Cara Menyusun Operating Model ERM: Siapa Melakukan Apa, Kapan, dan Dilaporkan ke Siapa

Cara Menyusun Operating Model ERM: Siapa Melakukan Apa, Kapan, dan Dilaporkan ke Siapa
RB 2 Maret 2026
Rate this post

RWI Consulting – Banyak perusahaan sudah punya kebijakan manajemen risiko, risk register, bahkan heatmap. Tetapi sistem tetap tidak jalan konsisten. Penyebabnya biasanya bukan di template. Penyebabnya ada di operating model ERM.

Operating model ERM adalah desain kerja yang mengatur:

  • siapa melakukan apa,
  • keputusan risiko dibahas di forum mana,
  • data dan laporan bergerak lewat jalur apa,
  • seberapa sering review dilakukan,
  • kapan isu harus diekskalasi,
  • dan bagaimana risiko masuk ke keputusan bisnis.

Kalau ERM adalah “sistemnya”, maka operating model adalah “mesin operasionalnya”.

Tanpa operating model yang jelas, perusahaan akan mengalami pola ini:

  • risk owner tidak merasa memiliki risiko,
  • fungsi manajemen risiko jadi admin dokumen,
  • komite hanya melihat heatmap,
  • mitigasi lewat jatuh tempo,
  • audit menemukan isu yang sama berulang.

Table of Contents

Operating Model Enterprise Risk Management (ERM)

Risk Awareness & Competency Building

Artikel ini fokus pada cara menyusun operating model ERM yang praktis, terutama untuk BUMN dan grup usaha.

Apa itu operating model ERM (versi sederhana)

Operating model ERM adalah cara kerja harian-bulanan-triwulanan agar manajemen risiko berjalan sebagai proses manajemen, bukan proyek dokumentasi.

Operating model menjawab pertanyaan praktis:

  • Siapa yang menyusun dan memperbarui risk register?
  • Siapa yang menilai kualitas isi risk register?
  • Siapa yang memantau KRI?
  • Siapa yang menutup action plan?
  • Kapan isu dibawa ke Direksi/Komite?
  • Apa format laporan yang dipakai?
  • Bagaimana risiko unit naik ke level korporat?
  • Bagaimana holding membaca risiko anak usaha?

Kalau perusahaan belum bisa menjawab pertanyaan ini dengan tegas, ERM belum punya operating model yang matang.

Kenapa ERM sering gagal di operating model, bukan di konsep

Perusahaan biasanya gagal di titik berikut:

  1. Peran tidak jelas
    Semua orang bilang “risiko penting”, tetapi tidak ada owner tindakan.
  2. Forum tidak jelas
    Isu risiko dibahas di forum yang salah atau terlambat.
  3. Ritme tidak jelas
    Risk register diupdate saat diminta, bukan sesuai siklus manajemen.
  4. Eskalasi tidak jelas
    Tim tidak tahu kapan isu harus naik ke Direksi/Komite.
  5. Integrasi bisnis lemah
    Risiko hidup sendiri, target dan anggaran hidup sendiri.

Operating model ERM memperbaiki lima titik ini.

Tujuan operating model ERM

Operating model ERM yang baik harus mencapai hal berikut:

1) Menegaskan akuntabilitas

Setiap risiko utama dan setiap mitigasi punya owner yang jelas.

2) Menyatukan ritme lintas fungsi

Risk owner, fungsi manajemen risiko, finance, compliance, legal, dan audit bekerja dengan jadwal dan format yang selaras.

3) Mempercepat eskalasi dan keputusan

Isu yang serius tidak tertahan di level operasional.

4) Menjaga kualitas data dan laporan risiko

Perusahaan tidak mengambil keputusan dari data risiko yang tidak konsisten.

5) Menghubungkan ERM ke target bisnis

Risk review masuk ke proses perencanaan, budgeting, dan evaluasi kinerja.

