| E. |
Uraian
| 1. |
Ketentuan Umum
| a. |
Sistem Pengendalian Intern yang selanjutnya disebut SPI adalah proses yang integral pada tindakan dan kegiatan yang dilakukan secara terus menerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas tercapainya tujuan Kementerian Keuangan melalui kegiatan yang efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan perundang-undangan. |
| b. |
Risiko adalah kemungkinan terjadinya suatu peristiwa yang berdampak terhadap pencapaian sasaran. |
| c. |
Manajemen Risiko adalah proses sistematis dan terstruktur untuk mengelola Risiko pada tingkat yang dapat diterima guna memberikan keyakinan yang memadai terhadap pencapaian sasaran. |
| d. |
Profil Risiko adalah dokumen yang dihasilkan dari proses Manajemen Risiko yang minimal memuat informasi daftar kejadian, penyebab, dampak risiko, level kemungkinan keterjadian risiko, dan level dampak risiko |
| e. |
Rencana Mitigasi Risiko adalah dokumen yang memuat informasi daftar kejadian risiko, langkah mitigasi, periode pelaksanaan, dan penanggung jawab. |
| f. |
Matriks Risiko dan Pengendalian (Risk Control Matrix) yang selanjutnya disebut RCM adalah matriks yang berisi sekumpulan risiko berikut level dan pengendaliannya atas suatu proses bisnis/program/kegiatan. |
| g. |
Proses bisnis strategis adalah proses yang mencakup seluruh fungsi dan subfungsi pemerintahan di bidang keuangan negara untuk mendukung Presiden dalam menyelenggarakan pemerintahan negara. |
| h. |
Proses Bisnis Operasional, yang merupakan turunan terperinci dari Proses Bisnis Strategis, berupa Standar Prosedur Operasional (SOP) yang berisi serangkaian instruksi tertulis yang memiliki aktivitas teknis yang spesifik pada pekerjaan yang akan dilakukan, paling sedikit memuat: 1) bagaimana dan kapan proses dilakukan; 2) dimana dan oleh siapa proses tersebut dilaksanakan; 3) apa layanan yang dihasilkan sebagai keluaran akhir, baik berupa barang, jasa, dan/atau layanan lainnya; dan 4) siapa pemangku kepentingan yang menjadi penerima manfaat dari layanan tersebut. |
| i. |
Pengendalian merupakan aktivitas-aktivitas yang membantu organisasi dalam melaksanakan respons risiko yang telah teridentifikasi. |
|
| 2. |
Tujuan dan Unit Penyusun RCM
| a. |
Tujuan RCM
| 1) |
Memastikan bahwa setiap Unit Kerja paham atas risiko proses bisnis dalam lingkup tugasnya. |
| 2) |
Memastikan bahwa risiko dan pengendalian yang ada di dalam setiap proses bisnis terkait selaras dengan upaya pencapaian Sasaran Strategis Kementerian Keuangan khususnya Direktorat Jenderal Bea dan Cukai serta risikonya. |
| 3) |
Mendukung pelaksanaan pengawasan terintegrasi oleh semua lini yang lebih efektif dan efisien. |
|
| b. |
Unit Penyusun RCM
| 1) |
Unit Kerja yang menyelenggarakan fungsi pembinaan organisasi, proses bisnis, standar prosedur, dan/atau tata laksana pada masing-masing unit organisasi yang bersangkutan, bertugas sebagai koordinator penyusunan RCM di lingkup Unit Organisasi. |
| 2) |
Unit Kerja pemilik proses bisnis pada kantor pusat Direktorat Jenderal Bea dan Cukai. |
|
|
| 3. |
Langkah penyusunan RCM
| a. |
Identifikasi Proses Bisnis
| 1) |
Proses bisnis yang diidentifikasi merupakan:
| a) |
Proses bisnis pada Sasaran Strategis dengan perspektif Internal Process dan Learning and Growth; |
| b) |
Proses bisnis yang diidentifikasi maksimal pada tingkat level 3 sebelum Proses Bisnis Operasional sesuai Peta Proses Bisnis Direktorat Jenderal Bea dan Cukai yang dapat diakses melalui s.kemenkeu.go.id/ProbisDJBC. |
|
| 2) |
Dengan pertimbangan keterbatasan sumber daya, maka pemilihan proses bisnis untuk disusun RCM dipilih jika memenuhi paling sedikit satu kriteria sebagai berikut:
| a) |
Terkait dengan pencapaian Sasaran Strategis yang tercantum dalam Peta Strategi Direktorat Jenderal Bea dan Cukai |
| b) |
Menjadi perhatian masyarakat/pimpinan termasuk hasil pengawasan oleh aparat intern maupun ekstern, |
| c) |
Berpengaruh langsung terhadap citra Direktorat Jenderal Bea dan Cukai dan/atau Kementerian Keuangan, |
