JURNAL AKUNTANSI PEMERINTAH
Manajemen Risiko di Lingkungan Pemerintah:
Pengantar Aplikasi pada Unit-unit Departemen Keuangan
ABSTRACT
Risk management is required not only in the private but also public organization. The reasons for its application are abundance, and it relates dominantly to the change of the environment and limited organization resources. The utilization of risk management is evidenced in the private organization. Even thought, there are stimuli or regulations in applying risk management in public sector, the evidence has not yet existed in Indonesian public organization.
The paper attempts to introduce the application of risk management in public organization with the focus on the agencies under Ministry of Finance. Concept and process of risk management in the public organization are shown including its relation with internal control. It is suggested to implement risk management in the pilot project before applying it to all agencies.
Keywords: risk management, public sector, Indonesian public organization, Ministry of Finance
PENDAHULUAN
Aktivitas organisasi sektor publik dan bisnis senantiasa berubah dan berkembang seiring dengan perubahan di lingkungan internal dan eksternal organisasi. Perubahan di lingkungan internal berupa perbaikan metode operasi (misalnya perubahan dari manual ke otomatisasi) biasanya dapat dikendalikan oleh manajemen. Sedangkan perubahan di lingkungan eksternal, seperti perubahan iklim demokrasi dan peraturan, berada di luar kontrol organisasi.
Tuntutan perubahan dan peningkatan kapabilitas organisasi memunculkan risiko (risk) dan sekaligus peluang (opportunities) bagi organisasi. Risiko berkenaan dengan kemungkinan terjadinya kegagalan dan kerugian bagi organisasi. Risiko berskala rendah tidak mengkuatirkan bagi organisasi. Namun, risiko berskala besar dapat berdampak pada tidak tercapainya tujuan dan misi dari organisasi. Kegagalan tujuan dan misi bagi organisasi publik dapat mengakibatkan distrust (ketidakpercayaan) dari publik atas pelayanan yang diberikan. Dalam kondisi terjelek dan sebagaimana yang pernah terjadi, distrust dapat menyebabkan hilangnya organisasi yang bersangkutan.
Manajemen risiko (risk management) menjadi kebutuhan yang strategis dan menentukan perbaikan kinerja dari organisasi. Pada suatu ras bangsa (Cina), karakter tulisan risiko berarti pula peluang. Risiko yang dikelola dengan optimal bahkan memunculkan berbagai peluang bagi organisasi yang bersangkutan. Manajemen risiko diperlukan untuk mengoptimalkan penggunaan sumber daya terbatas yang dimiliki organisasi. Pengalokasian sumber daya didasarkan pada prioritas risiko yang dimulai dari risiko skala tertinggi. Demikian pula, manajemen risiko yang ada perlu dievaluasi secara periodik melalui aktifitas pengendalian (internal control).
Manajemen risiko pada organisasi swasta berkembang lebih pesat dibandingkan organisasi publik (instansi Pemerintah). Fenomena ini dinilai lumrah mengingat sektor swasta memiliki ukuran-ukuran yang jelas bagi berhasil atau gagalnya organisasi. Sedangkan organisasi publik banyak berlindung pada faktor-faktor yang tidak dapat dikuantifisir. Namun, dorongan bagi sektor publik untuk melakukan manajemen risiko dalam aktivitasnya semakin meningkat, dan Departemen Keuangan meresponnya dengan menugaskan Inspektorat Jenderal sebagai compliance office for risk management.
Artikel ini dimaksudkan untuk memperkenalkan konsep risk management dan sebagai pengantar bagi applikasinya pada unit-unit di lingkungan Departemen Keuangan. Sistimatika paper disajikan sebagai berikut: (1) Pendahuluan; (2) Kebijakan Pemerintah dan Institusi Negara atas Manajemen Risiko; (3) Pengertian Manajemen Risiko; (4) Proses Manajemen Resiko; (5) Manajemen Risiko dan Fungsi Pengawasan; dan (6) Simpulan.
KEBIJAKAN PEMERINTAH DAN INSTITUSI NEGARA ATAS MANAJEMEN RISIKO
Risiko tidak tercapainya tujuan dan program organisasi tidak semata terjadi di lingkungan bisnis, namun juga di lingkungan publik. Telah banyak kritik dan keluhan berkenaan tingginya risiko yang dihadapi bila berkaitan dengan pelayanan instansi Pemerintah. Survei Masyarakat Transparansi Indonesia (MTI) yang dilakukan pada tahun 2005 misalnya menyebutkan 2 unit eselon I di lingkungan Departemen Keuangan sebagai lima besar instansi dan lembaga negara terkorup.Tambahan pula, pelayanan investasi kepada investor asing terhitung terendah dari segi waktu dan biaya dibandingkan negara-negara kawasan. Disamping itu, perkembangan demokrasi menuntut asas transparansi dan akuntabilitas pengelolaan keuangan negara dan peningkatan pelayanan publik dari waktu ke waktu.
