Manajemen Risiko adalah pendekatan sistematik yang melibatkan identifikasi, evaluasi, pengendalian, dan pemantauan risiko yang mungkin mempengaruhi pencapaian tujuan suatu organisasi. Tujuannya adalah untuk mengenali potensi masalah atau dampak negatif yang dapat muncul dari ketidakpastian atau perubahan dalam lingkungan operasional, dan untuk mengambil langkah-langkah yang diperlukan guna mengurangi risiko atau mengatasi konsekuensinya.
Penerapan Manajemen Risiko di lingkungan KPPN Jakarta II mengacu pada Keputusan Menteri Keuangan Nomor 577/KMK.01/2019 tentang Manajemen Risiko di Lingkungan Kementerian Keuangan. Manajemen Risiko diterapkan di berbagai sektor, keuangan, lingkungan kerja, kesehatan, dan lainnya. Dengan mengelola risiko secara efektif, KPPN Jakarta II dapat mengurangi potensi kecurangan, meningkatkan peluang untuk mencapai tujuan, dan menjaga stabilitas dalam lingkungan yang dinamis.
Penerapan Manajemen Risiko di lingkungan KPPN Jakarta II mengacu pada Keputusan Menteri Keuangan Nomor 577/KMK.01/2019 tentang Manajemen Risiko di Lingkungan Kementerian Keuangan. Manajemen Risiko diterapkan di berbagai sektor, keuangan, lingkungan kerja, kesehatan, dan lainnya. Dengan mengelola risiko secara efektif, KPPN Jakarta II dapat mengurangi potensi kecurangan, meningkatkan peluang untuk mencapai tujuan, dan menjaga stabilitas dalam lingkungan yang dinamis.
Dasar Hukum
Keputusan Menteri Keuangan Nomor 577/KMK.01/2019 tentang Manajemen Risiko di Lingkungan Kementerian Keuangan.
Kerangka Kerja Manajemen Risiko
Prinsip Manajemen Risiko
- Inklusif, yaitu melibatkan pengetahuan, pandangan, dan persepsi pemangku kepentingan.
- Komprehensif dan sistematis, yaitu menerapkan pendekatan yang komprehensif dan sistematis sehingga menghasilkan manajemen risiko yang konsisten dan terukur.
- Terintegrasi, yaitu menjadi bagian dari seluruh aktivitas organisasi.
- Efektif dan efisien, yaitu memberikan perlindungan dan/atau meningkatkan nilai organisasi secara optimal dengan sumber daya kompetitif.
- Berdasarkan pada informasi terbaik yang tersedia, yaitu didasarkan pada informasi historis, saat ini, dan ekspektasi; memperhitungkan batasan dan ketidakpastian informasi; serta disajikan tepat waktu, jelas, dan sesuai kebutuhan pemangku kepentingan terkait.
- Dinamis, yaitu risiko dapat muncul, berubah, atau menghilang karena perubahan konteks eksternal dan internal organisasi. Manajemen risiko harus mengantisipasi, mendeteksi, mengenali, dan merespons perubahan tersebut secara tepat dan tepat waktu.
- Perbaikan terus menerus, yaitu terus ditingkatkan melalui pembelajaran dan pengalaman.
Struktur Menejemen Risiko Kementerian Keuangan
STRUKTUR MANAJEMEN RISIKO
Tugas dan Tanggung Jawab dalam Struktur Manajemen Risiko
Tugas dan tanggung jawab dalam struktur manajemen Risiko sebagai berikut:
-
Unit Pemilik Risiko (UPR), tugas dan tanggung jawab UPR berdasarkan tingkatan struktur sebagai berikut:
- Pimpinan UPR, tugas dan tanggung jawab pimpinan UPR meliputi:
- menetapkan profil Risiko dan rencana mitigas unit berdasarkan sasaran organisasi;
- memantau dan melaksanakan review terhadap proses Manajemen Risiko unit serta melaporkan basil review tersebut secara berjenjang kepada pimpinan tingkat lebih tinggi di lingkungan Kementerian Keuangan; dan
- melakukan monitoring dan evaluasi atas efektivitas penerapan Sistem Manajemen Risiko dalam lingkup unit kerja pimpinan UPR yang bersangkutan.
- Eksekutif manajemen Risiko, tugas dan tanggung jawab eksekutif manajemen Risiko meliputi:
- menyusun konsep profil dan rencana mitigasi berdasarkan sasaran organisasi;
- menyusun laporan Manajemen Risiko dan menyampaikan kepada Pimpinan UPR;
- membantu penyelarasan Manajemen Risiko unit dengan unit pada level yang lebih tinggi, unit pada level yang lebih rendah, dan unit terkait lain;
- memfasilitasi dan mengoordinasikan Proses Manajemen Risiko di unit tersebut; dan
- memberikan edukasi dan sosialisasi untuk meningkatkan pemahaman dan kesadaran pegawai dalam pengelolaan Risiko.
- Manajer Risiko, tugas dan tanggung jawab manajer Risiko meliputi:
- membantu eksekutif manajemen Risiko dalam penyusunan konsep profil dan rencana mitigasi berdasarkan sasaran organisasi;
- membantu eksekutif manajemen Risiko dalam penyusunan laporan Manajemen Risiko dan penyampaian kepada Pimpinan UPR;
- membantu eksekutif manajemen Risiko dalam penyelarasan Manajemen Risiko unit dengan unit pada level yang lebih tinggi, unit pada level yang lebih rendah, dan unit terkait lain;
- membantu eksekutif manajemen Risiko dalam memfasilitasi dan mengoordinasikan Proses Manajemen Risiko di unit tersebut;
- menatausahakan dokumen Proses Manajemen Risiko unit; dan
- membantu eksekutif manajemen Risiko dalam memberikan edukasi dan sosialisasi untuk meningkatkan pemahaman dan kesadaran pegawai dalam pengelolaan Risiko.
