responsif  terhadap  perubahan  (dynamic, iterative and responsive to change)  Seiring  dengan  timbulnya  peristiwa internal  dan  eksternal, perubahan konteks  dan  pengetahuan,  serta  diterapkannya  pemantauan  dan  peninjauan,  risiko‐risiko  baru  bermunculan,  sedangkan  yang  ada  bisa  berubah  atau  hilang.  Karenanya,  suatu  organisasi  harus  memastikan  bahwa  manajemen  risiko  terus  menerus  memantau  dan menanggapi perubahan. 

k.

Manajemen  risiko  memfasilitasi  perbaikan  dan  pengembangan  berkelanjutan  organisasi (facilitates continual improvement and enhancement of the organization)  Organisasi  harus  mengembangkan  dan  mengimplementasikan  strategi  untuk  memperbaiki  kematangan  manajemen  risiko  mereka  bersama  aspek‐aspek  lain  dalam organisasi mereka.  

2.  

Elemen Manajemen Risiko  Pemahaman  manajemen  risiko  memungkinkan  manajemen  untuk  terlibat  secara  efektif  dalam menghadapi  ketidakpastian atas risiko dan peluang yang terkait dan meningkatkan  kemampuan  organisasi  untuk  memberikan  nilai  tambah.  Ada  beberapa  kerangka 

30 

 

2014 |Pusdiklatwas BPKP

  (framework) yang  dikembangkan  oleh  beberapa  pihak  seperti  oleh  AS/NZS,  COSO,  CAS,  dan terakhir yang dikeluarkan oleh ISO.   Pada  tahun  1995  sebuah task‐force mengembangkan The  Australian  and  New  Zealand  Standard  for  risk  management –  AS/NZS  4360:1995.  Standard  ini  kemudian  disempurnakan pada  tahun  1999  menjadi AS/NZS4360:1999,  terakhir disempurnakan  lagi pada tahun 2004 menjadi AS/NZS 4360:2004.   Menurut AS/NZS, elemen‐elemen dalam manajemen risiko (Gambar 2.1) dapat dijelaskan  sebagai berikut:  a.

Komunikasi dan Konsultasi   Proses  komunikasi  dan  konsultasi  bertujuan  memperoleh  informasi  yang  relevan  serta mengkomunikasikan setiap tahapan proses manajemen risiko sehingga pihak‐ pihak yang terkait dapat menjalankan tanggungjawabnya dengan baik. Proses yang  melekat  pada  seluruh  proses  manajemen  risiko  ini  dilakukan  dengan  cara  mengembangkan komunikasi dengan stakeholder internal maupun eksternal.  

b.

Penetapan Konteks   Penetapan  konteks  bertujuan  untuk  mengidentifikasi  dan  menganalisis  organisasi  sebagai  lingkungan  tempat  manajemen  risiko  akan  diterapkan.  Dalam  proses  ini  diidentifikasi  pihak‐pihak  yang  paling  berkepentingan  dengan  proses  penerapan  manajemen risiko, ruang lingkup dan tujuan proses, kondisi yang membatasi, serta  hasil  yang  diharapkan  dari  penerapan  manajemen  risiko.  Sebagai  bagian  dari  penetapan konteks, disusunlah kriteria untuk menganalisis dan mengevaluasi risiko.  

c.

Identifikasi Risiko   Identifikasi  risiko  bertujuan  untuk  mengidentifikasi  seluruh  jenis  risiko  yang  berpotensi  menghalangi,  menurunkan,  atau  menunda  tercapainya  sasaran  Unit  Pemilik  Risiko  yang  ada  dalam  organisasi.  Proses  ini  dilakukan  dengan  cara  mengidentifikasi  lokasi,  waktu,  sebab  dan  proses  terjadinya  peristiwa  risiko  yang  dapat menghalangi, menurunkan, atau menunda tercapainya sasaran.   

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

31

  d.

Analisis Risiko   Analisis risiko bertujuan untuk mengetahui profil dan peta dari risiko‐risiko yang ada  di  organisasi  dan  akan  digunakan  dalam  proses  evaluasi  dan  strategi  penanganan  risiko.  Proses  analisis  risiko  dilakukan  dengan  cara  mencermati  sumber  risiko  dan  tingkat  pengendalian  yang  ada  serta  dilanjutkan  dengan  menilai  risiko  dari  sisi  konsekuensi dan kemungkinan terjadinya.  

e.

Evaluasi Risiko   Evaluasi risiko bertujuan untuk menetapkan prioritas risiko yang telah diidentifikasi  dan dianalisis. Evaluasi risiko dilakukan agar para pengambil keputusan di organisasi  bisa  mempertimbangkan  perlu  tidaknya  dilakukan  penanganan  risiko  lebih  lanjut  serta  prioritas  penanganannya.  pada  langkah  ini  dilakukan  pembandingan  antara  nilai patokan resiko yang ingin dicapai organisasi (lihat langkah 1) dengan nilai hasil  perhitungan resiko yang dihasilkan langkah 3 di atas. Setelah itu dipilah‐pilah mana  resiko yang masuk dalam kriteria organisasi dan mana yang tidak masuk kriteria. 

f.

Penanganan Risiko   Proses penanganan risiko bertujuan menentukan jenis penanganan yang efektif dan  efisien  untuk  suatu  risiko.  Penanganan  risiko  dilakukan  dengan  mengidentifikasi  berbagai  opsi  penanganan  risiko  yang  tersedia  dan  memutuskan  opsi  penanganan  risiko yang terbaik yang dilanjutkan dengan pengembangan rencana mitigasi risiko.  

g.

Monitoring dan Review   Monitoring  dan  review  bertujuan  mengantisipasi  perubahan  risiko  yang  bersifat  mendadak  dan  persistent  baik  pada  tingkat  risiko  maupun  arah  risiko  yang  berdampak  negatif  pada  profil  risiko.  Proses  monitoring  dan  review  dilakukan  dengan cara memantau efektivitas rencana penanganan risiko, strategi, dan sistem  manajemen risiko.      

32 

 

2014 |Pusdiklatwas BPKP

  Penetapan  Konteks

Identifikasi  Risiko

Analisis  Risiko

Evaluasi  Risiko

Penanganan  Risiko

Komunikasi  &  Konsultansi

Monitor &  Reviu

 

Analisis risiko

Evaluasi risiko

Monitoring dan reviu

Identifikasi risiko

Penilaian risiko

Komunikasi dan Konsultansi

Penetapan konteks

Penanganan risiko

    Gambar 3.1  Elemen/Proses Manajemen Risiko 

  Secara detail akan dijelaskan di bawah ini.  a.

Komunikasi dan Konsultasi  Komunikasi  dan  konsultasi  melekat  di  setiap  tahap  proses  manajemen  risiko.  Komunikasi  dan  konsultasi  harus  melibatkan  dialog  dua  arah  dengan  stakeholders,  difokuskan  pada  konsultasi  daripada  dialog  satu  arah  dari  pembuat  keputusan  kepada stakeholders. Sangatlah penting untuk mengembangkan rencana komunikasi  kepada  stakeholders  internal  maupun  eksternal  di  tahap  awal  proses  manajemen  risiko. Rencana tersebut harus mengakomodir hal yang berkaitan dengan risiko dan  proses untuk mengelolanya.  Komunikasi  internal  maupun  eksternal  yang  efektif  sangat  penting  untuk  memastikan  bahwa  pihak‐pihak  yang  bertanggung  jawab  atas  implementasi  manajemen  risiko  mengerti  terhadap  dasar  keputusan  diambil  dan  mengapa  kegiatan  tertentu  diperlukan.  Stakeholders  memiliki  sudut  pandang  dan  pendapat 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

33

  yang  sangat  beragam.  Untuk  itu,  perlu  dipastikan  bahwa  komunikasi  harus  memperoleh informasi yang relevan.  Di  sisi  konsultasi,  adanya  pendekatan  mengenai  tim  konsultan  akan  membantu  dalam penetapan konteks secara tepat, membantu memastikan bahwa risiko telah  diidentifikasi  secara  efektif,  memberi  masukan  dalam  menganalisa  dan  mengevaluasi risiko dari berbagai sudut pandang keahlian.   b.

Penetapan Konteks  1)

Gambaran umum  Penetapan konteks adalah tahap penentuan parameter internal dan eksternal,  lingkup kerja dan kriteria risiko. Penetapan konteks merupakan dasar/ pijakan  bagi  proses  manajemen  risiko  selanjutnya.  Perolehan  gambaran  menyeluruh  dari parameter dasar; ruang lingkup, dan kerangka kerja, bertujuan untuk:  ƒ

mengidentifikasi lingkungan penerapan manajemen risiko; 

ƒ

mengetahui  dan  menetapkan  pihak  yang  paling  berkepentingan  (stakeholders utama) 

ƒ

menetapkan  ruang  lingkup,  tujuan,  kondisi  yang  membatasi  dan  hasil  yang diharapkan; dan 

ƒ

menetapkan kriteria untuk menganalisis dan mengevaluasi risiko. 

Langkah‐langkah dalam penetapan konteks adalah:  

2)

a)

menetapkan konteks eksternal‐internal,  

b)

menetapkan konteks manajemen risiko, dan  

c)

menetapkan kriteria penilaian risiko. 

Penetapan konteks ekternal ‐ internal  Dalam  penetapan  konteks  eksternal,  dilakukan  analisis  hubungan  organisasi  dan lingkungan eksternalnya seperti: 

34 

 

2014 |Pusdiklatwas BPKP

  ƒ

Lingkungan politik, ekonomi, sosial, budaya, hukum, teknologi, alam, dan  lain‐lain. 

ƒ

Persepsi dan nilai para pemangku kepentingan eksternal. 

Sedangkan penetapan konteks internal adalah untuk memastikan keselarasan  manajemen  risiko  harus  dengan  budaya,  proses  dan  struktur  organisasi  dengan mempertimbangkan: 

3)

ƒ

kapabilitas organisasi; 

ƒ

sistem informasi dan komunikasi; 

ƒ

struktur organisasi; 

ƒ

kebijakan, sasaran, strategi; 

ƒ

persepsi, nilai dan budaya organisasi; dan 

ƒ

pemangku kepentingan internal. 

Penetapan konteks manajemen risiko  Penetapan konteks manajemen risiko adalah untuk menentukan: 

4)

ƒ

sasaran, tujuan, strategi, dan kebijakan manajemen risiko; 

ƒ

lingkup dan luas cakupan manajemen risiko; 

ƒ

sumber daya yang diperlukan; 

ƒ

jadwal waktu penyelesaian; dan 

ƒ

dokumentasi dan catatan yang harus dibuat. 

Penetapan kriteria risiko  Penetapan  kriteria  terkait  risiko  dapat  dilakukan  dengan  mempertimbangkan  kriteria operasional, teknis, keuangan, hukum, sosial, lingkungan, budaya dan  kriteria lainnya, tergantung kebijakan internal, tujuan dan sasaran organisasi.  Kerangka acuan bagaimana mengukur risiko adalah sebagai berikut: 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

35

  a)

Tingkat Konsekuensi Risiko:  

Kriteria 

penilaian 

timbulnya 

risiko 

akibat  finansial, 

hukum,  politik,  citra,  dan  lain‐ lain.  b)

Tingkat Kemungkinan Terjadinya Risiko: Ukuran kemungkinan terjadinya  risiko  berdasarkan  probabilitas,  frekuensi 

kejadian 

maupun 

expert judgement.  c)

Level Risiko:  

Menentukan 

tingkat 

risiko 

untuk  mengambil  keputusan  dilakukannya  upaya  penangan‐ an atau tidak.  c.

Identifikasi Risiko  Tahap identifikasi risiko merupakan tahap untuk mengenali seluruh aktivitas entitas,  baik yang sedang maupun yang baru berjalan. Identifikasi risiko dilaksanakan dengan  tujuan  untuk  mengenali  faktor‐faktor  risiko  yang  dapat  menghambat  pencapaian  tujuan  entitas,  menyebabkan  kerugian,  dan  bahkan  merusak  reputasi  entitas  tersebut.  Tahap  ini  menetapkan  apa,  dimana,  kapan,  mengapa,  dan  bagaimana  sesuatu  dapat  terjadi,  sehingga  dapat  berdampak  negatif  terhadap    pencapaian  tujuan (4w + h).  Identifikasi risiko secara menyeluruh yang ada di dalam entitas akan menghasilkan  suatu daftar risiko (risk register). Seluruh risiko yang telah teridentifikasi kemudian  dikelompokkan  ke  dalam  kategori‐kategori  tertentu  seperti  risiko  strategis,  risiko  gangguan operasional, risiko finansial, risiko reputasi, risiko kepegawaian, dan lain‐ lain. Aktivitas identifikasi risiko merupakan tanggung jawab masing‐masing pemillik  risiko (risk owner) untuk proses dan unit terkait.  Tahap  identifikasi  atas  risiko  yang  mengancam  capaian  tujuan  organisasi  dapat  dilakukan dengan menggunakan beberapa teknik antara lain:   

36 

 

2014 |Pusdiklatwas BPKP

  ƒ   interviu 

ƒ

brainstorming 

ƒ   survei melalui internet 

ƒ

focus group discussion 

ƒ   review dokumen 

ƒ

pengalaman lalu 

ƒ   review target kinerja 

ƒ

praktik di lapangan 

ƒ   workshop yang difasilitasi 

ƒ

pengetahuan terbaru 

ƒ   analisis pohon bercabang 

ƒ

investigasi kasus 

  d.

Analisis Risiko  Setelah  merumuskan  risiko,  tahap  selanjutnya  adalah  menganalisis  risiko  tersebut.  Dalam melakukan analisis risiko, dapat menggunakan sumber yang memadai, antara  lain:  ƒ   dokumen‐dokumen terdahulu 

ƒ

survei kepuasan publik 

ƒ   pengalaman yang relevan 

ƒ

eksperimen dan prototipe 

ƒ   praktik‐praktik terbaik yang pernah ada 

ƒ

pertimbangan dari ahli/pakar 

ƒ   literatur yang relevan 

ƒ

brainstorming 

 

Dari beberapa macam metode analisis risiko tersebut, untuk efisiensi proses tahap  awal  penilaian  risiko  digunakan  teknik  brainstroming  melalui  workshop  yang  difasilitasi.  Analisis  risiko  merupakan  langkah  untuk  menentukan  nilai  dari  suatu  risiko  yang  telah  diidentifikasi  dengan  mengukur  nilai  kemungkinan  dan  dampaknya.  Berdasarkan  hasil  penilaian  tersebut,  suatu  risiko  dapat  ditentukan  tingkat  dan  status  risikonya  sehingga  dapat  dihasilkan  suatu  informasi  untuk  menciptakan  desain pengendaliannya.  Secara sederhana, level risiko dihitung dengan rumus berikut.   

