Framework Tata Kelola Model Risiko di Perusahaan

RB 26 Februari 2026

RWI Consulting – Tata kelola model risiko adalah kerangka yang memastikan model di perusahaan tidak dipakai seperti “kotak hitam”. Model (Risk Modelling) harus punya pemilik yang jelas, dibangun dengan standar yang konsisten, diuji secara independen, dipantau kinerjanya, dan diputuskan penggunaannya lewat forum yang tepat.

Untuk BUMN dan grup usaha, ini makin penting. Alasannya sederhana: model sering dipakai lintas entitas, memengaruhi keputusan besar, dan bisa menimbulkan risiko konsolidasi jika standar antar anak usaha berbeda.

Framework Tata Kelola Model Risiko di Perusahaan

Kenapa tata kelola model risiko perlu dibangun

Banyak perusahaan sudah memakai model, tetapi tidak selalu menyadarinya. Model bisa muncul dalam bentuk:

• scoring kredit atau vendor
• proyeksi cash flow
• forecasting permintaan
• perhitungan limit
• stress testing
• model valuasi
• model fraud detection
• model pricing
• model early warning risk

Masalah muncul saat model dipakai untuk keputusan, tetapi:

• tidak ada owner yang bertanggung jawab
• logika model hanya dipahami satu orang
• perubahan asumsi tidak tercatat
• tidak ada validasi independen
• pengguna menerima output tanpa uji kewajaran
• model dipakai di anak usaha lain tanpa penyesuaian konteks

Di titik itu, risikonya bukan cuma salah hitung. Risikonya adalah salah keputusan bisnis, salah limit, salah pricing, salah alokasi modal, dan salah respons risiko.

Tujuan framework governance model

Framework tata kelola model risiko harus mencapai lima tujuan utama:

1. Kejelasan tanggung jawab
   Siapa membangun, siapa memiliki, siapa memvalidasi, siapa memakai, dan siapa menyetujui.
2. Kualitas model
   Asumsi, data, dan output model bisa diuji dan dijelaskan.
3. Independensi pengujian
   Ada validator yang tidak merangkap sebagai pembuat model.
4. Kontrol perubahan
   Perubahan model tidak terjadi diam-diam.
5. Akuntabilitas keputusan
   Manajemen tahu model mana yang dipakai untuk keputusan material.

Untuk BUMN dan grup usaha, tambahkan satu tujuan lagi: konsistensi antar entitas, tanpa mematikan fleksibilitas unit bisnis.

Struktur peran inti dalam tata kelola model risiko

Ini fondasi paling penting. Framework yang sehat biasanya memisahkan lima peran berikut.

1) Model Owner (Pemilik Model)

Model owner adalah pihak yang bertanggung jawab secara bisnis atas model. Biasanya berasal dari fungsi yang memakai model untuk keputusan, bukan selalu tim teknis.

Contoh:

• Treasury untuk model proyeksi likuiditas
• Risk Management untuk model stress testing
• Finance/FP&A untuk model forecast keuangan
• Kredit untuk model scoring

Tugas model owner:

• menetapkan tujuan model (dipakai untuk keputusan apa)
• menyetujui asumsi bisnis utama
• memastikan model relevan dengan proses bisnis
• memastikan dokumentasi, validasi, dan monitoring berjalan
• mengusulkan perubahan saat kondisi bisnis berubah
• menghentikan penggunaan model jika model sudah tidak layak

Kesalahan paling sering: model owner dianggap “orang Excel”. Padahal owner adalah penanggung jawab bisnis.

2) Model Developer (Pengembang Model)

Developer adalah pihak yang merancang, membangun, dan memperbarui model.

Bisa berasal dari:

• tim risk analytics
• finance analyst / FP&A
• data science / BI
• konsultan eksternal (sementara)
• vendor sistem

Tugas developer:

• membangun logika model dan formula
• mendefinisikan kebutuhan data
• mendokumentasikan metode, asumsi, dan keterbatasan
• melakukan testing awal (logic check)
• menyiapkan versioning dan change log
• membantu user memahami cara pakai model

Developer tidak boleh menjadi satu-satunya pihak yang menyatakan model “valid”.

3) Model Validator (Validator Independen)

Validator adalah pihak yang menguji model secara independen sebelum dan selama model digunakan.

Tanpa validator, perusahaan hanya punya self-review.

Tugas validator:

• menguji kecocokan model dengan tujuan penggunaannya
• menguji kualitas data dan sensitivitas asumsi
• menguji stabilitas output
• menguji backtesting/benchmarking (jika relevan)
• menilai keterbatasan model dan risiko penggunaannya
• memberi rekomendasi: approve, approve dengan syarat, atau reject

Validator tidak harus membangun ulang model dari nol. Yang penting: independen, kompeten, dan mampu menyampaikan kelemahan model secara tegas.

4) Model User (Pengguna Model)

User adalah pihak yang memakai output model untuk operasional atau keputusan manajerial.