Pihak eksekutif dan legislatif memberikan prioritas pelaksanaan ke dua asas di atas dan peningkatan pelayanan publik yang bertujuan untuk meminimalkan risiko pada instansi Pemerintah. Minimalisasi risiko tertera pada beberapa undang-undang (UU), keputusan menteri, dan Arsitektur Perbankan Indonesia (API).
UU No. 1 tahun 2004 tentang Perbendaharaan Negara pasal 58 menekankan perlunya sistem pengendalian intern (SPI) di lingkungan Pemerintah dan adanya manajemen risiko. Pasal 58 ayat 1 menyebutkan ”Dalam rangka meningkatkan kinerja, transparansi, dan akuntabilitas pengelolaan keuangan negara, Presiden selaku Kepala Pemerintahan mengatur dan menyelenggarakan SPI di lingkungan pemerintahan secara menyeluruh. Selanjutnya, ayat 2 pasal yang sama menyatakan bahwa SPI ditetapkan dengan peraturan pemerintah (PP). PP tersebut saat ini sedang disusun oleh tim inter-departemen dibawah koordinasi Menteri Keuangan, dan draft PP yang dibuat menekankan pada penilaian risiko (6 pasal) dan kegiatan pengendalian (24 pasal), atau hampir 50% dari total 69 pasal yang dirancang dalam PP tersebut. Secara umum, PP tersebut telah mengadopsi pendekatan terkini di bidang internal audit yang berasal dari COSO dan IIA. [2]
Manajemen risiko juga menjadi salah program utama dari strategi dan kebijakan (Road-map) Departemen Keuangan sebagaimana dinyatakan dalam Keputusan Menteri Keuangan (Kepmenkeu) No. 464/KMK.01/2005 tanggal 29 September 2005 tentang Pedoman Strategi dan Kebijakan Departemen Keuangan (Road-map Departemen Keuangan) tahun 2005-2009. Dalam Kepmenkeu tersebut khususnya Bidang Pengawasan Fungsional, unit-unit di lingkungan Departemen Keuangan (Depkeu) diharapkan telah menerapkan manajemen risiko di lingkungannya masing-masing terhitung sejak tahun anggaran 2007. Disamping itu, ditunjuk pula Inspektorat Jenderal (Itjen) Depkeu sebagai Compliance Office atas manajemen risiko.
Peningkatan pelayanan publik, dengan mengurangi risiko seperti biaya ekstra atau pungutan liar dalam pemberian pelayanan publik, menjadi perhatian Pemerintah yang diwujudkan dengan penerbitan Surat Edaran (SE) Menteri Pendayagunaan Aparatur Negara (Menpan) No. SE/15/M.PAN/9/2005 tentang Peningkatan Intensitas Pengawasan dalam Upaya Perbaikan Pelayanan Publik. SE tersebut meminta perhatian khusus para pimpinan departemen dan lemabaga negara dalam meningkatkan intensitas pengawasan guna perbaikan pelayanan publik melalui antara lain: (1) menetapkan standar pelayanan secara transparan dan akuntabel; dan (2) memfungsikan Aparat Pengawasan Internal Pemerintah (APIP) untuk memberikan perhatian khusus pengawasan terhadap pemberian pelayanan Publik.
Manajemen risiko termasuk program ke empat dari API berkenaan dengan Program Peningkatan Kualitas Manajemen dan Operacional Perbankan. Program ini bertujuan untuk meningkatkan Good Corporate Governance (GCG), kualitas manajemen risiko, dan kemampuan operasional manajemen. BI mewajibkan bankir dan pegawai bank pada semua level jabatan yang berhubungan langsung dengan pengelolaan risiko untuk mengikuti sertifikasi manajemen resiko.
PEMBAHASAN
PENGERTIAN MANAJEMEN RISIKO
Istilah (risk) risiko memiliki berbagai definisi. Risiko dikaitkan dengan kemungkinan kejadian atau keadaan yang dapat mengancam pencapaian tujuan dan sasaran organisasi. [3] Vaughan (1978) mengemukakan beberapa definisi risiko sebagai berikut:
- Risk is the chance of loss (Risiko adalah kans kerugian).
