Enterprise Risk Management (ERM) di Perguruan Tinggi dan Sektor Publik

Enterprise Risk Management (ERM) di Perguruan Tinggi dan Sektor Publik
RB 27 Januari 2026
Rate this post

RWI Consulting – ERM di perguruan tinggi dan sektor publik berfungsi sebagai sistem tata kelola yang memaksa organisasi mengelola ketidakpastian secara disiplin agar misi tetap jalan: pendidikan–riset–pengabdian untuk kampus, serta layanan publik–program–kebijakan untuk instansi pemerintah.

ERM yang efektif tidak berhenti pada “risk register”; ERM mengikat strategi, target kinerja, risk appetite, kontrol, indikator peringatan dini, dan forum eskalasi sehingga pimpinan bisa membuktikan pengawasan dan akuntabilitas, bukan sekadar menyatakan niat.

Praktik ini sejalan dengan penekanan COSO bahwa ERM bekerja lintas organisasi, menempel pada penetapan strategi, dan menjaga risiko tetap berada dalam risk appetite demi pencapaian tujuan.

Enterprise Risk Management (ERM) di Perguruan Tinggi dan Sektor Publik

Enterprise Risk Management Implementation

1) Mengapa ERM di kampus dan sektor publik berbeda dari korporasi

Perbedaan utamanya bukan pada teknik, melainkan pada konteks akuntabilitas.

  1. Tujuan organisasi berbasis “public value”
    Kampus mengejar mutu akademik, keselamatan sivitas, reputasi ilmiah, akreditasi, keberlanjutan riset, dan akses pendidikan. Instansi publik mengejar hasil layanan dan kebijakan yang berdampak, sering dengan trade-off yang politis dan wajib transparan.
  2. Batasan keputusan lebih ketat
    Sektor publik membawa mandat hukum, pengawasan parlemen/audit, dan standar integritas. Australia, misalnya, mewajibkan otoritas entitas (accountable authority) untuk memiliki sistem risk oversight, manajemen risiko, dan internal control; kebijakan risikonya mengharuskan embedding ke aktivitas keputusan serta kerangka kerja formal yang mencakup risk appetite statement.
  3. Risiko reputasi punya “biaya sosial”
    Di kampus, isu etika riset atau keselamatan mahasiswa merusak kepercayaan publik dan kemampuan menarik mahasiswa/dana riset. Di instansi publik, kegagalan program merusak legitimasi layanan dan kepercayaan.

Kesimpulannya: ERM di dua sektor ini harus memprioritaskan governance, kontrol, dan pelaporan yang bisa diuji.

2) Kerangka rujukan yang paling relevan untuk dua sektor ini

Beberapa rujukan otoritatif memberi pola yang konsisten: integrasi, akuntabilitas, risk appetite, kontrol, dan review.

2.1 Perguruan tinggi: COSO sebagai bahasa kerja yang umum

University of California (UC) memakai definisi COSO: ERM sebagai proses yang dijalankan oleh board, manajemen, dan personel; diterapkan pada penetapan strategi dan lintas organisasi; untuk mengidentifikasi peristiwa potensial dan mengelola risiko agar tetap dalam risk appetite demi pencapaian tujuan.

UC juga menegaskan relevansi ERM untuk kampus karena universitas beroperasi dalam lingkungan yang sarat risiko (finansial, operasional, strategis, regulasi, reputasi, politik, lingkungan).

2.2 Sektor publik: kewajiban “embedded risk management”

  • UK – Orange Book (HM Treasury) menegaskan risk management harus menjadi bagian integral dari planning dan decision-making, bukan proses tambahan. Dokumen ini juga menuntut board menentukan risk appetite dan memastikan keputusan serta pelaporan mendukung keputusan dalam batas appetite, termasuk penggunaan indikator kinerja/risiko dan dashboard yang informatif.
  • Australia – Commonwealth Risk Management Policy mengharuskan embedding risk management ke aktivitas keputusan, mewajibkan entitas memformalkan risk management framework, dan menyebut framework sebaiknya memuat risk appetite statement serta risk tolerance untuk mengoperasionalkannya. Kebijakan ini juga menuntut review efektivitas kontrol dan pengaturan untuk emerging risks.
  • AS (federal) – OMB Circular A-123 (implementasi praktis lewat guidance instansi) Department of Energy menyatakan panduan ERM mereka ada untuk memenuhi kewajiban OMB A-123 terkait ERM dan internal control. Ini menunjukkan pendekatan publik AS menautkan ERM dengan internal control dan fraud risk framework.

3) Desain tata kelola ERM yang masuk akal untuk kampus

ERM kampus sering gagal karena kampus memandang risiko sebagai urusan unit “compliance” atau “audit”. ERM yang bekerja menempatkan risiko sebagai alat manajemen.

