(SK-8) UND-55 DKU MBU 12 2023 Tentang Penyampaian Salinan Dan Undangan Sosialisasi Juknis RMI BUMN-1

Nomor : UND-55/DKU.
MBU/12/2023 Jakarta, 17 Desember 2023

Sifat : Biasa
Lampiran : 3 (tiga) berkas
Hal : Penyampaian Salinan dan Undangan Sosialisasi Juknis Penilaian Indeks
Kematangan Risiko (Risk Maturity Index) di Lingkungan Badan Usaha Milik
Negara
Yth. Daftar Terlampir
Sehubungan dengan upaya untuk meningkatkan kualitas penerapan manajemen risiko dan
kepatuhan di lingkungan BUMN, dengan ini dapat kami sampaikan hal-hal sebagai berikut:
1. Menindaklanjuti ketentuan Pasal 74 Peraturan Menteri BUMN Nomor PER-2/MBU/03/2023
tentang Pedoman Tata Kelola dan Kegiatan Korporasi Signifikan Badan Usaha Milik
Negara, telah diterbitkan Petunjuk Teknis oleh Deputi Bidang Keuangan dan Manajemen
Risiko Nomor SK-8/DKU.MBU/12/2023 tentang Penilaian Indeks Kematangan Risiko (Risk
Maturity Index) di Lingkungan Badan Usaha Milik Negara dengan salinan Juknis
sebagaimana terlampir.
2. Selanjutnya, untuk memberikan pemahaman atas implementasi Juknis tersebut, dengan
ini kami mengundang Bapak/Ibu pada acara sosialisasi yang akan dilaksanakan pada:
hari/tanggal : Rabu, 20 Desember 2023
waktu : 13:00 - 14:00 WIB
tempat : Zoom Meeting Conference: https://bumn-go-id.zoom.us/j/87555834215
Meeting ID: 875 5583 4215
Passcode: 192450
agenda : Sosialisasi Petunjuk Teknis tentang Penilaian Indeks Kematangan Risiko
(Risk Maturity Index) di Lingkungan Badan Usaha Milik Negara
Mengingat pentingnya acara tersebut, kami mengharapkan kehadiran Bapak dan Ibu tepat
waktu. Demikian kami sampaikan, atas perhatiannya kami ucapkan terima kasih.
Deputi Bidang Keuangan dan

Manajemen Risiko,
###Stampel 001###
Nawal Nely
-2-
Lampiran I
Surat Deputi Bidang Keuangan dan
Manajemen Risiko
Nomor : UND-55/DKU.MBU/12/2023
Tanggal : 17 Desember 2023
RUNDOWN KEGIATAN
SOSIALISASI JUKNIS PENILAIAN INDEKS KEMATANGAN RISIKO (RISK MATURITY
INDEX) DI LINGKUNGAN BADAN USAHA MILIK NEGARA
RABU, 20 DESEMBER 2023
Waktu Acara Keterangan

12.45 – 13.00 Registrasi Peserta
13.00 – 13.02 Pembukaan Oleh MC
13.02 – 13.05 Menyanyikan lagu Indonesia Raya
13.05 – 13.10 Sambutan Deputi Bidang Keuangan dan Ibu Nawal Nely
Manajemen Risiko
13.10 – 13.40 Sosialisasi Juknis Penilaian Indeks Bapak Dwi Ary Purnomo, Asisten
Kematangan Risiko (Risk Maturity Index) Deputi Bidang Manajemen Risiko
di Lingkungan Badan Usaha Milik Negara dan Kepatuhan
13.40 – 13.55 Tanya Jawab Dipandu oleh Moderator
13.55 – 14.00 Penutupan oleh Deputi Bidang Keuangan Ibu Nawal Nely
dan Manajemen Risiko
-3-
Lampiran II
Manajemen Risiko
Undangan Internal
Kepada Yth.
1. Asisten Deputi Bidang Jasa Keuangan

2. Asisten Deputi Bidang Industri Energi, Minyak dan Gas
3. Asisten Deputi Bidang Manajemen Sumber Daya Manusia BUMN
4. Asisten Deputi Bidang Keuangan
5. Asisten Deputi Bidang Hukum Korporasi
6. Asisten Deputi Bidang Jasa Asuransi dan Dana Pensiun
7. Asisten Deputi Bidang Industri Mineral dan Batubara
8. Asisten Deputi Bidang Peraturan Perundang-undangan
9. Asisten Deputi Bidang Tanggung Jawab Sosial dan Lingkungan
10. Asisten Deputi Bidang Jasa Telekomunikasi dan Media
11. Asisten Deputi Bidang Industri Perkebunan dan Kehutanan
12. Asisten Deputi Bidang Teknologi dan Informasi
13. Asisten Deputi Bidang Jasa Infrastruktur
14. Asisten Deputi Bidang Industri Pangan dan Pupuk
15. Asisten Deputi Bidang Jasa Logistik
16. Asisten Deputi Bidang Industri Kesehatan
17. Asisten Deputi Bidang Jasa Pariwisata dan Pendukung
18. Asisten Deputi Bidang Industri Manufaktur
19. Kepala Biro Perencanaan, Organisasi, dan Kepegawaian
20. Kepala Biro Hubungan Masyarakat dan Fasilitasi Dukungan Strategis
21. Inspektur
22. Tim Wakil Menteri BUMN
-4-
Undangan Eksternal
Kepada Yth.
Organ Pengelola Risiko BUMN:

1. Dewan Komisaris/Dewan Pengawas
2. Direksi
3. Direktur yang Membidangi Pengelolaan Keuangan
4. Direktur yang Membidangi Pengelolaan Risiko
5. Kepala Unit Kerja Manajemen Risiko
6. Komite Audit
7. Komite Pemantau Risiko
8. Komite Tata Kelola Terintegrasi
9. Kepala SPI
Pada BUMN:
1. PT Pertamina (Persero), turut mengundang:
- PT Pertamina Hulu Energi
- PT Kilang Pertamina Internasional
- PT Pertamina Patra Niaga
- PT Pertamina Gas Negara Tbk
- PT Pertamina International Shipping
- PT Pertamina Power Indonesia
2. PT Perusahaan Listrik Negara (Persero), turut mengundang:
- PT PLN Indonesia Power
- PT PLN Nusantara Power
- PT PLN Energi Primer Indonesia
- PT PLN Icon Plus
- PT Energy Management Indonesia
3. PT Mineral Industri Indonesia (Persero), turut mengundang:
- PT Bukit Asam Tbk
- PT Aneka Tambang Tbk
- PT Timah Tbk
- PT Indonesia Asahan Aluminium
4. PT Pupuk Indonesia (Persero), turut mengundang:
- PT Rekayasa Industri
5. Perum BULOG
6. Perum Perhutani
7. PT Perkebunan Nusantara III (Persero), turut mengundang:
- PT Perkebunan Nusantara I
- PT Perkebunan Nusantara II
- PT Perkebunan Nusantara IV
- PT Perkebunan Nusantara V
- PT Perkebunan Nusantara VI
- PT Perkebunan Nusantara VII
- PT Perkebunan Nusantara VIII
- PT Perkebunan Nusantara IX
- PT Perkebunan Nusantara X
- PT Perkebunan Nusantara XI
- PT Perkebunan Nusantara XII
- PT Perkebunan Nusantara XIII
-5-
- PT Perkebunan Nusantara XIV
8. PT Rajawali Nusantara Indonesia (Persero), turut mengundang:
- PT Perikanan Indonesia
- PT Berdikari
- PT Garam
- PT Perusahaan Perdagangan Indonesia
- PT Sang Hyang Seri
9. PT Bio Farma (Persero), turut mengundang:
- PT Kimia Farma Tbk
- PT Indofarma Tbk
- PT Industri Nuklir Indonesia
10. PT LEN Industri (Persero), turut mengundang:
- PT Pindad
- PT Dahana
- PT Dirgantara Indonesia
- PT PAL Indonesia
11. PT Krakatau Steel (Persero) Tbk
12. PT Biro Klasifikasi Indonesia (Persero), turut mengundang:
- PT Sucofindo
- PT Surveyor Indonesia
13. PT Bank Mandiri (Persero) Tbk, turut mengundang:
- PT Bank Syariah Indonesia Tbk
14. PT Bank Rakyat Indonesia (Persero) Tbk, turut mengundang:
- PT Pegadaian
- PT Permodalan Nasional Madani
15. PT Bank Negara Indonesia (Persero) Tbk
16. PT Bank Tabungan Negara (Persero) Tbk
17. PT Taspen (Persero)
18. PT Bahana Pembinaan Usaha Indonesia (Persero), turut mengundang:
- PT Jasa Raharja
- PT Asuransi Jasa Indonesia (Jasindo)
- PT Asuransi Kredit Indonesia (Askrindo)
- PT Jaminan Kredit Indonesia (Jamkrindo)
19. PT Reasuransi Indonesia Utama (Persero)
20. PT Asuransi Jiwasraya (Persero)
21. PT ASABRI (Persero)
22. PT Telkom Indonesia (Persero) Tbk
23. PT Danareksa (Persero), turut mengundang:
- PT Nindya Karya
- PT Kawasan Industri Medan
- PT Kawasan Industri Wijayakusuma
- PT Kawasan Berikat Nusantara
- PT Kawasan Industri Makassar
- PT Kliring Berjangka Indonesia
- PT Balai Pustaka
- PT Perusahaan Pengelola Aset
- PT Produksi Film Negara (Persero)
- PT Yodya Karya (Persero)
- PT Virama Karya (Persero)
- PT Indra Karya (Persero)
- PT Barata Indonesia (Persero)
-6-
- PT Boma Bisma Indra (Persero)
- PT Dok dan Perkapalan Kodja Bahari (Persero)
- PT Dok dan Perkapalan Surabaya (Persero)
- PT Amarta Karya (Persero)
- PT Industri Kapal Indonesia (Persero)
- PT Industri Telekomunikasi Indonesia (Persero)
- PT Varuna Tirta Prakasya (Persero)
- PT Primissima (Persero)
- PT Djakarta Lloyd (Persero)
- PT PDI Pulau Batam (Persero)
- PT Indah Karya (Persero)
- PT Semen Kupang (Persero)
24. Perum Jasa Tirta I
25. Perum Jasa Tirta II
26. Perum Percetakan Negara Republik Indonesia
27. Perum Percetakan Uang Republik Indonesia
28. Perum LKBN Antara
29. PT Waskita Karya (Persero) Tbk
30. PT Jasa Marga (Persero) Tbk
31. PT Hutama Karya (Persero)
32. PT Semen Indonesia (Persero) Tbk
33. PT Wijaya Karya (Persero) Tbk
34. PT Adhi Karya (Persero) Tbk
35. Perum Perumnas
36. PT Pembangunan Perumahan (Persero) Tbk
37. PT Brantas Abipraya (Persero)
38. PT Pelabuhan Indonesia (Persero), turut mengundang:
- PT Pelindo Multi Terminal
- PT Pelindo Terminal Petikemas
- PT Pelindo Solusi Logistik
- PT Pelindo Jasa Maritim
39. PT Kereta Api Indonesia (Persero)
40. PT Industri Kereta Api (Persero)
41. PT Pos Indonesia (Persero)
42. PT ASDP Indonesia Ferry (Persero)
43. PT Pelayaran Nasional Indonesia (Persero)
44. Perum Damri
45. Perum LPPNPI
46. PT Garuda Indonesia (Persero) Tbk
47. PT Aviasi Pariwisata Indonesia (Persero), turut mengundang:
- PT Angkasa Pura I
- PT Angkasa Pura II
- PT Hotel Indonesia Natour
- PT Pengembangan Pariwisata Indonesia
- PT Sarinah
- PT Taman Wisata Candi Borobudur, Prambanan, dan Ratu Boko
Lampiran III
Manajemen Risiko
SALINAN
KEPUTUSAN DEPUTI BIDANG KEUANGAN DAN MANAJEMEN RISIKO
KEMENTERIAN BADAN USAHA MILIK NEGARA
REPUBLIK INDONESIA
NOMOR SK-8/DKU.MBU/12/2023
TENTANG
PETUNJUK TEKNIS PENILAIAN INDEKS KEMATANGAN RISIKO (RISK MATURITY

INDEX) DI LINGKUNGAN BADAN USAHA MILIK NEGARA
DEPUTI BIDANG KEUANGAN DAN MANAJEMEN RISIKO

REPUBLIK INDONESIA,
Menimbang : bahwa untuk melaksanakan ketentuan Pasal 74 ayat (4) Peraturan

Menteri Badan Usaha Milik Negara Nomor PER-2/MBU/03/2023
tentang Pedoman Tata Kelola dan Kegiatan Korporasi Signifikan
Badan Usaha Milik Negara, perlu menetapkan Keputusan Deputi
Bidang Keuangan dan Manajemen Risiko Kementerian Badan
Usaha Milik Negara tentang Petunjuk Teknis Penilaian Indeks
Kematangan Risiko (Risk Maturity Index) di Lingkungan Badan
Usaha Milik Negara;
Mengingat : 1. Undang-Undang Nomor 19 Tahun 2003 tentang Badan Usaha

Milik Negara (Lembaran Negara Republik Indonesia Tahun 2003
Nomor 70, Tambahan Lembaran Negara Republik Indonesia
Nomor 4297) sebagaimana telah diubah menjadi Undang-
Undang Nomor 6 Tahun 2023 tentang Penetapan Peraturan
Pemerintah Pengganti Undang-Undang Nomor 2 Tahun 2022
tentang Cipta Kerja menjadi Undang-Undang (Lembaran Negara
Republik Indonesia Tahun 2023 Nomor 41, Tambahan Lembar
Negara Nomor 6856);
2. Undang-Undang Nomor 40 Tahun 2007 tentang Perseroan
Terbatas (Lembaran Negara Republik Indonesia Tahun 2007
Nomor 106, Tambahan Lembaran Negara Republik Indonesia
Nomor 4756) sebagaimana telah diubah menjadi Undang-
Undang Nomor 6 Tahun 2023 tentang Penetapan Peraturan
Pemerintah Pengganti Undang-Undang Nomor 2 Tahun 2022
tentang Cipta Kerja menjadi Undang-Undang (Lembaran Negara
Republik Indonesia Tahun 2023 Nomor 41, Tambahan Lembar
Negara Nomor 6856);
3. Peraturan Pemerintah Nomor 41 Tahun 2003 tentang
Pelimpahan Kedudukan, Tugas dan Kewenangan Menteri
Keuangan pada Perusahaan Perseroan (Persero), Perusahaan
Umum (Perum) dan Perusahaan Jawatan (Perjan) kepada
Menteri Negara Badan Usaha Milik Negara (Lembaran Negara
Republik Indonesia Tahun 2003 Nomor 82, Tambahan
Lembaran Negara Republik Indonesia Nomor 4305);
4. Peraturan Presiden Nomor 81 Tahun 2019 tentang Kementerian
Badan Usaha Milik Negara (Lembaran Negara Republik
Indonesia Tahun 2019 Nomor 235);
5. Peraturan Menteri Badan Usaha Milik Negara Nomor
PER-04/MBU/03/2021 tentang Organisasi dan Tata Kerja
Kementerian Badan Usaha Milik Negara (Berita Negara
Republik Indonesia Tahun 2021 Nomor 251);
6. Peraturan …/2
LAMPIRAN I
KEPUTUSAN DEPUTI BIDANG KEUANGAN
DAN MANAJEMEN RISIKO
NOMOR : SK-8/DKU.MBU/12/2023
TANGGAL : 6 Desember 2023
TENTANG : PETUNJUK TEKNIS PENILAIAN
INDEKS KEMATANGAN RISIKO
(RISK MATURITY INDEX) DI
LINGKUNGAN BADAN USAHA
MILIK NEGARA
PETUNJUK TEKNIS PENILAIAN INDEKS KEMATANGAN RISIKO

(RISK MATURITY INDEX)
DI LINGKUNGAN BADAN USAHA MILIK NEGARA

JALAN MEDAN MERDEKA SELATAN NO.13 JAKARTA 10110
DAFTAR ISI
DAFTAR ISI .......................................................................................................................... ii

BAB I KETENTUAN UMUM ................................................................................................. 1
A. Daftar Definisi ............................................................................................................ 1
B. Latar Belakang .......................................................................................................... 2
C. Tujuan dan Ruang Lingkup ........................................................................................ 3
BAB II PENILAIAN INDEKS KEMATANGAN RISIKO (RISK MATURITY INDEX/RMI) ...... 4
A. Penilaian RMI Berbasis Kinerja.................................................................................. 4
B. Skala Spektrum Penilaian RMI .................................................................................. 4
C. Aspek Dimensi........................................................................................................... 7
D. Aspek Kinerja ............................................................................................................ 8
E. Alur Proses Penilaian RMI ......................................................................................... 8
1. Penunjukan Pelaksana Penilaian RMI ................................................................... 9
2. Pengumpulan, Reviu, dan Penilaian Bukti Dokumen Serta Survei ....................... 10
3. Wawancara ......................................................................................................... 13
4. Penilaian dan Pelaporan ...................................................................................... 15
5. Pemantauan ........................................................................................................ 22
F. Pengaturan Implementasi Penilaian RMI ................................................................. 22
ii
BAB I
KETENTUAN UMUM
A. Daftar Definisi
Istilah atau Definisi Penjelasan