Level Risiko = Kemungkinan x Dampak  Pengukuran  risiko  akan  dilihat  dari  dua  perspektif  yaitu  kemungkinan  keterjadian  (likelihood) dan besarnya pengaruh/ dampak risiko terhadap entitas (impact). Risiko  dinilai dengan mengacu kepada tabel kriteria yang terkait dengan likelihood maupun  impact.  Kriteria  sebagai  acuan  penilaian  dimaksud  akan  terus  berkembang  dan 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

37

  berubah  untuk  disesuaikan  dengan  perkembangan  aktivitas  entitas  dan  perubahan  risk appetite entitas. Hasil penilaian keseluruhan risiko tersebut kemudian dipetakan  ke dalam Peta Risiko (Risk Map).   Peta risiko merupakan penggambaran secara visual tingkat masing‐masing individual  risiko  yang  telah  teridentifikasi  dengan  diberi  warna‐warna  menurut  tinggi  rendahnya.  Risiko‐risiko  yang  sangat  tinggi  (very  high)  diindikasikan  dengan  warna  merah  dan  masuk  dalam  kategori  risiko  yang  memerlukan  perhatian  manajemen.  Risiko‐risiko  ini  memerlukan  perhatian  segera  dari  manajemen  karena  membutuhkan mitigasi/ rencana aksi yang segera untuk dapat mengurangi besarnya  pengaruh  dampak  dan/atau  kemungkinan  keterjadian  risiko  tersebut.  Risiko‐risiko  tinggi  (high)  dan  menengah  (medium)  secara  berturut‐turut  diindikasikan  dengan  warna  oranye  dan  kuning.  Risiko‐  risiko  yang  masuk  dalam  kwadran  tinggi  dan  medium  (oranye  dan  kuning),  bersama‐sama  dengan  risiko‐  risiko  dengan  katagori  sangat tinggi merupakan risiko organisasi yang harus menjadi pertimbangan Internal  Audit  dalam  menentukan  fokus  dan  Rencana  Kerja  Internal  Audit.  Risiko‐risiko  rendah  (low)  dan  sangat  rendah  (very  low)  diindikasikan  dengan  warna  biru  dan  hijau.  Risiko‐risiko  ini  harus  dikelola  melalui  tindakan  pemantauan  (monitoring)  untuk meyakinkan dampak dan kemungkinan tetap berada di kwadran rendah dan  sangat rendah, atau dapat dikurangi ke tingkat minimum secara ideal.  Dalam  melakukan  analisis  dampak  dan  probabilitas  dari  suatu  risiko  dapat  menggunakan  skala  yang  umumnya  menggunakan  skala  3,  skala  4,  skala  5.  Unit  organisasi  dapat  menggunakan  ukuran  tersebut  sesuai  dengan  kondisi  masing‐ masing.  Berdasarkan  praktik  percontohan  yang  dilakukan  di  beberapa  K/L/Pemda,  skala risiko yang digunakan adalah skala 4, dengan pertimbangan untuk menghindari  peserta memilih angka/ukuran yang di tengah.  Apabila skala 4 yang dipakai, maka contoh penilaian atas dampak dan kemungkinan  dapat diuraikan sebagai berikut.       

38 

 

2014 |Pusdiklatwas BPKP

  No. 

Dampak 



Sangat Rendah 



Rendah 



Besar 



Sangat Besar 

Uraian  Pengaruh terhadap capaian tujuan sangat rendah  Pengaruh terhadap capaian tujuan rendah  Pengaruh terhadap capaian tujuan besar  Pengaruh terhadap capaian tujuan sangat besar 

  Tabel 3.1  Skala Dampak Risiko   

  No. 

Kemungkinan 

Uraian 



Sangat Jarang 



Jarang 

Mungkin terjadi tetapi tidak sering 



Sering 

Mungkin terjadi dan kejadiannya cukup banyak 



Sangat Sering 

Hampir tidak pernah terjadi 

Dapat terjadi dan kejadiannya sangat banyak    Tabel 3.2  Skala Kemungkinan Terjadi Risiko   

Penentuan ukuran atas dampak dan kemungkinan secara kuantitas dapat ditentukan  oleh  tiap  unit  organisasi  sesuai  kebijakan  masing‐masing.  Besarnya  dampak  atau  kemungkinan  tiap  unit  organisasi  mungkin  berbeda  satu  sama  lain.  Kejadian  atas  risiko sebanyak 2 kali dalam sebulan mungkin masih dianggap jarang bagi suatu unit  organisasi, sementara bagi unit organisasi lainnya bisa dianggap sering.  Hasil  dari  analisis  risiko  adalah  profil  dan  peta  dari  risiko‐risiko  yang  ada.  Setelah  menilai  risiko  terkait  dengan  dampak  dan  probabilitas  terhadap  masing‐masing  risiko, proses selanjutnya adalah melakukan prioritas risiko berdasarkan status risiko  dari perkalian dampak dan probabilitas atau dengan melihat peta risikonya.  Contoh peta risiko dapat dilihat pada gambar berikut. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

39

 

   Gambar 3.2  Peta Risiko 

  Pada gambar diatas terdapat peta status risiko, yang terdiri dari 4 (empat) tingkatan,  yaitu:  ƒ

Tingkat I adalah status risiko sangat rendah 

ƒ

Tingkat II adalah status risiko rendah 

ƒ

Tingkat III adalah status risiko tinggi 

ƒ

Tingkat IV adalah status risiko sangat tinggi 

Status risiko menunjukkan prioritas risiko yang akan ditangani. Semakin  tinggi status  risiko,  maka  penanganannya  harus  diprioritaskan.  Demikian  juga  sebaliknya,  semakin  rendah  status  risikonya,  maka  penanganan  atas  risiko  tersebut  bukan  menjadi  prioritas  utama,  bahkan  dapat  diabaikan.  Hal  ini  terkait  dengan  biaya  dan  manfaat  suatu  pengendalian  yang  akan  dibangun.  Biaya  yang  dikeluarkan  untuk  melaksanakan  pengendalian  tersebut  adalah  sesuai  dengan  manfaat  yang  diterima  oleh suatu organisasi. 

40 

 

2014 |Pusdiklatwas BPKP

  Dalam  menetapkan  skala  risiko  biasanya  menggunakan  beberapa  jenis  skala  yaitu  skala  3,  skala  4,  dan  skala  5.  Penetapan  skala  tersebut  adalah  tergantung  dari  kebijakan pimpinan unit organisasi. Semakin tinggi skala risiko yang digunakan, maka  akan semakin banyak pilihan pengendalian yang akan digunakan.  e.

Evaluasi Risiko  Berdasarkan hasil analisis risiko, dilakukan evaluasi risiko yang bertujuan untuk:  ƒ

Mengetahui risiko yang memiliki tingkat prioritas tertinggi hingga terendah 

ƒ

Menentukan  risiko  mana  yang  ditindaklanjuti  dengan  penanganan  dan  risiko  mana saja yang hanya perlu dipantau  

Pada tahap ini dilakukan penilaian setiap level risiko ke dalam urutan prioritas risiko,  yang  akan  menjadi  dasar  bagi  kegiatan  mitigasi  risiko.  Evaluasi  harus  mempertimbangkan  selera  risiko  yang  telah  ditetapkan  organisasi  pada  tahap  penetapan konteks. Prioritas dapat didasarkan pada level risiko atau hal lain seperti: 

f.

ƒ

Besarnya dampak penanganan tersebut terhadap konteks yang lebih luas 

ƒ

Kemungkinan suatu peristiwa tertentu 

ƒ

Efek kumulatif dari beberapa peristiwa  

ƒ

Tingkat ketidakpastian level risiko pada tingkat keyakinan tertentu 

Penanganan Risiko  Tujuan penanganan risiko adalah untuk menentukan jenis penanganan yang efektif  dan  efisien  untuk  suatu  risiko.  Penanganan  risiko  melibatkan  pemilihan  cara‐cara  untuk penanganan risiko, memperkirakan cara‐cara tersebut beserta persiapan serta  rencana  penerapannya.  Titik  awal  dari  identifikasi  cara‐cara  penanganan  risiko  seringkali merupakan peninjauan kembali panduan penanganan risiko jenis tertentu,  yang sudah ada.  Beberapa konsep penting terkait penanganan risiko sebagai berikut. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

41

  ƒ

Menggunakan 

pemahaman 

mendalam, 

pendekatan 

sistematis 

dan 

komprehensif  antara  lain:  risiko‐risiko  yang  perlu  mendapatkan  penanganan;  prioritas  penanganannya;  dan  besarnya  dampak  penanganan  tersebut  terhadap konteks yang lebih luas;   ƒ

Mempertimbangkan Cost and Benefit Analysis; 

ƒ

Penanganan  risiko  diarahkan  pada  penanganan  akar  permasalahan  (root  cause) dan bukan hanya gejala permasalahan. 

Proses penanganan risiko dapat dijelaskan sebagai berikut.  1)

Identifikasi opsi penanganan  Beberapa opsi dalam penanganan risiko adalah sebagai berikut.  ƒ

Menghindari  risiko,  yaitu  memutuskan  untuk  tidak  memulai  atau  meneruskan satu aktivitas yang meningkatkan risiko. 

ƒ

Menerima  risiko,yaitu    memutuskan  untuk  tidak  melakukan  langkah  mitigasi risiko. 

ƒ

Mengurangi  konsekuensi  risiko,  yaitu  mengurangi  potensi  kerugian  dari  dampak yang dihasilkan melalui penanganan dampak risiko (risiko telah  terjadi). 

ƒ

Mengurangi frekuensi risiko, yaitu mengurangi frekuensi terjadinya risiko  melalui langkah‐langkah preventif. 

ƒ

Membagi risiko, yaitu melibatkan pihak lain atau mengalihkan sebagian  risiko kepada pihak lain, umumnya dengan suatu hubungan timbal balik  yang  disepakati. 

2)

Evaluasi opsi penanganan  Evaluasi  dilakukan  untuk  menilai  kelebihan  dan  kekurangan  setiap  opsi  yang  mungkin untuk diterapkan, dengan mempertimbangkan: 

42 

 

2014 |Pusdiklatwas BPKP

  ƒ

opsi yang dipilih harus kompatibel dengan seluruh tujuan organisasi dan  kriteria evaluasi risiko; 

3)

ƒ

unsur kepraktisan dan kelangsungannya; 

ƒ

biaya dan kemungkinan penerapan langkah penanganan risiko. 

Pemilihan opsi penanganan  Tujuannya  adalah  untuk  memutuskan  opsi  penanganan  risiko  yang  diambil  sebagai langkah mitigasi risiko. Dasar pemilihan adalah:  ƒ

keuntungan penanganan risiko; 

ƒ

biaya yang dikeluarkan; 

ƒ

periode waktu pelaksanaan; 

ƒ

ketidakmenentuan kondisi di masa yang akan datang; 

ƒ

pengharapan (ekspektasi) sosial; 

ƒ

adanya  penolakan  penanganan  risiko,  baik  oleh  personil  atau  oleh  organisasi. 

4)

Penyiapan rencana penanganan  Tujuannya adalah untuk meningkatkan kesuksesan langkah penanganan risiko  dan  mengontrol  langkah  aksi  penanganan  risiko.  Rencana  penanganan  risiko  seharusnya:  ƒ

mengidentifikasikan tanggung jawab, jadwal, outcome yang diharapkan,  anggaran  dana,  pengukuran  kinerja  dan  proses  review  yang  harus  dijalankan; 

ƒ

mencakup mekanisme untuk menilai dan memonitor efektivitas langkah  penanganan risiko; 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

43

  ƒ

mendokumentasikan  bagaimana  secara  praktisnya  opsi  yang  dipilih  itu  akan diimplementasikan. 

5)

Implementasi penanganan risiko  Tujuannya  untuk  mengimplementasikan  rencana  penanganan  risiko  sehingga  risiko  residual  sesuai  dengan  yang  diharapkan.  Implementasi  penanganan  risiko seharusnya:  ƒ

memastikan  penanggung  jawab,  jadwal,  outcome  yang  diharapkan,  anggaran  dana,  pengukuran  kinerja  dan  proses  review  telah  berjalan  sesuai dengan rencana; 

ƒ

mencakup mekanisme untuk menilai dan memonitor efektivitas langkah  penanganan risiko; 

ƒ

mendokumentasikan  hasil  dan  hambatan  serta  jalan  keluar  dalam  implementasi penanganan risiko. 

6)

Penilaian risiko residual  Risiko  residual  adalah  risiko  yang  tetap  ada  setelah  opsi  penanganan  risiko  diputuskan  dan  rencana  penanganan  risiko  telah  diimplementasikan.  Risiko  residual  seharusnya  terdokumentasikan  dan  senantiasa  dimonitor  dan  di‐ review. 

g.

Monitoring dan Review  Monitoring  merupakan  pengamatan  terus  menerus  terhadap  kinerja  yang  sebenarnya  dibandingkan  kinerja  yang  diharapkan.  Sedangkan  review  merupakan  pemeriksaan  periodik  terhadap  kondisi  terkini  dan  biasanya  terfokus  pada  hal  tertentu.  Monitoring  dan  review  amat  penting  dalam  proses  manajemen  risiko.  Monitoring dan review dilakukan terhadap risiko itu sendiri, efektivitas penanganan  risiko,  perencanaan  manajemen  risiko,  dan  sistem  manajemen  risiko  secara  keseluruhan.    Ketika  terjadi  perubahan  organisasi  atau  terdapat  faktor  eksternal  yang  berubah,  unit  kerja  pemilik  risiko  juga  akan  mengalami  perubahan  dalam  hal 

44 

 

2014 |Pusdiklatwas BPKP

  konteks  organisasi  (seperti  tujuan,  atau  kriteria  risiko),  risiko  dan  level  risiko,  dan  efektivitas penanganan risiko.   Tujuan monitoring dan review adalah:   1)

Memastikan  langkah  penanganan  risiko  benar‐benar  dilaksanakan  sesuai  dengan rencana;  

2)

Mengantisipasi  adanya  perubahan  risiko  yang  bersifat  mendadak  yang  dapat  berpengaruh pada profil risiko;  

3)

Mengetahui kondisi akhir dari profil risiko dalam satu unit kerja;  

4)

Mengetahui  adanya  penyimpangan  atau  perbedaan  antara  harapan  dengan  kenyataan atas proses manajemen risiko;  

5)

Menentukan  langkah  selanjutnya  yang  diperlukan,  terkait  dengan  proses  manajemen risiko.  

C.

DOKUMENTASI MANAJEMEN RISIKO  

Masing‐masing  tahap  proses  manajemen  risiko  harus  didokumentasikan  secara  layak.  Dokumentasi  harus  meliputi  asumsi,  metode,  sumber  data,  analisis,  hasil  serta  alasan  pengambilan keputusan.  Alasan untuk pendokumentasian adalah sebagai berikut:  1.

Menggambarkan proses manajemen risiko yang dilaksanakan telah berjalan dengan tepat. 

2.

Memberikan masukan data dan informasi untuk proses identifikasi dan analisis risiko. 

3.

Menyediakan daftar risiko yang ada dan mengembangkan database organisasi. 

4.

Menyediakan  informasi  untuk  proses  pengambilan  keputusan  yang  relevan  dengan  rencana dan pelaksanaan manajemen risiko.  

5.

Menyediakan informasi untuk mekanisme tanggung gugat dan peralatan. 

6.

Memfasilitasi pengawasan dan review yang berkelanjutan. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

45

  7.

Menyediakan informasi yang diperlukan untuk uji coba audit, dan 

8.

Mensosialisasikan  dan  mengkomunikasikan  informasi  yang  berhubungan  dengan  manajemen risiko. 

Dari setiap tahap manajemen risiko di atas, contoh dokumentasi hasil setiap tahap adalah:  Proses  Menetapkan konteks  

Dokumen Terkait  1) Kebijakan /Piagam Manajemen Risiko   2) Kriteria Evaluasi Risiko  

Mengidentifikasi risiko dan  melakukan asesmen risiko  (menganalisis dan mengevaluasi  risiko)  

1) Daftar Hasil Identifikasi Risiko   2) Matriks Analisis Risiko  

Memberi tanggapan dan perlakuan  atas risiko  

Daftar Rencana Tindakan/Mitigasi Risiko (Tanggapan  dan Perlakuan)  

3) Asumsi, Metode dan Sumber Data yang  Digunakan  

Memantau dan mengkaji‐ulang serta  1) Daftar Hasil Monitoring Risiko  melakukan komunikasi dan  2) Laporan Status dan Kemajuan serta Rekomendasi  konsultansi   Penyempurnaan atau Laporan Hasil Monev  3) Catatan Komunikasi dan Konsultansi     Dalam  membangun  budaya  peduli  risiko,  terdapat  beberapa  hambatan  dalam  menerapkan  manajemen risiko, diantaranya:   •

Risiko pada sektor publik seringkali masih dipandang sebagai sesuatu yang negatif, jadi jika  ditampilkan dikhawatirkan akan memberi kesan buruk. Padahal, jika risiko tersebut benar  terjadi, maka dampaknya bisa jadi lebih buruk.  