- Pimpinan UPR, tugas dan tanggung jawab pimpinan UPR meliputi:
-
Unit Kepatuhan Manajemen Risiko, tugas dan tanggung jawab Unit Kepatuhan Internal (WU) dalam Manajemen Risiko meliputi:
- melaksanakan review atas kepatuhan penyusunan profil Risiko dan rencana mitigasi Risiko unit;
- melaksanakan review atas kepatuhan pelaksanaan rencana mitigasi Risiko unit; dan
- memantau tindak lanjut basil review dan/atau audit Manajemen Risiko.
-
Inspektorat Jenderal, tugas dan tanggung jawab Inspektorat Jenderal dalam Manajemen Risiko meliputi:
-
melakukan audit, review, pemantauan, dan evaluasi penerapan Manajemen Risiko pada UPR berdasarkan pedoman Manajemen Risiko yang ditetapkan di lingkungan Kementerian Keuangan; dan
-
melakukan penilaian atas tingkat kematangan penerapan Manajemen Risiko di seluruh level UPR berdasarkan pedoman Manajemen Risiko yang ditetapkan di lingkungan Kementerian Keuangan.
-
PROSES MANAJEMEN RISIKO
Proses Manajemen Risiko
Proses Manajemen Risiko merupakan bagian yang terpadu dengan proses manajemen secara keseluruhan, khususnya perencanaan strategis, manajemen kinerja, penganggaran dan sistem pengendalian internal, serta menyatu dalam budaya dan proses bisnis organisasi. Proses Manajemen Risiko digambarkan sebagai berikut:
Komunikasi dan Konsultasi
Komunikasi merupakan aktivitas penyampaian informasi dengan tujuan untuk meningkatkan kesadaran dan pemahaman terhadap Risiko, sedangkan konsultasi merupakan aktivitas untuk memperoleh informasi terkait Risiko dengan tujuan mendapatkan umpan bank dalam rangka pengambilan keputusan. Komunikasi dan konsultasi dilakukan dalam seluruh tahapan Proses Manajemen Risiko, dalam bentuk:
- Rapat berkala, dilaksanakan secara periodik paling sedikit setiap triwulan dalam Dialog Kinerja Organisasi (DKO), dipimpin oleh Pimpinan UPR, dihadiri oleh seluruh pejabat satu level di bawah Pimpinan UPR, dan penyelenggaraan rapat berkala dikoordinasikan oleh eksekutif manajemen.
- Rapat insidental, dilaksanakan sewaktu-waktu sesuai kebutuhan berdasarkan arahan pimpinan UPR atau kondisi mendesak terkait Risiko dan penyelenggaraan rapat insidental dikoordinasikan oleh eksekutif manajemen.
- Diskusi kelompok terarah (focused group discussion), bertujuan untuk menggali dan menganalisis informasi terkait Risiko yang pelaksanaan diskusi dimaksud dapat melibatkan struktur UPR, para Manajer Risiko, dan/atau pihak yang memiliki pengetahuan mendalam (expert) terkait informasi tersebut.
Perumusan Konteks
Perumusan konteks bertujuan untuk memahami lingkungan dan batasan penerapan Manajemen Risiko pada setiap UPR, dengan tahapan sebagai berikut:
-
Menentukan ruang lingkup dan periode penerapan Manajemen Risiko:
- Ruang lingkup penerapan Manajemen Risiko merupakan batasan tugas, fungsi, dan mandat dimana Manajemen Risiko akan diterapkan.
- Periode penerapan Manajemen Risiko merupakan kurun waktu penerapan Manajemen Risiko.
-
Menetapkan sasaran organisasi, Penetapan sasaran organisasi dilakukan dengan mengacu pada sasaran strategis dalam peta strategi unit organisasi. Selain dokumen peta strategi, sasaran organisasi juga dapat ditambahkan dari inisiatif strategis dalam kontrak kinerja dan/ atau program/ proyek/ kegiatan yang direncanakan/ dilaksanakan organisasi.
-
Mengidentifikasi pemangku kepentingan, Identifikasi pemangku kepentingan mencakup:
- Pihak yang menjadi pemangku kepentingan, yaitu pihak yang berinteraksi dan berkepentingan terhadap output dan/ atau outcome organisasi.
- Deskripsi pemangku kepentingan dalam hubungannya dengan pencapaian sasaran organisasi.
-
Menetapkan struktur Unit Pemilik Risiko (UPR), Struktur UPR mengacu pada ketentuan organisasi dan tata kerja yang berlaku di lingkungan Kementerian Keuangan.
-
Menuangkan hasil perumusan konteks Manajemen Risiko dalam Formulir Konteks Manajemen Risiko.
Identifikasi Risiko
Identifikasi Risiko bertujuan untuk menentukan semua Risiko yang berpengaruh terhadap pencapaian sasaran organisasi. Risiko tersebut mencakup kejadian, penyebab, maupun dampak Risiko, dengan penjelasan sebagai berikut:
-
Kejadian Risiko merupakan pernyataan kondisional atas peristiwa/ keadaan yang berpotensi menggagalkan, menunda, menghambat atau tidak mengoptimalkan pencapaian sasaran organisasi (SO). Kejadian Risiko dapat berupa:
- Sesuatu yang tidak diharapkan namun terjadi yaitu kerugian, pelanggaran, kegagalan, atau kesalahan; atau
- Sesuatu yang diharapkan namun tidak terwujud yaitu kesempatan yang tidak dapat dimanfaatkan. Namun demikian, kejadian Risiko bukan merupakan negasi (lawan) dari sasaran organisasi (SO).
-
Penyebab Risiko merupakan peristiwa/keadaan yang menjadi penyebab langsung dari kejadian Risiko yang diidentifikasi. Penyebab Risiko dapat berupa peristiwa atau keadaan baik berasal dari internal maupun eksternal UPR. Dalam hal penyebab langsung suatu Risiko lebih dari satu, penyebab Risiko diupayakan untuk diurutkan berdasarkan urutan signifikansi atau dominasi sebagai penyebab kejadian.
-
Dampak Risiko merupakan akibat langsung yang timbul dan dirasakan setelah Risiko terjadi. Dalam hal dampak langsung lebih dari satu, dampak Risiko diupayakan untuk diurutkan berdasarkan urutan signifikansi atau dominasi sebagai dampak Risiko.