Badan Usaha Milik Badan usaha yang seluruh atau sebagian besar modalnya dimiliki
Negara (“BUMN”) oleh negara melalui penyertaan secara langsung yang berasal dari
kekayaan negara yang dipisahkan.
Anak Perusahaan Perseroan terbatas yang sahamnya lebih dari 50% dimiliki oleh BUMN
BUMN atau perseroan terbatas yang dikendalikan secara langsung oleh
BUMN.
Risiko Suatu keadaan, peristiwa atau kejadian ketidakpastian di masa depan
yang berdampak pada tujuan strategis perusahaan.
Manajemen Risiko Serangkaian prosedur dan metodologi terstruktur yang digunakan
untuk mengidentifikasi, mengukur, memperlakukan, dan memantau
Risiko yang timbul dari seluruh kegiatan usaha BUMN, mencakup
Sistem Pengendalian Intern, dan Tata Kelola Terintegrasi.
Indeks Kematangan Indeks yang digunakan untuk mengukur tingkat kualitas rancangan
Risiko (“Risk Maturity dan efektivitas penerapan Manajemen Risiko dalam melindungi dan
Index/RMI”) menciptakan nilai pada BUMN.
Penilaian RMI Serangkaian kegiatan yang dilakukan untuk mengukur RMI.
Penilaian Tingkat Penilaian yang dilakukan untuk menilai tingkat kesehatan BUMN
Kesehatan sesuai dengan ketentuan peraturan perundang-undangan.
Peringkat (rating) Opini yang diberikan oleh Perusahaan Pemeringkat berdasarkan hasil
pemeringkatan.
Peringkat Korporasi Opini yang diberikan oleh Perusahaan Pemeringkat berdasarkan hasil
(corporate rating) pemeringkatan terhadap suatu perusahaan.
Peringkat Akhir (Final Peringkat perusahaan secara konsolidasi yang telah
Rating) memperhitungkan faktor hubungan/dukungan dengan/dari induk
perusahaan dan/atau pemerintah.
Peringkat Komposit Peringkat yang ditetapkan melalui 2 (dua) variabel penilaian yaitu
Risiko penilaian terhadap kualitas pelaksanaan Manajemen Risiko dan
penilaian terhadap pencapaian kinerja.
Aspek Dimensi Aspek dalam Penilaian RMI yang terdiri dari budaya dan kapabilitas
Risiko, organisasi dan tata kelola Risiko, kerangka Risiko dan
kepatuhan, proses dan kontrol Risiko, serta model, data dan teknologi
Risiko.
Aspek Kinerja Aspek dalam Penilaian RMI yang terdiri dari Tingkat Kesehatan
Peringkat Akhir (Final Rating) dan Peringkat Komposit Risiko.
Skor RMI Skor hasil Penilaian RMI yang mencakup penilaian atas Aspek
Dimensi dan Aspek Kinerja.
Tim Penilai Internal Tim internal yang dibentuk oleh Direktur yang membidangi
pengelolaan Risiko untuk melakukan Penilaian RMI.
Penilaian Internal Penilaian RMI yang dilakukan secara mandiri oleh Tim Penilai Internal
BUMN.
1
Istilah atau Definisi Penjelasan
Penilai Independen Konsultan eksternal atau instansi pemerintah yang memiliki
kapabilitas dalam Penilaian RMI yang ditunjuk oleh Direktur yang
membidangi pengelolaan Risiko.
Penilaian Independen Penilaian RMI yang dilakukan oleh Penilai Independen.
Model Tata Kelola Model koordinasi Manajemen Risiko di dalam organisasi yang
Risiko Tiga Lini membagi fungsi-fungsi menjadi tiga lini.
Lini Pertama Unit pemilik Risiko yang merupakan unit yang langsung
mengidentifikasi dan mengelola Risiko dalam proses bisnis.
Lini Kedua Fungsi Manajemen Risiko dan kepatuhan independen yang
merupakan unit yang mengukur, memantau dan memperlakukan
Risiko secara agregat, mengembangkan metodologi dan kebijakan
Manajemen Risiko perusahaan.
Lini Ketiga Fungsi audit intern yang merupakan unit yang memastikan tata kelola
dan pengendalian Risiko diterapkan secara efektif oleh perusahaan.
Dimensi Faktor-faktor yang digunakan untuk melakukan Penilaian RMI yang
terdiri atas budaya dan kapabilitas Risiko, organisasi dan tata kelola
Risiko, kerangka Risiko dan kepatuhan, proses dan kontrol Risiko, dan
model, data, dan teknologi Risiko.
Parameter Tolok ukur atas tiap-tiap Dimensi yang digunakan pada proses
Penilaian RMI.
Kriteria Ukuran yang menjelaskan dasar atas penilaian tiap-tiap Parameter
yang terbagi atas skala 1 (satu) sampai dengan skala 5 (lima).
B. Latar Belakang
Tingkat kematangan Risiko BUMN diukur menggunakan Penilaian RMI yang
memiliki relevansi dengan Aspek Kinerja. Tujuan dari Penilaian RMI adalah untuk
mengukur tingkat kualitas rancangan dan efektivitas penerapan Manajemen Risiko dalam
melindungi dan menciptakan nilai pada BUMN. Hasil Penilaian RMI utamanya untuk
mendapatkan gap dan langkah perbaikan peningkatan penerapan Manajemen Risiko.
Kerangka standar Penilaian RMI merupakan hal yang penting agar di masing-masing
BUMN tidak menggunakan metode dan Parameter yang berbeda. Penilaian RMI dengan
metode dan Parameter berbeda tersebut dapat menyebabkan hasil Penilaian RMI tidak
dapat dioptimalkan untuk pembelajaran BUMN dan menyulitkan dalam melakukan
evaluasi dan monitoring atas RMI BUMN serta seringkali tidak menggambarkan realisasi
kinerja BUMN bersangkutan.
Kementerian BUMN saat ini telah memiliki Peraturan Menteri BUMN Nomor
PER-2/MBU/03/2023 tentang Pedoman Tata Kelola dan Kegiatan Korporasi Signifikan
Badan Usaha Milik Negara (“Permen BUMN Nomor PER-2/MBU/03/2023”) yang pada
Pasal 74 mengatur metode, Dimensi, dan tingkatan hasil Penilaian RMI. Pengaturan lebih
lanjut mengenai Penilaian RMI memerlukan suatu petunjuk teknis sebagai panduan
untuk mengimplementasikan Pasal 74 ayat (4) Permen BUMN Nomor PER-
2/MBU/03/2023, yang selanjutnya disebut dengan Juknis Penilaian RMI.
2
C. Tujuan dan Ruang Lingkup
Tujuan disusunnya Juknis Penilaian RMI adalah untuk menjadi panduan bagi BUMN
dalam melakukan Penilaian RMI baik yang dilakukan oleh Tim Penilai Internal maupun
Penilai Independen. BUMN dapat memberlakukan Juknis ini kepada anak perusahaan
BUMN sesuai peraturan perundang-undangan.
Ruang lingkup Juknis Penilaian RMI meliputi pengaturan tentang alur proses
Penilaian RMI, Dimensi, Parameter, Kriteria, dan pelaporan yang digunakan dalam
penilaian tersebut, dengan memperhatikan pencapaian kinerja berdasarkan Tingkat
Kesehatan Peringkat Akhir (Final Rating) dan Peringkat Komposit Risiko.
3
BAB II
PENILAIAN INDEKS KEMATANGAN RISIKO (RISK MATURITY INDEX)
A. Penilaian RMI Berbasis Kinerja

Penilaian RMI berbasis kinerja adalah penilaian yang menggabungkan antara Penilaian
RMI berdasarkan Dimensi dengan realisasi kinerja yang terdiri dari Tingkat Kesehatan
Peringkat Akhir (Final Rating) dan Peringkat Komposit Risiko. Aspek penilaian kinerja
memperhatikan skala penyesuaian yang dipandang bahwa kualitas penerapan
Manajemen Risiko sinkron dengan hasil kinerja. Penilaian RMI berbasis kinerja tersebut
sebagaimana digambarkan pada Diagram 1.
Diagram 1. Penilaian RMI Berbasis Kinerja
B. Skala Spektrum Penilaian RMI

Skala spektrum Penilaian RMI menggunakan rentang penilaian dari 1 (satu) sampai
dengan 5 (lima) dimana nilai 1 (satu) adalah nilai terendah dan 5 (lima) adalah nilai
tertinggi yang digambarkan pada Diagram 2.
Diagram 2. Spektrum Hasil Penilaian RMI
1. Fase Awal (Initial Phase), terdiri dari 2 (dua) sub-tingkat:

a. Fase Awal dengan skor Penilaian RMI berkisar antara 1,0 hingga 1,4 dari skala
5. BUMN dalam fase ini memiliki karakteristik sebagai berikut:
1) BUMN telah menerapkan sejumlah Dimensi praktik Manajemen Risiko;
2) Budaya Risiko dan kesadaran akan Risiko para pegawai masih rendah;
4
3) Tata kelola dan struktur organisasi yang berkaitan dengan Manajemen
Risiko masih dalam tahap perencanaan;
4) Infrastruktur Manajemen Risiko berupa kebijakan/pedoman/SOP/ketentuan
diperbaharui tidak secara berkala; dan
5) Kerangka kerja, kepatuhan, proses, sistem dan alat yang berkaitan dengan
Manajemen Risiko diterapkan tidak secara konsisten di seluruh organisasi.
Manajemen Risiko hanya dilaksanakan secara ad hoc berbasis pemahaman
individu tertentu.
b. Fase Awal (+) dengan skor Penilaian RMI berkisar antara 1,5 hingga 1,8 dari
skala 5. BUMN dalam fase ini memiliki praktik Manajemen Risiko melampaui
fase awal dan sedang dalam transisi menuju fase berkembang.
2. Fase Berkembang (Emerging Phase), terdiri dari 2 (dua) sub-tingkat:

a. Fase Berkembang dengan skor Penilaian RMI berkisar antara 1,9 hingga 2,4
dari skala 5. BUMN dalam fase ini memiliki karakteristik sebagai berikut:
1) BUMN secara rata-rata menerapkan seluruh Dimensi praktik Manajemen
Risiko untuk memenuhi persyaratan peraturan minimum;
2) Pegawai tertentu cukup sadar akan Risiko, terutama di jajaran manajemen
atas (top management), budaya Risiko mulai diperkenalkan di dalam
perusahaan;
3) Terdapat struktur organisasi, kerangka kerja, kepatuhan, proses, sistem,
dan alat yang berkaitan dengan Manajemen Risiko dan masih ada
kesenjangan dalam praktiknya, serta efektivitas atau level implementasinya
masih bervariasi di setiap Dimensi;
4) BUMN telah mengomunikasikan infrastruktur Manajemen Risiko dan
dipahami secara memadai oleh seluruh insan perusahaan; dan
5) Perusahaan telah menyelaraskan infrastruktur Manajemen Risiko dan target
kinerja perusahaan.
b. Fase Berkembang (+) dengan skor Penilaian RMI berkisar antara 2,5 hingga
2,8 dari skala 5. BUMN dalam fase ini memiliki praktik Manajemen Risiko
melampaui fase berkembang dan sedang dalam transisi menuju fase praktik
yang baik.
3. Fase Praktik Yang Baik (Good Practice Phase), terdiri dari 2 (dua) sub-tingkat:
a. Fase Praktik Yang Baik dengan skor Penilaian RMI berkisar antara 2,9 hingga
3,4 dari skala 5. BUMN pada fase ini memiliki karakteristik sebagai berikut:
1) BUMN menerapkan seluruh Dimensi praktik Manajemen Risiko yang rata-
rata mendekati atau sejalan dengan praktik standar industrinya;
5
2) Rata-rata pegawai cukup sadar akan Risiko, budaya Risiko mulai diterapkan
di dalam perusahaan;
3) Struktur organisasi, kerangka kerja, kepatuhan, proses, sistem, dan alat
yang berkaitan dengan Manajemen Risiko telah diterapkan, meskipun
efektivitas atau level implementasinya masih bervariasi;
4) BUMN telah menerapkan Manajemen Risiko secara konsisten di setiap
bagian perusahaan sesuai framework manajemen Risiko yang telah
ditetapkan dan menerapkan prinsip Manajemen Risiko secara terus-
menerus; dan
5) Penjabaran (cascading) target kinerja perusahaan telah dilakukan hingga
tingkat individu.
b. Fase Praktik Yang Baik (+) dengan skor Penilaian RMI berkisar antara 3,5
hingga 3,8 dari skala 5. BUMN pada fase ini memiliki praktik Manajemen Risiko
melampaui fase praktik yang baik dan sedang dalam transisi menuju fase praktik
yang lebih baik.
4. Fase Praktik Yang Lebih Baik (Strong Practice Phase), terdiri dari 2 (dua) sub-
tingkat:
a. Fase Praktik Yang Lebih Baik dengan skor Penilaian RMI BUMN berkisar
antara 3,9 hingga 4,4 dari skala 5. BUMN pada fase ini memiliki karakteristik
sebagai berikut:
1) BUMN menerapkan seluruh Dimensi praktik Manajemen Risiko yang kuat,
yang secara rata-rata mendekati atau sejalan dengan praktik standar global
industrinya;
2) Semua pegawai sadar akan Risiko, penerapan budaya Risiko perusahaan
telah memasuki tahap yang lebih luas, kompleks dan semakin terintegrasi di
dalam perusahaan, baik bagi pimpinan maupun setiap individu
3) Struktur organisasi, kerangka kerja, kepatuhan, proses, sistem, dan alat
yang berkaitan dengan Manajemen Risiko diimplementasikan cukup efektif;
4) BUMN telah menerapkan Manajemen Risiko dengan perbaikan terus-
menerus sebagai bukti perusahaan telah proaktif dalam penerapan
Manajemen Risiko;
5) Penerapan Manajemen Risiko telah didukung sistem informasi yang
memadai dan dapat dipertanggungjawabkan; dan
6) Evaluasi terhadap pencapaian kinerja telah dilakukan secara berkala.
c. Fase Praktik Yang Lebih Baik (+) dengan skor Penilaian RMI berkisar antara
4,5 hingga 4,8 dari skala 5. BUMN pada fase ini memiliki praktik Manajemen
Risiko melampaui praktik yang lebih baik dan sedang dalam transisi menuju
praktik terbaik.
6
5. Fase Praktik terbaik (Best Practice Phase) dengan skor Penilaian RMI berkisar
antara 4,9 hingga 5,0 dari skala 5. BUMN dalam fase ini memiliki karakteristik
sebagai berikut:
1) BUMN menerapkan praktik-praktik terbaik Manajemen Risiko sesuai praktik
standar global industrinya;
2) Budaya Risiko sepenuhnya tertanam di dalam organisasi, telah dilaksanakan
sepenuhnya oleh seluruh insan di BUMN yang didukung dengan pengelolaan
pengetahuan dan pengembangan kapabilitas sumber daya Manajemen Risiko;
3) Struktur organisasi, kerangka kerja, kepatuhan, proses, sistem, dan alat yang
berkaitan dengan Manajemen Risiko diterapkan secara efektif dan dilakukan
perbaikan secara berkelanjutan;
4) Proses Manajemen Risiko menggunakan metode yang terdepan (advanced)
dengan sistem informasi Manajemen Risiko yang terintegrasi dengan sistem
informasi lainnya. Pembaharuan dan perbaikan proses Manajemen Risiko
dilakukan secara berkelanjutan;
5) BUMN telah menempatkan Manajemen Risiko sebagai pendorong untuk menjadi
nilai tambah bagi perusahaan dan menjadi dasar setiap pengambilan keputusan
dengan memperhitungkan setiap peluang yang ada; dan
6) Tren kinerja meningkat dari tahun ke tahun.
C. Aspek Dimensi
Aspek Dimensi dalam Penilaian RMI terdiri dari:
1. Budaya dan Kapabilitas Risiko:
a. Budaya Risiko;
b. Kapabilitas Risiko.
2. Organisasi dan Tata Kelola Risiko:
a. Organ Pengelola Risiko;
b. Peran dan Tanggung Jawab Organ Pengelola Risiko;
c. Model Tata Kelola Risiko Tiga Lini dan Tata Kelola Risiko Terintegrasi.
3. Kerangka Risiko dan Kepatuhan:
a. Strategi Risiko;
b. Kebijakan dan Prosedur;
c. Fungsi Kepatuhan;
d. Efektivitas Manajemen Risiko dan Pengendalian Intern.
4. Proses dan Kontrol Risiko:
a. Identifikasi;
b. Pengukuran dan Prioritisasi Risiko;
c. Perlakuan Risiko;
d. Pelaporan Risiko.
7
5. Model, Data, dan Teknologi Risiko:
a. Permodelan dan Teknologi Risiko;
b. Data Risiko.
Parameter dan Kriteria Penilaian RMI untuk tiap-tiap Dimensi di atas dapat mengacu pada
Lampiran II.
D. Aspek Kinerja
Aspek Kinerja dalam Penilaian RMI terdiri dari:
1. Tingkat Kesehatan Peringkat Akhir (Final Rating)
Tingkat Kesehatan dinilai menggunakan Peringkat Akhir (Final Rating). Peringkat
Akhir (Final Rating) merupakan peringkat perusahaan secara konsolidasi yang telah
memperhitungkan faktor hubungan/dukungan dengan/dari induk perusahaan
dan/atau pemerintah sebagaimana didefinisikan pada Pasal 1 angka 51 Permen
BUMN Nomor PER-2/MBU/03/2023 yang telah dinilai oleh Perusahaan Pemeringkat.
2. Peringkat Komposit Risiko
Peringkat Komposit Risiko merupakan peringkat yang ditetapkan melalui 2 (dua)
variabel penilaian yaitu penilaian terhadap kualitas pelaksanaan Manajemen Risiko
dan penilaian terhadap pencapaian kinerja. Hasil perhitungan dari 2 (dua) variabel
tersebut merupakan gambaran dari kualitas Manajemen Risiko yang dikaitkan
dengan kinerja dan telah direviu oleh Satuan Pengawasan Intern.
E. Alur Proses Penilaian RMI