Chance of loss berhubungan dengan suatu exposure (keterbukaan) terhadap kemungkinan kerugian. Dalam ilmu statistik, chance dipergunakan untuk menunjukkan tingkat probabilitas akan munculnya situasi tertentu. Sebagian penulis menolak definisi ini karena terdapat perbedaan antara tingkat risiko dengan tingkat kerugian. Dalam hal chance of loss 100%, berarti kerugian adalah pasti sehingga risiko tidak ada.
- Risk is the possibility of loss (Risiko adalah kemungkinan kerugian).
Istilah possibility berarti bahwa probabilitas sesuatu peristiwa berada diantara nol dan satu. Namun, definisi ini kurang cocok dipakai dalam analisis secara kuantitatif.
- Risk is uncertainty (Risiko adalah ketidakpastian).
Uncertainty dapat bersifat subjective dan objective. Subjective uncertainty merupakan penilaian individu terhadap situasi risiko yang didasarkan pada pengetahuan dan sikap individu yang bersangkutan. Objective uncertainty akan dijelaskan pada dua definisi risiko berikut.
- Risk is the dispersion of actual from expected results (Risiko merupakan penyebaran hasil aktual dari hasil yang diharapkan).
Ahli statistik mendefinisikan risiko sebagai derajat penyimpangan sesuatu nilai disekitar suatu posisi sentral atau di sekitar titik rata-rata.
- Risk is the probability of any outcome different from the one expected (Risiko adalah probabilitas sesuatu outcome berbeda dengan outcome yang diharapkan). Menurut definisi di atas, risiko bukan probabilita dari suatu kejadian tunggal, tetapi probabilita dari beberapa outcome yang berbeda dari yang diharapkan.
Dari berbagai definisi diatas, risiko dihubungkan dengan kemungkinan terjadinya akibat buruk (kerugian) yang tidak diinginkan, atau tidak terduga. Dengan kata lain, kemungkinan itu sudah menunjukkan adanya ketidakpastian.
Risiko dapat terjadi pada pelayanan, kinerja, dan reputasi dari institusi yang bersangkutan. Risiko yang terjadi dapat disebabkan oleh berbagai faktor antara lain kejadian alam, operasional, manusia, politik, teknologi, pegawai, keuangan, hukum, dan manajemen dari organisasi.
Suatu risiko yang terjadi dapat berasal dari risiko lainnya, dan dapat disebabkan oleh berbagai faktor. Risiko rendahnya kinerja suatu instansi berasal dari risiko rendahnya mutu pelayanan kepada publik. Risiko terakhir disebabkan oleh faktor-faktor sumber daya manusia yang dimiliki organisasi dan operasional seperti keterbatan fasilitas kantor. Risiko yang terjadi akan berdampak pada tidak tercapainya misi dan tujuan dari instansi tersebut, dan timbulnya ketidakpercayaan dari publik.
Risiko diyakini tidak dapat dihindari. Berkenaan dengan sektor publik yang menuntut transparansi dan peningkatan kinerja dengan dana yang terbatas, risiko yang dihadapi instansi Pemerintah akan semakin bertambah dan meningkat. Oleh karenanya, pemahaman terhadap risiko menjadi keniscayaan untuk dapat menentukan prioritas strategi dan program dalam pencapaian tujuan organisasi.
Risiko dapat dikurangi dan bahkan dihilangkan melalui manajemen risiko. Peran dari manajemen risiko diharapkan dapat mengantisipasi lingkungan cepat berubah, mengembangkan corporate governance, mengoptimalkan penyusunan strategic management, mengamankan sumber daya dan asset yang dimiliki organisasi, dan mengurangi reactive decision making dari manajemen puncak.
Menurut COSO, risk management (manajemen resiko) dapat diartikan sebagai ‘a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, manage risk to be within its risk appetite, and provide reasonable assurance regarding the achievement of entity objectives.’ [4] Definisi risk management di atas dapat dijabarkan lebih lanjut berdasarkan kata-kata kunci sebagai berikut:
- On going process
Risk management dilaksanakan secara terus menerus dan dimonitor secara berkala. Risk management bukanlah suatu kegiatan yang dilakukan sesekali (one time event).
- Effected by people
Risk management ditentukan oleh pihak-pihak yang berada di lingkungan organisasi. Untuk lingkungan institusi Pemerintah, risk management dirumuskan oleh pimpinan dan pegawai institusi/departemen yang bersangkutan.