-
Perumusan kejadian, penyebab, dan dampak Risiko dapat menggunakan berbagai metode analisis masalah misalnya fishbone diagram.
-
Identifikasi Risiko dilakukan dengan tahapan sebagai berikut:
- Identifikasi Risiko dari UPR tingkat lebih tinggi yang relevan untuk ditetapkan sebagai Risiko sesuai tugas dan fungsi UPR yang bersangkutan (top-down), dengan mekanisme sebagai berikut:
- Apabila sasaran organisasi dan Risiko UPR tingkat lebih tinggi relevan bagi UPR bersangkutan sesuai tugas dan fungsinya, sasaran organisasi dan Risiko UPR tingkat lebih tinggi ditetapkan dalam profil Risiko UPR bersangkutan.
- Apabila sasaran organisasi UPR tingkat lebih tinggi tidak relevan, namun Risikonya relevan bagi UPR bersangkutan sesuai tugas dan fungsinya, Risiko UPR tingkat lebih tinggi ditetapkan dalam profil Risiko UPR bersangkutan.
- Identifikasi Risiko berdasarkan sasaran organisasi UPR yang bersangkutan dengan mekanisme sebagai berikut:
- Mengidentifikasi kejadian, penyebab, dan dampak Risiko dengan merujuk antara lain:
- Laporan hasil audit/ evaluasi/ review, yaitu berkaitan dengan informasi kerugian, pelanggaran, kegagalan, atau kesalahan pada suatu organisasi;
- Laporan Loss Event Database (LED), yaitu dokumen yang berisi catatan kejadian kerugian yang pernah terjadi baik pada tahun berjalan maupun tahun sebelumnya;
- Pendapat ahli (Expert judgement), yaitu pandangan dari ahli terkait suatu Risiko;
- Data pembanding (Benchmark data), yaitu data terkait Risiko tertentu dari UPR atau organisasi lain yang relevan.
- Setiap Sasaran Organisasi (SO) harus memiliki minimal 1 (satu) kejadian Risiko dan 1 (satu) kejadian Risiko hanya dapat digunakan pada satu Sasaran Organisasi (SO).
- Mengidentifikasi kejadian, penyebab, dan dampak Risiko dengan merujuk antara lain:
- Identifikasi Risiko berdasarkan masukan atau profil Risiko UPR level di bawahnya (bottom-up) dengan mekanisme sebagai berikut:
- UPR dapat mengusulkan suatu Risiko dinaikkan menjadi Risiko pada UPR yang lebih tinggi apabila:
- Risiko tersebut memerlukan koordinasi antar UPR selevel; dan/atau
- Risiko tersebut tidak dapat ditangani oleh UPR tersebut.
- Pengusulan Risiko yang akan dinaikkan menjadi Risiko pada UPR yang lebih tinggi (bottom-up) sebagai berikut:
- Pimpinan UPR mengusulkan Risiko yang akan dinaikkan kepada eksekutif Manajemen Risiko UPR yang lebih tinggi.
- Eksekutif Manajemen Risiko UPR yang lebih tinggi menyampaikan analisis untuk pertimbangan penetapan Risiko tersebut oleh Pimpinan UPR.
- Pimpinan UPR menetapkan diterima atau tidaknya usulan tersebut.
- UPR dapat mengusulkan suatu Risiko dinaikkan menjadi Risiko pada UPR yang lebih tinggi apabila:
- Identifikasi Risiko terkait inisiatif strategis atau proyek dilakukan sesuai lingkup dan durasi pelaksanaan dengan mekanisme sebagai berikut:
- Dalam hal inisiatif strategis atau proyek berdurasi kurang dari 1 (satu) tahun, Risiko diidentifikasi sesuai rencana pelaksanaan dalam periode tersebut.
- Dalam hal inisiatif strategis atau proyek berdurasi lebih clan 1 (satu) tahun (multi years), Risiko diidentifikasi setiap tahun sesuai rencana pelaksanaan tahunan.
- Risiko atas inisiatif strategis atau proyek yang berdurasi paling sedikit 6 (enam) bulan dituangkan dalam profit Risiko UPR;
- Risiko yang berdurasi kurang dari 6 (enam) bulan dapat tidak dituangkan dalam profil Risiko UPR, namun harus tetap dikelola oleh unit pelaksana inisiatif strategis/proyek terkait.
- Identifikasi Risiko dari UPR tingkat lebih tinggi yang relevan untuk ditetapkan sebagai Risiko sesuai tugas dan fungsi UPR yang bersangkutan (top-down), dengan mekanisme sebagai berikut:
-
Menetapkan Kategori Risiko
-
Risiko diklasifikasikan dalam kategori Risiko untuk:
- menggambarkan seluruh jenis Risiko yang terdapat pada organisasi;
- menjamin agar proses identifikasi, analisis, dan evaluasi Risiko dilakukan secara komprehensif; dan
- menentukan mitigasi yang tepat.
-
Kategori Risiko ditetapkan sesuai urutan prioritas sebagai berikut:
-
Untuk mengoptimalkan proses identifikasi Risiko maka setiap unit hams memenuhi syarat minimal jumlah kategori Risiko yang diidentifikasi dengan rincian:
- UPR Kemenkeu- Wide : 5 (lima) kategori Risiko;
- UPR Kemenkeu-One : 4 (empat) kategori Risiko;
- UPR Kemenkeu-Two dan Kemenkeu-Three : 3 (tiga) kategori Risiko.
-
- Menuangkan hasil identifikasi Risiko dalam Formulir Profil dan Peta Risiko.
Analisis Risiko
Tahapan ini bertujuan untuk menentukan Besaran Risiko dan Level Risiko. Analisis Risiko dilaksanakan dengan cara menentukan level kemungkinan dan level dampak terjadinya Risiko berdasarkan Kriteria Risiko, setelah mempertimbangkan keandalan sistem pengendalian yang ada, dengan tahapan sebagai berikut:
-
Menginventarisasi sistem pengendalian internal yang telah dilaksanakan:
-
Sistem pengendalian internal dalam kerangka Manajemen Risiko mencakup perangkat manajemen yang bertujuan menurunkan Besaran Risiko dan/atau Level Risiko dalam rangka pencapaian sasaran organisasi.