Penilaian RMI dilakukan mengikuti alur proses sebagaimana digambarkan pada Diagram
3.
Diagram 3. Ringkasan Alur Proses Penilaian RMI
8
Setiap tahapan sesuai alur proses di atas harus dilakukan pada saat Penilaian RMI.
Penilai Independen wajib menjalankan prosedur Penilaian RMI secara profesional untuk
dapat memberikan keyakinan atas tingkat penerapan Manajemen Risiko sesuai dengan
Dimensi, Parameter, dan Kriteria Penilaian RMI dalam Juknis ini.
1. Penunjukan Pelaksana Penilaian RMI

a. Penilaian RMI oleh Tim Penilai Internal (Penilaian Internal)
1) Direktur yang membidangi pengelolaan Risiko membentuk dan menetapkan
tim penilai untuk melakukan Penilaian RMI dengan metode Penilaian Internal
melalui Surat Keputusan Direktur yang membidangi pengelolaan Risiko.
2) Tim yang akan dibentuk dalam pelaksanaan Penilaian Internal memiliki
minimal kualifikasi sebagai berikut:
a) Memahami Dimensi, Parameter dan Kriteria Penilaian RMI serta seluruh
ketentuan dalam Petunjuk Teknis ini;
b) Memiliki pengetahuan Manajemen Risiko yang baik;
c) Memiliki sertifikasi di bidang Manajemen Risiko;
d) Memiliki pengetahuan yang cukup mengenai proses bisnis BUMN;
e) Memiliki integritas dan mampu bersikap independen;
f) Mampu mengevaluasi dokumen secara terperinci; dan
g) Memiliki keterampilan wawancara.
3) Penilaian RMI pada BUMN dan anak perusahaan BUMN dilakukan oleh tim
yang terdiri dari Lini Kedua dan Lini Ketiga yang diketuai oleh Lini Ketiga.
Komposisi Tim Penilai berasal dari BUMN dan anak perusahaan BUMN
dengan ketentuan: (i) Tim penilai yang berasal dari suatu anak perusahaan
tidak dapat melakukan Penilaian RMI untuk perusahaan asalnya; dan (ii)
Penilaian RMI di BUMN induk dilakukan oleh Tim Penilai yang ketua timnya
bukan berasal dari BUMN induk tersebut.
4) Penilaian RMI untuk BUMN yang tidak memiliki anak perusahaan dilakukan
oleh Tim Penilai Internal yang terdiri atas Lini Kedua dan Lini Ketiga yang
diketuai oleh Lini Ketiga.
b. Penilaian RMI oleh Penilai Independen
1) Direksi menunjuk pihak independen eksternal untuk melakukan penilaian
sesuai dengan Standar Prosedur Operasional (SPO) pengadaan masing-
masing BUMN.
2) Penilai Independen yang bertugas melakukan Penilaian RMI terlebih dahulu
menandatangani perjanjian kerahasiaan (Non-Disclosure Agreements)
sebelum melakukan Penilaian RMI guna memastikan bahwa tim penilai tidak
akan melakukan tindakan yang menyebabkan kebocoran informasi rahasia
9
dari BUMN dan/atau anak perusahaan BUMN sebagai bagian penting dari
proses pelaksanaan Penilaian RMI.
3) Kualifikasi perusahaan/instansi Penilai Independen yang ditunjuk untuk
melakukan Penilaian RMI, sebagai berikut:
a) Memiliki praktik atau afiliasi perusahaan yang bergerak di bidang
Manajemen Risiko;
b) Memiliki pengalaman bekerja sama dengan BUMN, lembaga negara
lainnya, regulator, atau perusahaan swasta di dalam dan luar negeri
yang sesuai dengan sektor industri BUMN yang dinilai;
c) Memiliki pengalaman dalam menjalankan Penilaian RMI pada
perusahaan yang setara dengan BUMN baik ukuran maupun
kompleksitas; dan
d) Memiliki jumlah tim yang memadai dan personil yang kompeten dalam
menjalankan Penilaian RMI sesuai dengan ukuran dan kompleksitas
BUMN.
4) Anggota tim penilai yang ditunjuk untuk melakukan Penilai Independen
memiliki kualifikasi sebagai berikut:
a) Memahami Dimensi, Parameter dan Kriteria Penilaian RMI serta
seluruh ketentuan dalam Petunjuk Teknis ini;
b) Memiliki sertifikasi di bidang Manajemen Risiko;
c) Memiliki pemahaman terhadap praktik Manajemen Risiko terbaik;
d) Memiliki pengalaman dalam menjalankan Penilaian RMI pada
perusahaan yang setara dengan BUMN baik ukuran maupun
kompleksitas; dan
e) Memiliki pemahaman mendalam terkait dengan ketentuan peraturan
perundang-undangan pada sektor industri BUMN yang dilakukan
Penilaian RMI.
c. Dalam hal penilaian dilakukan oleh Penilai Independen, Tim Penilai Internal
menjadi counterpart Penilai Independen guna mendukung kelancaran
pelaksanaan Penilaian RMI oleh Penilai Independen.
d. Tim Penilai Internal menunjuk PIC Koordinasi untuk mempercepat pengumpulan
seluruh dokumen dari Risk Owner/Risk Officer/Risk Agent Unit sebagai materi
Penilaian RMI kepada Tim Penilai Internal atau Penilai Independen.
2. Pengumpulan, Reviu, dan Penilaian Bukti Dokumen Serta Survei

a. Tim Penilai Internal atau Penilai Independen menyusun daftar kebutuhan data
sesuai dengan Parameter dan Kriteria Penilaian RMI Kementerian BUMN
sebagaimana terdapat dalam Lampiran II.
b. Data yang dibutuhkan minimal memenuhi ketentuan sesuai dengan Parameter
Penilaian RMI. Referensi data/dokumen yang dibutuhkan merujuk pada
10
Lampiran III. Daftar referensi data/dokumen tersebut dapat ditambahkan apabila
dipandang perlu.
c. Tim Penilai Internal menyusun dan mengirimkan pemberitahuan tertulis kepada
Direksi, Dewan Komisaris/Dewan Pengawas, Komite Pemantau Risiko, Kepala
Unit dan risk officer di BUMN sebagai pemberitahuan resmi yang berisi:
1) Informasi proses Penilaian RMI yang sedang dilakukan;
2) Gambaran tahapan proses Penilaian RMI; dan
3) Nama dan detail kontak anggota Tim Penilai Internal atau Penilai
Independen serta PIC Koordinasi yang bertanggung jawab.
d. Tim Penilai Internal atau Penilai Independen menyampaikan permintaan data
kepada PIC Koordinasi, yang terdiri dari:
1) Tujuan permintaan data antara lain untuk memperoleh informasi yang
dibutuhkan sebagai basis fakta dalam menilai RMI BUMN tersebut.
2) Daftar kebutuhan data yang berisi:
a) Deskripsi data yang dibutuhkan;
b) Nama dokumen yang memuat data yang dibutuhkan;
c) Ketersediaan data (checklist); dan
d) Kolom untuk menuliskan keterangan, seperti nomor halaman dokumen
yang memuat data dan alasan jika data tidak ada.
3) Ketentuan terkait data/dokumen yang disampaikan yaitu periode dokumen
sesuai dengan periode observasi penilaian (1 Januari sampai dengan 31
Desember) serta merupakan data/dokumen yang telah disahkan, telah
disosialisasikan, dan/atau diimplementasikan dalam kegiatan operasi
perusahaan sesuai dengan periode observasi penilaian.
4) Tenggat waktu penyerahan data.
e. PIC Koordinasi selanjutnya mengirim dokumen yang telah dikumpulkan ke Tim
Penilai Internal atau Penilai Independen.
f. Tim Penilai Internal atau Penilai Independen membangun survei yang dapat
dipertanggungjawabkan secara ilmiah dan menghindari survei yang berpotensi
memperoleh hasil yang bias/normatif/kecenderungan terdistribusi pada salah
satu tail (kanan atau kiri saja).
g. Pengisian survei dilakukan oleh Dewan Komisaris/Dewan Pengawas, Direksi,
Komite Pemantau Risiko, Komite Tata Kelola Terintegrasi, perwakilan unit Lini
Pertama, perwakilan unit Lini Kedua yang tidak merangkap sebagai tim penilai,
dan perwakilan unit Lini Ketiga yang tidak merangkap sebagai tim penilai.
h. Penentuan responden yang menjadi perwakilan unit Lini Pertama, Lini Kedua,
dan Lini Ketiga mewakili populasi masing-masing lini.
11
i. Responden yang mengisi survei dipastikan memahami pertanyaan atau
pernyataan survei dan dipastikan melakukan pengisian secara objektif tanpa
tekanan atau pengaruh dari siapapun.
j. Pengolahan hasil survei dilakukan secara ilmiah yang dapat mencerminkan
kondisi atau fakta yang ada di lapangan.
k. Tim Penilai Internal atau Penilai Independen menyusun penilaian berdasarkan
reviu dokumen yang telah terkumpul dan hasil survei sekaligus sebagai
persiapan materi yang perlu didalami pada tahap wawancara. Langkah yang
dilakukan dalam proses ini yaitu:
1) Mengevaluasi Kriteria dari tiap Parameter sebagaimana terdapat pada
Lampiran II. Tim Penilai Internal atau Penilai Independen memberikan skor
hasil reviu dokumen dan survei untuk tiap Parameter dengan ketentuan
sebagai berikut:
a) Pemenuhan Kriteria akan menentukan skor untuk setiap Parameter.
b) Jumlah/kualitas Kriteria yang harus dipenuhi akan meningkat secara
progresif dari skor 1 sampai 5.
c) Untuk tiap Parameter, skor diberikan hanya dalam ”bilangan bulat” yaitu
1,2,3,4,5 tanpa desimal/pecahan. Sedangkan skor untuk tiap Dimensi
dapat berupa pecahan dalam satu angka desimal berdasarkan rata-
rata skor tiap Parameter.
Pada saat melakukan penilaian dari hasil reviu dokumen dan survei, Tim
Penilai Internal atau Penilai Independen harus dapat mengevaluasi apakah
seluruh Kriteria di masing-masing Parameter terpenuhi. Jika salah satu
Kriteria tidak terpenuhi, maka dianggap tidak memenuhi keseluruhan
Kriteria untuk mencapai skor yang dituju. Misalnya, jika terdapat 3 Kriteria
untuk mencapai skor 4, tetapi BUMN hanya memenuhi 2 dari 3 Kriteria,
maka BUMN tersebut harus diberi skor 3.
2) Mengumpulkan bukti-bukti sebagai justifikasi skor hasil reviu dokumen dan
survei sesuai Kriteria evaluasi berdasarkan dokumen yang disediakan oleh
unit terkait dan yang tersedia untuk umum (public domain) misalnya
penelusuran pers dan pengumuman publik. Tim Penilai Internal atau Penilai
Independen wajib mendokumentasikan pengumpulan bukti-bukti sebagai
justifikasi skor hasil reviu dokumen dan survei, dengan ketentuan sebagai
berikut:
a) Mencantumkan sumber dokumen atau survei yang memuat
data/informasi temuan.
b) Mencantumkan bukti data-data yang relevan misalnya berupa
tangkapan layar (screenshot) dokumen, artikel/video publikasi
perusahaan yang sesuai dengan Kriteria untuk tiap Parameter.
12
c) Jika tidak ditemui bukti-bukti dari hasil reviu dokumen dan survei, maka
Parameter tersebut harus ditandai sebagai Parameter yang akan
diutamakan untuk dibahas lebih mendalam saat tahap wawancara.
l. Setelah melakukan reviu atas dokumen dan survei yang dikumpulkan, Tim
Penilai Internal atau Penilai Independen menentukan skor dari hasil reviu
dokumen dan survei serta mengisi lembar penilaian dengan informasi berikut:
1) Temuan/gap utama: diisi sesuai temuan Tim Penilai yang didapatkan dari
kajian dokumen dan survei, kemudian diberi skor sesuai Kriteria evaluasi.
2) Kutipan dan bukti penting: diisi dengan bukti-bukti penting yang mendukung
temuan pada poin 1.
3) Sumber data: diisi dengan sumber/lokasi dari bukti-bukti yang dikumpulkan
(sebagai referensi).
4) Penentuan skor dan penjelasan singkat mengenai justifikasi pemberian skor
sesuai masing-masing Kriteria evaluasi.
Ilustrasi lembar penilaian hasil reviu dokumen digambarkan dalam diagram pada
Lampiran IV.A.
Penentuan skor sebelum melakukan wawancara ditujukan untuk:
1) Mendapatkan gambaran/pemahaman atas kematangan Risiko pada BUMN
agar tahapan wawancara menjadi lebih terarah.
2) Mengoptimalkan waktu wawancara untuk membahas pertanyaan yang sulit
dikaji dengan kajian dokumen (misalnya budaya Risiko, rencana
transformasi Enterprise Risk Management/ERM yang mungkin masih
dirahasiakan dan sebagainya).
3. Wawancara
a. Metode wawancara ditetapkan oleh Tim Penilai Internal atau Penilai
Independen.
b. Wawancara dilakukan minimal terhadap Perwakilan Dewan Komisaris/Dewan
Pengawas, Komite Pemantau Risiko, Komite Tata Kelola Terintegrasi (bagi
BUMN Konglomerasi), Direksi, tim dari Lini Kedua seperti Unit Manajemen
Risiko dan tim dari Unit Kepatuhan, tim dari Lini Ketiga (Internal Audit), serta
kepala unit Lini Pertama/risk owner.
c. Wawancara dilakukan dengan panduan lembar penilaian dari hasil reviu
dokumen dan survei. Cara memanfaatkan hasil reviu dokumen dan survei untuk
menunjang proses penilaian selama wawancara yaitu:
1) Pada saat melakukan reviu dokumen dan survei, Tim Penilai Internal atau
Penilai Independen dapat mengategorikan 3 jenis Parameter sebagai
berikut:
13
a) Parameter prioritas tinggi untuk dilakukan pendalaman yaitu Parameter
yang tidak memiliki bukti/dasar fakta berdasarkan hasil reviu dokumen
dan survei.
b) Parameter prioritas menengah untuk dilakukan pendalaman yaitu
Parameter dengan beberapa bukti/dasar fakta yang ditemukan dari
hasil reviu dokumen dan survei, namun belum cukup untuk
menjustifikasi pemenuhan Kriteria tertentu.
c) Parameter prioritas rendah untuk dilakukan pendalaman yaitu
Parameter lain selain Parameter poin a dan b di atas.
2) Tim Penilai Internal atau Penilai Independen dapat menyusun daftar
pertanyaan wawancara berdasarkan lembar penilaian hasil reviu dokumen
dan survei, mulai dari Parameter dengan prioritas tinggi hingga Parameter
dengan prioritas rendah.
3) Tim Penilai Internal atau Penilai Independen dapat memeriksa Kriteria
Penilaian RMI dan mengubahnya menjadi pertanyaan sebagai panduan
untuk wawancara. Pemahaman yang diperoleh dari kajian dokumen dan
survei juga dapat ditambahkan dalam penjelasan pertanyaan untuk
memberikan konteks yang lebih luas. Karakteristik pertanyaan yang dapat
diajukan pada saat wawancara yaitu:
a) Mampu mengarahkan kepada isu Parameter;
b) Mampu mengelaborasi dan mengarahkan posisi pemenuhan Kriteria
atas suatu Parameter;
c) Mampu menghasilkan informasi yang dapat dibuktikan secara jelas
dengan didukung bukti dokumen yang sudah disahkan/diformalkan dan
dijadikan panduan dalam proses bisnis BUMN atau dibuktikan dengan
hasil nyata atau dampak yang dapat diukur.
d. Mengevaluasi hasil wawancara dan menentukan skor dengan memperhatikan
hal-hal berikut:
1) Mengevaluasi temuan dari hasil wawancara dan membandingkannya
dengan hasil reviu dokumen dan survei. Jika terdapat perbedaan informasi,
Tim Penilai Internal atau Penilai Independen melakukan validasi terhadap
informasi yang lebih mutakhir dengan memastikan informasi tersebut telah
didukung oleh:
a) Bukti dokumen yang sudah disahkan/diformalkan dan dijadikan
panduan dalam proses bisnis BUMN.
b) Bukti non dokumen yang telah dikonfirmasi kepada pihak lain dengan
hasil informasi yang konsisten.
14
Kutipan penting dari wawancara selanjutnya dituangkan dalam lembar
penilaian bersamaan dengan hasil reviu dokumen dan survei dengan
ilustrasi sebagaimana pada Lampiran IV.A.
2) Mereviu skor penilaian dari hasil reviu dokumen dan survei berdasarkan
informasi tambahan dari wawancara.
3) Tim Penilai Internal atau Penilai Independen dapat mengirimkan tambahan
permintaan data menindaklanjuti informasi tambahan yang ditemukan
dalam wawancara Penilaian RMI.
e. Hasil proses wawancara ini diantaranya yaitu:
1) Sudut pandang manajemen dan karyawan BUMN terhadap penerapan
Manajemen Risiko untuk mengawal tercapainya sasaran perusahaan.
2) Bukti kualitatif dan kuantitatif untuk memvalidasi atau mereviu skor penilaian
hasil reviu dokumen dan survei.
4. Penilaian dan Pelaporan