Risiko dipandang sebagai sumber pemborosan biaya. Meskipun pada umumnya pimpinan  instansi  menyadari  bahwa  biaya/kerugian  yang  timbul  akibat  kegagalan  dalam  mengatasi/memitigasi risiko yang harus ditanggung mungkin lebih besar. 



Daya  tarik  terhadap  potensi  untuk  melakukan  penyimpangan  yang  menjurus  kepada  perbuatan  fraud  dianggap  lebih  memberikan  keuntungan  yang  besar,  sehingga  mereka  cenderung  mengabaikan  peringatan  terhadap  dampak  risiko.  Contohnya  adalah  risiko 

46 

 

2014 |Pusdiklatwas BPKP

  penunjukkan  langsung  dalam  pemilihan  penyedia  barang  dan  jasa  mempunyai  risiko  terjadinya kecurangan yang tinggi, namun justru cara penunjukkan langsung banyak dipilih  oleh pembuat keputusan.   •

Tata Kelola Pemerintahan yang lemah, karena control dari unit pengawasan baik internal  maupun eksternal masih sangat lemah dan mudah dikompromikan. 

     

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

47

   

48 

 

2014 |Pusdiklatwas BPKP

 

Bab IV  PENGENDALIAN INTERN      Indikator Keberhasilan   Setelah mengikuti pemelajaran ini diharapkan peserta diklat memiliki pengetahuan   mengenai pengendalian intern organisasi.    

  Banyaknya  permasalahan  yang  terjadi  dalam  penyelenggaraan  pemerintahan  menjadi  isu  penting  yang  harus  segera  diselesaikan.  Untuk  itu,  dituntut  adanya  penyelenggaraan  pemerintahan yang yang transparan, akuntabel, dan terukur serta menjalankan prinsip‐prinsip  good  governance.  Untuk  mewujudkannya  diperlukan  suatu  sistem  pengendalian  intern  yang  dapat  memberikan  keyakinan  yang  memadai  atas  tercapainya  tujuan  organisasi  secara  efektif  dan  efisien, keandalan  pelaporan  keuangan,  pengamanan  aset  negara, dan  ketaatan  terhadap  peraturan perundang‐undangan yang berlaku.   Sistem  pengendalian  intern  lebih  dahulu  berkembang  pesat  di  sektor  swasta  atau  korporasi.  Selanjutnya,  mengingat  pentingnya  sistem  pengendalian  tersebut  bagi  sektor  publik,  konsep  pengendalian sektor korporasi ini kemudian diadopsi untuk diterapkan di sektor publik. 

A.

DEFINISI DAN TUJUAN PENGENDALIAN INTERN 

Perkembangan  sistem  pengendalian  intern  sektor  publik  dipengaruhi  oleh  perkembangan  di  sektor  korporasi.  Tahun  1992,  The  Committee  of  Sponsoring  Organizations  of  the  Treadway  Commission  (COSO),    grup  studi  yang  populer  dengan  nama  COSO,  pada  September  1992  menyampaikan laporan dengan judul “Internal Control – Integrated Framework”. COSO adalah  suatu  komisi  yang  bertujuan  merumuskan  Pengendalian  Intern  secara  lebih  mendalam  dan  beranggotakan  wakil‐wakil  dari  Financial  Executives  Institute,  AICPA,  American  Accounting  Associations, The Institute of Internal Auditors, dan Institute of Management Accountants.   Dengan  mengacu  pada  sistem  pengendalian  intern  yang  dikembangkan  COSO  tersebut,  untuk  sektor publik, General Accounting Office (GAO) pada tahun 1999 mendefinisikan pengendalian  intern sebagai berikut: 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

49

  “Internal Control : a process, affected by an entity’s board of directors, management, and  other  personil,  designed  to  provide  reasonable  assurance  regarding  the  improvement  of  objectives in the following categories:  Effectiveness and efficiency of operation,  Reliability of financial reporting,  Compliance with applicable laws and regulations”  Yang dapat diterjemahkan sebagai berikut:   Pengendalian  intern  merupakan  suatu  proses,  yang  dipengaruhi  oleh  dewan  komisaris  suatu entitas, manajemen, dan personil lainnya, dirancang untuk menyediakan keyakinan  yang memadai berkaitan dengan pencapaian tujuan dalam berbagai kategori:  Efektivitas dan efisiensi kegiatan  Keandalan pelaporan keuangan  Ketaatan pada peraturan dan ketentuan yang berlaku    Pada tahun 2001, International Organization of Supreme Audit Instituitions (INTOSAI) membuat  exposure  draft  yang  berjudul  "Guidelines  for  Internal Control  Standards  for  the  Public  Sector",  yakni  penerapan  konsep  pengendalian  intern  untuk  sektor  publik.  Menurut  INTOSAI  Internal  Control  Standards  Committee,  dalam  Guidelines  for  Internal  Control  Standards  for  the  Public  Sector, Budapest 2004, sistem pengendalian intern didefinisikan sebagai :  "An  integral  process  that  effected  by  an  entity's  management  and  personnel  and  is  designed to address risk and to provide reasonable assurance that in pursuit of the entity's  mission, the following general objectives are being achieved:  1) Executing orderly, ethical, economical, efficient and effective operations ;  2) Fulfilling accountability obligations;   3) Complying applicable laws and regulations ; and  4) Safeguarding resources againts loss, misuse and damage."     Selanjutnya,  Institute  of  Internal  Auditors  (IIA)  mendefinisikan  internal  control   sebagai  "Any  action  taken  by  management,  the  board,  and  other  parties  to  enhance  risk  management  and  increase  the  likelihood  that  established  objectives  and  goals  will  be  achieved.  Management  plans,  organizes,  and  directs  the  performance  of  sufficient  actions  to  provide  reasonable  assurance that objectives and goals will be achieved "   Pengendalian intern dibangun untuk mencapai tujuan organisasi melalui pemanfaatan seluruh  sumber daya secara ekonomis, efisien, efektif dan sesuai dengan ketentuan yang berlaku. Pada  prinsipnya  fungsi  pengendalian  internal  bertujuan  untuk  mengidentifikasi  terjadinya  deviasi 

50 

 

2014 |Pusdiklatwas BPKP

  atau  penyimpangan  atas  pelaksanaan  kegiatan  dibandingkan  dengan  rencana  yang  telah  ditetapkan,  sehingga  dapat  dilakukan  tindakan  koreksi  oleh  pihak  manajemen.    Pengendalian  intern  dapat  mencakup  pengendalian  yang  bersifat  preventif  yaitu  berupa  perancangan  suatu  sistem pengendalian, ataupun detektif untuk mengatasi penyimpangan yang sudah terjadi.  Dari  pengertian  pengendalian  intern  yang  diberikan  oleh  Committee  of  sponsoring  Organizations  of  the  Treadway  Commission  (COSO)  dapat  disimpulkan  bahwa  dengan  adanya  pengendalian intern diharapkan:  1.

Suatu  organisasi  sebagai  suatu  entitas    dapat  mencapai  tujuan  organisasi  dengan  efektif  dan efisien. 

2.

Laporan keuangan dapat diandalkan. 

3.

Organisasi taat terhadap peraturan perundang‐undangan yang berlaku. 

Di lain pihak, Institute  of Internal Auditor (IIA), merinci tujuan dan sasaran pengendalian, yaitu  untuk memperoleh jaminan yang memadai bahwa:  1.

Informasi keuangan dan operasional  layak dipercaya. 

2.

Seluruh  transaksi  atau  kegiatan,  dilaksanakan  berdasarkan  ketaatan  terhadap  kebijakan,  rencana, prosedur, dan peraturan perundang‐undangan yang berlaku. 

3.

Terselenggaranya pengamanan aset dengan baik. 

4.

Penggunaan sumber daya dilakukan secara ekonomis. 

5.

Kegiatan  operasional  telah  ditangani  sesuai  rencana  dan  hasilnya  telah  sesuai  dengan  tujuan dan sasaran yang telah ditetapkan. 

Terkait  sektor  pemerintahan  di  Indonesia,  pendekatan  terkini  dari  sistem  pengendalian  intern  adalah  Sistem  Pengendalian  Intern  Pemerintah  (SPIP)  yang  didasarkan  pada  Peraturan  Pemerintah Nomor 60 Tahun 2008. Pengertian Sistem Pengendalian Intern menurut PP Nomor  60 Tahun 2008 tentang SPIP adalah:  "Proses  yang  integral  pada  tindakan  dan  kegiatan  yang  dilakukan  secara  terus  menerus  oleh  pimpinan  dan  seluruh  pegawai  untuk  memberikan  keyakinan  memadai  atas  tercapainya  tujuan  organisasi  melalui  kegiatan  yang  efektif  dan  efisien,  keandalan 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

51

  pelaporan  keuangan,  pengamanan  aset  negara,  dan  ketaatan  terhadap  peraturan  perundang‐undangan."  Tujuan SPIP adalah memberikan keyakinan memadai atas tercapainya tujuan organisasi melalui:   1.

kegiatan yang efektif dan efisien;  

2.

laporan keuangan yang dapat diandalkan;  

3.

pengamanan aset negara; serta  

4.

ketaatan terhadap peraturan perundang‐undangan.  

Keempat tujuan tersebut di atas tidak perlu dicapai secara khusus atau terpisah‐pisah. Dengan  kata  lain,  instansi  pemerintah  tidak  harus  merancang  secara  khusus  pengendalian  untuk  mencapai  satu  tujuan.  Suatu  kebijakan  atau  prosedur  dapat  saja  dikembangkan  untuk  dapat  mencapai lebih dari satu tujuan pengendalian.  Menurut  SPIP,  terdapat  lima  unsur  yang  menjadi  substansi  dari  sistem  pengendalian,  yakni:  Lingkungan  Pengendalian,  Penilaian  Risiko,  Aktivitas  Pengendalian,  Informasi  dan  Komunikasi,  serta  Pemantauan  Pengendalian  Intern.  Kelima  unsur    sistem  pengendalian  intern  merupakan  komponen  yang  terjalin  erat  satu  dengan  yang  lainnya  dengan  komponen  lingkungan  pengendalian sebagai fondasinya. Unsur lingkungan pengendalian memiliki dampak yang sangat  kuat  terhadap  struktur  kegiatan,  penetapan  tujuan  dan  penilaian  risiko.  Lingkungan  pengendalian juga mempengaruhi kegiatan pengendalian, sistem informasi dan komunikasi, dan  pemantauan pengendalian intern. Gambar kubus di bawah ini menjelaskan bahwa semua unsur  pengendalian  disusun  dengan  urutan  kronologisnya  yang  bertujuan  (kubus  paling  atas)  untuk  memperoleh kegiatan operasi yang efisien dan efektif, pengamanan aset, pelaporan keuangan  yang dapat diandalkan, dan ketaatan kepada peraturan dan ketentuan yang berlaku. Sedangkan  sisi  kanan  kubus  menjelaskan  bahwa  implementasi  kelima  unsur  pengendalian  tersebut  dapat  diterapkan  untuk  aktivitas  unit  atau  kegiatan  tertentu.  Hubungan  kelima  unsur  dapat  digambarkan sebagai berikut.       

52 

 

2014 |Pusdiklatwas BPKP

 

Gambar 4.1  Sistem Pengendalian Intern Pemerintah 

 

  Penjelasan yang lebih rinci dari masing‐masing unsur SPIP disampaikan pada sub bab berikut. 

B.

UNSUR PENGENDALIAN INTERN 

COSO memberikan suatu kerangka kerja pengendalian intern secara umum, yang didesain untuk  memuaskan  kebutuhan  semua  kelompok  yang  berhubungan  dengan  sistem  pengendalian  intern,  yaitu  manajemen  entitas,  auditor  ekstern  dan  intern,  manajemen  keuangan,  akuntan  manajemen, dan pemegang otoritas (pasar modal). Tujuan sistem pengendalian intern menjadi  luas, mencakup tidak hanya untuk menjamin keandalan pelaporan keuangan, tetapi juga untuk  efektivitas dan efesiensi operasi, serta kepatuhan terhadap hukum dan peraturan yang berlaku.  COSO merumuskan 5 unsur utama pengendalian intern yang saling berkaitan, yaitu:  1.

Lingkungan pengendalian (control environment) 

2.

Penilaian risiko (risk assessment) 

3.

Aktivitas pengendalian (control activities) 

4.

Informasi dan komunikasi (information and communication) 

5.

Pemantauan (monitoring) 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

53

  Menurut  COSO,  unsur‐unsur  tersebut  bersumber  dari  cara  manajemen  (pimpinan)  menyelenggarakan  tugasnya  dan  oleh  karena  itu  unsur  ini  menyatu  (built  in)  dan  terjalin  (permeatted) dalam proses bisnis.  Konsep  COSO  tersebut  kemudian  diadopsi  dalam  PP  Nomor  60  Tahun  2008  tentang  Sistem  Pengendalian Intern Pemerintah (SPIP), dengan penjelasan masing‐masing unsur pengendalian  intern adalah sebagai berikut:  1.

Lingkungan Pengendalian  PP Nomor 60 Tahun 2008 mewajibkan pimpinan instansi pemerintah untuk menciptakan  dan memelihara lingkungan pengendalian yang menimbulkan perilaku positif dan kondusif  untuk  penerapan  sistem  pengendalian  intern  dalam  lingkungan  kerjanya.  Hal  ini  merupakan  komponen  yang  sangat  penting  dan  menjadi  unsur  dasar  di  dalam  SPIP.  Kemampuan  pimpinan  untuk  menciptakan  dan  memelihara  lingkungan  kerja  yang  kondusif  akan  menjadi motivasi  kuat  bagi  para  pegawai  untuk  memberikan  yang  terbaik  dalam  pelaksanaan  pekerjaannya.  Sebaliknya,  pimpinan  yang  tidak/kurang  kompeten  dalam  menciptakan  lingkungan  yang  positif  akan  berpotensi  mempengaruhi  pegawai  untuk melakukan hal‐hal negatif yang dapat merugikan instansinya.  Untuk  menciptakan  lingkungan  pengendalian  seperti  dimaksud  PP  tersebut,  pimpinan  instansi  dapat  menerapkannya  melalui  sub  unsur‐sub  unsur  lingkungan  pengendalian  sebagai berikut:  a.

Penegakan integritas dan nilai etika; 

b.

Komitmen terhadap kompetensi; 

c.

Kepemimpinan yang kondusif; 

d.

Pembentukan struktur organisasi yang sesuai dengan kebutuhan; 

e.

Pendelegasian wewenang dan tanggung jawab yang tepat; 

f.

Penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya  manusia; 

54 

g.

Perwujudan peran aparat pengawasan intern pemerintah yang efektif; dan 

h.

Hubungan kerja yang baik dengan Instansi Pemerintah terkait.   

2014 |Pusdiklatwas BPKP

  2.

Penilaian Risiko  Tahap  penilaian  risiko  (risk  assessment)  merupakan  tahap  awal  dalam  pembangunan  infrastruktur  pengendalian.  Melalui  penilaian  risiko  dapat  diketahui  risiko  yang  dihadapi  unit kerja, untuk kemudian ditetapkan kebijakan respon terhadap risiko (mitigate, avoid,  transfer,  share),  serta  kegiatan  pengendalian  yang  diperlukan.  Risiko  diidentifikasi  pada  konteks  terkait  tujuan  entitas  maupun  aktivitas.  Agar  risiko  tersebut  dapat  diidentifikasi  dengan baik, maka perlu terlebih dahulu dipahami proses bisnis/kegiatan organisasi.   Penilaian risiko  terdiri dari empat sub unsur yaitu:  a.