3.1 Struktur minimum yang biasanya dibutuhkan

  1. Governing board / board of trustees / senate
    Board menetapkan risk appetite tingkat institusi, meminta peta risiko strategis, dan menuntut bukti tindak lanjut. Orange Book menekankan board memimpin penilaian peluang dan risiko, menentukan risk appetite, dan memastikan keputusan mencerminkan penilaian itu.
  2. Audit and Risk Committee
    Komite ini menjaga kedalaman pembahasan dan menekan “optimism bias” dalam proposal program/kapital.
  3. Risk Council lintas fungsi
    UC OPM (praktik federal AS) mencontohkan Risk Management Council untuk membantu pimpinan memenuhi A-123 dengan fokus enterprise-level. Konsep council ini relevan untuk kampus: forum lintas unit memecah silo dan memaksa portfolio view.
  4. Risk function kecil tapi kuat
    Fungsinya menjaga metodologi, konsolidasi portofolio, dan kualitas pelaporan; bukan mengambil alih kepemilikan risiko.

3.2 Cara mengikat ERM ke strategi kampus

Kampus harus menempelkan ERM ke tiga mesin eksekusi:

  • rencana strategis dan OKR institusi
  • perencanaan akademik dan akreditasi
  • anggaran tahunan, belanja modal, dan program transformasi

Riset di higher education menunjukkan integrasi kerangka seperti ISO 31000 dan COSO-ERM dipakai untuk mengidentifikasi risiko serta menyusun usulan mitigasi agar unit pendidikan tinggi memenuhi target KPI dan tuntutan akreditasi.

4) Peta risiko khas perguruan tinggi dan cara mengendalikannya

ERM kampus seharusnya memprioritaskan risiko yang mengganggu misi.

4.1 Kategori risiko yang sering muncul

  • Academic quality & accreditation risk: mutu kurikulum, ketidaksesuaian standar, beban dosen, kualitas evaluasi.
  • Student lifecycle risk: penurunan enrollment, retensi, dropout, student well-being, kekerasan/perundungan.
  • Research & ethics risk: pelanggaran etik, data fabrication, konflik kepentingan, IRB/etik.
  • Cyber & data risk: kebocoran data mahasiswa/dosen, ransomware, gangguan LMS.
  • Campus safety & facilities risk: K3, bencana, keamanan gedung, crowd management.
  • Financial sustainability: ketergantungan tuition/dana pemerintah, volatilitas hibah, mismatch cashflow.

UC menekankan universitas menghadapi portofolio risiko yang luas (finansial, operasional, strategis, regulasi, reputasi, politik, lingkungan) sehingga ERM membantu menjaga misi pengajaran–riset–layanan publik.

4.2 Alat eksekusi yang harus tampak di dokumen kerja

  • Risk appetite institusi (misal: toleransi terhadap volatilitas pendanaan, toleransi insiden keselamatan, toleransi pelanggaran kepatuhan).
  • KRI yang mengarah ke tindakan: misal, tren dropout, SLA insiden siber, temuan audit penelitian, near-miss keselamatan, complaint rate.
  • Control library dan owner: siapa pemilik kontrol, bagaimana uji efektivitas, dan kapan review.
    Australia menuntut review berkala efektivitas kontrol dan penugasan owner kontrol; itu sangat kompatibel dengan kebutuhan kampus untuk memastikan kontrol tidak menjadi “kertas”.

5) Desain ERM sektor publik: dari program sampai integritas

Sektor publik membutuhkan ERM yang mengunci tiga hal: delivery, integritas, dan akuntabilitas.

5.1 Prinsip yang konsisten lintas negara

  • Integrasi ke keputusan dan perencanaan
    Orange Book menegaskan integrasi ke strategi, rencana, alokasi sumber daya, operasi, dan performance management; bukan proses tambahan.
    Australia juga mensyaratkan embedding ke aktivitas keputusan termasuk strategic planning, program/policy design, dan governance arrangements.
  • Risk appetite dan risk tolerance
    Australia secara eksplisit menyebut risk management framework harus memuat risk appetite statement dan risk tolerance untuk mengoperasionalkannya.
    Orange Book menempatkan appetite sebagai keputusan strategis board dan meminta pelaporan membantu board menilai keputusan tetap dalam appetite.
  • Emerging risks dan shared risks
    Australia menuntut pengaturan untuk identifikasi, pengelolaan, dan eskalasi emerging risks serta kolaborasi untuk shared risks. Ini cocok untuk sektor publik yang sering punya risiko lintas instansi.

5.2 Risiko khas sektor publik

  • Program delivery risk: keterlambatan implementasi, kegagalan vendor, kualitas layanan turun.
  • Regulatory/policy risk: kebijakan gagal eksekusi, desain insentif buruk, dampak tak diinginkan.
  • Procurement & contract risk: konflik kepentingan, spesifikasi tidak tepat, klaim, cost overrun.
  • Integrity/fraud/corruption risk: penyalahgunaan anggaran, fraud, collusion.
  • Data/privacy risk: kebocoran data warga, penggunaan data yang melanggar.
  • Reputation & trust risk: kegagalan layanan publik cepat menjadi krisis kepercayaan.