Tim Penilai Internal atau Penilai Independen melakukan penilaian dan pelaporan
atas hasil Penilaian RMI yang telah dilakukan dengan langkah-langkah sebagai
berikut:
a. Menentukan Skor Aspek Dimensi
1) Menganalisis celah (gap) pemenuhan Kriteria dan melakukan penilaian skor
untuk setiap Parameter dengan mempertimbangkan bukti-bukti data dan
fakta secara keseluruhan dari reviu dokumen serta hasil wawancara
Penilaian RMI. Tim Penilai Internal atau Penilai Independen dapat
menginput skor untuk setiap Parameter dengan skala 1-5, sebagaimana
ilustrasi pada Diagram 4.
Diagram 4. Ilustrasi Input Skor tiap Parameter Penilaian RMI
15
2) Menentukan skor untuk setiap Dimensi menggunakan metode rata-rata dari
skor untuk semua Parameter dalam Dimensi tersebut. Ilustrasi penentuan
skor Aspek Dimensi digambarkan pada Diagram 5.
Diagram 5. Ilustrasi Penentuan Skor Aspek Dimensi
3) Menganalisis kekuatan dan kelemahan dari Aspek Dimensi untuk

menentukan celah (gap) serta rekomendasi perbaikan berkelanjutan.
4) Menyusun hasil penilaian atas Aspek Dimensi dengan membuat ringkasan
yang memuat:
a) Skor Dimensi yang diperoleh dari rata-rata skor Parameter pada
Dimensi tersebut.
b) Skor Aspek Dimensi yang diperoleh dari rata-rata skor seluruh
Parameter.
c) Temuan utama yang menunjukkan:
(1) Kekuatan/aspek yang sudah baik.
(2) Gap/kekurangan/area perbaikan.
d) Mencantumkan rekomendasi-rekomendasi perbaikan pada aspek
Dimensi yang dapat dilakukan untuk jangka pendek (kurang dari 1
tahun ke depan) dan jangka panjang (lebih dari 1 tahun).
Ilustrasi ringkasan penilaian atas Aspek Dimensi digambarkan dalam
diagram pada Lampiran IV.B
16
5) Melakukan validasi skor Aspek Dimensi.
a) Sebelum dilakukan finalisasi atas hasil skor Aspek Dimensi dalam
Penilaian RMI, hasil skor divalidasi berdasarkan beberapa data/fakta
yang tersedia, diantaranya:
(1) Membandingkan hasil Penilaian RMI saat ini dengan data historis
hasil Penilaian RMI di periode sebelumnya, dengan ketentuan
Penilaian sebelumnya dilakukan menggunakan Dimensi,
Parameter, dan Kriteria yang sama.
(2) Membandingkan hasil Penilaian RMI saat ini dengan kondisi aktual
misalnya terdapat kejadian Risiko besar yang melibatkan BUMN
dan belum menjadi pertimbangan pada proses Penilaian RMI.
(3) Melakukan evaluasi terhadap realisasi penyelesaian rekomendasi
atas hasil Penilaian RMI tahun sebelumnya.
b) Tim Penilai Internal atau Penilai Independen dapat menilai apakah
diperlukan penyesuaian skor pada tingkat terkecil untuk memvalidasi
hasil misalnya menyesuaikan skor beberapa Parameter untuk
menentukan skor Penilaian RMI secara keseluruhan. Hal ini dapat
dilakukan dengan mengidentifikasi akar penyebab (root cause)
kejadian yang mengharuskan dilakukannya penyesuaian. Sebagai
contoh suatu BUMN terkena dampak yang material atas peristiwa
Risiko satu tahun ke belakang (misalnya, banyak kasus kecelakaan
kerja atau kebakaran pabrik) sehingga skor Penilaian RMI secara
keseluruhan seharusnya lebih rendah dari hasil skor awal Penilaian
RMI. Dalam situasi tersebut, Tim Penilai Internal atau Penilai
Independen dapat:
(1) Menyelidiki akar penyebab terjadinya materialisasi peristiwa risiko
tersebut (misalnya, kurang baik dalam penerapan K3); dan
(2) Menentukan pertanyaan-pertanyaan yang relevan dengan topik
tersebut dan menyesuaikan skor awal dengan tambahan bukti-
bukti baru yang ditemukan (misalnya menyesuaikan skor Dimensi
Proses dan Kontrol Risiko dan menambahkan bukti bahwa BUMN
tersebut kurang memiliki kontrol atas penerapan K3).
c) Skor Aspek Dimensi merupakan cerminan kondisi penerapan
Manajemen Risiko dalam rentang periode observasi penilaian sehingga
sangat dimungkinkan skor Aspek Dimensi naik atau turun dari periode
sebelumnya sesuai dengan kejadian yang ada selama periode
penilaian.
17
b. Menentukan Skor Aspek Kinerja
Setelah diperoleh skor Aspek Dimensi, Tim Penilai Internal atau Penilai
Independen selanjutnya memperhitungkan Aspek Kinerja untuk kemudian
menentukan Skor RMI. Perhitungan skor Aspek Kinerja dilakukan berdasarkan
ketentuan sebagai berikut:
1) Penerapan perhitungan Aspek Kinerja berlaku untuk BUMN dengan skor
Aspek Dimensi ≥ 3,00.
2) Perhitungan Aspek Kinerja ditetapkan berdasarkan total nilai:
a) Tingkat Kesehatan Peringkat Akhir (final rating) merujuk pada hasil
pemeringkatan dari perusahaan pemeringkat; dan
b) Peringkat Komposit Risiko yang telah direviu oleh SPI merujuk pada
Petunjuk Teknis Pelaporan Manajemen Risiko.
3) Bobot atas tiap Aspek Kinerja sebagaimana pada Tabel 1.
Tabel 1. Bobot Aspek Kinerja
Aspek Kinerja Bobot
Tingkat Kesehatan 50%
Peringkat Komposit Risiko 50%
4) Konversi penilaian Tingkat Kesehatan dan Peringkat Komposit Risiko

merujuk pada Tabel 2 dan Tabel 3.
a) Konversi Tingkat Kesehatan Peringkat Akhir (Final Rating)
Tabel 2. Konversi Tingkat Kesehatan Peringkat Akhir (Final Rating)
Peringkat Akhir (Final Rating) Nilai Konversi
AAA 100
AA 90
A 79
BBB 67
BB 56
B 44
CCC 33
CC 21
C 10
b) Konversi Peringkat Komposit Risiko

Tabel 3. Konversi Peringkat Komposit Risiko
Peringkat Komposit Risiko Nilai Konversi
1 100
2 78
3 55
4 33
5 10
5) Perolehan nilai hasil konversi pada butir 4) dikalikan dengan bobot masing-
masing pada butir 3) menghasilkan total skor Aspek Kinerja.
18
6) Penyesuaian skor penilaian Aspek Dimensi terhadap perolehan total skor
Aspek Kinerja menggunakan Tabel 4.
Tabel 4. Penyesuaian Skor pada Penilaian Aspek Dimensi
Total Skor Aspek Kinerja Penyesuaian Skor Aspek Dimensi
≤ 50 -1,00
50 < x ≤ 65 -0,75
65 < x ≤ 80 -0,50
80 < x ≤ 90 -0,25
> 90 0,00
7) Ilustrasi perhitungan skor Aspek Kinerja sebagaimana digambarkan pada

Tabel 5 dan Tabel 6.
Ilustrasi 1
Tabel 5. Ilustrasi 1 Perhitungan Skor Aspek Kinerja
Nilai Nilai Nilai Konversi x
Aspek Bobot
Aspek Konversi bobot
Tingkat Kesehatan
Peringkat Akhir (Final A 79 50% 39,5
Rating)
Peringkat Komposit Risiko 2 78 50% 39,0
Total Skor Aspek Kinerja 78,5
Penyesuaian Skor -0,50
Ilustrasi 2
Tabel 6. Ilustrasi 2 Perhitungan Skor Aspek Kinerja
Nilai Nilai Nilai Konversi x
Aspek Bobot
Aspek Konversi bobot
Tingkat Kesehatan
Peringkat Akhir (Final BBB 67 50% 33,5
Rating)
Peringkat Komposit Risiko 4 33 50% 16,5
Total Skor Aspek Kinerja 50,00
c. Penentuan Skor RMI

Setelah dilakukan perhitungan skor Aspek Dimensi dan Aspek Kinerja,
selanjutnya dilakukan perhitungan Skor RMI sebagaimana ilustrasi pada Tabel
7 dan Tabel 8.
Ilustrasi 1
Tabel 7. Ilustrasi 1 Perhitungan Skor RMI
ASPEK DIMENSI
Skor
Parameter Dimensi Deskripsi Skor
Dimensi
1 s.d. 3 1 Budaya dan Kapabiltas Risiko 3,7
4 s.d. 19 2 Organisasi dan Tata Kelola Risiko 3,0
20 s.d. 33 3 Kerangka Risiko dan Kepatuhan 3,8
34 s.d. 39 4 Proses dan Kontrol Risiko 3,2
40 s.d. 42 5 Model, Data, dan Teknologi Risiko 3,0
1 s.d. 42 Skor Aspek Dimensi 3,4
19
ASPEK KINERJA
Nilai
Nilai Nilai
No Aspek Bobot Konversi x Skor
Aspek Konversi
Bobot
Tingkat Kesehatan
1 Peringkat Akhir A 79 50% 39,5
(Final Rating)
Peringkat
2 2 78 50% 39,0
Komposit Risiko
1 s.d. 2 Skor Aspek Kinerja 78,5
SKOR RMI 2,9
Ilustrasi 2
Tabel 8. Ilustrasi 2 Perhitungan Skor RMI
ASPEK DIMENSI
Skor
Parameter Dimensi Deskripsi Skor
Dimensi
ASPEK KINERJA
Nilai
Nilai Nilai
No Aspek Bobot Konversi x Skor
Aspek Konversi
Bobot
Tingkat Kesehatan
1 Peringkat Akhir BBB 67 50% 33,5
(Final Rating)
Peringkat
2 4 33 50% 16,5
Komposit Risiko
Penyesuaian Skor 0,0*
SKOR RMI 2,9
*Keterangan:
Tidak dilakukan penyesuaian skor karena skor Aspek Dimensi Penilaian RMI
yang diperoleh < 3,00.
d. Tim Penilai Internal atau Penilai Independen mendiskusikan dan mengonfirmasi
draf hasil Penilaian RMI bersama dengan Direksi dan Dewan Komisaris/Dewan
Pengawas. Hasil konfirmasi berupa analisa celah (gap) setiap Dimensi Penilaian
RMI kemudian ditetapkan rekomendasi perbaikan yang wajib ditindaklanjuti oleh
BUMN dalam jangka pendek (kurang dari 1 tahun ke depan) dan jangka panjang
(lebih dari 1 tahun). Penyusunan rekomendasi tersebut memuat hal-hal berikut:
1) Tabel rekomendasi perbaikan Manajemen Risiko.
2) Pemetaan rekomendasi berdasarkan dampak dan kemudahan
implementasi.
3) Prioritisasi penyelesaian rekomendasi dikelompokkan berdasarkan:
20
a) Prioritas pertama yaitu rekomendasi dengan dampak tinggi dan mudah
diimplementasikan.
b) Prioritas kedua yaitu rekomendasi dengan dampak rendah dan mudah
diimplementasikan atau rekomendasi dengan dampak tinggi namun
tidak mudah diimplementasikan.
c) Prioritas ketiga yaitu rekomendasi dengan dampak rendah dan tidak
mudah diimplementasikan.
Format penyusunan rekomendasi hasil Penilaian RMI sebagaimana pada
Lampiran IV.C. Selanjutnya atas rekomendasi dan prioritisasi yang telah
dilakukan disusun peta jalan (roadmap) perbaikan Manajemen Risiko.
e. Direksi bertanggung jawab terhadap penyelesaian rekomendasi perbaikan yang
telah ditetapkan sesuai dengan lini masa (timeline) dan wajib memberikan
penjelasan atas tidak tercapainya tindak lanjut kepada Dewan Komisaris/Dewan
Pengawas dan Kementerian BUMN. Rekomendasi perbaikan tersebut menjadi
bagian dari penilaian kinerja Direksi.
f. Tim Penilai Internal atau Penilai Independen menyusun dan melakukan finalisasi
laporan Penilaian RMI yang memuat paling sedikit:
1) Tujuan, ruang lingkup, lini masa (timeline), dan sistematika pelaksanaan
Penilaian RMI.
2) Ringkasan hasil Penilaian RMI berupa aspek yang sudah baik, celah (gap)
utama, rekomendasi perbaikan dan peta jalan (roadmap) yang harus
dilakukan oleh BUMN. Penyusunan peta jalan memperhatikan ketentuan
sebagai berikut:
a) Peta jalan memuat perbaikan jangka pendek (kurang dari 1 tahun) serta
jangka panjang (lebih dari 1 tahun).
b) Periode peta jalan disesuaikan dengan periode RJP BUMN.
c) Peta jalan untuk rekomendasi perbaikan disusun dengan memperhatikan
kesinambungan dengan pelaksanaan perbaikan merujuk pada peta jalan
hasil Penilaian RMI sebelumnya.
3) Hasil penilaian setiap Parameter dan bukti-bukti yang terkumpul.
g. Direktur yang membidangi pengelolaan Risiko menyampaikan laporan hasil
Penilaian RMI kepada Kementerian BUMN, Direksi, Dewan Komisaris/Dewan
Pengawas, Komite terkait, risk owner, dan stakeholder terkait lainnya.
h. Gambaran umum hasil Penilaian RMI dipublikasikan pada laporan tahunan
BUMN.
i. Laporan Penilaian RMI beserta ringkasan hasil Penilaian RMI sebagaimana
Lampiran V.A disampaikan kepada Kementerian BUMN paling lambat 1 (satu)
bulan setelah tanggal Laporan Penilaian RMI melalui portal EGRC Kementerian
BUMN.
21
j. BUMN wajib menindaklanjuti rekomendasi perbaikan atas Penilaian RMI sesuai
dengan lini masa (timeline) yang telah ditentukan dan disepakati oleh Direksi
dan Dewan Komisaris/Dewan Pengawas.
k. BUMN wajib mendokumentasikan progres tindak lanjut rekomendasi perbaikan
atas Penilaian RMI secara triwulanan dengan melengkapi tabel yang ditetapkan
dalam petunjuk teknis ini sebagaimana dimaksud pada Lampiran V.B.
l. BUMN wajib menyampaikan progres tindak lanjut rekomendasi perbaikan atas
Penilaian RMI kepada Kementerian BUMN melalui portal EGRC Kementerian
BUMN.
5. Pemantauan
a. Kementerian BUMN melakukan reviu atas hasil Penilaian RMI BUMN dan
melakukan konsolidasi hasil Penilaian RMI seluruh BUMN.
b. Kementerian BUMN dapat melakukan pembahasan dengan BUMN atas tindak
lanjut rekomendasi perbaikan Penilaian RMI.
c. Kementerian BUMN melakukan evaluasi berkala atas progres tindak lanjut
rekomendasi perbaikan hasil Penilaian RMI yang dilakukan oleh BUMN.
F. Pengaturan Implementasi Penilaian RMI