- Applied in strategy setting
Risk management telah disusun sejak dari perumusan strategi organisasi oleh manajemen puncak organisasi. Dengan penggunaan risk management, strategi yang disiapkan disesuaikan dengan risiko yang dihadapi oleh masing-masing bagian/unit dari organisasi.
- Applied across the enterprise
Strategi yang telah dipilih berdasarkan risk management diaplikasikan dalam kegiatan operasional, dan mencakup seluruh bagian/unit pada organisasi. Mengingat risiko masing-masing bagian berbeda, maka penerapan risk management berdasarkan penentuan risiko oleh masing-masing bagian.
- Designed to identify potential events
Risk management dirancang untuk mengidentifikasi kejadian atau keadaan yang secara potensial menyebabkan terganggunya pencapaian tujuan organisasi.
- Provide reasonable assurance
Risiko yang dikelola dengan tepat dan wajar akan menyediakan jaminan bahwa kegiatan dan pelayanan oleh organisasi dapat berlangsung secara optimal.
- Geared to achieve objectives
Risk management diharapkan dapat menjadi pedoman bagi organisasi dalam mencapai tujuan yang telah ditentukan.
Sebagaimana dijelaskan pada Gambar 1, risiko terjadi pada unit-unit dari suatu organisasi berkenaan dengan aktivitas dari masing-masing unit. Risiko terdapat pada tindakan manajemen dalam memamfaatkan sumber daya yang dimiliki (asset) dan proses operasi berikut aktivitas pengendalian yang ada. Risiko-risiko kritis dan signifikan yang tidak tertangani akan berdampak pada pencapaian tujuan-tujuan dari setiap unit. Kegagalan pencapaian tujuan pada unit akan berpengaruh langsung pada tidak terpenuhinya tujuan organisasi.
Setiap organisasi, baik pemerintah maupun swasta, tidak rentan terhadap risiko. Banyak faktor penyebab terjadinya risiko baik yang berasal dari internal perusahaan maupun lingkungan eksternal. IIA mengemukakan secara detail penentuan prioritas faktor risiko sebagaimana disajikan pada Gambar 2.
PROSES MANAJEMEN RISIKO
Pemahaman risk management memungkinkan manajemen untuk terlibat secara efektif dalam menghadapi uncertainty dengan risiko dan peluang yang berhubungan dan meningkatkan kemampuan organisasi untuk memberikan nilai tambah. Menurut COSO, proses manajemen risiko dapat dibagi ke dalam 8 komponen (tahap). Sebagaimana dijelaskan pada Gambar 3, komponen-komponen dari risiko dapat dijelaskan sebagai berikut:
Gambar 3. Risk Management Model Coso
(1) Internal environment (Lingkungan internal)
Komponen ini berkaitan dengan lingkungan dimana instansi Pemerintah berada dan beroperasi. Cakupannya adalah risk-management philosophy (kultur manajemen tentang risiko), integrity (integritas), risk-perspective (perspektif terhadap risiko), risk-appetite (selera atau penerimaan terhadap risiko), ethical values (nilai moral), struktur organisasi, dan pendelegasian wewenang.
(2) Objective setting (Penentuan tujuan)
Manajemen harus menetapkan objectives (tujuan-tujuan) dari organisasi agar dapat mengidentifikasi, mengakses, dan mengelola risiko. Objective dapat diklasifikasikan menjadi strategic objective dan activity objective. Strategic objective di instansi Pemerintah berhubungan dengan pencapaian dan peningkatan kinerja instansi dalam jangka menengah dan panjang, dan merupakan implementasi dari visi dan misi instansi tersebut. Sementara itu, activity objective dapat dipilah menjadi 3 kategori, yaitu (1) operations objectives; (2) reporting objectives; dan (3) compliance objectives.
Sumber daya manusia (SDM) yang dimiliki organisasi yang ada pada seluruh divisi dan bagian haruslah dilibatkan dan mengerti risiko yang dihadapi. Penglibatan tersebut terkait dengan pandangan bahwa setiap pejabat/pegawai adalah pemilik dari risiko. Demikian pula, dalam penentuan tujuan organisasi, hendaknya menggunakan pendekatan SMART [5] , dan ditentukan risk appetite and risk tolerance (variasi dari tujuan yang dapat diterima). [6]
Risk tolerance dapat diartikan sebagai variation dalam pencapaian objective yang dapat diterima oleh manajemen. Dalam penerapan pelayanan pajak modern seperti pengiriman SPT WP secara elektronik, diperkirakan 80% Wajib Pajak (WP) Besar akan mengimplementasikannya. Bila ditentukan risk tolerance sebesar 10%, dalam hal 72% WP Besar telah melaksanakannya, berarti tujuan penyediaan fasilitas tersebut telah terpenuhi. Disamping itu, terdapat pula aktivitas suatu organisasi seperti peluncuran roket berawak dengan risk tolerance adalah 0%.