| d) |
Terkait dengan risiko yang dimitigasi hasil dari proses manajemen risiko, |
| e) |
Memiliki kemungkinan yang tinggi untuk terjadi penyimpangan maupun fraud, dan |
| f) |
Terkait dengan akun signifikan pada laporan keuangan. |
|
| 3) |
Pada proses bisnis yang diidentifikasi, ditentukan unit pemilik proses bisnis yang selanjutnya bertanggung jawab mengelola substansi risiko proses bisnisnya. |
| 4) |
Penentuan dan penetapan unit pemilik proses bisnis dilakukan oleh Unit Kerja yang menyelenggarakan fungsi pembinaan organisasi, proses bisnis, standar prosedur, dan/atau tata laksana pada masing-masing Unit Organisasi yang bersangkutan. |
| 5) |
Proses bisnis yang diidentifikasi dalam rangka RCM secara bertahap mencakup seluruh proses bisnis dalam pelaksanaan tugas dan fungsi unit pemilik proses bisnis dan tidak terbatas pada proses bisnis terkait Sasaran Strategis dan Risiko Strategis pada profil risiko. |
| Hasil pemetaan dan pemahaman Sasaran Strategis dan identifikasi proses bisnis tersebut dituangkan dalam kolom (1), (2), dan (3) pada Tabel RCM (terlampir). |
|
| b. |
Identifikasi Risiko Proses Bisnis
| 1) |
Unit Kerja pemilik proses bisnis mengidentifikasi kejadian, penyebab, dan jenis risiko yang berpotensi menggagalkan pencapaian tujuan proses bisnis. Identifikasi kejadian dapat menggunakan contoh taksonomi kejadian, namun tidak terbatas pada:
| i. |
Ketidakakuratan, contoh: kesalahan informasi isian. |
| ii. |
Ketidaktepatan waktu, contoh: keterlambatan pencairan dana. |
| iii. |
Kegagalan, contoh: aplikasi tidak berjalan setelah disinkronisasi. |
| iv. |
Ketidakpatuhan, contoh: pelanggaran terhadap suatu peraturan. |
| v. |
Ketidaksesuaian, contoh: pengukuran tidak sesuai kriteria. |
|
| 2) |
Dalam penyusunan RCM, agar mempertimbangkan risiko insidentil, risiko berpotensi berulang, dan Loss Event Database (LED) yang dikelola oleh masing-masing Unit Pemilik Risiko. Terkait hal ini, dapat berkoordinasi dengan Pengelola Risiko UPR One dhi. Subdirektorat Manajemen Risiko, Direktorat Penerimaan dan Perencanaan Strategis. |
| 3) |
Berdasarkan daftar risiko yang telah diidentifikasi, dilakukan analisis yang lebih mendalam untuk menggali penyebab dan dampak risiko. Selanjutnya diklasifikasi jenis risikonya ke dalam aspek :'
| i. |
People : penyebab keterjadian risiko adalah orang; |
| ii. |
Process : penyebab keterjadian risiko adalah proses (kebijakan); |
| iii. |
Technology : penyebab keterjadian risiko adalah teknologi atau sistem. |
|
| 4) |
Kejadian, penyebab, dan jenis risiko yang sudah diidentifikasi dituangkan dalam kolom (4) s.d. (6) pada Tabel RCM (terlampir). |
| 5) |
Unit Organisasi menyusun RCM secara bertahap atas seluruh proses bisnis dalam lingkup tugasnya dan tidak terbatas pada risiko terkait Sasaran Strategis dan Risiko Strategis pada profil risiko. Hal ini dilakukan dalam rangka meningkatkan pemahaman atas risiko dan pengendalian dalam lingkup tugasnya. |
|
| c. |
Identifikasi Pengendalian Intern
| 1) |
Risiko dapat dimitigasi oleh beberapa aktivitas pengendalian dan sebaliknya, suatu aktivitas pengendalian dapat memitigasi beberapa risiko. |
| 2) |
Identifikasi pengendalian dilakukan dengan mengidentifikasi pengendalian- pengendalian yang telah ditetapkan dan/atau telah dilaksanakan (existing) dalam SOP/peraturan/kebijakan tertulis lainnya untuk mencegah atau mendeteksi risiko. |
| 3) |
Pengendalian intern yang sudah diidentifikasi dituangkan dalam kolom (7) pada Tabel RCM (Lampiran I). |
|
| d. |
Analisis Risiko
| 1) |
Analisis risiko bertujuan untuk menentukan Besaran Risiko dan Level Risiko. Analisis risiko dilaksanakan dengan cara menentukan level kemungkinan dan level dampak terjadinya risiko berdasarkan kriteria risiko, setelah mempertimbangkan keandalan pengendalian intern yang ada. |
| 2) |
Penentuan level kemungkinan menggunakan pendekatan kualitatif dan kuantitatif berbasis data pengamatan kejadian risiko, penyebab risiko dan melibatkan pertimbangan pimpinan organisasi berdasarkan pengalaman dan pertimbangan yang cermat. |
