ERM Bukan Sekadar Framework. Ini Sistem Kontrol terhadap Ketidakpastian yang Bisa Mengganggu Bisnis Anda.

Diposting oleh pada tanggal
ERM (Enterprise Risk Management)
ERM Bukan Sekedar Framework

Banyak perusahaan tumbang karena tidak mampu mengantisipasi risiko (ketidakpastian) yang mengganggu eksekusinya. Ketidakpastian datang dari mana saja bisa dari regulasi, operasional, fraud, hingga kegagalan sistem. Tanpa kendali yang terstruktur, keputusan bisnis berubah menjadi spekulasi. Di banyak oranisasi, risiko masih sering dipandang hanya sebagai formalitas. Mereka hanya mengisi risk register ketika akan dilakukan audit dan data risiko tersebar di excel atau email yang mengakibatkan monitoring dilakukan secara manual.



Ketika risiko tidak dikelola secara sistematis, dampaknya tidak langsung terlihat. Tapi akumulatif dan fatal :

  • Kebocoran keuangan karena kontrol lemah
  • Temuan audit yang berulang karena tidak ada perbaikan terstruktur
  • Keputusan strategis yang bias karena data risiko tidak lengkap
  • Reputasi tergerus akibat insiden yang sebenarnya bisa dicegah

Ini bukan sekedar masalah operasional tapi masalah arah bisnis. Masalah utama bukan pada kurangnya awareness, tapi pada tidak adanya sistem Enterprise Risk Management (ERM) yang terintegrasi. Akar masalahnya ada pada :

  • Pendekatan risiko masih terhambat pada komunikasi per departemen
  • Tidak ada standar metodologi yang konsisten
  • Tools tidak mendukung kolaborasi dan monitoring berkelanjutan
  • Risiko tidak dikaitkan dengan KPI dan objective perusahaan

Apa Itu ERM?

Enterprise risk management (ERM) adalah pendekatan terstruktur untuk mengidentifikasi, menganalisis, mengelola, dan memonitor risiko yang dapat mempengaruhi pencapaian tujuan organisasi. ERM bukan sekedar daftar risiko, tapi sistem pengambilan keputusan berbasis risiko.

Jenis-jenis Risiko ERM

ERM membagi risiko berdasarkan sumber ketidakpastian yang bisa mengganggu bisnis. Hal ini penting, karena setiap jenis risiko membutuhkan pendekatan mitigasi yang berbeda.

1. Strategic Risk

Strategic risk adalah risiko yang muncul dari keputusan arah bisnis.  Risiko ini bukan risiko operasional harian, tapi risiko level manajemen puncak yang menentukan masa depan perusahaan. Biasanya terkait ekspansi bisnis, peluncuran produk, akuisisi atau investasi besar, dan perubahan model bisnis. Contoh strategic risk ketika sebuah perusahaan melakukan ekspansi market baru tanpa riset, tetapi gagal menjual produk/layanan yang sudah ada di ke target pasar yang telah ditentukan.

Melalui kegagalan ekspansi market baru mengakibatkan penurunan valuasi perusahaan dan strategi jangka panjang gagal total. Strategic risk bertujuan untuk memastikan setiap keputusan besar mempertimbangkan risiko secara terukur dan menyediakan skenario risiko sebelum eksekusi. Hal ini untuk mengurangi bias keputusan berbasis intuisi semata. ERM memastikan strategi tidak hanya "ambisius", tapi juga "terkendali".

 2. Operational Risk

Operational risk adalah risiko yang berasal dari kegagalan proses internal, manusia, atau sistem operasional. Risiko ini paling sering terjadi dan plaing cepat berdampak langsung pada bisnis. Human error dalam input data keuangan, keterlambatan supply chain, dan SOP yang tidak dijalankan merupakan contoh operational risk. Apabila risiko ini terjadi dapat berdampak pada inefisiensi biaya, gangguan operasional, dan penurunan kualitas layanan.Risiko operasional kecil yang berulang sering lebih mahal daripada satu insiden besar.

Operational risk bertujuan menstradarisasi proses untuk mengurangi variabilitas, mengidentifikasi titik lemah dalam workflow, dan mencegah kerugian akibat kesalahan berulang. Intinya ERM membuat operasional lebih stabil, bukan bergantung pada "orang yang benar".

