00 Konsepsi Asurans Atas TKMRP Final

KONSEPSI
ASURANS ATAS TATA

KELOLA, MANAJEMEN
RISIKO DAN
PENGENDALIAN
ORGANISASI K/L/D
2023
Deputi Bidang Pengawasan
Penyelenggaraan Keuangan Daerah
KATA PENGANTAR
Asurans atas tata kelola, manajemen risiko dan pengendalian intern

(Governance, Risk Management, and Internal Control/GRC) organisasi merupakan
konsep penting dalam dunia audit internal. Konsep ini mencakup proses penilaian dan
penjaminan atas efektivitas dari tata kelola, manajemen risiko, dan pengendalian
intern sebuah organisasi.
GRC merupakan elemen kunci dalam pengelolaan risiko dan strategi
organisasi. Penerapan GRC yang efektif akan memastikan organisasi dapat
memenuhi tujuan secara efisien dan efektif, serta dapat meminimalkan risiko dan
fraud. Oleh karena itu, sebagai bagian dari peran audit internal, asurans atas GRC
sangat penting untuk memastikan bahwa praktik-praktik terbaik dalam pengelolaan
risiko, tata kelola, dan pengendalian intern telah diterapkan dengan baik di dalam
organisasi.
Dalam melaksanakan asurans GRC organisasi, APIP perlu memiliki
pemahaman yang luas tentang tata kelola, manajemen risiko, dan pengendalian
internal yang ada dalam organisasi Kementerian/Lembaga/Pemerintah Daerah. Untuk
memahami proses asurans atas GRC, dibutuhkan pengetahuan mendalam tentang
kerangka kerja manajemen risiko dan pengendalian intern yang ada pada sektor
publik antara lain Peraturan Pemerintah Nomor 60 Tahun 2008, Peraturan BPKP
Nomor 5 Tahun 2021, Peraturan Deputi Bidang Pengawasan Penyelenggaraan
Keuangan Daerah Nomor 4 Tahun 2020 dan sebagainya. Dalam hal ini, APIP terlebih
dahulu agar memastikan bahwa kerangka kerja yang digunakan oleh K/L/D sesuai
dengan kebijakan yang ada serta disesuaikan dengan kebutuhan dan karakteristik
organisasi.
Dalam proses asurans GRC organisasi, APIP melakukan evaluasi atas tata
kelola, manajemen risiko dan praktik pengendalian intern organisasi, serta
memastikan bahwa dalam melakukan implementasi mampu mengidentifikasi,
mengukur, dan mengelola risiko yang dihadapi organisasi. Dengan melakukan
asurans GRC, APIP diharapkan dapat memberikan rekomendasi yang bermanfaat
bagi manajemen dalam meningkatkan tata kelola, manajemen risiko, dan
pengendalian intern pada organisasi. Rekomendasi tersebut agar membantu
organisasi untuk memperbaiki praktik-praktik yang kurang efektif dan memperkuat
sistem pengendalian intern.
i
DAFTAR ISI
HALAMAN
KATA PENGANTAR .......................................................................................... i
DAFTAR ISI ....................................................................................................... iii
BAB I. PENDAHULUAN .................................................................................... 1
A. LATAR BELAKANG ................................................................................ 1
B. TUJUAN KONSEPSI ............................................................................... 2
C. SISTEMATIKA PENYAJIAN ................................................................... 3
BAB II. KONSEPSI ASURANS ATAS TATA KELOLA, MANAJEMEN RISIKO, 4
DAN PENGENDALIAN (GRC) ..........................................................................
A. TATA KELOLA, MANAJEMEN RISIKO, DAN PENGENDALIAN (GRC) 4
B. ASURANS ATAS GRC ........................................................................... 5
C. URGENSI ASURANS ATAS GRC ORGANISASI .................................. 7
D. WAKTU PELAKSANAAN ASURANS ATAS GRC ORGANISASI .......... 9
BAB III. IMPLEMENTASI ASURANS ATAS GRC ............................................ 10
A. BENTUK ASURANS ATAS GRC ........................................................... 10
B. IMPLEMENTASI NORMATIF BENTUK ASURANS ATAS GRC DI 16
INDONESIA ...........................................................................................
C. KESIMPULAN ........................................................................................ 20
LAMPIRAN I PENGAWASAN PROGRAM LINTAS SEKTORAL/LINTAS UNIT
KERJA (CROSS-CUTTING PROGRAMME) BERBASIS RISIKO
SEBAGAI REPRESENTASI DARI PENGAWASAN
KESELURUHAN/MAKRO ATAS GRC ORGANISASI
LAMPIRAN II ANALISIS KOLEKTIF ATAS SELURUH HASIL PENGAWASAN
APIP PADA RENTANG WAKTU TERTENTU
LAMPIRAN III ASURANS ATAS EFEKTIVITAS MANAJEMEN RISIKO
REFERENSI
TIM PENYUSUN
iii
BAB I
PENDAHULUAN
A. LATAR BELAKANG
Setiap organisasi pasti menghadapi berbagai risiko, baik dari dalam maupun
luar organisasi. Dengan perkembangan lingkungan yang semakin cepat dan
kompleks serta persaingan yang semakin berat, maka risiko-risiko yang dihadapi
suatu organisasi untuk mencapai tujuan akan semakin kompleks. Guna
mengantisipasi dan mengatasi risiko-risiko tersebut, diperlukan praktik tata kelola
serta fungsi manajemen risiko yang baik agar risiko-risiko yang ada tidak
menyebabkan terganggunya pencapaian tujuan organisasi.
Aparat Pengawasan Intern Pemerintah (APIP) sebagai lembaga yang
bertanggung jawab untuk melakukan pengawasan terhadap pengelolaan
keuangan, akuntabilitas, dan tata kelola pemerintahan, memiliki peran penting
dalam memastikan bahwa organisasi pemerintahan menjalankan praktik-praktik
tata kelola, manajemen risiko, dan pengendalian intern (GRC) yang baik. Melalui
pengawasan internal, APIP dapat memastikan bahwa praktik-praktik GRC yang
diterapkan dalam lingkup pemerintahan telah efektif dan efisien. Lebih lanjut,
SAIPI Paragraf 2100 mendefinisikan bahwa pengawasan intern harus
mengevaluasi dan memberikan kontribusi pada perbaikan tata kelola, manajemen
risiko, dan pengendalian intern pada organisasi dengan menggunakan
pendekatan sistematis, disiplin, dan berbasis risiko. Kredibilitas dan nilai
pengawasan intern meningkat apabila auditor bersikap proaktif dan hasil
pengawasannya memberikan wawasan baru beserta pertimbangan dampaknya
di masa depan.
Dalam melakukan pengawasan atas tata kelola, APIP berperan dalam
mengevaluasi rancangan, implementasi dan efektivitas kegiatan, program, dan
tujuan yang berkaitan dengan etika organisasi. Dalam manajemen risiko, APIP
berperan dalam mengevaluasi paparan/eksposur risiko terhadap tata kelola,
operasi, dan sistem informasi organisasi serta mengevaluasi potensi terjadinya
fraud dan bagaimana organisasi mengelola risiko fraud tersebut. Selain itu,
pengendalian intern APIP berperan dalam mengevaluasi kecukupan dan
efektivitas pengendalian dalam merespons risiko tata kelola, operasi, dan sistem
informasi organisasi (SAIPI Paragraf 2110, 2020 dan 2130). Atas hasil
pengawasan-pengawasan tersebut, APIP perlu menyimpulkan kondisi GRC
1
organisasi secara keseluruhan dan memberikan rekomendasi strategis bagi
pimpinan organisasi.
Selain itu, untuk meningkatkan Kapabilitas APIP, diterbitkan Peraturan BPKP
Nomor 8 Tahun 2021 tentang Penilaian Kapabilitas APIP K/L/D. Dalam peraturan
tersebut terdapat topik yang harus dipenuhi oleh APIP dalam rangka penilaian
kapabilitasnya yaitu Topik Asurans atas tata kelola, manajemen risiko, dan
pengendalian organisasi K/L/D (Overall Assurance on Governance, Risk, and
Control/GRC). Substansi penilaian yang harus dipenuhi dari topik tersebut adalah
APIP melaksanakan kegiatan pengawasan dalam rangka pemberian opini atas
efektivitas dan kecukupan tata kelola, manajemen risiko, dan proses
pengendalian organisasi secara menyeluruh.
Untuk terus meningkatkan kapabilitasnya, penting bagi APIP untuk
memahami konsepsi asurans GRC organisasi dan bagaimana APIP dapat
menerapkan asurans GRC dalam organisasi sehingga APIP mampu memberikan
opini menyeluruh kepada manajemen dan pemangku kepentingan lain mengenai
efektivitas GRC yang diterapkan dalam organisasi. Selain itu, dengan memahami
konsepsi asurans GRC organisasi, akan memudahkan APIP dalam memenuhi
topik Asurans atas tata kelola, manajemen risiko, dan pengendalian organisasi
K/L/D pada penilaian kapabilitas APIP.
B. TUJUAN KONSEPSI
Konsepsi ini diharapkan dapat mendefinisikan dan memberi contoh bentuk
penyelenggaraan aktivitas asurans atas GRC organisasi pada APIP K/L/D sesuai
dengan perkembangan dan praktik-praktik terbaik pengawasan intern. Dengan
memahami konsepsi asurans GRC organisasi, dapat membantu APIP dalam
merancang bentuk asurans atas GRC yang dapat menghasilkan opini menyeluruh
atas kondisi GRC organisasi pemerintah.
Selain itu, dengan memahami konsepsi asurans GRC organisasi akan
memudahkan APIP dalam memenuhi Topik Asurans GRC Organisasi terkait
Elemen Peran dan Layanan sesuai dengan Peraturan BPKP Nomor 8 Tahun 2021
tentang Penilaian Kapabilitas APIP Kementerian/Lembaga/Pemerintah Daerah.
2
C. SISTEMATIKA PENYAJIAN
Pedoman ini disajikan dengan sistematika sebagai berikut:
I. PENDAHULUAN
Bagian ini menguraikan latar belakang, tujuan dan sistematika penyajian
pedoman.
II. KONSEPSI ASURANS ATAS TATA KELOLA, MANAJEMEN RISIKO, DAN
PENGENDALIAN (GRC)
Bagian ini membahas gambaran umum terkait tata kelola, manajemen risiko,
dan pengendalian (GRC), asurans GRC, urgensi asurans GRC, dan waktu
pelaksanaan asurans GRC.
III. IMPLEMENTASI ASURANS GRC
Bagian ini menguraikan penerapan bentuk asurans GRC, asurans GRC di
Indonesia, dan kesimpulan bentuk asurans GRC organisasi yang dapat
digunakan sebagai dasar penilaian kapabilitas APIP.
3
BAB II
KONSEPSI ASURANS ATAS TATA KELOLA, MANAJEMEN RISIKO, DAN
PENGENDALIAN (GRC)
A. TATA KELOLA, MANAJEMEN RISIKO, DAN PENGENDALIAN (GRC)

Tata kelola, manajemen risiko, dan pengendalian intern (GRC) merupakan
tiga konsep penting yang saling terkait dan saling mendukung dalam rangka
mengelola organisasi dengan baik. Berikut adalah penjelasan singkat mengenai
hubungan antara ketiga konsep ini (SAIPI 2021):
1. Tata kelola adalah kombinasi proses dan struktur yang dilaksanakan oleh
manajemen untuk menginformasikan, mengarahkan, mengelola, dan
memantau kegiatan organisasi menuju pencapaian tujuannya.
2. Manajemen risiko adalah sebuah proses untuk mengidentifikasi, menilai,
mengelola, dan mengendalikan peristiwa atau situasi potensial untuk
memberikan keyakinan memadai tentang pencapaian tujuan organisasi.
3. Pengendalian intern adalah prosedur, mekanisme, kebijakan, atau aktivitas
yang dijalankan oleh manajemen dan/atau pihak lain untuk mengelola risiko
dan meningkatkan kemungkinan bahwa tujuan dan sasaran akan dicapai.
Ketiga konsep ini merupakan satu kesatuan yang saling terkait, tidak dapat
berdiri sendiri, dan saling melengkapi dalam menjaga keberhasilan organisasi.
Tata kelola yang baik memberikan dasar untuk penerapan manajemen risiko yang
efektif, sementara manajemen risiko yang baik memungkinkan organisasi
mengidentifikasi risiko yang dapat mempengaruhi tujuan organisasi.
Pengendalian intern yang baik memastikan bahwa organisasi dapat mengelola
risiko tersebut dengan cara yang efektif dan efisien, dan memastikan tujuan
organisasi dicapai dengan integritas dan kepatuhan yang tinggi. Dengan
demikian, pengelolaan tata kelola, manajemen risiko, dan pengendalian intern
yang baik dapat membantu organisasi mencapai tujuannya dengan cara yang etis,
efektif, dan efisien (Sobel, 2015). Hal ini juga dapat membantu organisasi
meningkatkan transparansi, membangun kepercayaan pemangku kepentingan,
dan mengurangi risiko yang dihadapi oleh organisasi.
4
B. ASURANS ATAS GRC
Menurut Standar Internasional Praktik Profesional Audit Internal (IPPF, 2017),
aktivitas audit intern adalah departemen, divisi, tim konsultan atau praktisi lainnya
yang memberikan jasa asurans (assurance activities) dan konsultansi (consulting
activities) yang independen dan objektif, yang dirancang untuk memberikan nilai
tambah dan meningkatkan kegiatan operasi organisasi. Aktivitas audit internal
membantu organisasi mencapai tujuannya, melalui pendekatan yang sistematis
dan teratur dalam mengevaluasi dan meningkatkan efektivitas proses
pengelolaan risiko, pengendalian, dan tata kelola.
Hal tersebut selaras dengan SAIPI (2021) yang menjelaskan bahwa
pengawasan intern adalah seluruh proses kegiatan audit, reviu, evaluasi,
pemantauan, dan kegiatan pengawasan lain terhadap penyelenggaraan tugas
dan fungsi organisasi dalam rangka memberikan keyakinan yang memadai bahwa
kegiatan telah dilaksanakan sesuai dengan tolok ukur yang telah ditetapkan
secara efektif dan efisien untuk kepentingan pimpinan dalam mewujudkan tata
pemerintahan yang baik.
Aparat Pengawasan Intern Pemerintah (APIP) memiliki peran yang strategis
dalam mengawal pencapaian tujuan Kementerian/Lembaga/Pemerintah Daerah.
Sesuai Peraturan Pemerintah Nomor 60 Tahun 2008 pasal 11, APIP diharapkan
mampu mewujudkan perannya secara efektif dalam rangka: a) memberikan
keyakinan yang memadai atas ketaatan, kehematan, efisiensi, dan efektivitas
pencapaian tujuan penyelenggaraan tugas dan fungsi instansi pemerintah; b)
memberikan peringatan dini dan meningkatkan efektivitas manajemen risiko
dalam penyelenggaraan tugas dan fungsi instansi pemerintah; c) memelihara dan
meningkatkan kualitas tata kelola penyelenggaraan tugas dan fungsi instansi
pemerintah. Menurut SAIPI paragraf 2000, pengawasan intern yang dilakukan
APIP dapat dikatakan telah dikelola secara efektif ketika pengawasan Intern
memberikan nilai tambah bagi organisasi dan pemangku kepentingan.
Pengawasan Intern memberikan nilai tambah bagi organisasi dan pemangku
kepentingan apabila mempertimbangkan strategi, tujuan dan risiko; memberikan
kontribusi terhadap peningkatan proses tata kelola, manajemen risiko, dan
pengendalian intern; dan secara objektif memberikan asurans.
Pengertian asurans menurut SAIPI adalah pengujian objektif terhadap bukti
dengan maksud untuk memberikan penilaian yang independen atas proses tata
5
kelola, manajemen risiko, dan kegiatan pengendalian. Kegiatan asurans
mencakup audit, reviu, evaluasi dan pemantauan (AAIPI, 2021). Berdasarkan
pengertian tersebut dapat disimpulkan bahwa tujuan asurans adalah untuk
menilai efektivitas tata kelola, manajemen risiko, dan pengendalian intern. Hal ini
sejalan dengan peran auditor intern dalam Model Tiga Lini, IIA (2020) yang
menguraikan sebuah model yang terdiri dari:
1. Lini pertama berperan dalam penyediaan produk/jasa kepada klien
(stakeholders) dan mengelola risiko;
2. Lini kedua berperan sebagai ekspertis, bantuan, pemantauan, dan tantangan
atas hal-hal yang terkait dengan risiko; dan
3. Lini ketiga yaitu audit internal berperan memberikan asurans dan advis yang
independen dan objektif mengenai kecukupan dan efektivitas tata kelola dan
manajemen risiko. Hal ini dapat tercapai melalui penerapan yang kompeten
dari proses-proses, keahlian, dan wawasan yang sistematis dan terstruktur.
Auditor internal melaporkan temuannya kepada manajemen dan organ
pengurus untuk mendorong dan memfasilitasi pengembangan berkelanjutan.
Dalam melaksanakan hal ini, audit internal dapat mempertimbangkan asurans
dari penyedia asurans internal maupun eksternal.
Berdasarkan model tersebut, peran utama auditor internal atau APIP sebagai
lini ketiga adalah menilai efektivitas tata kelola, manajemen risiko, dan
pengendalian organisasi melalui asurans GRC.
Internal Audit Capability Model (IA-CM) for Public Sector (2017), menjelaskan
tujuan asurans GRC adalah “To conduct sufficient work to provide an opinion on
the overall adequacy and effectiveness of the organization’s governance, risk
management, and control processes. The IA activity has coordinated its audit
services to be sufficiently comprehensive that it can provide reasonable assurance
at a corporate level that these processes are adequate and functioning as
intended to meet the organization’s objectives”.
Dari penjelasan tersebut, dapat disimpulkan bahwa asurans GRC merupakan
proses di mana auditor intern memberikan keyakinan atau pendapat independen
mengenai efektivitas dan efisiensi proses tata kelola, manajemen risiko serta
pengendalian intern yang telah diimplementasikan oleh suatu organisasi.
6
Dalam proses ini, auditor intern melakukan evaluasi terhadap proses tata
kelola, manajemen risiko, dan pengendalian intern dalam organisasi dengan
tujuan untuk memberikan keyakinan pada manajemen dan pemangku
kepentingan lain bahwa praktik-praktik yang digunakan dalam tata kelola,
manajemen risiko, dan pengendalian intern telah berjalan dengan baik dan
memenuhi standar yang telah ditetapkan. Melalui asurans GRC diharapkan
mampu menghasilkan suatu opini menyeluruh (overall opinion) terhadap
penyelenggaraan tata kelola, manajemen risiko, dan pengendalian yang ada di
organisasi.
C. URGENSI ASURANS ATAS GRC
Perubahan lingkungan dan kemajuan teknologi setelah pandemi Covid-19
telah menyebabkan berbagai perubahan yang sangat cepat pada berbagai sektor.
Perubahan dimaksud terjadi dalam skala besar (volatility), sulit melakukan
prediksi secara akurat apa yang akan terjadi (uncertainty), tantangan menjadi
lebih rumit karena berbagai faktor yang saling terkait (complexity), dan tidak jelas
suatu kejadian dan mata rantai akibatnya (ambiguity). Hal ini dikenal dengan
istilah ‘VUCA’. Hal ini juga menuntut peningkatan peran dan layanan APIP untuk
lebih bersifat agile dan mampu memberikan rekomendasi-rekomendasi strategis
dalam meningkatkan GRC organisasi.
Berdasarkan hal tersebut maka kebutuhan akan asurans atas efektivitas GRC
organisasi sektor publik di Indonesia sangat penting untuk memastikan bahwa
organisasi dapat beroperasi secara efektif, efisien, dan akuntabel dalam
memenuhi tuntutan dan harapan masyarakat serta memastikan kepatuhan pada
aturan dan standar yang berlaku.
Panduan APIP untuk melaksanakan pengawasan atas GRC telah diatur
dalam SAIPI. Pada paragraf 2100, didefinisikan bahwa sifat dasar pengawasan
intern harus mengevaluasi dan memberikan kontribusi pada perbaikan tata kelola,
manajemen risiko, dan pengendalian intern pada organisasi dengan
menggunakan pendekatan sistematis, disiplin, dan berbasis risiko. Kredibilitas
dan nilai Pengawasan Intern meningkat apabila auditor bersikap proaktif dan hasil
pengawasannya memberikan wawasan baru beserta pertimbangan dampaknya
dimasa depan.
Lebih lanjut, SAIPI mendefinisikan bahwa setiap komponen GRC yaitu
Governance (Tata Kelola), Risk (Manajemen Risiko), dan Control (Pengendalian
7
Intern) merupakan tanggung jawab APIP dalam konteks pengawasan intern. Pada
paragraf 2110, 2120, dan 2130 berturut-turut dijelaskan sebagai berikut.
1. Tata Kelola
Pengawasan Intern harus menilai dan memberikan rekomendasi yang
memadai untuk meningkatkan proses tata kelola organisasi dalam:
- Membuat keputusan strategis dan operasional;
- Mengawasi manajemen risiko dan pengendalian;
- Mendorong penerapan etika dan nilai-nilai organisasi;
- Memastikan efektivitas pengelolaan dan akuntabilitas kinerja organisasi;
- Mengomunikasikan informasi risiko dan pengendalian pada area yang
sesuai dalam organisasi; dan
- Mengoordinasikan kegiatan dan mengomunikasikan informasi di antara
Pimpinan K/L/D, Pimpinan Unit Organisasi, auditor ekstern dan intern,
para penyedia jasa asurans lainnya, serta Pimpinan Unit Kerja.
2. Manajemen Risiko
Pengawasan Intern harus mengevaluasi efektivitas dan berkontribusi
terhadap peningkatan proses manajemen risiko.
3. Pengendalian Intern
Pengawasan Intern harus membantu organisasi dalam memelihara
pengendalian intern yang efektif dengan mengevaluasi efektivitas dan
efisiensinya serta mendorong perbaikan berkelanjutan.
Tata kelola, manajemen risiko, dan pengendalian intern (GRC) merupakan
komponen krusial pada seluruh organisasi. GRC yang efektif memastikan seluruh
kegiatan dilaksanakan sesuai dengan ketentuan, meminimalkan risiko, dan
memaksimalkan peluang.
Dapat disimpulkan, asurans GRC memiliki peran yang krusial bagi efektivitas
dan akuntabilitas organisasi. Pengawasan Internal memiliki peran yang penting
antara lain untuk memastikan bahwa organisasi telah mematuhi peraturan dan
kebijakan, mengelola risiko secara efektif, menjaga kecukupan pengendalian
intern, menjalankan komunikasi secara transparan dan bertanggungjawab, serta
menjalankan perbaikan yang berkelanjutan. Sehingga outcome dari APIP yang
melakukan asurans atas GRC organisasi yaitu (IACM, 2017):
8
1. Meningkatnya keyakinan (confidence) pimpinan organisasi bahwa GRC telah
memadai dan berfungsi untuk memenuhi tujuan organisasi.
2. Pimpinan organisasi dapat memperbaiki GRC sesuai rekomendasi APIP.
3. Pelaksanaan pengawasan intern terintegrasi yang selaras dengan tujuan
organisasi sehingga pimpinan mendapatkan gambaran komprehensif dan
holistik mengenai efektivitas GRC untuk memungkinkan pimpinan dapat
menetapkan prioritas dan mengambil keputusan yang diperlukan.
4. Hasil pengawasan APIP digunakan oleh organisasi untuk memperkuat GRC.
D. WAKTU PELAKSANAAN ASURANS ATAS GRC
Pengawasan intern harus memastikan tata kelola, manajemen risiko, dan
pengendalian intern sepanjang tahun sebagai bagian dari pengawasan
berkelanjutan. Dapat diartikan APIP harus memantau pelaksanaan GRC
organisasi secara terus menerus untuk memastikan efektivitas dan efisiensinya.
Auditor internal diharapkan melaporkan hasil pengawasan asurans atas GRC
organisasi secara periodik untuk memastikan framework GRC berjalan dengan
efektif dan seluruh risiko telah dikelola secara tepat. Waktu dan frekuensi
pelaporan asurans GRC dapat disesuaikan sesuai dengan tingkat risiko dan
kompleksitas organisasi.
9
BAB III
IMPLEMENTASI ASURANS ATAS GRC
A. BENTUK ASURANS ATAS GRC