Penetapan Tujuan Instansi   Identifikasi  risiko  dimulai  dengan  penetapan  konteks/tujuan  organisasi  yang  jelas  dan  konsisten,  Penetapan  konteks  dilakukan  dengan  menjabarkan  latar  belakang,  ruang  lingkup,  tujuan  dan  hubungan  organisasi  dengan  lingkungan  eksternal  dan  internal.  Oleh  karena  itu,  sebelum  melakukan  penilaian  risiko,  organisasi  perlu  melakukan analisis lingkungan internal dan eksternal yang dapat menimbulkan risiko  dan mempengaruhi pencapaian tujuan organisasi. 

b.

Penetapan Tujuan Kegiatan  Penetapan  konteks/tujuan  secara  jelas  dan  konsisten  juga  dilakukan  di  tingkat  kegiatan/aktivitas. 

c.

Identifikasi Risiko   Sebelum  identifikasi  risiko,  kriteria  evaluasi  dan  struktur  analisis  risiko  perlu  ditetapkan dalam rangka menentukan strategi aktivitas yang konsisten dan strategi  manajemen  terintegrasi  dengan  rencana  penilaian  risiko.  Strategi  aktivitas  diperlukan  untuk  menentukan  kriteria  evaluasi  mana  yang  akan  dianalisis  sesuai  dengan struktur analisis  Identifikasi  risiko  adalah  proses  menetapkan  apa,  dimana,  kapan,  mengapa,  dan  bagaimana  sesuatu  dapat  terjadi,  sehingga  dapat  berdampak  negatif  terhadap  pencapaian tujuan. Proses ini meliputi identifikasi risiko yang mungkin terjadi pada 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

55

  level  entitas  maupun  aktivitas.  Salah  satu  aspek  penting  dalam  identifikasi  risiko  adalah memperoleh data risiko sebanyak‐banyaknya.   d.

Analisis Risiko   Semua  risiko  yang  telah  diidentifikasi  harus  dianalisis  untuk  mengestimasi  kemungkinan  munculnya  (probabilitas)  dan  besaran  dampak  risiko  terhadap  pencapaian tujuan entitas maupun aktivitas.   Hasil  penilaian  risiko  ini  kemudian  digunakan  sebagai  dasar  dalam  membangun  infrastruktur dan melakukan aktivitas pengendalian. 

3.

Kegiatan Pengendalian  Unsur  sistem  pengendalian  intern  yang  ketiga  adalah  kegiatan  pengendalian.  Kegiatan  pengendalian  intern  adalah  kebijakan  dan  prosedur  yang  dapat  membantu  memastikan  dilaksanakannya arahan pimpinan Instansi Pemerintah untuk mengurangi risiko yang telah  diidentifikasi selama proses penilaian risiko.  Kebijakan  dibuat  untuk  mengarahkan  apa  yang  seharusnya  dikerjakan  dan  berfungsi  sebagai dasar bagi penyusunan prosedur. Prosedur adalah rangkaian urut‐urutan tindakan  yang  dilakukan  oleh  satu  atau  beberapa  orang  dalam  melaksanakan  kegiatan  tertentu.  Kebijakan  dan  prosedur  tertulis  harus  ditetapkan  oleh  manajemen,  sebagai  dasar  pelaksanaan kegiatan pengendalian.   Pengertian yang lebih luas dari kegiatan pengendalian mencakup bukan hanya kebijakan  dan  prosedur  tetapi  juga  teknik  dan  mekanismenya.  Teknik  merupakan  penjelasan  yang  lebih  rinci  dari  prosedur  sedangkan  mekanisme  menjelaskan  siapa  dan  bagaimana   menjalankan teknik tersebut.   Kegiatan  pengendalian  yang  diterapkan  dalam  suatu  Instansi  Pemerintah  dapat  berbeda  dengan  yang  diterapkan  pada  Instansi  Pemerintah  lain.  Perbedaan  penerapan  ini  antara  lain disebabkan oleh perbedaan: 

56 

a.

visi, misi, dan tujuan; 

b.

lingkungan dan cara beroperasi; 

 

2014 |Pusdiklatwas BPKP

  c.

tingkat kerumitan organisasi; 

d.

sejarah atau latar belakang serta budaya; dan 

e.

risiko yang dihadapi. 

Pimpinan  Instansi  pemerintah  wajib  menyelenggarakan  kegiatan  pengendalian  sesuai  dengan  ukuran,  kompleksitas,  serta  sifat  dari  tugas  dan  fungsi  instansi  pemerintah  yang  bersangkutan.  Dalam  pelaksanaannya,  unsur  kegiatan  pengendalian  memiliki  beberapa  sub‐unsur, sebagai berikut:   a.

Review atas kinerja Instansi Pemerintah yang bersangkutan; 

b.

Pembinaan sumber daya manusia; 

c.

Pengendalian atas pengelolaan sistem informasi; 

d.

Pengendalian fisik atas aset; 

e.

Penetapan dan review atas indikator dan ukuran kinerja; 

f.

Pemisahan fungsi; 

g.

Otorisasi atas transaksi dan kejadian yang penting; 

h.

Pencatatan yang akurat dan tepat waktu atas transaksi dan kejadian; 

i.

Pembatasan akses atas sumber daya dan pencatatannya; 

j.

Akuntabilitas terhadap sumber daya dan pencatatannya; dan 

k.

Dokumentasi yang baik atas Sistem Pengendalian Intern serta transaksi dan kejadian  penting. 

Dalam  mengembangkan  kegiatan  pengendalian,  instansi  pemerintah  harus  mencapai  keseimbangan  yang  tepat  antara  kegiatan  pengendalian  yang  bersifat  detektif  dengan   preventif.  Kegiatan  pengendalian  yang  didominasi  oleh  pengendalian  preventif  seperti  prosedur  otorisasi  yang  berbelit‐belit,  akan  mengganggu  kelancaran  kegiatan  layanan  publik. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

57

  Berdasarkan  tujuan  instansi  pemerintah,  kegiatan  pengendalian  berkaitan  dengan   operasi,  laporan keuangan, dan ketaatan terhadap peraturan perundang‐undangan serta  pengamanan aset negara. Meskipun  kegiatan pengendalian berkaitan dengan salah satu  tujuan  pengendalian  tersebut,  namun  dalam  praktiknya  saling  berhubungan,  tergantung  dari  lingkungannya.  Kegiatan  pengendalian  tertentu  dapat  membantu  pencapaian  lebih  dari satu tujuan instansi pemerintah tersebut. Jadi pengendalian untuk operasi juga dapat  membantu menjamin keandalan laporan keuangan. Pengawasan laporan keuangan dapat  memengaruhi ketaatan dan meningkatkan pengamanan aset negara.  Kegiatan  pengendalian  terjadi  di  semua  tingkat  organisasi,  kegiatan,  unit  dan  fungsi  instansi  pemerintah.Kegiatan  pengendalian  merupakan  suatu  bagian  yang  tidak  terpisahkan dari perencanaan, penerapan, serta review kinerja dari instansi pemerintah.  Dalam  menetapkan  kegiatan  pengendalian,  harus  didasarkan  pada  hasil  penilaian  risiko  dan  mempertimbangkan  kecukupan  kegiatan  pengendalian.  Berdasarkan  pertimbangan  tersebut,  kegiatan  untuk  mengendalikan  risiko  dikategorikan  dalam  dua  hal  yaitu  prevention  dan  mitigation.  Perbedaan  pengendalian  tersebut  digambarkan  sebagai  berikut. 

  Gambar 4.2    Hubungan Pengendalian Risiko   

Berdasarkan  gambar  di  atas,  prevention  digambarkan  sebagai  kegiatan  pengendalian  untuk  mengurangi  probabilitasnya,  sedang  mitigasi  digambarkan  sebagai  kegiatan 

58 

 

2014 |Pusdiklatwas BPKP

  pengendalian  yang  dimaksudkan  untuk  mengurangi  dampak  dari  suatu  kerugian  yang  mungkin terjadi.   Bagaimana  bentuk  kedua  kegiatan  pengendalian  ini  dicontohkan  dalam  kegiatan  pengendalian  kebakaran.  Kegiatan  prevention  diibaratkan  sebagai  kegiatan  terhadap  pembatasan  penggunaan  bahan‐bahan  yang  mudah  terbakar  dan  pelarangan  kegiatan  yang  membahayakan  seperti  merokok.  Sedangkan  kegiatan  mitigasi  diibaratkan  sebagai  kegiatan menyiapkan alat pemadam kebakaran, sehingga apabila terjadi kebakaran dapat  digunakan untuk mengurangi dampaknya.  Untuk  mengelola  risiko  yang  berkaitan  dengan  pencapaian  tujuan  masing‐masing  kegiatan,  pimpinan  instansi  pemerintah  harus  selalu  memperhatikan  kedua  aspek  pengendalian  di  atas.  Dengan  demikian,  setiap  kali  melakukan  penilaian  risiko  selalu  diiringi dengan kegiatan pengendalian untuk mengurangi probabilitas dan dampaknya.  Selain  hal  tersebut  di  atas,  berkaitan  dengan  perkembangan  penggunaan  teknologi  informasi,  analisis  dan  evaluasi  kecukupan  kegiatan  pengendalian  juga  mencakup  pengendalian  terhadap  sistem  informasi  terkomputerisasi  yaitu,  meliputi  pengendalian  umum dan pengendalian aplikasi.   Agar kegiatan pengendalian menjadi efektif, maka harus memenuhi kriteria:  a.

pengendalian yang tepat pada tempat yang tepat dan terhadap risiko terkait; 

b.

sesuai dengan rencana organisasi yang ditetapkan; 

c.

memperhatikan biaya dan manfaatnya; 

d.

bersifat  komprehensif,  logis,  dan  berhubungan  langsung  dengan  tujuan  pengendalian. 

4.

Informasi dan Komunikasi  Unsur  pengendalian  intern  keempat  adalah  informasi  dan  komunikasi.  Sub  unsur  dari  unsur informasi dan komunikasi adalah:  a.

Sarana Komunikasi 

b.

Manajemen sistem informasi 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

59

  Instansi  pemerintah  harus  memiliki  informasi  yang  relevan  dan  dapat  diandalkan  baik  informasi keuangan maupun nonkeuangan, yang berhubungan dengan peristiwa‐peristiwa  eksternal  serta  internal.  Informasi  tersebut  harus  direkam  dan  dikomunikasikan  kepada  pimpinan  instansi  pemerintah  dan  lainnya  di  seluruh  instansi  pemerintah  yang  memerlukannya  dalam  bentuk  serta  dalam  kerangka  waktu,  yang  memungkinkan  yang  bersangkutan melaksanakan pengendalian intern dan tanggung jawab operasional.  Informasi  adalah  data  yang  telah  diolah,  yang  dapat  digunakan  untuk  pengambilan  keputusan dalam rangka penyelenggaraan tugas dan fungsi instansi pemerintah.  Instansi  pemerintah  harus  memiliki  informasi  yang  relevan  dan  dapat  diandalkan,  baik  informasi  keuangan maupun non keuangan yang berhubungan dengan peristiwa‐teristiwa eksternal  serta internal. Informasi yang relevan dan dapat diandalkan tersebut harus diidentifikasi,  diperoleh, dan didistribusikan kepada pimpinan semua tingkatan dan pihak yang berhak;  dengan  rincian  yang  memadai,  bentuk,  dan  waktu  yang  tepat  sehingga  memungkinkan  mereka  dapat  melaksanakan  tugas  dan  tanggung  jawab  pengendalian  intern  dan  operasional secara efisien dan efektif.  Informasi  dari  sumber  internal  dan  eksternal  didapat  dan disampaikan  kepada  pimpinan  instansi  pemerintah  sebagai  bagian  dari  pelaporan  instansi  sehubungan  dengan  pencapaian kinerja operasi dalam mencapai tujuan instansi yang telah ditetapkan.  Informasi  yang  perlu  diidentifikasi,  diperoleh,  dan  dilaporkan  adalah  informasi  internal  yang  penting  dalam  mencapai  tujuan  instansi  pemerintah,  termasuk  informasi  yang  berkaitan  dengan  faktor‐faktor  keberhasilan  yang  kritis  dan  informasi  eksternal  yang  relevan,  yang  dapat  mempengaruhi  tercapainya  misi,  maksud  dan  tujuan  instansi  pemerintah,  terutama  yang  berkaitan  dengan  perkembangan  peraturan  perundang‐ undangan  serta  perubahan  politik  dan  ekonomis.  Agar  informasi  yang  diidentifikasi  dan  dilaporkan  adalah  informasi  yang  berkualitas,  maka  informasi  tersebut  harus  memenuhi  syarat sebagai berikut. 

60 

a.

Sesuai kebutuhan, yaitu informasi yang diperlukan telah tersedia. 

b.

Tepat waktu, yaitu informasi tersedia ketika diperlukan. 

c.

Mutakhir, yaitu informasi yang terkini, telah tersedia. 

 

2014 |Pusdiklatwas BPKP

  d.

Akurat, yaitu informasi yang diperoleh adalah benar. 

e.

Dapat  diakses,  yaitu  informasi  dapat  diperoleh  dengan  mudah  oleh  pihak‐pihak  yang terkait. 

Komunikasi  adalah  proses  penyampaian  pesan  atau  informasi  dengan  menggunakan  simbol  atau  lambang  tertentu  baik  secara  langsung  maupun  tidak  langsung  untuk  mendapatkan  umpan  balik.  Proses  komunikasi  merupakan  tahap‐tahap    antara  komunikator  dengan  komunikan  yang  menghasilkan  pentransferan  dan  pemahaman  makna. Menurut Stephen P. Robbins, proses komunikasi meliputi 7 (tujuh) bagian, yakni:  a.

sumber komunikasi (komunikator), 

b.

pengkodean, 

c.

pesan, 

d.

saluran, 

e.

pendekodean, 

f.

penerima (komunikan), 

g.

umpan balik. 

Efektivitas  dari  komunikasi  terlihat  dari  umpan  balik  yang  ditunjukkan  oleh  pihak  yang  menerima  pesan.  Umpan  balik  itu  akan  menunjukkan  apakah  telah  terjadi  kesamaan  pemahaman atas makna pesan yang disampaikan.    Komunikasi  terdiri  dari  komunikasi  internal  dan  eksternal.  Komunikasi  internal  dan  eksternal  yang  efektif  harus  terjadi  baik  secara  vertikal  maupun  horizontal  melalui  komunikasi dua arah serta lintas unit/instansi.  Pimpinan  instansi  pemerintah  harus  memastikan  terjalinnya  komunikasi  internal  dan  eksternal  yang  efektif  terutama  yang  memberikan  dampak  signifikan  terhadap  program,  proyek, operasi, dan kegiatan lainnya termasuk penganggaran dan pendanaannya. Untuk  menyelenggarakan  komunikasi  yang  efektif,  pimpinan  instansi  pemerintah  harus  menyediakan  dan  memanfaatkan  berbagai  bentuk  sarana  komunikasi  dalam  mengomunikasikan informasi penting kepada pimpinan, pegawai dan pihak lainnya, serta  mengelola,  mengembangkan,  dan  memperbarui  sistem  informasi  secara  terus  menerus  untuk meningkatkan kegunaan dan keandalan informasi.  Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

61

  Dukungan/komitmen  pimpinan  instansi  pemerintah  terhadap  pengembangan  teknologi  informasi  ditunjukkan  dengan  menyediakan  sumber  daya  manusia  dan  pendanaan  yang  memadai terhadap upaya pengembangan tersebut.  5.