5.3 Menggabungkan ERM dengan fraud risk management

Banyak instansi publik tidak bisa memisahkan ERM dari fraud. GAO merilis Fraud Risk Framework (2015) sebagai praktik unggulan untuk mencegah, mendeteksi, dan merespons fraud, dengan penekanan pada prevention serta monitoring dan feedback yang berkelanjutan.
DOE menyebut guidance ERM mereka memasukkan internal controls dan fraud risk framework untuk memenuhi A-123 dan rujukan GAO.

Implikasi praktis untuk sektor publik:

  • letakkan fraud sebagai risiko material di portofolio ERM,
  • pasang KRI fraud (anomali transaksi, vendor concentration, override kontrol),
  • jalankan review efektivitas kontrol dan perbaikan proses, bukan hanya penindakan.

6) Artefak ERM yang harus terlihat agar dewan/pimpinan bisa mengawasi

Format dokumen dan ritme rapat menentukan apakah ERM hidup.

6.1 Paket artefak minimum (kampus maupun instansi)

  1. Risk appetite statement + risk tolerance
  2. Top strategic risks (10–15) + portfolio view
  3. KRI/KPI dashboard + threshold + eskalasi
  4. Control effectiveness review (uji, hasil, perbaikan)
  5. Action tracker (PIC, due date, bukti closure)

Orange Book bahkan menyebut dashboard harus membandingkan hasil terhadap KPI/KRI, menunjukkan apakah tetap dalam appetite, menilai efektivitas aksi manajemen, dan merangkum assurance.
Australia mewajibkan review efektivitas kontrol dan penunjukan owner kontrol yang melaporkan implementasi, pengujian, serta efektivitas kontrol.

7) Kesalahan desain yang paling sering terjadi

  1. ERM terpisah dari perencanaan dan anggaran
    ERM lalu tidak memengaruhi prioritas program. Orange Book dan kebijakan Australia sama-sama menuntut integrasi ke planning dan decision-making.
  2. Risk appetite menjadi slogan
    Padahal kerangka sektor publik justru meminta appetite dan toleransi menjadi dasar keputusan.
  3. Pelaporan tidak memicu tindakan
    Dashboard tanpa eskalasi hanya memberi rasa aman palsu. Orange Book menuntut laporan membantu board memutuskan perubahan strategi, reprioritisasi sumber daya, perbaikan kontrol, atau perubahan appetite.
  4. Kontrol tidak diuji efektivitasnya
    Australia memformalkan tuntutan review efektivitas kontrol; ini mengunci kualitas, bukan kosmetik.

Kesimpulan

ERM di perguruan tinggi dan sektor publik harus berfungsi sebagai mesin tata kelola dan eksekusi: mengikat strategi dan target ke risk appetite, mengubah risiko menjadi KRI/KPI yang memicu tindakan, memastikan kontrol punya owner dan diuji efektivitasnya, lalu menjalankan forum eskalasi yang benar-benar mengubah keputusan.

Praktik kebijakan sektor publik seperti UK Orange Book dan Commonwealth Risk Management Policy Australia menuntut integrasi ERM ke planning dan decision-making, penetapan risk appetite, pelaporan yang mendukung pengawasan board, serta review efektivitas kontrol dan penanganan emerging/shared risks.

Di lingkungan kampus, rujukan COSO membantu kampus mengelola portofolio risiko yang luas agar misi pengajaran–riset–layanan publik tetap aman dan berkelanjutan.

About RWI
RWI Consulting adalah perusahaan konsultan manajemen risiko yang berdiri sejak tahun 2005. Selama belasan tahun ini, kami telah berkomitmen untuk memberikan layanan terbaik kepada ratusan klien dari berbagai sektor industri baik BUMN maupun swasta untuk memberikan solusi yang tepat dalam mengidentifikasi, mengelola, dan mengatasi risiko yang dihadapi perusahaan.
Services Client Story

Related posts

Mengenal Aspek ESG dalam BUMNMengenal Aspek ESG dalam BUMN: Dampak, Tantangan, dan Implementasi  Pelatihan BCMS & Internal ControPelatihan BCMS & Internal Control: Cara Praktis Membangun Ketangguhan dan Kepastian Laporan Risk Based Corporate Planning untuk RJPPRJPP Selaras PER-2/MBU/03/2023 Berbasis Risiko
View All

Our Services

Enterprise Risk Management Implementation Business Continuity Management System Risk Maturity Index Assessment Risk Dashboard Risk Assessment & Profiling Risk Early Warning System Risk Awareness & Competency Building

Butuh Bantuan?

Hubungi konsultan profesional kami di:

+62 811 939 118

atau

[email protected]
Call Us
Popup Image
Top