Peraturan Badan Nomor 4 Tahun 2021 tentang MANAJEMEN RISIKO DI LINGKUNGAN BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN

Dalam Peraturan Badan ini yang dimaksud dengan: 1. Badan Pengawasan Keuangan dan Pembangunan yang selanjutnya disingkat BPKP adalah aparat pengawasan intern pemerintah yang bertanggung jawab langsung kepada PRESIDEN. 2. Risiko adalah kemungkinan terjadinya suatu peristiwa yang membawa akibat yang tidak diinginkan atas pencapaian tujuan dan sasaran organisasi. 3. Manajemen Risiko adalah serangkaian kegiatan terencana dan terukur untuk mengelola dan mengendalikan risiko yang berpotensi mengancam keberlangsungan dan pencapaian tujuan organisasi.

(1) Peraturan Badan ini dimaksudkan sebagai pedoman dalam penerapan manajemen risiko di lingkungan BPKP. (2) Peraturan Badan ini bertujuan untuk meningkatkan kualitas perencanaan, kinerja, dan efektivitas pengendalian intern melalui penerapan manajemen risiko.

Ruang lingkup Peraturan Badan ini meliputi: a. Infrastruktur Manajemen Risiko; dan b. Proses Manajemen Risiko di lingkungan BPKP.

Infrastruktur manajemen risiko sebagaimana dimaksud dalam Pasal 3 huruf a meliputi: a. Budaya Risiko; b. Struktur Manajemen Risiko; c. Sistem Informasi Manajemen Risiko; dan d. Anggaran Manajemen Risiko.

(1) Budaya risiko sebagaimana dimaksud dalam Pasal 4 huruf a merupakan sekumpulan nilai, kepercayaan, pengetahuan dan pemahaman tentang risiko, yang dimiliki bersama oleh sekelompok orang dengan tujuan yang sama. (2) Wujud pelaksanaan budaya risiko dilakukan dalam bentuk: a. komitmen pimpinan; b. pengintegrasian manajemen insiden ke dalam manajemen risiko; c. pengintegrasian manajemen risiko dalam proses bisnis organisasi; d. penyampaian informasi yang berkelanjutan mengenai risiko; e. tersedianya program pelatihan manajemen risiko untuk seluruh pegawai. f. kejelasan tugas, fungsi, serta alokasi sumber daya untuk penanganan risiko; g. penghargaan terhadap ketepatan pengambilan risiko oleh organisasi dan/atau pegawai; dan h. ketersediaan informasi risiko yang tepat sebagai landasan dalam pengambilan keputusan. (3) Pembangunan budaya risiko dilaksanakan melalui tahap: a. peningkatan kesadaran berbudaya risiko; b. manajemen perubahan budaya risiko organisasi; dan c. penyempurnaan budaya risiko organisasi. (4) Ketentuan lebih lanjut mengenai budaya risiko di lingkungan BPKP sebagaimana dimaksud pada ayat (1) diatur dengan Peraturan Badan Pengawasan Keuangan dan Pembangunan.

(1) Struktur manajemen risiko sebagaimana dimaksud dalam Pasal 4 huruf b merupakan sinergi antar personel pada semua level atau tingkatan yang memberikan perspektif lengkap tentang manajemen risiko. (2) Struktur manajemen risiko di lingkungan BPKP sebagaimana dimaksud pada ayat (1) menggunakan konsep tiga lini terdiri atas: a. Lini Pertama; b. Lini Kedua; dan c. Lini Ketiga.

(1) Lini Pertama sebagaimana dimaksud dalam Pasal 6 ayat (2) huruf a dilaksanakan oleh: a. Pemilik Risiko; dan b. Pengelola Risiko. (2) Lini Kedua sebagaimana dimaksud dalam Pasal 6 ayat (2) huruf b dilaksanakan oleh Unit Manajemen Risiko. (3) Lini Ketiga sebagaimana dimaksud dalam Pasal 6 ayat (2) huruf c dilaksanakan oleh Unit Pengawas Intern.

