Enterprise Risk Management Framework: Kenapa Banyak Perusahaan Punya ERM Tapi Tidak Jalan

Enterprise Risk Management Framework: Kenapa Banyak Perusahaan Punya ERM Tapi Tidak Jalan
RB 3 Maret 2026
5/5 - (1 vote)

RWI Consulting – Enterprise risk management framework adalah kerangka kerja yang mengatur cara perusahaan mengidentifikasi, menilai, merespons, memantau, dan melaporkan risiko secara konsisten agar manajemen bisa mengambil keputusan lebih baik. Kebutuhan ini muncul karena lingkungan bisnis bergerak cepat, penuh ketidakpastian, dan langsung memengaruhi pencapaian tujuan strategis perusahaan.

Dokumen implementasi ERM juga menegaskan bahwa perusahaan memakai ERM untuk membangun sistem terintegrasi yang meningkatkan ketahanan, mendukung keputusan strategis, menjaga kepatuhan, dan mengoptimalkan kinerja operasional.

Enterprise Risk Management Framework

penyusunan ERM
penyusunan ERM

Penyusunan Enterprise Risk Management. Klik di sini.

Kalimat sederhananya begini. ERM framework adalah aturan main supaya manajemen risiko tidak berhenti di risk register.

Banyak perusahaan sudah punya daftar risiko. Masalahnya, daftar itu sering tidak terhubung ke:

  • keputusan direksi,
  • target RKAP,
  • indikator pemantauan,
  • dan tindakan korektif saat kondisi memburuk.

Framework ERM yang rapi menutup celah itu.

Kenapa ERM framework perlu jelas

Dokumen SharePoint menunjukkan pola kerja implementasi ERM yang sangat konkret. Tim tidak hanya menyusun kebijakan. Tim juga menyusun struktur organisasi manajemen risiko, mekanisme proses risiko, template risk register, template mitigasi, pola komunikasi dengan internal audit, rencana risk based audit, sampai rencana sosialisasi dan kick-off implementasi.

Ini menunjukkan satu hal penting: ERM akan jalan kalau perusahaan membangun sistemnya dari beberapa komponen, bukan dari satu dokumen.

Tanpa framework yang jelas, perusahaan biasanya mengalami kondisi ini:

  • unit menilai risiko dengan cara berbeda,
  • fungsi risiko hanya mengejar update file,
  • mitigasi tidak punya owner kuat,
  • komite risiko hanya membaca heatmap,
  • manajemen baru bergerak setelah masalah meledak.

Komponen inti enterprise risk management framework

Berikut kerangka medium yang lebih mudah dibaca dan langsung bisa dipakai sebagai struktur berpikir.

1) Tujuan dan prinsip ERM

Framework harus mulai dari tujuan. Dokumen implementasi ERM menyebut tujuan yang sangat jelas: meningkatkan ketahanan perusahaan, mendukung keputusan strategis, menjaga kepatuhan, mengoptimalkan operasi, dan memperkuat kepercayaan pemangku kepentingan.

Artinya, ERM framework tidak boleh berdiri sebagai dokumen compliance saja. Framework harus membantu manajemen:

  • menjaga target tetap realistis,
  • melihat risiko lebih cepat,
  • dan memutuskan tindakan lebih cepat.

Di level prinsip, perusahaan perlu menegaskan bahwa ERM:

  • mengikuti pendekatan sistematis,
  • terhubung ke keputusan,
  • melibatkan pemilik risiko di unit kerja,
  • dan berjalan secara berkala.

2) Standar dan rujukan framework

Pada dokumen SharePoint, implementasi ERM mengacu pada PER-2/MBU/03/2023 dan ISO 31000:2018. Dokumen yang sama juga menyebut bahwa framework risiko yang digunakan adalah ISO 31000:2018.

Ini penting untuk readability dan praktik lapangan:

  • PER-2 memberi konteks tata kelola BUMN,
  • ISO 31000 memberi kerangka proses risiko yang konsisten.

