Menu
- Enterprise Risk Management Implementation
- Business Continuity Management System
- Risk Maturity Index Assessment
- Risk Dashboard
- Risk Assessment and Profiling
- Risk Early Warning System
- ESG (Environmental, Social, and Governance)
- Business Continuity Plan
- Contingency Plan
- Stress Testing
- Rencana Jangka Panjang Perusahaan (RJPP)
- ICOFR
- Good Corporate Governance
- IT Transformation
- Risk Awareness & Competency Building
- View All Services
Apa itu Risk Appetite dan Risk Tolerance di Perusahaan?
Untuk mewujudkan visi, misi, layanan, dan sasaran perusahaan, perusahaan perlu menetapkan kriteria keberterimaan risiko (risk acceptance criteria) yang jelas sebagai wujud komitmen terhadap pengelolaan risiko yang efektif. Kriteria keberterimaan risiko mencakup kebijakan risk appetite dan risk tolerance perusahaan. (Konsultan Manajemen Risiko).
Apa itu Risk Appetite dan Risk Tolerance di Perusahaan?
Risk appetite menjelaskan jenis dan tingkat risiko yang organisasi bersedia ambil untuk mencapai tujuan. Risk tolerance menjelaskan rentang deviasi yang masih organisasi izinkan ketika realisasi mulai menyimpang dari target yang sama. Dua konsep ini membantu organisasi menetapkan “seberapa berani” dan “seberapa jauh boleh melenceng” sebelum manajemen perlu bertindak.
Banyak perusahaan punya risk register, tetapi tidak semua punya batas penerimaan yang jelas. Tanpa appetite dan tolerance, tim sering berdebat soal prioritas mitigasi karena setiap unit memakai standar “rasa aman” yang berbeda.
Bedanya risk appetite dan risk tolerance
Agar tidak berhenti sebagai definisi, pakai cara baca ini:
- Risk appetite = arah kebijakan
Direksi menetapkan selera risiko untuk tujuan tertentu. Appetite menjawab: risiko seperti apa yang organisasi terima demi target ini? - Risk tolerance = batas deviasi
Manajemen menetapkan seberapa besar penyimpangan dari target yang masih organisasi anggap wajar. Tolerance menjawab: seberapa jauh indikator boleh melenceng sebelum tim wajib eskalasi atau menjalankan mitigasi?
Kalau kamu ingin contoh risk appetite statement yang lebih lengkap dan mudah teruji, kamu bisa merujuk pembahasan “contoh risk appetite di perusahaan” di https://rwi.co.id/contoh-risk-appetite-di-perusahaan/
Kenapa perusahaan perlu risk appetite dan risk tolerance?
Risk appetite dan risk tolerance membantu organisasi:
- menyelaraskan keputusan lintas unit agar semua memakai standar yang sama
- mengarahkan prioritas mitigasi ke risiko yang paling material
- menghindari mitigasi “asal aman” yang menghabiskan biaya dan waktu
- menjaga konsistensi antara target, eksposur, kontrol, dan kapasitas organisasi
Di praktik manajemen risiko, konsep ini juga nyambung langsung ke kriteria risiko. Kriteria risiko memberi skala dampak dan kemungkinan, sedangkan appetite dan tolerance memberi keputusan “terima atau tangani”. Untuk fondasinya, kamu bisa mengaitkan bagian ini ke https://rwi.co.id/bagaimana-menetapkan-kriteria-risiko-untuk-perusahaan/
Cara menyusun risk appetite dan risk tolerance yang bisa dipakai kerja
1) Mulai dari tujuan atau KPI, bukan dari daftar risiko
Tim sering memulai dari “top risk”, lalu kebingungan menilai apakah risikonya dapat diterima. Mulai dari tujuan membuat keputusan lebih jelas. Contoh: tujuan finansial, kepatuhan, kualitas layanan, inovasi, atau ekspansi.
Kalau organisasi memakai Kontrak Manajemen atau RKAP, kamu bisa memakai dokumen itu sebagai daftar sasaran awal. Untuk konteks RKAP berbasis risiko, kamu bisa menyisipkan rujukan ke https://rwi.co.id/pengertian-rkap-berbasis-risiko/
2) Tentukan zona appetite per kelompok tujuan
Direksi dapat menetapkan appetite per kelompok KPI, misalnya:
- Keuangan: appetite sangat rendah
- Kepatuhan: appetite sangat rendah
- Operasional: appetite rendah–moderat
- Inovasi/proses: appetite moderat
Prinsipnya sederhana: semakin kritikal KPI-nya bagi kelangsungan bisnis dan reputasi, semakin kecil selera risiko yang organisasi terima.
3) Turunkan risk tolerance dari risk appetite
Tolerance harus mengikuti appetite, bukan berjalan sendiri. Jika direksi menetapkan appetite “sangat rendah” untuk KPI tertentu, manajemen perlu menetapkan tolerance yang sempit. Jika direksi menetapkan appetite “moderat”, manajemen bisa memberi tolerance yang lebih longgar, dengan syarat mekanisme monitoring berjalan.
Agar pembaca langsung kebayang, kamu bisa pakai format seperti ini:
Contoh ringkas
- KPI Finansial (appetite sangat rendah)
Tolerance: deviasi kecil dari target, lalu tim langsung eskalasi - KPI Inovasi (appetite moderat)
Tolerance: deviasi lebih longgar, tim fokus pada evaluasi dan kontrol bertahap
4) Ubah appetite dan tolerance menjadi risk limit operasional
Appetite dan tolerance baru terasa manfaatnya saat organisasi mengubahnya menjadi batas operasional yang bisa tim jaga setiap hari. Di sinilah risk limit masuk.