(1) Pemilik Risiko sebagaimana dimaksud dalam Pasal 7 ayat (1) huruf a adalah Pimpinan BPKP dan/atau Pimpinan unit kerja BPKP yang bertanggung jawab untuk melakukan manajemen risiko di lingkup kerjanya. (2) Pemilik Risiko sebagaimana dimaksud pada ayat (1) terdiri atas: a. Pemilik Risiko untuk level entitas BPKP yaitu Kepala BPKP; b. Pemilik Risiko untuk level Eselon I BPKP yaitu Sekretaris Utama dan Deputi Kepala BPKP; dan c. Pemilik Risiko untuk level Eselon II BPKP yaitu Kepala Perwakilan, Kepala Pusat, dan Inspektur BPKP. (3) Pemilik Risiko sebagaimana dimaksud pada ayat (1) bertanggung jawab: a. memastikan risiko telah diidentifikasi, dinilai, dikelola, dan dipantau; b. menentukan tingkat selera risiko yang tepat; c. mengintegrasikan manajemen risiko ke dalam pencapaian kinerja dengan MENETAPKAN dan mendelegasikan pelaksanaan rencana tindak pengendalian; dan d. menyampaikan laporan pengelolaan risiko yang disusun Pengelola Risiko kepada Unit Manajemen Risiko. (4) Laporan pengelolaan risiko sebagaimana dimaksud pada ayat (3) huruf d untuk level Eselon I BPKP ditujukan kepada Kepala BPKP dengan tembusan kepada Unit Manajemen Risiko. (5) Laporan pengelolaan risiko sebagaimana dimaksud pada ayat (3) huruf d untuk level Eselon II ditujukan kepada Sekretaris Utama c.q Unit Manajemen Risiko.

(1) Pengelola Risiko sebagaimana dimaksud dalam Pasal 7 ayat (1) huruf b adalah pejabat yang ditunjuk sebagai penanggung jawab manajemen risiko pada unit kerja masing-masing. (2) Pengelola Risiko sebagaimana dimaksud pada ayat (1) terdiri atas: a. Pengelola risiko tingkat entitas BPKP; b. Pengelola risiko tingkat Eselon I; dan c. Pengelola risiko tingkat Eselon II. (3) Pengelola Risiko sebagaimana dimaksud pada ayat (1) bertanggung jawab untuk: a memfasilitasi dan mengadministrasikan proses identifikasi dan analisis risiko dalam register dan peta risiko; b. mengadministrasikan kegiatan pengendalian dan pemantauan risiko serta menuangkannya dalam rencana tindak pengendalian; c. menyelenggarakan catatan historis atas peristiwa risiko yang terjadi dan menuangkannya ke dalam laporan peristiwa risiko; dan d. melaporkan pelaksanaan manajemen risiko kepada Pemilik Risiko.

(1) Unit Manajemen Risiko sebagaimana dimaksud dalam Pasal 7 ayat (2) adalah unit penyelenggara manajemen risiko yang ditunjuk untuk mengoordinasikan proses manajemen risiko. (2) Unit Manajemen Risiko sebagaimana dimaksud pada ayat (1) adalah Biro Manajemen Kinerja, Organisasi, dan Tata Kelola. (3) Unit Manajemen Risiko sebagaimana dimaksud pada ayat (1) memiliki tugas: a. memantau penilaian risiko dan rencana tindak pengendalian; b. memantau pelaksanaan rencana tindak pengendalian; c. memantau tindak lanjut hasil reviu atau audit atas manajemen risiko; d. memberikan umpan balik berupa usulan/rekomendasi perbaikan pelaksanaan manajemen risiko oleh Unit Pemilik Risiko; e. menyusun laporan triwulanan dan tahunan kegiatan pemantauan manajemen risiko; f. memberikan sosialisasi terkait manajemen risiko kepada seluruh unit kerja di lingkungan BPKP; dan g. memvalidasi usulan risiko baru dari Unit Pemilik Risiko.