1. Penilaian RMI untuk pertama kali berlakunya Juknis ini dilakukan dengan ketentuan
sebagai berikut:
a. Penilaian dilakukan oleh Penilai Independen.
b. Periode observasi penilaian dilakukan terhadap periode 1 Januari s.d. 31
Desember 2023.
c. Pelaporan hasil Penilaian RMI kepada Kementerian BUMN disampaikan paling
lambat pada triwulan III tahun 2024.
2. Penilaian RMI untuk tahun-tahun berikutnya berlaku ketentuan sebagai berikut:
a. Penilaian Independen selanjutnya dilakukan sekurang-kurangnya sekali dalam
3 (tiga) tahun.
b. Penilaian Internal dilakukan setiap tahun apabila pada tahun tersebut tidak
dilakukan Penilaian Independen.
c. Dalam hal dilakukan Penilaian Internal, BUMN dapat menggunakan bantuan
asistensi jasa Instansi Pemerintah yang berkompeten di bidang Tata Kelola
Perusahaan yang Baik, yang penunjukkannya dilakukan oleh Direksi melalui
penunjukan langsung.
d. Periode observasi Penilaian RMI dilakukan atas pelaksanaan Manajemen Risiko
dan kinerja pada tahun lampau sejak 1 Januari s.d. 31 Desember.
e. Pelaporan hasil Penilaian RMI BUMN pada periode observasi tahun lampau
kepada Kementerian BUMN disampaikan paling lambat pada triwulan III tahun
berjalan.
22
3. Data dan/atau dokumen yang dijadikan sebagai rujukan dalam melaksanakan Aspek
Dimensi Penilaian RMI adalah data dan/atau dokumen yang telah disahkan, telah
disosialisasikan, dan/atau telah diimplementasikan dalam kegiatan operasi
perusahaan pada tahun lampau.
4. Angka Aspek Kinerja yang dijadikan sebagai rujukan dalam Penilaiaan RMI adalah
angka yang diterbitkan oleh perusahaan pemeringkat untuk Tingkat Kesehatan
Peringkat Akhir (Final Rating) dan telah direviu oleh SPI untuk Peringkat Komposit
Risiko.
5. Penilaian RMI tahun 2023 untuk periode observasi penilaian 1 Januari s.d 31
Desember 2022, berlaku ketentuan sebagai berikut:
a. Bagi BUMN yang telah melakukan Penilaian RMI, berlaku ketentuan:
1) Penilaian RMI baik yang dilakukan oleh Penilai Independen atau yang
dilakukan oleh Penilai Internal dengan mengacu pada pedomannya masing-
masing dapat digunakan sebagai pemenuhan kewajiban Penilaian RMI yang
ditetapkan dalam dokumen Aspirasi Pemegang Saham (APS) nomor S-
683/MBU/10/2022 tanggal 24 Oktober 2022 perihal Aspirasi Pemegang
Saham/Pemilik Modal untuk Penyusunan Rencana Kerja dan Anggaran
Perusahaan Tahun 2023.
2) Program perbaikan hasil analisa gap Penilaian RMI butir 1) dapat digunakan
sebagai program perbaikan penerapan Manajemen Risiko yang sekaligus
sebagai indikator KPI fungsi Manajemen Risiko pada RKAP tahun 2024.
b. Bagi BUMN yang belum melakukan Penilaian RMI, berlaku ketentuan:
1) Penilaian dapat dilakukan baik dengan menggunakan Penilai Independen
atau Penilai Internal dengan mengacu pada pedoman dalam Juknis ini yang
laporannya dapat disampaikan kepada Kementerian BUMN paling lambat
sampai dengan akhir triwulan I tahun 2024.
2) Apabila BUMN memiliki keterbatasan keuangan atau sumber daya lainnya
dan berdasarkan pertimbangan Direksi setelah berkonsultasi dengan Dewan
Komisaris/Dewan Pengawas diperoleh kesimpulan bahwa Penilaian RMI
tahun 2023 tidak dilakukan, maka pemenuhan kewajiban Penilaian RMI
sebagaimana dokumen APS RKAP tahun 2023 dapat digugurkan dengan
memberikan penjelasan kepada Kementerian BUMN saat penyampaian
laporan pertanggungjawaban tahun buku 2023.
3) Apabila BUMN menempuh pilihan butir 2), maka program perbaikan
penerapan Manajemen Risiko yang digunakan sebagai indikator KPI fungsi
Manajemen Risiko pada RKAP tahun 2024 mengikuti ketentuan: (i) prioritas
program perbaikan penerapan Manajemen Risiko meliputi perbaikan pada
budaya Risiko, struktur tata kelola Risiko, sistem dan pengendalian Risiko,
23
LAMPIRAN II
TENTANG : PETUNJUK TEKNIS PENILAIAN INDEKS
KEMATANGAN RISIKO (RISK MATURITY
INDEX) DI LINGKUNGAN BADAN
USAHA MILIK NEGARA
PARAMETER DAN KRITERIA PENILAIAN INDEKS KEMATANGAN RISIKO
Parameter yang digunakan untuk mengukur tingkat kematangan risiko diklasifikasikan dalam 3 (tiga) jenis industri. Tingkat pemenuhan setiap Parameter penilaian
indeks kematangan risiko (RMI) memiliki skala skor 1 s.d 5 yang memuat Kriteria masing-masing skor tersebut.
A. Parameter dan Kriteria Penilaian Indeks Kematangan Risiko untuk Industri Umum
Kriteria
Sub
Parameter 1. Fase Awal 2. Fase Berkembang (Emerging 3. Fase Praktik yang Baik (Good 4. Fase Praktik yang Lebih Baik (Strong 5. Fase Praktik Terbaik
Dimensi
(Initial Phase) Phase) Practice Phase) Practice Phase) (Best Practice Phase)
1. Budaya dan Kapabilitas Risiko
a. Budaya 1. Internalisasi • Belum ada program • Telah ada program penanaman • Telah ada program penanaman • Telah ada program penanaman budaya • Telah ada program penanaman budaya
Risiko budaya Risiko penanaman budaya Risiko, budaya Risiko (misal risk awards, budaya Risiko yang sedang Risiko yang sedang dijalankan (misal risk Risiko yang sedang dijalankan (misal risk
dalam budaya misal risk awards, sosialisasi risk townhall, dan dijalankan (misal risk awards, awards, sosialisasi risk townhall, dan awards, sosialisasi risk townhall, dan
perusahaan sosialisasi, risk townhall, sebagainya), namun saat ini sosialisasi risk townhall, dan sebagainya) dan terdapat program sadar sebagainya) dan terdapat program sadar
dan sebagainya program hanya dilakukan sesekali, sebagainya) dan terdapat Risiko yang saat ini dilakukan secara rutin Risiko, saat ini dilakukan secara rutin dan
• Budaya Risiko belum tidak rutin atau berkala program sadar Risiko, saat ini dan lebih sering (lebih dari satu kali dalam lebih sering (lebih dari satu kali dalam
tertanam di kegiatan usaha • Tanggung jawab pengembangan dilakukan secara rutin (satu kali setahun) setahun)
sehari-hari (misal budaya Risiko diemban oleh Lini dalam setahun) • Tanggung jawab pengembangan budaya • Tanggung jawab pengembangan budaya
kepemilikan dan tanggung Kedua namun tidak tercantum • Tanggung jawab Risiko secara jelas diemban oleh Lini Kedua Risiko secara jelas diemban dan
jawab Risiko pegawai dan dengan jelas peran dan tanggung pengembangan budaya Risiko dan tercantum dalam uraian jabatan Lini tercantum dalam uraian jabatan tidak
jajaran manajemen belum jawab dalam uraian jabatan Lini secara jelas diemban oleh Lini Kedua serta di awasi oleh Direksi dan Dewan hanya untuk Lini Kedua, tetapi juga di
jelas). Tanggung jawab Kedua Kedua dan sudah tercantum Komisaris/ Dewan Pengawas semua lini (khususnya yang memegang
pengembangan budaya • Direksi belum berperan aktif untuk dengan jelas dalam uraian • Direksi berperan aktif untuk mengembangkan posisi manajerial)
Risiko diemban oleh mengembangkan budaya jabatan Lini Kedua, serta di budaya Manajemen Risiko
pegawai tertentu (misal unit Manajemen Risiko
25
Kriteria
Sub
Dimensi
kerja khusus), namun tidak awasi oleh Direksi dan Dewan • Telah ada evaluasi rutin yang dilakukan • Direksi berperan aktif untuk
ada keterlibatan Lini Kedua Komisaris/ Dewan Pengawas minimal 1 kali per tahun terhadap mengembangkan budaya Manajemen
dan Direksi • Direksi berperan aktif untuk peningkatan budaya Risiko (misal survei Risiko
• Direksi belum berperan mengembangkan budaya budaya Risiko) termasuk mengumpulkan • Telah ada evaluasi rutin yang dilakukan
aktif untuk Manajemen Risiko masukan dari pegawai untuk pengembangan minimal 1 kali per tahun terhadap
mengembangkan budaya program budaya Risiko peningkatan budaya Risiko (misal survei
Manajemen Risiko • Budaya Risiko menjadi bagian integral dari budaya Risiko) termasuk mengumpulkan
budaya perusahaan. Budaya Risiko masukan dari pegawai untuk
tercantum pada kebijakan budaya kerja yang pengembangan program budaya Risiko
disosialisasikan di perusahaan, dan budaya • Budaya Risiko menjadi bagian integral
ini tertanam di seluruh lini perusahaan dimulai dari budaya perusahaan. Budaya Risiko
dengan penegasan dari jajaran manajemen, tercantum pada kebijakan budaya kerja
diperkuat dengan langkah nyata (yang juga yang disosialisasikan di perusahaan, dan
dapat digunakan sebagai kriteria evaluasi budaya ini tertanam di seluruh lini
kinerja pegawai): perusahaan dimulai dengan penegasan
o Cepat mengantisipasi potensi Risiko dan dari jajaran manajemen, diperkuat
menanggapinya dengan tepat dengan langkah nyata (yang juga dapat
o Menyeimbangkan target jangka pendek digunakan sebagai kriteria evaluasi
dan Risiko jangka panjang kinerja pegawai):
o Pembahasan Risiko yang sulit tetap o Cepat mengantisipasi potensi risiko
dilakukan secara konstruktif dan menanggapinya dengan tepat
o Mendukung pelaksanaan inisiatif o Menyeimbangkan target jangka
Manajemen Risiko dan secara ketat pendek dan Risiko jangka panjang
menerapkan pedoman Manajemen Risiko o Pembahasan Risiko yang sulit tetap
o Resiliensi (contohnya resiliensi dilakukan secara konstruktif
operasional, tanggap merespon peristiwa o Mendukung pelaksanaan inisiatif
yang merugikan, dan sebagainya, dengan Manajemen Risiko dan secara ketat
memberi penekanan baik dalam menerapkan pedoman Manajemen
penyusunan strategi maupun dalam Risiko
pelaksanaannya) o Resiliensi (contohnya resiliensi
operasional, tanggap merespon
peristiwa yang merugikan, dan
sebagainya, dengan memberi
penekanan baik dalam penyusunan
strategi maupun dalam
pelaksanaannya)
• Telah ada serangkaian sistem penunjang
untuk pelaksanaan dan penanaman
program budaya Risiko perusahaan,
contohnya:
o Intranet perusahaan untuk memuat
informasi yang dapat diakses
26
Kriteria
Sub
Dimensi
mengenai program budaya Risiko
dan kebijakan Risiko perusahaan
o Tersedia dashboard untuk memantau
metrik yang berkaitan dengan
budaya Risiko/program budaya
Risiko
• Telah ada bukti yang jelas atas kinerja
implementasi program budaya Risiko, di
antaranya:
o Bukti perbaikan indikator utama
berkaitan dengan budaya Risiko
perusahaan, di antaranya penurunan
jumlah kasus kecurangan internal,
korupsi, pelanggaran kode etik
pegawai, dan penurunan jumlah
kerugian dari kasus pelanggaran
tersebut
o Penyelesaian program budaya risiko
yang telah direncanakan
b. 2. Peran Penilaian • Belum ada Penilaian RMI • Telah ada Penilaian RMI yang • Telah ada Penilaian RMI yang • Telah ada Penilaian RMI yang telah • Telah ada Penilaian RMI yang telah
Kapabilitas RMI dalam yang dilakukan oleh tim dilakukan oleh tim Penilai dilakukan oleh tim Penilai diformalisasikan ke dalam kebijakan Risiko diformalisasikan ke dalam kebijakan
Risiko upaya Penilai Independen dalam Independen dalam 3 tahun terakhir Independen dalam 3 tahun perusahaan Risiko perusahaan
peningkatan 3 tahun terakhir • Penilaian RMI baik yang terakhir • Penilaian RMI dilakukan secara rutin (setiap • Penilaian RMI dilakukan secara rutin
praktik • Penilaian RMI pernah dilaksanakan Tim Penilai Internal • Penilaian RMI dilakukan secara tahun), dan telah dilaksanakan dengan baik di (setiap tahun) dan telah dilaksanakan
Manajemen dilakukan oleh Tim Penilai atau eksternal tidak dilakukan rutin (setiap tahun), setidaknya level Holding dan setiap anak perusahaan dengan baik di level Holding dan setiap
Risiko Internal namun tidak dengan periode yang sistematis dilaksanakan untuk level (jika relevan) anak perusahaan (jika relevan)
dilakukan dengan periode • Penilaian RMI belum mencakup Holding • Penilaian RMI mencakup seluruh Dimensi • Penilaian RMI mencakup seluruh
yang sistematis semua Dimensi Risiko (budaya dan • Penilaian RMI mencakup Risiko (budaya dan kapabilitas Risiko, Dimensi Risiko (budaya dan kapabilitas
• Penilaian RMI masih kapabilitas Risiko, organisasi dan seluruh Dimensi Risiko (budaya organisasi dan tata kelola Risiko, kerangka Risiko, organisasi dan tata kelola Risiko,
bersifat high-level, kajian tata kelola Risiko, kerangka Risiko dan kapabilitas Risiko, Risiko dan kepatuhan, proses dan kontrol kerangka Risiko dan kepatuhan, proses
mendalam belum dan kepatuhan, proses dan kontrol organisasi dan tata kelola Risiko, serta model, data, dan teknologi dan kontrol Risiko, serta model, data,
dilaksanakan Risiko, serta model, data, dan Risiko, kerangka Risiko dan Risiko) dan teknologi Risiko)
teknologi Risiko) kepatuhan, proses dan kontrol • Telah ada rencana perbaikan atas hasil • Telah ada rencana perbaikan atas hasil
• Telah ada rencana perbaikan atas Risiko, serta model, data, dan Penilaian RMI dengan tindak lanjut yang jelas Penilaian RMI dengan tindak lanjut yang
hasil Penilaian RMI, namun masih teknologi Risiko) (terdapat inisiatif mendetail dengan jelas (terdapat inisiatif mendetail dengan
bersifat umum (tidak detil), serta • Telah ada rencana perbaikan penanggung jawab, lini masa implementasi penanggung jawab, lini masa
tidak dilengkapi dengan lini masa atas hasil Penilaian RMI dengan terperinci) implementasi terperinci)
dan penanggung jawabnya tindak lanjut yang jelas (terdapat • Telah ada sosialisasi atas hasil Penilaian RMI • Telah ada sosialisasi atas hasil Penilaian
inisiatif mendetail dengan dan pemantauan progres tindak lanjut atas RMI dan pemantauan progres tindak
penanggung jawab, lini masa rekomendasi Penilaian RMI yang lanjut atas rekomendasi Penilaian RMI
implementasi terperinci) terdokumentasi dengan baik kepada Direksi yang terdokumentasi dengan baik
dan Dewan Komisaris/Dewan Pengawas kepada Direksi dan Dewan Komisaris/
27
Kriteria
Sub
Dimensi
• Telah ada sosialisasi atas hasil serta pemangku kepentingan terkait (misal Dewan Pengawas serta pemangku
Penilaian RMI kepada Direksi semua personel Manajemen Risiko, beserta kepentingan terkait (misal semua
dan Dewan Komisaris/Dewan personel Lini Pertama/Lini Ketiga terkait) personel Manajemen Risiko, beserta
Pengawas serta pemangku untuk memperkuat kepemilikan kematangan personel Lini Pertama/Lini Ketiga terkait)
kepentingan terkait (misal Risiko di antara semua pihak yang untuk memperkuat kepemilikan
semua personel Manajemen berkepentingan kematangan Risiko di antara semua
Risiko, beserta personel Lini • Telah ada bukti yang jelas atas kinerja pihak yang berkepentingan