| 3) |
Level dampak menunjukkan tingkat konsekuensi yang mungkin terjadi atas kejadian risiko terhadap pencapaian tujuan proses bisnis. Mengukur level dampak suatu risiko berarti melakukan proyeksi atas konsekuensi yang mungkin terjadi di masa depan jika risiko terjadi. |
| 4) |
Kombinasi Level Kemungkinan dan Level Dampak Risiko menghasilkan Besaran dan level risiko. Besaran risiko dari kombinasi tersebut dapat dilihat melalui Matriks Analisis Risiko. |
| 5) |
Kriteria penentuan level kemungkinan, level dampak, dan Matriks Analisis Risiko mengacu pada Keputusan Menteri Keuangan Nomor 105/KMK.01/2022 tentang Petunjuk Pelaksanaan Manajemen Risiko Pengelolaan Keuangan Negara di Lingkungan Kementerian Keuangan (Lampiran II). |
| 6) |
Hasil analisis risiko (level kemungkinan, level dampak, dan besaran risiko) dituangkan dalam kolom (8), (9), dan (10) pada Tabel RCM (Lampiran I). |
| Untuk memastikan RCM relevan, tepat, termutakhir, Unit Kepatuhan Internal melakukan reviu atas RCM secara berkala. |
|
|
| 4. |
Pemutakhiran RCM
Dalam rangka memastikan pengelolaan risiko tetap relevan, responsif, dan strategis, unit pengelola risiko di setiap tingkatan melakukan pemutakhiran profil risiko dan/atau RCM berdasarkan hasil pengawasan yang dilakukan oleh Unit Kepatuhan Internal dan Inspektorat Jenderal. Pemutakhiran dilakukan melalui koordinasi antara unit pengelola risiko, pemilik proses bisnis, Unit Kepatuhan Internal, dan Inspektorat Jenderal.
| I. |
Tingkat UPR Two – Three
Dalam pelaksanaan pengawasan/pemantauan, Inspektorat Jenderal dan/atau Unit Kepatuhan Internal menggunakan langkah-langkah analisis dan penggunaan kriteria kemungkinan dan dampak dalam ketentuan manajemen risiko dalam perumusan temuan hasil pengawasan/pemantauan sebagai berikut:
| a. |
Analisis level kemungkinan dengan:
| 1) |
Menentukan apakah kejadian risiko/temuan termasuk dalam low frequency event atau non low frequency event; |
| 2) |
Memilih pendekatan yang akan digunakan apakah dengan pendekatan frekuensi atau probabilitas; |
| 3) |
Analisis frekuensi/probabilitas kejadian risiko berdasarkan kondisi yang ditemukan dan membandingkannya dengan kriteria yang ada sesuai level UPR. |
|
| b. |
Analisis level dampak dengan:
| 1) |
Menentukan area dampak; |
| 2) |
Mengestimasi level dampak berdasarkan kondisi yang ditemukan dan membandingkannya dengan kriteria yang ada sesuai level UPR. |
|
| c. |
UPR Two – Three melakukan penilaian kembali terhadap risiko yang dikelolanya dengan memperhatikan hasil pengawasan/pemantauan yang dilakukan oleh Inspektorat Jenderal dan/atau Unit Kepatuhan Internal. |
| d. |
Hasil penilaian kembali dimaksud dapat berupa:
| 1) |
Perubahan besaran risiko
Dalam hal besaran risiko naik dan berada di atas selera risiko organisasi, UPR perlu menyusun/memperbarui rencana mitigasi yang akan dilakukan dengan memperhatikan rekomendasi dan rencana aksi yang akan dilakukan sesuai hasil pengawasan/pemantauan. |
| 2) |
Penambahan risiko baru
Dalam hal terdapat risiko yang baru teridentifikasi, UPR melakukan proses manajemen risiko sesuai ketentuan dengan mempertimbangkan hasil pengawasan/pemantauan. |
| 3) |
Pengisian Loss Event Database
UPR melakukan pengisian LED berdasarkan hasil pengawasan/pemantauan sesuai ketentuan terkait manajemen risiko |
|
|
|
| 5. |
Penetapan RCM
| a. |
RCM yang telah disusun oleh Unit Pemilik Proses Bisnis dilakukan pembahasan bersama dengan Direktorat Kepatuhan Internal dan Inspektorat Jenderal. Pembahasan ini dilakukan dengan tujuan untuk mengintegrasikan risiko dari sudut pandang Lini I, Lini II, dan Lini III. |
| b. |
Hasil pembahasan dituangkan dalam Berita Acara yang ditandatangani oleh perwakilan Lini I, Lini II, dan Lini III. Format Berita Acara sesuai Lampiran III. |
| c. |
Penandatangan dilakukan oleh Pejabat Administrator atau Pejabat Fungsional setingkat. |
|
|