(3) Event identification (Identifikasi risiko)
Komponen ini mengidentifikasi kejadian-kejadian potensial baik yang terjadi di lingkungan internal maupun eksternal organisasi yang mempengaruhi strategi atau pencapaian tujuan dari organisasi. Kejadian tersebut bisa berdampak positif (opportunities), namun dapat pula sebaliknya atau negative (risks).
Gambar 4. Gambar 4 Pemetaan dan Kuantifikasi Risiko
Yang perlu dicermati adalah events relationships atau hubungan antar kejadian/keadaan. Events yang terpisah mungkin memiliki risiko kecil. Namun, bila digabungkan bisa menjadi signifikan. Demikian pula, risiko yang mempengaruhi banyak business units perlu dikelompokkan dalam common event categories, dan dinilai secara aggregate.
(5) Risk response (Sikap atas risiko)
Organisasi harus menentukan sikap atas hasil penilaian risiko. Risk response dari organisasi dapat berupa: (1) avoidance, yaitu dihentikannya aktivitas atau pelayanan yang menyebabkan risiko; (2) reduction, yaitu mengambil langkah-langkah mengurangi likelihood atau impact dari risiko; (3) sharing, yaitu mengalihkan atau menanggung bersama risiko atau sebagian dari risiko dengan pihak lain; (4) acceptance, yaitu menerima risiko yang terjadi (biasanya risiko yang kecil), dan tidak ada upaya khusus yang dilakukan. Strategi dalam memilih risiko dijelaskan pada Gambar 5.
Gambar 5 Strategi Mengelola Risiko
Dalam memilih sikap (response), perlu dipertimbangkan faktor-faktor seperti pengaruh tiap response terhadap risk likelihood dan impact, response yang optimal sehingga bersinergi dengan pemenuhan risk appetite and tolerances, analis cost versus benefits, dan kemungkinan peluang (opportunities) yang dapat timbul dari setiap risk response.
(6) Control activities (Aktifitas-aktifitas pengendalian)
Komponen ini berperanan dalam penyusunan kebijakan-kebijakan (policies) dan prosedur-prosedur untuk menjamin risk response terlaksana dengan efektif. Aktifitas pengendalian memerlukan lingkungan pengendalian yang meliputi: (1) integritas dan nilai etika; (2) kompetensi; (3) kebijakan dan praktik-praktik SDM; (4) budaya organisasi; (5) filosofi dan gaya kepemimpinan manajemen; (6) struktur organisasi; dan (7) wewenang dan tanggung jawab.
Dari pemahaman atas lingkungan pengendalian, dapat ditentukan jenis dan aktifitas pengendalian. Terdapat beberapa jenis pengendalian, diantaranya adalah preventive, detective, corrective, dan directive. Sementara aktifitas pengendalian berupa: (1) pembuatan kebijakan dan prosedur; (2) pengamanan kekayaan organisasi; (3) delegasi wewenang dan pemisahan fungsi; dan (4) supervisi atasan. Aktifitas pengendalian hendaknya terintegrasi dengan manajemen risiko sehingga pengalokasian sumber daya yang dimiliki organisasi dapat menjadi optimal.
(7) Information and communication (Informasi dan komunikasi)
Fokus dari komponen ini adalah menyampaikan informasi yang relevan kepada pihak terkait melalui media komunikasi yang sesuai. Faktor-faktor yang perlu diperhatikan dalam penyampaiaan informasi dan komunikasi adalah kualitas informasi, arah komunikasi, dan alat komunikasi.
Informasi yang disajikan tergantung dari kualitas informasi yang ingin disampaikan, dan kualitas informasi dapat dipilah menjadi: (1) appropriate; (2) timely; (3) current; (4) accurate; dan (5) accessible. Arah komunikasi dapat bersifat internal dan eksternal. Sedangkan alat komunikasi berupa diantaranya manual, memo, buletin, dan pesan-pesan melalui media elektronis.