Risk limit berfungsi sebagai “rem tangan” operasional: batas kredit, batas eksposur, batas kerugian, batas downtime, batas komplain, dan sejenisnya. Untuk pembahasan detail perbedaan dan cara menerapkan limit, kamu bisa menyisipkan tautan ke https://rwi.co.id/risk-limit-dalam-manajemen-risiko/
5) Integrasikan ke proses manajemen risiko, bukan hanya dokumen
Appetite dan tolerance harus muncul di:
- penetapan konteks dan kriteria risiko
- risk assessment (prioritas)
- rencana perlakuan risiko (treatment plan)
- monitoring dan pelaporan
Kalau pembaca butuh konteks proses ISO 31000, kamu bisa mengaitkan ke https://rwi.co.id/memahami-proses-manajemen-risiko-menurut-iso-310002018/ dan ketika masuk bagian komunikasi lintas stakeholder, kamu bisa mengaitkan ke https://rwi.co.id/komunikasi-dan-konsultasi-dalam-proses-manajemen-risiko-iso-31000-2018/
Kesalahan yang sering buat appetite dan tolerance tidak berguna
- Direksi menetapkan appetite, tetapi tim tidak menurunkannya menjadi tolerance dan limit
- Organisasi menulis statement terlalu umum, sehingga tim tidak bisa menguji keputusan
- Unit kerja memakai skala dampak dan kemungkinan yang berbeda, lalu hasilnya tidak bisa dibandingkan
- Tim jarang melakukan review saat konteks berubah (pasar, regulasi, strategi, insiden)
Template singkat: risk appetite statement yang “bisa dipakai”
Kamu bisa pakai format sederhana seperti ini:
Untuk tujuan [X], organisasi menerima risiko pada level [rendah/moderat/tinggi] dengan batas deviasi [angka/ambang] dan menerapkan limit operasional [limit 1, limit 2]. Manajemen melaporkan pelanggaran limit setiap [periode] dan mengeksekusi respons saat indikator memasuki zona [kuning/oranye/merah].
Kalau kamu ingin contoh versi lebih panjang (governance, approval flow, parameter, dan monitoring), arahkan pembaca ke https://rwi.co.id/contoh-risk-appetite-di-perusahaan/
COSO ERM Framework memberikan gambaran perbedaan dan keterkaitan antara risk appetite dan risk tolerance sebagai berikut:
Risk tolerance merujuk pada batas toleransi tertinggi dan/atau terendah atas deviasi dari berbagai ukuran yang tercantum dalam Rencana Kerja dan Anggaran Perusahaan (RKAP). Perusahaan menjabarkan tingkat toleransi tersebut dalam bentuk Matriks Eksposur Risiko (Risk Exposure Matrix) dan Kriteria Risiko (Risk Criteria). Perusahaan dapat meninjau Kriteria Risiko dan Matriks Eksposur Risiko kapan saja ketika faktor eksternal atau internal berubah dan memengaruhi pelaksanaan RKAP secara signifikan.
Risk appetite dan risk tolerance menunjukkan sikap perusahaan terhadap seluruh jenis risiko yang perusahaan hadapi. Perusahaan menempatkan setiap jenis risiko ke dalam zona selera risiko, misalnya sangat rendah, rendah, menengah, dan tinggi. Melalui pengelompokan ini, perusahaan menegaskan posisi terhadap risiko yang berkaitan dengan pencapaian sasaran KPI.
Jika perusahaan menetapkan risk appetite “sangat rendah” untuk kelompok KPI tertentu, Direksi menolak deviasi dan eksposur risiko yang tinggi pada KPI tersebut. Misalnya, ketika perusahaan menetapkan risk appetite sangat rendah untuk KPI finansial, Direksi hanya menerima eksposur risiko di zona hijau untuk risiko yang terkait KPI finansial. Saat eksposur masuk zona kuning, tim perlu menjalankan mitigasi.
Sebaliknya, jika perusahaan menetapkan risk appetite Direksi “moderat” untuk KPI Inovasi Bisnis Proses, Direksi menerima risiko pada level yang lebih tinggi, misalnya di zona kuning. Tim baru perlu menjalankan mitigasi ketika risiko terkait bergerak ke zona oranye.
Toleransi risiko sebaiknya mengikuti risk appetite. Ketika Direksi menetapkan risk appetite “sangat rendah” untuk kelompok KPI tertentu, perusahaan sebaiknya menetapkan risk tolerance sebagai zero tolerance atau memberi rentang toleransi yang sangat kecil, misalnya deviasi 0,001%. Ketika Direksi menetapkan risk appetite “moderat”, perusahaan dapat menetapkan toleransi yang lebih longgar, misalnya deviasi 1–2%. (Konsultan Manajemen Risiko).
Baca juga Komunikasi dan Konsultasi dalam Proses Manajemen Risiko ISO 31000:2018.
FAQ (untuk user intent + rich result)
Apakah risk appetite sama dengan risk tolerance?
Tidak. Risk appetite menjelaskan selera risiko secara kebijakan, sedangkan risk tolerance menjelaskan rentang deviasi yang masih organisasi izinkan terhadap target.
Apa itu Risk Limit, dan hubungannya apa dengan appetite?
Risk limit adalah batas operasional yang tim jaga setiap hari. Organisasi menurunkan limit dari appetite dan tolerance supaya kebijakan berubah menjadi kontrol yang bisa dijalankan. Kamu bisa baca detailnya di https://rwi.co.id/risk-limit-dalam-manajemen-risiko/
Kapan perusahaan perlu meninjau ulang appetite dan tolerance?
Saat organisasi mengubah strategi, menghadapi perubahan konteks eksternal/internal, mengalami insiden besar, atau melihat tren deviasi indikator yang konsisten.
Related posts
