Risk Culture Governance untuk BUMN: Dari Program Tahunan sampai Bukti Kinerja

Risk Culture Governance untuk BUMN: Dari Program Tahunan sampai Bukti Kinerja
RB 6 Maret 2026
Rate this post

RWI Consulting – Risk culture governance adalah tata kelola yang memastikan budaya risiko tumbuh melalui peran yang jelas, program yang rutin, pengukuran yang konsisten, dan tindak lanjut yang nyata. Governance ini membuat budaya risiko tidak berhenti pada poster, slogan, atau sosialisasi sesekali.

Kerangka BUMN menempatkan budaya risiko sebagai bagian penting dari manajemen risiko. PER-2/MBU/03/2023 mendorong BUMN meningkatkan budaya risiko secara menyeluruh. SK-8/DKU.MBU/12/2023 memberi juknis penilaian kematangan risiko, termasuk bagian budaya risiko. Governance yang baik mengubah mandat regulasi itu menjadi perilaku kerja harian.

Apa yang membedakan budaya risiko “hidup” dan “sekadar program”

Budaya risiko hidup saat organisasi:

  • menyampaikan berita buruk tanpa takut,
  • menyeimbangkan target jangka pendek dan risiko jangka panjang,
  • membahas risiko sulit secara konstruktif,
  • mematuhi pedoman manajemen risiko secara disiplin,
  • merespons kejadian merugikan dengan cepat dan rapi.

Budaya risiko mati saat organisasi:

  • mengutamakan hubungan atau KPI walau red flag muncul,
  • menunda respons,
  • menjalankan proses tanpa challenge,
  • melaporkan risiko tanpa insight,
  • membiarkan isu berulang tanpa pembelajaran.

Governance yang tepat mendorong perilaku pertama dan memotong perilaku kedua.

Pilar Risk Culture Governance

Baca juga:

1) Mandat dan arah dari Direksi

Direksi memegang peran paling penting. Direksi perlu memimpin, bukan sekadar menyetujui. Selanjutnya, direksi bisa mengunci arah budaya risiko lewat tiga keputusan sederhana:

  • menetapkan filosofi dan pernyataan budaya risiko (risk-aware, bukan risk-blind),
  • menetapkan target program budaya risiko tahunan,
  • menuntut bukti hasil, bukan hanya aktivitas.

Dalam penilaian budaya risiko, peran aktif Direksi menjadi pembeda. Program budaya risiko tidak akan naik kelas jika Direksi tidak turun tangan.

2) Kepemilikan fungsi lini kedua yang jelas

Lini kedua (fungsi manajemen risiko dan kepatuhan) perlu memegang tanggung jawab formal untuk pengembangan budaya risiko. Governance yang kuat menulis tanggung jawab itu di uraian jabatan, bukan hanya di slide.

Model penilaian budaya risiko juga menilai hal ini secara eksplisit:

  • organisasi perlu menempatkan tanggung jawab program budaya risiko pada lini kedua,
  • organisasi perlu menegaskan peran lini kedua dalam job description,
  • organisasi perlu meminta pengawasan Direksi dan Dewan Komisaris/Dewas pada program tersebut.

Ini membuat budaya risiko menjadi pekerjaan manajemen, bukan pekerjaan “event organizer”.

3) Pengawasan dari Dewan Komisaris/Dewas

Dewan Komisaris/Dewas menguatkan budaya risiko lewat pengawasan dan pertanyaan yang tepat.

Governance yang efektif membuat Dekom:

  • meminta laporan evaluasi budaya risiko minimal setahun sekali,
  • meninjau area lemah dan rencana perbaikan,
  • menilai apakah Direksi memberi contoh yang konsisten,
  • memeriksa bukti perbaikan indikator (bukan hanya jumlah sosialisasi).

Dekom tidak perlu mengurus teknis survei. Dekom perlu menuntut akuntabilitas.

4) Peran lini pertama yang nyata

Lini pertama memegang kunci perilaku. Lini pertama menjalankan bisnis, jadi lini pertama juga memegang risiko.

Governance budaya risiko harus mengikat lini pertama lewat:

  • tanggung jawab pelaporan risiko dan insiden,
  • kewajiban menjalankan kontrol,
  • kewajiban memperbaiki akar masalah,
  • kewajiban ikut forum evaluasi dan pembelajaran.

Budaya risiko gagal saat lini pertama merasa budaya risiko milik lini kedua.

5) Assurance dari lini ketiga

Lini ketiga (audit internal) memperkuat governance lewat pengujian dan umpan balik.