Sesuai dengan Peraturan BPKP Nomor 8 Tahun 2021 tentang Penilaian
Kapabilitas APIP K/L/D, topik Asurans atas tata kelola, manajemen risiko, dan
pengendalian organisasi K/L/D (Overall Assurance on Governance, Risk, and
Control/GRC) memiliki keterangan yaitu “APIP melaksanakan kegiatan
pengawasan dalam rangka pemberian opini atas efektivitas dan kecukupan tata
kelola, manajemen risiko, dan proses pengendalian organisasi secara
menyeluruh. APIP mengoordinasikan kegiatan pengawasannya agar cukup
komprehensif sehingga dapat memberikan keyakinan memadai di tingkat
organisasi bahwa pengawasan individual memadai dan berfungsi sebagaimana
dimaksudkan untuk memenuhi tujuan organisasi”. Untuk dapat memenuhi
substansi dari topik tersebut, dapat digunakan kerangka Pengawasan Intern
Berbasis Risiko.
Sesuai Peraturan BPKP Nomor 6 Tahun 2018 tentang Pengawasan Intern
Berbasis Risiko (PIBR), PIBR adalah sebuah metodologi yang menghubungkan
audit intern dengan seluruh kerangka manajemen risiko yang memungkinkan
audit intern memberikan keyakinan memadai bahwa proses manajemen risiko
organisasi telah dikelola dengan efektif sehubungan dengan risiko yang dapat
diterima (risk appetite).
PIBR merupakan suatu pendekatan pengawasan yang dilakukan dengan
mempertimbangkan risiko-risiko yang dihadapi oleh suatu organisasi. Pendekatan
tersebut memfokuskan pengawasan pada risiko-risiko yang berdampak signifikan
pada pencapaian tujuan organisasi sehingga diharapkan dapat meningkatkan
efektivitas pengendalian intern.
Dalam kerangka PIBR, tahapan pengawasan dibagi menjadi tiga tahapan,
meliputi:
1. Tahap 1 - Penilaian Kematangan Manajemen Risiko
Penilaian tingkat manajemen risiko (MR) organisasi bertujuan untuk menilai
dan melaporkan hasil penilaian MR auditable unit kepada pimpinan organsasi.
Penilaian tingkat kematangan manajemen risiko mengindikasikan keandalan
register risiko yang akan digunakan untuk perencanaan pengawasan.
10
Kesimpulan hasil Penilaian Kematangan MR akan digunakan sebagai strategi
rencana pengawasan.
2. Tahap 2 – Perencanaan Pengawasan Tahunan
Pada tahap ini, APIP menyusun audit universe yaitu identifikasi seluruh
aktivitas/kegiatan pada unit-unit kerja dari organisasi yang dapat menjadi
objek pengawasan. Berdasarkan register risiko yang disusun oleh organisasi
atau unit kerja serta diintegrasikan dengan audit universe, APIP menentukan
area pengawasan prioritas berisiko tinggi yang dipilih untuk diaudit.
Tahap ini bertujuan untuk memperoleh kesepakatan mengenai respons
manajemen atas risiko dan proses MR yang memerlukan penjaminan dari
auditor intern dan menghasilkan perencanaan yang berisi seluruh kegiatan
audit intern yang akan dilakukan dalam suatu periode (biasanya tahunan).
3. Tahap 3 – Pelaksanaan Pengawasan Individu
Setelah perencanaan pengawasan tahunan disusun, maka dilanjutkan
dengan pelaksanaan audit individual. Pelaksanaan pengawasan individu
bertujuan untuk memberi jaminan atas komponen kerangka/framework
manajemen risiko. Hasil dari pelaksanaan pengawasan, menjadi umpan balik
dalam menangani risiko-risiko organisasi/unit kerja.
Gambar 3.1 Kerangka Pengawasan Intern Berbasis Risiko
Sesuai dengan definisi dalam Peraturan BPKP Nomor 8 Tahun 2021, untuk
melaksanakan asurans atas GRC organisasi, APIP melakukan organisasi
kegiatan pengawasan agar cukup komprehensif sehingga dapat memberikan
11
keyakinan memadai pada tingkat organisasi bahwa pengawasan individual
memadai dan untuk mencapai tujuan organisasi. Kegiatan asurans GRC
hendaknya dilaksanakan dengan mengikuti pendekatan terstruktur yang
melibatkan perencanaan, pelaksanaan, pelaporan, dan tindak lanjut hasil
pengawasan. Berikut adalah tahapan bagaimana APIP dapat memberikan
asurans GRC organisasi:
1. Mengembangkan Perencanaan Pengawasan Berbasis Risiko
APIP mengembangkan rencana audit berdasarkan profil risiko organisasi
antara lain mencakup risiko terkait tata kelola, manajemen risiko, dan
pengendalian yang dapat mempengaruhi kemampuan organisasi untuk
mencapai tujuan strategisnya. Untuk itu, APIP harus memiliki pemahaman
yang komprehensif tentang proses bisnis organisasi meliputi kerangka kerja
GRC organisasi, termasuk struktur tata kelola, proses manajemen risiko, dan
lingkungan pengendalian internal. Berdasarkan hasil pemahaman proses
bisnis dan profil risiko organisasi, APIP mengidentifikasi area-area berisiko
tinggi untuk dilakukan pengawasan.
Prinsip Pareto dapat diterapkan dalam perencanaan pengawasan berbasis
risiko, terutama dalam melakukan identifikasi dan prioritasi risiko yang harus
dilakukan pengawasan (Box, 1986). Dalam hal ini, sekitar 20% dari risiko yang
diidentifikasi kemungkinan besar akan menyebabkan 80% dampak negatif
terhadap organisasi. Dengan menerapkan prinsip Pareto pada perencanaan
pengawasan berbasis risiko, APIP dapat memprioritaskan risiko-risiko yang
paling signifikan atau penting dan melakukan pengawasan atas risiko-risiko
tersebut terlebih dahulu. Pendekatan ini membantu APIP untuk
meminimalkan risiko dan dampak negatif yang mungkin terjadi, dengan fokus
pada risiko-risiko yang paling signifikan. Selain itu, prinsip Pareto juga dapat
digunakan dalam pengalokasian sumber daya pengawasan. Dalam hal ini,
sumber daya APIP dapat dialokasikan secara proporsional terhadap risiko-
risiko yang diidentifikasi, dengan lebih banyak sumber daya dialokasikan
untuk risiko-risiko yang lebih signifikan dan penting.
Dalam rangka memberikan nilai tambah bagi stakeholder, APIP perlu
melakukan suatu kegiatan pengawasan yang mampu melihat secara makro
atas sasaran strategis K/L/D untuk peningkatan efektivitas dan efisiensi
pencapaian tujuan K/L/D. Pada dasarnya, sasaran strategis tersebut
12
terdefinisikan dalam program lintas sektoral/lintas unit kerja (cross-cutting
programme), yang eksekusi atau pengerjaannya melibatkan kolaborasi dari
beberapa unit kerja.
Pengawasan atas cross-cutting programme didefinisikan sebagai
pengawasan atas suatu program/kegiatan yang dilaksanakan oleh dua atau
lebih unit kerja yang dikelola oleh satu unit kerja tertentu yang bertanggung
jawab atas program tersebut (leading sector). Oleh karena itu, simpulan dan
rekomendasi hasil pengawasan dapat dimanfaatkan untuk memberikan
masukan berupa mekanisme pengendalian yang paling sesuai dengan risiko
yang telah teridentifikasi dalam pengawasan, berkontribusi dalam perbaikan
tata kelola, serta menjamin pencapaian tujuan dari program.
Pengawasan cross-cutting programme hanya dapat dilakukan apabila APIP
memahami keseluruhan proses bisnis atas program tersebut antara lain
tujuan, indikator, unit kerja yang terlibat, keselarasan antara program-
kegiatan-sub kegiatan, peran dan tanggung jawab masing-masing unit kerja
yang terlibat serta risiko-risiko atas program baik risiko strategis maupun risiko
operasional.
Pendekatan pengawasan yang digunakan untuk masing-masing unit kerja
disesuaikan dengan risiko utama yang dihadapi oleh unit kerja tersebut,
misalnya audit ketaatan untuk unit kerja yang aktivitasnya memiliki risiko
utama terkait fraud serta permasalahan ketaatan yang lain, atau audit kinerja
untuk unit kerja yang memiliki risiko utama terkait efektivitas dan efisiensi
pencapaian tujuan.
2. Melaksanakan Asurans GRC
Sesuai dengan hasil perencanaan pengawasan tahunan, APIP melaksanakan
pengawasan individu yang dapat dilakukan dalam berbagai pendekatan
(ketaatan, kinerja, risk based dan risk management based) dan jenis asurans
(audit, reviu, evaluasi dan monitoring), tergantung risiko utama yang ada di
unit kerja dan tujuan pengawasan individunya. Hasil-hasil dari pelaksanaan
pengawasan individu tersebut, menjadi dasar bagi APIP untuk menyimpulkan
kondisi GRC organisasi secara keseluruhan dan memberikan rekomendasi
strategis pada pimpinan organisasi dalam rangka perbaikan GRC.
13
Salah satu strategi yang dapat digunakan APIP untuk menghasilkan
kesimpulan menyeluruh dari kondisi GRC organisasi adalah melalui
pelaksanaan integrated assurance.
IIA UK (2023) dan KPMG (2023) menjelaskan integrated assurance
merupakan suatu pendekatan/framework terintegrasi dalam pengawasan
yang mencakup penggunaan berbagai jenis pengawasan yang saling
melengkapi untuk mencapai tujuan organisasi secara efektif. Dalam
pendekatan integrated assurance, pengawasan tidak hanya dilakukan pada
satu unit kerja atau fungsi saja, tetapi dilakukan pada seluruh pihak dalam
organisasi. Hal ini memungkinkan informasi dan risiko yang ditemukan pada
unit kerja atau fungsi dapat dibagikan dan dianalisis bersama-sama, sehingga
dapat memberikan pemahaman yang lebih komprehensif mengenai risiko dan
keefektifan pengendalian pada level organisasi. Pendekatan integrated
assurance juga dapat membantu APIP untuk meningkatkan efektivitas dan
efisiensi pengawasan, serta memungkinkan berbagai jenis pengawasan yang
saling melengkapi digunakan untuk mencapai tujuan pengawasan secara
terpadu dan terkoordinasi serta menghindari duplikasi atau kelemahan
pengendalian yang tidak terdeteksi.
Tujuan asurans terintegrasi (integrated assurance) untuk memberikan
pemahaman yang lebih utuh dan menyeluruh mengenai bagaimana
organisasi mengelola risiko dan mencapai tujuan serta memberikan
rekomendasi dan tindakan perbaikan yang lebih komprehensif dan holistik
bagi manajemen.
Pada organisasi dengan tingkat kematangan manajemen risiko managed atau
optimized, terdapat asersi/laporan manajemen yang berisi tentang efektivitas
GRC dalam mendukung pencapaian tujuan organisasi. APIP melakukan
asurans atas asersi/laporan manajemen mengenai efektivitas manajemen
risiko organisasi dan menguji konsistensi kesimpulan dalam asersi/laporan
manajemen atas hasil penerapan GRC. Hal tersebut dilakukan untuk
memperkuat kesimpulan atas kondisi GRC organisasi.
3. Menyampaikan Opini dan Rekomendasi
APIP harus dapat menghasilkan saran dan rekomendasi berkelanjutan
kepada manajemen tentang bagaimana memperbaiki framework GRC,
14
termasuk memberikan panduan terkait best practice, benchmark dari
organisasi K/L/D lain, dan identifikasi area of improvement.
Secara keseluruhan, APIP mempunyai peran penting dalam memastikan
framework GRC organisasi dan diharapkan mampu memberikan informasi
yang dibutuhkan manajemen untuk membuat keputusan yang tepat tentang
mengelola risiko dan meningkatkan kinerja organisasi.
Output utama asurans GRC organisasi adalah APIP memberikan opini
menyeluruh (overall opinion) apakah GRC pada tingkat organisasi telah efektif
dalam memberikan jaminan yang wajar (providing reasonable assurance)
sehingga tujuan organisasi dapat tercapai. Opini menyeluruh tersebut harus
didukung dengan opini-opini dari pengawasan individual dalam periode waktu
tertentu.
Menurut SAIPI 2021, opini menyeluruh disebut sebagai opini makro. Opini
makro merupakan penilaian atau kesimpulan tentang hasil penugasan yang
diberikan oleh pimpinan APIP yang secara menyeluruh memberikan tinjauan
proses tata kelola, pengelolaan risiko, dan/atau pengendalian organisasi.
Opini tersebut merupakan pendapat profesional dari pimpinan APIP
berdasarkan hasil beberapa penugasan dan aktivitas lain pada rentang waktu
tertentu.
APIP diharapkan dapat menyampaikan opini menyeluruh mengenai kondisi
GRC organisasi kepada pimpinan organisasi secara periodik. Waktu
penyampaian opini menyeluruh secara periodik dapat dilakukan secara
tahunan, semesteran, triwulanan atau bulanan menyesuaikan dengan
kebutuhan organisasi dan kondisi sumber daya yang ada pada APIP.
Pada pelaksanaan pengawasan atas program lintas sektoral/lintas unit kerja,
penyampaian opini menyeluruh dapat dilakukan secara periodik ataupun
sewaktu. Pelaporan secara periodik dapat dilakukan dengan memberikan
opini atas beberapa program sekaligus yaitu dengan APIP menyampaikan
kesimpulan atas hasil-hasil pengawasannya pada program-program lintas
sektoral/lintas unit kerja selama rentang waktu tertentu. Sedangkan
penyampaian opini menyeluruh sewaktu atas program lintas sektoral/lintas
unit kerja, biasanya disampaikan pada saat program telah mencapai
tahapan/fase tertentu atau apabila program tersebut telah berakhir.
15
4. Monitoring tindak lanjut hasil pengawasan
Terdapat beberapa outcome yang diharapkan pada pelaksanaan asurans
GRC organisasi, antara lain:
 Meningkatnya keyakinan (confidence) pimpinan organisasi dan
stakeholders bahwa GRC telah memadai dan berfungsi untuk memenuhi
tujuan organisasi.
 Pimpinan organisasi dan stakeholders dapat memperbaiki GRC sesuai
rekomendasi APIP.
 Pelaksanaan asurans terintegrasi yang selaras dengan tujuan organisasi
kepada pimpinan organisasi dan stakeholders untuk memberikan
gambaran menyeluruh dan holistik tentang keefektifan GRC sehingga
dapat menetapkan prioritas dan mengambil tindakan yang diperlukan.
 Hasil pengawasan APIP digunakan oleh organisasi untuk memperkuat
GRC.
APIP harus melakukan monitoring terhadap komitmen organisasi untuk terus
meningkatkan GRC. Organisasi harus menindaklanjuti rekomendasi APIP
untuk memastikan bahwa tindakan korektif telah diambil dan kerangka kerja
GRC telah berjalan secara efektif. APIP juga harus memastikan bahwa
tindakan perbaikan yang dilakukan organisasi telah efektif untuk memperbaiki
GRC.
B. IMPLEMENTASI NORMATIF BENTUK ASURANS ATAS GRC DI INDONESIA
Implementasi normatif bentuk asurans atas GRC organisasi sangat
diperlukan sebagai bagian dari penilaian Kapabilitas APIP sesuai Peraturan BPKP
Nomor 8 Tahun 2021. Berdasarkan hasil kajian Pusat Penelitian dan
Pengembangan Pengawasan (Puslitbangwas) BPKP, terdapat tiga bentuk
penyelenggaraan aktivitas asurans atas GRC pada APIP yang dapat
menghasilkan opini atas kecukupan/efektivitas GRC organisasi di sektor publik.
Tiga aktivitas peran dan layanan (delivery) tersebut antara lain:
1. Penyelenggaraan manajemen risiko yang efektif dan pembangunan sistem
peringatan dini (early warning system);
2. Pengawasan lintas sektoral berbasis risiko (risk based); dan
16
3. Opini kolektif atas seluruh hasil pengawasan (assurance dan consulting)
internal APIP dan pengawas eksternal lainnya terkait proses bisnis keuangan
dan kinerja organisasi pemerintah
Berdasarkan kajian tersebut, terdapat empat kesimpulan utama, yaitu:
1. Manajemen Risiko sebagai Landasan Fundamental GRC
Penyelenggaraan manajemen risiko organisasi merupakan dasar dari praktik
tata kelola dan pengendalian yang efektif serta berfungsi sebagai sistem
peringatan dini (early warning system). Hal ini yang juga menjadi landasan
perencanaan dan pelaksanaan pengawasan intern bagi APIP. Melalui
perencanaan pengawasan berbasis risiko, APIP diharapkan mampu
melaksanakan pengawasan program lintas sektoral/lintas unit kerja (cross-
cutting programme) berbasis risiko dan memberikan opini menyeluruh (overall
opinion) secara profesional sebagai representasi dari tinjauan
keseluruhan/makro elemen tata kelola, manajemen risiko, dan pengendalian
organisasi.
2. Pengawasan Lintas Sektoral Berbasis Risiko dan Representasi Opini
Menyeluruh GRC
Dalam rangka memberikan nilai tambah bagi stakeholder, APIP perlu
melakukan suatu kegiatan pengawasan yang mampu melihat secara makro
yang terdefinisikan dalam sektor atau program lintas sektoral. Program lintas
sektor yang menjadi objek pengawasan, harus didasarkan pada perencanaan
pengawasan berbasis risiko.
Selain itu, pengawasan lintas sektoral APIP bukan hanya berdasarkan
perencanaan berbasis risiko tetapi juga pengawasan yang dilakukan terhadap
multi-objek. Artinya pengawasan tidak hanya dilakukan terhadap satu unit
kerja pengampu program saja, tetapi juga terhadap beberapa unit kerja yang
terlibat/mendukung program tersebut. Selain itu, pendekatan program lintas
sektoral memiliki daya ungkit yang baik dalam menciptakan kerja sama lintas
sektor untuk meningkatkan ketahanan individu/organisasi dan mengatasi
berbagai kendala dalam mencapai tujuan. Kerja sama lintas sektoral juga
mendorong partisipasi aktif dari berbagai pihak yang terlibat melalui
keunggulannya masing-masing dalam rangka mencapai tujuan
pembangunan. Organisasi yang terlibat dalam kolaborasi lintas sektor
17
diharapkan dapat menangani masalah dengan cara yang lebih kompleks dan
memiliki dampak positif yang lebih besar melalui upaya kolaboratif tersebut.
Berdasarkan hasil pengawasan program lintas sektoral/lintas unit kerja
berbasis risiko tersebut, APIP diharapkan memberikan opini menyeluruh
(overall opinion) secara profesional mengenai tinjauan GRC organisasi.
Hubungan antara kalimat kunci asurans atas GRC dan pengawasan lintas
sektoral yaitu:
a. APIP Memberikan Opini Menyeluruh (Overall Opinion)
Pengawasan lintas sektoral/lintas unit kerja menghasilkan suatu
kesimpulan umum atas keberhasilan/kegagalan program/kegiatan. Hal ini
selaras dengan penjelasan dalam SAIPI 2021 bahwa pimpinan APIP
memberikan opini makro yang merupakan penilaian atau kesimpulan
tentang hasil penugasan yang secara menyeluruh memberikan tinjauan
proses tata kelola, pengelolaan risiko, dan/atau pengendalian organisasi.
b. APIP Mengkoordinasikan Kegiatan Pengawasan Individual
Dalam membuat kesimpulan umum atas keberhasilan/kegagalan
program/kegiatan, berdasarkan hasil dari beberapa penugasan dan
aktivitas pengawasan lain yang dikoordinasikan oleh pimpinan APIP pada
rentang waktu tertentu. Kegiatan pengawasan lintas sektoral,
pengawasan dapat dilaksanakan dengan melakukan pengawasan
terkombinasi. Pengawasan terkombinasi merupakan pengawasan yang
dilakukan terhadap satu auditi (program lintas sektoral/lintas unit kerja),
dengan menggunakan kombinasi beberapa jenis pendekatan asurans
(ketaatan, kinerja dan risiko) dan jasa konsultansi (bimbingan teknis,
asistensi dan sosialisasi).
c. Kegiatan Pengawasan APIP Dilaksanakan untuk Memenuhi Tujuan
Organisasi (Tujuan Strategis)
Dalam pengawasan lintas sektor, setiap pengawasan individual yang
dilakukan harus selaras dengan tujuan program/kegiatan strategis yang
dilakukan pengawasan dan mendukung simpulan yang akan diberikan
pimpinan APIP terkait keberhasilan/kegagalan program/kegiatan
tersebut. Opini yang diberikan, baik opini makro maupun opini penugasan
individual, diarahkan pada perbaikan GRC, sehingga tujuan
program/kegiatan dapat tercapai secara efektif dan efisien.
18
3. Analisis Kolektif Hasil Pengawasan APIP (Assurance yang Objektif,
Consulting yang Independen)
Apabila APIP belum dapat menerapkan manajemen risiko secara memadai
sehingga tidak dapat menerapkan prosedur pengawasan program lintas
sektoral berbasis risiko, maka penyimpulan opini makro atas
penyelenggaraan GRC dapat dirumuskan melalui analisis kolektif atas
seluruh hasil pengawasan APIP pada rentang waktu tertentu berupa
assurance maupun consulting yang bervariasi, termasuk memanfaatkan hasil
pengawasan eksternal maupun hasil pengawasan kolaboratif (combined
oversight/joint audit).
Analisis seluruh hasil pengawasan yang mengarah pada penyimpulan opini
makro atas asurans GRC seharusnya mengakomodasi opini sistem
pengendalian internal atas pelaporan keuangan, ketaatan peraturan dan
regulasi, pengendalian keuangan dan manajemen kinerja. Selain itu, suatu
opini makro atas analisis kolektif (summary) hasil pengawasan harus dapat
mencerminkan kondisi tata kelola, efektivitas manajemen risiko, dan
kecukupan pengendalian. Opini makro harus didukung informasi yang
relevan, andal, cukup, dan bermanfaat seperti misalnya pimpinan APIP harus
memperhatikan strategi, sasaran, dan risiko-risiko organisasi dan ekspektasi
pimpinan organisasi (the governing body) serta pemangku kepentingan
lainnya.
4. Format Opini Makro
Berdasarkan pertimbangan profesional dan implikasi dari penerapan
substance over form dan principle based dalam penilaian Kapabilitas APIP,
tidak terdapat standar/pengaturan format opini makro yang kemudian menjadi
limitasi bagi APIP Kementerian/Lembaga/Pemerintah Daerah. Kapabilitas
APIP memberikan fleksibilitas kepada APIP dalam menentukan format
dan/atau penyajian opini makro atas asurans GRC apabila telah
mengakomodasi kriteria dan prinsip-prinsip normatif dalam
pemberian/penyajian opini makro atas asurans GRC.
Beberapa alternatif yang dapat dilakukan APIP dalam melakukan konstruksi
format opini makro asurans GRC antara lain melalui pelaporan hasil
pengawasan lintas sektoral berbasis risiko, pernyataan profesional
(professional statement) oleh pimpinan APIP atas simpulan hasil pengawasan
19
kolektif, atau penetapan suatu rating tertentu dengan kriteria yang dibangun
secara jelas dan konsisten. Hal terpenting dalam memberikan opini makro
adalah harus dijelaskan ruang lingkup (periode waktu), batasan dan
pertimbangan yang relevan, kriteria, serta ikhtisar yang mendukung opini
makro tersebut.
C. KESIMPULAN
Salah satu topik penilaian pada Peraturan BPKP Nomor 8 Tahun 2021
tentang Penilaian Kapabilitas APIP pada K/L/D adalah APIP melaksanakan
kegiatan pengawasan dalam rangka pemberian opini atas efektivitas dan
kecukupan tata kelola, manajemen risiko, dan proses pengendalian organisasi
secara menyeluruh. Pengawasan tersebut dilaksanakan oleh APIP dengan
melakukan koordinasi kegiatan pengawasan agar cukup komprehensif sehingga
dapat memberikan keyakinan memadai pada tingkat organisasi bahwa
pengawasan individual memadai dan berfungsi untuk mencapai tujuan organisasi.
Untuk terus meningkatkan kapabilitasnya, penting bagi APIP untuk
memahami konsepsi asurans GRC organisasi dan bagaimana APIP dapat
menerapkan asurans GRC dalam organisasi sehingga APIP mampu memberikan
opini menyeluruh kepada manajemen dan pemangku kepentingan lain mengenai
efektivitas GRC yang diterapkan dalam organisasi. Selain itu, dengan memahami
konsepsi asurans GRC organisasi, akan memudahkan APIP dalam memenuhi
topik asurans atas tata kelola, manajemen risiko, dan pengendalian organisasi
K/L/D pada penilaian kapabilitas APIP.
Output utama asurans GRC organisasi agar APIP memberikan opini makro
tentang GRC pada tingkat organisasi apakah telah efektif dalam memberikan
jaminan yang wajar (providing reasonable assurance) dalam rangka pencapaian
tujuan organisasi. Opini makro tersebut harus didukung oleh opini-opini dari
pengawasan individual dalam periode waktu tertentu. Untuk dapat memberikan
opini menyeluruh, kegiatan asurans GRC dilaksanakan dengan mengikuti
pendekatan terstruktur yang melibatkan perencanaan, pelaksanaan, pelaporan,
dan tindak lanjut hasil pengawasan. Implementasi normatif bentuk asurans atas
GRC organisasi antara lain:
1. APIP melaksanakan pengawasan program lintas sektoral/lintas unit kerja
(cross-cutting programme) berbasis risiko sebagai representasi dari
pengawasan keseluruhan/makro atas GRC organisasi; dan/atau
20
2. APIP melakukan analisis kolektif atas seluruh hasil pengawasan APIP pada
rentang waktu tertentu, yang berupa assurance maupun consulting yang
bervariasi, termasuk memanfaatkan hasil pengawasan eksternal maupun
hasil pengawasan kolaboratif (combined oversight/joint audit); dan/atau
3. Pada organisasi dengan tingkat kematangan manajemen risiko managed atau
optimized, terdapat asersi/laporan manajemen yang berisi tentang efektivitas
GRC dalam mendukung pencapaian tujuan organisasi. APIP melakukan
asurans atas asersi/laporan manajemen mengenai efektivitas manajemen
risiko organisasi dan menguji konsistensi kesimpulan dalam asersi/laporan
manajemen atas hasil penerapan GRC.
Tahapan pengawasan dan contoh bentuk opini makro dari ketiga bentuk
pengawasan, terdapat pada Lampiran I, Lampiran II dan Lampiran III.
Untuk meningkatkan peran APIP dalam memberikan kontribusi pada
perbaikan GRC organisasi, diharapkan APIP dapat menyampaikan opini atas
efektivitas dan kecukupan GRC organisasi secara menyeluruh kepada pimpinan
organisasi berupa salah satu atau ketiga bentuk implementasi di atas. Periode
penyampaian opini dapat dilakukan secara tahunan, semesteran, triwulanan atau
bulanan, ataupun sewaktu-waktu apabila APIP merasa perlu melaporkan kondisi
GRC, menyesuaikan kebutuhan organisasi dan kondisi sumber daya yang ada
pada APIP.
21
Lampiran I
Pengawasan Program Lintas Sektoral/Lintas Unit Kerja (Cross-Cutting
Programme) Berbasis Risiko sebagai Representasi dari Pengawasan
Keseluruhan/Makro atas GRC Organisasi
A. Definisi Cross-Cutting Programme

Dalam Undang-Undang Nomor 25 Tahun 2004 tentang Sistem Perencanaan
Pembangunan Nasional definisi mengenai program adalah:
1. Program adalah instrumen kebijakan yang berisi satu atau lebih kegiatan yang
dilaksanakan oleh instansi pemerintah/lembaga untuk mencapai sasaran dan
tujuan serta memperoleh alokasi anggaran, atau kegiatan masyarakat yang
dikoordinasikan oleh instansi pemerintah.
2. Program Kementerian/Lembaga/Satuan Kerja Perangkat Daerah adalah
sekumpulan rencana kerja suatu Kementerian/Lembaga atau Satuan Kerja
Perangkat Daerah.
3. Program Lintas Kementerian/Lembaga/Satuan Kerja Perangkat Daerah adalah
sekumpulan rencana kerja beberapa Kementerian/Lembaga atau beberapa
Satuan Kerja Perangkat Daerah.
4. Program Kewilayahan dan Lintas Wilayah adalah sekumpulan rencana kerja
terpadu antar-Kementerian/Lembaga dan Satuan Kerja Perangkat Daerah
mengenai suatu atau beberapa wilayah, daerah, atau kawasan.
Pendekatan cross-cutting programme merupakan konsep bagaimana memadukan
pencapaian tujuan yang ada di berbagai sektor untuk dapat mencapai satu tujuan
utama. Menciptakan kerja sama lintas unit dapat meningkatkan ketahanan
individu/organisasi dan mengatasi berbagai kendala dalam mencapai tujuan. Kerja
sama lintas unit memerlukan partisipasi aktif dari berbagai pihak yang terlibat
melalui keunggulannya masing-masing dalam rangka mencapai tujuan program.
Unit-unit kerja yang terlibat dalam kolaborasi diharapkan untuk dapat menangani
masalah dengan cara yang lebih kompleks dan memiliki dampak positif yang lebih
besar melalui upaya kolaboratif tersebut.
Cross-cutting programme memiliki karakteristik sebagai berikut:
 Berupa kegiatan atau program;
 Melibatkan lebih dari satu unit kerja;
 Mencakup lebih dari satu bidang/lingkungan proses bisnis;
 Harus jelas penanggung jawab kegiatan/program;
 Terdapat indikator utama yang sama dan terdistribusi kepada sub penanggung
jawab dan diikuti dengan alokasi dana;
 Terdapat mekanisme mulai dari perencanaan, penganggaran, pelaksanaan,
pelaporan, dan monitoring evaluasi;
 Terdapat struktur kelembagaan dan pembagian tugas yang jelas antar
pelaksana kegiatan yang mendukung sebuah program
Kondisi pada beberapa organisasi pemerintahan, cross-cutting programme bukan
berarti satu program digunakan pada banyak Unit Kerja/Perangkat Daerah, namun
lebih ke Unit Kerja/Perangkat Daerah menggunakan program masing-masing,
namun memiliki tujuan yang sama yang menjadi fokusnya.
B. Ruang Lingkup Pengawasan Cross-cutting Programme
Pengawasan cross-cutting programme bagi APIP K/L/D dilakukan terhadap
program strategis tingkat K/L/D, yang dalam pelaksanaannya akan melibatkan lebih
dari satu unit kerja di lingkungan K/L/D-nya masing-masing. Dalam melakukan
pengawasan cross-cutting programme, APIP diharapkan dapat fokus memberikan
rekomendasi strategis yang mempertimbangkan konsep Governance, Risk dan
Control (GRC), rekomendasi strategis tersebut diharapkan mampu memberikan
masukan berupa mekanisme pengendalian yang paling tepat atas risiko yang telah
teridentifikasi dalam pengawasan, berkontribusi dalam perbaikan tata kelola serta
menjamin pencapaian tujuan dari program. Selanjutnya hasil pengawasan cross-
cutting programme dapat memberikan opini makro terkait GRC atas program
tersebut.
C. Tahapan Pengawasan Cross-Cutting Programme
Secara ringkas, tahapan pengawasan cross-cutting programme adalah sebagai
berikut:
• Pemilihan program prioritas pengawasan berdasarkan PPBR
Tahap • Penyusunan pedoman pengawasan tematik
Perencanaan
• Survei Pendahuluan dan Penilaian SPI