Perusahaan tidak perlu membuat framework dari nol. Perusahaan perlu menyesuaikan kerangka itu dengan konteks bisnis, struktur organisasi, dan ritme manajemen internal.

3) Governance ERM dan pembagian peran

Baca juga:

Framework ERM harus menjawab siapa melakukan apa. Dokumen implementasi Arwana menampilkan tata kelola risiko perusahaan yang melibatkan Dewan Komisaris, Direksi/Komite Audit atau Komite Pemantau Risiko, Internal Audit, Fungsi Manajemen Risiko, Risk Officer, dan Unit Kerja sebagai risk owner, lengkap dengan jalur pelaporan dan jalur komunikasi risiko.

Dari sini, struktur governance framework ERM yang sehat biasanya memuat:

  • Direksi sebagai pengarah dan pengambil keputusan risiko material
  • Komisaris/komite terkait sebagai pengawas
  • Fungsi manajemen risiko sebagai perancang framework dan pengonsolidasi
  • Unit kerja sebagai pemilik risiko
  • Internal audit sebagai penguji efektivitas sistem

Bagian ini wajib ditulis tegas. Jika perusahaan menulis governance terlalu umum, fungsi risiko akan berubah menjadi admin dokumen, sementara unit bisnis melepas ownership.

4) Proses ERM end-to-end

Dokumen SharePoint memuat mekanisme proses manajemen risiko yang sangat lengkap. Isinya mencakup penetapan scope (risk owner) dan konteks internal/eksternal, metode risk assessment (identifikasi, analisis, treatment), sistem pemantauan dan kaji ulang, sistem pelaporan profil risiko, perencanaan database kejadian risiko, mekanisme komunikasi dan konsultasi, serta format laporan profil risiko.

Ini sudah menjadi tulang punggung framework ERM. Agar lebih mudah dibaca, susun proses ERM seperti ini:

  • tetapkan konteks dan risk owner,
  • identifikasi risiko,
  • analisis dan evaluasi,
  • tetapkan treatment/mitigasi,
  • pantau dan kaji ulang,
  • laporkan dan eskalasi.

Jangan menulis proses sebagai definisi panjang. Tulis sebagai alur kerja yang benar-benar dijalankan unit dan fungsi risiko.

5) Risk register, risk map, profil risiko, dan mitigasi

Framework ERM harus menjelaskan artefak kerja, bukan hanya proses. Dalam dokumen implementasi, output yang dihasilkan mencakup dokumen risk register, risk map, rencana mitigasi, dan profile risiko

Pada tahap review, tim juga melakukan pembaruan risk register, review mitigation plan, review sistem manajemen risiko, dan review profil risiko secara berkala bahkan bulanan.

Ini memberi struktur yang sangat kuat untuk framework:

  • Risk Register = daftar risiko terstruktur dan pemiliknya
  • Risk Map = visual prioritas risiko
  • Profile Risiko = ringkasan top risk dan kondisi perusahaan
  • Rencana Mitigasi = tindakan, PIC, dan target waktu
  • Review Berkala = mekanisme menjaga dokumen tetap hidup

Kalau framework hanya menyebut “risk assessment” tanpa menjelaskan output ini, tim akan bingung menghasilkan apa pada setiap siklus.

6) Risk appetite, risk profile, dan top risk workshop

Dokumen PIMD (Pertamina International Marketing & Distribution) memberi contoh yang bagus untuk bagian framework yang lebih operasional. Ruang lingkup pelatihan dan workshop mereka mencakup:

  • proses manajemen risiko dari identifikasi sampai monitoring,
  • teknik risk appetite,
  • all risk dan top risk workshop,
  • prioritisasi top risk,
  • strategi mitigasi dan action plan.

