ERM dan GCG: Risk Governance, Dewan, KPI-KRI

ERM dan GCG: Risk Governance, Dewan, KPI-KRI
RB 27 Januari 2026
Rate this post

RWI Consulting – ERM dan GCG itu satu sistem yang sama dari dua arah berbeda: GCG menetapkan siapa bertanggung jawab dan bagaimana pengawasan berjalan, sedangkan ERM memberi alat kerja supaya pengawasan dan akuntabilitas itu nyata.

Prinsip G20/OECD menempatkan dewan pada fungsi kunci: memandu strategi, menyetujui rencana besar, dan mengawasi sistem manajemen risiko serta sistem kepatuhan. Tanpa ERM, kewajiban dewan ini berubah menjadi rapat, notulen, dan presentasi. Dengan ERM, kewajiban itu berubah menjadi batas risiko (risk appetite), limit, indikator peringatan dini, keputusan mitigasi, serta bukti tindak lanjut yang bisa teruji.

ERM dan GCG: Risk Governance, Dewan, KPI-KRI

1) Titik temu paling penting: “risk governance”

GCG yang modern selalu memuat risk governance. Basel Committee menegaskan risk governance sebagai bagian dari corporate governance dan menekankan peran dewan dalam mengawasi implementasi sistem manajemen risiko yang efektif, komite dewan dan fungsi kontrol yang kuat, termasuk pola three lines of defence.

Di sisi ERM, COSO menaruh “Governance and Culture” sebagai komponen pertama dan memasukkan prinsip board risk oversight sebagai fondasi. Artinya, ERM sejak awal memang terdesain untuk membuat pengawasan dewan terhadap risiko menjadi mekanisme, bukan slogan.

2) ERM membuat peran dewan dalam GCG jadi terukur

G20/OECD Principles menyatakan dewan perlu mengawasi risk management system dan sistem untuk memastikan perusahaan patuh hukum. Itu bukan tugas tambahan; itu fungsi inti dewan.
COSO ERM 2017 menegaskan risiko harus melalui pertimbangan saat penetapan strategi dan saat mendorong kinerja; ini menyambungkan pengawasan dewan ke dua objek yang paling sensitif: strategi dan target performa.

Konversi praktisnya sederhana:

  • Dewan memerlukan risk appetite yang operasional agar bisa menilai strategi dan target tanpa “feeling”.
  • Dewan memerlukan portfolio view agar bisa melihat total eksposur perusahaan, bukan potongan silo.
  • Dewan memerlukan ritme review dan bukti eskalasi agar pengawasan tidak berhenti di dashboard.

Semua ini adalah artefak ERM, tetapi mandatnya muncul dari GCG.

3) ERM memperkuat 5 prinsip GCG lewat mekanisme yang bisa teruji

Di banyak praktik Indonesia, GCG dapat terbagi menjadi lima prinsip: transparansi, akuntabilitas, responsibilitas, independensi, fairness. ERM menguatkan semuanya lewat desain proses.

a) Transparansi
Transparansi bukan “buka data sebanyak-banyaknya”. Transparansi berarti dewan menerima informasi risiko yang relevan, tepat waktu, dan bisa terpakai untuk keputusan. COSO menempatkan “Information, Communication, and Reporting” sebagai komponen inti dan menuntut pelaporan tentang risiko, budaya, dan kinerja.

b) Akuntabilitas
Akuntabilitas butuh garis tanggung jawab. OJK, dalam pedoman manajemen risiko terintegrasi untuk konglomerasi keuangan, menegaskan tanggung jawab Direksi dan Dewan Komisaris entitas utama atas efektivitas penerapan manajemen risiko terintegrasi, termasuk pengembangan budaya risiko.
ERM menerjemahkannya menjadi risk owner, limit owner, control owner, dan action owner. Akuntabilitas lalu punya nama, bukan “kita bersama”.

c) Responsibilitas
Responsibilitas berarti manajemen mengelola risiko dalam operasi sehari-hari, bukan hanya saat audit. OJK memuat elemen minimal: pengawasan Direksi dan Dewan Komisaris, kebijakan dan limit, proses identifikasi–pengukuran–pemantauan–pengendalian, sistem informasi manajemen risiko, dan pengendalian internal.