Tahap • Pelaksanaan Pengawasan
Pelaksanaan
• Penyusunan laporan hasil pengawasan individu

• Kompilasi dan konsolidasi laporan hasil pengawasan
Tahap
Pelaporan • Perumusan opini makro dan strategic recomendation
• Monitoring tindak lanjut hasil pengawasan

Tahap
Pemantauan
Tahapan dan penjelasan secara lebih rinci, APIP K/L/D dapat mengadopsi
Peraturan Kepala BPKP Nomor 9 Tahun 2017 tentang Pedoman Umum
Pengawasan Intern Program Lintas Sektoral dan memodifikasi sesuai kondisi pada
masing-masing APIP.
D. Contoh Pelaksanaan Pengawasan Cross-Cutting Programme
Sebagai contoh untuk memperjelas pengawasan program lintas sektoral/lintas unit
kerja (cross-cutting programme), berikut adalah ilustrasi pengawasan lintas
sektoral dari Program Pengadaan Vaksin dan Pelaksanaan Vaksinasi dalam
Rangka Penanggulangan Pandemi Coronavirus Disease 2019 (Covid- 19).
Pada tahun 2020, Presiden menerbitkan Peraturan Presiden Nomor 99 Tahun 2020
tentang Pengadaan Vaksin dan Pelaksanaan Vaksinasi dalam rangka
Penanggulangan Pandemi Coronavirus Disease 2019 (COVID- 19). Vaksinasi
adalah kunci mengakhiri pandemi dan mempercepat pemulihan ekonomi, sehingga
percepatan pengadaan dan pelaksanaan vaksinasi menjadi hal strategis dan
prioritas bagi pemerintah untuk segera dilaksanakan. Meskipun demikian,
pengadaan vaksin dan pelaksanaan vaksinasi memiliki risiko inheren, termasuk
operational risk dan fraud risk. Berkaitan dengan hal tersebut, BPKP sebagai
auditor intern Presiden, perlu bertindak adaptif dan agile dalam melaksanakan
pengawasan. Dengan strategis dan pentingnya program tersebut, BPKP adaptif
dengan memprioritaskan pengawasan Program Pengadaan Vaksin dan
Pelaksanaan Vaksinasi dalam perencanaan pengawasan tahunan.
Setelah Perpres 99/2020 terbit, BPKP dengan segera berkoordinasi dengan para
pengampu program dan memberikan jasa konsultansi dalam rangka
mengidentifikasi risiko-risiko strategis program beserta mitigasinya. Dengan
luasnya area pengawasan atas program, BPKP bersinergi dan berkolaborasi
dengan APIP K/L/D dalam mengawal efektivitas dan akuntabilitas pelaksanaan
vaksinasi Covid-19. Selanjutnya, BPKP juga menyusun pedoman pengawasan
yang akan digunakan oleh seluruh APIP K/L/D dalam melakukan pengawasan
Program Pengadaan Vaksin dan Pelaksanaan Vaksinasi. sehingga hasil
pengawasan individual yang dilakukan APIP K/L/D dapat mendukung kesimpulan
pengawasan pada tingkat strategis (organisasi).
Pelaksanaan program Pengadaan Vaksin dan Pelaksanaan Vaksinasi dalam
rangka Penanggulangan Pandemi Coronavirus Disease 2019 (Covid-19),
melibatkan seluruh unsur baik dari Kementerian/Lembaga, PT Biofarma (Persero),
TNI/Polri dan Pemerintah Daerah. Gambaran ringkas proses bisnis pelaksanaan
program tersebut, dapat disimpulkan sebagai berikut:
1. Menteri Kesehatan menetapkan jenis dan jumlah vaksin Covid-19 yang
diperlukan untuk pelaksanaan vaksinasi Covid-19.
2. Kepala Badan Pengawas Obat dan Makanan (BPOM) memberikan persetujuan
penggunaan pada masa darurat (emergency use authorization) atau izin edar.
3. PT Bio Farma (Persero) melaksanakan pengadaan vaksin Covid-19.
4. Kementerian/lembaga, pemerintah daerah provinsi, pemerintah daerah
kabupaten/kota, badan usaha milik negara atau badan usaha swasta,
organisasi profesi/kemasyarakatan melaksanakan vaksinasi.
5. Menteri Keuangan memberikan dukungan alokasi anggaran.
6. Menteri Luar Negeri memberikan dukungan fasilitasi diplomasi internasional
dalam rangka mendapatkan akses vaksin Covid-19 dan dukungan
penganggaran untuk kerjasama multilateral.
7. Menteri Badan Usaha Milik Negara (BUMN) memberikan dukungan
mengoordinasikan badan usaha milik negara lainnya untuk mendukung
penugasan pengadaan vaksin Covid-19.
8. Menteri Dalam Negeri memberikan dukungan dengan mengoordinasikan
pemerintah daerah provinsi dan pemerintah daerah kabupaten/kota dalam
pelaksanaan vaksinasi Covid- 19.
9. Kepala Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah (LKPP)
memberikan dukungan melakukan pembinaan dan pendampingan dalam
pelaksanaan penunjukan langsung penyediaan vaksin Covid-19.
10. Kepala Badan Pengawasan Keuangan dan Pembangunan (BPKP)
memberikan dukungan melakukan pembinaan, pendampingan dan
pengawasan dalam pelaksanaan penunjukan langsung penyediaan vaksin
Covid-19; dan menyiapkan pedoman pengawasan bagi APIP dalam
pelaksanaan pengadaan vaksin Covid-19 dan pelaksanaan vaksinasi Covid-
19.
11. Jaksa Agung Republik Indonesia memberikan dukungan untuk pendampingan
hukum.
12. Kepala Kepolisian Negara Republik Indonesia memberikan dukungan untuk
pelaksanaan vaksinasi Covid- 19 termasuk dukungan keamanan.
13. Panglima Tentara Nasional Indonesia memberikan dukungan untuk
pelaksanaan vaksinasi Covid-19.
Dari contoh Program Pengadaan Vaksin dan Pelaksanaan Vaksinasi dalam rangka
Penanggulangan Pandemi Coronavirus Disease 2019 (Covid-19), dapat dilakukan
analisis terhadap kesesuaiannya dengan karakteristik program lintas sektoral,
yaitu:
1. Program melibatkan lebih dari satu instansi/unit kerja.
2. Mencakup lebih dari satu bidang usaha/lingkungan proses bisnis.
3. Penanggung jawab program (leading sector) adalah Menteri Kesehatan.
4. Terdapat indikator utama yang sama dan terdistribusi kepada sub penanggung
jawab dan diikuti dengan alokasi dana.
5. Terdapat mekanisme mulai dari perencanaan, penganggaran, pelaksanaan,
pelaporan, dan monitoring evaluasi.
6. Terdapat struktur kelembagaan dan pembagian tugas yang jelas antar
pelaksana kegiatan yang mendukung program.
Dari contoh pengawasan Program Pengadaan Vaksin dan Pelaksanaan Vaksinasi
dalam rangka Penanggulangan Pandemi Coronavirus Disease 2019 (Covid- 19),
pelaksanaan pengawasan oleh BPKP atas program tersebut, dapat disimpulkan
sebagai berikut:
Pihak Terkait
1. Kementerian/Lembaga
a) Kementerian Kesehatan;
b) BPOM;
c) Kementerian Dalam Negeri.
d) TNI
e) Polri
2. BPKP
a) Deputi Bidang Polhukam PMK;
b) 34 Perwakilan BPKP;
3. Pemerintah Daerah
a) Seluruh APIP Pemda
4. BUMN
a) PT Biofarma
Kegiatan Pengawasan yang dilakukan
1. Pengawasan pelaksanaan vaksinasi tahap I sd VI (pengawasan ketaatan dan
kinerja).
2. Pengawasan distribusi dan pengelolaan vaksin (pengawasan ketaatan).
3. Sosialisasi cara hitung traceback stock opname 31 Desember 2021 (jasa
konsultansi).
4. Reviu harga vaksin (pengawasan risiko dan kinerja).
5. Audit pengadaan vaksin dan distribusi vaksin Covid-19 (pengawasan ketaatan).
6. Pengawasan pelaksanaan stock opname vaksin per 31 Desember 2021
(pengawasan ketaatan).
7. Pengawasan pelaksanaan penarikan vaksin rusak dan/atau kadaluarsa
(pengawasan ketaatan).
Berdasarkan berbagai jenis kegiatan pengawasan yang dilakukan sesuai dengan
Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern
Pemerintah dan Peraturan Kepala Badan Pengawasan Keuangan dan
Pembangunan Nomor 9 Tahun 2017 tentang Pedoman Umum Pengawasan Intern
Program Lintas Sektoral, BPKP melaporkan hasil pengawasan lintas sektor yang
dilakukan kepada Presiden dalam bentuk Ikhtisar Hasil Pengawasan Vaksinasi
Covid-19 Tahun 2021. Dalam laporan tersebut, BPKP menyampaikan kesimpulan
umum atas keberhasilan program serta permasalahan-permasalahan yang masih
perlu mendapat perhatian. Ikhtisar Hasil Pengawasan Vaksinasi Covid-19 Tahun
2021, merupakan kompilasi hasil pengawasan individu yang memuat opini
penugasan berdasarkan masing-masing kegiatan pengawasan yang dilaksanakan.
Opini atas penugasan individu dilaporkan secara bertahap dan berjenjang. Laporan
individu dilaporkan kepada menteri/pimpinan lembaga dan kepala daerah sesuai
ruang lingkup pengawasan individu yang dilaksanakan.
Hasil pengawasan lintas sektoral tersebut telah mendukung perbaikan GRC atas
program dan digunakan oleh Presiden dan Menteri Kesehatan (selaku leading
sector program) dalam mengambil keputusan. Beberapa outcome penting dari hasil
pengawasan tersebut adalah:
1. Perbaikan tata kelola program melalui perbaikan Grand Design Vaksinasi
2. Peningkatan efektivitas manajemen risiko melalui perbaikan manajemen risiko
program
3. Peningkatan 3E dan ketaatan melalui efisiensi keuangan negara sebesar
Rp1,92 Triliun
4. Mendukung pencapaian tujuan program dengan menurunnya tingkat kejadian
permasalahan vaksinasi.
Outcome tersebut merupakan hasil dari beberapa jenis pengawasan individual,
baik assurance maupun consulting yang kemudian disintesiskan pada tingkat yang
lebih strategis untuk memperoleh suatu opini makro atas pelaksanaan program.
Dari penjelasan-penjelasan diatas, dapat disimpulkan bahwa pengawasan atas
Program Pengadaan Vaksin dan Pelaksanaan Vaksinasi dalam rangka
Penanggulangan Pandemi Coronavirus Disease 2019 (Covid- 19) dapat dianggap
sebagai salah satu bentuk asurans atas GRC oleh BPKP.
Contoh bentuk opini makro atas pengawasan Program Pengadaan Vaksin dan
Pelaksanaan Vaksinasi dalam rangka Penanggulangan Pandemi Coronavirus
Disease 2019 sebagaimana terlampir.
1
2
IKHTISAR HASIL PENGAWASAN VAKSINASI
COVID-19 TAHUN 2021
BPKP telah melakukan berbagai pengawasan selama tahun 2021 dalam rangka
mengawal program sIstem Kesehatan nasional. Salah satu bentuk pengawasan
yang telah dilakukan adalah pengawasan pelaksanaan vaksinasi COVID-19,
termasuk di dalamnya pengawasan distribusi dan pengelolaan persediaan vaksin
COVID-19. Pengawasan vaksinasi dilakukan bersama dengan APIP Pusat dan
daerah yang bertujuan untuk mengawal program vaksinasi telah dilaksanakan
melalui tata kelola yang baik sesuai dengan ketentuan yang berlaku.
Dari hasil pengawasan, secara umum Pemerintah telah berhasil melaksanakan

program vaksinasi dengan baik. Hal ini terlihat dari kecepatan respon pemerintah
dalam penanganan gelombang kedua Covid-19. Upaya Kementerian Kesehatan
melakukan percepatan vaksinasi yang masif berhasil menahan laju penyebaran
Covid-19. Namun, masih terdapat permasalahan-permasalahan yang masih perlu
mendapat perhatian, antara lain: tidak meratanya capaian vaksinasi antar wilayah,
terdapat vaksin yang akan expired, dan beberapa permasalahan di daerah terkait
tata kelola pelaksanaan kegiatan vaksinasi Covid-19.
3
A. Gambaran Umum Kegiatan Pengawasan
Vaksinasi adalah kunci mengakhiri pandemi dan mempercepat pemulihan ekonomi.
Dalam pelaksaannya, program vaksinasi Covid-19 melibatkan seluruh unsur baik
dari Kementerian/Lembaga, PT Biofarma (Persero), Pemerintah Daerah melalui
Dinas Kesehatan Provinsi/Kabupaten/Kota, serta Fasyankes baik vertikal maupun
fasyankes daerah. Dengan luasnya area pengawasan ini, BPKP bersinergi dan
berkolaborasi dengan APIP K/L/D dalam mengawal efektivitas dan akuntabilitas
pelaksanaan vaksinasi Covid-19. Keberhasilan Pengawasan Pelaksanaan vaksinasi
Covid-19 merupakan tanggung jawab bersama. Selama tahun 2021, kegiatan
pengawasan atas pelaksanaan kegiatan vaksinasi Covid-19 telah dilakukan dalam 6
kegiatan dengan menggunakan 4 pedoman pengawasan.
Table 1. Jadwal Pelaksanaan Vaksinasi Tahun 2021
No Kegiatan Pengawasan 2021 Waktu Pelaksanaan
Pengawasan Pelaksaaan Vaksinasi Covid-19

1. Januari – Februari 2021
Tahap I
2. Juni 2021
Tahap II
Pengawasan Pelaksaaan Distribusi dan
3. September 2021
Pengelolaan Persediaan Vaksin Covid-19
4. Oktober 2021
Tahap III
Pengawasan Pelaksanaan Vaksinasi Covid-19
5. November – Desember 2021
Tahap IV
Pengawasan atas kegiatan stok opname vaksin Akhir Desember 2021 –
6.
per 31 Desember 2021 Januari 2022
4
Kegiatan pengawasan vaksinasi Covid-19 selama tahun 2021 sedikitnya telah
melibatkan 19.707 APIP K/L/D dengan uraian sebagai berikut:
Table 2. Jumlah APIP dan Hari Penugasan
Jumlah Jumlah Hari

No Kegiatan Pengawasan
APIP Penugasan
1. Pengawasan Vaksinasi Tahap I 4.186 8.748
2. Pengawasan Vaksinasi Tahap II 3.009 14.884
3. Pengawasan Distribusi dan Pengelolaan Vaksin 5.116 20.345
4. Pengawasan Vaksinasi Tahap III 3.224 11.018
5. Pengawasan Vaksinasi Tahap IV 3.685 18.095

Pengawasan Pelaksanaan Stock Opname
6. 487 1746
Vaksin per 31 Desember 2021
Jumlah 19.707 74.836
Adapun Ruang lingkup pengawasan terdiri dari pelaksanaan program vaksinasi

termasuk distribusi dan pengelolaan persediaan vaksin Covid-19 yang dilaksanakan
5
oleh Mitra pengawasan, yaitu pada Dinas Kesehatan Provinsi, Dinas Kesehatan
Kabupaten/Kota, Fasyankes, dan kegiatan vaksinasi di luar fasyankes yang
dilakukan uji petik sebagai berikut:
Table 3. Jumlah Uji Petik Objek Pengawasan
Uji Petik
No Kegiatan Pengawasan Diluar

Dinkes Dinkes Fasyankes
Fasyankes
Provinsi Kako (vaksinasi
massal)
Pengawasan Vaksinasi
1 27 358 4.648 -
Tahap I
2 27 327 3.388 341
Tahap II
Pengawasan Distribusi dan

3 34 467 3.770 -
Pengelolaan Vaksin
4 23 315 2.285 127
Tahap III
5 27 403 2.830 441
Tahap IV
Pengawasan Pelaksanaan
6 Stock Opname Vaksin per 31 25 233 221 -
Desember 2021
6
B. Hasil Pengawasan Program Vaksinasi dan Reviu Pengadaan
Vaksin
Dari hasil pengawasan, secara umum Kementerian Kesehatan berhasil
meningkatkan kecepatan vaksinasi, tetapi masih meninggalkan permasalahan
pemerataan capaian antar daerah. Isu pengelolaan vaksinasi dimulai dari belum
adanya strategi vaksinasi, bottlenecking distribusi, vaksin yang akan expired,
cold chain dan logistik belum mencukupi serta tidak akuratnya data stock. Dari
segi akuntabilitas, risiko salah saji atas nilai persediaan vaksin perlu segera
dimitigasi oleh Kementerian Kesehatan. Upaya peningkatan imunitas melalui
vaksinasi booster harus diantisipasi risiko-risiko yang dapat menghambat
pelaksanaan.
1. Capaian dan Pemerataan Vaksinasi

Dari hasil pengawasan, kecepatan vaksinasi Covid-19 telah meningkat
sehingga capaian vaksinasi pemerintah Indonesia dapat melebihi target
World Health Organization (WHO). WHO menargetkan 40% penduduk negara
sudah fully vaccinated pada akhir tahun. Progress vaksinasi per tanggal 31
Desember 2021, dosis 1 sebesar 77,28% sementara dosis 2 sebesar 54,51%.
Peningkatan capaian ini merupakan hasil akselerasi vaksinasi pemerintah
sejak pertengahan tahun 2021. Akan tetapi, capaian kategori lanjut usia dan
masyarakat rentan masih menjadi permasalahan. Dari hasil pengawasan
ditemukan bahwa tidak tercapainya target, terutama untuk kategori lanjut usia
dan masyarakat rentan disebabkan karena keterbatasan akses masyarakat,
belum optimalnya sosialisasi program vaksinasi, data sasaran tidak memadai,
dan ketersediaan stock vaksin di daerah tertentu.
7
Capaian Vaksinasi per Kategori
31 Desember 2021
140,00%
120,00%
100,00%
80,00%
60,00%
40,00%
20,00%
0,00%
Tenaga Kesehatan Lanjut Usia Petugas Publik Masyarakat Rentan Remaja (12-17
tahun)
Dosis 1 Dosis 2 Booster
Sumber: KPC-PEN per 31 Desember 2021
Capaian Vaksinasi Dosis 2 per Provinsi

31 Desember 2021
Sumber: KPC-PEN per 31 Desember 2021
Meskipun kecepatan vaksinasi Covid-19 sudah meningkat, namun

pemerataan vaksinasi antar daerah masih menjadi permasalahan yang harus
mendapat perhatian agar risiko munculnya kasus baru dapat ditekan. Dari
data tabel Capaian Vaksinasi Dosis 2 per Provinsi per 31 Desember 2021
diatas, Provinsi dengan capaian vaksinasi dosis 2 di atas rata-rata pemerintah
Indonesia hanya 10 provinsi atau 29,41%. Kesenjangan ini disebabkan
8
karena prioritas vaksinasi pada kota besar maupun kota dengan transmisi
penyebaran tinggi. Saat ini rata-rata capaian dosis 1 pada kota besar dan
ibukota provinsi lebih dari 70%. Oleh karena itu, Kementerian Kesehatan
perlu fokus pada pelaksanaan vaksinasi di kota kecil atau daerah suburban.
2. Percepatan Vaksinasi
Berbagai macam kebijakan telah diterbitkan Kementerian Kesehatan untuk
mempercepat penyuntikan vaksin. BPKP dan APIP turut mengawal hal
tersebut dengan pengawasan pada tiap proses bisnis vaksinasi. Ringkasan
hasil pengawasan adalah sebagai berikut.
a. Ketersediaan Stock Vaksin

Kementerian Kesehatan telah menerima vaksin sekitar 416,64 juta 1 dosis
selama tahun 2021. Kebutuhan vaksin untuk menyuntik 70% populasi
(fully vaccinated) dan booster sekitar 383 juta2 dosis. Dari informasi
tersebut ketersediaan vaksin sudah mencukupi. Akan tetapi, Kementerian
Kesehatan perlu memberi perhatian pada vaksin yang mendekati tanggal
kadaluarsa serta sebaran stock di daerah.
Dari data Kementerian Kesehatan per tanggal 26 Desember 2021, vaksin
yang akan kadaluarsa dalam 5 minggu ke depan mencapai 2,2 juta dosis.
Kondisi ini harus segera diantisipasi Kementerian Kesehatan dan
Pemerintah Daerah agar tidak ada vaksin terbuang.
Sebaran persediaan vaksin antar daerah masih belum merata. Hasil
monitoring BPKP, ada 3 provinsi stock vaksin mencukupi kebutuhan
vaksinasi selama 3 bulan. Sebaliknya, ditemukan 2 provinsi dengan stock
vaksin hanya untuk 10 hari. Kemudian, informasi atas persediaan vaksin
di daerah belum dilengkapi dengan rincian jenis dan jumlah vaksin.
Rincian ini diperlukan karena sasaran tertentu tidak bisa menggunakan
semua jenis vaksin. Misalnya, vaksinasi anak hanya menggunakan vaksin
sinovac dan kebutuhan vaksin homolog untuk target sasaran yang sudah
mendapatkan dosis-1.
1
Materi Menteri Kesehatan Perkembangan Penanganan Pandemi tanggal 26 Desember 2021
2
Kebutuhan vaksinasi booster dana APBN sekitar 92,4juta dosis
9
Solusi atas permasalahan di atas yaitu Kementerian Kesehatan
berkoordinasi dengan pemerintah daerah agar menginformasikan kondisi
vaksin, mempercepat vaksinasi dan realokasi vaksin sesuai kebutuhan.
b. Permasalahan Umum Tata Kelola Vaksinasi

Sepanjang tahun 2021, BPKP berserta APIP Kementerian/Lembaga/
Daerah melakukan pengawasan atas kegiatan vaksinasi termasuk
distribusi dan pengelolaan stok vaksin. Hasil pengawasan menemukan
permasalahan yang dihadapi dalam pelaksanaan vaksinasi masih terus
berulang, namun kejadiannya semakin menurun.
Secara umum permasalahan tata kelola pelaksanaan kegiatan vaksinasi
Covid-19 baik yang ditemukan di pusat maupun daerah disajikan dalam
tabel berikut:
Table 4. Permasalahan tata kelola pelaksanaan kegiatan vaksinasi

Covid-19
Aspek Tata
Permasalahan
Kelola
1. belum menyusun grand design pencapaian target
vaksinasi per hari dikaitkan dengan laju vaksinasi
dan penyediaan vaksin Covid-19
Strategi
2. kebijakan komposisi distribusi vaksin Dinas
Vaksinasi
Kesehatan (50%), TNI (25%), dan POLRI (25%)
belum mempertimbangkan kemampuan dan
karakteristik kewilayahan
1. penerbitan surat alokasi/distribusi membutuhkan
kisaran waktu seminggu sampai dengan lebih dari
1 bulan
Alokasi Vaksin
2. pengiriman vaksin Covid-19 ke berbagai daerah
dalam kuantitas kecil (dibawah 100
vial@pengiriman)
1. Cold chain dan Alat Pelindung Diri belum
memenuhi kebutuhan vaksinasi
Sarana
2. Cold chain belum dikalibrasi
Prasarana
3. Pemantauan suhu vaksin tidak dilakukan secara
konsisten
Sumber Daya 1. Jumlah vaksinator dan tenaga kesehatan belum
Manusia memenuhi kebutuhan vaksinasi
10
Aspek Tata
Permasalahan
Kelola
2. Vaksinator belum mendapatkan pelatihan
1. Dukungan anggaran vaksinasi oleh pemerintah
daerah belum memadai
Dana 2. Anggaran dukungan vaksinasi terlambat ditetapkan
3. Pertanggungjawaban tidak didukung bukti realisasi
yang memadai
1. Tidak akuratnya data capaian dan stock vaksin
pada aplikasi SMILE
Pencatatan dan 2. Tingkat kedisiplinan faskes melaporkan progress
Pelaporan vaksinasi masih kurang
3. Perbedaan konsumsi vaksin dibandingkan dengan
jumlah orang yang telah dilakukan vaksinasi
Penyuntikan Vaksin Booster di luar target sasaran
Ketidaktepatan (Nakes), jumlah dan jenis vaksin yang diterima,
administrasi pencatatan vaksin dan jumlah fisiknya
Terhadap permasalahan di atas BPKP dan APIP Kementerian/Lembaga/

Daerah telah memberikan rekomendasi kepada Kementerian Kesehatan
dan Pemerintah Daerah. Kementerian Kesehatan agar dapat
menindaklanjuti permasalahan-permasalahan yang ditemukan dan ikut
memantau tindak lanjut rekomendasi hasil pengawasan di daerah.
3. Penyajian Persediaan Vaksin Covid-19 dalam Laporan Keuangan

Selain memastikan proses vaksinasi berjalan efektif, Kementerian Kesehatan
juga harus menjaga akuntabilitas pelaksaaan program. Salah satu bentuk
pertanggungjawaban melalui penyajian laporan keuangan dengan nilai yang
akurat dan diungkapkan secara wajar. Terkait dengan hal ini, Kementerian
Kesehatan harus memastikan bahwa ketepatan pengungkapan dan nilai
persediaaan vaksin Covid-19 telah memadai untuk menjaga akuntabilitas
laporan keuangan tahun anggaran 2021.
Dari segi pengungkapan dan kelengkapan, masih terdapat risiko salah saji
atas persediaan vaksin di tahun 2021. Secara administratif pengadaan vaksin
menggunakan akun belanja barang yang akan diserahkan ke masyarakat.
Pelaporan pada laporan keuangan, selain menyajikan harga pengadaan
vaksin disertai dengan posisi saldo vaksin dan kelengkapan dokumen serah
terima. Kelengkapan dokumen serah terima (BAST) membutuhkan waktu
11
yang lama. Sehingga terdapat kemungkinan laporan keuangan Kementerian
Kesehatan atas saldo persediaan vaksin Covid-19 per 31 Desember 2021
tidak dapat didukung oleh dokumen yang dipersyaratkan (BAST). Hal ini
berpotensi akan mempengaruhi kewajaran saldo persediaan vaksin Covid-19.
Selain itu jika pendekatan ini diterapkan maka akan terjadi pengalihan risiko
yang berdampak kepada penyajian laporan keuangan di 548 pemerintah
daerah, dimana saat ini pemerintah daerah belum melakukan pencatatan atas
penerimaan hibah vaksin tersebut.
Atas situasi ini, Kementerian Keuangan diharapkan menetapkan kebijakan
akuntansi atas penyajian nilai persediaan vaksin Covid-19 dalam laporan
keuangan. Kebijakan ini mengatur pengiriman vaksin ke pemerintah daerah
merupakan penyerahan penugasan pemda untuk melakukan vaksinasi bukan
penyerahan kepemilikan. Selanjutnya, Kementerian Kesehatan perlu
mengungkapkan dengan cukup pada Catatan atas Laporan Keuangan.
Dari segi penilaian, BPKP turut memastikan ketepatan nilai harga pengadaan
vaksin dan nilai persediaan. Pada pengadaan vaksin, BPKP melaksanakan
reviu atas usulan harga vaksin berbagai macam skema yaitu pembelian,
hibah bantuan COVAX, maupun gotong royong. Periode tahun 2021, BPKP
melaksanakan reviu atas 417,75 juta dosis vaksin dengan total usulan harga
Rp39,43T. Dari reviu BPKP, dihasilkan efisiensi Rp1,92T atau 4,87%. Koreksi
ini karena usulan harga tidak didukung dokumen dan kesalahan perhitungan
tarif. Terkait hal ini, agar Kementerian Kesehatan dapat menggunakan
laporan BPKP sebagai salah satu pertimbangan dalam menentukan harga
dan nilai persediaan vaksin Covid-19.
Terkait dengan penatausahaan persediaan vaksin Covid-19, pencatatan atas
penerimaan dan penggunaan vaksin pada fasilitas layanan kesehatan
menggunakan aplikasi SMILE dari Kementerian Kesehatan. Hasil
pengawasan menunjukkan adanya perbedaan nilai antara data di aplikasi
SMILE dengan realisasi fisik. Kondisi ini disebabkan kurangnya tingkat
kedisiplinan pemerintah daerah dan unit pelaksana vaksinasi.
4. Kebutuhan Vaksin Tahun 2022
Berdasarkan data Kemkes tentang rencana kebutuhan vaksin dan suplai
vaksin tahun 2022 yang disampaikan pada agenda ratas tanggal 3 Januari
12
2022, Pemerintah telah menyusun perhitungan kebutuhan vaksinasi Covid-19
sebanyak 450,5 juta dosis terdiri atas:
Table 5. Perhitungan kebutuhan vaksinasi Covid-19