-
Sistem pengendalian internal dapat berupa Standard Operating Procedure (SOP), pengawasan melekat, review berjenjang, regulasi, dan pemantauan rutin yang dilaksanakan terkait manajemen Risiko.
-
-
Menetapkan Kriteria Risiko Kriteria Risiko mencakup Kriteria Kemungkinan terjadinya Risiko dan Kriteria Dampak Risiko, dengan ketentuan sebagai berikut:
-
Kriteria Kemungkinan terjadinya Risiko (likelihood):
- Kriteria Kemungkinan terjadinya Risiko dapat menggunakan pendekatan statistik (probability), frekuensi kejadian per satuan waktu (hari, minggu, bulan, tahun), atau dengan pendapat ahli (expert judgement).
- Penentuan peluang terjadinya Risiko di Kementerian Keuangan menggunakan pendekatan kejadian per satuan waktu, yalmi dalam 1 (satu) tahun periode data yang dianalisis. Dalam hal kejadian Risiko melebihi 1 (satu) tahun, maka analisis Kriteria Kemungkinan menggunakan periode sesuai rentang waktu data yang dibutuhkan.
- Kriteria Kemungkinan terjadinya Risiko dibedakan berdasarkan jenis kejadian yaitu kejadian Risiko dengan toleransi rendah (low tolerance event) dan kejadian Risiko yang lebih ditoleransi (non low tolerance event).
- Kriteria Level Kemungkinan terjadinya Risiko di Kementerian Keuangan meliputi:
- Kriteria Kemungkinan terjadinya risiko ditentukan oleh pimpinan UPR dengan pertimbangan sebagai berikut:
- Kriteria non low tolerance event
- Persentase digunakan apabila populasi dapat ditentukan; dan
- Jumlah frekuensi digunakan apabila populasi tidak dapat ditentukan.
- Kriteria low tolerance event digunakan untuk kejadian dengan toleransi rendah atau tidak ditoleransi serta memiliki intensitas yang sangat rendah dalam rentang waktu lebih dari 1 (satu) tahun pada satu unit kerja, misalnya: korupsi, krisis ekonomi/keuangan, kecelakaan kerja yang berakibat fatal, bencana alam, dan kebakaran gedung.
- Kriteria non low tolerance event
-
Kriteria Dampak Risiko (consequences), Dampak Risiko diklasifikasi sesuai area dampak dengan prioritas urutan sebagai berikut:
-
Kriteria Dampak Risiko dapat diklasifikasilcan dalam beberapa area dampak sesuai dengan jenis dampak kejadian Risiko yang mungkin terjadi. Area dampak Risiko diurutkan dan bobot tertinggi hingga terendah yang meliputi:
-
Beban keuangan negara Dampak Risiko berupa (i) tambahan pengeluaran negara baik dalam bentuk: uang dan setara uang, surat berharga, kewajiban, dan barang, serta potensi kerugian/kehilangan penerimaan dan aset negara. Dampak Risiko beban keuangan negara mencakup:
- Fraud Pengukuran dampak Risiko berdasarkan imgka mutlak sebagaimana dalam tabel Kriteria Dampak; atau
- non fraud Beban keuangan non fraud dibedakan menjadi non fraud penerimaan atau pembiayaan dan non fraud lainnya. Non fraud lainnya mencakup dampak atas beban keuangan negara selain yang disebabkan dan potensi hilangnya penerimaan atau beban atas pembiayaan. Pengukuran dampak Risiko berdasarkan persentase terhadap total penerimaan, pembiayaan atau non fraud lainnya seperti belanja/aset yang dikelola oleh unit tersebut.
-
Penurunan reputasi Dampak Risiko berupa citra/nama baik/wibawa Kementerian Keuangan yang menyebabkan tingkat kepercayaan masyarakat menurun atau tidak meningkat.
-
Sanksi pidana, perdata, dan/atau administratif Dampak Risiko berupa ancaman hukuman yang dijatuhkan atas perkara di pengadilan baik menyangkut pegawai atau organisasi.
-
Kecelakaan dan penyakit akibat kerja Dampak Risiko berupa kematian, cedera dan/atau gangguan kesehatan baik fisik maupun mental yang dialami pegawai dalam pelaksanaan tugas kedinasan.
-
Gangguan terhadap layanan organisasi Dampak Risiko berupa simpangan dan standar layanan yang ditetapkan.
-
Penurunan kinerja Dampak Risiko berupa tidak tercapainya sasaran atau target kinerja yang ditetapkan dalam kontrak kinerja atau target kinerja lainnya.
-
-
-
-
Mengestimasi Level Kemungkinan Risiko
-
Estimasi Level Kemungkinan Risiko dilakukan dengan mengukur peluang terjadinya Risiko dalam 1 (satu) tahun setelah mempertimbangkan sistem pengendalian internal yang dilaksanakan dan berbagai faktor atau isu terkait Risiko tersebut. Estimasi dilakukan berdasarkan analisis atas tren data Risiko yang terjadi pada tahun sebelumnya sebagaimana dituangkan dalam Loss event Database (LED).
-
Apabila Risiko yang diidentifikasi tidak memilild data historis terkait frekuensi kejadian Risiko pada tahun sebelumnya, maka estimasi Level Kemungkinan Risiko dapat dilakukan dengan menggunakan metode lain sesuai prioritas urutan sebagai berikut:
- teknik perkiraan (aproksimasi);
- mempertimbangkan pendapat ahli; atau
- konsensus pemilik proses bisnis, pengelola Risiko dan pimpinan UPR.
-
Level Kemungkinan Risiko ditentukan berdasarkan estimasi kemungkinan Risiko sesuai kriteria kemungkinan Risiko.
-
Untuk Risiko atas inisiatif strategis atau proyek, estimasi Level Kemungkinan dilakukan sesuai ketentuan huruf 1) hingga 3) di atas dan disesuaikan dengan periode pelaksanaan inisiatif strategis atau proyek, serta memenuhi ketentuan berikut:
-
Dalam hal inisiatif strategis atau proyek berdurasi 6 (enam) hingga 12 (dua belas) bulan, maka estimasi Level Kemungkinan Risiko dilakukan atas periode tersebut. Penentuan Level Kemungkinan Risiko menggunakan kriteria kemungkinan secara proporsional dengan ketentuan dalam Peraturan ini.