(1) Unit Pengawas Intern sebagaimana dimaksud dalam Pasal 7 ayat (3) adalah Aparat Pengawasan Intern Pemerintah BPKP. (2) Unit Pengawas Intern sebagaimana dimaksud pada ayat (1) bertanggung jawab dalam rangka kegiatan pengawasan intern berbasis risiko. (3) Unit Pengawas Intern sebagaimana dimaksud pada ayat (1) memiliki tugas: a. memberikan keyakinan bahwa proses manajemen risiko telah sesuai dengan Peraturan Badan ini; b. melakukan evaluasi proses manajemen risiko; c. melakukan evaluasi atas pelaporan risiko kunci; d. melakukan reviu atas pengelolaan risiko kunci; dan e. memberikan keyakinan bahwa risiko telah dievaluasi secara tepat. (4) Apabila diperlukan, Unit Pengawas Intern sebagaimana dimaksud pada ayat (1) dapat memberikan: a. fasilitasi identifikasi risiko dan evaluasi risiko; dan/atau b. saran kepada manajemen dalam melakukan respons risiko. (5) Ketentuan mengenai pengawasan intern berbasis risiko sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Badan Pengawasan Keuangan dan Pembangunan Nomor 6 Tahun 2018 tentang Pengawasan Intern Berbasis Risiko.

(1) Sistem informasi manajemen risiko sebagaimana dimaksud dalam Pasal 4 huruf c merupakan sistem informasi terintegrasi berbasis aplikasi yang digunakan untuk membantu Pemilik Risiko, Pengelola Risiko, Unit Manajemen Risiko, dan Unit Pengawas Intern dalam proses manajemen risiko. (2) Sistem informasi manajemen risiko sebagaimana dimaksud pada ayat (1) dikelola oleh Unit Manajemen Risiko.

Sistem informasi manajemen risiko sebagaimana dimaksud dalam Pasal 12 dimanfaatkan untuk: a. membangun budaya risiko; b. menjaga konsistensi penerapan kebijakan manajemen risiko; c. menjaga kualitas data terkait risiko; dan d. mempercepat proses pelaporan.

(1) Anggaran manajemen risiko sebagaimana dimaksud dalam Pasal 4 huruf d diperlukan untuk penerapan manajemen risiko yang efektif. (2) Anggaran manajemen risiko dialokasikan dan disediakan oleh Pemilik Risiko. (3) Alokasi anggaran manajemen risiko sebagaimana pada ayat (2) digunakan untuk kegiatan antara lain: a. administrasi proses identifikasi risiko dan analisis risiko; b. penyusunan dan implementasi rencana tindak pengendalian; c. administrasi pemantauan atas proses manajemen risiko dan implementasi rencana tindak pengendalian; d. informasi dan komunikasi; e. koordinasi dan konsultasi; f. sosialisasi, bimbingan dan pelatihan untuk peningkatan kompetensi manajemen risiko; dan g. evaluasi terpisah atas maturitas dan efektivitas manajemen risiko.

(1) Proses manajemen risiko sebagaimana dimaksud dalam Pasal 3 huruf b merupakan penerapan kebijakan, prosedur, dan praktik manajemen secara sistematis. (2) Proses manajemen risiko sebagaimana dimaksud pada ayat (1) dilakukan oleh seluruh jajaran manajemen di lingkungan BPKP. (3) Proses manajemen risiko sebagaimana dimaksud pada ayat (1) terdiri atas: a. penetapan konteks; b. identifikasi risiko; c. analisis risiko; d. evaluasi risiko; e. respons risiko; f. pemantauan; dan g. informasi dan komunikasi.

(1) Penetapan konteks sebagaimana dimaksud dalam Pasal 15 ayat (3) huruf a merupakan proses menentukan parameter internal dan eksternal untuk mengelola risiko serta menentukan ruang lingkup kriteria risiko. (2) Penetapan konteks sebagaimana dimaksud pada ayat (1) dilakukan dengan: a. mengidentifikasi hal-hal yang mengancam eksistensi unit Pemilik Risiko; b. mengidentifikasi sasaran strategis/program strategis unit Pemilik Risiko; c. mengidentifikasi proses bisnis unit Pemilik Risiko; d. mengidentifikasi pemangku kepentingan; e. merumuskan kriteria dampak dan frekuensi; dan f. MENETAPKAN selera risiko.