3. Financial Risk

Financial risk adalah risiko yang berdampak langsung pada kesehatan finansial perusahaan. Sub-kategori utama financial risk :

  • Liquidity risk : risiko ketika  perusahaan tidak mampu memenuhi kewajiban jangka pendek.
  • Credit risk : risiko ketika pihak yang berhutang kepada perusahaan tidak mampu atau tidak mau membayar kewajiban.
  • Market risk : risiko akibat perubahan variabel pasar yang mampu mempengaruhi nilai aset, kewajiban, atau pendapatan perusahaan. 

Apabila risk financial terjadi, dapat berdampak pada kerugian finansial secara langsung, gangguan operasional karena kekurangan dana, dan penurunan kepercayaan investor. Pada finansial risk, ERM memiliki tujuan untuk menjaga stabilitas keuangan perusahaan, menghindari kerugian besar yang tidak terprediksi, dan memberikan early warning terhadap masalah finansial. ERM memastikan perusahaan tidak "terlihat sehat di laporan, tapi rapuh di realita".

4. Compliance Risk

Compliance risk adalah risiko akibat tidak mematuhi regulasi, standar, atau kebijakan internal. Risiko ini sering dianggap "urusan legal", padahal dampaknya bisa sistemik. Contok compliance risk dengan tidak memenuhi standar pelaporan keuangan atau pelanggaran regulasi industri. Hal-hal diatas dapat mengakibatkan organisasi terkenda denda dan sanksi, reputasi rusak, hingga operasional bisa dihentikan. Compliance bukan sekedar menghindari denda, ini tentang menjaga legitimasi bisnis.

Tujuan ERM pada compliance risk untuk menghindari sanksi hukum dan denda, menjaga reputasi perusahaan, dan memastikan proses bisnis sesuai dengan regulasi. ERM melindungi perusahaan dari risiko "legal exposure" yang sering terlambat disadari. 

5. Technology Risk

Technology risk adalah risiko dari ketergantungan pada sistem dan teknologi. Di era digital, ini bukan lagi risiko tambahan tapi core risk. Contoh terjadi risiko technology risk yaitu sistem down saat operasional berjalan, serangan cyber (data breach), kehilangan data penting, dan integrasi sistem yang gagal. Apabila risiko ini terjadi dapat berdampak pada operasional yang berhenti, kehilangan data kritikal, dan kerugian finansial dan reputasi. 

Pada technology risk, ERM memiliki tujuan menjamin ketersediaan sistem (availability), melindungi data dan aset digital, dan memastikan continuity operasional. ERM memastikan teknologi menjadi enabler bisnis bukan sumber gangguan.

Tujuan ERM

ERM bukan sekedar "mengurangi risiko", tapi lebih strategis untuk :

  • Memberikan visibilitas penuh terhadap risiko utama
  • Menghubungkan risiko dengan tujuan bisnis
  • Mendukung pengambilan keputusan berbasis data
  • Mencegah kerugian sebelum terjadi
  • Meningkatkan ketahanan (resilience) organisasi

Singkatnya, ERM membuat risiko menjadi variabel yang bisa dikendalikan, bukan kejutan.

Di Mana ERM Gagal?

Mengapa banyak perusahaan gagal menerapkan ERM secara efektif?
  • Tidak ada sistem terintegrasi
  • Ketergantungan pada Excel dan manual tracking
  • Tidak ada standarisasi penilaian risiko
  • Kurangnya ownership lintas departemen
  • Data risiko tidak real-time
ERM gagal bukan karena konsepnya lemah, tapi karena implementasinya tidak didukung sistem.

Langkah Penerapan ERM :

1. Menetapkan Konteks dan Tujuan Risiko

Pada langkah ini, organisasi menentukan tujuan bisnis yang ingin dilindungi, menyelaraskan risk appetite dan risk tolerance, dan mendefinikan scope ERM (unit, proses, atau enterprise-wide)

Tanpa konteks, risiko hanya daftar masalah yang tidak ada relevansi ke strategi. Contohnya ketika perusahaan ingin melakukan ekspansi, ERM harus fokus pada risiko market entry, cash flow, dan operasional, bukan sekedar risiko umum. Output dari langkah ini menghasilkan risk appetite statement dan mapping antara tujuan bisnis dan area risiko.