-
Dalam hal inisiatif strategis atau proyek berdurasi lebih dan 1 (satu) tahun (multi years), maka Level Kemungkinan Risiko diidentifikasi dalam periode satu tahun.
-
-
-
Mengestimasi Level Dampak Risiko
- Berdasarkan dampak Risiko yang telah diidentffikasi pada tahap identifikasi Risiko, ditentukan area dampak yang relevan dan estimasi dampak dengan cara:
- mengukur dampak apabila Risiko terjadi setelah mempertimbangkan sistem pengendalian internal yang dilaksanakan, proyeksi, dan berbagai faktor atau isu terkait Risiko tersebut; dan
- menganalisis dampak berdasarkan data Risiko yang terjadi pada tahun sebelumnya sebagaimana dituangkan dalam LED.
- Level Dampak Risiko ditentukan berdasarkan area dampak dan estimasi dampak sesuai kriteria dampak Risiko.
- Untuk Risiko atas inisiatif strategis atau proyek, estimasi Level Dampak Risiko dilakukan sesuai ketentuan huruf 1) hingga 2) di atas.
- Berdasarkan dampak Risiko yang telah diidentffikasi pada tahap identifikasi Risiko, ditentukan area dampak yang relevan dan estimasi dampak dengan cara:
-
Menentukan Besaran Risiko dan Level Risiko
- Besaran Risiko dan Level Risiko ditentukan dengan mengombinasikan Level Kemungkinan dan Level Dampak Risiko sesuai Matriks Analisis Risiko.
- Berdasarkan pemetaan Risiko tersebut, diperoleh Level Risiko yang meliputi sangat tinggi (5), tinggi (4), sedang (3), rendah (2), atau sangat rendah (1).
-
Menuangkan hasil analisis Risiko dalam Formulir Profil dan Peta Risiko.
Evaluasi Risiko
Tahapan ini bertujuan untuk menentukan prioritas Risiko, Besaran/Level Risiko Residual Harapan, keputusan mitigasi Risiko, dan Indikator Risiko Utama (IRU).
-
Prioritas Risiko Prioritas Risiko disusun sesuai tahapan berikut:
- Prioritas Risiko diurutkan berdasarkan Besaran Risiko dari yang tertinggi hingga terendah.
- Dalam hal terdapat lebih dari satu Risiko yang memiliki Besaran Risiko yang sama maka prioritas Risiko ditentukan berdasarkan urutan area dampak Risiko dari yang tertinggi hingga terendah sesuai Kriteria Dampak Risiko.
- Dalam hal terdapat lebih dan satu Risiko yang memiliki Besaran Risiko dan area dampak Risiko yang sama maka prioritas Risiko ditentukan berdasarkan urutan prioritas Kategori Risiko.
- Dalam hal terdapat lebih dari satu Risiko yang memiliki Besaran Risiko, area dampak Risiko, dan Kategori Risiko yang sama maka prioritas Risiko ditentukan berdasarkan penilaian dan keputusan (judgement) pimpinan UPR.
-
Besaran/Level Risiko Residual Harapan Besaran/Level Risiko Residual Harapan merupakan target Besaran/ Level Risiko pada akhir periode penerapan proses Manajemen Risiko. Penentuan Besaran/Level Risiko Residual Harapan dengan mempertimbangkan selera Pimpinan UPR dan sumber daya yang dimiliki organisasi.
-
Keputusan mitigasi Risiko Keputusan mitigasi Risiko merupakan keputusan mengenai perlu atau tidak dilakukan upaya mitigasi Risiko dikaitkan dengan selera Risiko.
- Menetapkan Selera Risiko
- Selera Risiko menjadi dasar dalam penentuan toleransi Risiko, yakni batasan besaran kuantitatif Level Kemungkinan dan Level Dampak Risiko yang dapat diterima, sebagaimana dituangkan pada kriteria Risiko.
- Selera Risiko ditetapkan sebagai berikut:
- Risiko pada level rendah dan sangat rendah merupakan Risiko yang berada dalam area penerimaan Risiko dan tidak perlu dilakukan mitigasi Risiko;
- Risiko pada level sedang, tinggi, dan sangat tinggi disebut sebagai Risiko utama yang hams memiliki Indikator Risiko Utama (IRU) serta dilakukan mitigasi untuk menurunkan Besaran Risiko dan/atau Level Risikonya;
- Selera Risiko sebagaimana dimaksud digambarkan sebagai berikut:
- Menetapkan Mitigasi Risiko dengan ketentuan sebagai berikut:
- Mitigasi Risiko dilakukan terhadap seluruh Risiko utama, baik Risiko yang merupakan hasil penurunan/mandatory dari UPR tingkat lebih tinggi maupun Risiko UPR yang bersangkutan.
- Risiko yang bukan merupakan Risiko utama tidak harus dilakukan mitigasi. Namun demikian, dalam hal terdapat potensi peningkatan Besaran Risiko melampaui area penerimaan Risiko maka Risiko perlu dilakukan mitigasi.
- Mitigasi Risiko dilakukan terhadap seluruh Risiko utama, baik Risiko yang merupakan hasil penurunan/mandatory dari UPR tingkat lebih tinggi maupun Risiko UPR yang bersangkutan.
- Menetapkan Selera Risiko
-
Indikator Risiko Utama (IRU) Indikator Risiko Utama (IRU) merupakan suatu ukuran yang dapat memberikan informasi sebagai sinyal awal tentang adanya peningkatan atau penurunan Besaran Risiko yang ditetapkan dengan ketentuan sebagai berikut:
- Setiap Risiko utama memffiki paling sedikit 1 (satu) Indikator Risiko Utama (IRU).
- Tujuan penetapan Indikator Risiko Utama (IRU) berbeda dengan Indikator Kinerja Utama (IKU) karena Indikator Kinerja Utama (IKU) merupakan indikator yang mengukur Idnerja pencapaian sasaran strategis sedangkan Indikator Risiko Utama (IRU) merupakan indikator yang mengukur adanya peningkatan besaran Risiko, baik kemunglcinan terjadinya maupun dampalmya, yang membahayakan pencapaian sasaran organisasi.