Komponen utama operating model ERM

Competency Building

Operating model ERM yang kuat biasanya terdiri dari 6 komponen inti:

  1. Struktur peran (roles and accountability)
  2. Forum dan keputusan (governance forums)
  3. Proses kerja ERM (workflow end-to-end)
  4. Ritme kerja (cadence)
  5. Artefak / output kerja (deliverables)
  6. Eskalasi dan trigger keputusan (escalation logic)

Kalau salah satu komponen kosong, ERM akan terlihat jalan di atas kertas tetapi lemah di eksekusi.

1) Struktur Peran dalam Operating Model ERM

Ini bagian paling penting. Jangan membuat ERM hanya “milik unit risk”.

A. Dewan Komisaris / Komite Terkait

Peran utamanya:

  • mengawasi kualitas tata kelola risiko
  • meninjau top risk dan risiko yang melewati batas
  • menilai kecukupan respons manajemen
  • memastikan manajemen menindaklanjuti isu material

Komisaris tidak menjalankan risk register. Komisaris menguji apakah operating model ERM benar-benar bekerja.

B. Direksi

Peran utamanya:

  • menetapkan arah dan prioritas risiko
  • menyetujui risk appetite / tolerance / limit
  • memutuskan respons pada risiko material
  • memastikan fungsi dan sumber daya ERM memadai
  • memaksa integrasi risiko ke keputusan strategis dan RKAP

Direksi menentukan apakah ERM dipakai sebagai alat manajemen atau hanya formalitas.

C. Komite Manajemen Risiko / Forum Risiko

Peran utamanya:

  • membahas top risk dan tren
  • meninjau KRI dan breach threshold
  • menilai progres mitigasi
  • memutuskan eskalasi dan tindakan lintas fungsi
  • menyelaraskan risiko dengan target dan inisiatif bisnis

Forum ini adalah “mesin keputusan” utama dalam operating model ERM.

D. Fungsi Manajemen Risiko (Lini Kedua)

Peran utamanya:

  • menyusun framework, metodologi, dan standar
  • mengoordinasikan asesmen risiko
  • menilai kualitas risk register/profil risiko
  • mengonsolidasikan risiko unit ke korporat
  • memantau KRI dan status mitigasi
  • menyiapkan pelaporan ke manajemen/komite
  • mengawal review dan improvement ERM

Fungsi manajemen risiko bukan pemilik semua risiko. Fungsinya menjaga sistem tetap hidup dan konsisten.

E. Risk Owner (Unit Bisnis/Fungsi)

Peran utamanya:

  • mengidentifikasi dan menilai risiko proses/sasaran unit
  • menetapkan dan menjalankan mitigasi
  • memantau indikator dini di area masing-masing
  • melaporkan perubahan risiko dan hambatan mitigasi
  • mengeskalasi isu saat threshold terlewati

Kalau risk owner pasif, operating model ERM akan runtuh.

Peran utamanya:

  • memberi masukan risiko spesifik sesuai domain
  • membantu desain kontrol dan respons
  • mengonfirmasi isu kepatuhan dan dampak regulasi
  • mendukung pemantauan indikator spesifik

Mereka bukan pengganti risk owner, tetapi penguat kualitas asesmen dan mitigasi.

G. Finance / FP&A / Treasury

Peran utamanya:

  • menghubungkan risiko ke dampak keuangan
  • memantau indikator likuiditas/pendanaan/covenant (jika relevan)
  • membantu integrasi ke budget, forecast, dan RKAP
  • mendukung analisis sensitivitas/stress testing (jika perusahaan sudah siap)

Ini penting karena banyak risiko terlihat “teknis” sampai dampaknya masuk cash flow.

H. Internal Audit (Lini Ketiga)

Peran utamanya:

  • memberi assurance atas efektivitas operating model ERM
  • menguji kepatuhan proses dan kualitas kontrol
  • menilai apakah mitigasi berjalan seperti yang dilaporkan
  • memberi masukan improvement sistem

Audit tidak menggantikan fungsi ERM. Audit menguji apakah sistem ERM bekerja.