ERM mengisi elemen itu dengan siklus kerja: risk assessment, mitigasi, kontrol, monitoring, tindak lanjut.

d) Independensi
Independensi dalam GCG membutuhkan fungsi kontrol yang bisa memberi penilaian tanpa konflik kepentingan. Basel menekankan peran komite dewan dan fungsi kontrol, termasuk internal audit, dalam kerangka risk governance.
Di ERM, independensi muncul lewat pemisahan peran: lini bisnis sebagai pemilik risiko, fungsi risiko sebagai penjaga metodologi dan pemantauan, audit internal sebagai assurance.

e) Fairness
Fairness menuntut keputusan yang konsisten dan dapat dipertanggungjawabkan, terutama saat risiko menyentuh stakeholder. G20/OECD Principles menekankan peran dewan dalam menyeimbangkan kepentingan dan mencegah konflik kepentingan, sambil mengawasi sistem risiko dan kepatuhan.
ERM membantu fairness dengan kriteria penilaian risiko yang konsisten dan aturan eskalasi yang jelas, sehingga keputusan tidak bergantung pada kekuatan politik unit tertentu.

4) ERM menjadi “penghubung” strategi, peta risiko strategis, KPI/KRI, dan review kinerja

Hubungan ERM–GCG paling terlihat saat perusahaan mengikat pengawasan dewan ke eksekusi strategi.

Model yang bekerja:

  1. Sasaran strategis ditetapkan (pertumbuhan, margin, transformasi, efisiensi, layanan).
  2. Peta risiko strategis disusun, fokus pada risiko yang langsung mengganggu sasaran strategis.
  3. Risk appetite dan limit dipasang sebagai pagar strategi dan target. COSO menempatkan “define risk appetite” pada komponen Strategy & Objective-Setting.
  4. KPI dan KRI dipasangkan: KPI mengukur hasil; KRI memberi peringatan dini sebelum hasil rusak.
  5. Review kinerja berjalan dalam ritme tetap; forum ini memutuskan tindakan korektif, bukan hanya menilai pencapaian.

Di sini GCG mendapatkan substansi: dewan mengawasi strategi dan kinerja dengan alat risiko yang konkret.

5) Struktur organ: peran dewan, komite, direksi, fungsi risiko, audit internal

Kerangka governance yang rapi selalu menempatkan risiko dalam struktur dewan dan manajemen.

  • Dewan Komisaris/Dewan Pengawas memegang pengawasan tertinggi, termasuk risk oversight, dan memaksa disiplin eskalasi. Ini sejalan dengan COSO (board risk oversight) dan G20/OECD (board oversight atas sistem risiko).
  • Komite pemantau risiko/komite risiko memperdalam pembahasan limit, profil risiko, dan isu material sebelum naik ke dewan. Praktik ini juga diakui luas dalam kerangka governance perbankan (Basel) yang menonjolkan peran komite dewan.
  • Direksi memimpin implementasi: menetapkan kebijakan, limit, memastikan proses identifikasi sampai kontrol berjalan, dan memastikan budaya risiko menyebar. Ini konsisten dengan tuntutan pengawasan aktif dan tanggung jawab direksi pada pedoman OJK.
  • Fungsi manajemen risiko menjaga konsistensi metodologi, kualitas data KRI, konsolidasi portfolio view, serta memicu eskalasi saat threshold dilanggar.
  • Audit internal memberi assurance independen atas desain dan efektivitas kontrol dan proses risiko; Basel menempatkan internal audit sebagai bagian dari control functions yang memperkuat risk governance.

6) Kegagalan paling umum saat perusahaan mengaku “sudah GCG dan ERM”

Kegagalan yang paling sering muncul bukan karena kurang kebijakan, tetapi karena tidak ada mekanisme yang memaksa keputusan.