Pertama/Lini Ketiga terkait) implementasi rekomendasi hasil Penilaian • Telah ada bukti yang jelas atas kinerja
untuk memperkuat kepemilikan RMI, di antaranya: implementasi hasil Penilaian RMI, di
kematangan Risiko di antara o Peningkatan skor RMI secara year-on-year, antaranya:
semua pihak yang baik di level Holding maupun anak o Peningkatan skor RMI secara year-on-
berkepentingan perusahaan (jika relevan) year, baik di level Holding maupun
o Inisiatif dan rencana tindakan perbaikan anak perusahaan (jika relevan)
dilaksanakan lebih dari 50% selama o Inisiatif dan rencana tindakan
periode pelaporan sesuai dengan peta perbaikan dilaksanakan sepenuhnya
jalan dan lini masa yang telah disusun (100%) selama periode pelaporan
sesuai dengan peta jalan dan lini masa
yang telah disusun
• Telah dilakukan verifikasi/audit Penilaian
RMI oleh pihak independen (misal audit
internal, atau tinjauan oleh pihak
eksternal independen) sebagai “check-
and-balance” untuk meminimalisir potensi
bias dalam penilaian.
3. Program • Telah ada program • Telah ada program peningkatan • Telah ada program peningkatan • Telah ada program peningkatan keahlian • Telah ada program peningkatan keahlian
peningkatan peningkatan keahlian Risiko keahlian Risiko keahlian Risiko Risiko risiko
keahlian Risiko namun: • Program dapat diakses oleh • Program dapat diakses oleh • Program dapat diakses oleh semua pegawai • Program dapat diakses oleh semua
o Program belum sebagian besar pegawai semua pegawai • Program disesuaikan dengan tingkat pegawai
diterapkan ke seluruh • Program disesuaikan dengan • Program disesuaikan dengan keahlian/jabatan, khususnya untuk personel • Program disesuaikan dengan tingkat
pegawai (misal hanya keahlian pegawai (yang memiliki tingkat keahlian/jabatan, Risiko dan anggota Dewan Komisaris/Dewan keahlian/jabatan, khususnya untuk
dikhususkan untuk akses ke pelatihan ini) khususnya untuk personel Pengawas atau Direksi personel Risiko dan anggota Dewan
Dewan Komisaris/Dewan • Topik yang dibahas dalam program Risiko dan anggota Dewan • Topik program bersifat komprehensif, Komisaris/Dewan Pengawas atau Direksi
Pengawas sehingga kemungkinan belum komprehensif Komisaris/Dewan Pengawas mencakup seluruh Dimensi Manajemen • Topik program bersifat komprehensif,
tingkat pelatihannya (misal belum mencakup seluruh atau Direksi Risiko seperti budaya dan kapabilitas Risiko, mencakup seluruh Dimensi Manajemen
rendah (misal program Dimensi Manajemen Risiko seperti • Topik program bersifat organisasi dan tata kelola Risiko, kerangka Risiko seperti budaya dan kapabilitas
pelatihan Risiko hanya budaya dan kapabilitas Risiko, komprehensif, mencakup Risiko dan kepatuhan, proses dan kontrol Risiko, organisasi dan tata kelola Risiko,
diberikan kepada kurang organisasi dan tata kelola Risiko, seluruh pilar Dimensi Risiko Risiko, serta model, data, dan teknologi kerangka Risiko dan kepatuhan, proses
dari 1% total jumlah kerangka Risiko dan kepatuhan, seperti budaya dan kapabilitas Risiko dan kontrol Risiko, serta model, data,
pegawai) proses dan kontrol Risiko, serta Risiko, organisasi dan tata • Tingkat kehadiran pelatihan di atas 95% dari dan teknologi Risiko Tingkat kehadiran
o Program tidak bersifat model, data, dan teknologi Risiko) kelola Risiko, kerangka Risiko jumlah peserta yang terdaftar pelatihan di atas 95% dari jumlah peserta
wajib/rutin (misal hanya dan kepatuhan, proses dan yang terdaftar
dilakukan secara ad-hoc) kontrol Risiko, serta model,
28
Kriteria
Sub
Dimensi
o Program pelatihan belum • Tingkat kehadiran pelatihan relatif data, dan teknologi Risiko • Program bersifat wajib dan rutin (paling • Program bersifat wajib dan rutin (paling
disesuaikan dengan tinggi di beberapa divisi saja (misal Tingkat kehadiran pelatihan di sedikit satu kali dalam setahun) sedikit satu kali dalam setahun), dan
tingkat keahlian pegawai divisi Manajemen Risiko) atas 90% dari jumlah peserta • Kurikulum ditinjau secara rutin dan formal telah diterapkan sanksi untuk
• Program tidak bersifat wajib/rutin yang terdaftar berdasarkan kebutuhan pelatihan pegawai, ketidakhadiran
(misal hanya dilakukan secara ad- • Program bersifat wajib dan rutin serta melalui proses pembaruan setiap tahun • Kurikulum ditinjau secara rutin dan formal
hoc) (paling sedikit satu kali dalam untuk memastikan kualitasnya dan diperbarui berdasarkan kebutuhan pelatihan
setahun) agar sesuai dengan risiko-risiko utama dan pegawai, serta melalui proses
• Program belum diperbarui praktik terbaik Manajemen Risiko (misal terus pembaruan setiap tahun untuk
secara rutin (misal tidak diperbarui dengan standar internasional memastikan kualitasnya dan diperbarui
dilakukan tinjauan setiap terkini) agar sesuai dengan risiko-risiko utama
tahunnya) • Telah ada “feedback-loop”/pengumpulan dan praktik terbaik Manajemen Risiko
feedback terdokumentasi dari pegawai yang (misal terus diperbarui dengan standar
telah menerima pelatihan Risiko, untuk internasional terkini)
menilai manfaat dari pelatihan Risiko • Telah ada “feedback-loop”/pengumpulan
terhadap keahlian pegawai dalam feedback terdokumentasi dari pegawai
menjalankan pekerjaannya, serta yang telah menerima pelatihan Risiko,
memberikan masukan untuk pengembangan untuk menilai manfaat dari pelatihan
program pelatihan secara berkesinambungan Risiko terhadap keahlian pegawai dalam
menjalankan pekerjaannya, serta
memberikan masukan untuk
pengembangan program pelatihan
secara berkesinambungan
• Telah dilakukan analisis untuk menilai
keberhasilan/ruang perbaikan program,
termasuk area-area di mana pegawai
belum menunjukkan kinerja yang baik
dan membutuhkan pelatihan/tes lebih
lanjut pada siklus pelatihan berikutnya
• Perusahaan terus melakukan terobosan
dalam pembelajaran melalui kolaborasi
dengan penyedia program pelatihan
Manajemen Risiko sesuai industri yang
dijalankannya untuk mengedukasi
pegawainya terkait praktik terbaik global
Manajemen Risiko (khususnya untuk
pegawai di jabatan Manajemen
penting/personel Unit Bisnis dan divisi
Manajemen Risiko)
implementasi pelatihan Risiko, di
antaranya:
29
Kriteria
Sub
Dimensi
o Penyelesaian penuh untuk pelatihan
wajib terkait Manajemen
Risiko/kesadaran Risiko untuk semua
pegawai
o Penyelesaian penuh pelatihan Risiko
berdasarkan tingkat keahlian/jabatan
untuk pegawai utama, terutama
mereka yang memegang posisi
manajerial di Lini Pertama, Kedua, dan
Ketiga (kebutuhan/keluaran pelatihan
terpenuhi)
o Telah ada bukti sanksi yang diterapkan
kepada pegawai yang tidak
menyelesaikan program pelatihan
terkait Manajemen Risiko yang telah
diwajibkan.
2. Organisasi dan Tata Kelola Risiko
a. Organ 4. Efektivitas • Belum ada fungsi Risiko, • Telah ada fungsi Risiko terpusat • Telah ada fungsi Risiko khusus • Telah ada fungsi Risiko khusus dengan • Telah ada fungsi Risiko khusus dengan
Pengelola fungsi namun telah ada beberapa berskala kecil, namun kegiatan dengan akuntabilitas akuntabilitas perorangan dan cara interaksi akuntabilitas perorangan dan cara
Risiko pengelola risiko pegawai yang diberi tugas Manajemen Risiko sebagian besar perorangan dan cara interaksi yang jelas dengan fungsi kontrol maupun interaksi yang jelas dengan fungsi kontrol
yang berkaitan dengan dilakukan secara terdesentralisasi yang jelas dengan fungsi kontrol dengan Unit Bisnis maupun dengan Unit Bisnis
Risiko meskipun secara (misal manajer Risiko dan kegiatan maupun dengan Unit Bisnis • Telah ada Direktur yang bertanggung jawab • Telah ada Direktur yang bertanggung
terdesentralisasi dan belum Manajemen Risiko tersebar di setiap • Telah ada Direktur yang atas Risiko, sesuai dengan klasifikasi Risiko jawab atas Risiko, sesuai dengan
terstruktur (misal terdapat Unit Bisnis) bertanggung jawab atas Risiko, yang diatur dalam Petunjuk Teknis Komposisi klasifikasi Risiko yang diatur dalam
manajer kontrol operasional • Telah ada kepala unit Risiko, namun sesuai dengan klasifikasi Risiko dan Kualifikasi Organ Pengelola Risiko Petunjuk Teknis Komposisi dan
yang memiliki ruang lingkup fungsi Manajemen Risiko tidak yang diatur dalam Petunjuk • Telah ada fungsi Manajemen Risiko dan Kualifikasi Organ Pengelola Risiko
kerja yang berkaitan bertanggung jawab langsung kepada Teknis Komposisi dan kepatuhan independen sebagai Lini Kedua, • Telah ada fungsi Manajemen Risiko dan
dengan Risiko di Unit Direktur yang bertanggung jawab Kualifikasi Organ Pengelola dan menjalankan tugasnya untuk menyusun kepatuhan independen sebagai Lini
Bisnis) atas Risiko Risiko metodologi dan kebijakan Manajemen Risiko Kedua, dan menjalankan tugasnya untuk
• Belum ada Kepala unit • Telah ada fungsi Manajemen • Fungsi Risiko (dengan dukungan dari fungsi menyusun metodologi dan kebijakan
Risiko, namun akuntabilitas Risiko dan kepatuhan kepatuhan) memiliki kewenangan untuk Manajemen Risiko
untuk beberapa fungsi independen sebagai Lini Kedua, menjalankan tanggung jawab utamanya yaitu: • Fungsi Risiko (dengan dukungan dari
Risiko telah dilaksanakan dan menjalankan tugasnya Mengidentifikasi Risiko; Mengukur Risiko; fungsi kepatuhan) memiliki kewenangan
oleh pimpinan lain (misal untuk menyusun metodologi Memonitor Risiko; Mengontrol atau untuk menjalankan tanggung jawab
kepala bidang Audit) dan kebijakan Manajemen memitigasi Risiko; Melaporkan eksposur utamanya yaitu: Mengidentifikasi Risiko;
Risiko Risiko Mengukur Risiko; Memonitor Risiko;
• Fungsi Risiko (dengan • Fungsi Assurance bersifat independen dan Mengontrol atau memitigasi Risiko;
dukungan dari fungsi bertugas untuk memastikan bahwa Melaporkan eksposur Risiko
kepatuhan) memiliki manajemen dan kontrol Risiko dilakukan • Fungsi Assurance bersifat independen
kewenangan untuk menjalankan secara efektif (internal audit) dan bertugas untuk memastikan bahwa
tanggung jawab utamanya yaitu:
30
Kriteria
Sub
Dimensi
Mengidentifikasi Risiko; • Telah ada pimpinan khusus yang manajemen dan kontrol Risiko dilakukan
Mengukur Risiko; Memonitor diformalisasikan (di tingkat manajemen) untuk secara efektif (internal audit)
Risiko; Mengontrol atau setiap Risiko utama (misal pimpinan khusus • Telah ada pimpinan khusus yang
memitigasi Risiko; Melaporkan untuk Risiko proyek, Risiko strategis, Risiko diformalisasikan (di tingkat manajemen)
eksposur Risiko pasar, dll.) yang selaras antara penanggung untuk setiap Risiko utama (misal
• Fungsi Assurance bersifat jawab dan konteks bisnisnya pimpinan khusus untuk Risiko proyek,
independen dan bertugas untuk • Akuntabilitas Direktorat Risiko disampaikan Risiko strategis, Risiko pasar, dll.) yang
memastikan bahwa manajemen kepada Komite Pemantau Risiko dengan alur selaras antara penanggung jawab dan
dan kontrol Risiko dilakukan pelaporan yang jelas konteks bisnisnya.
secara efektif (internal audit) • Akuntabilitas Direktorat Risiko
disampaikan kepada Komite Pemantau
Risiko dengan alur pelaporan yang jelas
• Struktur tata kelola Risiko yang jelas
untuk setiap Unit Bisnis di bawah payung
Grup (struktur tata kelola disesuaikan
untuk risiko-risiko khusus seperti Risiko
siber).
optimalisasi struktur tata kelola Risiko, di
antaranya: telah dilaksanakan
penyesuaian berkala (misal setiap tahun)
struktur organisasi Risiko beserta
penunjukan yang jelas untuk pimpinan
yang bertanggung jawab atas risiko-risiko
utama perusahaan
5. Tingkat • Belum terpenuhinya • Telah terpenuhinya kelengkapan • Telah terpenuhinya kelengkapan • Telah terpenuhinya kelengkapan organ • Telah terpenuhinya kelengkapan organ
kematangan kelengkapan organ organ pengelola Risiko sesuai organ pengelola Risiko sesuai pengelola Risiko sesuai klasifikasi Risiko pengelola Risiko sesuai klasifikasi Risiko
organ pengelola pengelola Risiko sesuai klasifikasi Risiko BUMN serta fungsi, klasifikasi Risiko BUMN serta BUMN serta fungsi, tugas, dan tanggung BUMN serta fungsi, tugas, dan tanggung
Risiko klasifikasi Risiko BUMN tugas, dan tanggung jawabnya belum fungsi, tugas, dan tanggung jawabnya sudah sesuai sebagaimana jawabnya sudah sesuai sebagaimana
serta fungsi, tugas, dan sesuai sebagaimana ketentuan jawabnya sudah sesuai ketentuan dalam PER-2/MBU/03/ 2023 ketentuan dalam PER-2/MBU/03/ 2023
tanggung jawabnya belum dalam PER-2/MBU/03/ 2023 maupun sebagaimana ketentuan dalam maupun Petunjuk Teknis mengenai maupun Petunjuk Teknis mengenai
sesuai sebagaimana Petunjuk Teknis mengenai PER-2/MBU/03/ 2023 maupun Komposisi dan Kualifikasi Organ Pengelola Komposisi dan Kualifikasi Organ
ketentuan dalam PER- Komposisi dan Kualifikasi Organ Petunjuk Teknis mengenai Risiko. Pengelola Risiko.
2/MBU/03/ 2023 maupun Pengelola Risiko (misal beberapa Komposisi dan Kualifikasi Organ • BUMN telah memiliki proses formal untuk • BUMN telah memiliki proses formal untuk
Petunjuk Teknis mengenai organ masih dirangkap dengan organ Pengelola Risiko. mengelola Risiko yang dituangkan dalam mengelola Risiko yang dituangkan dalam
Komposisi dan Kualifikasi lainnya) • BUMN telah memiliki proses kebijakan/ pedoman Manajemen Risiko kebijakan/ pedoman Manajemen Risiko
• BUMN belum memiliki • BUMN belum memiliki proses formal formal untuk mengelola Risiko • Fungsi Risiko memiliki keterampilan dalam • Fungsi Risiko memiliki keterampilan
proses formal untuk untuk mengelola risiko yang yang dituangkan dalam pengendalian dan pemodelan Risiko sebagai dalam pengendalian dan pemodelan
mengelola Risiko yang dituangkan dalam kebijakan/pedoman Manajemen dasar pengambilan keputusan berdasarkan Risiko sebagai dasar pengambilan
dituangkan dalam kebijakan/pedoman Manajemen Risiko selera Risiko dan memberikan kontribusi keputusan berdasarkan selera Risiko
Risiko • Fungsi Risiko memiliki terhadap kinerja BUMN BUMN dan memberikan kontribusi
keterampilan dalam terhadap kinerja BUMN
31
Kriteria
Sub
Dimensi
kebijakan/pedoman • Fungsi Risiko memiliki keterampilan pengendalian dan pemodelan • Seluruh organ pengelola Risiko telah • Seluruh organ pengelola Risiko telah