No Kelompok Sasaran Dosis Primer Booster Total + 10%
1. Remaja dan Dewasa 2021 140,6 - 156,0
2. Anak + Kohort anak baru 57,7 - 64,2
3. Lansia - 21,5 24,0
4. PBI Non-Lansia - 61,6 68,4
5. PD Pemda Non-Lansia - 22,3 24,7
Sub jumlah 198.3 105,4 337,3
Mandiri - 102,9 113,2
Jumlah 198,3 208,3 450,5
Terkait rencana ini, Kementerian Kesehatan perlu memitigasi Risiko

kesalahan perhitungan kebutuhan vaksinasi program dan booster agar tidak
terjadi kelebihan suplai vaksin. Kementerian Kesehatan diharapkan dapat
menyusun peta rencana kebutuhan vaksin berdasarkan jumlah target sasaran
vaksinasi NYATA di lapangan dalam rangka menjaga akurasi kebutuhan
vaksin. Perhitungan kebutuhan vaksin tersebut dihitung untuk setiap
kelompok target sasaran vaksinasi yang belum disuntik dosis lengkap per
jenis vaksin agar tidak ada jenis vaksin yang berlebih. Mempertimbangkan
apakah menetapkan target booster untuk seluruh populasi merupakan
kebijakan yang tepat karena target booster adalah suntikan lanjutan bagi
yang sudah menerima vaksinasi lengkap bukan hitungan populasi.
5. Suplai Vaksin Tahun 2022

Kementerian Kesehatan telah menyusun rencana penyediaan vaksin untuk
kebutuhan vaksin pada tahun 2022 sebanyak 450,5 juta dosis tersebut di atas
beserta skenario penyerapan vaksin dengan rincian sebagai berikut:
13
Atas rencana pemanfaatan sisa vaksin carry over tahun 2021, pengadaan
vaksin booster program dan mandiri, Kementerian Kesehatan diharapkan
sudah melakukan hal-hal sebagai berikut:
a. Tidak melakukan perhitungan secara total besaran angka saja tetapi
merinci jumlah dan jenis saldo stok vaksin carry over tahun 2021 per
daerah dan di Bio Farma (Pusat) serta melakukan analisis apakah secara
jumlah dan jenis vaksin dapat memenuhi kebutuhan vaksinasi primer
(homolog) di masing-masing daerah tersebut;
b. Pengadaan vaksin tambahan untuk vaksin anak dan booster
mempertimbangkan stok jenis vaksin yang masih tersedia;
c. Mempertimbangkan kedatangan vaksin secara bertahap sehingga tidak
terjadi stok vaksin berlebih yang berisiko adanya vaksin kadaluwarsa.
6. Perencanaan Vaksinasi Tahap Lanjutan (Booster)

Pemerintah berupaya meningkatkan ketahanan imunitas kesehatan
masyarakat dengan penyuntikan booster vaksin Covid-19. Rencana
pemberian booster ada dua skema, yaitu menggunakan dana APBN untuk
sasaran Lanjut Usia, Penerima Bantuan Iuran Non Lansia dan PD Pemda
Non-Lansia sebanyak 117,1 juta dosis serta dana Non-APBN untuk sasaran
mandiri sebanyak 113,2 juta dosis.
14
Merespon rencana tersebut, BPKP telah mengidentifikasi risiko-risiko yang
menghambat kelancaran kegiatan. Risiko yang perlu dimitigasi antara lain
sisa vaksin Covid-19 yang mendekati kadaluwarsa tidak dapat dimanfaatkan,
data sasaran maupun pengadaan vaksin booster melebihi target, dan fraud
terkait ijin, penetapan kuota dan harga dalam pengadaan vaksin booster
sumber Non APBN. Terhadap risiko tersebut BPKP telah memberikan
langkah-langkah kebijakan yang perlu diambil Kementerian Kesehatan agar
pemberian vaksinasi booster efektif.
Table 6. Identifikasi Risiko dan Mitigasi Vaksinasi Booster Covid-19
Mitigasi
Risiko
A. Vaksin Booster dana APBN
1. Perencanaan
a. Vaksin tidak dapat

Vaksinasi kepada target yang belum vaksin
digunakan karena
atau booster kepada pelayan publik
expired
1. Penghitungan target vaksinasi lebih akurat
mempertimbangkan:
 Capaian vaksinasi tiap target sasaran
b. Pengadaan vaksin  Saldo persediaan akhir tahun
melebihi kebutuhan  Estimasi preferensi masyarakat atas
vaksin booster
2. Pengadaan secara bertahap
2. Pelaksanaan
1. Perketat mekanisme distribusi vaksin
2. Pencantuman identifikasi yang berbda
a. Penyalahgunaan (label/packaging) vaksin APBN dan Mandiri
vaksin 3. Pemisahan lokasi vaksinasi APBN dan
Mandiri
b. Kemahalan harga Reviu struktur harga dan penentuan unsur

pengadaan vaksin biaya
B. Vaksin Booster dana Non APBN
1. Pengadaan Terpusat oleh Pemerintah
15
1. Penghitungan target vaksinasi lebih akurat
mempertimbangkan:
a. Mekanisme
• Capaian vaksinasi tiap target sasaran
Pengadaan
• Saldo stok persediaan akhir tahun
Pengadaan vaksin
• Estimasi preferensi vaksin booster
melebihi kebutuhan
2. Pengadaan secara bertahap
b. Penetapan Harga
Kolusi saat
Reviu harga oleh BPKP dan ditinjau secara
penetapan harga
periodik
(HET atau Fixed
Price)
3. Pengadaan Mekanisme Pasar
a. Mekanisme pengadaan
 Fraud dalam
Pemilihan penyedia vaksin mempertimbangkan
penentuan
rekan jejak dalam pengadaan sebelumnya
penyedia vaksin
1. Pemilihan penyedia vaksin
mempertimbangkan rekam jejak dalam
 Kolusi dalam pengadaan sebelumnya
penetapan kuota 2. Pembagian kuota berdasarkan data P-Care
swasta terkait dengan penetapan jenis dan jumlah
vaksin booster
1. Mendorong BUMN di bidang farmasi untuk
 Kebutuhan vaksin menyiapkan vaksin booster
tidak terpenuhi 2. Percepatan produksi vaksin dalam negeri
b. Penetapan Harga
- Mark up harga Menetapkan harga maksimal yang berlaku di

pasar vaksin pasar dan ditinjau secara periodik
3. Penetapan Lokasi
1. Pemisahan lokasi vaksinasi APBN dan
Mandiri
Vaksin APBN dijual 2. Pencantuman identifikasi yang berbda
(label/packaging) vaksin APBN dan Mandiri
16
Lampiran II
Analisis Kolektif atas Seluruh Hasil Pengawasan APIP pada Rentang Waktu
Tertentu
A. Kewajiban APIP dalam Melaporkan Hasil Pengawasan kepada Pimpinan

Organisasi
APIP (Aparat Pengawasan Intern Pemerintah) adalah lembaga internal pemerintah
yang bertanggung jawab untuk melakukan pengawasan terhadap kinerja dan
pengelolaan keuangan pemerintah. APIP memiliki tanggung jawab untuk
melaporkan hasil pengawasan tersebut kepada pimpinan organisasi. Kewajiban
pelaporan hasil pengawasan APIP kepada Pimpinan Organisasi tersebut diatur
dalam beberapa peraturan sebagai berikut:
1. Undang-Undang Nomor 17 Tahun 2003 tentang Keuangan Negara, yang
mengatur tentang pengawasan keuangan negara dan pembinaan pengelolaan
keuangan negara yang baik.
2. Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian
Intern Pemerintah, yang mengatur tentang tata cara pelaksanaan pengawasan
dan pengendalian intern pemerintah.
3. Peraturan Presiden Nomor 29 Tahun 2014 tentang Sistem Akuntabilitas Kinerja
Instansi Pemerintah, yang mengatur tentang sistem pengukuran kinerja dan
akuntabilitas instansi pemerintah.
4. Peraturan Menteri Dalam Negeri Nomor 13 Tahun 2006 tentang Pedoman
Pengawasan Intern Pemerintah Daerah, yang mengatur tentang pedoman
pengawasan intern pemerintah daerah.
Dalam peraturan-peraturan tersebut di atas, dijelaskan bahwa hasil pengawasan
APIP harus dilaporkan kepada Pimpinan Organisasi sebagai bentuk
pertanggungjawaban dan transparansi dalam pengelolaan keuangan negara dan
daerah. Kewajiban pelaporan ini bertujuan untuk memastikan bahwa tata kelola,
manajemen risiko dan pengendalian intern pemerintah dilakukan dengan baik,
efektif, efisien, dan akuntabel.
Metode ini tetap mengutamakan adanya perencanaan pengawasan berbasis risiko
dalam menentukan ruang lingkup pengawasan dalam rangka memberikan
keyakinan yang memadai bahwa tata kelola, manajemen risiko, dan pengendalian
telah dilaksanakan secara memadai atas pengelolaan keuangan dan
pembangunan.
Assessment dimulai dengan pengumpulan seluruh hasil pengawasan individu yang
dilakukan baik melalui assurance (audit, reviu, evaluasi, dan monitoring) maupun
consulting, termasuk memanfaatkan hasil pengawasan eksternal maupun hasil
pengawasan kolaboratif (combined oversight/joint audit), yang selanjutnya
menyusun simpulan umum hasil pengawasan untuk memberi gambaran terkait tata
kelola, manajemen risiko, dan pengendalian intern organisasi.
B. Contoh Outline Laporan Analisis Kolektif atas Seluruh Hasil Pengawasan
APIP
Laporan analisis kolektif atas seluruh hasil pengawasan APIP diharapkan paling
tidak berisi:
Pendahuluan
Diisi dengan informasi-informasi yang relevan sesuai dengan kondisi instansi
masing-masing, seperti: dasar hukum, organisasi/kelembagaan, program
pengawasan pada tahun pelaporan, tujuan penyusunan laporan, dan hal-hal
lainnya yang dianggap penting. Bab ini dapat dibagi dalam beberapa Sub Bab
sesuai dengan kebutuhan.
Ringkasan Eksekutif
Diisi dengan narasi singkat yang memberikan gambaran umum tentang hasil
pengawasan APIP. Ringkasan eksekutif bertujuan untuk memberikan informasi
penting kepada pimpinan organisasi dalam waktu singkat dan mudah dipahami.
Ringkasan eksekutif berisi simpulan kolektif atas seluruh hasil pengawasan APIP.
Bab I : Pengawasan Tematik I
Bab II dst : Pengawasan Tematik II, dst.
Diisi dengan hasil pengawasan baik assurance maupun consulting yang telah
dilakukan oleh APIP dalam kurun waktu tertentu. Pengawasan dikelompokkan
dalam tema-tema tertentu yang relevan, pengelompokan pengawasan secara
tematik tersebut bertujuan untuk mempermudah pembaca laporan dalam
memahami kondisi dan permasalahan pada sektor-sektor yang memiliki kaitan satu
sama lain.
Untuk APIP Daerah dapat mengelompokkan hasil pengawasannya dengan
berpedoman pada Permendagri Nomor 90 Tahun 2019 tentang Klasifikasi,
Kodefikasi, dan Nomenklatur Perencanaan Pembangunan dan Keuangan Daerah.
Sebagai contoh, APIP Kabupaten/Kota dapat mengelompokkan hasil
pengawasannya berdasarkan bidang urusan seperti Urusan Pemerintahan Bidang
Pendidikan, Urusan Pemerintahan Bidang Kesehatan, Urusan Pemerintah Bidang
Pangan, Urusan Bidang Pariwisata, dan lain sebagainya. Pada masing-masing
bidang urusan pemerintahan yang menjadi ruang lingkup laporan, APIP dapat
menyimpulkan kondisi, permasalahan dan/atau keberhasilan atas bidang urusan
tersebut berdasarkan hasil pengawasan yang dilakukan oleh APIP, termasuk
memanfaatkan hasil pengawasan eksternal maupun hasil pengawasan kolaboratif
(combined oversight/joint audit).
Rekomendasi Strategis
Diisi dengan rekomendasi strategis yang perlu menjadi perhatian Pimpinan
Organisasi untuk mengatasi permasalahan-permasalahan yang disajikan pada
bagian tubuh tulisan.
Contoh bentuk Analisis Kolektif atas Seluruh Hasil Pengawasan APIP pada
Rentang Waktu Tertentu sebagaimana terlampir.
LAPORAN
HASIL PENGAWASAN
2022
;;
MEMBANGUN BANUA,
MEMBERI MAKNA
-8'8//$325$1
PEMULIHAN EKONOMI, PENGENDALIAN INFLASI, DAN PENINGKATAN
KESEJAHTERAAN RAKYAT KALIMANTAN SELATAN
BADAN PENGAWASAN
KEUANGAN DAN PEMBANGUNAN
/2*2./'
PENGANTAR
Laporan hasil pengawasan tahunan ini ditujukan untuk memberikan insight dan
perspektif baru kepada berbagai pihak, terutama Gubernur Kalimantan Selatan, yang
akan membantu dalam merefleksikan kemajuan pembangunan di Banua dan juga
sebagai bekal dalam merancang dan merevisi kebijakan dan strategi pembangunan
di Kalimantan Selatan.
Laporan hasil pengawasan ini disusun dari kegiatan pengawasan strategis BPKP
Kalimantan Selatan selama tahun 2022, yang terdiri dari layanan pemberian
keyakinan (assurance services) dan layanan pemberian konsultansi (consulting
services).
Kegiatan pengawasan selama tahun 2022 tersebut tidak hanya melibatkan internal
BPKP Kalimantan Selatan, tetapi juga pihak lain, terutama aparat pengawasan intern
pemerintah (APIP) pada Inspektorat Daerah, Inspektorat Daerah Militer, Inspektorat
Pengawasan Kepolisian Daerah, dan satuan pengawasan intern terkait lainnya.
Kami sangat berharap laporan hasil pengawasan ini banyak membantu berbagai
pihak dan ditindaklanjuti dengan penyusunan rencana aksi strategis tahun 2023 di
Kalimantan Selatan. Karena itu, pada bagian akhir kami menutup laporan hasil
pengawasan ini dengan rekomendasi rencana aksi strategis.
Laporan ini tentu dihasilkan dari kerja keras seluruh pihak di BPKP Kalimantan
Selatan dengan bimbingan dan arahan dari seluruh pimpinan BPKP. Karena itu, kami
mengucapkan terima kasih kepada seluruh pihak yang terlibat langsung dalam
penyusunan laporan ini.
Jika diperlukan komunikasi lebih lanjut terkait laporan hasil pengawasan ini, para
pihak dapat menghubungi Whatsapp HelpDesk BPKP Kalimantan Selatan secara
langsung.
Sekali lagi, terima kasih.
Rudy M. Harahap, PhD, CGCAE, CRGP
Kepala Perwakilan
RINGKASAN EKSEKUTIF
Pada tingkatan makro, beberapa tantangan Hanya saja, BUMDes belum banyak berperan
dan kemajuan pembangunan di Kalimantan dalam meningkatkan pendapatan dan
Selatan selama tahun 2022 yang menurunkan tingkat kemiskinan di desa.
teridentifikasi, antara lain, sebagai berikut:
6. Pada aspek ketahanan pangan, luas tambah
1. Penguatan kesehatan masyarakat di tanam (LTT) padi di Kalimantan Selatan
Kalimantan Selatan masih menjadi mengalami penurunan pada tahun 2022
tantangan berat, yang tampak dari yang diikuti dengan penurunan produksi
tingginya tingkat kematian pasien akibat padi. Meskipun demikian, stok cadangan
Covid-19 dan kurangnya tenaga kesehatan. beras pemerintah (CBP) masih aman dan
Pada tahun 2022, walaupun mengalami terdapat produksi daging sapi dan kerbau di
Kalimantan Selatan. Namun, terkait dengan
percepatan penurunan yang signifikan,
pelestarian lingkungan hidup, lahan
angka prevalensi stunting di Kalimantan terganggu yang tidak direklamasi
Selatan termasuk enam terburuk di bertambah luas.
Indonesia. Berita baiknya, rasio
ketersediaan tempat tidur perawatan di 7. Pada isu pencegahan dan pengendalian
rumah sakit pada sebuah daerah di korupsi, Hasil Survei Penilaian Integritas (SPI)
Kalimantan Selatan semakin mendekati tahun 2022 menunjukkan Kalimantan
standar World Health Organization (WHO). Selatan berada pada kondisi "Waspada",
sementara hasil Monitoring Centre for
2. Pembangunan manusia di Kalimantan Prevention (MCP) menunjukkan
Selatan mulai berjalan dengan baik, tetapi implementasi MCP Kalimantan Selatan
angka Harapan Lama Sekolah (HLS) masih "Baik".
di bawah rata-rata nasional dan kasus anak BPKP Kalimantan Selatan berupaya
putus sekolah (dropout) meningkat seiring meningkatkan governansi serta manajemen
naiknya jenjang pendidikan. risiko dan kepatuhan pada berbagai instansi di
Kalimantan Selatan, antara lain, berupa:
3. Perlindungan sosial di Kalimantan Selatan
menunjukkan perkembangan positif, yang 1. Peningkatan maturitas SPIP Terintegrasi,
tampak dari tingkat ketimpangan dengan memfasilitasi 13 pemerintah daerah
ekonomi dan distribusi pendapatan di untuk meraih skor maturitas SPIP di atas 3,
bawah rata-rata nasional. Jumlah dengan hasil satu pemerintah daerah meraih
penduduk miskin pun berkurang, skor MRI di atas 3. Selain itu, peningkatan
meskipun tingkat keparahan kemiskinan kapabilitas APIP, dengan hasil sampai 2022
meningkat. Tingkat pengangguran juga sebanyak tujuh APIP mencapai level 3 dan
menurun dan proporsi rumah tangga yang tujuh lainnya pada level 2.
memiliki akses layanan sanitasi layak juga
mengalami kenaikan. 2. Penguatan manajemen risiko instansi
vertikal di daerah, terutama dengan
penerapan manajemen risiko fraud
4. Terkait pembangunan ekonomi dan
penyelenggaraan Pemilu dan Pilkada
kesejahteraan rakyat, rata-rata Serentak tahun 2024, yang menghasilkan
pendapatan bersih pekerja berusaha identifikasi risiko dengan kategori "Ekstrem"
sendiri (self-employee) di Kalimantan dan "Tinggi" serta rumusan strategi untuk
Selatan di bawah rata-rata nasional. memitigasinya.
Pertumbuhan ekonomi juga sempat
menurun pada Triwulan III Tahun 2022 dan 3. Peningkatan kualitas penyelenggaraan
tingkat inflasi masih di atas rata-rata pemerintahan daerah, yang berhasil
nasional. memetakan potensi untuk meningkatkan
efektivitas dan efisiensi dalam program,
5. Dari segi infrastruktur, jalan rusak ternyata kegiatan, dan sub kegiatan dalam bidang
meningkat di Kalimantan Selatan dan Kesehatan, Pendidikan, dan Ketahanan
terjadi kesenjangan akses internet. Tingkat Pangan, serta berhasil mendorong
kemandirian fiskal pemerintah daerah juga pemerintah daerah di Kalimantan Selatan
memanfaatkan data kinerja untuk
rendah, tetapi BUMD dan BLUD
mengendalikan capaian kinerja, walaupun
berkontribusi membantu pemerintah masih terdapat capaian kinerja dengan
daerah meningkatkan kemandirian fiskal status “Tidak Diperoleh Informasi”.
ini.
v
4. Penguatan manajemen keuangan daerah, (d) entitas layanan kesehatan tidak
yang berhasil mengidentifikasi tantangan mengutamakan penggunaan Alat dan
dalam pemanfaatan aset daerah dan Material Kesehatan (Almatkes) hasil produksi
peningkatan Pendapatan Asli Daerah dalam negeri, dan (e) infrastruktur Sistem
(PAD), serta memberikan asistensi Pengolahan Air Limbah (SPAL) tidak terlalu
pengelolaan keuangan daerah melalui memenuhi standar.
aplikasi Financial Management
Information System (FMIS) pada sembilan 3. Pembangunan manusia. Hasil pengawasan
pemerintah daerah di Kalimantan Selatan. menemukan (a) Bantuan Program Indonesia
Pintar (PIP) tidak cukup mengurangi beban
5. Peningkatan manajemen kinerja BUMD, pengeluaran pendidikan, terdapat kasus
BLUD, dan BUMDesa, dengan hasil exclusion error, dan penyaluran bantuan
teridentifikasi BUMD Jasa Air yang belum tidak tepat waktu, (b) distribusi guru tidak
mampu memberikan air berkualitas merata, pembayaran Tunjangan Profesi Guru
standar, delapan BUMD Jasa Air yang (TPG) tidak sesuai, dan pemenuhan guru
mengalami kerugian, serta 10 BUMD Jasa berkualitas belum tercapai, serta (c)
Air yang berisiko bangkrut. Di sisi lain, penyaluran Dana Bantuan Operasional
sebanyak tiga BLUD Rumah Sakit Perguruan Tinggi Negeri (BOPTN) Non
berkinerja "Baik" dan sebanyak satu BUMD Penelitian tidak sesuai dan bantuan tidak
Aneka Usaha berkinerja "Tidak Sehat". berdampak pada penurunan Uang Kuliah
BUMDes sendiri belum terlalu berkinerja. Tunggal (UKT).
6. Penguatan pengelolaan keuangan desa, 4. Perlindungan sosial. Hasil pengawasan

berupa evaluasi tata kelola, bimbingan menemukan (a) tata kelola basis data belum
teknis pengelolaan keuangan desa, dan berjalan dengan baik, (b) Program Padat
edukasi kepada kepala desa dan unsur Karya Tunai belum berkontribusi pada
terkait, yang berhasil mengidentifikasi peningkatan pendapatan berkelanjutan, (c)
bahwa pemerintah desa bergantung pada penyiapan data percepatan penghapusan
pendapatan transfer dan memerlukan kemiskinan ekstrem tidak melibatkan
banyak perbaikan dalam tata kelola pemerintah daerah, (d) program penurunan
keuangan desa. kantong-kantong kemiskinan ekstrem
melalui penyediaan lahan belum difasilitasi,
7. Penerapan manajemen risiko korupsi, (e) peningkatan pendapatan tidak
yang berfokus pada penerapan Indeks menjangkau seluruh masyarakat miskin
Efektivitas Pengendalian Korupsi (IEPK), ekstrem, (f) Puskesmas belum terakreditasi
Fraud Control Plan (FCP), Masyarakat dan kekurangan Dokter Umum dan
Pembelajar Anti Korupsi (MPAK), dan kehabisan obat, serta (f) masyarakat miskin
penyusunan profil risiko korupsi, yang ekstrem kesulitan menjangkau layanan
berhasil mengidentifikasi area perbaikan pendidikan, air bersih, sanitasi, elektrifikasi,
dalam pengendalian korupsi, rancangan dan konektivitas.
kebijakan pengendalian kecurangan, profil
risiko fraud, dan membangun komitmen 5. Percepatan pemulihan ekonomi, percepatan
pembentukan MPAK. peningkatan penggunaan produk dalam
negeri, dan pengendalian inflasi. Hasil
Kegiatan dan hasil pengawasan strategis pengawasan menemukan Program
BPKP Kalimantan Selatan pada tingkatan Penanganan Covid-19 dan Pemulihan
mikro berhasil mengungkapkan isu atau Ekonomi Nasional (PC-PEN) berdampak
risiko strategis, yaitu: pada pertumbuhan ekonomi dan Produk
Domestik Regional Bruto (PDRB), capaian
1. Penguatan kesehatan masyarakat. Hasil vaksinasi, dan penurunan kasus Covid-19.
pengawasan menemukan (a) vaksin yang Namun, Tim Percepatan Peningkatan
kadaluwarsa, (b) klaim biaya pasien Covid- Penggunaan Produk Dalam Negeri (P3DN)
19 tidak sesuai/dispute dan kelebihan belum melaksanakan tugas dengan baik,
pembayaran, (c) pemerintah daerah tidak belum semua pemerintah daerah di
merencanakan anggaran khusus untuk Kalimantan Selatan memiliki toko daring
Covid-19, (d) pengadaan alat testing/ lokal, dan organisasi perangkat daerah (OPD)
tracing tidak cukup mengantisipasi risiko teknis dan inspektorat belum secara penuh
kenaikan kasus, dan (e) program memonitor dan mengevaluasi P3DN. Selain
percepatan penurunan stunting yang itu, tingkat inflasi Kalimantan Selatan belum
tidak terintegrasi. mencapai target, kebijakan dan strategi
pengendalian inflasi belum selaras dengan
2. Reformasi sistem kesehatan. Hasil pemerintah pusat, program/kegiatan
pengawasan menemukan (a) Fasyankes penanganan dampak inflasi belum
Primer memiliki fasilitas yang tidak layak direncanakan dengan baik, dan platform
serta sistem pengolahan limbah cair medis perdagangan digital belum dikembangkan.
dan nonmedis yang tidak memadai, (b) Kemudian, terdapat kelebihan pembayaran
Fasyankes Rujukan memiliki sarana iuran tetap dan kekurangan pembayaran
prasarana yang tidak sesuai dan perizinan royalti pertambangan batubara.
yang kadaluwarsa, (c) pemerataan tenaga
kesehatan belum mencapai target,
vi
6. Proyek Strategis Nasional (PSN). Hasil (a) pemegang Izin Usaha Pertambangan
pengawasan menemukan (a) pembayaran (IUP) batubara tidak memenuhi kewajiban
jalan relokasi Bendungan Tapin belum reklamasi pada lahan terganggu, (b)
dilakukan karena tidak tersedianya dasar kekurangan penempatan jaminan reklamasi
hukum dan bendungan belum dan pasca tambang, (c) kesalahan dalam
dimanfaatkan sesuai dengan rencana, (b) pengelolaan izin lingkungan, dan (d)
pengembangan Kawasan Industri Jorong kebijakan dan kelembagaan yang kurang
berisiko gagal dan tidak selesai pada waktu efektif.
yang ditentukan, (c) proyek Pembangkit
Listrik Tenaga Uap (PLTU) Kotabaru gagal 10. Pencegahan dan pengendalian kasus
tender dan belum dapat berjalan tindak pidana korupsi. Pada tata kelola
sebagaimana mestinya, (d) progres industri kelapa sawit, hasil pengawasan
pekerjaan fisik PLTU Kalselteng 2 melebihi menemukan data yang terbatas, perbedaan
target capaian tahun 2022, dan (e) data antar instansi, konflik lahan, distributor
kegiatan Tanah Obyek Reforma Agraria bersertifikat tidak tersedia, dan pabrik crude
(TORA) terealisasi penuh. palm oil (CPO) tidak tersedia. Audit
Penghitungan Kerugian Keuangan Negara
7. Kebijakan stimulus dan dukungan fiskal. (PKKN) dan Audit Investigatif juga berhasil
Hasil pengawasan menemukan (a) satu menemukan kerugian keuangan
Bank penerima penempatan dana negara/daerah.
pemerintah gagal mencapai target
penyaluran kredit, (b) beberapa pemberian Rekomendasi Strategis
Kredit Usaha Rakyat (KUR) tidak sesuai Berdasarkan ketiga hal yang diuraikan
dengan ketentuan yang berlaku, (c) sebelumnya, rekomendasi strategis yang
capaian Pendataan Lengkap Koperasi dan disarankan adalah peningkatan kualitas
UMKM (PL-KUMKM) tidak mencapai target, penyelenggaraan sistem pengendalian
dan (d) tidak ditemukan bantuan stimulus intern, peningkatan kapabilitas auditor
pada sektor pariwisata dan ekonomi kreatif internal, penguatan manajemen
di Kalimantan Selatan saat Pandemi Covid- program/proyek, penguatan manajemen
19. risiko instansi vertikal di daerah, peningkatan
kualitas penyelenggaraan pemerintahan
8. Pembangunan infrastruktur. Hasil daerah, peningkatan manajemen keuangan
pengawasan menemukan (a) pemerintah daerah, peningkatan
ketidakselarasan dokumen perencanaan, manajemen kinerja badan usaha dan badan
kemajuan pekerjaan tidak sesuai dengan layanan (BUMD, BLUD, dan BUMDesa),
target, jalan rusak tidak ditangani efektif, akselerasi vaksinasi Covid-19, dan perbaikan
dan missing link belum dibangun, (b) kualitas layanan kesehatan. Selain itu,
pembangunan Base Transceiver Station peningkatan kualitas manusia, penurunan
(BTS) belum merata, BTS dibangun di kemiskinan, peningkatan infrastruktur,
lahan yang mengalami dispute, dan penguatan ekonomi, penguatan ketahanan
pemerintah daerah tidak dilibatkan dalam pangan, penjagaan kualitas bibit ternak,
perencanaan dan pembangunan BTS, (c) peningkatan produksi pertanian, pelestarian
realisasi penyediaan akses dan kapasitas lingkungan, dan pencegahan terjadinya
internet belum merata, (d) terdapat kasus tindak pidana korupsi.
kelebihan pembayaran biaya material dan
pembayaran yang tidak seharusnya, (e)
hasil pembangunan infrastruktur Sistem
Pengelolaan Air Minum (SPAM) tidak
termanfaatkan, dan (f) sebanyak dua
laporan keuangan program/proyek
infrastruktur mendapat opini Wajar
Dengan Pengecualian (WDP) dan
sembilan laporan mendapat opini Wajar
Tanpa Pengecualian (WTP).
9. Ketahanan pangan. Hasil pengawasan

menemukan (a) pemenuhan kebutuhan
benih padi Nutrizink kurang, alokasi pupuk
bersubsidi tidak sesuai dengan kebutuhan,
dan tata kelola data kebutuhan dan
penyaluran bibit ternak tidak memadai, (b)
penyaluran Cadangan Beras Pemerintah
(CBP) di bawah target, dan (c) program
dukungan peralatan produksi pertanian
dan perikanan tidak efektif. Terkait
penanganan lahan pasca tambang, hasil
pengawasan menemukan
vii
DAFTAR ISI
Pengantar i
Kerangka Penulisan iii
Ringkasan Eksekutif v
Daftar Isi ix
BAB I Pembangunan Daerah

di Kalimantan Selatan
A. Penguatan Kesehatan Masyarakat 4
B. Pembangunan Manusia 5
C. Perlindungan Sosial 6
D. Pembangunan Ekonomi
dan Kesejahteraan Rakyat 9
E. Ketahanan Pangan dan Pelestarian Lingkungan 13