2. Identifikasi Risiko

Langkah kedua mengidentifikasi semua potensi risiko dari seluruh unit mulai dari finance, operasional, IT, hingga legal dan compliance. Pada langkah ini menggunakan metode :

  • Workshop lintas divisi
  • Historical incident analysis
  • Process Mapping
Jika risiko tidak teridentifikasi, maka tidak akan pernah dikelola. Contoh risiko yang diidentifikasi risiko fraud pada proses approval pembayaran, risiko downtime pada sisem ERP, dan risiko keterlambatan vendor.

Dari langkah ini, dapat menghasilkan output risk register awal (daftar risiko yang terstruktur).

3. Penilaian Risiko (Risk Assessment)

Pada langkah ini, setiap risiko dinilai berdasarkan Likelihood (kemungkinan terjadi) dan Impact (dampak terhadap bisnis), biasanya menggunakan risk matrix. Tidak semua risiko penting, tapi tanpa penilaian, perusahaan menghabiskan resource untuk hal yang tidak prioritas. Contohnya terjadi risiko downtime sistem selama 1 jam dengan yang 24 jam memiliki impact berbeda. Atau risiko fraud kecil dengan fraud sistemik memiliki prioritas yang berbeda. 

Melalui risk assessment, menghasilkan skor risiko dan prioritas risiko (high, medium, hingga low).

4. Evaluasi dan Prioritaisasi Risiko

Pada langkah ini, risiko ditentukan mana yang harus ditangani, bisa diterima (risk acceptance), dan perlu mitigasi bertahap. Karena resource perubahan terbatas, ERM harus harus membantu fokus pada risiko yang paling kritikal. Contohnya risiko dengan dampak finansial besar menjadi prioritas utama sedangkan risiko dengan likelihood rendah bisa dimonitor saja. Jadi, pada langkah ini menghasilkan daftar risiko prioritas dan keputusan treatment awal.

5. Mitigasi Risiko (Risk Treatment)

Pada langkah menentukan strategi penangana risiko :

  • Avoid : menghindari aktivitas berisiko
  • Reduce : mengurangi dampak/kemungkinan
  • Transfer : memindahkan risiko (asuransi, outsourcing)
  • Accept : menerima risiko dengan kontrol minimal

Tanpa mitigasi, ERM hanya menjadi laporan bukan solusi. Contoh Asuransi untu risiko finansial tertentu. Dari langkah ini menghasilkan output aciton plan, penanggung jawab (risk owner), dan timeline mitigasi.

6. Impementasi dan Integrasi ke Operasional

Pada tahap ini, organisasi mulai menjalankan action plan, mengintegrasikan kontrol ke proses bisnis, dan menyelaraskan dengan SOP dan sistem. Banyak ERM yang gagal pada tahap ini, sudah memiliki rencana tapi tidak dijalankan. Contohnya kinerja seseorang tidak hanya dinilai dari target bisnis, tapi dari bagaimana dia mengendalikan risiko di area kerjanya. Pada tahap ini menghasilkan output kontrol yang berjalan secara nyata, bukan hanya dokumentasi.

7. Monitoring dan Review

Pada tahap ini, dilakukan pemantauan perubahan status risiko, mengukur efektivitas mitigasi, dan mengidentifikasi risiko baru. Risiko itu bersifat dinamis, yang dulu low risk bisa menjadi high risk dalam kondisi tertentu. Contohnya perubahan regulasi dapat meningkatkan compliance (kepatuhan). Tahap ini menghasilkan output update risk profile dan early warning signal.

8. Pelaporan dan Pengambilan Keputusan

Pada tahap ini, organisasi menyajikan laporan risiko ke manajemen dan menghubungkan risiko dengan keputusan strategis. Tanpa pelaporan yang tepat, ERM tidak akan digunakan oleh decision maker. Contohnya insight risiko sebagai dasar ekspansi atau investasi. Tahap ini menghasilkan output risk dashboard dan executive summary berbasis data.