Manajemen Risiko. dalam pengendalian dan pemodelan Risiko sebagai dasar tersertifikasi Manajemen Risiko lebih dari 1 tersertifikasi Manajemen Risiko lebih dari
Risiko sebagai dasar pengambilan pengambilan keputusan sertifikasi 1 sertifikasi
keputusan tanpa mempertimbangkan berdasarkan selera Risiko • Praktik terbaik tata kelola Risiko
selera Risiko BUMN BUMN diterapkan di induk dan semua anak
• Seluruh organ pengelola Risiko perusahaan
telah tersertifikasi Manajemen • Keefektifan penerapan Manajemen
Risiko, minimal 1 sertifikasi. Risiko ditinjau secara berkala (misal
setiap tahun) oleh pihak independen
(internal atau eksternal), kemudian
dilakukan penyesuaian atau peningkatan
untuk mencerminkan konteks saat ini
(misal jenis Risiko utama yang ditangani,
pertumbuhan/skala bisnis, strategi, dsb.)
b. Peran 6. Keterlibatan • Dewan Komisaris/Dewan • Dewan Komisaris/Dewan Pengawas • Dewan Komisaris/Dewan • Dewan Komisaris/Dewan Pengawas • Dewan Komisaris/Dewan Pengawas
dan aktif Dewan Pengawas telah terlibat mengawasi kegiatan Manajemen Pengawas mengawasi kegiatan mengawasi kegiatan Manajemen Risiko yang mengawasi kegiatan Manajemen Risiko
Tanggung Komisaris/ pada hal-hal yang berkaitan Risiko yang bersifat regulatori dan Manajemen Risiko yang bersifat bersifat regulatori dan dianggap krusial serta yang bersifat regulatori dan dianggap
Jawab
Dewan dengan kepatuhan dianggap krusial namun belum ada regulatori dan dianggap krusial telah ada ambang eskalasi yang jelas dari krusial serta telah ada ambang eskalasi
Organ
Pengelola Pengawas terhadap regulasi, namun ambang eskalasi yang jelas dari serta telah ada ambang Direksi/Direktur Utama ke Dewan Komisaris/ yang jelas dari Direksi/Direktur Utama ke
Risiko dalam masih sedikit terlibat dalam Direksi/Direktur Utama ke Dewan eskalasi yang jelas dari Dewan Pengawas Dewan Komisaris/Dewan Pengawas
pengelolaan isu-isu Risiko lain Komisaris/Dewan Pengawas Direksi/Direktur Utama ke • Ruang lingkup keterlibatan Dewan • Ruang lingkup keterlibatan Dewan
Risiko • Ruang lingkup keterlibatan • Ruang lingkup keterlibatan Dewan Dewan Komisaris/ Dewan Komisaris/Dewan Pengawas dan Direksi Komisaris/Dewan Pengawas dan Direksi
Dewan Komisaris/Dewan Komisaris/Dewan Pengawas dan Pengawas dalam Manajemen Risiko dan pedoman dalam Manajemen Risiko dan pedoman
Pengawas dan Direksi Direksi dalam Manajemen Risiko • Telah ada ruang lingkup pengambilan keputusan dalam permasalahan pengambilan keputusan dalam
dalam Manajemen Risiko tercantum pada kebijakan keterlibatan Dewan risiko utama dengan jelas tercantum pada permasalahan risiko utama dengan jelas
belum tercantum pada Manajemen Risiko, namun belum Komisaris/Dewan Pengawas kebijakan Manajemen Risiko tercantum pada kebijakan Manajemen
kebijakan Manajemen menjelaskan tanggung jawab dan Direksi yang terdefinisi • Dewan Komisaris/Dewan Pengawas Risiko
Risiko, namun telah tertentu (misal hanya bersifat umum, dengan baik dalam kebijakan menyetujui dan mengawasi implementasi: • Dewan Komisaris/Dewan Pengawas
tercantum pada kebijakan pernyataan yang mencakup Manajemen Risiko dan o Kebijakan untuk Risiko, Manajemen Risiko, menyetujui dan mengawasi
lain (misal, piagam Dewan keseluruhan) pedoman yang jelas dalam dan kepatuhan implementasi:
Komisaris/Dewan proses pengambilan keputusan o Daftar Risiko utama o Kebijakan untuk Risiko, Manajemen
Pengawas atau piagam untuk isu-isu risiko utama o Kode etik yang menjelaskan perilaku yang Risiko, dan kepatuhan
Direksi) meskipun lingkup • Dewan Komisaris/Dewan tidak dapat diterima o Daftar Risiko utama
keterlibatan yang dijelaskan Pengawas menyetujui sebagian • Dewan Komisaris/Dewan Pengawas rutin o Kode etik yang menjelaskan perilaku
masih kurang jelas/terlalu dari poin berikut: terlibat pada permasalahan Risiko utama yang tidak dapat diterima
umum o Kebijakan untuk Risiko, selain untuk menyetujui rencana bisnis • Dewan Komisaris/Dewan Pengawas rutin
Manajemen Risiko, dan tahunan. terlibat pada permasalahan Risiko utama
kepatuhan • Dewan Komisaris/Dewan Pengawas secara selain untuk menyetujui rencana bisnis
o Daftar Risiko utama rutin terlibat dalam kegiatan sosialisasi Risiko tahunan.
o Kode etik yang menjelaskan di perusahaan (penekanan secara top-down) • Dewan Komisaris/Dewan Pengawas
perilaku yang tidak dapat secara rutin terlibat dalam kegiatan
diterima
32
Kriteria
Sub
Dimensi
• Dewan Komisaris/Dewan • Dewan Komisaris/Dewan Pengawas efektif sosialisasi Risiko di perusahaan
Pengawas rutin terlibat pada dalam mengarahkan Manajemen Risiko (penekanan secara top-down)
permasalahan Risiko utama perusahaan ke arah yang konsisten dengan • Dewan Komisaris/Dewan Pengawas
selain untuk menyetujui rencana visi perusahaan, termasuk terlibat secara efektif dalam mengarahkan Manajemen
bisnis tahunan. formal dalam penyusunan strategi Risiko, Risiko perusahaan ke arah yang
rencana transformasi ERM, dan memastikan konsisten dengan visi perusahaan,
bahwa semua keputusan strategis yang termasuk terlibat secara formal dalam
diambil oleh perusahaan didukung oleh penyusunan strategi Risiko, rencana
analisis Risiko yang memadai transformasi ERM, dan memastikan
bahwa semua keputusan strategis yang
diambil oleh perusahaan didukung oleh
analisis Risiko yang memadai
keterlibatan aktif Dewan
Komisaris/Dewan Pengawas, di
antaranya:
o Dewan Komisaris/Dewan Pengawas
telah diikutsertakan dalam
pengambilan keputusan untuk isu-isu
yang membutuhkan
eskalasi/persetujuan Dewan
Komisaris/Dewan Pengawas dalam
periode pelaporan (dengan merujuk
ambang batas materialitas yang telah
ditetapkan)
telah mengambil peran sekurang-
kurangnya dalam satu acara
sosialisasi Manajemen Risiko
Perusahaan
7. Eskalasi • Sudah ada permasalahan • Dewan Komisaris/Dewan Pengawas • Dewan Komisaris/Dewan • Dewan Komisaris/Dewan Pengawas • Dewan Komisaris/Dewan Pengawas
permasalahan berkaitan dengan risiko dan menangani eskalasi permasalahan Pengawas menangani eskalasi membuat keputusan independen dan membuat keputusan independen dan
kepada Dewan kepatuhan yang bernilai/berdampak besar atau permasalahan berbasis fakta untuk permasalahan yang berbasis fakta untuk permasalahan yang
Komisaris/Dewa dieskalasikan ke Dewan memiliki implikasi strategis yang bernilai/berdampak besar atau dieskalasikan, misal: dieskalasikan, misal:
n Pengawas Komisaris/Dewan signifikan memiliki implikasi strategis yang o Telah ada bukti atau data yang o Telah ada bukti atau data yang
Pengawas (misal dalam hal • Belum ada kriteria eskalasi yang signifikan dipresentasikan sebagai bahan dipresentasikan sebagai bahan
menangani pemenuhan jelas (memerlukan penilaian dari • Telah ada ambang batas pertimbangan Dewan Komisaris/Dewan pertimbangan Dewan
persyaratan minimum Direksi) materialitas atau kriteria yang Pengawas Komisaris/Dewan Pengawas
regulator) meskipun jelas dari isu-isu terkait risiko o Dewan Komisaris/Dewan Pengawas o Dewan Komisaris/Dewan Pengawas
eskalasi tidak dilakukan atau permasalahan atau membuat keputusan berbasis fakta dan membuat keputusan berbasis fakta
secara rutin transaksi yang perlu terdokumentasi dengan jelas (misal melalui dan terdokumentasi dengan jelas
dieskalasikan ke Dewan recording, risalah rapat) (misal melalui recording, risalah rapat)
33
Kriteria
Sub
Dimensi
• Belum ada kriteria eskalasi Komisaris/Dewan Pengawas o Dewan Komisaris/Dewan Pengawas o Dewan Komisaris/Dewan Pengawas
permasalahan berkaitan dan diformalisasikan dalam mendasarkan keputusan dengan mendasarkan keputusan dengan
dengan risiko dan kebijakan perusahaan termasuk membandingkan bukti/fakta yang disajikan membandingkan bukti/fakta yang
kepatuhan yang jelas dari yang memiliki implikasi strategis terhadap kerangka Risiko yang telah disajikan terhadap kerangka Risiko
Direksi ke Dewan yang signifikan bukan hanya disepakati (misal selera Risiko, batas yang telah disepakati (misal selera
Komisaris/Dewan permasalahan Risiko) Risiko, batas Risiko)
Pengawas berdampak/bernilai besar • Telah ada ambang batas materialitas atau • Telah ada ambang batas materialitas
kriteria yang jelas dari isu-isu terkait Risiko atau kriteria yang jelas dari isu-isu terkait
atau permasalahan atau transaksi yang perlu Risiko atau permasalahan atau transaksi
dieskalasikan ke Dewan Komisaris/Dewan yang perlu dieskalasikan ke Dewan
Pengawas dan diformalisasikan dalam Komisaris/Dewan Pengawas dan
kebijakan perusahaan termasuk yang diformalisasikan dalam kebijakan
memiliki implikasi strategis yang signifikan perusahaan termasuk yang memiliki
bukan hanya permasalahan implikasi strategis yang signifikan bukan
berdampak/bernilai besar hanya permasalahan berdampak/bernilai
besar
• Dewan Komisaris/Dewan Pengawas
tidak menjadi penghambat, misal:
o Telah ada bukti bahwa Dewan
Komisaris/Dewan Pengawas
merespon dengan cepat dan membuat
keputusan tanpa menghabiskan waktu
yang lama saat ada permasalahan
yang dieskalasikan ke tingkat komite
menyediakan waktu yang cukup untuk
mengatasi masalah Risiko yang
dieskalasikan dengan bukti
ketidakhadiran minim saat rapat
Dewan Komisaris/Dewan Pengawas
diadakan (terutama selama periode
krisis)
8. Tingkat • Dewan Komisaris/Dewan • Dewan Komisaris/Dewan Pengawas • Sebagian besar Dewan • Semua Dewan Komisaris/Dewan Pengawas • Semua Dewan Komisaris/Dewan
pemahaman Pengawas kompeten dalam kompeten dalam hal bisnis dan Komisaris/Dewan Pengawas memiliki keahlian manajemen untuk secara Pengawas memiliki keahlian dan
Risiko di jajaran hal bisnis dan manajemen, manajemen, namun hanya sebagian memiliki keahlian Manajemen efektif mengawasi strategi Manajemen Risiko kapabilitas Manajemen Risiko yang tinggi
Dewan namun memiliki keahlian kecil yang memiliki keahlian Risiko untuk secara efektif (misal semua anggota Dewan untuk secara efektif mengawasi strategi
Komisaris/ Manajemen Risiko yang Manajemen Risiko (misal beberapa mengawasi strategi Manajemen Komisaris/Dewan Pengawas telah mengikuti Manajemen Risiko (misal semua anggota
Dewan masih dasar (misal belum anggota memiliki sertifikasi Risiko (misal sebagian besar sertifikasi dasar Manajemen Risiko seperti Dewan Komisaris/Dewan Pengawas
Pengawas ada Dewan Komisaris/ Manajemen Risiko, atau memiliki anggota Dewan LSPP, BSMR, dan sebagainya) telah mengikuti sertifikasi dasar
Dewan Pengawas yang pengalaman Manajemen Risiko di Komisaris/Dewan Pengawas • Paling sedikit terdapat satu anggota Dewan Manajemen Risiko seperti LSPP, BSMR,
memiliki sertifikasi industrinya) memiliki Sertifikasi Manajemen Komisaris/Dewan Pengawas yang memiliki dan sebagainya)
Manajemen Risiko atau pengalaman Manajemen Risiko di industrinya
34
Kriteria
Sub
Dimensi
memiliki pengalaman • Rencana program pelatihan keahlian Risiko seperti LSPP, BSMR, (misal sebelumnya menjabat sebagai • Paling sedikit terdapat satu anggota
Manajemen Risiko di Manajemen Risiko bagi Dewan dan sebagainya) pimpinan bidang Manajemen Risiko) Dewan Komisaris/Dewan Pengawas
industrinya) Komisaris/Dewan Pengawas telah • Program pelatihan keahlian • Program pelatihan keahlian Manajemen yang memiliki pengalaman Manajemen
• Belum ada rencana disusun, namun belum dilaksanakan Manajemen Risiko bagi Dewan Risiko bagi Dewan Komisaris/Dewan Risiko di industrinya (misal sebelumnya
program pelatihan keahlian seluruhnya Komisaris/Dewan Pengawas Pengawas telah disusun dan disesuaikan menjabat sebagai pimpinan bidang
Manajemen Risiko bagi telah disusun dan disesuaikan dengan topik-topik edukasi Risiko saat ini dan Manajemen Risiko) dan mampu melihat
Dewan Komisaris/Dewan dengan topik-topik edukasi dilaksanakan seluruhnya seperti: potensi-potensi risiko.
Pengawas, namun telah Risiko saat ini dan dilaksanakan o Pelatihan dan sertifikasi tentang dasar- • Anggota Dewan Komisaris/Dewan
ada program yang pernah seluruhnya seperti: dasar/prinsip Manajemen Risiko Pengawas yang memiliki keahlian
diikuti secara ad-hoc (misal o Pelatihan dan sertifikasi o Forum Manajemen Risiko dengan eksekutif Manajemen Risiko ditugaskan di komite
beberapa anggota Dewan tentang dasar-dasar/prinsip industri lainnya yang tepat (misal anggota yang sangat
Komisaris/Dewan Manajemen Risiko o Materi tentang Risiko berwawasan ke berpengalaman ditunjuk menjadi kepala
Pengawas pernah o Forum Manajemen Risiko depan (forward looking) komite Risiko dibawah Dewan
menghadiri forum eksekutif dengan eksekutif industri o Materi tentang perspektif global Manajemen Komisaris/Dewan Pengawas)
berkaitan dengan topik lainnya Risiko • Program pelatihan keahlian Manajemen
Manajemen Risiko) o Materi tentang Risiko • Anggota Dewan Komisaris/Dewan Pengawas Risiko bagi Dewan Komisaris/Dewan
berwawasan ke depan yang memiliki keahlian Manajemen Risiko Pengawas telah disusun dan disesuaikan
(forward looking) ditugaskan di komite yang tepat (misal dengan topik-topik edukasi Risiko saat ini
o Materi tentang perspektif anggota yang sangat berpengalaman ditunjuk dan dilaksanakan seluruhnya, seperti:
global Manajemen Risiko menjadi kepala komite Risiko dibawah Dewan o Pelatihan dan sertifikasi tentang dasar-
• Anggota Dewan Komisaris/ Komisaris/ Dewan Pengawas) dasar/prinsip Manajemen Risiko
Dewan Pengawas yang memiliki • Anggota Dewan Komisaris/Dewan Pengawas o Forum Manajemen Risiko dengan
keahlian Manajemen Risiko berasal dari berbagai latar belakang dan eksekutif industri lainnya
ditugaskan di komite yang tepat bersifat independen yang membantu o Materi tentang Risiko berwawasan ke
(misal anggota yang sangat memberikan perspektif independen depan (forward looking)
berpengalaman ditunjuk • Telah ada komite Risiko di bawah Dewan o Materi tentang perspektif global
menjadi kepala komite Risiko Komisaris/Dewan Pengawas untuk mengelola Manajemen Risiko
dibawah Dewan Manajemen Risiko di perusahaan • Anggota Dewan Komisaris/Dewan
Komisaris/Dewan Pengawas) • Telah ada bukti yang jelas atas kinerja Pengawas berasal dari berbagai latar
• Anggota Dewan Komisaris/ pelatihan untuk Dewan Komisaris/Dewan belakang dan bersifat independen yang