Pemantauan Pengendalian Intern  Pemantauan  merupakan  unsur  pengendalian  intern  yang  kelima  atau  terakhir.  Pemantauan Sistem Pengendalian Intern dilaksanakan melalui pemantauan berkelanjutan,  evaluasi  terpisah,  dan  tindak  lanjut  rekomendasi  hasil  audit  dan  review  lainnya.  Pemantauan berkelanjutan diselenggarakan melalui kegiatan pengelolaan rutin, supervisi,  pembandingan, rekonsiliasi, dan tindakan lain yang terkait dalam pelaksanaan tugas.   Evaluasi  terpisah  diselenggarakan  melalui  penilaian  sendiri,  review,  dan  pengujian  efektivitas  Sistem  Pengendalian  Intern  yang  dapat  dilakukan  oleh  aparat  pengawasan  intern  pemerintah  atau  pihak  eksternal  pemerintah  dengan  menggunakan  daftar  uji  pengendalian intern.  Tindak  lanjut  rekomendasi  hasil  audit  dan  review  lainnya  harus  segera  diselesaikan  dan  dilaksanakan sesuai dengan mekanisme penyelesaian rekomendasi hasil audit dan review  lainnya yang ditetapkan.  a.

Pemantauan Berkelanjutan (on‐going monitoring)  Pemantauan atas pengendalian intern  yang sedang berjalan menyatu pada kegiatan  rutin  dan  berulang.  Pemantauan  ini  mencakup  setiap  komponen  sistem  pengendalian  internal  dan  kegiatan  untuk  mencegah  terjadinya  kondisiyang  tidak  lazim,  tidak  etis,  tidak  ekonomis,  tidak  efisien  dan  tidak  efektif  dalam  pelaksanaan  kegiatan.  Kegiatan  monitoring  dalam  suatu  organisasi  merupakan  tangungjawab  seluruh jenjang organisasi namun dengan fokus yang berbeda‐beda, yaitu berikut.  1)

Bagi  pegawai,  fokus  pemantauan  adalah  untuk  mengetahui  bahwa  pekerjaan  dilaksanakan  sebagaimana  mestinya.  Setiap  pegawai  hendaknya  melakukan  pengecekan  terhadap  pekerjaan  sebelum  disampaikan  kepada  atasannya.  Penyimpangan pada tingkat ini segera dapat dideteksi. 

62 

 

2014 |Pusdiklatwas BPKP

  2)

Di  tingkat  penyelia,  pemantauan  dilakukan  atas  seluruh  kegiatan  di  bawah  kendalinya  guna  memastikan  bahwa  seluruh  pegawai  yang  ada  di  bawah  kendalinya telah melaksanakan tanggungjawabnya masing‐masing. 

3)

Pada  tingkat  manajer,  pemantauan  dilakukan  untuk  menilai  apakah  sistem  pengendalian intern telah berfungsi pada masing‐masing unit dalam organisasi  dan sejauhmana para penyelia telah melakukan pemantauan pada bagian yang  menjadi tanggung jawabnya. 

4)

Pada  tingkat  pimpinan  eksekutif,  fokus  pemantauan  adalah  pada  organisasi  dalam  lingkup  yang  menyeluruh,  yaitu  pemantauan  apakah  tujuan  organisasi  telah  tercapai.  Pimpinan  juga  melakukan  pemantauan  atas  keberadaan  tantangan dan peluang, baik dari sisi internal maupun eksternal yang mungkin  membutuhkan perubahan dalam perencanaan organisasi. 

Dalam  melakukan  pemantauan  pengendalian  intern,  hal‐hal  yang  menjadi  titik  perhatian adalah berikut.  1)

Pimpinan memiliki strategi untuk memastikan bahwa monitoring yang sedang  berjalan  efektif  dan  melaksanakan  evaluasi  terpisah  apabila  terjadi  keadaan  kritis. 

2)

Dalam  kegiatan  rutin,  terdapat  informasi  yang  menggambarkan  apakah   pengendalian internal berfungsi dengan baik. 

3)

Komunikasi  dengan  pihak  luar  dikonfirmasikan  dengan  data  intern  yang  dimiliki organisasi. 

4)

Struktur  organisasi  yang  sesuai  kebutuhan  dan  adanya  supervisi  untuk  mengawasi fungsi  pengendalian internal. 

5)

Terdapat pembandingan data yang dicatat dengan fisiknya secara periodik. 

6)

Terdapat  respon  yang  segera  terhadap  rekomendasi  auditor  ekstern  dan  intern sebagai alat untuk memperkuat  pengendalian internal.  

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

63

  7)

Pertemuan  rutin  pimpinan  denganstaf  dan  pelaksanaan  pelatihan  digunakan  untuk memperoleh umpan balik untuk mengetahui apakah pengendalian telah  berjalan efektif. 

8)

Terdapat  pemantauan  secara  teratur  kepada  seluruh  karyawan  untuk  mengetahui  tingkat  pemahaman  dan  kepatuhan  terhadap  aturan  perilaku  yangberlaku. 

9)

Terdapat efektivitas kegiatan audit internal. 

  b.

Evaluasi yang Terpisah (separate evaluations)  Evaluasi  terpisah  adalah  penilaian  secara  periodik  atas  kinerja  organisasi  dibandingkan  dengan  standar  pengukuran  yang  ada  atau  yang  telah  disepakati.  Ruang lingkup dan frekuensi evaluasi yang terpisah bergantung pada penilaian risiko  dan  efektivitas  prosedur  pemantauan  yang  sedang  diterapkan.  Evaluasi  ini  bermanfaat  untuk  memusatkan  secara  langsung  kepada  efektivitas  pengendalian  pada suatu waktu tertentu dan dapat berbentuk penilaian mandiri (self assessment).  Semua  penyimpangan  yang  dijumpai  dalam  pemantauan  pengendalian  intern  ini  baik  yang  sedang  berlangsung  maupun  yang  telah  berjalan  harus  dikomunikasikan  kepada pihak yang terkait untuk mengambil tindakan perbaikan.   Dalam melakukan evaluasi terpisah, perlu memperhatikan hal‐hal sebagai berikut.  1)

Ruang  lingkup  dan  frekuensi  evaluasi  yang  terpisah  terhadap  sistem  pengendalian intern. 

2)

Terdapat  metode  yang  logis  dan  sesuai  kebutuhan  untuk  mengevaluasi  pengendalian intern. 

3)

Bila evaluasi terpisah dilakukan oleh auditor internal maka harus dilaksanakan  oleh  sumber  daya  manusia  yang  memiliki  kemampuan  yang  memadai  dan  independen. 

4)

64 

Kelemahan yang ditemukan selama evaluasi terpisah segera diatasi. 

 

2014 |Pusdiklatwas BPKP

  Tindak lanjut atas temuan audit dilakukan untuk memastikan bahwa temuan audit  dan  review  lainnya  segera  diselesaikan.  Hal‐hal  yang  harus  dilakukan  organisasi  dalam tindak lanjut atas temuan audit adalah sebagai berikut.  1)

Organisasi  memiliki  mekanisme  untuk  memastikan  adanya  penyelesaian  atas  temuan hasil audit dan review lainnya dengan segera. 

2)

Pimpinan organisasi tanggap atas temuan‐temuan dan rekomendasi audit dan  review lainnya yang bertujuan memperkuat sistem pengendalian internal. 

3)

Organisasi  melakukan  tindak  lanjut  yang  sesuai  dengan  temuan  dan  rekomendasi audit serta review lainnya.  

Dalam  tahap  penyelenggaraan  SPIP,  langkah‐langkah  penyelenggaraan  SPIP  didasarkan  pada  kerangka  pemikiran  siklus  penyelenggaraan  SPIP  sebagaimana  terlihat  pada  gambar  4.3.  Meskipun  dengan  menggunakan  pendekatan  siklus,  pembangunan SPIP tidak secara kaku harus selalu mulai dari satu tahapan tertentu  karena dengan siklus penyelenggaraan SPIP maka tahapan akan selalu berputar dan  kembali pada suatu tahapan yang sama secara terus menerus dengan mendasarkan  seluruh siklus pada dokumen yang disebut rencana tindak pengendalian (RTP). Siklus  penyelenggaraan  SPIP,  diharapkan  secara  kontinyu  akan  dapat  mengintegrasikan  SPIP  ke  dalam  proses‐proses  penyelenggaraan  pemerintahanPenyelenggaraan  sistem  pengendalian  intern  pemerintah  (SPIP)  harus  disesuaikan  dengan  karakteristik  setiap  instansi,  yang  meliputi  tugas  dan  fungsi  utama  instansi,  sifat,  tujuan,  dan  kompleksitas,  serta  risiko‐risiko  yang  dihadapi  oleh  masing‐masing  instansi. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

65

 

Gambar 4.3  Siklus Penyelenggaraan SPIP   

C.

 

KETERBATASAN PENGENDALIAN INTERN 

Beberapa  hal  merupakan  keterbatasan    dan  dapat  mengakibatkan  kegagalan  suatu  sistem  pengendalian.  Kegagalan  yang  sering  terjadi  dalam  sistem  pengendalian  intern  antara  lain  dikarenakan hal‐hal sebagai berikut :  1.

Pertimbangan yang kurang matang  Efektivitas pengendalian dibatasi dengan adanya keterbatasan manusia itu sendiri dalam  pengambilan  keputusan.  Keputusan  yang  diambil  sangat  dipengaruhi  oleh  beberapa  pertimbangan atas waktu yang tersedia, informasi yang dimiliki dan tekanan yang berasal  dari  lingkungan  tertentu.  Ada  kalanya  bahwa  beberapa  keputusan  yang  diambil  secara  demikian ini akan memberikan hasil yang kurang efektif dari yang diharapkan sebelumnya.     

66 

 

2014 |Pusdiklatwas BPKP

  2.

Gagal menterjemahkan suatu perintah  Walaupun sistem pengendalian intern telah dirancang dengan baik, sistem tersebut masih  mungkin mengalami kegagalan. Kegagalan dalam hal ini diakibatkan adanya pegawai yang  mungkin menyalahartikan suatu perintah.  Mereka  membuat  pertimbangan  yang  salah  atau  membuat  kesalahan  sebagai  akibat  ketidaktahuan,  keteledoran,  ataupun  kealpaan.  Kegagalan  sistem  ini  akan  lebih  besar  pengaruhnya  jika  yang  membuat  kesalahan  adalah  seorang  pimpinan,  karena  secara  otomatis akan berdampak pada pengambilan keputusan pimpinan di bawahnya. 

3.

Pengabaian Manajemen  Pengendalian  intern    hanya  dapat  berjalan  secara  efektif  jika  masing‐masing  pelaksana  dari atas sampai ke bawah melaksanakan tugas dan fungsinya sesuai dengan kewenangan  dan  tanggung  jawabnya.  Meskipun  suatu  organisasi  memiliki  sistem  pengendalian  yang  memadai,      jika  salah  satu  atau  beberapa  dari  unsur  pimpinan  atau  pelaksana,  mengabaikan  pengendalian  tersebut  akan    mengakibatkan  tidak  efektifnya  sistem  pengendalian  yang bersangkutan.  Istilah  “pengabaian  manajemen”  ini  ditujukan  pada  tindakan  manajemen  yang  mengabaikan  pengendalian  dengan  tujuan  untuk  kepentingan  pribadi  atau  untuk  meningkatkan  penyajian  kondisi  laporan  kegiatan  atau  keuangan  organisasi  yang  bersangkutan.   Seorang  pimpinan  unit  atau  bahkan  pimpinan  suatu  organisasi,  mungkin  mengabaikan  sistem  pengendalian  dengan  berbagai  alasan,  misalnya  meningkatkan  laporan  kegiatan/kinerja  organisasi  untuk  menutupi  terjadinya  ketidaktepatan  dalam  pencapaian  target  yang  telah  ditentukan,  meningkatkan  laporan  pendapatan  untuk  memenuhi  anggaran  pendapatan  yang  tidak  realistis,  untuk  memenuhi  proyeksi  pendapatan  guna  mendukung  laporan  realisasi  pendapatan  secara  keseluruhan,  atau  bahkan  untuk  menyembunyikan adanya tindakan melawan hukum/ketentuan yang berlaku.   Praktik‐praktik pengabaian sistem pengendalian intern ini juga termasuk penyalahgunaan  data/laporan  kepada  Bank,  Konsultan  Hukum,  Instansi  Pengawasan,  Pemasok  dan  sebagainya dengan cara menerbitkan dokumen palsu. Istilah “pengabaian pengawasan” di 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

67

  sini  berbeda  dengan  istilah  “intervensi  manajemen”  yang  merupakan  tindakan  manajemen  mengabaikan/mengesampingkan  kebijakan  atau  prosedur  yang  ada,  tetapi  justru  ditujukan  untuk  kepentingan  organisasi.  Intervensi  manajemen  diperlukan  untuk  mengatasi  adanya  kejadian/transaksi  yang  tidak  biasa  dan  tidak  akan  mengakibatkan  kerugian  bagi  organisasi  jika  ditangani  dengan  tidak  tepat  melalui  sistem  pengendalian.  Hal ini karena tidak ada satu sistem pun yang dapat dirancang untuk mengantisipasi setiap  kondisi yang terjadi atau akan terjadi secara mendadak.  4.

Kolusi  Terjadinya kolusi dari dua pihak atau lebih dapat mengakibatkan kegagalan dalam sistem  pengendalian  intern.  Para  pelaku  melakukan  perubahan  atau  menyembunyikan  data  keuangan  atau  informasi  manajemen  lainnya  dengan  suatu  cara  yang  tidak  dapat  diidentifikasikan oleh pengawasan melekat.   Kolusi antara pegawai yang memiliki kewenangan penting dengan pemasok atau pegawai  lainnya,  dapat  dicontohkan  sebagai  berikut:  pemasok  memberikan  barang  yang  dipesan  dengan kualitas/ kuantitas yang berbeda tetapi dinyatakan dalam faktur penagihan sesuai  dengan  yang  dipesan.  Di  lain  pihak,  si  penerima  barang  memproses  penerimaan  barang  tersebut seolah‐olah telah diterima sesuai dengan kualitas/kuantitas yang dipesan. 

D.

PERKEMBANGAN TERKINI KONSEP PENGENDALIAN INTERN 

Pada tanggal 14 Mei 2013, COSO mempublikasikan Kerangka Pengendalian Intern Terintegrasi  yang telah diperbarui (COSO Internal Control Integrated Framework 2013, dikenal dengan COSO  2013).  Dengan  tetap  menggunakan  pendekatan  prinsipil,  kerangka  terbaru  ini  menyediakan  tuntunan  yang  lebih  terperinci  dalam  mengilustrasikan  dan  menjelaskan  konsep‐konsep  yang  ada  dengan  tujuan  untuk  membantu  organisasi  beradaptasi  dengan  lingkungan  bisnis  yang  semakin kompleks dan terus berubah dengan cepat.  Latar  belakang  meng‐update  Original  Framework  COSO’s  Internal  Control–Integrated  Framework (1992 Edition) yang sudah baik dan diadopsi di seluruh dunia adalah:  1.

Lingkungan  bisnis  dan  operasional  berubah  sangat  cepat,  menjadi  semakin  kompleks,  technology driven, dan global 

68 

 

2014 |Pusdiklatwas BPKP

  2.

Ekspektasi yang besar terhadap governance 

3.

Stakeholders lebih terlibat, menginginkan transparansi dan akuntabilitas 

4.

Meningkatnya  ekspektasi  akan  penilaian  risiko  di  semua  tingkat  organisasi  (keuangan,  operasi, regulasi, IT) 

5.

Kompleksitas  dalam  undang‐undang,  peraturan  dan  standar  telah  meningkat  secara  signifikan  

6.

Telah terjadi kerusakan dalam skala besar terhadap tata kelola dan pengendalian internal  dalam 20 tahun terakhir 

7.

Adanya ekspektasi yang besar terkait pencegahan dan deteksi fraud di setiap tingkatan 

8.