- Penyusunan Indikator Risiko Utama (IRU) dilakukan dengan mekanisme sebagai berikut:
- Identifikasi urutan sebab akibat kejadian Risiko (chain of events) Suatu kejadian Risiko diakibatkan oleh peristiwa yang disebut penyebab Risiko. Suatu penyebab Risiko diakibatkan oleh peristiwa yang muncul lebih awal yang disebut akar masalah. Contoh urutan sebab akibat kejadian yang menyebabkan kejadian Risiko terjadi (chain of events):
- Indikator Risiko Utama (IRU) dapat ditetapkan dari penyebab atau akar masalah. Semakin dekat Indikator Risiko Utama (IRU) dengan akar masalah maka Indikator Risiko Utama (IRU) semakin memberikan informasi yang lebih dini akan terjadinya suatu Risiko. Namun demilcian, Indikator Risiko Utama (IRU) hams tetap memberikan informasi yang signifikan terkait peningkatan potensi terjadinya Risiko.
- Dalam hal terdapat lebih dari satu penyebab atau akar masalah, penetapan Indikator Risiko Utama (IRU) diprioritaskan dari penyebab atau akar masalah yang paling dominan.
- Memastikan Indikator Risiko Utama (IRU) memenuhi kriteria ProActive, yaitu:
- Projective: dapat memberikan peringatan dini akan potensi terjadinya Risiko di masa mendatang;
- Accountable: dapat diukur secara kuantitatif misalnya dengan ukuran: jumlah, persentase;
- Trackable: dapat menggambarkan tren Risiko;
- Informative: memberikan informasi tentang status Risiko yang relevan dengan kejadian Risiko.
- Indikator Risiko Utama (IRU) yang ditetapkan memperhatikan manfaat informasi yang lebih tinggi daripada biaya pengukuran.
- Indikator Risiko Utama (IRU) yang ditetapkan memiliki periode pemantauan paling lama kuartalan. Dalam hal tidak dapat ditetapkan Indikator Risiko Utama (IRU) dengan periode kuartalan maka dapat ditetapkan Indikator Risiko Utama (IRU) yang memiliki periode pemantauan paling lama semesteran.
- Contoh Perumusan Indikator Risiko Utama (IRU):
- misal, akar masalah dominan: (1) kegagalan sistem keamanan IT (information technology); dan (2) gangguan pada hardware, software, dan jaringan;
- maka Indikator Risiko Utama (IRU) dan akar masalah dominan: (1) Frekuensi pengujian sistem keamanan IT (information technology). (2) Tingkat downtime layanan IT (information technology) yang disebabkan oleh gangguan pada hardware, software dan jaringan.
- Indikator Risiko Utama (IRU) harus memililci nilai ambang batas yang digunakan untuk menetapkan status Indikator Risiko Utama (IRU) dan terdiri dari:
- Batas aman, yaitu rentang nilai yang diharapkan dan menunjukkan bahwa Indikator Risiko Utama (IRU) tersebut masih dalam kondisi normal, agar mencapai proyeksi Besaran Risiko pada akhir tahun yang telah ditetapkan dalam Piagam Manajemen Risiko. Penetapan batas aman mengacu pada proyeksi nilai aktual Indikator Risiko Utama (IRU) yang diharapkan sesuai proyeksi Besaran Risiko pada akhir tahun.
- Batas atas, yaitu nilai baths tertinggi Indikator Risiko Utama (IRU) yang ditoleransi, agar Besaran Risiko selama periode pemantauan tidak melampaui Besaran Risiko pada awal tahun yang telah ditetapkan dalam Piagam Manajemen Risiko. Penetapan batas atas mengacu pada nilai aktual Indikator Risiko Utama (IRU) awal tahun sesuai Besaran Risiko pada awal tahun.
- Batas bawah, yaitu nilai baths terendah Indikator Risiko Utama (IRU) yang dapat ditoleransi, agar Besaran Risiko selama periode pemantauan tidak melampaui Besaran Risiko pada awal tahun yang telah ditetapkan dalam Piagam Manajemen Risiko. Penetapan batas bawah mengacu pada nilai aktual Indikator Risiko Utama (IRU) awal tahun sesuai Besaran Risiko pada awal tahun.Contoh:Kejadian Risiko : Ketidakpercayaan publik terhadap perigelolaan keuangan negaraPenyebab : Pemberitaan negatif yang masif di media massa dan media sosialIndikator Risiko : Jumlah berita dengan tone negatif terkait Utama (IRU) Kementerian Keuangan yang muncul di media cetak dan onlineBesaran Risiko awal tahun: 19 (sembilan belas)Proyeksi Besaran Risiko akhir tahun: 14 (empat belas)Nilai aktual Indikator Risiko Utama (IRU) pada awal tahun sebesar 45 (empat puluh lima) artikel/hari, sehingga baths atas Indikator Risiko Utama (IRU) ditetapkan sebesar 45 (empat puluh lima) artikel/hari.Untuk mencapai proyeksi Besaran Risiko akhir tahun sebesar 14 (empat belas), make diharapkan jumlah berita dengan tone negatif paling banyak 30 (tiga puluh) artikel/hari, sehingga batas aman Indikator Risiko Utama (IRU) ditetapkan sebesar 30 (tiga puluh) artikel/hari.
- Ambang batas Indikator Risiko Utama (IRU) bersifat kuantitatif dan ditentukan berdasarkan data historis, benchmark, dan/atau penilaian dan keputusan (judgement) pimpinan UPR.