Banyak perusahaan menjalankan semua langkah ini... tapi tetap gagal. Karena :

  • Proses yang dilakukan masih manual melalui Excel atau email
  • Tidak ada integrasi antar divisi
  • Data tidak real-time
  • Monitoring hanya ketika dilakukan audit.

Akibatnya ERM hanya menjadi ritual administratif, bukan sistem kontrol bisnis.

Tantangan ERM

Beberapa tantangan utama yang sering muncul :

1. Risiko Tersebar dan Tidak Terintegrasi

Masalahnya setiap divisi mengelola risiko sendiri dimana finance punya daftar risiko sendiri, IT juga punya daftar risiko sendiri, bahkan Operasional risiko juga mempunya daftar risiko sendiri. Tidak ada satu sistem yang menghubungkan semuanya.

Dampaknya risiko yang saling terkait tidak terlihat dan terjadi duplikasi risiko atau bahkan blind spot. Contohnya terjadi masalah IT (downtime) tidak pernah dikaitkan dengan kerugian finansial ataupun kegagalan operasional. Padahal dampaknya lintas fungsi.

2. Penilaian Risiko Tidak Konsisten

Setiap orang menilai risiko dengan cara berbeda, ada yang tidak menggunakan standar likelihood dan impact, dan penilaian yang subjektif. Dampaknya risiko yang sama bisa punya skor yang berbeda, prioritas menjadi bias, dan keputusan tidak berbasis data.  Satu tim bilang risiko "high", tim lain bilang "medium" untuk hal yang sama.

3. Tidak Ada Ownership yang Jelas

Apabila risiko tidak punya "pemilik" (risk owner) semua meras "ini tanggung jawab bersama". Yang artinya tidak ada yang benar-benar bertanggung jawab. Hal ini dapat mengakibatkan mitigasi tidak berjalan, tidak ada accountability, dan risiko dibiarkan tanpa tindak lanjut. 

4. Monitoring Tidak Berjalan (Hanya Formalitas)

Monitoring yang dilakukan secara periodik (bulanan/kuartalan) dan hanya untuk kebutuhan laporan akan menimbulkan dampak risiko yang berubah tapi tidak terdeteksi, tidak ada early warning, dan respon terhadap risiko selalu terlambat. Realitanya ERM aktif saat audit dan review manajemen, diluar itu, tidak ada monitoring berkelanjutan, tidak ada update risiko, dan tidak ada kontrol yang benar-benar dijalankan.

5. Tidak Terhubung ke Pengambilan Keputusan

Laporan yang dibuat tapi tidak digunakan oleh manajemen dan tidak masuk dalam strategi bisnis dapat mengakibakan ERM hanya dianggap administratif dan tidak memberi value nyata. Contohnya perusahaan tetap melakukan ekspansi meskipun risiko finansial tinggi dan risiko operasional belum siap, ERM yang sudah ada tapi tidak dipakai dalam implementasinya.

6. Budaya Organisasi yang Reaktif

Perusahaan terbiasa menangani masalah setelah terjadi bukan mencega risiko terjadi. Sikap ini mengakibatkan ERM dianggap tidak urgent dan preventive control terbuka. Latar belakang dari kesalahan ni karena adanya pola pikir yang sering muncul "Kalau belum terjadi, belum masalah". Padahal justru tanda risiko belum terlihat.

Tantangan ERM bukan karena kurangnya framework ataupun teori, tetapi karena "tidak ada sistem yang membuat ERM benar-benar berjalan.

MANRISK.ID Sebagai Solusi Manajemen Risiko

Di sinilah pendekatan berbasis sistem menjadi krusial. MANRISK.ID dirancang untuk mengubah ERM dari aktivitas dokumentasi menjadi sistem pengambilan keputusan. Bukan sekedar mencatat risiko, tapi mengelola risiko secara terstruktur, terukur, dan terhubung  lansun dengan bisnis. Jika risiko masih tersebar di Excel, berarti Anda belum mengelola riisko tapi Anda hanya mencatatnya. Saatnya beralih ke sistem yang benar-bekerja. Bangun ERM yang terintegrasi, terukur, dan siap digunakan untuk pengambilan keputusan bisnis. Mulai dengan MANRISK.ID dengan mengunjungi website kami.




Komentar

Posting Komentar