2) Three Lines Model dalam Operating Model ERM

Operating model ERM paling mudah dijelaskan dengan three lines model.

Lini Pertama: Pemilik Risiko (Risk Owner / Unit Operasional)

Mereka menjalankan bisnis dan menanggung risiko langsung. Mereka harus:

  • mengenali risiko,
  • menjalankan kontrol,
  • menutup action plan,
  • melaporkan perubahan kondisi.

Lini Kedua: Fungsi Pengawasan Risiko dan Kepatuhan

Mereka membuat aturan main, memantau, menilai kualitas, dan mengonsolidasikan risiko.

Lini Ketiga: Internal Audit

Mereka menguji apakah lini pertama dan kedua benar-benar menjalankan perannya.

Kesalahan paling sering

Perusahaan memindahkan terlalu banyak pekerjaan lini pertama ke lini kedua. Akibatnya:

  • unit merasa “risiko urusan tim MR”
  • tim MR kelelahan mengurus data
  • kualitas ownership turun

Operating model yang sehat menjaga lini pertama tetap aktif.

3) Forum Keputusan dalam Operating Model ERM

ERM akan macet kalau perusahaan tidak menetapkan forum yang tepat.

A. Forum Operasional Unit (Bulanan)

Peserta: risk owner unit, supervisor/manajer terkait, PIC kontrol/mitigasi
Fokus:

  • update risk register unit
  • status action plan
  • perubahan level risiko
  • KRI unit
  • isu yang perlu dukungan lintas fungsi

Output:

  • update risk register unit
  • daftar action overdue
  • isu untuk eskalasi

B. Forum Konsolidasi Risiko Korporat (Bulanan/Trwiulanan)

Peserta: fungsi MR, perwakilan unit, finance, compliance/legal (sesuai isu)
Fokus:

  • konsolidasi top risk
  • tren KRI korporat
  • kualitas mitigasi
  • risiko lintas fungsi
  • konsistensi penilaian risiko

Output:

  • draft profil risiko korporat
  • daftar isu material
  • rekomendasi untuk komite risiko

C. Komite Manajemen Risiko (Trwiulanan atau lebih sering jika perlu)

Peserta: Direksi terkait, kepala fungsi utama, head risk, finance, compliance, dll
Fokus:

  • top risk perusahaan
  • breach appetite/tolerance/limit
  • keputusan mitigasi besar
  • isu lintas direktorat
  • kebutuhan eskalasi ke Direksi/Komisaris
  • integrasi ke target dan RKAP

Output:

  • keputusan manajemen
  • action plan strategis
  • penugasan lintas fungsi
  • persetujuan perubahan threshold/mitigasi (jika diperlukan)

D. Forum Komisaris / Komite Pengawas

Fokus:

  • pengawasan efektivitas ERM
  • kecukupan respons manajemen terhadap top risk
  • area yang berulang / tidak selesai
  • kualitas governance dan tindak lanjut

Operating model ERM harus menjelaskan isu mana naik ke forum mana. Kalau tidak, semua isu terasa “urgent” atau justru tidak ada yang naik.

4) Workflow Operating Model ERM (End-to-End)

Berikut alur kerja ERM yang paling praktis untuk dijadikan operating model.

Tahap 1 — Penetapan konteks dan sasaran

Setiap unit menetapkan:

  • sasaran kerja
  • inisiatif utama
  • perubahan konteks internal/eksternal

Tujuannya: risiko selalu dikaitkan ke sasaran, bukan dibahas terpisah.

Tahap 2 — Identifikasi risiko

Risk owner mengidentifikasi:

  • peristiwa risiko
  • penyebab (root cause)
  • dampak
  • kontrol yang sudah ada

Fungsi MR membantu kualitas metode dan konsistensi definisi.