Deliverables workshop juga menunjukkan isi yang seharusnya muncul dari ERM framework yang sehat:

  • daftar risiko konsolidasi,
  • top risk terprioritas,
  • heatmap,
  • risk owner dan unit penanggung jawab,
  • rencana mitigasi strategis dan operasional,
  • timeline dan indikator monitoring.

Bagian ini penting karena banyak perusahaan menulis risk appetite terlalu abstrak. Framework yang baik harus menghubungkan risk appetite ke:

  • top risk,
  • owner,
  • indikator monitoring,
  • dan tindakan.

7) KRI, EWS, dan dashboard risiko dalam framework

Framework ERM yang matang tidak berhenti pada risk register. Proposal dashboard Jasa Tania menunjukkan struktur yang lebih modern: integrasi risk register, KRI, Loss Event Database (LED), Early Warning System (EWS), dashboard risiko, dan RMI dalam satu mekanisme pemantauan terintegrasi.

Dokumen ini juga menjelaskan fungsi framework KRI dan EWS secara sangat praktis:

  • struktur dan parameter KRI (metadata, relasi ke risiko, risk owner, sumber data, frekuensi pelaporan),
  • pengaturan threshold KRI,
  • notifikasi dan eskalasi kepada manajemen,
  • visualisasi trend, heatmap, dan status risiko utama untuk kebutuhan manajemen dan komite risiko.

Dari sini, framework ERM medium yang bagus perlu menulis 4 aturan minimum untuk KRI:

  1. KRI harus punya owner
  2. KRI harus punya threshold
  3. KRI harus punya frekuensi pemantauan
  4. KRI harus memicu eskalasi dan tindakan

Tanpa empat hal itu, dashboard hanya menampilkan warna.

8) Integrasi data kejadian risiko dan pembelajaran

Dokumen Arwana sudah menyebut perencanaan database kejadian risiko sebagai bagian dari mekanisme proses ERM. Dokumen Jasa Tania memperkuatnya dengan LED (Loss Event Database) yang terhubung ke risk register dan KRI, lalu menjadi input analisis risiko dalam sistem.

Ini sangat penting untuk framework karena:

  • risk register tanpa data kejadian mudah menjadi subjektif,
  • KRI tanpa data historis sering kehilangan konteks,
  • manajemen sulit belajar dari kejadian berulang jika tidak ada database.

Jadi, ERM framework yang lebih matang perlu memasukkan loss event management sebagai komponen resmi, bukan tambahan opsional.

9) Pelaporan, cadence, dan forum review

Framework ERM harus mengatur ritme kerja. Dokumen implementasi Arwana bahkan menyebut review sistem manajemen risiko dilakukan setiap bulan antara konsultan dan tim MR&C. Ini memberi contoh bahwa cadence bukan detail kecil. Cadence adalah mesin disiplin.

Dalam framework medium, tulis ritme minimum yang realistis:

  • bulanan untuk update risk register, mitigasi, dan isu unit
  • triwulanan untuk profil risiko korporat dan top risk
  • semesteran/tahunan untuk review framework, appetite, dan roadmap improvement

Framework juga perlu menjelaskan forum mana yang menerima laporan:

  • level unit,
  • fungsi manajemen risiko,
  • komite risiko,
  • Direksi/Komisaris (sesuai kebutuhan).

10) Maturitas risiko dan roadmap improvement

Dokumen Arwana memasukkan gap analysis terhadap Risk Maturity Index (RMI) PERMEN BUMN dan roadmap menuju tingkat maturitas tertentu sebagai bagian deliverable implementasi ERM. Dokumen PIMD juga menempatkan RMI assessment, gap report, rekomendasi, dan roadmap perbaikan sebagai output terpisah.

Artinya, framework ERM yang baik tidak berhenti di desain awal. Framework harus memuat mekanisme improvement:

  • ukur kondisi saat ini,
  • identifikasi gap,
  • susun roadmap,
  • review progres secara periodik.

Ini yang membedakan ERM “aktif” dengan ERM “sekali jadi”.