Contoh:

• tim bisnis yang memakai forecast
• treasury yang memakai proyeksi kas
• komite risiko yang membaca hasil stress test
• approver kredit yang memakai score

Tugas user:

• memakai model sesuai tujuan dan batas penggunaan
• memahami input minimum dan arti output
• tidak mengubah formula tanpa proses resmi
• melaporkan anomali output
• mencatat override (jika keputusan berbeda dari output model)

User tidak wajib paham detail teknis model. Tapi user wajib paham kapan output masuk akal dan kapan harus curiga.

5) Komite Model (Model Committee)

Komite model adalah forum untuk pengambilan keputusan atas model-model material. Di sebagian perusahaan, forum ini berdiri sendiri. Di perusahaan lain, fungsinya bisa melekat pada Komite Manajemen Risiko atau forum sejenis.

Tugas komite model:

• menetapkan klasifikasi materialitas model
• menyetujui model baru sebelum go-live
• menyetujui perubahan besar model
• meninjau hasil validasi dan temuan
• memutuskan tindakan untuk model bermasalah
• memantau inventory model dan status kesehatan model

Komite model mencegah model material dipakai hanya karena “sudah terlanjur jalan”.

Framework governance model yang praktis

Struktur peran saja belum cukup. Framework perlu mengatur siklus hidup model dari awal sampai pensiun.

1) Inventarisasi model (Model Inventory)

Perusahaan perlu daftar model terpusat. Minimal berisi:

• nama model
• tujuan penggunaan
• owner
• developer
• validator
• user utama
• entitas pengguna (holding/anak usaha)
• status (draft/aktif/ditangguhkan/pensiun)
• tanggal validasi terakhir
• tingkat materialitas (tinggi/sedang/rendah)

Untuk grup usaha, inventory harus bisa dibaca di level holding:

• model yang dipakai bersama (group model)
• model lokal anak usaha
• model vendor pihak ketiga

Tanpa inventory, manajemen tidak tahu berapa banyak “mesin keputusan” yang sedang berjalan.

2) Klasifikasi materialitas model

Tidak semua model perlu tata kelola setebal model yang berdampak ke modal atau likuiditas. Klasifikasi materialitas membuat kontrol menjadi proporsional.

Contoh klasifikasi:

• Material tinggi
  Mempengaruhi limit, modal, likuiditas, pricing, provisioning, keputusan investasi besar, atau pelaporan ke Direksi/Komisaris.
• Material sedang
  Mendukung keputusan operasional/manajerial dengan dampak moderat.
• Material rendah
  Alat bantu analisis internal dengan dampak terbatas.

Semakin material model, semakin ketat kontrolnya:

• frekuensi validasi
• kebutuhan dokumentasi
• level persetujuan komite
• kontrol perubahan

3) Standar dokumentasi model

Setiap model material perlu dokumen minimum. Tidak perlu tebal, tetapi harus cukup untuk audit, review, dan handover.

Isi minimal dokumentasi:

• tujuan model
• definisi input-output
• logika/metode singkat
• asumsi utama
• sumber data
• batas penggunaan (use limitation)
• hasil uji/validasi
• owner dan versi
• prosedur update
• change log

Untuk BUMN, ini sangat penting karena rotasi SDM bisa tinggi. Model yang hanya hidup di kepala developer akan berhenti begitu orangnya pindah.

4) Proses pengembangan dan persetujuan

Alur sederhana yang sehat:

1. kebutuhan bisnis ditetapkan owner
2. developer membangun model
3. developer melakukan testing awal
4. validator melakukan review independen
5. temuan diperbaiki
6. komite model menyetujui penggunaan
7. user training dan go-live

Tanpa alur ini, model sering langsung dipakai karena kebutuhan mendesak, lalu masalahnya baru terlihat belakangan.

5) Validasi dan re-validasi berkala

Validasi bukan acara sekali saat model dibuat. Model bisa menurun kualitasnya karena:

• pola bisnis berubah
• sumber data berubah
• perilaku pelanggan berubah
• kebijakan perusahaan berubah
• kondisi ekonomi berubah

Karena itu perlu beberapa lapis kontrol:

• validasi awal (sebelum implementasi)
• monitoring performa berkala
• re-validasi periodik
• re-validasi ad hoc jika ada perubahan besar

Contoh trigger re-validasi:

• deviasi hasil model vs realisasi melebar
• perubahan asumsi utama
• merger/akuisisi
• ekspansi ke segmen baru
• perubahan regulasi
• insiden salah keputusan akibat model

6) Change Management (Kontrol Perubahan)

Banyak model rusak bukan karena desain awal, tetapi karena perubahan kecil yang tidak tercatat.

Framework harus mengatur:

• siapa yang boleh mengubah model
• perubahan apa yang tergolong minor vs major
• kebutuhan testing ulang
• kebutuhan validasi ulang
• level persetujuan
• pencatatan versi dan tanggal efektif

Untuk grup usaha, change management harus membedakan:

• perubahan model grup (berdampak ke banyak entitas)
• penyesuaian lokal entitas (local calibration)

Holding perlu tahu jika anak usaha mengubah model grup sampai hasilnya tidak lagi sebanding.