Hidup
F. Pencegahan dan Pengendalian Tindak Pidana

Korupsi 15
BAB II Penguatan Governansi serta

Manajemen Risiko dan Kepatuhan
A. Peningkatan Kualitas Penerapan Sistem 23
Pengendalian Intern
B. Peningkatan Kapabilitas Auditor Internal 24

C. Penguatan Instansi Vertikal di Daerah 25
D. Peningkatan Penyelenggaraan 26
Pemerintah Daerah
E. Peningkatan Manajemen Keuangan 29

Pemerintah Daerah
F. Peningkatan Manajemen Kinerja BUMD, 31

BLUD, dan BUMDesa
G. Peningkatan Pengelolaan Keuangan Desa 33

H. Peningkatan Kapabilitas Pengelolaan Risiko 34
Kecurangan
ix
BAB III Isu-Isu Strategis Hasil Pengawasan
BPKP Kalimantan Selatan
A. Penguatan Kesehatan Masyarakat 40
B. Reformasi Sistem Kesehatan 42
C. Pembangunan Sumber Daya Manusia 43
D. Perlindungan Sosial 43
E. Percepatan Pemulihan Ekonomi 44
F. Proyek Strategis Nasional 47
G. Kebijakan Stimulus dan Dukungan Fiskal 48
H. Pembangunan Infrastruktur 49
I. Ketahanan Pangan dan Pelestarian Lingkungan 51
Hidup
J. Pencegahan dan Pengendalian Korupsi 53
BAB IV Rekomendasi Rencana

Aksi Strategis
57
x
BAB I
Pembangunan Daerah
A. Penguatan Kesehatan Masyarakat
B. Pembangunan Manusia
C. Perlindungan Sosial
D. Pembangunan Ekonomi
dan Kesejahteraan Rakyat
E. Ketahanan Pangan dan Pelestarian
Lingkungan Hidup
F. Pencegahan dan Pengendalian Tindak
Pidana Korupsi
LAPORAN HASIL PENGAWASAN PERWAKILAN BPKP PROVINSI KALIMANTAN SELATAN 2022
BAB I
Pembangunan Daerah
Bagian ini akan menguraikan refleksi atas kemajuan dan

tantangan pembangunan di Kalimantan Selatan yang
berkaitan langsung dengan kegiatan pengawasan strategis
BPKP Kalimantan Selatan selama tahun 2022.
Beberapa uraian berikut ini akan menggambarkan hasil

pengawasan BPKP yang bermanfaat untuk mendorong
kemajuan pembangunan di Kalimantan Selatan, yaitu
pembangunan terkait dengan (1) penguatan kesehatan
masyarakat, (2) pembangunan manusia, (3) perlindungan
sosial, (4) pembangunan ekonomi dan kesejahteraan
rakyat, (5) ketahanan pangan dan pelestarian lingkungan
hidup, serta (6) pencegahan dan pengendalian Tindak
Pidana Korupsi (Tipikor).
3 BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN

A. Penguatan Kesehatan Masyarakat

Hasil pengawasan yang dominan terkait dengan penguatan kesehatan
masyarakat adalah dalam penurunan kematian akibat Covid-19, peningkatan
ketersediaan tempat tidur rumah sakit, dan peningkatan jumlah tenaga
kesehatan dokter.
Kematian Pasien Akibat Covid-19

Tingkat kematian pasien akibat Covid-19 di Kalimantan Selatan menjadi
tantangan besar karena termasuk tinggi jika dilihat secara nasional.
Sebagai gambaran, per 18 Desember 2022, terdapat 88.798 kasus positif Covid-19,
dengan jumlah pasien sembuh sebanyak 86.199 kasus (97,07 persen) dan jumlah
kematian pasien sebanyak 2.599 kasus (2,93 persen). Angka kematian ini
menyumbang 1,15 persen dari total kasus kematian akibat Covid-19 secara
nasional.
Ketersediaan Tempat Tidur Rumah Sakit

Rasio jumlah tempat tidur perawatan di rumah sakit dibandingkan dengan
jumlah penduduk di Kalimantan Selatan semakin memenuhi standar World
Health Organisation (WHO).
Sebagai indikasi, jumlah penduduk Kota Banjarmasin per tahun 2021 sebanyak
662.320 jiwa, sedangkan jumlah tempat tidur rumah sakit sebanyak 1.954 tempat
tidur. Artinya, per 1.000 penduduk Kota Banjarmasin, tersedia 2,95 tempat tidur
perawatan di rumah sakit. Rasio ini memenuhi standar WHO, yaitu per 1.000
penduduk tersedia minimal 1 tempat tidur perawatan di rumah sakit.
Tenaga Kesehatan Dokter

Jumlah tenaga kesehatan (Nakes) dokter yang tersedia di Kalimantan Selatan di
bawah kebutuhannya.
Sebagai gambaran, jumlah kebutuhan berdasarkan hasil pendataan Nakes pada

aplikasi Sistem Informasi Sumber Daya Manusia Kesehatan (SI-SDMK) yang
memuat rencana kebutuhan dan rencana pemenuhan Nakes dokter per 27
Februari 2022 secara keseluruhan sebanyak 6.284 orang, sedangkan yang
tersedia hanya sebanyak 5.435 orang.
Stunting
Angka Prevalensi Stunting (APS) Provinsi Kalimantan Selatan di Tahun 2021
berdasarkan Survei Status Gizi Indonesia (SSGI) sebesar 30 persen dan berada di
posisi 6 tertinggi (terburuk) di Indonesia, di atas rata-rata APS Nasional sebesar
24,4 persen.
Sementara itu, tiga Kabupaten dengan APS tertinggi di Provinsi Kalimantan

Selatan adalah Kabupaten Banjar (40,2 persen), Kabupaten Tapin (33,5 persen),
dan Kabupaten Barito Kuala (32,4 persen).
MEMBANGUN BANUA, MEMBERI MAKNA 4

PROGRAM INDONESIA PINTAR
B. Pembangunan Manusia
Hasil pengawasan yang dominan terkait dengan pembangunan manusia adalah
harapan lama sekolah dan kasus putus sekolah.
Harapan Lama Sekolah

Angka Harapan
Lama Sekolah
(dalam tahun)
13,10 NASIONAL
KALSEL
12,82 Peluang sekolah
setara Diploma I
Angka Harapan Lama Sekolah (HLS) pada tahun 2022 di bawah rata-rata
nasional, yaitu angka HLS Provinsi Kalimantan Selatan 12,82, sedangkan angka
HLS nasional 13,10.
Angka HLS didefinisikan sebagai lamanya sekolah (dalam tahun) yang

diharapkan akan dirasakan oleh anak pada umur tertentu di masa mendatang.
Artinya, secara rata-rata anak usia 7 tahun yang masuk jenjang pendidikan
formal pada tahun 2022 memiliki peluang untuk bersekolah selama 12,82 tahun
atau setara dengan Diploma I.

Kasus Putus Sekolah

2,13
Angka Anak
Putus Sekolah
1,18 1,38
1,06
NASIONAL
KALSEL
SMP SMA
Kasus anak putus sekolah (drop out) di Kalimantan Selatan tahun 2022
mewarnai potret lemah pendidikan nasional. Kasus anak putus sekolah semakin
meningkat seiring naiknya jenjang pendidikan.
Sebagai gambaran, untuk jenjang Sekolah Menengah Pertama (SMP)/sederajat,

angka anak putus sekolah 1,18, di atas angka nasional 1,06. Angka ini meningkat
pada jenjang Sekolah Menengah Atas (SMA)/sederajat yang menyentuh angka
2,13, di atas angka nasional 1,38.
Selain kasus anak putus sekolah, angka anak tidak sekolah juga cukup tinggi.
Hal ini tercermin dari data angka anak tidak sekolah kategori usia 7 s.d. 12 tahun
pada angka 0,47, kategori usia 13 s.d. 15 tahun pada angka 10,00 (melampaui
nasional pada angka 6,94), dan kategori usia 16 s.d. 18 tahun pada angka 21,56.
C. Perlindungan Sosial
Hasil pengawasan yang dominan terkait dengan kebijakan perlindungan sosial
adalah penanganan ketimpangan ekonomi dan distribusi pendapatan,
penurunan kemiskinan dan kemiskinan ekstrem, penurunan pengangguran,
peningkatan akses air bersih, dan peningkatan sanitasi masyarakat.
Ketimpangan Ekonomi dan Distribusi Pendapatan

Tingkat ketimpangan ekonomi dan distribusi pendapatan Kalimantan Selatan di
bawah tingkatan nasional, yang tampak dari rasio Gini.
Tingkat ketimpangan ekonomi atau distribusi pendapatan penduduk Indonesia

mengalami peningkatan rasio pada Semester I Tahun 2022 jika dibandingkan
dengan Semester II Tahun 2021. Secara nasional, rasionya naik dari 0,381 pada
September 2021 menjadi 0,384 pada Maret 2022.
Sementara itu, tingkat ketimpangan ekonomi dan distribusi pendapatan

Kalimantan Selatan mengalami penurunan senilai 0,008, dari angka 0,325 pada
Semester II Tahun 2021 menjadi 0,317 pada Semester I Tahun 2022.

Kemiskinan dan Kemiskinan Ekstrem

Jumlah penduduk miskin di Kalimantan Selatan tahun 2022 sebanyak 195.702
jiwa. Jumlah ini mengalami penurunan jika dibandingkan dengan jumlah
penduduk miskin tahun 2021 yang menyentuh angka 208.118 jiwa.
Namun, tingkat keparahan kemiskinan (poverty severity index-P2) pada 2022

mengalami kenaikan sejumlah 0,003, yaitu menjadi 0,133 di tahun 2022 dari
sebelumnya 0,130 di tahun 2021. Indeks keparahan kemiskinan ini memberikan
gambaran mengenai penyebaran pengeluaran di antara penduduk miskin.
Semakin tinggi nilai indeks, semakin tinggi ketimpangan pengeluaran di antara
penduduk miskin.
Berdasarkan data Pensasaran Percepatan Penghapusan Kemiskinan Ekstrem

(P3KE) yang ditetapkan oleh Menteri Koordinator Pembangunan Manusia dan
Kebudayaan (Menko PMK) per 9 Desember 2022, jumlah masyarakat miskin
ekstrem di Provinsi Kalimantan Selatan berada di urutan 25 dari 34 Provinsi di
Indonesia, yaitu sebanyak 47.823 keluarga atau 225.904 individu. Secara nasional,
keluarga miskin ekstrem berjumlah 6,28 juta keluarga atau 28,70 juta individu.
Pengangguran
TAHUN 2022
Penurunan Tingkat
Pengangguran
5,86
4,74 NASIONAL
KALSEL
TAHUN 2021
6,49
4,95
Tingkat pengangguran di Kalimantan Selatan berangsur mengalami penurunan.

Efek Covid-19 yang sudah mereda diduga turut andil dalam menurunnya tingkat
pengangguran.
Sebagai gambaran, tingkat pengangguran per Agustus 2022 adalah 4,74. Angka
ini mengalami penurunan sejumlah 0,21 jika dibandingkan dengan tingkat
pengangguran tahun 2021, yaitu 4,95.
Di sisi lain, tingkat pengangguran nasional per Agustus 2022 tercatat 5,86, yang
turun 0,63 dibandingkan tingkat pengangguran di bulan yang sama di tahun
2021, yaitu 6,49.

BAB IV
XX
Rekomendasi Rencana
Aksi Strategis
BAB XX
IV
Rekomendasi
Rencana Aksi
Strategis
Berdasarkan uraian sebelumnya, untuk meningkatkan
kualitas pembangunan daerah melalui penguatan
governansi, manajemen risiko, dan kepatuhan serta
memitigasi isu-isu strategis di Kalimantan Selatan, kami
merekomendasikan kepada Gubernur Kalimantan Selatan
sebagai Wakil Pemerintah di Daerah menjalankan beberapa
rencana aksi strategis (strategic action plan) sebagai berikut:
MANAJEMEN RISIKO

1. Peningkatan Maturitas Penyelenggaraan SPIP Terintegrasi dan

Kapabilitas APIP, yaitu (1) perumusan kebijakan dan kerangka
formal manajemen risiko, (2) peningkatan kualitas sasaran dan
strategi pencapaian sasaran, (3) penyediaan anggaran yang cukup
untuk mendukung kinerja APIP, (4) penguatan komitmen
pengembangan SDM APIP, dan (5) pemanfaatan hasil audit APIP
dalam mendukung kinerja pemerintah.
2. Peningkatan Kualitas Manajemen Program/Proyek (termasuk

pada Pemilu dan Pilkada Serentak), yaitu (1) penerapan prinsip-
prinsip good governance, seperti transparansi, akuntabilitas,
partisipasi, dan keterbukaan dalam pengelolaan program/proyek,
(2) pemutakhiran secara berkala informasi risiko-risiko terbaru, (3)
penyusunan rencana mitigasi risiko, (4) peningkatan transparansi
dan akuntabilitas penyelenggaraan Pemilu dan Pilkada Serentak,
serta (5) sosialisasi dan edukasi kepada masyarakat tentang
pentingnya integritas Pemilu dan Pilkada serta pelaporan
kecurangan.
3. Peningkatan Kualitas Penyelenggaraan Pemerintahan Daerah

dan Manajemen Keuangan Daerah, yaitu (1) peningkatan
kapasitas aparat daerah dalam mengelola data kinerja dan laporan
penyelenggaraan pemerintahan daerah, (2) perumusan kebijakan
penggunaan aplikasi FMIS pada seluruh pemerintah daerah di
Kalimantan Selatan, (3) perumusan kebijakan mengenai
pemanfaatan aset strategis, penetapan tarif sewa, dan tata cara
kerja sama pemanfaatan aset, dan (4) penetapan target
pendapatan daerah yang realistis dan berdasarkan pemetaan
potensi.
4. Peningkatan Manajemen Kinerja BUMD, BLUD, dan BUMDesa,

yaitu (1) perumusan kebijakan atas pembenahan sistem dan
prosedur BUMD/BLUD/BUMDes, (2) perumusan kebijakan atas
pengelolaan mandiri BUMD/BLUD/BUMDes, (3) perumusan
kebijakan atas pemanfaatan aset lancar BUMD/BLUD/BUMDes, (4)
perumusan kebijakan pemberian kredit BUMD Perbankan dengan
memperhatikan risk tolerance, dan (5) perumusan kebijakan atas
peningkatan realisasi penyaluran kredit kepada masyarakat.
5. Peningkatan Kualitas Layanan Kesehatan, yaitu (1) percepatan

vaksinasi booster kedua Covid-19 dan penyediaan anggarannya, (2)
penyusunan strategi percepatan peningkatan kualitas layanan
kesehatan primer, (3) pengoordinasian dengan Kementerian
Kesehatan terkait pengaturan Aplikasi E-Klaim Rumah Sakit, (4)
peningkatan kompetensi tenaga perencana SDM Kesehatan di
Kabupaten/Kota, dan (5) peningkatan peran Tim Percepatan
Penurunan Stunting.
6. Peningkatan Kualitas Manusia, yaitu (1) perumusan kebijakan yang

memastikan pembayaran TPG tepat jumlah dan waktu, (2)
perumusan kebijakan pemutakhiran data peserta didik di Data
Pokok Pendidikan (Dapodik), dan (3) pembinaan pengelolaan
BOPTN non penelitian yang berdampak pada penurunan UKT.

7. Peningkatan Perekonomian dan Kesejahteraan Rakyat serta

Penurunan Kemiskinan, yaitu (1) penganggaran program dan
bantuan bagi UMKM dengan memperhitungkan jumlah cakupan
penerima program dan bantuan stimulus, (2) pemberian prioritas
PDN dalam PBJ di Kalimantan Selatan, (3) perumusan kebijakan
Program Padat Karya Tunai yang memberikan peningkatan
pendapatan secara berkelanjutan, dan (4) perumusan kebijakan
yang mengakselerasi percepatan penghapusan kemiskinan
ekstrem.
8. Peningkatan Infrastruktur, yaitu (1) akselerasi PSN, terutama pada

aspek pemanfaatan, (2) pertemuan dengan kementerian terkait
untuk mengakselerasi penyediaan infrastruktur jalan dan
jembatan, (3) perumusan kebijakan yang mengatur persyaratan
teknis dan standar kualitas BTS, (4) perumusan langkah-langkah
strategis untuk mengatasi hambatan layanan penyediaan akses
dan kapasitas internet, dan (5) perumusan kebijakan penyerahan
aset hasil program kepada pemerintah daerah secara tepat waktu.
9. Peningkatan Ketahanan Pangan, yaitu (1) perumusan kerja sama

penyediaan benih Padi Nutrizink kepada para petani lokal
produsen benih Padi Nutrizink, (2) perumusan kebijakan
pencegahan penurunan luas tambah tanam lahan pertanian, (3)
perumusan kebijakan perhitungan kebutuhan bibit sapi dan
pangan ternak, (4) penyusunan kebijakan selective breeding, dan
(5) penyusunan kebijakan penyaluran dukungan atas alat produksi
pertanian yang bersumber dari APBD.
10. Pelestarian Lingkungan Hidup, yaitu (1) perumusan kebijakan

yang memastikan pemegang IUP batubara melaksanakan
reklamasi dan pasca tambang lahan terganggu, (2) perumusan
kebijakan mengenai penetapan jaminan reklamasi dan pasca
tambang kepada pemegang IUP batubara, (3) penertiban dan
pemberian sanksi kepada pemegang IUP batubara yang tidak
memiliki Izin Lingkungan, (4) sinergi dengan Kementerian
Lingkungan Hidup dan Kehutanan untuk mengkaji ulang Izin
Lingkungan yang terbit setelah terbitnya IUP, dan (5) revisi
kebijakan pelaksanaan reklamasi, jaminan reklamasi, dan jaminan
pasca tambang.
11. Pencegahan Risiko Kecurangan dan Penanganan Keterjadian

Kasus Tipikor, yaitu (1) penerapan IEPK sebagai alat ukur kinerja
upaya pencegahan korupsi, (2) perumusan kebijakan anti
kecurangan dan pembentukan satuan tugas pengendalian
kecurangan pemerintah daerah, (3) pengembangan
whistleblowing system dan strategi deteksi proaktif, (4)
perumusan kebijakan manajemen risiko kecurangan, dan (5)
pencanangan gerakan anti kecurangan pada pendidikan dasar,
lanjutan, dan tinggi.
12. Pengendalian Inflasi Daerah, yaitu (1) penetapan peta jalan

pengendalian inflasi, (2) diferensiasi jenis bantuan pada
penanganan dampak, (3) pemberdayaan kerja sama antar daerah,
dan (4) pembinaan platform digital dan machine learning.

Lampiran III
Asurans atas Efektivitas Manajemen Risiko
A. Definisi Manajemen Risiko

Peraturan BPKP Nomor 6 Tahun 2018 tentang Pedoman Pengawasan Intern
Berbasis Risiko mendefinisikan manajemen risiko sebagai proses terkoordinasi yang
diterapkan oleh organisasi untuk memastikan organisasi tersebut menyadari risiko
yang mereka hadapi dan mengambil aksi terkait risiko tersebut. Sebagai suatu
proses, manajemen risiko adalah serangkaian kegiatan untuk mengidentifikasi,
menilai, dan mengelola serta mengendalikan kejadian atau situasi yang mungkin
terjadi dalam rangka memberikan keyakinan yang memadai terhadap pencapaian
tujuan organisasi. Manajemen risiko juga sekaligus dapat dimanfaatkan sebagai
early warning system dalam pengawalan pencapaian tujuan maupun target
manajemen pada setiap kegiatan, program dan sasaran organisasi.
B. Keterkaitan Manajemen Risiko dengan Manajemen Pemerintahan Daerah dan
Pengawasan Intern Berbasis Risiko (PIBR)
Sesuai Peraturan Deputi PPKD Nomor 4 Tahun 2019 tentang Pedoman Pengelolaan
Risiko pada Pemerintah Daerah, secara ringkas hubungan antara manajemen risiko
dengan manajemen pemerintah daerah dan PIBR adalah sebagai berikut:
Gambar 2.1 Hubungan antara Manajemen Risiko dengan Manajemen Pemerintah Daerah dan PIBR (Tahun 20xx-1)
Gambar 2.2 Hubungan antara Manajemen Risiko dengan Manajemen Pemerintah Daerah dan PIBR
(Tahun 20xx sampai Tahun 20xx+1)
Keterkaitan antara pengelolaan risiko dengan manajemen pemerintahan daerah
antara lain tercermin dari waktu penyusunan dan pemanfaatan dokumen
pengelolaan risiko.
Pada gambar 2.1, menggambarkan bahwa Penilaian Risiko strategis pemerintah
daerah dilaksanakan setelah diselesaikannya dokumen RPJMD. Selanjutnya
dokumen hasil penilaian risiko dilakukan reviu dan dimutakhirkan setiap tahun
bersamaan dengan proses penyusunan Kebijakan Umum Anggaran dan Prioritas
Plafon Anggaran Sementara (KUA-PPAS).
Penilaian Risiko Strategis OPD dilaksanakan pada saat diselesaikannya Rencana
Strategis OPD. Selanjutnya dokumen hasil penilaian risiko dilakukan reviu dan
dimutakhirkan setiap tahun bersamaan dengan proses penyusunan Rencana Kerja
dan Anggaran OPD (RKA OPD).
Penilaian risiko operasional OPD dilaksanakan bersamaan dengan proses
penyusunan dokumen RKA OPD yang dimulai dengan terbitnya surat edaran dari
Kepala Daerah tentang pedoman penyusunan RKA OPD. Oleh karena itu, draft
dokumen Penilaian Risiko dapat dijadikan sebagai salah satu kelengkapan atas
dokumen RKA yang diserahkan kepada tim anggaran pemerintah daerah.
Kepala OPD diharapkan telah mempunyai draf penilaian risiko strategis dan
operasional OPD pada saat penyusunan RKA OPD. Pada saat ditetapkannya
Dokumen Pelaksanaan Anggaran OPD (DPA OPD) maka dokumen penilaian risiko
dan Rencana Tindak Pengendalian (RTP) sudah harus final.
Inspektorat melakukan reviu atas draft dokumen Penilaian Risiko OPD sebelum
dilakukan Reviu atas RKA. Hasil Reviu dari Inspektorat dijadikan bahan untuk
memperbaiki draft dokumen Penilaian Risiko yang disusun oleh Perangkat Daerah.
Pada tahap ini, inspektorat sekaligus menyusun PKPT Berbasis Risiko dengan
memanfaatkan dokumen penilaian risiko yang telah disusun oleh manajemen.
Pada gambar 2.2, menggambarkan bahwa kegiatan pengendalian yang dibangun
sebagaimana tercantum dalam dokumen RTP akan ditindaklanjuti dalam tahun
anggaran berjalan sehingga dapat mendukung keberhasilan tujuan kegiatan yang
dilakukan. Selanjutnya pada bulan Januari s.d Februari tahun berikutnya, Unit
Pengelola Risiko (UPR) menyusun Laporan Pengelolaan Risiko.
Inspektorat melaksanakan pengawasan sepanjang tahun dalam rangka
meningkatkan GRC organisasi. Selanjutnya pada bulan Maret tahun berikutnya,
APIP melakukan evaluasi atas pengelolaan risiko UPR dan memberikan opini atas
efektivitas MR organisasi.
Penjelasan secara lebih lengkap mengenai keterkaitan manajemen risiko dengan
manajemen pemerintahan daerah dan pengawasan intern berbasis risiko dapat
dilihat pada Peraturan Deputi Bidang Pengawasan Penyelenggaraan Keuangan
Daerah Nomor 4 Tahun 2019 tentang Pedoman Pengelolaan Risiko pada Pemerintah
Daerah.
C. Tahapan Pelaksanaan Asurans atas Efektivitas Manajemen Risiko
Perlu dipahami, bahwa asurans atas efektivitas manajemen risiko bukanlah
mengaudit risiko, tetapi mengaudit pengelolaan risiko, sehingga fokus asurans
adalah pada tindakan manajemen dalam merespons risiko. Tujuan dari asurans atas
efektivitas manajemen risiko adalah sebagai berikut:
1. Menilai proses identifikasi dan analisis atas risiko signifikan telah memadai;
2. Menilai kecukupan rancangan pengendalian atas risiko teridentifikasi untuk
menjamin tercapainya tujuan proses/kegiatan;
3. Menilai bahwa kegiatan pengendalian telah efektif dalam mengelola risiko hingga
pada tingkat risiko yang dapat diterima;
4. Menilai proses manajemen risiko telah dimonitor secara periodik oleh manajemen
untuk menjamin bahwa proses manajemen risiko dilakukan secara
berkesinambungan dan berjalan efektif.
Sebelum APIP melaksanakan asurans atas efektivitas manajemen risiko, perlu
dilakukan reviu/rekonfirmasi tingkat kematangan penerapan manajemen risiko
organisasi. Hal ini untuk meyakini kondisi terkini praktik manajemen risiko pada level
organisasi bahwa proses manajemen risiko yang dilaksanakan telah dapat
digunakan oleh APIP dalam pelaksanaan asurans atas efektivitas manajemen risiko.
Adapun tahapan pelaksanaan asurans atas efektivitas manajemen risiko sesuai
Peraturan BPKP Nomor 6 Tahun 2018, secara ringkas adalah sebagai berikut:
1. Diskusi dan observasi pengendalian;
2. Pengujian pengendalian;
3. Dokumentasi hasil kerja pengawasan;
4. Menilai analisis risiko yang dilakukan oleh manajemen;
5. Kesimpulan atas tanggapan dan proses manajemen risiko;
6. Membuat ringkasan simpulan hasil pengawasan untuk pimpinan organisasi.
Dalam membuat ringkasan simpulan hasil pengawasan untuk pimpinan organisasi,