Tahap 3 — Analisis dan evaluasi risiko

Unit menilai:

  • probabilitas
  • dampak
  • efektivitas kontrol
  • level inheren/residual

Lalu unit membandingkan hasil dengan kriteria risiko dan threshold perusahaan.

Tahap 4 — Penetapan mitigasi dan action plan

Risk owner menyusun:

  • tindakan mitigasi
  • PIC
  • target tanggal
  • indikator keberhasilan

Fungsi MR menantang kualitas rencana (apakah konkret, realistis, dan terukur).

Tahap 5 — Monitoring KRI dan action tracking

Unit dan fungsi MR memantau:

  • KRI
  • threshold breach
  • progress mitigasi
  • action overdue
  • perubahan level risiko

Tahap 6 — Konsolidasi dan pelaporan

Fungsi MR menyusun:

  • profil risiko korporat
  • top risk
  • tren risiko
  • isu material
  • rekomendasi tindakan/eskalasi

Tahap 7 — Review forum dan keputusan

Komite risiko / Direksi:

  • meninjau laporan
  • memutuskan tindakan
  • menetapkan prioritas lintas fungsi
  • meminta perbaikan bila perlu

Tahap 8 — Feedback dan perbaikan

Perusahaan memperbaiki:

  • metode
  • kriteria
  • template
  • KRI
  • ritme rapat
  • akuntabilitas owner

Inilah siklus operating model. Tanpa tahap 8, ERM akan stagnan.

5) Ritme Kerja (Cadence) ERM yang Disarankan

Operating model ERM gagal kalau ritmenya tidak realistis. Jangan terlalu sering sampai tim lelah. Jangan terlalu jarang sampai risiko terlambat terbaca.

Ritme minimum yang sehat (umum)

Mingguan (untuk area kritikal / KRI kritikal)

  • monitoring KRI tertentu
  • cek action kritikal
  • eskalasi isu mendesak

Bulanan

  • review risiko unit
  • update action plan
  • cek KRI unit
  • konsolidasi isu lintas fungsi (oleh fungsi MR)

Triwulanan

  • komite manajemen risiko
  • review top risk korporat
  • review threshold/appetite breach
  • review efektivitas mitigasi utama
  • integrasi ke kinerja dan forecast

Semesteran / Tahunan

  • refresh risk criteria (jika perlu)
  • review appetite/tolerance/limit
  • refresh risk register strategis
  • evaluasi operating model ERM
  • sinkronisasi dengan RKAP/RJPP / strategi tahunan

Untuk BUMN / grup usaha

Tambahkan ritme konsolidasi grup:

  • review risiko entitas vs grup
  • agregasi top risk portofolio
  • harmonisasi KRI inti
  • forum koordinasi holding–anak usaha

6) Output Wajib dalam Operating Model ERM

Operating model yang baik selalu menyebut “output apa” di setiap tahap. Ini membuat akuntabilitas lebih jelas.

1. Output level unit

  • risk register unit (updated)
  • action plan mitigasi
  • status KRI unit
  • daftar isu eskalasi
  • bukti tindak lanjut (jika diperlukan)

2. Output level fungsi manajemen risiko

  • konsolidasi risk register
  • corporate risk profile
  • top risk summary
  • dashboard KRI
  • laporan overdue actions
  • rekomendasi eskalasi / keputusan

3. Output level komite

  • notulen keputusan risiko
  • penugasan lintas fungsi
  • persetujuan perubahan threshold/limit (jika ada)
  • arahan mitigasi dan waktu penyelesaian

4. Output level pengawasan (Komisaris/Komite)

  • ringkasan top risk dan tren
  • status risiko material / breach
  • status tindakan manajemen
  • area governance yang perlu diperbaiki

Kalau operating model tidak mendefinisikan output, perusahaan akan terjebak pada aktivitas tanpa hasil.

7) Escalation Logic: Kapan Isu Harus Naik

Ini komponen yang sering hilang.