(8) Monitoring
Monitoring dapat dilaksanakan baik secara terus menerus (ongoing) maupun terpisah (separate evaluation). Aktifitas monitoring ongoing tercermin pada aktivitas supervisi, rekonsiliasi, dan aktivitas rutin lainnya.
Monitoring terpisah biasanya dilakukan untuk penugasan tertentu (kasuistis). Pada monitoring ini ditentukan scope tugas, frekuensi, proses evaluasi metodologi, dokumentasi, dan action plan.
Pada proses monitoring, perlu dicermati adanya kendala seperti reporting deficiencies, yaitu pelaporan yang tidak lengkap atau bahkan berlebihan (tidak relevan). Kendala ini timbul dari berbagai faktor seperti sumber informasi, materi pelaporan, pihak yang disampaikan laporan, dan arahan bagi pelaporan.
MANAJEMEN RISIKO DAN FUNGSI PENGAWASAN
Perkembangan peranan pengawasan internal (internal control) terkini menggunakan kerangka COSO (COSO Framework). Kerangka ini memandang internal control sebagai sebuah proses, dan dirancang untuk memberikan keyakinan tentang efektivitas dan efisiensi dari operasi, keandalan informasi atau pelaporan keuangan, dan ketaatan pada peraturan dan ketentuan yang berlaku. COSO Framework terdiri dari 5 komponen yang saling terkait, yaitu control environment, risk assessment, control activities, information and communications, dan ongoing monitoring.
Bila dicermati secara seksama, terdapat kesamaan tujuan, cara pandang, dan materi pada risk management dan internal kontrol. Seluruh komponen COSO Framework ada pada risk management. Pemahaman manajemen risiko dalam pengawasan akan mengoptimalkan fungsi pengawasan berupa efektifitas pencapaian tujuan pengawasan dan efisiensi biaya pengawasan. Dengan demikian, di satu sisi dapat dikatakan bahwa internal control is the integral part of risk management.
Risk management yang telah dilakukan oleh manajemen perlu dinilai kelayakannya melalui aktifitas internal control. Risk assessment pada internal control adalah menguji keandalan risk management organisasi pada tahapan-tahapan sebagaimana dijelaskan pada Tabel 2.
SIMPULAN
Manajemen risiko tidak semata berlaku di sektor bisnis, namun semakin mendesak untuk diapplikasikan di sektor publik. Banyak argumen pendukung, dan tampaknya faktor utama adalah perubahan lingkungan dan sumber daya yang terbatas bagi pencapaian tujaun organisasi.
Pemerintah (Departemen Keuangan) dan regulator seperti Bank Indonesia (BI) tampaknya mendukung penerapan manajemen risiko di lingkungannya. BI bahkan mewajibkan bankir dan pegawai bank yang berhubungan dengan risiko untuk memiliki sertifikasi di bidang manajemen risiko.
Risiko memiliki berbagai definisi, dan berkaitan dengan kemungkinan kejadian atau keadaan yang dapat mengancam pencapaian tujuan dan sasaran organisasi. Pada sisi lain, penanganan risiko bahkan dapat memuncul-kan peluang bagi organisasi. Risiko tidak dapat dihindari oleh organisasi, dan terdapat pada sumber daya yang dimiliki dan proses operasi termasuk pengendalian. manajemen risiko diperlukan bagi pencapaian tujuan suatu unit dan tujuan organisasi secara keseluruhan.
Menurut COSO, proses manajemen risiko dapat dibagi ke dalam 8 komponen (tahap), dimulai dari komponen lingkungan internal organisasi, penentuan tujuan, identifikasi risiko, penilaian risiko, sikap atas risiko, aktifitas pengendalian, informasi dan komunikasi, dan terakhir monitoring. Dari proses ini akan didapatkan peta risiko berikut dampaknya, dan sikap yang harus diambil.
Manajemen risiko dan pengendalian internal memiliki kesamaan materi dan komponen, dan saling terkait satu dengan lainnya. Manajemen risiko yang ada perlu dievaluasi keandalannya. Sementara itu, aktifitas pengendalian akan menjadi optimal dengan menggunakan pendekatan risiko.
Manajemen risiko dinilai feasible untuk diaplikasikan di instansi Pemerintah. Seluruh komponen proses manajemen risiko dapat digunakan pada aktifitas instansi Pemerintah. Oleh karenanya, penerapan dalam bentuk ujicoba (pilot) sudah saatnya untuk dimulai dan konsep manajemen risiko perlu disosialisasikan ke unit-unit di lingkungan Pemerintah.