APIP dapat berpedoman pada ketentuan berikut:
Panduan Penentuan Simpulan Hasil Asurans
Tingkatan Dapat Diterima Menjadi Perhatian Tidak Dapat
Diterima
Warna Hijau Kuning Merah
Dilaporkan Tidak perlu Isu-isu Utama Isu-isu Utama
sebagai dilaporkan
Simpulan Kriteria
Risiko-risiko Proses Proses-proses telah Tidak memadai, atau
telah menyeluruh telah digunakan, tetapi tidak ada proses-
diidentifikasi, digunakan dan terdapat beberapa proses yang
dievaluasi, dan semua risiko kekurangan digunakan
dikelola signifikan telah
diidentifikasi
Pengendalian Risiko-risiko telah Risiko-risiko telah Risiko-risiko belum
mengurangi dikurangi sampai dikurangi sampai dikurangi sampai
risiko sampai dengan batas dengan batas yang dengan tingkat yang
tingkat yang yang dapat dapat diterima, dapat diterima dan
diterima diterima kecuali risiko-risiko mungkin beberapa
signifikan yang tujuan tidak akan atau
dicatat dan oleh tidak tercapai
karena itu ada
kemungkinan bahwa
beberapa tujuan
tidak akan tercapai
Tindakan telah Tindakan yang Tindakan yang telah Tidak ada tindakan
diambil telah diambil akan diambil akan yang telah diambil
sesegera mengurangi mengurangi atau tindakan yang
mungkin untuk semua risiko beberapa risiko diambil tidak cukup
memperbaiki sampai pada sampai pada tingkat mengurangi risiko
kegagalan tingkat yang dapat yang diterima
signifikan diterima
Tingkat Tidak diperlukan Beberapa Perbaikan-perbaikan

Pemantauan pemantauan pemantauan besar diperlukan
saat ini telah tambahan tambahan untuk memantau
memadai diperlukan
Tahapan dan penjelasan secara lebih rinci terkait tahapan asurans atas efektivitas
manajemen risiko, APIP K/L/D dapat mengadopsi Peraturan BPKP Nomor 6 Tahun
2018 tentang Pedoman PIBR, Peraturan Deputi Bidang Pengawasan Instansi
Pemerintah Bidang Politik, Hukum, Keamananan, Pemberdayaan Manusia dan
Kebudayaan Nomor 1 Tahun 2020 tentang Juklak PIBR Kementerian/Lembaga dan
Peraturan Deputi Bidang Pengawasan Penyelenggaraan Keuangan Daerah Nomor
5 Tahun 2020 tentang Juklak PIBR Bagi APIP Daerah.
Contoh bentuk opini makro asurans atas efektivitas Manajemen Risiko sebagaimana
terlampir.
Office of Internal Audit and Investigations
Internal Audit of
ENTERPRISE RISK MANAGEMENT
AUGUST 2022
Report 2022/10
1
CONTENTS
Executive Summary ...................................................................................................... 3

Audit Objectives, Scope and Approach ...................................................................... 8
Background and Context ............................................................................................ 10
Observations and Management Action Plan ............................................................ 12
1. Governance structure
2. Risk culture
3. Risk appetite
4. Development of an ERM vision
5. Organizational structure and resources
6. Risk capabilities
7. Risk monitoring and reporting
8. Risk management systems and processes
9. ERM implementation planning and review
Appendix I .................................................................................................................... 32
Definitions of audit observation ratings and conclusions
Appendix II ................................................................................................................... 33
History and structure of ERM in UNICEF
2
EXECUTIVE SUMMARY
The Office of Internal Audit and Investigations (OIAI) conducted an audit of UNICEF’s Enterprise
Risk Management (ERM) activity, covering the period from January 2020 to September 2021.
The audit was conducted from July to September 2021, in accordance with the International
Standards for the Professional Practice of Internal Auditing. The audit reviewed the design of
UNICEF’s ERM strategy and related processes, and their effectiveness in achieving a global risk
management framework to support effective risk management by risk owners at country, regional
and headquarters level, and to meet external stakeholder demands. The scope of the audit
covered both headquarters-led and country-level ERM activities. Effective ERM must start at the
very top, with strong commitment from the governing body and executive management. However,
the audit recommendations have been designed to produce the framework, structure and tools
needed to support staff in the field in delivering results for children.
Over the last decade, the scale, range and complexity of UNICEF’s operations have increased
significantly; its income has doubled to over US$ 8billion, with commensurate increase in staffing.
Risk management will be critical to achieving the goals of the new 2022-2025 Strategic Plan. In
the face of political crises, natural disasters, security, and access challenges, safeguarding issues
and funding constraints – all with potential to disrupt the best-laid plans – UNICEF staff at every
level must make the right decisions to achieve results for children. Indeed, the nature of UNICEF’s
mission and the challenging environments in which UNICEF operates mean that the organization
has to constantly take risks and seize opportunities to achieve its goals.
In this age of social media, public engagement and powerful brand associations, an isolated risk
incident – related, for example, to sexual exploitation and abuse, fraud or mismanagement – can
cause immediate, far-reaching damage to the trust that underpins the success of UNICEF.
Therefore, a UNICEF country office or division must not manage risk in isolation and without an
overarching framework set out by senior leadership.
ERM is a systematic, transparent approach to risk management that:

 Ensures consistency and coordination of programmatic, operational and strategic risk
management mechanisms and activities at every level of the organization.
 Enables sharing of good practices and lessons learned.
 Ensures that decisions by any staff member are based on a common understanding of the
organization’s risk appetite in any given scenario.
 Provides the means to demonstrate to governing bodies, executive management, donors
and other stakeholders that risks and opportunities are understood and managed within
clearly defined boundaries.
An ERM framework, while led from the top of the organization, lays the foundation for effective
risk management at all levels of organizations such as UNICEF with global presence, and guides
strategic decision-making. With clear leadership from senior staff, ERM equips and empowers all
staff to anticipate and respond quickly and appropriately to uncertainties, within well-established
boundaries, ensuring the most efficient delivery of planned results.
3
Overall conclusion
Based on the audit work performed, OIAI Satisfactory
concluded that the assessed governance, risk Partially Satisfactory,
management and control processes were Improvement Needed
Partially Satisfactory, Significant Partially Satisfactory, Significant
Improvement Needed, meaning that the Improvement Needed
assessed governance, risk management or
Unsatisfactory
control processes needed significant
improvement. The weaknesses or deficiencies identified could have a materially negative impact
on the performance of the audited entity, area, activity or process. (See Appendix l for definitions
of the conclusion ratings.)
OIAI is suggesting several actions, of which four are high priority. High-priority actions require
prompt or immediate resolution to avoid major adverse consequences for the audited activity or
process, or for UNICEF as a whole.
Summary of observations and agreed actions

OIAI noted several activities related to ERM that were adequate and functioned well. For example,
risk assessment and mitigation are an integral part of certain activities that underpin country office
planning and programme delivery. These include:
 The situation analysis and development of programme strategy notes.

 The Guidance on Risk-Informed Programming (GRIP) developed by the Programme Division.
 UNICEF emergency procedures.
 In some country offices, discussions around risk management are a routine part of senior
management meetings.
 Some country offices and divisions have developed their own risk management tools to
support risk analysis and tracking of mitigating actions.
Furthermore, the pace of ERM implementation at UNICEF, led by the ERM Secretariat, 1 has
increased significantly in the last few years, including:
 Development of an ERM strategy and policy, intended to provide a road map towards risk
management ‘maturity’.
 Establishment of a Senior Management Risk Committee, charged with overseeing ERM
implementation, reviewing UNICEF’s strategic risks and monitoring risk response plans.
 Roll-out of an online tool (called eGRC) and user training to support a consistent approach to
recording risks and related mitigating measures at all levels of the organization.
OIAI also made a number of observations related to improving the design and effectiveness of
ERM activities in supporting both staff facing risks when delivering country programmes and
responding to crises, and senior leaders and stakeholders charged with providing strategic
direction and oversight. The most significant audit observations were the following:
 ERM Vision. The audit noted that UNICEF executive leaders have had limited involvement
in developing the current ERM strategy. This has contributed to a need for greater clarity as
1 See Appendix II for an overview of the ERM structure at UNICEF.
4
to what executive leaders expect successful ERM to look like in delivering results for children.
For example, the strategy does not fully explore the extent and nature of integration between
existing programmatic and operational risk management mechanisms and the ERM
Secretariat-led approach; identify the information requirements of risk owners at all levels,
senior management and other stakeholders for the purpose of timely, well-informed decision-
making, monitoring and reporting; or define the target organizational structure, capabilities,
resources, systems and processes to support risk management at country, regional and
headquarters level.
 Governance. The limited engagement of executive leaders in developing, directing and

overseeing ERM was due to the lack of clarity in their roles, responsibilities and
accountabilities in relation to ERM. There was also insufficient evidence that executive
management had explored how to engage the Executive Board most effectively and to meet
its requirements for information, to enable it to execute its accountabilities and oversight
responsibilities for ERM, as set out in the Executive Board’s mandate from the United Nations
General Assembly.
 Risk culture. Improvement was needed with respect to the contribution of executive
management to the establishment of a risk-intelligent culture, promoting the benefits of ERM
and setting the tone, direction and expectations required to embed consistent behaviours and
attitudes towards risk at every level of the organization. ‘Tone at the top’ is a key driver for
establishing effective ERM and should be supported by a performance management system
that encourages and rewards responsible risk management based on clearly defined
accountabilities.
 Risk appetite. UNICEF’s mission requires country teams to take timely, risk-informed
decisions and actions on a daily basis. Emergency responses are guided by a ‘no regrets’
approach and there is zero tolerance of fraud, corruption, and sexual exploitation and abuse.
Nevertheless, UNICEF had not adequately defined its ‘risk appetite’ to support decision-
making from the Executive Board down and to guide the programmatic and operational
response to new or unique risks not addressed by any policy or procedure. Faced with critical,
urgent decisions, staff are under pressure to make the right judgment call without a clear
frame of reference, in an organization whose mission depends on timely, risk-conscious
decision-making.
 Organizational structure, resources and capabilities. Roles and responsibilities for

ERM had not been adequately defined at country, regional and headquarters levels, and the
necessary resources, both financial and capability-related, had not been committed. The
positioning of the ERM Secretariat within the finance function, the appointment of the
Comptroller as Chair of the Senior Management Risk Committee and the focus on populating
the global risk database (eGRC) had contributed to ERM being perceived as a compliance-
based activity serving headquarters reporting needs. The recruitment of a high-calibre and
dedicated Chief Risk Officer, leading the ERM function, will be key to the development and
implementation of an ERM strategy that addresses these shortcomings and best supports the
UNICEF mission.
 Risk monitoring and reporting. A well-designed ERM framework ensures visibility of the
most critical risks and incorporates monitoring and reporting at each level of the organization.
Despite significant investment in the eGRC tool, it was not yet generating sufficiently reliable
data to allow senior management to monitor and respond to strategic or cross-cutting risks
and to report to the Executive Board, donors and other stakeholders, as appropriate. With
5
respect to operational and programmatic risk management, the lack of user-friendly tools and
streamlined processes limited country offices’ ability to analyse and monitor country-level risk,
and regional offices’ capacity to provide regional oversight and support.
 Risk management systems and processes. The current ERM strategy involves
collating risk data from every level of the organization in one comprehensive risk register
(eGRC). In arriving at its ERM vision, UNICEF should consider alternative approaches, while
leveraging existing risk management tools as much as possible. For example, a ‘top’ risk
register of the most critical, strategic and cross-cutting risks could be easily created through
engagement with senior management and simply updated for regular review and periodic
reporting to key stakeholders. This would free up capacity at country and regional levels to
streamline existing operational and programmatic risk management tools and activities within
the broader ERM framework and embed a more positive risk culture at every level of the
organization.
OIAI ascribes a rating to audit actions based on the potential consequence or residual risks2 to
the audited entity, area, activity or process, or, as in this case, to UNICEF as a whole. The table
below summarizes the most important actions suggested to address the residual risks identified
and the ratings of these risks and observations in respect of the assessed governance, risk
management and control processes. (See the definitions of the observation ratings in Appendix
l.)
OBSERVATION PRIORITY
Category of
Area or Operation and Key Agreed Action Rating
Process
Governance structure (Observation 1): The Executive Director will
clarify and communicate the roles, responsibilities and accountabilities
for ERM governance and oversight, including those of the Executive
Board, the Executive Director, the Office of the Executive Director, the
Global Management Team, as well as the composition and terms of
reference of the Senior Management Risk Committee. Executive High
Management will periodically report to the Executive Board for
information and decision, as needed, on the development and
implementation of ERM in line with the revised UNICEF accountability
framework.
Governance Development of an ERM vision (Observation 4): With support of the

Executive Director, the Chief Risk Officer/ERM Secretariat will conduct
a stakeholder consultation process as a basis for developing a long- High
term ERM vision, for review and endorsement by the Senior
Management Risk Committee and Executive Director.
Risk culture (Observation 2): The Executive Director will ensure that
the ‘tone from the top’ of UNICEF demonstrates the importance of
responsible risk management by all staff by, amongst other things,
communicating to the whole Organization the Executive Director’s Medium
approval of the ERM Strategy and Policy and involvement of executive
management in ERM activities.
2 Residual risk is the amount of risk that remains after any mitigating action or risk treatment.
6
Risk appetite (Observation 3): The Senior Management Risk
Committee will finalize UNICEF’s risk appetite statement and ensure
communication and operationalization of the risk appetite statement, High
including at the field level and in all strategic decision-making.
Organizational structure and resources (Observation 5): The

Risk management Executive Director will prioritize the immediate recruitment of a Chief
Risk Officer with the stature, skills and experience to ensure the
successful development and delivery of UNICEF’s ERM strategy; and High
reposition the ERM Secretariat (led by the Chief Risk Officer) so that it
attains the functional independence and authority required to achieve
its objectives.
Risk monitoring and reporting (Observation 7): The ERM

Secretariat will provide support to the Senior Management Risk
Control processes Committee to enable it to discharge its responsibility to review and Medium
monitor UNICEF’s strategic risks and associated mitigating actions.
Management is responsible for establishing and maintaining appropriate governance, risk

management and control processes, and implementing the agreed actions. The role of the
internal auditor is to provide an independent assessment of those governance, risk
management and control processes.
7
AUDIT OBJECTIVES, SCOPE AND APPROACH
The audit was conducted remotely from July to September 2021, in accordance with the
International Standards for the Professional Practice of Internal Auditing, and covered the period
from January 2020 to September 2021.
Objective
The audit objective was to assess the design and operational effectiveness of processes related
to the strategy and implementation of UNICEF enterprise risk management (ERM) activities.
Scope and approach
The audit adopted a risk-based approach, informed by an initial review of the structures,
methodologies and processes used for ERM. Based on this preliminary assessment, the audit
focused its analysis on the following key areas:
 Development and approval of the ERM strategy, policy and implementation plan
 Governance and oversight of ERM activities
 Implementation of the ERM strategy, including:
o Clarity of roles and responsibilities
o Methodology, processes and tools
o Communication and training
o Monitoring and reporting
o Alignment/integration with other risk management activities and risk-based
systems
 Ongoing review and continuous improvement.
The audit involved review of ERM-related systems and documentation, discussion with relevant
UNICEF management and staff, external benchmarking and testing evidence of risk management
procedures on a sample basis, as appropriate. OIAI interviewed approximately 60 UNICEF staff
(including Deputy Executive Directors and heads of divisions) from 20 UNICEF offices/divisions
and conducted a survey of all heads of offices and headquarters divisions to solicit views and
identify challenges, lessons learned and good practices. Relevant results from country office
audits performed by OIAI in 2020 and 2021 were also taken into account. The Chief Risk Officers
of two United Nations agencies with decentralized structures, comparable to UNICEF, were
interviewed for external benchmarking purposes.
Reference was made, where appropriate, to relevant external standards and guidelines for ERM,
in particular, Enterprise Risk Management—Integrating with Strategy and Performance (2017) of
the Committee of Sponsoring Organizations (COSO) 3 and ISO 31000, Risk management –
Guidelines of the International Organization for Standardization, 4 both widely recognized by
public- and private-sector organizations.
In 2019, UNICEF commissioned an external review of ERM alignment with COSO guidance and
participated in a review by the United Nations Joint Inspection Unit (JIU) of the quality of ERM in
3 This guide to ERM highlights the importance of considering risk in the strategy-setting process and in driving
performance. COSO develops thought leadership on matters related to internal control, risk management, governance
and fraud deterrence.
4 These guidelines provide principles, a framework and a process for managing risk. They can be used by any
organization regardless of its size, activity or sector.
8
28 United Nations agencies. In 2020, the JIU issued conclusions in a report (“the JIU report”). 5
OIAI reviewed both reports and the status of outstanding recommendations. In addition, during
the audit reporting phase, OIAI received the conclusions of a major donor’s assessment of
UNICEF’s central assurance activities, including ERM, performed in 2018, with follow-up and
reporting conducted in 2020.
Each of these reviews provided feedback on the UNICEF ERM framework and recommendations
for improvement. At the time of the audit, some of the issues raised had been addressed but many
recommendations were still to be addressed, including some related to governance, risk culture,
risk appetite, integration and reporting. All these topics were within the scope of the audit and the
subsequent relevant observations, together with the likely causes of non-implementation, are
included in this report. Reference is made to both the findings of the major donor assessment
(“the donor report”) and the JIU report in this report.
5Enterprise risk management: approaches and uses in United Nations system organizations (JIU/REP/2020/5).
Available at https://www.unjiu.org/news/jiurep20205-enterprise-risk-management-approaches-and-uses-united-
nations-system-organizations.
9
BACKGROUND AND CONTEXT
UNICEF staff are required to work in high-risk environments, necessitating a smart approach to
risk management, which enables rather than constrains the delivery of the most challenging
programmatic and humanitarian objectives. Managing risk is fundamental to achieving results for
children.
Risk management
Risk can be defined as the effect of uncertainty on objectives or the possibility that an event will
occur or a circumstance arise that will affect the achievement of objectives. The effect may be
positive or negative, a threat or an opportunity. Thus, risk management does not mean avoiding
risks – which, in the UNICEF context, could jeopardize its mission – but managing uncertainty
and ensuring that risks are taken and opportunities seized where the strategic impact is highest.
Risk management means maintaining a culture of conscious, well-informed risk-taking within a
structured framework and clearly-defined limits that emanate from guidance from senior
leadership.
Enterprise risk management
ERM is a systematic approach to managing risks to an organization’s strategic objectives,

intended to facilitate risk management by staff at all levels of the organization. It provides
assurance to internal and external stakeholders that the organization has the structures,
processes and capabilities to fulfil its mandate responsibly, effectively and with transparency.
In practical terms, an ERM framework serves to align and coordinate the risk management
policies, processes and tools embedded in strategic, programmatic and operational areas, with
the goal of achieving a holistic view of risk for the purpose of strategic decision-making. Effective
ERM is not a parallel process; it is part of every activity, process or decision, and ensures that
every individual is equipped and encouraged to make risk-informed judgments, based on clear
accountabilities and a positive risk culture. Where staff are already managing risks effectively,
ERM ensures that this is transparent, and achieves a coherent, enterprise-wide approach to the
analysis and management of risks, including escalation and reporting, as appropriate.
There is no single ‘best practice’ for ERM; the approach must be tailored to the organization’s
objectives, operating environment, culture and available resources. Most ERM frameworks
include a strategy, policy, guidelines, reporting mechanism, and process for identifying, analysing,
monitoring and communicating risks and the actions planned to address them.
Appendix II of this report offers further explanation of common features of ERM frameworks,
together with a summary of the development of ERM in the United Nations system and within
UNICEF.
Continuous improvement
As noted above (see Audit Objectives, Scope and Approach), between 2018 and 2020, UNICEF
participated in a number of reviews of its ERM framework, including an external assessment of
the alignment of UNICEF ERM Policy with the COSO framework, commissioned by the ERM
Secretariat; the JIU review of the ERM framework of 28 United Nations agencies; and a major
donor assessment of ERM activities. Each of these reviews provided feedback on the UNICEF
ERM framework and recommendations for improvement. The JIU report included a
recommendation to all participating agencies, including UNICEF, that, “By the end of 2021,
10
executive heads should undertake a comprehensive review of their ERM implementation against
JIU benchmarks 1 to 9, as outlined in the present report.” In addition, the JIU recommended that,
“By the end of 2022, legislative/governing bodies of participating organizations should request
executive heads to report on the outcomes of a comprehensive review of the organization’s
implementation of ERM against JIU benchmarks 1 to 9, as outlined in the present report.”
The JIU benchmarks6 offer participating organizations an opportunity to revisit ERM policies and
practices to ensure that they are practical and fulfil their intended purpose. The JIU notes:
“Benchmarks 1 to 9 should be considered within an organization’s own unique context and
business model, as well as in the context of its continuous improvement process. Assessing an
organization’s ERM processes and practices against these benchmarks will, ideally, serve to
identify gaps that need to be addressed for effective and integrated ERM to be achieved.” OIAI
was informed that UNICEF’s ERM Secretariat intended to use the findings of this audit to support
its review of UNICEF ERM actions against the JIU benchmarks and subsequent reporting.
Effective implementation of ERM is widely recognized to be a long and challenging process and
many issues identified by the audit are not uncommon to other organizations. OIAI acknowledges
the efforts made by the ERM Secretariat to benchmark its approach against recognized standards
and to invite external assessments of progress and encourages this commitment to continuous
improvement.
Next steps for enterprise risk management at UNICEF
Based on its broader engagement with UNICEF management and the conduct of this audit, OIAI
notes that there is a genuine appetite among programmatic and operational staff across the
organization for an effective, pragmatic approach to risk management to support transparent, risk-
conscious decision-making at every level of operations.
As UNICEF embarks on its 2022-2025 Strategic Plan, under the leadership of a new Executive
Director, and with the prospect of a newly created Chief Risk Officer role, the findings of this audit
are presented with the aim of providing the basis for management to work together across
functions, tiers and offices to ensure that UNICEF has an agreed strategy and realistic
implementation plan to realize a vision for ERM that is fit-for-purpose and aligned with the new
strategic goals.
OIAI takes this opportunity to thank all teams who contributed to the audit for their assistance.
6The 10 benchmarks against which the JIU assessed participating United Nations agencies’ ERM activities are set
out in Appendix II to this report.
11
OBSERVATIONS AND MANAGEMENT ACTION PLAN
The key areas where actions are needed are summarized below.
1. Governance structure High
“To fulfil their oversight and accountability roles and responsibilities and to prepare for
uncertainties, legislative/governing bodies must be engaged with ERM to ensure that executive
heads are setting the appropriate ‘tone at the top’. They should be aware of, at a minimum, the
key strategic risks an organization is facing and the strategies for each, as well as the policies
and frameworks related to ERM.”
Benchmark 4, Report of the Joint Inspections Unit on ERM, 2020
The Three Lines Model of the Institute of Internal Auditors (see Annex II) is advocated by both
the High-level Committee on Management and the JIU, which adapted it for the purposes of its
2020 review of ERM in United Nations agencies, as shown below. The model illustrates that senior
management has the ultimate responsibility for managing risks and achieving strategic goals,
while governing bodies provide oversight to ensure that senior management is managing risks
properly.
Source: Enterprise risk management: approaches and uses in United Nations system organizations. Report of the Joint
Inspection Unit (JIU/REP/2020/5).
12
Role of the Executive Board and Executive Management in the ERM framework
Successful and consistent risk management at the field level must begin with a clear definition of
the roles, actions and leadership expected of senior management. The UNICEF ERM governance
structure (see Appendix II) does not include the Executive Board nor does the ERM Policy set out
the roles and responsibilities of the Executive Director or Deputy Executive Directors or
management’s accountability for reporting to the Board on ERM. Thus, OIAI identified a need for
the Executive Director and Deputy Executive Directors to increase their focus on actions that are
typically undertaken by the executive management of organizations with strong ERM and to clarify
the expectations of the Executive Board in respect of their own responsibilities for risk
management. For example, there was no evidence that the Executive Director/Deputy Executive
Directors and Executive Board had reviewed any stand-alone enterprise risk report and engaged
in any significant discussions specifically about ERM (see Observation 3).
This need to better define and operationalize senior management

If senior management and governing body roles in respect of ERM has limited the
is not clearly held consistency and effectiveness of risk management practices at
accountable for every level of the organization, risking UNICEF’s ability to maximize
achieving strategic its results for children through agile, informed decision-making and
goals and managing risk-taking within clearly defined boundaries. As stated in the JIU
associated risks, ERM report, “If senior management is not clearly held accountable for
will be limited to a achieving strategic goals and managing associated risks, ERM will
bureaucratic exercise. be limited to a bureaucratic exercise.” By extension, senior
management must be visibly leading ERM and ‘walking the talk’, or
there will be little incentive for the wider organization to do the same.
Senior Management Risk Committee (SMRC)
The JIU report states that “it is crucial to ensure that corporate risks are discussed and addressed
regularly at the senior management level. It is critical that risks are viewed from an integrated and
holistic perspective and not managed in silos; to that end, many organizations have a senior
management-level risk committee, which can be vital for integrating ERM.” This also reflects good
practice across industry sectors.
The UNICEF SMRC brings together a cross-disciplinary group to take an enterprise-wide view of
risk. Its terms of reference were approved at its first meeting in June 2021 and include reviewing
the ERM Policy, ensuring the effectiveness of ERM processes and systems, monitoring risk
response plans, conducting deep dives of strategic risks and ensuring that critical risks are
considered by the executive management, Audit Advisory Committee and Executive Board. (See
Appendix II for more details.)
The equivalent committees of most of the 28 United Nations organizations covered in the JIU
report are chaired by the executive head or a deputy head. The UNICEF SMRC is chaired by the
Comptroller and comprises six headquarters Directors, three Regional Directors and four Country
Representatives (on a rotational basis). The Executive Director and Deputy Executive Directors
are not members, although the Committee does report to the Office of the Executive Director. (By
way of comparison, three Deputy Executive Directors serve on the UNICEF Information and
Communications Technology Board and one on the Financial Advisory Board.)
13
At the time of the audit, the SMRC had held only two meetings (in June and September 2021)
and had not had any substantive discussion about enterprise risks or the adequacy of risk
response plans. Since completion of the audit fieldwork, the SMRC has held further meetings,
focused on the review of a draft risk appetite statement that had been submitted to the Committee
for comment by the ERM Secretariat along with a first annual risk report (dated August 2021). As
at the time of writing, the risk appetite statement had not yet been endorsed by the SMRC.
Due to the relatively recent establishment of the SMRC, OIAI was unable to assess its
effectiveness. However, OIAI is of the view that the performance and value of the SMRC would
be significantly enhanced under the chairmanship of a Deputy Executive Director, reporting to the
Executive Director, and by regular participation of the other Deputy Executive Directors. In
addition to ensuring the Committee’s operational effectiveness, the appointment of high-level staff
would demonstrate the senior management’s commitment to ERM and support efforts to foster a
positive risk culture.
AGREED ACTIONS
Management agrees to clarify and communicate the roles, responsibilities and accountabilities
for ERM governance and oversight, including those of the Executive Board, the Executive
Director, the Office of the Executive Director, the Global Management Team as well as the
composition and roles and responsibilities of the Senior Risk Management Committee.
This will include:
(i) revising the terms of reference of the Senior Management Risk Committee to provide for the
appointment (on a rotational basis) of a Deputy Executive Director, reporting to the Executive
Director, as Chair of the Committee; the appointment of all Deputy Executive Directors and
Regional Directors as Committee members; and review of ERM policies prior to approval by the
Executive Director.
(ii) updating all relevant policies, including the ERM Policy, to reflect all ERM governance and
oversight roles, responsibilities and accountabilities.
(iii) periodically reporting to the Executive Board for information and decision, as needed, on the
development and implementation of ERM in line with the revised UNICEF accountability
framework.
Staff Responsible: Executive Director, with support from CRO/ERM Secretariat