Permintaan akan pelaporan internal dan eksternal yang update dan bermutu 

Berikut ini perbandingan antara COSO 1992 dan COSO 2013. 

                     

 

Gambar 4.4  Perbandingan COSO 1992 dan COSO 2013 

     

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

69

  Beberapa hal baru yang diakomodasi dalam COSO 2013 adalah:  1.

Perluasan  ruang  lingkup  dari  tujuan  pelaporan,  bukan  hanya  pelaporan  informasi  keuangan 

2.

Mempertimbangkan perubahan dalam lingkungan bisnis dan operasional 

3.

Formalisasi konsep dasar dalam COSO 1992 menjadi 17 prinsip 

4.

Adanya  titik  fokus  (points  of  focus)  yang  menyoroti  karakteristik  penting  dari  masing‐ masing prinsip 

5.

Tambahan pendekatan dan contoh‐contoh yang relevan dari tujuan operasi, compliance,  dan nonfinancial reporting 

6.

Pertimbangan  eksplisit  penyedia  layanan  outsourcing  dan  pihak  ketiga  lainnya  yang  mempengaruhi pengendalian internal 

7.

Pertimbangan yang eksplisit tentang potensi fraud dalam penilaian risiko 

8.

Pentingnya  peran  judgement  dalam  desain,  implementasi,  dan  dalam  mengassess  efektivitas pengendalian internal 

9.

Prinsip spesifik terkait dengan teknologi informasi 

Ada  17  prinsip  dari  komponen‐komponen  pengendalian  internal  dalam  COSO  2013  seperti  dijabarkan berikut. 

 

 

 

 

70 

 

2014 |Pusdiklatwas BPKP

     

 

Lingkungan  Pengendalian 

 

1.

4. 5.

Menunjukkan komitmen terhadap integritas dan  nilai‐nilai etika  Melakukan pengawasan yang bertanggung jawab  Menetapkan struktur, wewenang dan tanggung  jawab  Menunjukkan komitment terhadap kompetensi  Menegakkan akuntabilitas  

6. 7. 8. 9.

Menentukan tujuan yang sesuai  Identifikasi dan analisis risiko  Penilaian risiko atas fraud  Identifikasi dan analisis perubahan yang signifikan  

2. 3.

 

     

 

 

Penilaian Risiko   

   

 

 

Kegiatan   Pengendalian 

10. Pemilihan dan pengembangan kegiatan pengendalian   11. Pemilihan dan pengembangan pengendalian terhadap  terknologi  12. Implementasi melalui kebijakan dan prosedur  

Informasi dan  Komunikasi 

13. Menggunakan informasi yang relevan   14. Komunikasi secara internal  15. Komunikasi secara eksternal 

Pemantauan 

16. Melakukan evaluasi berkelanjutan dan/atau terpisah  17. Mengevaluasi dan mengkomunikasikan ‘deficiencies’  (kelemahan) 

               

Sumber: COSO Internal Control ‐ Integrated Framework 2013, diolah. 

  Tabel 4.1   Prinsip Pengendalian Intern COSO 2013 

 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

71

     

72 

 

2014 |Pusdiklatwas BPKP

 

Bab V  AUDITOR INTERN DAN TATA KELOLA‐   MANAJEMEN RISIKO‐ PENGENDALIAN      Indikator Keberhasilan   Setelah mengikuti pemelajaran ini diharapkan peserta diklat memiliki pengetahuan mengenai  hubungan keterkaitan tata kelola, manajemen risiko dan pengendalian internal.    

  Kesadaran  pimpinan  instansi  terhadap  pentingnya  tata  kelola,  amnajemen  risiko  dan  pengendalian intern merupakan faktor penting dalam mengarahkan organisasi dalam mencapai  tujuan  dan  sasaran  yang  sudah  ditetapkan.  Pimpinan  instansi  sangat  perlu  membangun  tata  kelola  organisasi  yang  efektif  dan  efisien  dalam  mengalokasikan  sumber  daya  organisasi  yang  dikelolanya.  Di  samping  itu,  pimpinan  instansi  perlu  menyatakan  kebijakannya  secara  tertulis  tentang  pengelolaan  risiko  yang  mencakup  tujuan  dan  komitmennya  terhadap  pengelolaan  risiko. Kebijakan ini harus relevan dnegan konteks strategis, tujuan, sasaran, serta sifat kegiatan  instansi. 

Manajemen 

harus 

memastikan 

bahwa 

kebijakan 

tersebut 

dipahami, 

diimplementasikan, dan dipelihara pada setiap level pejabat/ pegawai.  Melalui Peraturan pemerintah Nomor 60 Tahun 2008, pemerintah telah mengamanatkan agar  setiap pimpinan instansi pemerintah untuk menerapkan Sisten Pengendalian Intern Pemerintah  (SPIP)  sebagai  proses  yang  integral  pada  tindakan  dan  kegiatan  yang  dilakukan  secara  terus  menerus  oleh  pimpinan  dan  seluruh  pegawai  untuk  memberikan  keyakinan  memadai  atas  tercapainya  tujuan  organisasi  melalui  kegiatan  yang  efektif  dan  efisien,  keandalan  pelaporan  keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan perundang‐undangan. 

A.

HUBUNGAN ANTARA TATA KELOLA‐MANAJEMEN RISIKO‐PENGENDALIAN  

Sebagai  kombinasi  proses  dan  struktur  yang  diterapkan  oleh  manajemen  untuk  menginformasikan, mengarahkan, mengelola, dan memantau kegiatan organisasi dalam rangka  pencapaian tujuan, tata kelola bukanlah merupakan himpunan proses dan struktur yang berdiri  sendiri, terpisah dari sistem lainnya. Tata kelola juga memiliki keterkaitan dengan manajemen  risiko dan juga pengendalian intern. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

73

  Aktivitas  tata  kelola  yang  efektif  mempertimbangkan  risiko  pada  saat  menyusun  strategi.  Sebaliknya,  manajemen  risiko  didasarkan  pada  tata  kelola  yang  efektif  (misalnya,  tone  at  the  top,  selera  risiko  dan  toleransi  risiko,  budaya  risiko,  dan  pengawasan  manajemen  risiko).  Tata  kelola  yang  efektif  juga  bergantung  pada  pengendalian  intern  dan  komunikasi  efektivitas  pengendalian‐pengendalian tersebut kepada manajemen.  Manajemen  risiko  yang  efektif  merupakan  salah  satu  elemen  penting  dari  tata  kelola  pemerintahan yang baik (good governance). Sementara itu, pengendalian dan risiko juga saling  terkait,  mengingat  pengendalian  merupakan  “setiap  tindakan  yang  diambil  oleh  manajemen  dan  pihak‐pihak  lain  untuk  mengelola  risiko  dan  meningkatkan  kemungkinan  bahwa  sasaran  yang ditetapkan akan dapat dicapai.”  Dari sudut PP No. 60 Tahun 2008, hubungan antara tata kelola, pengendalian intern dan risiko  dapat digambarkan sebagai berikut. 

    Gambar 5.1  Hubungan GRC menurut PP Nomor 60 Tahun 2008   

Dari  gambar  tersebut  di  atas  terlihat  bahwa  risiko  (dalam  hal  ini  ditekankan  kepada  penilaian  risiko)  merupakan  bagian  dari  sistem  pengendalian  intern,  dan  sistem  pengendalian  intern  tersebut merupakan bagian integral dari tata kelola organisasi.  Perkembangan terkini terkait manajemen risiko memberikan suatu wacana baru, sebagaimana  menurut IIA, yang dapat digambarkan sebagai berikut. 

74 

 

2014 |Pusdiklatwas BPKP

 

  Gambar 5.2  Hubungan GRC menurut IIA 

 

  Gambar  5.2  menunjukkan  bahwa  tata  kelola  melingkupi  seluruh  aktivitas  dalam  organisasi.  Struktur tata kelola haruslah sejalan dengan peraturan dan regulasi dimana organisasi tersebut  beroperasi. Tata kelola juga harus dapat memastikan bahwa kebutuhan stakeholder terpenuhi.  Manajemen  risiko  adalah  lapisan  berikutnya  dalam  struktur  tata  kelola.  Manajemen  risiko  dimaksudkan untuk:   1.

mengidentifikasi dan memitigasi risiko yang dapat mempengaruhi keberhasilan organisasi,  dan  

2.

memanfaatkan peluang yang memungkinkan tercapainya keberhasilan organisasi.   

Manajemen harus mengembangkan strategi terbaik dalam mengelola risiko‐risiko utama serta  peluang‐peluang  yang  ada.  Kegiatan  manajemen  risiko  tidak  boleh  keluar  dari  struktur  tata  kelola.  Pengendalian  intern  digambarkan  sebagai  pusat  karena  sistem  pengendalian  intern  merupakan  sebuah  bagian  (subset),  namun  bagian  yang  tidak  terpisahkan,  dari  kegiatan  manajemen risiko yang lebih luas. Respon risiko, dimana di dalamnya termasuk pengendalian,  didesain untuk mengeksekusi srategi manajemen risiko. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

75

  B.

PERAN  AUDIT  INTERNAL  DALAM  TATA  KELOLA–MANAJEMEN  RISIKO– PENGENDALIAN  

Aparat Pengawasan Intern Pemerintah (APIP) adalah instansi pemerintah yang dibentuk dengan  tugas melaksanakan pengawasan intern di lingkungan pemerintah pusat dan/atau pemerintah  daerah,  yang  terdiri  dari  Badan  Pengawasan  Keuangan  dan  Pembangunan  (BPKP),  inspektorat  jenderal/inspektorat/unit  pengawasan  intern  pada  kementerian/kementerian  negara,  inspektorat  utama/inspektorat  lembaga  pemerintah  non  kementerian,  inspektorat/unit  pengawasan  intern  pada  kesekretariatan  lembaga  tinggi  negara  dan  lembaga  negara,  inspektorat  provinsi/kabupaten/kota,  dan  unit  pengawasan  intern  pada  badan  hukum  pemerintah lainnya sesuai dengan peraturan perundang‐undangan  Peran  Aparat  Pengawasan  Intern  Pemerintah  (APIP)  semakin  lama  semakin  strategis  dan  bergerak  mengikuti  kebutuhan  zaman.  APIP  diharapkan  menjadi  agen  perubahan  yang  dapat  menciptakan  nilai  tambah  pada  produk  atau  layanan  instansi  pemerintah.  APIP  sebagai  pengawas intern pemerintah merupakan salah satu unsur manajemen pemerintah yang penting  dalam rangka mewujudkan kepemerintahan yang baik (good governance) yang mengarah pada  pemerintahan/birokrasi yang bersih (clean government).   Reformasi birokrasi bertujuan untuk menciptakan birokrasi pemerintah yang profesional dengan  karakteristik  adaptif,  berintegritas,  berkinerja  tinggi,  bersih  dan  bebas  korupsi,  kolusi  dan  nepotisme, mampu melayani publik, netral, sejahtera, berdedikasi, dan memegang teguh nilai‐ nilai dasar dan kode etik aparatur negara. Untuk mencapai tujuan reformasi birokrasi tersebut  diperlukan peran APIP yang efektif, yaitu dalam wujud:   1.

memberikan keyakinan yang memadai atas ketaatan, kehematan, efisiensi, dan efektivitas  pencapaian  tujuan  penyelenggaraan  tugas  dan  fungsi  Instansi  Pemerintah  (assurance  activities);  

2.

memberikan  peringatan  dini  dan  meningkatkan  efektivitas  manajemen  risiko  dalam  penyelenggaraan tugas dan fungsi Instansi Pemerintah (anti corruption activities); dan  

3.

memberikan  masukan  yang  dapat  memelihara  dan  meningkatkan  kualitas  tata  kelola  penyelenggaraan tugas dan fungsi Instansi Pemerintah (consulting activities).   

76 

 

2014 |Pusdiklatwas BPKP

  Menurut Standar Audit Intern Pemerintah Indonesia, audit intern didefinisikan sebagai kegiatan  yang  independen  dan  objektif  dalam  bentuk  pemberian  keyakinan  (assurance  activities)  dan  konsultansi  (consulting  activities),  yang  dirancang  untuk  memberi  nilai  tambah  dan  meningkatkan operasional sebuah organisasi (auditee). Kegiatan ini menolong organisasi [auditi]  mencapai tujuannya dengan cara menggunakan pendekatan yang sistematis dan teratur untuk  menilai dan meningkatkan efektivitas dari proses manajemen risiko, kontrol (pengendalian), dan  tata kelola (sektor publik).   Audit  intern  telah  mengalami  evolusi  yang  pesat  hingga  saat  ini.  Hal  ini  dipicu  oleh  berbagai  event  risiko  baik  kecil  maupun  besar  yang  terjadi  secara  global,  mulai  dari  kasus  Enron  dan  Worldcom, hingga krisis keuangan global, yang semakin memperkuat pentingnya fungsi internal  audit.  Risiko  yang  bervariasi,  dan  juga  semakin  kompleks  seiring  berkembangnya  sistem  keuangan saat ini, menjadikan peran internal audit yang kuat semakin diperlukan.  Audit  interl  semula  berorientasi  pada  bidang  akuntansi  menjadi  berorientasi  pada  bidang  manajemen.  Fokus  audit  internal  telah  mengalami  pergeseran  (perubahan).  Pada  masa  lalu  fokus  utama  peran  auditor  intern  sebagai  'watchdog',sehingga  membuat  perannya  kurang  disukai kehadirannya oleh unit organisasi lain. Hal ini mungkin merupakan konsekuensi logis dari  profesi  internal  auditor  yang  tugasnya  memang  tidak  dapat  dilepaskan  dari  fungsi  audit,  yaitu  antara  pemeriksa  (auditor)  dan  pihak  yang  diperiksa  (auditee)  berada  pada  posisi  yang  saling  berhadapan.  Pada  saat  ini  proses  auditing  modern  telah  bergeser  sebagai  'konsultan  intern'  (intemal consultant) yang memberi masukan (input) untuk perbaikan (improvement) atas sistem  yang  telah  ada  serta  berperan  sebagai  katalis  (catalyst).  Peran  konsultan  membawa  internal  auditor  untuk  selalu  meningkatkan  pengetahuan  dan  ketrampilan  (skill  and  knowledge)  baik  tentang  profesi  auditor  maupun  aspek  bisnis  (business  object),  sehingga  diharapkan  dapat  membantu manajemen dalam memecahkan suatu masalah.  Kemampuan  untuk  merekomendasikan  pemecahan  suatu  masalah  (problem  solver)  bagi  internal auditor dapat diperoleh melalui pengalaman bertahun‐tahun melakukan audit berbagai  fungsi/bagian  di  organisasi.  Selain  sebagai  konsultan,  auditor  intern  harus  mampu  berperan  sebagai katalisator yaitu memberikan jasa kepada manajemen melalui saran‐saran yang bersifat  konstruktif  dan  dapat  diaplikasikan  bagi  perkembangan  perusahaan.  Katalis  adalah  suatu  zat  yang  berfungsi  untuk  mempercepat  reaksi  namun  tidak  ikut  reaksi.  Sehingga  apabila  internal  auditor  diibaratkan  sebagai  katalis,  internal  auditor  tidak  ikut  dalam  kegiatan  operasional 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

77

  perusahaan,  namun  turut  serta  bertanggungiawab  dalam  meningkatkan  kinerja  perusahaan  melalui rekomendasi yang disampaikaan kepada manajemen operasional.  Sesuai  dengan  Standar  Pelaksanaan  Audit  Intern  Paragraf  3000,  kegiatan  audit  intern  yang  dilakukan  oleh  APIP  haruslah  menambah  nilai  auditi  (dan  pemangku  kepentingan)  ketika  memberikan jaminan objektif dan relevan, dan berkontribusi terhadap efektifitas dan efisiensi  proses  tata  kelola,  manajemen  risiko,  dan  pengendalian  dengan  menggunakan  pendekatan  sistematis dan disiplin.  Proses  tata  kelola  sektor  publik,  manajemen  risiko,  dan  pengendalian  intern  masing‐masing  tidak  didefinisikan  secara  terpisah  dan  berdiri  sendiri  sebagai  suatu  proses  dan  struktur,  melainkan  memiliki  hubungan  antara  proses  tata  kelola  sektor  publik,  manajemen  risiko,  dan  pengendalian  intern.  Oleh  karena  itu,  Auditor  harus  mengevaluasi  proses  tata  kelola  sektor  publik,  manajemen  risiko,  dan  pengendalian  intern  auditi  secara  keseluruhan  sebagai  satu  kesatuan yang tidak dipisahkan.  Terkait tata kelola, sesuai Standar Pelaksanaan Audit Intern Paragraf 3110, yang menyebutkan  bahwa  peran  kegiatan  audit  intern,  sebagaimana  definisi  audit  intern,  mencakup  tanggung  jawab untuk mengevaluasi dan mengembangkan proses tata kelola sektor publik sebagai bagian  dari  fungsi  assurance.  Kegiatan  audit  intern  harus  dapat  mengevaluasi  dan  memberikan  rekomendasi  yang  sesuai  untuk  meningkatkan  proses  tata  kelola  sektor  publik  dalam  pemenuhan atas tujuan‐tujuan berikut:   1.

mendorong penegakan etika dan nilai‐nilai yang tepat dalam organisasi auditi;  

2.

memastikan akuntabilitas dan kinerja manajemen auditi yang efektif;  

3.

 mengomunikasikan informasi risiko dan pengendalian ke area‐area organisasi auditi yang  tepat; dan  

4.

mengoordinasikan  kegiatan  dan  mengomunikasikan  informasi  di  antara  pimpinan  kementerian/lembaga/pemerintah  daerah,  auditor  ekstern  dan  intern,  serta  manajemen  auditi.  