Kemudian audit internal bisa:

  • menilai efektivitas program budaya risiko,
  • menguji konsistensi implementasi di unit kerja,
  • menguji evidence tindak lanjut,
  • menilai integrasi budaya risiko ke proses dan KPI.

Audit internal tidak menggantikan lini kedua. Audit internal menguji kualitas sistem yang lini kedua bangun.

Model tata kelola: Three Lines untuk budaya risiko

Risk culture governance yang kuat memakai logika three lines.

  • Lini pertama mengelola risiko di proses bisnis dan menunjukkan perilaku budaya risiko.
  • Lini kedua merancang program, mengukur kematangan, memantau indikator, dan mengawal tindak lanjut.
  • Lini ketiga menguji efektivitas dan memberi assurance.

Governance yang rapi juga mengatur alur pelaporan dalam satu entitas dan alur pelaporan lintas entitas untuk holding dan grup usaha.

Program budaya risiko: ritme, bukan acara

Governance budaya risiko perlu memaksa ritme minimum. Banyak organisasi menjalankan program sekali, lalu berhenti.

Model penilaian budaya risiko memberi sinyal yang jelas:

  • organisasi perlu menjalankan program penanaman budaya risiko dan program sadar risiko secara rutin minimal 1 kali per tahun,
  • organisasi perlu meningkatkan frekuensi jika organisasi mengejar level kematangan lebih tinggi,
  • organisasi perlu menjalankan evaluasi rutin minimal 1 kali per tahun dan mengumpulkan masukan untuk perbaikan program.

Governance perlu menetapkan tiga hal:

  • kalender program tahunan,
  • owner kegiatan per program,
  • cara organisasi mengukur hasilnya.

Struktur program yang mudah dijalankan

Paket program tahunan yang sederhana:

  • kick-off budaya risiko oleh Direksi,
  • refresh risk appetite dan pesan perilaku kunci,
  • kampanye speak-up dan pelaporan insiden,
  • forum pembelajaran insiden dan near-miss,
  • workshop challenge dan decision discipline untuk level manajerial,
  • evaluasi tahunan budaya risiko dan roadmap perbaikan.

Organisasi bisa menyesuaikan isi, tetapi governance harus menjaga ritme.

Pengukuran budaya risiko: indikator dan atribut

Governance memerlukan indikator. Tanpa indikator, organisasi akan membahas budaya risiko dengan “feeling”.

Kerangka pengukuran budaya risiko memakai 4 elemen, 10 sub-elemen, dan 40 atribut:

  • Transparency (level of insight, tolerance, communication)
  • Acknowledgement (confidence, openness, challenge)
  • Responsiveness (speed of response, level of care)
  • Respect (cooperation, adherence to rules)

Governance budaya risiko perlu menetapkan:

  • siapa yang mengukur,
  • kapan organisasi mengukur,
  • bagaimana organisasi memberi skor,
  • bagaimana organisasi menindaklanjuti skor.

Contoh metrik governance yang mudah diaudit

Metrik governance yang membantu manajemen:

  • frekuensi program budaya risiko per tahun,
  • cakupan peserta per lini (1st, 2nd, 3rd),
  • frekuensi evaluasi program,
  • tindak lanjut yang selesai tepat waktu,
  • evidence perbaikan indikator utama (misalnya penurunan kasus fraud atau pelanggaran kode etik),
  • tingkat pemakaian kanal whistleblowing dan kualitas tindak lanjutnya,
  • jumlah insiden dan near-miss yang dilaporkan, lalu pembelajaran yang tim jalankan.

Governance harus menilai output dan outcome, bukan hanya aktivitas.

Mekanisme asesmen: internal, independen, dan pengendalian kualitas

Governance budaya risiko perlu mengatur mekanisme asesmen yang jelas:

  • organisasi bisa memakai tim penilai internal,
  • organisasi bisa memakai tim penilai independen,
  • organisasi perlu mengatur proses bersama untuk mengolah informasi, menyajikan hasil, dan memeriksa kualitas pekerjaan,
  • manajemen perlu mempelajari hasil dan menyetujui tindak lanjut.

Model asesmen yang kuat juga membedakan:

  • asesmen internal oleh lini kedua secara periodik,
  • asesmen independen eksternal pada siklus yang lebih jarang,
  • audit formal atas implementasi oleh lini ketiga,
  • umpan balik dan perbaikan berkelanjutan oleh seluruh lini.

Governance harus menjaga independensi dan kualitas, bukan hanya mengumpulkan jawaban survei.