Implementation Date: SMRC - July 2022; Other actions – December 2022
14
2. Risk culture Medium
As organizations achieve greater ERM maturity, there is an increasing focus on establishing a

risk culture, whereby all staff understand and display the same set of values, behaviours and
attitudes towards risk, exemplified by their leaders who set the tone, direction and expectations.
The UNICEF ERM Policy aspires to a similar level of maturity: “Risk management should be an
integral part of UNICEF organizational culture; where staff embrace the relevance and benefits of
an intelligent risk culture, not just risk process, ensuring a culture of cross-functional risk
ownership at all levels of operations.”
Tone at the top
Across the 28 United Nations agencies participating in the JIU review, ‘tone at the top’ was viewed
as the most important driver in setting a risk culture, and in supporting and empowering staff to
advance and integrate ERM in their everyday activities. In practice, this means substantive
involvement by executive heads in key ERM processes and practices, including in the
development and operationalization of ERM policies and risk appetite statements and the regular
review of strategic risks and of progress with mitigating actions.
As noted above, UNICEF executive management roles and

responsibilities in relation to ERM had not been adequately defined and
UNICEF’s senior
the Office of the Executive Director and Global Management Team had
leaders had a
limited involvement in developing and implementing the ERM strategy.
minimal role in
From January 2020 to September 2021, there was no systematic or
promoting ERM
structured enterprise-wide risk reporting to or by the Global Management
and shaping a
Team/SMRC, no ERM-related standing agenda item at Global
positive risk
Management Team meetings and the newly formed SMRC was not yet
culture.
fully functional. UNICEF’s senior leaders had a minimal role in promoting
ERM and shaping a positive risk culture.
Accountabilities
In ‘risk-mature’ organizations, decisions and actions are based on conscious, systematic risk
assessment, within defined boundaries and with clear accountabilities. Robust, open discussion
about risks and opportunities is encouraged and rewarded, lessons are learned from past
experience and risk management is linked to staff performance management.
The audit found that, although there are statements of intent in the UNICEF ERM strategy and
policy documents, indications of concrete actions to facilitate development of a risk culture were
limited. The ERM strategy does not include incentives to promote sound risk-taking or to
discourage excessive risk-taking and risk aversion. While the ERM Policy does set out in broad
terms the roles and responsibilities of all operational staff, it does not establish how accountability
for managing risks can be demonstrated and performance measured.
15
OIAI noted proactive, positive steps taken by some heads of
Senior staff admitted risk offices in setting guidelines for specific situations. The risk
aversion due to a fear of appetite guidance included in the emergency procedures for
potential consequences, the Afghanistan country office is one such example. Similarly,
preferring to focus on the audit survey indicated that several offices had developed
‘box ticking’ exercises their own risk management tools. While the stated goal is a
instead of proactively single approach to risk management, coordinated by the ERM
managing risks. Secretariat, such localised initiatives show positive risk-
focused behaviours that should be recognized and from which
lessons may be learned as the organization works towards
establishing a common and consistent risk culture, while still
recognizing that one size does not fit all and risk management must at some level be tailored to
specific circumstances.
However, several interviewees reported that staff were not always held accountable for managing
risks or for their behaviours towards risks. Some senior staff admitted risk aversion due to a fear
of potential consequences, preferring to comply with risk reporting requirements or ‘box ticking’
rather than proactively and promptly managing risks. OIAI found that a number of staff at a variety
of levels did not have a clear and consistent understanding of UNICEF’s risk culture, as values
and behaviours related to risk had not been clearly defined and were not fully integrated into the
organizational values.
Performance management
The UNICEF competency framework establishes core competencies and common standards of
behaviour against which all staff are assessed. However, the audit found that responsibilities and
accountabilities for managing risk could not easily be linked to staff performance objectives.
Risk owners were expected to use the corporate risk register (eGRC) to record the identification,
assessment and management of all risks for which they are responsible. However, individual
accountabilities were not consistently reflected in the system and users were not able to easily
extract relevant reports from eGRC for the purpose of monitoring risks and tracking actions.
Therefore, reliance cannot be placed on the tool for the purposes of performance management.
AGREED ACTIONS
1. The Executive Director agrees to ensure that the tone from the top of UNICEF demonstrates
the importance of responsible risk management by all staff. Related activities of UNICEF
leadership should include:
(i) Communication to the whole organization of the Executive Director’s approval of the
ERM Strategy and Policy, reinforcing the value and importance of ERM to all staff in
fulfilment of the UNICEF mandate and the Executive Board’s accountability to the United
Nations General Assembly in respect of ERM;
(ii) Visible commitment to ERM by the Office of the Executive Director, Deputy Executive
Directors and Directors across the organization through their substantive involvement in
ERM processes and practices, including the regular review, monitoring and reporting of
key risks and mitigating actions both within their own areas of accountability and, where
appropriate, enterprise-wide.
16
Staff Responsible: Executive Director
Implementation Date: December 2022
2. Management agrees to revise the UNICEF competency framework and staff performance
management system to encourage smart risk management and incorporate indicators that hold
staff accountable for their actions and behaviours related to risk management. This might, for
example, require evidence of risk assessment in decision-making processes, regular review and
update of risk registers and follow-up of mitigating actions by risk owners.
Staff Responsible: Chief Performance Management/DHR

Implementation Date: January 2023
3. Management agrees to:

(i) Establish an internal communication programme for regular communication and discussion
with all staff of UNICEF values and desired behaviours in relation to risk, to promote
responsible risk-taking and discourage extreme risk aversion and risk-taking;
(ii) Ensure that ERM is a regular item on all relevant senior management meeting agendas,
including consideration of top risks and related mitigating actions.
Staff Responsible: CRO


(i) Revise the ERM strategy to incorporate achievement of the desired risk culture;
(ii) Develop and monitor an implementation plan that includes responsibilities, approach,
concrete steps and performance measures; and report to the Executive Director on progress;
(iii) Identify and share good practices and lessons learned from within and outside UNICEF to
promote continuous learning for a robust risk-focused culture.

Implementation Date: Ongoing
3. Risk appetite High
Risk appetite is the amount of risk that an organization is willing to accept in pursuit of its strategic
objectives. It reflects the risk management philosophy that the board wants the organization to
adopt and thereby influences its risk culture, operating style and decision-making. Best practice
would require risk appetite to be set by the accountable governing body and aligned with strategic
objectives.
17
A first risk appetite statement was drafted by the ERM
Secretariat and submitted to the SMRC for review and
The concept of risk appetite
endorsement in September 2021. It sets out clearly the
was not yet a feature of the
levels of strategic, institutional, operational and contextual
UNICEF ERM methodology
risk the organization is willing to accept in the pursuit of
and was not discussed
each of its strategic goals. A risk appetite statement is
systematically at the
critical to providing adequate guidance to field level staff
operational, senior
on how to manage risk in their particular area of
management or Executive
operations. At the time of the audit, the SMRC had yet to
Board level, or with donors.
reach agreement on its content. The audit found that
neither the Audit Advisory Committee nor the Executive
Director had been consulted in developing the statement,
and it was not clear when or how it would be operationalized. The donor report stated that: “Risk
appetite is not yet stated or explicitly approved across the management chain, and we did not see
risk appetite being explicitly defined and discussed systematically at the board level or with
donors.” At the operational level, the concept of risk appetite was not a feature of the UNICEF
ERM methodology and had not yet been incorporated into the eGRC risk registers.
During the COVID-19 pandemic, UNICEF introduced a ‘no regrets’ approach to humanitarian
assistance, whereby the organization will err on the side of investing in, securing, prepositioning
and deploying more capacity and mobilizing more resources in support
of the response even if this proves to have been unnecessary after the
fact. OIAI noted that, since completion of the audit, UNICEF has Country teams
updated its emergency procedures, which now set out clear risk appetite need a practical
levels by component, to guide decision-making and actions in frame of reference
humanitarian situations. While this initiative is to be commended, in to empower them
order to ensure alignment of country, regional and divisional risk to take timely,
appetite and UNICEF’s overall risk tolerance level, such actions should risk-based
be coordinated under the ERM framework. In the absence of clear risk decisions and
appetite guidance, such a piecemeal approach presents challenges for actions within
country offices in terms of deciding the degree of risk to be taken when approved limits.
making specific operational decisions or taking actions to achieve
UNICEF’s mission.
Without risk appetite guidance or oversight, staff may take risks that are outside the organization’s
risk appetite, or, conversely, miss opportunities or hinder progress as a result of excessive risk
aversion. Country teams facing risk scenarios for which, owing to their unique or fast-evolving
nature, no established guidance or operating procedure exists, need a practical frame of
reference to empower them to take timely, risk-based decisions and actions, safe in the
knowledge that they are acting within approved limits. Moreover, failure to consider donor risk
appetite levels may result in misaligned expectations and a reduced ability to anticipate and
address donor relationship issues.
AGREED ACTIONS
(i) Finalize UNICEF’s risk appetite statement. The risk appetite statement should be aligned
with major donor and partner risk appetite levels, where appropriate;
(ii) Ensure communication and operationalization of the risk appetite statement, including
consideration of risk appetite in decision-making at both strategic and operational levels,
18
and regular review and reporting of any risks that exceed the agreed risk appetite level.
Risk registers should indicate whether the residual risks are within the agreed risk
appetite level and, if not, what additional mitigating actions will be taken. The business
case for strategic decisions, investments or projects should demonstrate that risk
appetite has been appropriately considered.
Staff Responsible: Senior Management Risk Committee

Implementation Date: Q3 2022
2. Management agrees to ensure that the ERM training programme (see Observation 6)
provides adequate training to support operationalization of the risk appetite statement. Training
should include the concept of risk appetite in decision-making (at strategic and operational
levels).
Staff Responsible: CRO/ERM Secretariat

4. Development of an ERM vision High
There is no single best practice or ‘one size fits all’ approach to ERM. The process of defining a
vision for ERM that is aligned with organizational objectives strengthens senior stakeholder buy-
in, which, in turn, contributes to the ‘tone at the top’. It must be tailored to fit an organization with
due consideration given to criteria such as mandate, financial and budget considerations,
personnel, business model and organizational particularities.
Following an external review of UNICEF ERM activities commissioned by the ERM Secretariat in
2019, UNICEF developed an ambitious new ERM strategy. It involves an online platform (called
eGRC) to integrate risk management processes across the organization and consolidate risk data
from all offices to improve risk monitoring and performance management at local and global level.
The strategy is supported by the ERM Policy which outlines the guiding principles for risk
management at UNICEF, defines key ERM terminology and sets out in broad terms the steps in
the ERM implementation process and some of the key ERM roles and responsibilities. The ERM
Secretariat measures progress on the strategy against the Risk Maturity Model of the High- level
Committee on Management of the United Nations System Chief Executives Board for
Coordination.7
Successful ERM depends on having a clear, common understanding of the organization’s level
of ambition for risk management and on defining the right model to achieve its ERM goals, aligned
7 Reference Maturity Model for Risk Management (CEB/2019/HLCM/25).
19
with the strategic plan, structure, resources, culture and other
particularities. In this regard, it appears that executive management There was no clear
had limited involvement in developing the UNICEF ERM strategy and vision of what
there was no clear vision of what successful ERM should look like in successful ERM
UNICEF or how it would impact the achievement of results for should look like in
children on the ground. While the strategy intends to bring UNICEF UNICEF or how it
to full ERM ‘maturity’, there has been limited consultation with key would impact the
internal and external stakeholders to consider UNICEF’s objectives achievement of
for ERM and how they translate into operational reality. For example, results for children.
the ERM strategy did not define:
 How existing programmatic and operational risk management
mechanisms (e.g. country situation analysis, programme strategy notes, emergency
procedures) should be incorporated in the ERM framework;
 The information needs of risk owners (including at the field level), senior management, the
Executive Board and donors for decision-making, risk monitoring and reporting;
 The target organizational structure, capabilities, resources and systems/processes to
support risk management at country, regional and headquarters level.
There was therefore limited support for the ERM strategy, insufficient resources to deliver it and
implementation of the adopted approach had been problematic. Despite the high level of ambition
set out in the strategy, the focus to date has been on roll-out of the eGRC risk tool. At the time of
the audit, the stated goals for 2021 – full enterprise risk coherence, integration with major
programmatic processes, transparent enterprise risk decisions, reporting to the Board and donors
– were far from being achieved.
AGREED ACTIONS
With support of the Executive Director, management agrees to:
(i) Conduct a stakeholder consultation process as a basis for developing a long-term ERM
vision, for review and endorsement by the Senior Management Risk Committee and
Executive Director. In addition to internal stakeholders, partners and donors should be
consulted. The exercise should be informed by relevant benchmarks and standards as
well as lessons learned from comparable United Nations agencies and other relevant
organizations. The resulting vision should be aligned with UNICEF’s 2022-2025 Strategic
Plan, risk appetite and available resources. The vision should reflect:
- The depth and breadth of UNICEF’s ambition for ERM and how it is intended to
impact delivery of results for children;
- The extent of strategic and operational risk reporting and oversight required by key
stakeholders;
- The target organizational structure, roles, responsibilities and accountabilities to
support effective ERM at the country office, regional office, headquarters and ERM
Secretariat level;
- The target ERM ‘architecture’ (including the nature and extent of integration
between existing risk-related policies, procedures and practices and the global
ERM process);
- The skills, capabilities and systems required to achieve the vision including at the
level of country office operations.
20
(ii) Update the ERM Strategy and Policy to support achievement of the agreed vision;
(iii) Create opportunities for stakeholders to regularly review the progress of implementation
of the ERM strategy and consider any necessary adjustments. This may include drafting
an annual report to external stakeholders and more frequent reviews by the Senior
Management Risk Committee and executive management, as appropriate, to ensure the
ongoing relevance of the strategy and to maintain enterprise-wide commitment to ERM.

5. Organizational structure and resources High
ERM requires a well-defined, adequately resourced structure to ensure the effective operation of
risk management at all levels of the organization, and to facilitate interactions between risk
owners, the ERM Secretariat and other ERM stakeholders.
In defining its long-term vision for ERM, UNICEF needs to set out the number, location and
reporting lines of the first and second line roles (see Appendix II for definitions of the roles), and
the relationship and necessary interaction between programmes and operations, and between
country, regional and headquarters offices.
OIAI observed that risk management activity across UNICEF is

fragmented, with no clear or consistent approach to the allocation Risk management
of risk management tasks and little coordination between offices activity across UNICEF
or regions. The audit confirmed that additional resources need to is fragmented, with no
be allocated to ERM to develop and maintain an adequate risk clear or consistent
management capability across the organization. In particular, the approach and little
ERM Secretariat was under-resourced, and while risk focal points8 coordination between
(approximately 150) had been appointed in each office and offices or regions.
division, many were ill-equipped to adequately support ERM
implementation. In addition, only one out of the seven regional
offices had a dedicated risk manager.
Risk management at country offices
The primary responsibility for identifying and managing risk at the country level lies with country
office managers and risk owners, not with the ERM Secretariat. Country office audits performed
by OIAI during 2020-2021 and the ERM audit survey showed that the extent and quality of ERM
activity varied significantly from one country office to another, even within a single region. Eight
out of the 12 audit reports with risk management-related recommendations stressed the need to
improve risk identification, assessment and response. Seven country offices indicated that risks
identified in country programme documents or programme strategy notes were not reflected in
8 Risk focal points are designated focal points for risk management issues in UNICEF divisions or offices at country,
regional and headquarters levels. They are heads of operations, risk managers or others appointed by the heads of
office and serve as the main point of contact between UNICEF staff, heads of offices and the ERM Secretariat.
21
the country risk register. Gaps were also noted between risk assessments and the responses; for
example, a failure to identify the root cause of risks meant that actions identified to mitigate the
risk were not appropriate or sufficient. Three audit recommendations related to the need to
improve risk monitoring.
There are several important factors that should contribute to an assessment of the appropriate
structure and resources to ensure effective country office risk management in UNICEF’s future
ERM framework. These are detailed elsewhere in this report: Observation 3 highlights the need
for clear risk appetite guidance to provide a frame of reference for country teams to take smart,
timely, risk-based decisions within approved limits, while Observation 6 notes that adequate
training would enhance the risk management capabilities of staff at country offices. Observation
8 explores whether eGRC is the most appropriate tool to support country office needs for risk
assessment and reporting and proposes a review of the requirements for risk information and
reports of each user or stakeholder group, including country office management.
Regional office risk management
Regional management has an important role to play in supporting and overseeing the risk
management activities at country level and is a key interface between country offices and the
ERM Secretariat. However, the nature and extent of support and oversight provided to country
offices is inconsistent across the seven UNICEF regional offices owing to inadequate resources
and capabilities, as well as system limitations. The responsibilities of Regional Directors in respect
of risk management are outlined in broad terms in the ERM Policy, as follows:
 Providing support and ensuring that ERM strategies and policies are implemented by
country offices;
 Exercising oversight of country and regional risk management, including timely risk
identification, appropriate risk responses, regular monitoring of mitigation plans and
prompt escalation, as required;
 Ensuring consistency, integrity and quality of risk data (i.e. input to eGRC) and coherence
between country and regional risk reporting.
These regional oversight, monitoring and support responsibilities mirror some of those of the
SMRC and ERM Secretariat at the global level. In practical terms, they might be most effectively
and efficiently fulfilled by replicating certain SMRC activities at regional and/or country office
levels, while building on existing structures and incorporating risk into established meeting
agendas to avoid creating add-on or parallel processes. Regional and/or country risk officers or
focal points might play similar roles to the ERM Secretariat, facilitating the flow of reliable, timely
ERM data in the required format to support country, regional and global risk analysis, monitoring
and reporting, as well as providing risk management training, advice and support to colleagues
within their region.
ERM Secretariat
Implementation of the ERM strategy has been constrained by a lack of dedicated resource in the
ERM Secretariat. The team was heavily dependent on external contractors to develop ERM
policies and procedures, customize eGRC reports, provide training and harmonize risk data. The
UNICEF Comptroller informed OIAI that ERM Secretariat funds intended for other core financial
management activities had been transferred to support ERM work, which was under-resourced.
The donor report on UNICEF ERM activities highlighted the risk that the capacity of the central
risk function to drive the proposed ERM reforms would be insufficient, especially given the need
to secure senior and operational level buy-in across a significant spread of offices.
22
In defining the ERM vision, it will be important to conduct a full review of the role and priorities for
the ERM Secretariat at different stages of the ERM ‘journey,’ including the range of services to
be offered to first line management, including field-level operations, and the degree of support
required by the SMRC and the Executive Board for strategic risk monitoring and review.
Consideration could be given to extending the ERM Secretariat’s remit to include participation in
organization-wide risk-related discussions and policy formulation, deep dives into specific ‘top’,
cross-cutting or emerging risks, facilitation of risk workshops at local, regional or global level,
sharing internal and external good practices and latest thinking across offices of similar size, risk
profile, risk management maturity, providing ERM training and offering ad hoc advice to
management.
Chief Risk Officer position
A Chief Risk Officer is generally the executive accountable for enabling the efficient and effective
governance of significant risks and opportunities in an organization. The JIU report notes that
“responsibility for ERM should be situated at a rank at which it is possible to address senior
management and have the authority to communicate across the organization and compel action,
reflecting the significance and level of delegated authority attached to the function.”
In 11 of the 28 organizations reviewed by the JIU, the ERM function was situated in the Executive
Office, with a direct reporting line to the Executive Head or Deputy. These included two
comparable decentralized agencies, whose Chief Risk Officers OIAI interviewed as part of the
audit. Both indicated that the positioning and stature of the Chief Risk Officer was essential to
achieve visibility and to secure a ‘seat at the table’ in senior management discussions.
Currently the UNICEF Comptroller is responsible for ERM

The positioning and development, implementation and communication, with the
stature of the Chief support of the ERM Secretariat. At the time of the audit, the ERM
Risk Officer is essential Secretariat function was carried out by members of the Strategic
to achieve visibility and Business Support Unit. Since completion of the audit fieldwork,
to secure a ‘seat at the the establishment of a new ERM unit in the 2022-2025 Office
table’ in senior Management Plan of the Division of Financial and
management Administrative Management has been proposed. The proposed
discussions. unit would comprise a Chief, ERM, reporting to the Comptroller,
and a Business Analyst.
Good practice observed by OIAI in many private- and public-sector organizations suggests that
the Chief Risk Officer and supporting ERM team are best situated independent of any operational
department or division, to reinforce the cross-functional scope and strategic importance of ERM.
In UNICEF, the more logical position of this function might be in the Office of the Executive
Director, not only to strengthen organizational commitment to its development but also to avoid
the perception that ERM is primarily a finance and/or compliance activity (which might arise if the
function is located within the Division of Financial and Administrative Management).
UNICEF’s progress on some of the most critical aspects of its ERM strategy has been hindered
by the absence of a dedicated Chief Risk Officer of sufficient stature to lead and influence senior
colleagues and other key stakeholders. The ERM Secretariat has focused primarily on those
areas within its capabilities, for example, developing policy and procedure documents and rolling
out and administering the online risk system. While a full-time Chief Risk Officer may not be able
to address all issues raised by the audit, without this key position, it is difficult to envisage
23
significant progress in tackling key actions around governance, culture and leadership.
AGREED ACTIONS
1. The Executive Director agrees to:
(i) Support the immediate recruitment of a Chief Risk Officer with the stature, skills and
experience to ensure successful development and delivery of UNICEF’s ERM strategy;
(ii) Reposition the ERM Secretariat (led by the Chief Risk Officer) so that it attains the
functional independence and authority required to achieve its objectives.
Staff Responsible: Executive Director

Implementation Date: (i) September 2022 (ii) July 2022
2. In determining UNICEF’s future vision for ERM (see Observation 4), management agrees to:
(i) Assess the organizational structure and related resources required to support delivery
of the UNICEF ERM strategy for 2022-2025 and beyond. This should involve
consultation with management of all regional offices, selected country offices and
headquarters divisions. The review should take into account any advice or lessons
learned from comparable United Nations agencies, donors and other partners;
(ii) Clearly define the roles, responsibilities and accountabilities for ERM within each office
across UNICEF and between each office/function, including the ERM Secretariat, and
provide realistic budget assumptions to implement the structure.
Staff Responsible: Chief Risk Officer

Implementation Date: March 2023
6. Risk capabilities Medium
Benchmark 8 for ERM set out in the JIU report requires organizations to deliver “communication
and training plans to create risk awareness, promote risk policy, and establish risk capabilities for
the implementation of ERM.”
OIAI noted the absence of a comprehensive, structured approach to identifying gaps in risk
management capabilities and providing appropriate training or communication to meet the
identified needs. During the period under review, the focus was primarily on widespread eGRC
user training to support the roll-out of the tool and improve the quality and consistency of risk data;
less attention was paid to broader risk management training, in particular building awareness and
support for ERM at senior levels of the organization, which is essential to strengthen the tone at
the top and develop the risk culture.
24
While progress has been made on integrating elements of risk
management training into broader training courses for UNICEF The ERM Secretariat is
staff (e.g. on fraud risk management), additional training for staff not adequately
at all levels is critical to the development of a mature risk resourced to provide a
management framework. Examples of such support include: full range of capacity-
 Training focal points on key ERM skills; building support.
 Coaching senior leaders and risk owners to support risk
monitoring and effective ERM oversight;
 Facilitating risk workshops for country, regional or headquarters teams to build stronger
skills in risk identification, analysis and mitigation;
 Building and coordinating a risk management ‘community of practice’ for the exchange of
ERM experience and advice between colleagues and, in some cases, peer organizations;
 Conducting internal communication campaigns to showcase good practices and highlight
senior management commitment to ERM.
In the second half of 2020, the ERM Secretariat engaged a contractor to provide online eGRC-
focused training to risk focal points, who were then expected to train staff in their respective
offices. In June 2021, the ERM Secretariat arranged refresher courses. However, the heads of
country and regional offices and headquarters divisions surveyed by the audit team in July 2021
overwhelmingly said more training was needed. Some staff members felt the training was too
theoretical; the time allotted was too short for such a complex system; and it was offered too late
to support the 2020 annual risk reporting exercise.
AGREED ACTIONS
To improve UNICEF risk management capabilities from the top down, management agrees to:
(i) Perform a training needs analysis (with support from Division of Human Resources),
to identify gaps in risk management capabilities at every level of the organization (from
the Executive Board through to country offices);
(ii) Develop a training programme to support delivery of the ERM strategy. The programme
should set out a timeline for implementation and resource requirements (both internal
and third party) to support the case for additional budget allocation. The training
programme should:
a) Be practical and tailored to specific needs, with priority given to heads of offices
and divisions and others with significant risk management responsibilities;
b) Include senior leadership coaching to support effective ERM governance and
oversight and equip members with skills required to monitor strategic risks and
risk appetite. This should cover members of the Senior Management Risk
Committee, the Global Management Team and the Executive Board, as required;
c) Include ERM Secretariat capability needs to ensure it is equipped to support
longer-term ERM implementation (e.g. senior leadership coaching skills, risk
workshop facilitation, deep dive risk analysis, ad hoc advice on specific risk
topics). Consideration should be given to building in-house expertise and
institutional knowledge in place of the short-term use of consultants;
d) Where possible, incorporate ERM basics into existing orientation programmes or
training courses (e.g. on fraud prevention) to maximize coverage and embed risk
management within the organizational culture;
25
(iii) Track and report progress with delivery of the training programme, including follow-up
on feedback to ensure any necessary course correction;
(iv) Involve communications colleagues to enhance ERM internal communication (through
a variety of media) as a means of developing awareness and capabilities, showcasing
good practices and demonstrating organizational commitment to ERM;
(v) Establish and facilitate a risk management ‘community of practice’ for the exchange of
ERM experience and advice between colleagues and, potentially, peer organizations.
Staff Responsible: ERM Secretariat/CRO