Struktur ringkas ERM framework yang enak dibaca manajemen

Enterprise Risk Management Implementation

Agar dokumen framework tidak terlalu berat, susun bab-babnya secara ringkas seperti ini:

  1. Tujuan dan prinsip ERM
  2. Standar dan rujukan (PER-2, ISO 31000)
  3. Governance dan peran
  4. Proses ERM end-to-end
  5. Risk criteria dan risk assessment method
  6. Risk register, risk map, profile risiko, mitigasi
  7. Risk appetite, top risk, dan eskalasi
  8. KRI, LED, EWS, dan dashboard
  9. Pelaporan dan cadence review
  10. Maturitas risiko dan continuous improvement

Struktur ini lebih mudah dibaca daripada framework yang langsung melompat ke definisi panjang atau template teknis.

Kesalahan paling sering saat menyusun ERM framework

Berdasarkan pola deliverable dan scope pada dokumen SharePoint, kesalahan yang paling sering muncul biasanya bukan pada niat, tetapi pada desain kerja.

Kesalahan yang sering terjadi:

  • perusahaan hanya menyusun kebijakan, tetapi tidak menulis mekanisme proses detail
  • perusahaan punya risk register, tetapi tidak menulis ritme review
  • perusahaan menulis governance, tetapi tidak menegaskan risk owner
  • perusahaan membuat dashboard, tetapi tidak menulis threshold dan eskalasi
  • perusahaan menilai maturitas, tetapi tidak membuat roadmap improvement

Framework yang kuat selalu menghubungkan dokumen, proses, owner, dan review.

Kesimpulan

Enterprise risk management framework adalah kerangka kerja yang membuat ERM menjadi sistem manajemen yang benar-benar berjalan. Dokumen SharePoint menunjukkan bahwa framework yang efektif selalu mencakup struktur organisasi risiko, kebijakan dan prosedur, mekanisme proses risiko, template risk register dan mitigasi, pola komunikasi dengan internal audit, profil risiko, review berkala, serta integrasi ke RKAP dan roadmap maturitas.

Framework yang lebih matang juga menghubungkan ERM dengan top risk workshop, risk appetite, indikator monitoring, KRI threshold, notifikasi, eskalasi, dashboard, dan data kejadian risiko agar manajemen bisa bertindak lebih cepat dan lebih terukur.

Dengan struktur seperti ini, ERM berhenti menjadi dokumen pelengkap. ERM menjadi sistem pengendali keputusan.

Perusahaan sekarang perlu ERM karena risiko bisnis makin kompleks, regulasi makin ketat, dan kejadian risiko yang membuat perusahaan harus siap. ERM jadi wajib buat lindungi aset dan capai tujuan bisnis.

Download Booklet ERM PDF
About RWI
RWI Consulting adalah perusahaan konsultan manajemen risiko yang berdiri sejak tahun 2005. Selama belasan tahun ini, kami telah berkomitmen untuk memberikan layanan terbaik kepada ratusan klien dari berbagai sektor industri baik BUMN maupun swasta untuk memberikan solusi yang tepat dalam mengidentifikasi, mengelola, dan mengatasi risiko yang dihadapi perusahaan.
Services Client Story

Related posts

Memahami Proses Manajemen Risiko Menurut ISO 31000_2018_11zon_11zonMemahami Proses Manajemen Risiko Menurut ISO 31000:2018 business continuity management systemBagaimana Menetapkan Ruang Lingkup, Konteks, dan Kriteria Risiko? (Bagian 1) ERM dan GCG: Risk Governance, Dewan, KPI-KRI
View All

Our Services

Enterprise Risk Management Implementation Business Continuity Management System Risk Maturity Index Assessment Risk Dashboard Risk Assessment & Profiling Risk Early Warning System Risk Awareness & Competency Building

Butuh Bantuan?

Hubungi konsultan profesional kami di:

+62 811 939 118

atau

[email protected]
Call Us
Popup Image
Top