Disebutkan juga bahwa kegiatan audit intern harus mengevaluasi rancangan, implementasi, dan  efektivitas  etika  organisasi  terkait  sasaran,  program,  dan  kegiatan,  serta  harus  menilai  pula  apakah tata kelola teknologi informasi auditi mendukung strategi dan tujuan auditi. 

78 

 

2014 |Pusdiklatwas BPKP

  Dalam  hal  manajemen  risiko,  peran  audit  intern  dijelaskan  dalam  Standar  Pelaksanaan  Audit  Intern  Paragraf  3120,  dimana  kegiatan  audit  intern  harus  dapat  mengevaluasi  efektivitas  dan  berkontribusi terhadap perbaikan proses manajemen risiko. Untuk menentukan apakah proses  manajemen  risiko  adalah  efektif  yaitu  melalui  hasil  pertimbangan  (judgement)  dari  penilaian  auditor bahwa:   1.

tujuan auditi telah mendukung dan sejalan dengan visi dan misi auditi;  

2.

risiko yang signifikan telah diidentifikasi dan dinilai;  

3.

 tanggapan risiko yang tepat telah dipilih untuk menyelaraskan risiko dengan risk appetite  (selera risiko) auditi; dan  

4.

informasi risiko yang relevan telah dipetakan dan dikomunikasikan secara tepat waktu di  seluruh  auditi,  yang  memungkinkan  staf,  manajemen  auditi,  dan  pimpinan  auditi  untuk  melaksanakan tanggung jawab masing‐masing.  

Proses  manajemen  risiko  dimonitor  melalui  kegiatan  manajemen  yang  berkelanjutan,  evaluasi  terpisah,  atau  keduanya.  Kegiatan  audit  intern  harus  dapat  mengevaluasi  potensi  terjadinya  fraud dan bagaimana auditi mengelola risiko fraud. Selama penugasan consulting, auditor harus  mengatasi  risiko  sesuai  dengan  tujuan  penugasan  dan  waspada  terhadap  adanya  risiko  signifikan  lainnya.  Auditor  harus  memasukkan  pengetahuan  tentang risiko  yang  diperoleh  dari  penugasan  consulting  ke  dalam  evaluasi  proses  manajemen  risiko  auditi.  Ketika  membantu  manajemen  dalam  membangun  atau  meningkatkan  proses  manajemen  risiko,  auditor  harus  menahan diri untuk mengambil alih fungsi dan tanggung jawab manajemen.  Sedangkan  untuk  pengendalian  intern,  Standar  Pelaksanaan  Audit  Intern  Paragraf  3130  menyatakan  bahwa  kegiatan  audit  intern  harus  dapat  membantu  auditi  dalam  mempertahankan dan memperbaiki pengendalian yang efektif dengan mengevaluasi efektivitas  dan  efisiensi  serta  dengan  mendorong  perbaikan  terus‐menerus.  Kegiatan  audit  intern  harus  mengevaluasi  kecukupan  dan  efektivitas  pengendalian  intern  pemerintah  dalam  menanggapi  risiko tata kelola auditi, operasi, dan sistem informasi mengenai:   1.

pencapaian tujuan strategis auditi;  

2.

keandalan dan integritas informasi keuangan dan operasional;  

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

79

  3.

efektivitas dan efisiensi operasi dan program;  

4.

pengamanan aset; dan  

5.

kepatuhan terhadap hukum, peraturan, kebijakan, prosedur, dan kontrak Asosiasi Auditor  Intern Pemerintah Indonesia (AAIPI). 

Menurut  IIA,  audit  internal  harus  memberikan  ‘value’  bagi  stakeholders.  Tiga  elemen  penting  dari value yang diberikan audit intern bagi organisasi adalah:   1.

assurance,  

2.

insight, dan  

3.

objectivity.  

Ketiga hal tersebut dapat digambarkan sebagai berikut: 

  Gambar 5.3   Internal Auditing = Assurance, Insight and Objectivity   

Organisasi mengandalkan audit internal atas jaminan (assurance) yang objektif serta informasi  dan  pandangan  mengenai  efektivitas  serta  efisiensi  proses  tata  kelola,  manajemen  risiko  dan  pengendalian  internal.  Audit  internal  memberikan  jaminan  tentang  tata  kelola  organisasi,  manajemen  risiko,  dan  proses  pengendalian  untuk  membantu  organisasi  mencapai  tujuan  strategis, operasional, keuangan, dan kepatuhan, sebagaimana digambarkan berikut ini. 

80 

 

2014 |Pusdiklatwas BPKP

 

  Gambar 5.4   ASSURANCE = Governance, Risk and Control   

Audit  internal  juga  merupakan  katalis  untuk  meningkatkan  efektivitas  dan  efisiensi  organisasi  dengan  memberikan  wawasan  dan  rekomendasi  berdasarkan  analisis  dan  penilaian  data  dan  proses bisnis, sebagaimana gambar di bawah ini. 

  Gambar 5.5   INSIGHT = Catalyst, Analyses, and Assessments   

Dan dengan komitmen untuk integritas dan akuntabilitas, audit internal juga memberikan value  kepada  organisasi  sebagai  sumber  yang  objektif  berupa  saran‐saran  yang  independen  atas  proses  tata  kelola,  manajemen  risiko  dan  pengenalian  internal  organisasi,  sebagaimana  digambarkan di bawah ini. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

81

 

  Gambar 5.6  OBJECTIVITY = Integrity, Accountability, and Independence 

               

82 

 

2014 |Pusdiklatwas BPKP

 

Bab VI  PEMANTAUAN DAN EVALUASI      Indikator Keberhasilan   Setelah mengikuti pemelajaran ini diharapkan peserta diklat memiliki pengetahuan mengenai   prinsip­prinsip pemantauan dan evaluasi atas efektivitas manajemen risiko,   pengendalian internal, dan proses tata kelola organisasi    

  Pemantauan  dan  evaluasi  merupakan  hal  yang  harus  dilaksanakan  dalam  pelaksanaan  suatu  kebijakan,  program  maupun  kegiatan.  Mengapa  pemantauan  dan  evaluasi  merupakan  suatu  keharusan? Berikut adalah alasannya.  ƒ

Review perkembangan/progress. 

ƒ

Identifikasi masalah dalam perencanan dan/atau implementasi. 

ƒ

Membuat penyesuaian yang dapat membuat “perbedaan.” 

ƒ

Membantu mengidentifikasi masalah dan penyebabnya. 

ƒ

Memberikan berbagai kemungkinan solusi dalam menyelesaikan masalah. 

ƒ

Memunculkan pertanyaan mengenai asumsi dan strategi. 

ƒ

Mencerminkan tujuan yang akan dicapai dan bagaimana mencapainya. 

ƒ

Memberikan informasi dan pengetahuan mendalam. 

ƒ

Meningkatkan kemungkinan dalam membuat perubahan pembangunan yang positif. 

Ada beberapa perbedaan mendasar antara pemantauan dan evaluasi. Pemantauan (monitoring)  adalah prosedur penilaian yang secara deskriptif dimaksudkan untuk mengidentifikasi dan/atau  mengukur  pengaruh  dari  kegiatan  yang  sedang  berjalan  (on‐going)  tanpa  mempertanyakan  hubungan  kausalitas.  Pemantauan  adalah  bagian  dari  kegiatan  manajemen  untuk  mengamati  atau  meninjau  kembali/mempelajari  serta  mengawasi  secara  terus  menerus  atau  berkala  terhadap  pelaksanaan  program/kegiatan  yang  sedang  berjalan  yang  dilakukan  oleh  pengelola 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

83

  program/kegiatan  dan  dilaksanakan  di  setiap  tingkatan.  Pemantauan  dilakukan  untuk  menyediakan  informasi  apakah  kebijakan  atau  kegiatan  diimplementasikan  sesuai  rencana  dalam  upaya  mencapai  tujuan.  Pemantauan  merupakan  alat  manajemen  yang  efektif  karena  jika  dalam  pengimplementasian  kebijakan  berbeda  dari  rencana  maka  pemantauan  dapat  mengidentifikasi dimana letak masalahnya untuk kemudian dicari penyelesaiannya.  Sedangkan  evaluasi  berfungsi  untuk  melihat  dampak  dengan  mengisolasi  efek  dari  suatu  intervensi. Pada  pelaksanaanya evaluasi memerlukan data dan metodologi yang lebih komplek  dari  pemantauan.  Evaluasi  sendiri  dapat  berupa  dampak  apakah  kebijakan  mencapai  tujuan  awal,  proses  bagaimana  kebiajakan  dilaksanakan  dan  apa  saja  keuntungan  yang  diterima  oleh  peserta  atau  analisa  biaya  dari  program  itu  sendiri.  Untuk  mendapatkan  evaluasi  yang  baik  diperlukan data baseline sebagai acuan dan melakukan perencanaan evaluasi sejak awal seperti  menetapkan  tujuan,  metodologi,  jadwal,  dan  pembiayaan.  Metode  yang  paling  baik  dalam  evaluasi adalah kombinasi dari metode kuntitatif dan kualitatif. 

A.

PEMANTAUAN DAN EVALUASI ATAS EFEKTIVITAS PROSES TATA KELOLA  

Pendekatan atau cara yang digunakan setiap organisasi dalam menerapkan tata kelola yang baik  (good  governance)  tidak  sama,  namun  semua  berorientasi  pada  stakeholders  melalui  peningkatan  kualitas  layanan  dan  perbaikan  sistem  manajemen  organisasi.  Proses  tata  kelola  harus dipantau dan dievaluasi untuk mengetahui apakah telah terlaksana secara efektif.  Evaluasi terhadap proses tata kelola dapat dilakukan secara kualitatif maupun kuantitatif. Salah  satu  contoh  evaluasi  terhadap  tata  kelola  organisasi  adalah  assessment  tata  kelola  yang  dikembangkan oleh Insititute of Internal Auditor (IIA) Research Foundation yaitu Internal Audit  Capability  Model  (IA‐CM).  Model  Kapabilitas  Pengawasan  Intern  atau  Internal  Audit  Capability  Model  (IA‐CM)  adalah  suatu  kerangka  kerja  yang  mengindentifikasi  aspek‐aspek  fundamental  yang  dibutuhkan  untuk  pengawasan  intern  yang  efektif  di  sektor  publik.  IA‐CM  dimaksudkan  sebagai  model  universal  dengan  perbandingan  sekitar  prinsip,  praktik,  dan  proses  yang  dapat  diterapkan secara global untuk meningkatkan efektivitas pengawasan intern.   Terdapat 6 (enam) elemen yang dinilai dari model tersebut, yaitu:  1.

Peran dan Layanan 

2.

Pengelolaan Sumber Daya Manusia 

84 

 

2014 |Pusdiklatwas BPKP

  3.

Praktik Profesional 

4.

Akuntabilitas dan Manajemen Kinerja 

5.

Budaya dan Hubungan Organisasi 

6.

Struktur Tata Kelola 

B.

PEMANTAUAN DAN EVALUASI ATAS EFEKTIVITAS MANAJEMEN RISIKO  

Pemantauan adalah penilaian berkelanjutan dari kegiatan manajemen risiko. Ini terjadi di semua  tingkat  manajemen  dan  menggunakan  baik  pelaporan  formal  maupun  komunikasi  informal.  Pemantauan  tindakan  manajemen  risiko  melibatkan  pengumpulan  informasi  yang  akan  membantu  menjawab  pertanyaan  tentang  efektivitas  manajemen  risiko  organisasi.  Adalah  penting  bahwa  informasi  ini  dikumpulkan  dan  dilaporkan  secara  terencana,  terorganisasi  dan  rutin. Pemantauan atas efektivitas manajemen risiko dilakukan oleh manajemen.  Informasi  pemantauan  dikumpulkan  secara  periodik  baik  secara  harian,  bulanan  ataupun  kuartalan. Pemantauan dapat menjawab pertanyaan seperti:  ƒ

Seberapa baik yang kita lakukan? (kinerja) 

ƒ

Apakah kita melakukan hal yang benar? (penyimpangan) 

ƒ

Apa perbedaan yang kita buat? (dampak) 

Pemantauan adalah proses yang berkelanjutan yang melakukan review:  ƒ

apakah sumber daya dimobilisasi dan dimanfaatkan ; 

ƒ

apakah kegiatan yang sedang dilakukan, dan 

ƒ

apakah output yang dimaksudkan dan hasil yang dicapai . 

Evaluasi penerapan manajemen risiko merupakan kegiatan yang dilakukan untuk mengevaluasi  penerapan  manajemen  risiko  organisasi  dan  menilai  rancangan  serta  efektivitas  pelaksanaan  proses  manajemen  risiko  dalam  memberikan  keyakinan  kepada  para  stakeholder  apakah  penerapan  manajemen  risiko  telah  cukup  memadai  dalam  mencapai  tujuan  dan  sasaran  organisasi.   Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

85

  Auditor  intern  membantu  organisasi  melakukan  pengujian,  evaluasi,  pelaporan  dan  merekomendasikan perbaikan atas kecukupan dan keefektivan proses manajemen risiko.   Maksud dan tujuan dilakukannya evaluasi penerapan manajemen risiko adalah untuk:   1.

Menilai kecukupan rancangan dan efektivitas pelaksanaan proses manajemen risiko.   Evaluasi  penerapan  manajemen  risiko  merupakan  kegiatan  yang  dilakukan  oleh  manajemen untuk memberikan keyakinan kepada para stakeholder apakah rancangan dan  efektivitas  pelaksanaan  proses  manajemen  risiko  telah  mencapai  tujuan  dan  sasaran  organisasi yang diharapkan.  

2.