Perusahaan perlu menulis aturan eskalasi sederhana, misalnya isu harus naik ke level lebih tinggi saat:

  • risiko residual masuk zona merah
  • KRI melewati threshold merah
  • action plan mitigasi material overdue
  • risiko menyentuh/melewati risk limit
  • ada kejadian yang berdampak signifikan
  • ada risiko lintas fungsi yang tidak bisa diselesaikan unit
  • ada isu reputasi/hukum/kepatuhan material
  • ada perubahan konteks yang mengubah profil risiko cepat

Contoh struktur eskalasi

  • Unit → Fungsi MR: saat KRI kuning/merah atau action kritikal terlambat
  • Fungsi MR → Komite Risiko: saat risiko material naik signifikan / breach limit
  • Komite Risiko → Direksi/Komisaris: saat butuh keputusan strategis, pendanaan, perubahan target, atau respons krisis

Tanpa aturan ini, banyak isu penting tersangkut di level operasional.

8) Operating Model ERM untuk BUMN dan Grup Usaha

BUMN dan grup usaha membutuhkan operating model dua tingkat.

A. Level Holding / Korporat Grup

Fungsi utama:

  • menetapkan kebijakan dan framework ERM grup
  • menetapkan taksonomi risiko dan kriteria minimum
  • menetapkan KRI inti grup (jika relevan)
  • mengonsolidasikan top risk portofolio
  • mengelola forum risiko grup
  • mengawal integrasi risiko ke RKAP dan prioritas strategis grup

B. Level Entitas / Anak Usaha

Fungsi utama:

  • menjalankan ERM operasional dan bisnis
  • menyusun risk register dan profil risiko entitas
  • memantau KRI entitas
  • menjalankan mitigasi
  • melaporkan ke holding sesuai format/kadensi

Prinsip penting untuk grup

  • standar inti sama
  • kalibrasi lokal tetap ada

Kalau holding memaksa semua detail sama, unit kehilangan relevansi.
Kalau holding membiarkan semua bebas, konsolidasi tidak bisa dilakukan.

9) Peran Teknologi dalam Operating Model ERM

Banyak perusahaan bertanya: kapan perlu sistem/dasbor risiko?

Jawabannya: bangun teknologi setelah operating model cukup jelas.

Teknologi akan membantu jika perusahaan sudah punya:

  • peran dan owner yang jelas
  • workflow yang stabil
  • format data yang konsisten
  • KRI dan threshold yang disepakati
  • ritme pelaporan yang berjalan

Teknologi biasanya dipakai untuk:

  • input risk register dan update mitigasi
  • tracking overdue action
  • monitoring KRI
  • konsolidasi risk profile
  • dashboard manajemen
  • audit trail perubahan data

Jangan berharap dashboard memperbaiki operating model yang belum jelas.

10) Tanda Operating Model ERM Sudah Bekerja

Perusahaan bisa menilai keberhasilan operating model ERM dari indikator perilaku berikut.

Tanda positif

  • risk owner aktif memperbarui risiko dan mitigasi
  • forum risiko menghasilkan keputusan nyata
  • action plan punya PIC dan due date yang dipatuhi
  • KRI dipantau dan memicu tindakan
  • isu material cepat naik ke forum yang tepat
  • fungsi MR fokus pada kualitas dan konsolidasi, bukan sekadar mengejar data
  • top risk masuk ke pembahasan target/anggaran
  • audit melihat peningkatan konsistensi dan evidence tindak lanjut

Tanda operating model masih lemah

  • update risiko hanya menjelang rapat
  • forum risiko hanya membaca slide
  • action plan banyak overdue tanpa konsekuensi
  • KRI ada tetapi tidak memicu aksi
  • unit merasa ERM adalah urusan fungsi MR
  • manajemen meminta data risiko mendadak karena sistem tidak memberi warning lebih dulu

11) Kesalahan Umum Saat Mendesain Operating Model ERM

1) Membuat desain terlalu kompleks

Perusahaan menulis struktur dan forum terlalu banyak. Tim bingung dan akhirnya tidak menjalankan.