7. Risk monitoring and reporting Medium
Effective ERM ensures the timely provision of accurate, relevant information to key internal and
external stakeholders on how well the organization is managing significant risks to its objectives.
It supports executive management in making well-informed strategic decisions, facilitates
discharge of the Board’s governance responsibilities and demonstrates transparency to donors,
partners and other interested parties.
Strategic risk monitoring and reporting
At the time of the audit, UNICEF’s top-down risk monitoring and reporting were primarily ad hoc,
with no standing item on any senior management agenda, no regular review or analysis of the
corporate risk profile and no established process for generating risk reports. Thus, senior leaders
were not adequately equipped to fulfil their responsibilities for
strategic risk management and oversight.
UNICEF’s top-down risk
monitoring and reporting In its 2020 annual report to the Executive Board, the Audit
were ad hoc, with no Advisory Committee recommended that UNICEF prepare
standing item on any periodic incisive and informative reports for the Committee and
senior management the Executive Director on the most significant risks to the
agenda, no regular review organization, leveraging the investments made in the eGRC
or analysis of the risk tool. As at the time of the audit in September 2021, this
corporate risk profile and had not yet been achieved; indeed, no official enterprise risk
no established process for report had been prepared for several years. However, in
generating risk reports. September 2021, the ERM Secretariat submitted a first
enterprise risk report to the recently established SMRC for
review and endorsement. The eGRC service provider was
engaged to produce the data for the report, using information
from the eGRC risk register; risk owners were not consulted. At the time of the audit, the report
had not yet been reviewed. As noted elsewhere in this report, efforts are ongoing to improve the
quality of data in eGRC which, at the time of the audit, could not be assured.
Operational risk monitoring, reporting and escalation
26
Operational risk registers can facilitate risk analysis and monitoring at all levels of the organization
and provide increased visibility and understanding of organizational performance.
The OIAI survey indicated that many users found eGRC very
complex and would welcome a simpler, more practical tool to
The OIAI survey indicated
support their day-to-day risk management needs, including
that many users found
user-friendly reporting and analysis. Several headquarters
eGRC very complex and
divisions and regional offices stressed that information in the
would welcome a simpler,
risk register was not being used for decision-making because
more practical tool that
of challenges generating meaningful reports and limited
could support their day-to-
reporting functionality in eGRC. Sixty-six per cent of the 84
day risk management
offices that responded to the OIAI survey indicated they did not
needs, including user-
prepare and disseminate risk profiles and reports. At the time
friendly reporting and
of the audit, the eGRC vendor was tailoring 11 reports and one
analysis.
interactive dashboard based on available information in eGRC.
These were expected to be finalized by the end of the year.
eGRC provides risk managers with the option to escalate a risk to the headquarters risk owner if
further guidance, support or resource is required to address it. Interviews indicated that risks had
been escalated as needed but not systematically documented in eGRC. A procedure offering
guidance on when and how to escalate risks was issued in July 2021; it was thus too early for
OIAI to assess its effectiveness.
The lack of regular, reliable risk information may result in insufficient review and discussion of
emerging or significant risks by executive management and the Executive Board, or ill-informed
decisions that may impact achievement of strategic goals. In addition, the inability to meet donor
information requirements and associated reputational risks may impact UNICEF’s fundraising
ability.
AGREED ACTIONS
Subject to adequate resourcing (see Observation 5) management agrees to:
(i) Provide support to the Senior Management Risk Committee to enable it to discharge its
responsibility to review and monitor UNICEF’s top and emerging risks and associated
mitigating actions. This may include:
a) Maintaining a register of top/strategic risks that includes agreed risk owners and
accountabilities for mitigating actions and establishing a clear process to escalate
issues to the Executive Director and/or Executive Board, as appropriate. Such a
register could be generated ‘top down’ through facilitated risk workshops and/or
consultation with the Committee or other senior management, without reliance on
any risk management tool;
b) Providing information to support in-depth analysis of specific risks as well as regular,
reliable status reports of enterprise-wide risks.
(ii) Consult key internal and external stakeholders to determine risk management
information needs, establish a reporting schedule and deliver timely, reliable information
accordingly. This includes meeting the needs of risk owners and managers at the
country, regional and headquarters level for accessible, user-friendly risk information
and reports for the purpose of day-to-day risk analysis and monitoring.
Staff Responsible: ERM Secretariat/CRO
27
Implementation Date: Ongoing
8. Risk management systems and processes Medium
To meet risk owner and other stakeholder needs, the ERM vision and supporting strategy
should define the systems and processes required to support risk assessment, monitoring and
reporting.
Risk management tool (eGRC)
According to the UNICEF ERM Policy, all offices are required to identify, assess, respond to and
monitor risks relative to their working environment. The ERM Secretariat issues annual guidance,
which requires all offices to record all ‘significant’ risks (rated medium or above by office
management) in the eGRC application platform, which, according to the ERM Policy, is “the
designated single source of shared truth” and place of record for a centralized and integrated
collection of all risks identified by UNICEF offices. Aside from the annual reporting requirement,
risks should be documented in eGRC at the planning stage and continually monitored and
updated, as relevant, during the programme cycle.
The external review of UNICEF ERM activities commissioned by the ERM Secretariat in 2019
confirmed widely known weaknesses in the quality of country, regional and headquarters risk data
in eGRC. OIAI confirmed that these weaknesses had not yet all been addressed, with
improvements needed in recording risk identification, assessment and mitigation plans, as well
as risk monitoring and escalation. In fact, OIAI found little evidence of real contributions from the
organization’s substantial investment in ERM (estimated at several million US dollars over 12
years), in the form of risk-informed discussion, decision-making, monitoring or reporting at
country, regional or headquarters level.
Discussions with the eGRC vendor confirmed that UNICEF’s chosen

At the time of the
approach to risk documentation had required field offices to populate audit, the quality of
free-text fields instead of selecting from a drop-down menu of
data in eGRC could
standard risks and controls from UNICEF’s operating procedures.
not be assured, such
This, coupled with a lack of initial guidance and insufficient quality
that decisions based
assurance, had resulted in a high volume of data credibility issues
on eGRC data may
and the need for an extensive exercise to improve the quality and be misinformed or
consistency of data; this was being conducted by the eGRC vendor
misguided.
at the time of the audit.
Interviews with staff highlighted that local and organization-wide risks were generally discussed
and monitored during midyear and annual reviews, and during other management, section and
divisional meetings but the corporate risk register was not typically used as a source of information
for such discussions or to document outcomes. In addition, not all risks identified from other
management processes and tools were captured in eGRC, as outlined below. This means that
conclusions about the quality of offices’ actual risk management activities cannot be reliably
drawn from eGRC and that decisions based on eGRC data may be misinformed or misguided.
28
Many of the audit observations on the ERM implementation planning process are directly related
to eGRC. Interviews from offices and headquarters divisions noted the need to simplify the eGRC
tool, improve its reporting functionality, provide more regular training, and expand access to more
staff. Twenty-nine per cent of survey respondents complemented eGRC by creating their own
manual risk assessment processes and tools. The majority felt eGRC was too complex, difficult
to use and needed to be simplified. UNICEF purchased the eGRC risk application in 2015. It
should be noted that the needs assessment and vendor selection process were therefore not
within the scope of this audit, which covered the period from January 2020 to September 2021.
An integrated approach to ERM
UNICEF implements a multitude of practices and mechanisms for managing risks. Examples of
these include:
 The emergency preparedness platform and other tools that underpin the key country
office planning policies and guidance;
 The situation analysis and programme strategy notes;
 The Guidance on Risk Informed Programming (GRIP) separately developed by
Programme Division;
 UNICEF emergency procedures.
However, OIAI noted that risks identified through these

mechanisms are often not recorded in the eGRC, which, as stated
“Additional tools were
in the ERM Policy, is intended to be the “single source of truth” in
created for ERM instead
relation to UNICEF’s enterprise, strategic and operational risks.
of smooth integration
OIAI noted that the risks identified through these mechanisms were
into existing processes,
sometimes captured in stand-alone documents, and not in the
tools and working
eGRC. Indeed, approximately 20 per cent of respondents to the
documents.”
OIAI survey did not record significant risks identified from other
OIAI survey response
management processes and tools in eGRC, while a review of
country office audit reports issued in 2020 and 2021 revealed that
seven offices identified risks from their systems, processes and
tools, but did not always include these in the risk register. As a result, the totality of significant
risks was unknown, and some significant risks may have skipped management purview. While
country offices may be managing risks effectively, reduced visibility of local and all significant risks
at the regional or global level undermines the reliability and effectiveness of the global ERM
process.
One of the ERM Secretariat’s 2021 goals was to fully integrate the global ERM approach with the
risk management practices and processes of country offices; however, this had not been achieved
at the time of the audit. Indeed, there was no clear vision of what integration should look like and
how this would be accomplished, in terms of people, process and systems. In view of the many
issues related to eGRC, including user-friendliness, reporting and degree of integration with wider
risk management processes, the question needs to be raised as to whether eGRC provides the
best-fit solution to support UNICEF’s future ERM strategy.
During the audit reporting process, OIAI raised with the ERM Secretariat additional issues related
to the customization and use of eGRC, for example, in respect of the compatibility of the risk
taxonomy to address the full range of programmatic risks. These issues were considered low
priority relative to the overall ERM strategy and were therefore not included in this report.
29
AGREED ACTIONS
In defining the long-term vision for ERM (see Observation 4), management agrees to assess
whether eGRC is the appropriate tool to meet UNICEF’s ERM needs, taking into account lessons
learned, cost–benefit considerations (including the use of consultants and dependency on the
vendor for customization/maintenance) and options for integration with other risk-based
processes and tools.

9. ERM implementation planning and review Medium
The path towards effective ERM is widely recognized as being long, challenging and not without
its own risks. It is regarded by many as a ‘ journey’ and its success depends not only on developing
a fit-for-purpose strategy but also on the approach to implementation.
A robust implementation plan, with clear accountabilities, measurable objectives, realistic time
frames and systematic review, monitoring and reporting, is essential, as for any major project.
However, successful ERM is often dependent on wider organizational factors, such as the tone
at the top, culture, communication and performance management – all of which should be
factored into the plan to ensure a realistic chance of achieving the goals within the established
time frame and budget.
Between 2009 and 2018, the pace of ERM implementation in UNICEF was relatively slow. OIAI
noted that there has been significant progress since 2019, following the external review, which
prompted revision of the strategy and a focus on strengthening risk management processes and
accountabilities through the roll-out of the eGRC online risk application.
The Division of Financial and Administrative Management prepared a rolling workplan for 2018-
2021 that included ERM and set out planned activities, resource requirements, performance
indicators and target completion dates for each expected output. However, OIAI found that the
targets for ERM activities were not always specific or measurable, such that progress could not
be objectively measured or reported. For instance, the target for the activity “equip UNICEF
Offices with the right skills and key information to make risk informed decisions to improve
performance, supported by the eGRC platform” was that “UNICEF offices assume a more active
role in managing risk.” A more relevant indicator might be the rate of progress in implementing
risk response plans or in reducing the number of high risks reported by an office by a target date.
The ERM Secretariat has been proactive in assessing its progress towards risk management
maturity through regular self-assessment and by commissioning the 2019 external review.
However, the status of the recommendations from that review has not been closely tracked by
the ERM Secretariat or reported to senior management. As mentioned in the Background and
Context section of this report, the JIU called on the executive heads of all participating United
Nations agencies, including UNICEF, to review progress against the benchmarks set out in its
report by the end of 2021 and to report on the outcomes of that review to their respective
30
governing bodies by the end of 2022. It is understood that the results of this audit will contribute
to fulfilment of this requirement.
The external review (2019), JIU report (2020) and donor
Insufficient attention has assessment (conducted between 2018 and 2020) set out many
been devoted to similar areas for improvement, many of them common to all
addressing issues raised three reports. While the donor report acknowledged the efforts
by reviews of UNICEF’s underway to strengthen risk management processes, it also
ERM activities conducted raised ‘high risk’ recommendations related to ERM
in the past three years by strategy/policy, risk appetite, governance, resources, training
an external firm, the JIU and awareness. OIAI’s audit confirmed that issues remain in
and a major donor. many of these areas, which indicates that sufficient
management attention and/or resources have not been
devoted to addressing important gaps in the ERM framework
and activities in the intervening period.
The challenges faced by UNICEF in delivering its ERM strategy reflect weaknesses highlighted
in other sections of this report related to the ERM vision, management commitment and oversight,
resources and capabilities, all of which may have affected the quality of implementation planning,
monitoring and review.
As UNICEF continues on its ERM ‘journey’, it should be mindful that:

 Failure to perform a robust assessment of all conditions necessary for ERM success,
as part of implementation planning, may result in unrealistic objectives and in staff
being held accountable for things beyond their control, resulting in disincentives for
staff to move towards smarter risk management.
 Imprecise targets and key performance indicators may limit the ability to measure and
report progress and to identify issues requiring remedial action.
 A lack of regular, transparent monitoring and reporting may result in high-risk issues
going unnoticed, such that goals cannot be achieved and resource or performance
issues cannot be managed within the project time frame.
AGREED ACTION
To support delivery of the ERM strategy, management agrees to develop a comprehensive
implementation plan that will be used to guide delivery of the strategy, monitor and report
progress, and manage performance against agreed targets. The plan should include clear
accountabilities, measurable objectives and realistic time frames, in accordance with good
project management practices. Progress should be tracked, systematically and transparently,
to allow timely resolution of issues, effective monitoring and performance management, at an
individual and overall level; and the implementation status should be reported at every Senior
Management Risk Committee meeting.

31
APPENDIX I
Definitions of audit observation ratings and conclusions
Audit observation ratings

To assist management in prioritizing the actions arising from the audit, OIAI ascribes a rating to
each audit observation based on the potential consequence or residual risks to the audited entity,
area, activity or process, or to UNICEF as a whole. Individual observations are rated as follows:
The observation concerns a potential opportunity for improvement in

the assessed governance, risk management or control processes.
Low Low-priority observations are reported to management during the
audit but are not included in the audit report. Action in response to
the observation is desirable.
The observation relates to a weakness or deficiency in the assessed
governance, risk management or control processes that requires
Medium
resolution within a reasonable period of time to avoid adverse
consequences for the audited entity, area, activity or process.
The observation concerns a fundamental weakness or deficiency in
the assessed governance, risk management or control processes
High that requires prompt/immediate resolution to avoid severe/major
adverse consequences for the audited entity, area, activity or
process, or for UNICEF as a whole.
Overall audit conclusions

The above ratings of audit observations are then used to support an overall audit conclusion for
the area under review, as follows:
The assessed governance, risk management or control processes

Satisfactory
were adequate and functioning well.
Partially
were generally adequate and functioning but needed some
Satisfactory,
improvement. The weaknesses or deficiencies identified were
Improvement
unlikely to have a materially negative impact on the performance
Needed
of the audited entity, area, activity or process.
Partially
Satisfactory,
needed significant improvement. The weaknesses or deficiencies
Significant
identified could have a materially negative impact on the
Improvement
performance of the audited entity, area, activity or process.
Needed
needed major improvement. The weaknesses or deficiencies
Unsatisfactory
identified could have a severely negative impact on the
performance of the audited entity, area, activity or process.
32
APPENDIX II
History and structure of ERM in UNICEF
Enterprise risk management in the United Nations system
In 2006, the General Assembly endorsed the adoption of ERM in the United Nations system to
enhance governance and oversight.
In its 2020 report of ERM in the UN system,9 the JIU summarized the benefits of ERM as follows:
 Improves strategic planning and decision-making and their implementation by ensuring a
comprehensive and structured understanding of organizational objectives and related
risks;
 Helps management identify challenges and uncertainties, adapt to meet challenges,
prepare for crises, and become more resilient and agile;
 Highlights common and cross-cutting risks (including opportunities and threats) and
improves organization-wide communication and cooperation;
 Optimizes resource allocation and protects assets and organizational reputation;
 Reinforces accountability and internal control frameworks;
 Assists legislative/governing bodies in fulfilling their oversight and accountability roles and
responsibilities by anticipating uncertainties and supporting management in risk-informed
decision-making.
The JIU developed the following 10 benchmarks for the purpose of its assessment of ERM in
United Nations system organizations and to offer system-wide guidance for comparability,
coherence and the sharing of good practices.
1. Adoption of a systematic and organization-wide risk management policy and/or

framework linked to the organization’s strategic plan.
2. Formally defined internal organizational structure for ERM with assigned roles and
responsibilities.
3. Risk culture fostered by the ‘tone at the top’ with full commitment from all
organizational levels.
4. Legislative/governing body engaged with ERM at the appropriate levels.
5. Integration of risk management with key strategic and operational business
processes.
6. Established systematic, coherent and dynamic risk management processes.
7. Effective use of information technology systems and tools for ERM.
8. Communication and training plans to create risk awareness, promote risk policy, and
establish risk capabilities for the implementation of ERM.
9. Periodic and structured review of effectiveness of ERM implementation for
continuous improvement.
10. Inter-agency cooperation and coordination for systematic knowledge sharing and
management of common and/or United Nations system-wide risks.
9See Objectives, Scope and Approach section of this report for more information. The JIU report is available at
https://www.unjiu.org/news/jiurep20205-enterprise-risk-management-approaches-and-uses-united-nations-system-
organizations.
33
The benchmarks were established with the assistance of an internationally recognized expert on
ERM and with reference to the maturity model for risk management developed by the High-level
Committee for Management cross-functional task force on risk management of the United Nations
Systems Chief Executives Board for Coordination,10 as well as academic and business studies
and recently updated international standards and frameworks.11
History of enterprise risk management in UNICEF
UNICEF issued its first ERM policy in May 2009 to address the perceived risk-averse culture;
however, the pace of ERM implementation has only significantly increased since 2019, with a
new strategy (2019) and policy (2020) and the roll-out of an online risk management tool (called
eGRC), capable of supporting risk analysis, reporting and tracking. This is supported by a
comprehensive glossary of terms, risk library and detailed risk classification structure, and a range
of ERM documents and materials which are available for staff to consult on the intranet site of the
Division of Financial and Administrative Management.
Implementation of the eGRC platform as a corporate risk register has been the focus of UNICEF
ERM activity since 2019. Significant investments were made in terms of staff and consultancy
time and a training programme for staff at country, regional and headquarters levels. In 2021, the
eGRC supplier was engaged to perform an exercise to harmonize and improve the quality of data
input, to ensure its reliability for reporting purposes.
Structure of enterprise risk management in UNICEF
At the time of the audit, UNICEF’s ERM structure was as follows:
10 CEB High-level Committee on Management, Reference Maturity Model for Risk Management.
11 For example, Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management
– Integrating with Strategy and Performance (2017); and International Organization for Standardization, ISO
31000:2018 – Risk management – Guidelines .
34
This structure is based on the ‘Three Lines Model’ of the Institute of Internal Auditors, 12 which
explains clearly how the respective organizational roles and responsibilities should work together
to facilitate strong governance and risk management, as shown below.
The first line consists of operational managers and staff and the measures taken by them in
dealing with the risks for which they are responsible in performing their daily roles.
The second line, which typically includes the ERM function, provides complementary expertise
and supports, monitors and challenges first line activities to ensure that risks are properly
managed. This typically includes implementing policies, processes and tools for risk
management, offering training and advice, and providing analysis and reports on the adequacy
and effectiveness of risk management by the first line.
The third line, which is typically the organization’s internal audit unit, provides independent
assurance of the effectiveness of risk management activities exercised by the first and second
lines, with a view to promoting and enhancing the implementation of ERM.
Differences between this model and UNICEF’s application of the model are explored in the audit
observations section of this report, most notably in relation to the overarching role of the governing
body which, according to the model, is accountable to stakeholders for overseeing the effective
management of risk by senior management.
Senior Management Risk Committee
The UNICEF Senior Management Risk Committee (SMRC) is the management committee
responsible for ERM. It is chaired by the Comptroller and reports to the Office of the Executive
Director. The SMRC was established in November 2020 and met for the first time in June 2021.
Its purpose, as defined in its terms of reference, is to ensure successful implementation of the
12The ‘Three Lines Model’ is the 2020 update of the Institute of Internal Auditors’ 2013 position paper, The Three
Lines of Defense in Effective Risk Management and Control. See https://www.theiia.org/en/content/position-
papers/2020/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense/.
35
organization’s approach to ERM. The SMRC serves a vital function in the ERM process by
bringing together a cross-disciplinary group of people to take an enterprise view of risks, pursue
strategies to avoid risk aversion, and promote risk culture and sound risk management practices
across the organization.
The SMRC functions and responsibilities include:

 Periodically assessing UNICEF’s risk culture and supporting a culture of risk-taking within
sound risk governance;
 Enhancing UNICEF’s risk awareness and ability to deliver results in an increasingly
complex operating environment;
 Reviewing the risk appetite and risk tolerance appropriate to each operating context;
 Considering the UNICEF risk management policy and procedural framework;
 Ensuring that there are adequate enterprise processes and integrated systems for
identifying and reporting on risks;
 Conducting deep dives on different organizational risks;
 Monitoring changes in the external environment for strategic risk implications;
 Understanding responses for specific risks and making recommendations to improve
them;
 Benchmarking peers and best-of-class organizations for best practices;
 Ensuring that critical enterprise risks are considered by the executive management, the
Audit Advisory Committee and the Executive Board.
ERM Secretariat
The ERM Secretariat, part of the Strategic Business Support Unit of the Division of Financial and
Administrative Management, is responsible for facilitating implementation of ERM across the
organization, monitoring its effectiveness, and reporting risk exposures and issues to
management. At the time of the audit, the ERM Secretariat consisted of the Chief and two other
members of the Strategic Business Support Unit, each of whom devoted about 50 to 60 per cent
of their time to ERM. The Chief of the Unit (P-5) reported to the Comptroller (D-2), the most senior
official tasked with risk management, and defined in the ERM Policy as the ultimate champion of
ERM. In addition to leading the development, implementation and continuous improvement of
ERM processes, the Comptroller is a standing member of all risk governance entities and
coordinates risk management activities, data and processes between all UNICEF functions.
These internal resources have been supplemented by the services of external contractors, who
assisted with customizing the online risk tool (eGRC) to the UNICEF operating environment,
including tailoring reports, analysing issues with data quality and completeness, coaching users
on how to write risk data, and fine-tuning the risk structure. The same firm also delivered a staff
training programme, developed ERM procedures, and drafted a risk appetite statement and an
annual risk report.
Risk focal points in regional and country offices
UNICEF has a network of approximately 150 designated ‘risk focal points’ at headquarters,
regional and country levels who are tasked with addressing risk management matters at their
respective levels and acting as the primary source of communication between UNICEF staff,
heads of offices and the ERM Secretariat. They are the heads/deputy heads of operations, risk
managers, or other staff members appointed by the heads of office, and are expected to have
enhanced knowledge of risk management challenges affecting their office and to support the
implementation of ERM practices across the organization.
36
APPENDIX II
Office of Internal Audit and Investigations
3 United Nations Plaza, East 44th St.

New York, NY 10017
www.unicef.org/auditandinvestigation
37
REFERENSI
Asosiasi Auditor Intern Pemerintah Indonesia (AAIPI). 2021. Standar Audit Intern
Pemerintah Indonesia.
Badan Pengawasan Keuangan dan Pembangunan. 2018. Peraturan BPKP Nomor 6
Tahun 2018 tentang Pedoman Pengawasan Intern Berbasis Risiko.
Tahun 2021 tentang Penilaian Maturitas Penyelenggaraan Sistem
Pengendalian Intern Pemerintah Terintegrasi pada K/L/D.
Tahun 2021 tentang Penilaian Kapabilitas APIP pada K/L/D.
Badan Pengawasan Keuangan dan Pembangunan. 2020. Peraturan Deputi PKD
Nomor 4 Tahun 2020 tentang Pedoman Pengelolaan Risiko Pemerintah
Daerah.
Box, George E.P.; Meyer, R. Daniel. 1986. An Analysis for Unreplicated Fractional
Factorials. Technometrics.
Klynveld Peat Marwick Goerdeler (KPMG). 2023. Integrated Risk Assurance assists
organisations with Value Protection, Value Creation and Resilience.
https://kpmg.com/za/en/home/services/advisory/governance,-risk-and-
compliance/internal-audit-risk/internal-audit-strategic-sourcing/integrated-
assurance.html
Peraturan Pemerintah Republik Indonesia Nomor 60 Tahun 2008 Tentang Sistem
Pengendalian Intern Pemerintah.
Power, Michael. 2009. “The Risk Management of Nothing”, in Accounting,
Organisations and Society
Pusat Penelitian dan Pengembangan Pengawasan BPKP. 2022. Kajian atas GRC
Dalam Penilaian Kapabilitas APIP.
Sobel, Paul J. 2015. Auditor's Risk Management Guide: Integrating Auditing and ERM.
The Institute of Internal Auditors (IIA). 2014. Risk Based Internal Auditing (RBIA).
The Institute of Internal Auditors (IIA). 2017. Internal Audit Capability Model (IA-CM)
for Public Sector.
The Institute of Internal Auditors (IIA). 2020. Model Tiga Lini.
The Institute of Internal Auditors (IIA). 2023. Is your assurance integrated?.
https://www.iia.org.uk/resources/technical-blog/is-your-assurance-integrated/
TIM PERUMUS
Penanggung Jawab:
Raden Suhartono
Wakil Penanggung Jawab:

Nani Ulina Kartika Nasution
Tim Penyusun:
Mohammad Allin
Gunawan
Caecilia Hermawati
Ahmad Nur Ikhwan
Adi Sanjaya D.
Dliya Sahira

00 Konsepsi Asurans Atas TKMRP Final

Diunggah oleh

Hak Cipta:

Format Tersedia

00 Konsepsi Asurans Atas TKMRP Final

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

00 Konsepsi Asurans Atas TKMRP Final

Diunggah oleh

Hak Cipta:

Format Tersedia

KONSEPSI

ASURANS ATAS TATA

Asurans atas tata kelola, manajemen risiko dan pengendalian intern

A. TATA KELOLA, MANAJEMEN RISIKO, DAN PENGENDALIAN (GRC)

A. BENTUK ASURANS ATAS GRC

A. Definisi Cross-Cutting Programme

• Survei Pendahuluan dan Penilaian SPI

• Penyusunan laporan hasil pengawasan individu

• Monitoring tindak lanjut hasil pengawasan

Dari hasil pengawasan, secara umum Pemerintah telah berhasil melaksanakan

Table 1. Jadwal Pelaksanaan Vaksinasi Tahun 2021

No Kegiatan Pengawasan 2021 Waktu Pelaksanaan

Pengawasan Pelaksaaan Vaksinasi Covid-19

Table 2. Jumlah APIP dan Hari Penugasan

Jumlah Jumlah Hari

1. Pengawasan Vaksinasi Tahap I 4.186 8.748

2. Pengawasan Vaksinasi Tahap II 3.009 14.884

3. Pengawasan Distribusi dan Pengelolaan Vaksin 5.116 20.345

4. Pengawasan Vaksinasi Tahap III 3.224 11.018

5. Pengawasan Vaksinasi Tahap IV 3.685 18.095

Adapun Ruang lingkup pengawasan terdiri dari pelaksanaan program vaksinasi

Table 3. Jumlah Uji Petik Objek Pengawasan

No Kegiatan Pengawasan Diluar

Pengawasan Distribusi dan

1. Capaian dan Pemerataan Vaksinasi

Dosis 1 Dosis 2 Booster

Sumber: KPC-PEN per 31 Desember 2021

Capaian Vaksinasi Dosis 2 per Provinsi

Sumber: KPC-PEN per 31 Desember 2021

Meskipun kecepatan vaksinasi Covid-19 sudah meningkat, namun

a. Ketersediaan Stock Vaksin

b. Permasalahan Umum Tata Kelola Vaksinasi

Table 4. Permasalahan tata kelola pelaksanaan kegiatan vaksinasi

Terhadap permasalahan di atas BPKP dan APIP Kementerian/Lembaga/

3. Penyajian Persediaan Vaksin Covid-19 dalam Laporan Keuangan

Table 5. Perhitungan kebutuhan vaksinasi Covid-19

Terkait rencana ini, Kementerian Kesehatan perlu memitigasi Risiko

5. Suplai Vaksin Tahun 2022

6. Perencanaan Vaksinasi Tahap Lanjutan (Booster)

Table 6. Identifikasi Risiko dan Mitigasi Vaksinasi Booster Covid-19

A. Vaksin Booster dana APBN

a. Vaksin tidak dapat

b. Kemahalan harga Reviu struktur harga dan penentuan unsur

B. Vaksin Booster dana Non APBN

1. Pengadaan Terpusat oleh Pemerintah

3. Pengadaan Mekanisme Pasar

- Mark up harga Menetapkan harga maksimal yang berlaku di

A. Kewajiban APIP dalam Melaporkan Hasil Pengawasan kepada Pimpinan

Sekali lagi, terima kasih.

Rudy M. Harahap, PhD, CGCAE, CRGP

6. Penguatan pengelolaan keuangan desa, 4. Perlindungan sosial. Hasil pengawasan

9. Ketahanan pangan. Hasil pengawasan

BAB I Pembangunan Daerah

E. Ketahanan Pangan dan Pelestarian Lingkungan 13

F. Pencegahan dan Pengendalian Tindak Pidana

BAB II Penguatan Governansi serta

B. Peningkatan Kapabilitas Auditor Internal 24

E. Peningkatan Manajemen Keuangan 29