(1) Identifikasi risiko sebagaimana dimaksud dalam Pasal 15 ayat (3) huruf b merupakan proses MENETAPKAN risiko. (2) Identifikasi risiko sebagaimana dimaksud pada ayat (1) dilakukan dengan mengidentifikasi dan menguraikan seluruh hal yang berpotensi risiko baik yang berasal dari faktor internal maupun eksternal.

(1) Analisis risiko sebagaimana dimaksud dalam Pasal 15 ayat (3) huruf c merupakan proses penilaian terhadap risiko yang telah teridentifikasi dalam rangka untuk MENETAPKAN peta risiko. (2) Analisis risiko sebagaimana dimaksud pada ayat (1) dilakukan dengan: a. MENETAPKAN level risiko; b. memilah risiko berdasarkan level; dan c. menyusun peta risiko.

(1) Evaluasi risiko sebagaimana dimaksud dalam Pasal 15 ayat (3) huruf d merupakan proses untuk menentukan daftar prioritas risiko. (2) Evaluasi risiko sebagaimana dimaksud pada ayat (1) dilakukan dengan membandingkan antara peta risiko dengan selera risiko yang telah ditetapkan Pemilik Risiko.

(1) Respons risiko sebagaimana dimaksud dalam Pasal 15 ayat (3) huruf e merupakan proses merancang dan MENETAPKAN rencana tindak pengendalian. (2) Kegiatan sebagaimana dimaksud pada ayat (1) dilakukan dengan cara: a. mengidentifikasi akar penyebab dari risiko-risiko terpilih; b. menyusun kegiatan pengendalian dengan mempertimbangkan akar penyebab risiko; c. menentukan indikator terlaksananya kegiatan pengendalian dan pihak yang melaksanakan kegiatan pengendalian; d. menjadwalkan penanganan risiko dengan urutan waktu berdasarkan peringkat level risiko; e. melakukan taksiran terhadap level risiko (treated risk/nilai risiko jika direspons) setelah mempertimbangkan kegiatan pengendalian.

(1) Pemantauan sebagaimana dimaksud dalam Pasal 15 ayat (3) huruf f merupakan proses pengawasan yang dilakukan secara terus-menerus untuk memastikan setiap proses manajemen risiko telah dilaksanakan. (2) Pemantauan sebagaimana dimaksud pada ayat (1) dilakukan dengan cara: a. memastikan penerapan manajemen risiko berjalan secara efektif sesuai dengan rencana; dan b. memberikan umpan balik bagi penyempurnaan proses manajemen risiko.

(1) Informasi dan komunikasi sebagaimana dimaksud dalam Pasal 15 ayat (3) huruf g merupakan proses penyediaan dan pemanfaatan sarana komunikasi untuk menunjang pelaksanaan manajemen risiko. (2) Informasi dan komunikasi sebagaimana dimaksud pada ayat (1) dilakukan dengan cara: a. rapat berkala; b. dialog risiko; c. penggunaan sistem informasi; dan/atau d. pelaporan berkala.

Pedoman sebagaimana dimaksud dalam Pasal 3 sampai dengan Pasal 22 tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

Pada saat Peraturan Badan ini mulai berlaku, peraturan yang mengatur mengenai Manajemen Risiko di lingkungan BPKP tetap berlaku sepanjang tidak bertentangan dengan Peraturan Badan ini.

Peraturan Badan ini mulai berlaku pada tanggal diundangkan. Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Badan ini dengan penempatannya dalam Berita Negara Republik INDONESIA. Ditetapkan di Jakarta pada tanggal 7 April 2021 KEPALA BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN REPUBLIK INDONESIA, ttd. MUHAMMAD YUSUF ATEH Diundangkan di Jakarta pada tanggal 12 April 2021 DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA, ttd WIDODO EKATJAHJANA