  1. Risk appetite jadi narasi: tidak ada batas numerik, tidak ada limit, tidak ada trigger eskalasi. COSO menempatkan risk appetite sebagai langkah formal dalam Strategy & Objective-Setting.
  2. Dashboard tanpa keputusan: KRI ada, rapat ada, tetapi tidak ada corrective action yang mengubah program, anggaran, kontrol, atau target.
  3. Tiga lini kabur: lini bisnis melempar risiko ke fungsi risiko; fungsi risiko berubah jadi operator; audit internal terseret eksekusi. Basel menekankan peran business units, risk management teams, dan internal audit dalam kerangka three lines of defence.
  4. Komite dewan hanya formalitas: komite tidak meminta bukti closure, tidak menuntut root cause, tidak menilai efektivitas mitigasi.

7) Rancangan implementasi ERM–GCG yang “siap audit, siap dewan”

Rancangan yang efektif selalu menghasilkan artefak yang bisa diuji:

  • Board risk policy + risk appetite yang terhubung ke strategi dan target (bukan dokumen terpisah).
  • Limit register yang jelas: limit finansial, operasional, kepatuhan, teknologi; setiap limit punya owner dan frekuensi pemantauan. Ini sejalan dengan pedoman OJK yang menuntut kebijakan, prosedur, dan penetapan limit dalam manajemen risiko terintegrasi.
  • KRI pack: definisi indikator, threshold, sumber data, aturan eskalasi, dan tindakan standar saat kuning/merah.
  • Portfolio view yang ringkas: top risks, tren, korelasi, konsentrasi eksposur; COSO menaruh portfolio view sebagai prinsip pada komponen Performance.
  • Minutes dan action tracking: keputusan, PIC, due date, bukti selesai; ini mengubah governance menjadi akuntabilitas yang bisa dilacak.

Kesimpulan

ERM dan GCG saling mengunci. GCG menuntut dewan mengawasi strategi, kinerja, kepatuhan, dan sistem manajemen risiko; ERM menyediakan alat agar pengawasan itu bekerja dalam bentuk risk appetite, limit, KRI, portfolio view, serta review kinerja yang menghasilkan keputusan korektif.

COSO menempatkan board risk oversight dan integrasi risiko dengan strategi-kinerja sebagai inti ERM. G20/OECD menegaskan dewan perlu mengawasi sistem manajemen risiko dan sistem kepatuhan.

Basel menekankan risk governance, komite dewan, fungsi kontrol, three lines of defence, dan risk culture sebagai penopang governance yang sehat. OJK menuntut pengawasan Direksi dan Dewan Komisaris serta kebijakan, limit, proses, sistem informasi, dan pengendalian internal dalam penerapan manajemen risiko terintegrasi.

GCG yang kuat tanpa ERM berubah jadi kepatuhan formal; ERM yang kuat tanpa GCG berubah jadi proyek staf. Sistem yang benar menggabungkan keduanya menjadi mesin keputusan.

About RWI
RWI Consulting adalah perusahaan konsultan manajemen risiko yang berdiri sejak tahun 2005. Selama belasan tahun ini, kami telah berkomitmen untuk memberikan layanan terbaik kepada ratusan klien dari berbagai sektor industri baik BUMN maupun swasta untuk memberikan solusi yang tepat dalam mengidentifikasi, mengelola, dan mengatasi risiko yang dihadapi perusahaan.
Services Client Story

Related posts

Memahami Proses Manajemen Risiko Menurut ISO 31000_2018_11zon_11zonMemahami Proses Manajemen Risiko Menurut ISO 31000:2018 business continuity management systemBagaimana Menetapkan Ruang Lingkup, Konteks, dan Kriteria Risiko? (Bagian 1) Layanan Manajemen RisikoLayanan Manajemen Risiko di RWI Consulting: Konsultasi & Sertifikasi
View All

Our Services

Enterprise Risk Management Implementation Business Continuity Management System Risk Maturity Index Assessment Risk Dashboard Risk Assessment & Profiling Risk Early Warning System Risk Awareness & Competency Building

Butuh Bantuan?

Hubungi konsultan profesional kami di:

+62 811 939 118

atau

[email protected]
Call Us
Popup Image
Top