- Berdasarkan ambang batas, Indikator Risiko Utama (IRU) dapat dibedakan menjadi:
- Indikator Risiko Utama (IRU) yang hanya memiliki batas aman dan batas atas, yaitu Indikator Risiko Utama (IRU) yang diharapkan memiliki nilai aktual yang semakin rendah (polarisasi minimize). Penentuan status Indikator Risiko Utama (IRU) digambarkan sebagai berikut:
- Indikator Risiko Utama (IRU) yang hanya memiliki batas aman dan batas bawah, yaitu Indikator Risiko Utama (IRU) yang diharapkan memiliki nilai aktual yang semakin tinggi (polarisasi maximize). Penentuan status Indikator Risiko Utama (IRU) digambarkan sebagai berikut:
- Indikator Risiko Utama (IRU) yang memiliki batas aman, batas atas, dan batas bawah, yaitu Indikator Risiko Utama (IRU) yang diharapkan memiliki nilai aktual yang berada pada rentang nilai tertentu dalam batas aman (polarisasi stabilize). Penentuan status Indikator Risiko Utama (IRU) digambarkan sebagai berikut:
- Status Indikator Risiko Utama (IRU) memberikan informasi dini tentang adanya peningkatan atau penurunan Besaran Risiko, yang terdiri atas:
- Status aman, menunjukan tidak terdapat potensi peningkatan atau penurunan kemungkinan terjadinya Risiko rendah.
- Status waspada, menunjukan kemungkinan terjadinya Risiko sedang.
- Status awas, menunjukan kemungkinan terjadinya Risiko tinggi.
- Menyusun manual Indikator Risiko Utama (IRU) Manual Indikator Risiko Utama (IRU) merupakan penjelasan rinci yang mencakup definisi Indikator Risiko Utama (IRU), batasan nilai, formula, satuan pengukuran, jenis konsolidasi periode, jenis konsolidasi lokasi, polarisasi, penanggung jawab, penyedia data, cumber data, periode pelaporan, dan data aktual Indikator Risiko Utama (IRU). Manual Indikator Risiko Utama (IRU) menjadi acuan dalam menyusun dan melaporkan aktual Indikator Risiko Utama (IRU) serta dituangkan dalam format yang telah ditentukan dalam Keputusan Menteri Keuangan Nomor 577/KMK.01/2019 tentang Manajemen Risiko di Lingkungan Kementerian Keuangan.
-
Hasil Evaluasi Risiko Hasil evaluasi Risiko mencakup prioritas Risiko, keputusan mitigasi Risiko, dan Indikator Risiko Utama (IRU) dituangkan dalam Formulir Profil dan Peta Risiko.
-
Menyusun Peta Risiko
-
Peta Risiko merupakan gambaran kondisi Risiko yang mendeskripsikan posisi seluruh Risiko yang dikelola oleh UPR dalam Matriks Analisis Risiko.
-
Posisi setiap Risiko menunjukkan urutan prioritas Risiko.
-
Dalam hal diperlukan, UPR dapat menyusun Peta Risiko yang lebih rinci per Kategori Risiko.
-
Peta Risiko dituangkan dalam Formulir Profil dan Peta Risiko.
-
Mitigasi Risiko
Mitigasi Risiko merupakan tindakan yang bertujuan untuk menurunkan dan/atau menjaga Besaran dan/atau Level Risiko Utama hingga mencapai Risiko Residual Harapan. Mitigasi Risiko dilaksanakan dengan cara mengidentifikasi dan memilih opsi mitigasi Risiko, menyusun rencana mitigasi Risiko, dan melaksanakan rencana mitigasi tersebut, dengan tahapan sebagai berikut:
-
Memilih opsi mitigasi Risiko, berupa:
-
mengurangi kemungkinan terjadinya Risiko, yaitu mitigasi terhadap penyebab Risiko agar kemungkinan terjadinya Risiko semakin kecil. Opsi ini dalam hal UPR mampu mempengaruhi penyebab kejadian Risiko.
-
mengurangi dampak Risiko, yaitu mitigasi terhadap dampak Risiko agar dampak Risiko semakin kecil. Opsi ini dipilih dalam hal UPR mampu mengurangi dampak ketika Risiko terjadi.
-
membagi (sharing) Risiko, yaitu mitigasi Risiko dengan memindahkan sebagian atau seluruh Risiko, kepada instansi/entitas lain. Opsi ini diambil dalam hal:
- instansi/ entitas lain memiliki kompetensi/kemampuan menjalankan kegiatan dalam rangka menangani Risiko tersebut;
- proses membagi Risiko tersebut sesuai ketentuan yang berlaku; dan
- penggunaan opsi ini disetujui oleh atasan pimpinan UPR;
-
menghindari Risiko, yaitu mitigasi Risiko dengan tidak melakukan atau menghentilcan kegiatan yang akan menimbulkan Risiko. Opsi ini diambil dalam hal:
- upaya penurunan Besaran/ Level Risiko di luar kemampuan UPR;
- kegiatan yang tidak dilakukan atau dihentikan tersebut tidak menghambat pelaksanaan tugas dan fungsi jabatan; dan
- penggunaan opsi ini disetujui oleh atasan pimpinan UPR;
-
menerima Risiko, yaitu mitigasi Risiko dengan tidak melakukan tindakan apapun terhadap Risiko pada Besaran/ Level Risiko yang dapat diterima. Opsi ini diambil apabila:
- a) Besaran/Level Risiko bukan merupakan Risiko Utama;
- upaya penurunan Besaran/ Level Risiko di luar kemampuan UPR; dan
- penggunaan opsi ini disetujui oleh atasan pimpinan UPR.Prioritas opsi mitigasi Risiko dipilih berdasarkan urutan opsi mitigasi sebagaimana tersebut di atas. Mitigasi Risiko dapat merupakan kombinasi beberapa opsi.
-
-
Menyusun rencana mitigasi Risiko
-
Rencana mitigasi Risiko disusun berdasarkan opsi mitigasi Risiko yang mencakup rencana mitigasi Risiko yang diturunkan dari UPR yang lebih tinggi (mandatory) dan yang ditetapkan oleh UPR yang bersangkutan.
-
Kriteria rencana mitigasi Risiko, yaitu:
- rencana mitigasi Risiko bukan merupakan pengendalian internal yang sudah dilaksanakan dan bukan merupakan bagian dari Standard Operating Procedures (SOP) yang berlaku;
- rencana mitigasi Risiko merupakan kegiatan terobosan dan bukan kegiatan rutin;
- rencana mitigasi hams diupayakan mampu menurunkan dan mencapai Besaran/Level Risiko Residual Harapan;
- pemilihan rencana mitigasi Risiko mempertimbangkan biaya dan manfaat atau nilai tambah; dan
- rencana mitigasi Risiko merupakan kegiatan yang berada pada kewenangan dan tanggung jawab UPR.