Mengetahui tingkat kematangan manajemen risiko (risk maturity level) organisasi.   Tingkat kematangan manajemen risiko menunjukkan kondisi penerapan manajemen risiko  yang  ada  pada  saat  evaluasi  penerapan  manajemen  risiko  dilakukan.  Manajemen  organisasi  perlu  mengetahui  tingkat  kematangan  manajemen  risikonya  saat  evaluasi  dilakukan  dengan  tujuan  untuk  mengetahui  celah  antara  kondisi  tingkat  kematangan  manajemen  risiko  yang  ada  dengan  yang  diharapkan.  Tingkat  kematangan  manajemen  risiko perlu ditingkatkan secara terus menerus.  

3.

Menentukan perencanaan audit dan pendekatan audit yang akan digunakan oleh Auditor  Intern.   Kondisi  tingkat  kematangan  manajemen  risiko  berkaitan  erat  dengan  penentuan  perencanaan  audit  dan  pendekatan  audit  yang  digunakan  oleh  auditor  intern.  Perencanaan  audit  dan  pendekatan  audit  berbasis  risiko  tidak  dapat  dilaksanakan  bila  kondisi  tingkat  kematangan  manajemen  risiko  berada  dalam  tingkat  awal  (non‐existent  dan initial) karena pada kondisi tersebut Internal Auditor belum dapat mengandalkan hasil  penerapan  manajemen  risiko  (profil  risiko  organisasi)  yang  dilakukan  oleh  manajemen.  Pada  kondisi  tingkat  kematangan  awal  justru  auditor  intern  harus  berperan  sebagai  fasilitator untuk memperbaiki proses manajemen risiko organisasi.  

Evaluasi  terhadap  efektivitas  manajemen  risiko  melihat  apakah  risik‐risiko  yang  ada  telah  menurun  dengan  pengendalian  yang  dilakukan.  Penurunan  dapat  dilihat  dari  level  risiko  yang  semakin menurun ataupun kejadian risikonya yang semakin berkurang (perbandingan event risk  dari  waktu  ke  waktu).  Evaluasi  juga  dapat  dilakukan  melalui  Risk  Based  Internal  Audit  yang 

86 

 

2014 |Pusdiklatwas BPKP

  dilaksanakan  oleh  auditor  internal  suatu  organisasi.  Evaluasi  Menurut  IIA,  risk  based  internal  audit  adalah  sebuah  metodologi  yang  menghubungkan  audit  intern  dengan  seluruh  kerangka  manajemen  risiko  yang  memungkinkan  proses  audit  intern  mendapatkan  keyakinan  memadai  bahwa manajemen risiko organisasi telah dikelola dengan memadai sehubungan dengan risiko  yang dapat diterima (risk appetite). Melalui Risk Based Internal Audit, sasaran penugasan harus  berfokus pada risiko, pengendalian dan proses  tata kelola (risk, controls and governance) atas  kegiatan yang diaudit.   

C.

PEMANTAUAN DAN EVALUASI ATAS EFEKTIVITAS PENGENDALIAN INTERN   

Pemantauan pengendalian intern adalah tindakan pengawasan yang dilakukan oleh manajemen  dan pegawai lain yang ditunjuk atas pelaksanaan tugas sebagai penilaian terhadap kualitas dan  efektivitas  sistem  pengendalian  intern.  Pemantauan  terhadap  sistem  pengendalian  intern  bertujuan untuk meyakinkan bahwa pengendalian telah berjalan sebagaimana yang diharapkan  dan diperbaiki sesuai dengan kebutuhan.  Aspek  pemantauan  pengendalian  intern  mencakup  penilaian  kegiatan  rutin,  seperti  supervisi,  review  atas  transaksi  yang  terjadi  guna  memastikan  apakah  kegiatan  operasional  telah  sesuai  dengan sistem dan prosedur pengendalian yang telah ditetapkan.  Pemantauan atas pengendalian intern  yang sedang berjalan menyatu pada kegiatan rutin dan  berulang. Pemantauan ini mencakup setiap komponen sistem pengendalian intern dan kegiatan  untuk mencegah terjadinya kondisi yang tidak lazim, tidak etis, tidak ekonomis, tidak efisien dan  tidak  efektif  dalam  pelaksanaan  kegiatan.  Kegiatan  monitoring  dalam  suatu  organisasi  merupakan  tanggung  jawab  seluruh  jenjang  organisasi  namun  dengan  fokus  yang  berbeda‐ beda, sebagai berikut.  1.

Bagi pegawai, fokus pemantauan adalah untuk mengetahui bahwa pekerjaan dilaksanakan  sebagaimana  mestinya.  Setiap  karyawan  hendaknya  melakukan  pengecekan  terhadap  pekerjaan sebelum disampaikan kepada atasannya. Penyimpangan pada tingkat ini segera  dapat dideteksi. 

2.

Di  tingkat  penyelia,  pemantauan  dilakukan  atas  seluruh  kegiatan  di  bawah  kendalinya  guna  memastikan  bahwa  seluruh  pegawai  yang  ada  di  bawah  kendalinya  telah  melaksanakan tanggung jawabnya masing‐masing. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

87

  3.

Pada tingkat manajer, pemantauan dilakukan untuk menilai apakah sistem pengendalian  intern  telah  berfungsi  pada  masing‐masing  unit  dalam  organisasi  dan  sejauhmana  para  penyelia telah melakukan pemantauan pada bagian yang menjadi tanggung jawabnya. 

4.

Pada tingkat pimpinan eksekutif, fokus pemantauan adalah pada organisasi dalam lingkup  yang  menyeluruh,  yaitu  pemantauan  apakah  tujuan  organisasi  telah  tercapai.  Pimpinan  juga  melakukan  pemantauan  atas  keberadaan  tantangan  dan  peluang,  baik  dari  sisi  internal  maupun  eksternal  yang  mungkin  membutuhkan  perubahan  dalam  perencanaan  organisasi. 

Evaluasi  atas  kegiatan  pengendalian  yang  ada/  terpasang  pada  dasarnya  merupakan  tahapan  untuk menilai apakah kegiatan pengendalian telah dibangun secara memadai untuk mengatasi  risiko  atau  belum.  Penilaian  terhadap  kegiatan  pengendalian  yang  ada  mencakup  keberadaan  kebijakan  dan  prosedur  yang  dimiliki  instansi  pemerintah  terkait  penyelenggaraan  sistem  pengendalian  intern.    Selain  tentang  keberadaan,  hal  penting  lain  yang  harus  dinilai  adalah  implementasi dari kebijakan dan prosedur tersebut. Salah satu pendekatan yang cukup efektif  dan efisien adalah dengan Control Self Assessment (CSA). Peran auditor internal adalah menjadi  fasilitator dalam pelaksanaan Control Self Assessment.  Berdasarkan  penilaian  ketepatan  rancangan  pengendalian  dan  efektivitas  pengendalian,  celah  pengendalian  akan  dapat  diketahui.  Celah  pengendalian  adalah  kondisi  yang  terjadi  apabila  risiko sesuai prioritas tidak memiliki pengendalian atau pengendalian yang ada tidak mencukupi  untuk membawa risiko kepada tingkat sisa risiko (residual risk) yang berada dalam tingkat selera  risiko  manajemen.  Atas  risiko  tersebut,  lebih  lanjut,  akan  dirumuskan  perbaikan  atau  revisi  kegiatan  pengendaliannya.  Rumusan  ini  dituangkan  dalam  dokumen  Rencana  Tindak  Pengendalian (RTP).  Informasi dalam sistem pengendalian intern dapat berupa:  1.

informasi tentang paparan dan tren risiko yang terjadi;  

2.

informasi yang merupakan bagian atau sebagai bentuk dari kegiatan pengendalian; dan 

3.

informasi yang dibutuhkan dalam rangka untuk menjalankan pengendalian.  

Dalam  RTP,  keseluruhan  informasi  tersebut  dituangkan  cara  pengomunikasiannya  untuk  mendukung berjalannya pengendalian.  

88 

 

2014 |Pusdiklatwas BPKP

  Dokumen  RTP  perlu  memuat  mekanisme  pemantauan  yang  akan  dijalankan.  Hal  ini  untuk  memastikan bahwa pengendalian yang telah dirancang dilaksanakan dan berjalan secara efektif.  Pemantauan diharapkan dapat memberikan informasi mengenai beberapa hal berikut.  1.

Realisasi  pelaksanaan  perbaikan/penyempurnaan  kebijakan,  prosedur  atau  infrastruktur  lainnya. 

2.

Kegiatan/proses  manajemen  yang  masih  bermasalah  meskipun  telah  dirancang  mekanisme pengendalian di dalamnya. 

3.

Infrastruktur pengendalian yang tidak dapat berjalan dengan baik. 

4.

Penyebab dan akibat permasalahan. 

5.

Tindakan yang diperlukan jika berdasarkan hasil pemantauan diperoleh kesimpulan bahwa  diperlukan penyempurnaan lebih lanjut. 

Kegiatan  pemantauan  dapat  dilakukan  oleh  setiap  tingkat  pimpinan  di  masing‐masing  bagian/bidang.    Control Self Assessment (CSA)  CSA adalah suatu proses penilaian diri sendiri tentang efektifitas pengendalian yang ada untuk  memberi  keyakinan  bahwa  tujuan/sasaran  organisasi  akan  tercapai.  Penilaian  sendiri  merujuk  upaya  yang  melibatkan  manajemen  dan  karyawan  secara  aktif  terlibat  dalam  evaluasi  dan  pengukuran  efektivitas  pengendalian.  Pendekatan  ini  dapat  dilakukan  dengan  melibatkan  auditor  intern  atau  konsultan,  namun  tetap  dalam  koridor  bahwa  manajemen  atau  pimpinan  instansi  adalah  pihak  yang  bertanggung  jawab  untuk  menilai  sendiri  efektivitias  pengendalian  yang  berlangsung  dalam  organisasi  yang  dipimpinnya.  Pihak  ketiga  (auditor  intern  atau  konsultan) berperan sebagai fasilitator untuk menggali ide dan mengakselerasi proses CSA.   Metode atau pendekatan CSA menurut Larry Hubbard (2005) dibagi atas tiga pendekatan, yaitu:  workshop, survei dan analisis manajemen.  1.

Pendekatan  workshop  adalah  pertemuan  yang  difasilitasi  oleh  fasilitator  untuk  menilai  risiko terkait dengan tujuan yang akan dicapai.  

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

89

  2.

Survei adalah metode CSA dengan memberikan kuesioner kepada responden. Pendekatan  survei biasanya dilakukan apabila budaya organisasi masih belum terbuka terhadap kritik‐ kritik  dan  saran‐saran  terutama  atas  hal‐hal  yang  sifatnya  masih  sensitif  dan  tabu  untuk  didiskusikan. Secara umum, metode survei dapat lebih dipilih dibanding metode workshop  dalam kondisi berikut.  a.

Budaya  organisasi  yang  belum  siap  untuk  mendiskusikan  hal‐hal  yang  sifatnya  sensitif pada pertemuan terbuka 

b.

Susah untuk mengumpulkan peserta bersama‐sama dalam suatu pertemuan 

c.

Adanya keterbatasan dana sehingga dipilih metode dengan biaya murah 

d.

Keahlian sebagai fasilitator belum dimiliki oleh internal auditor 

e.

Ruang lingkup penilaian sendiri atas organisasi terlalu luas dan informasi dibutuhkan  cepat 

Dalam  pendekatan  survei,  peserta  atau  responden  akan  mengisi  kuesioner  yang  telah  dirancang  oleh  fasilitator.  Responden  biasanya  mengisi  kuesioner  tanpa  menyebutkan  nama,  agar  pengisian  kuesioner  dapat  dilakukan  dengan  jujur  dan  apa  adanya.  Hasil  kuesioner  tersebut  kemudian  digunakan  oleh  pimpinan  dalam  menilai  pengendalian  internnya.   3.

Metode  ketiga  CSA  adalah  analisis  manajemen.  Pendekatan  ini  memang  tidak  sepopuler  pendekatan  workshop  dan  survei.  Pendekatan  ini  intinya  adalah  analisis  yang  dihasilkan  oleh  manajemen  berdasarkan  diskusi,  review,  atau  kuesioner  dalam  rangka  mendukung  suatu  opini/pendapat  tertentu  atau  membuat  kesimpulan  atas  suatu  permasalahan  tertentu.  

Dari  ketiga metode  CSA  tersebut  di  atas,  yang  paling  populer  dan  direkomendasikan  oleh  The  Institute  of  Internal  Auditor  (IIA)  adalah  metode  workshop.  Jika  budaya  organisasi  tidak  mendukung metode workshop, maka metode survei dan analisis manajemen dapat digunakan.  ~~~   

90 

 

2014 |Pusdiklatwas BPKP

 

Daftar Pustaka    Asosiasi  Auditor  Intern  Pemerintah  Indonesia,  Standar  Audit  Intern  Pemerintah  Indonesia,  Jakarta, 2014.  AS/NZS  4360:2004,  Australian/New  Zealand  Standard  Risk  Management,  Joint  Technical  Committee OB‐007 Risk Management, 31 Agustus 2004.  Badan  Pengawasan  Keuangan  dan  Pembangunan,  Pedoman  Teknis  Penyelenggaraan  Sistem  Pengendalian Intern Pemerintah, Jakarta, 2009.  Badan  Pengawasan  Keuangan  dan  Pembangunan,  Pedoman  Penyusunan  Desain  Penyelenggaraan Sistem Pengendalian Instansi Pemerintah, Jakarta, 2011.  Badan Pengawasan Keuangan dan Pembangunan, Pedoman Bimbingan Teknis Penyelenggaraan  Sistem Pengendalian Intern Pemerintah bagi Fasilitator, Jakarta, 2013.    Badan  Perencanaan  Pembangunan  Nasional,  Modul  Tata  Kepemerintahan  Yang  Baik,  Jakarta,  2007.  Committee  of  Sponsoring  Organizations  of  The  Treadway  Commission,  Internal  Control‐ Integrated Framework (Framework, Including Executive Summary), September 1992.  Committee  of  Sponsoring  Organizations  of  The  Treadway  Commission,  Internal  Control  –  Integrated Framework 2013. Mei 2013.  International Federation of Accountants (IFAC), Effective Governance, Risk Managemendt, and  Internal Control, IFAC Policy Position 7, December 2012.  INTOSAI, Guidelines for Internal Control Standards for the Public Sector, Brussels, 2004.  Peraturan  Menteri  Keuangan  Nomor  191/PMK.09/2008  tentang  Penerapan  Manajemen  Risiko  di Lingkungan Departemen Keuangan.   Peraturan Pemerintah Nomor 60 Tahun 2008, tentang Sistem Pengendalian Intern Pemerintah.  PPM‐Manajemen, Manajemen Risiko Terintegrasi, Modul Pelatihan, 2009.  Pusdiklatwas  BPKP,  Akuntabilitas  Instansi  Pemerintah,  Modul  Diklat  Sertifikasi  JFA  Tingkat  Pembentukan Auditor Anggota Tim, Edisi Keenam, Jakarta, 2011.  Pusdiklatwas BPKP, Sistem Pengendalian Manajemen, Modul Diklat Sertifikasi JFA Tingkat Ahli,  Edisi Keenam, Jakarta, 2009. 

Tata Kelola, Manajemen Risiko, dan Pengendalian Intern

91

  Ramos, Michael J., How to comply with Sarbanes‐Oxley Section 404: Assessing the effectiveness  of internal control. E John Wiley & Sons Inc. New Jersey, USA., 2nd edition, 2006.  The Institute of Internal Auditors,  Internal Audit, Assurance and Consultancy, The IIA Research  Foundation, 2009.  Undang‐Undang Nomor 1 Tahun 2004 tentang Perbendaharaan Negara.  Undang‐undang Nomor 15 Tahun 2004 tentang Pemeriksaan Pengelolaan dan Tanggung jawab  Keuangan Negara.  Undang‐Undang Nomor 17 Tahun 2004 tentang Keuangan Negara.                        

92 

 

2014 |Pusdiklatwas BPKP