Framework khusus untuk BUMN dan grup usaha

Baca juga:

• Internal Control Testing
• Kerangka Kerja Manajemen Risiko dalam Konteks ISO
• Sinkronisasi Risk Register dengan Business Continuity Plan
• Bagaimana Strategi Komunikasi dan Konsultasi Risiko dengan Stakeholders Eksternal?

BUMN dan grup usaha punya kompleksitas tambahan: struktur holding, banyak anak usaha, tingkat kematangan berbeda-beda, dan kebutuhan pelaporan ke pemegang saham serta komisaris.

1) Gunakan governance dua tingkat (Group + Entity)

Struktur paling praktis biasanya dua lapis.

Level Holding/Grup

• menetapkan kebijakan tata kelola model
• menetapkan standar minimum dokumentasi dan validasi
• mengelola inventory model grup
• mengawasi model material lintas entitas
• menjadi forum eskalasi (komite model grup)

Level Entitas/Anak Usaha

• mengelola implementasi model dalam proses bisnis lokal
• menyesuaikan parameter dengan konteks entitas (jika diizinkan)
• menjalankan monitoring dan pelaporan performa model
• mengusulkan perubahan/kalibrasi ke holding (untuk model grup)

Struktur ini menjaga keseimbangan: tidak terlalu sentralistik, tetapi juga tidak liar.

2) Bedakan model grup dan model lokal

Banyak masalah terjadi karena perusahaan tidak tegas membedakan mana model standar grup dan mana model lokal.

Klasifikasi yang disarankan:

• Model grup wajib
  Metode dan governance dikendalikan holding.
• Model lokal terkendali
  Entitas boleh kalibrasi dalam koridor tertentu.
• Model lokal bebas
  Untuk kebutuhan internal non-material.

Dengan klasifikasi ini, hasil antar entitas lebih mudah dibandingkan dan dikonsolidasikan.

3) Jaga independensi validator

Di grup usaha, SDM terbatas sering membuat developer dan validator menjadi orang yang sama. Ini risiko besar.

Solusi bertahap:

• validator di holding untuk model material anak usaha
• cross-validation antar entitas (dengan aturan independensi)
• external validator untuk model material tinggi
• internal audit sebagai lapisan assurance, bukan pengganti validator teknis

4) Naikkan isu model ke forum risiko, bukan hanya forum teknis

Untuk BUMN, model material sering berdampak pada:

• risk appetite
• limit
• proyeksi keuangan
• rencana pendanaan
• keputusan Direksi

Karena itu, status model (valid/tidak valid, temuan besar, override berulang) harus masuk ke forum manajemen risiko dan dibaca dalam bahasa bisnis, bukan bahasa teknis saja.

RACI sederhana yang bisa langsung dipakai

Versi ringkas dan praktis:

• Model Owner: accountable atas tujuan, penggunaan, dan relevansi model
• Model Developer: responsible membangun dan memelihara model
• Model Validator: responsible menilai independen dan memberi rekomendasi kelayakan
• Model User: responsible memakai model sesuai aturan dan melaporkan anomali/override
• Komite Model / Komite Risiko: accountable atas approval model material, perubahan besar, dan keputusan atas temuan

Kalau satu orang memegang tiga peran sekaligus, itu bukan framework. Itu sumber masalah yang tinggal menunggu waktu.

Tanda framework tata kelola model sudah berjalan

Perusahaan bisa menilai kematangan governance model dari indikator sederhana berikut:

• daftar model material tersedia dan diperbarui
• setiap model material punya owner jelas
• validasi independen dilakukan dan terdokumentasi
• ada change log dan version control
• ada jadwal review performa model
• ada forum komite untuk model material
• override user dicatat dan dianalisis
• manajemen memahami output model dan keterbatasannya
• model lama dipensiunkan secara resmi (tidak diam-diam masih dipakai)

Kesalahan yang paling sering terjadi

1) Model dianggap file, bukan aset keputusan

Padahal model memengaruhi uang, risiko, dan reputasi.

2) Developer merangkap owner dan validator

Ini terlihat cepat di awal, tetapi mahal saat muncul kesalahan.

3) Tidak ada batas penggunaan model

Model dipakai untuk keputusan yang tidak dirancang sejak awal.

4) Tidak ada governance lintas entitas

Hasil antar anak usaha menjadi tidak comparable.

5) Komite hanya melihat output, bukan kesehatan model

Angka terlihat rapi, tetapi mesin di belakangnya rusak.

Kesimpulan

Tata kelola model risiko adalah sistem pengendalian atas “mesin keputusan” perusahaan. Tujuannya bukan memperlambat kerja, tetapi memastikan model tetap relevan, andal, dan bisa dipertanggungjawabkan.

Framework yang sehat selalu memisahkan peran model owner, developer, validator, user, dan komite model. Lalu semuanya diikat oleh model inventory, klasifikasi materialitas, validasi independen, kontrol perubahan, dan monitoring berkala.

Untuk BUMN dan grup usaha, kunci tambahannya adalah governance dua tingkat (holding dan entitas), kejelasan model grup vs model lokal, serta jalur eskalasi ke komite manajemen risiko agar model tidak berhenti sebagai alat teknis, tetapi benar-benar menjadi bagian dari tata kelola korporat.