-
Rencana mitigasi Risiko memuat informasi berikut:
- kegiatan dan tahapan kegiatan berdasarkan opsi mitigasi yang dipilih;
- output yang diharapkan atas kegiatan tersebut;
- target kuantitatif sesuai output yang telah ditetapkan;
- jadwal implementasi kegiatan mitigasi Risiko;
- penanggung jawab yang berisi unit/pejabat yang bertanggung jawab dan unit pendukung atas setiap tahapan kegiatan mitigasi Risiko;
- sumber daya yang dibutuhkan, termasuk rencana kontingensi apabila. Risiko mengakibatkan kondisi tidak normal yang mengakibatkan kerugian luar biasa atau terhentinya proses bisnis organisasi; dan
- kendala yang berpotensi menghambat pelaksanaan mitigasi.
-
Mitigasi Risiko yang efektif menurunkan Besaran/ Level Risiko dimasukkan sebagai aktivitas pengendalian pada periode berikutnya.
-
Menuangkan rencana mitigasi Risiko dan penetapan Besaran/Level Risiko Residual Harapan dalam formulir mitigasi Risiko.
-
Menjalankan rencana mitigasi Risiko Mitigasi Risiko dilaksanakan sesuai rencana dan target yang telah ditetapkan serta dilaporkan secara berkala melalui laporan pemantauan kuartalan dan tahunan.
-
Memantau Risiko. residual aktual Setelah mitigasi Risiko dilaksanakan, UPR melakukan pemantauan atas Risiko residual aktual dan mengukur Besaran/Level Risiko aktual sesuai kondisi aktual sampai dengan akhir tahun.
-
Tahapan mitigasi Risiko diterapkan untuk Risiko atas inisiatif strategis atau proyek berdurasi lebih dari enam bulan sesuai langkah di atas.
-
Pemantauan dan Review
Tahapan ini bertujuan untuk memastikan bahwa implementasi Manajemen Risiko berjalan secara efektif sesuai dengan rencana dan memberikan umpan balik bagi penyempurnaan proses Manajemen Risiko. Pemantauan dan review Risiko dilaksanakan terhadap seluruh tahapan Proses Manajemen, dengan penjelasan sebagai berikut:
-
Pemantauan, Bentuk pemantauan yang dilakukan oleh UPR terdiri atas:
-
Pemantauan berkelanjutan (on-going monitoring), Pemantauan yang dilakukan secara terus menerus, tanpa periode waktu tertentu, atas perubahan kondisi lingkungan organisasi dan faktor-faktor yang mempengaruhi Risiko. Pemantauan berkelanjutan dilakukan terhadap seluruh Risiko, termasuk Risiko atas inisiatif strategis atau proyek.
-
Pemantauan berkala
-
Pemantauan berkala dilakukan secara kuartalan bersamaan dengan pelaksanaan Dialog Kinerja Organisasi (DKO), yaitu pada bulan April, Juli, Oktober, dan Januari pada tahun berikutnya.
-
Pemantauan secara kuartalan dilaksanakan atas:
-
Besaran Risiko dan Level Risiko, yang ditentukan berdasarkan Level Kemungkinan dan Level Dampak Risiko sesuai analisis sampai dengan periode pemantauan, dengan mempertimbangkan kejadian kerugian yang telah terjadi (loss event), mitigasi Risiko yang telah dilaksanakan, dan pengendalian internal.
-
Status Indikator Risiko Utama (IRU), yang ditentukan dengan membandingkan realisasi Indikator Risiko Utama (IRU) dengan ambang baths Indikator Risiko Utama (IRU) pada periode pemantauan.
-
Proyeksi Besaran Risiko, merupakan perkiraan perubahan besaran Risiko kualitatif berdasarkan status Indikator Risiko Utama (IRU), yang terdiri dan tiga kategori, yaitu:
- Tetap apabila status Indikator Risiko Utama (IRU) waspada.
- Naik apabila status Indikator Risiko Utama (IRU) awas.
- Turun apabila status Indikator Risiko Utama (IRU) normal. Jika status Indikator Risiko Utama (IRU) waspada atau awas, efektivitas mitigasi Risiko yang telah dilaksanakan perlu dievaluasi kembali.
-
Pelaksanaan rencana mitigasi Risiko yang ditetapkan pada awal tahun dan target output yang direncanakan.
-
- Hasil pemantaiaan berkala dilaporkan dengan menggunakan contoh format sebagaimana Lampiran Huruf C.3.b.2) Keputusan Menteri Keuangan Nomor 577/KMK.01/2019 tentang Manajemen Risiko di Lingkungan Kementerian Keuangan.
- Inisiator, pimpinan, dan partisipan pemantauan Risiko sebagaimana tabel berikut:
-
-
-
Review, Pelaksanaan review terdiri dari dua jenis, yaitu:
-
Review implementasi Manajemen Risiko, Review ini bertujuan melihat kesesuaian pelaksanaan dan output seluruh Proses Manajemen Risiko dengan ketentuan yang berlaku. Review ini dilaksanakan oleh Unit Kepatuhan Internal (UKI) dan/atau pengelola Risiko sesuai lingkup tugas dan kewenangannya.
-
Penilaian Tingkat Kematangan Penerapan Manajemen Risiko (TKPMR), Penilaian Tingkat Kematangan Penerapan Manajemen Risiko (TKPMR) bertujuan menilai kualitas penerapan Manajemen Risiko. Penilaian dapat dilakukan pada seluruh tingkatan unit penerapan Manajemen Risiko, yaitu Kementerian, Unit Eselon I, Unit Eselon II, dan unit Eselon III. Penilaian ini dilaksanakan oleh Inspektorat Jenderal dan/atau pihak lain yang memiliki kompetensi penilaian Tingkat Kematangan Penerapan Manajemen Risiko (TKPMR).
-