2) Tidak menyesuaikan dengan ritme bisnis

Ritme review terlalu sering atau terlalu jarang.

3) Menaruh semua beban di fungsi manajemen risiko

Unit menjadi pasif, ownership hilang.

4) Tidak menetapkan aturan eskalasi

Isu material terlambat naik.

5) Fokus pada template, lupa keputusan

Operating model harus mendukung keputusan, bukan hanya dokumentasi.

6) Tidak mengaitkan ke KPI manajemen

Kalau eksekusi mitigasi tidak masuk evaluasi kinerja, komitmen biasanya turun.

12) Cara Menyusun Operating Model ERM (Langkah Praktis)

Langkah 1 — Petakan kondisi saat ini

Lihat:

  • siapa melakukan apa sekarang
  • forum apa yang sudah ada
  • laporan apa yang sudah berjalan
  • titik macet paling sering

Langkah 2 — Tentukan target operating model

Definisikan:

  • peran inti
  • forum inti
  • ritme review
  • output wajib
  • aturan eskalasi

Langkah 3 — Sederhanakan dan uji di satu area dulu

Pilot pada:

  • satu direktorat, atau
  • top risk tertentu, atau
  • satu siklus bulanan-triwulanan

Langkah 4 — Rapikan template dan dashboard

Sesuaikan alat kerja dengan operating model, bukan sebaliknya.

Langkah 5 — Kunci dengan mandat manajemen

Direksi/Komite perlu menegaskan:

  • owner
  • tenggat
  • forum
  • standar pelaporan

Langkah 6 — Review setelah 1–2 siklus

Perbaiki:

  • ritme
  • threshold eskalasi
  • format laporan
  • beban kerja peran tertentu

Operating model ERM selalu perlu kalibrasi. Yang penting, mulai dari desain yang bisa dijalankan.

Kesimpulan

Operating model enterprise risk management adalah blueprint kerja yang membuat ERM benar-benar hidup di perusahaan. Operating model mengatur peran, forum, alur kerja, ritme, output, dan eskalasi agar risiko tidak berhenti di risk register, tetapi masuk ke keputusan manajemen.

Perusahaan yang ingin ERM berjalan perlu memastikan hal berikut:

  • risk owner aktif,
  • fungsi manajemen risiko fokus pada framework dan konsolidasi,
  • komite risiko memutuskan tindakan,
  • KRI memicu respons,
  • dan ritme review berjalan konsisten.

Untuk BUMN dan grup usaha, operating model ERM perlu dua lapis: level entitas dan level holding, dengan standar inti yang sama dan ruang kalibrasi lokal yang cukup. Di titik itu, ERM berubah dari dokumen tata kelola menjadi sistem pengendali bisnis yang benar-benar bekerja.

About RWI
RWI Consulting adalah perusahaan konsultan manajemen risiko yang berdiri sejak tahun 2005. Selama belasan tahun ini, kami telah berkomitmen untuk memberikan layanan terbaik kepada ratusan klien dari berbagai sektor industri baik BUMN maupun swasta untuk memberikan solusi yang tepat dalam mengidentifikasi, mengelola, dan mengatasi risiko yang dihadapi perusahaan.
Services Client Story

Related posts

Memahami Proses Manajemen Risiko Menurut ISO 31000_2018_11zon_11zonMemahami Proses Manajemen Risiko Menurut ISO 31000:2018 business continuity management systemBagaimana Menetapkan Ruang Lingkup, Konteks, dan Kriteria Risiko? (Bagian 1) ERM dan GCG: Risk Governance, Dewan, KPI-KRI
View All

Our Services

Enterprise Risk Management Implementation Business Continuity Management System Risk Maturity Index Assessment Risk Dashboard Risk Assessment & Profiling Risk Early Warning System Risk Awareness & Competency Building

Butuh Bantuan?

Hubungi konsultan profesional kami di:

+62 811 939 118

atau

[email protected]
Call Us
Popup Image
Top