Roadmap budaya risiko: inti governance, bukan lampiran

Governance tidak berhenti pada laporan skor. Governance harus menghasilkan roadmap yang bisa dijalankan.

Roadmap budaya risiko perlu memuat:

  • gap utama per elemen (transparency, acknowledgement, responsiveness, respect),
  • program perbaikan per gap,
  • PIC dan target waktu,
  • skema monitoring dan evaluasi,
  • mekanisme pelaporan ke Direksi dan Dekom.

Roadmap yang baik juga memakai horizon multi-tahun, terutama untuk holding dan grup. Organisasi bisa membagi roadmap menjadi quick wins dan program struktural.

Quick wins yang paling sering memberi dampak

Quick wins yang sering memperbaiki budaya risiko:

  • Direksi membuka forum risiko yang membahas isu sulit secara konstruktif,
  • unit menjalankan forum insiden dan near-miss rutin,
  • lini kedua membuat dashboard monitoring budaya risiko dan indikator integritas,
  • organisasi menyederhanakan jalur eskalasi dan pelaporan risiko,
  • organisasi memberi penghargaan pada perilaku speak-up dan pengendalian risiko yang baik.

Bukti kinerja: governance butuh evidence

Governance budaya risiko membutuhkan bukti. Model penilaian juga menuntut bukti kinerja implementasi program.

Contoh evidence yang sering menjadi pembeda:

  • perbaikan indikator utama budaya risiko (misalnya fraud menurun, pelanggaran kode etik menurun, kerugian akibat pelanggaran menurun),
  • program budaya risiko selesai sesuai rencana,
  • dashboard memantau metrik budaya risiko,
  • intranet memuat kebijakan, program, dan informasi budaya risiko,
  • evaluasi tahunan menghasilkan perubahan desain program.

Governance tanpa evidence hanya menghasilkan klaim.

Kesalahan paling sering dalam risk culture governance

Kesalahan yang sering muncul:

  • organisasi menaruh tanggung jawab budaya risiko pada unit khusus tanpa dukungan lintas lini,
  • Direksi tidak memimpin program, lalu organisasi menjalankan program sebagai acara,
  • organisasi tidak menulis peran budaya risiko di job description,
  • organisasi mengukur budaya risiko, tetapi tidak menjalankan roadmap,
  • organisasi mengandalkan whistleblowing, tetapi organisasi tidak mendorong pemakaian kanal dan tidak menutup kasus dengan cepat,
  • organisasi tidak membangun monitoring feedback loop antara lini pertama dan lini kedua/ketiga.

Governance yang kuat memotong semua pola itu.

Kesimpulan

Risk culture governance membuat budaya risiko berjalan sebagai sistem, bukan kampanye. Governance yang kuat menempatkan Direksi sebagai pemimpin, lini kedua sebagai pemilik program dan pengukur, Dekom sebagai pengawas, lini pertama sebagai pelaku utama, dan audit internal sebagai assurance.

Governance yang baik juga menjalankan program rutin, mengukur budaya risiko lewat elemen dan atribut yang jelas, menuntut evidence kinerja, lalu mengeksekusi roadmap perbaikan secara konsisten.

Perusahaan sekarang perlu ERM karena risiko bisnis makin kompleks, regulasi makin ketat, dan kejadian risiko yang membuat perusahaan harus siap. ERM jadi wajib buat lindungi aset dan capai tujuan bisnis.

Download Booklet ERM PDF
About RWI
RWI Consulting adalah perusahaan konsultan manajemen risiko yang berdiri sejak tahun 2005. Selama belasan tahun ini, kami telah berkomitmen untuk memberikan layanan terbaik kepada ratusan klien dari berbagai sektor industri baik BUMN maupun swasta untuk memberikan solusi yang tepat dalam mengidentifikasi, mengelola, dan mengatasi risiko yang dihadapi perusahaan.
Services Client Story

Related posts

Memahami Proses Manajemen Risiko Menurut ISO 31000_2018_11zon_11zonMemahami Proses Manajemen Risiko Menurut ISO 31000:2018 business continuity management systemBagaimana Menetapkan Ruang Lingkup, Konteks, dan Kriteria Risiko? (Bagian 1) ERM dan GCG: Risk Governance, Dewan, KPI-KRI
View All

Our Services

Enterprise Risk Management Implementation Business Continuity Management System Risk Maturity Index Assessment Risk Dashboard Risk Assessment & Profiling Risk Early Warning System Risk Awareness & Competency Building

Butuh Bantuan?

Hubungi konsultan profesional kami di:

+62 811 939 118

atau

[email protected]
Call Us
Popup Image
Top