Dewan Pengawas berasal dari Pengawas, di antaranya: membantu memberikan perspektif
berbagai latar belakang dan o Penyelesaian sebagian program pelatihan independen
bersifat independen yang Risiko untuk Dewan Komisaris/Dewan • Telah ada komite Risiko di bawah Dewan
membantu memberikan Pengawas yang telah direncanakan dalam Komisaris/Dewan Pengawas untuk
perspektif independen periode pelaporan mengelola Manajemen Risiko di
• Telah ada komite Risiko di o Level keahlian Risiko Dewan perusahaan
bawah Dewan Komisaris/ Komisaris/Dewan Pengawas (misal melalui • Telah ada bukti yang jelas atas kinerja
Dewan Pengawas untuk sertifikasi) dapat pelatihan untuk Dewan Komisaris/Dewan
mengelola Manajemen Risiko di dipertahankan/ditingkatkan secara year-on- Pengawas, di antaranya:
perusahaan year o Penyelesaian penuh program pelatihan
Risiko untuk Dewan Komisaris/Dewan
35
Kriteria
Sub
Dimensi
Pengawas yang telah direncanakan
dalam periode pelaporan
o Level keahlian Risiko Dewan
Komisaris/Dewan Pengawas (misal
melalui sertifikasi) dapat
dipertahankan/ditingkatkan secara
year-on-year, termasuk partisipasi
dalam program refresher
9. Peran komite- Belum ada komite Risiko di • Telah ada komite di tingkat Dewan • Telah ada komite Risiko di • Lebih dari satu komite khusus tingkat Dewan • Lebih dari satu komite khusus tingkat
komite di bawah tingkat Dewan Komisaris/ Komisaris/Dewan Pengawas untuk tingkat Dewan Komisaris/ Komisaris/Dewan Pengawas (sekurang- Dewan Komisaris/Dewan Pengawas
Dewan Dewan Pengawas, namun mengelola hal-hal yang berkaitan Dewan Pengawas untuk kurangnya komite audit, komite Risiko, dan (sekurang-kurangnya komite audit,
Komisaris/ telah ada setidaknya 1 (satu) dengan Manajemen Risiko, namun mengelola topik Manajemen komite tata kelola terintegrasi) dengan komite Risiko, dan komite tata kelola
Dewan anggota Dewan Komisaris/ komite ini tidak dikhususkan untuk Risiko di perusahaan dengan: tanggung jawab yang jelas sebagai berikut: terintegrasi) dengan tanggung jawab
Pengawas Dewan Pengawas yang mengawasi topik Manajemen Risiko o Komite Risiko bekerja secara o Komite Risiko bekerja secara independen yang jelas sebagai berikut:
bertanggung jawab atas hal- di perusahaan. independen terpisah dari terpisah dari Komite Dewan Komisaris/ o Komite Risiko bekerja secara
hal yang berkaitan dengan • Permasalahan Risiko krusial dikelola Komite Dewan Dewan Pengawas lainnya independen terpisah dari Komite
Manajemen Risiko oleh Dewan Komisaris/Dewan Komisaris/Dewan Pengawas o Komite Risiko memiliki anggota dari Dewan Komisaris/Dewan Pengawas
Pengawas secara keseluruhan, tidak lainnya manajemen senior dan tim Risiko lainnya
ditangani oleh komite khusus o Tanggung jawab dari setiap • Adanya tim audit khusus, yang bertanggung o Komite Risiko memiliki anggota dari
komite belum jelas jawab mengawasi dan terus memonitor Risiko- manajemen senior dan tim Risiko
(khususnya dalam Risiko yang berkembang (misal IT audit) untuk • Setiap Risiko utama organisasi
permasalahan yang berkaitan mendukung upaya Dewan Komisaris/Dewan dialokasikan kepada setidaknya 1 komite
dengan strategi) Pengawas dalam melakukan pengawasan di bawah Dewan Komisaris/Dewan
• Rapat komite Risiko Dewan • Rapat komite Risiko Dewan Komisaris/Dewan Pengawas yang bertanggung jawab atau
Komisaris/Dewan Pengawas Pengawas memiliki bukti yang jelas bahwa seluruh Dewan Komisaris/Dewan
sering kali difokuskan untuk anggota komite Dewan Komisaris berperan Pengawas
memberikan informasi terkini aktif dalam memberikan pengawasan, • Adanya tim sudit khusus, yang
kepada anggota komite Dewan tantangan, dan arahan yang dapat bertanggung jawab mengawasi dan terus
Komisaris/Dewan Pengawas ditindaklanjuti/langkah selanjutnya terhadap memonitor Risiko-Risiko yang
("komunikasi satu arah”) isu-isu Risiko yang dieskalasi (”diskusi dua berkembang (misal IT audit) untuk
• Komite Risiko Dewan arah”) mendukung upaya Dewan
Komisaris/Dewan Pengawas • Komite Risiko Dewan Komisaris/ Dewan Komisaris/Dewan Pengawas dalam
dilibatkan setidaknya dua kali Pengawas dilibatkan setiap tiga bulan untuk melakukan pengawasan
dalam setahun untuk rapat mengikuti rapat komite Risiko • Telah ada bukti bahwa komite
komite Risiko berinteraksi dengan manajemen secara
proaktif (tidak menunggu diminta),
terutama pada periode di mana terdapat
peningkatan potensi terjadinya peristiwa
Risiko krusial
• Rapat komite Risiko Dewan
Komisaris/Dewan Pengawas memiliki
36
Kriteria
Sub
Dimensi
bukti yang jelas bahwa anggota komite
berperan aktif dalam memberikan
pengawasan, tantangan, dan arahan
yang dapat ditindaklanjuti/langkah
selanjutnya terhadap isu-isu Risiko yang
dieskalasi ("diskusi dua arah”)
• Komite Risiko Dewan Komisaris/Dewan
Pengawas dilibatkan lebih sering dari tiga
bulan sekali untuk mengikuti rapat komite
Risiko
10. Pengurusan • Direksi belum terlibat • Direksi ikut terlibat secara aktif • Direksi ikut terlibat secara aktif • Direksi ikut terlibat secara aktif menyusun • Direksi ikut terlibat secara aktif menyusun
aktif Direksi secara aktif menyusun menyusun kebijakan dan strategi menyusun kebijakan dan kebijakan dan strategi Manajemen Risiko kebijakan dan strategi Manajemen Risiko
dalam kebijakan dan strategi Manajemen Risiko secara strategi Manajemen Risiko secara komprehensif kemudian mengusulkan secara komprehensif kemudian
pengelolaan Manajemen Risiko secara komprehensif kemudian secara komprehensif kemudian kebijakan dan strategi tersebut kepada mengusulkan kebijakan dan strategi
Risiko komprehensif mengusulkan kebijakan dan strategi mengusulkan kebijakan dan Dewan Komisaris/Dewan Pengawas tersebut kepada Dewan
• Direksi belum terlibat tersebut kepada Dewan strategi tersebut kepada Dewan • Direksi terlibat secara aktif menyusun Komisaris/Dewan Pengawas
secara aktif menyusun Komisaris/Dewan Pengawas Komisaris/Dewan Pengawas perencanaan Manajemen Risiko yang • Direksi terlibat secara aktif menyusun
perencanaan Manajemen • Direksi terlibat secara aktif • Direksi terlibat secara aktif menjadi satu kesatuan dengan RKAP perencanaan Manajemen Risiko yang
Risiko yang menjadi satu menyusun perencanaan Manajemen menyusun perencanaan • Direksi telah terlibat aktif dalam menyusun menjadi satu kesatuan dengan RKAP
kesatuan dengan RKAP Risiko yang menjadi satu kesatuan Manajemen Risiko yang dan menyampaikan laporan Manajemen • Direksi telah terlibat aktif dalam
• Direksi belum terlibat aktif dengan RKAP menjadi satu kesatuan dengan Risiko. menyusun dan menyampaikan laporan
dalam menyusun dan • Direksi telah terlibat aktif dalam RKAP • Telah ada ruang lingkup keterlibatan Direksi Manajemen Risiko.
menyampaikan laporan menyusun dan menyampaikan • Direksi telah terlibat aktif dalam dalam Manajemen Risiko dan pedoman • Telah ada ruang lingkup keterlibatan
Manajemen Risiko laporan Manajemen Risiko menyusun dan menyampaikan pengambilan keputusan dalam permasalahan Direksi dalam Manajemen Risiko dan
• Ruang lingkup keterlibatan • Ruang lingkup keterlibatan Direksi laporan Manajemen Risiko risiko utama dengan jelas tercantum pada pedoman pengambilan keputusan dalam
Direksi dalam Manajemen dalam Manajemen Risiko tercantum • Telah ada ruang lingkup kebijakan Manajemen Risiko permasalahan risiko utama dengan jelas
Risiko belum tercantum pada kebijakan Manajemen Risiko, keterlibatan Direksi yang • Direksi telah secara konsisten melaksanakan tercantum pada kebijakan Manajemen
pada kebijakan Manajemen namun belum menjelaskan tanggung terdefinisi dengan baik dalam kebijakan Manajemen Risiko dalam Risiko
Risiko, namun telah jawab tertentu (misal hanya bersifat kebijakan Manajemen Risiko menjalankan proses bisnis perusahaan • Direksi telah secara konsisten
tercantum pada kebijakan umum, pernyataan yang mencakup dan pedoman yang jelas dalam • Direksi melaksanakan kaji ulang secara melaksanakan kebijakan Manajemen
lain (misal, piagam Direksi) keseluruhan) proses pengambilan keputusan berkala untuk memastikan Ketepatan Risiko dalam menjalankan proses bisnis
meskipun lingkup • Direksi telah secara konsisten untuk isu-isu Risiko utama kebijakan prosedur Manajemen Risiko serta perusahaan
keterlibatan yang dijelaskan melaksanakan kebijakan • Direksi telah secara konsisten penetapan batasan Risiko (risk limit) dan • Direksi melaksanakan kaji ulang secara
masih kurang jelas/terlalu Manajemen Risiko dalam melaksanakan kebijakan ambang batas (threshold); kecukupan berkala untuk memastikan Ketepatan
umum menjalankan proses bisnis Manajemen Risiko dalam implementasi sistem informasi Manajemen kebijakan prosedur Manajemen Risiko
• Direksi belum secara perusahaan menjalankan proses bisnis Risiko, serta memastikan keakuratan serta penetapan batasan Risiko (risk
konsisten melaksanakan • Direksi melaksanakan kaji ulang perusahaan metodologi penilaian Risiko limit) dan ambang batas (threshold);
kebijakan Manajemen untuk memastikan ketepatan • Direksi melaksanakan kaji ulang • Direksi telah memastikan bahwa fungsi kecukupan implementasi sistem
Risiko dalam menjalankan kebijakan prosedur Manajemen secara berkala untuk Manajemen Risiko telah beroperasi secara informasi Manajemen Risiko yang
proses bisnis perusahaan Risiko serta penetapan batasan memastikan ketepatan independen terintegrasi dengan sistem informasi
Risiko (risk limit) dan ambang batas kebijakan prosedur Manajemen
37
Kriteria
Sub
Dimensi
• Kaji ulang untuk (threshold) serta kecukupan Risiko serta penetapan batasan • Direksi memonitor dan memastikan lainnya, serta memastikan keakuratan
memastikan ketepatan implementasi sistem informasi Risiko (risk limit) dan ambang pelaksanaan penanganan Risiko utama metodologi penilaian Risiko
kebijakan dan prosedur Manajemen Risiko, serta batas (threshold) serta perusahaan berjalan sesuai rencana • Direksi telah memastikan bahwa fungsi
Manajemen Risiko serta memastikan implementasi terimplementasinya sistem Manajemen Risiko telah beroperasi
penetapan batasan Risiko metodologi penilaian Risiko belum informasi Manajemen Risiko secara independen
(risk limit) dan ambang dilakukan secara berkala • Direksi telah memastikan bahwa • Direksi memonitor dan memastikan
batas (threshold) belum fungsi Manajemen Risiko telah pelaksanaan penanganan Risiko utama
dilakukan secara berkala beroperasi secara independen perusahaan berjalan sesuai rencana
• Direksi telah menerapkan Manajemen
Risiko dalam setiap pengambilan
keputusan
11. Mandat, Telah ada mandat secara • Fungsi Risiko memiliki mandat dan • Fungsi Risiko memiliki mandat • Mandat fungsi Risiko didefinisikan dengan • Mandat fungsi Risiko didefinisikan
wewenang, dan informal bagi beberapa kewenangan formal untuk yang jelas dan tercantum jelas dan tercantum dalam kerangka dengan jelas dan tercantum dalam
independensi pegawai/jajaran pimpinan menjalankan tanggung jawab dalam kerangka kebijakan. kebijakan dan dikomunikasikan ke seluruh kerangka kebijakan dan dikomunikasikan
fungsi utama untuk memantau intinya. Namun terdapat ambiguitas • Independensi dan kapabilitas pegawai ke seluruh pegawai
Manajemen Risiko, namun belum antara peran fungsi Risiko pusat staf Risiko dipastikan dengan • Telah ada bukti bahwa perusahaan • Telah ada bukti bahwa perusahaan
Risiko untuk dilaksanakan secara dengan fungsi Risiko Unit Bisnis pelatihan yang berkelanjutan melakukan tinjauan secara berkala untuk melakukan tinjauan secara berkala
memantau independen (misal pegawai (misal beberapa sumber dan kapasitas yang memadai memastikan apakah mandat, kerangka kerja, (misal setiap tahun) apakah mandat,
semua Risiko yang ditunjuk untuk daya/pegawai bertugas di • Fungsi Risiko sepenuhnya kebijakan/prosedur risiko yang diturunkan dari kerangka kerja, kebijakan/prosedur risiko
melakukan tugas pemantauan keduanya). Selain itu, terdapat terintegrasi ke semua proses fungsi risiko pusat telah diimplementasikan yang diturunkan dari fungsi risiko pusat
Risiko di Unit Bisnis juga ambiguitas terkait keputusan kontrol bisnis utama dengan baik ke seluruh lini perusahaan telah diimplementasikan dengan baik ke
bertanggung jawab untuk antara Risiko dan Unit Bisnis (termasuk Unit Bisnis/anak perusahaan) seluruh lini perusahaan (termasuk Unit
penjualan) • Fungsi risiko pusat bersifat • Fungsi risiko melapor ke Dewan Bisnis/anak perusahaan)
independen hanya dalam struktur Komisaris/Dewan Pengawas • Fungsi risiko melapor ke Dewan
organisasi dan jalur pelaporan, • Telah ada pemisahan yang jelas antara peran Komisaris/Dewan Pengawas
namun dalam pelaksanaannya fungsi risiko pusat dan fungsi risiko Unit • Telah ada pemisahan yang jelas antara
• Fungsi risiko tidak independen di Bisnis peran fungsi risiko pusat dan fungsi risiko
semua tingkatan • Telah ada independensi organisasi antara Unit Bisnis
fungsi risiko dan Unit Bisnis yang kegiatan • Telah ada independensi organisasi
dan eksposurnya ditinjau antara fungsi risiko dan Unit Bisnis yang
• Fungsi risiko (dengan dukungan dari fungsi kegiatan dan eksposurnya ditinjau
kepatuhan) memiliki kewenangan untuk • Fungsi risiko (dengan dukungan dari
menjalankan tanggung jawab intinya: fungsi kepatuhan) memiliki kewenangan
Mengidentifikasi risiko; Mengukur risiko; untuk menjalankan tanggung jawab
Memonitor risiko; Mengontrol atau memitigasi intinya:
risiko; Melaporkan eksposur risiko o Mengidentifikasi risiko
• Telah ada fungsi Risiko independen di setiap o Mengukur risiko
tingkatan Lini Kedua melakukan proses o Memonitor risiko
Assurance untuk semua jenis risiko o Mengontrol atau memitigasi risiko
o Melaporkan eksposur risiko
38
Kriteria
Sub
Dimensi
• Fungsi Risiko menerima pelatihan khusus • Fungsi risiko berperan lebih dengan
(contohnya risiko perubahan iklim, Advanced bertindak sebagai thought partner untuk
Analytics) membahas masalah risiko dengan Unit
Bisnis (misal Risiko terlibat dalam
penyusunan keputusan-keputusan
strategi bisnis penting). Unit Bisnis
sepenuhnya menyepakati peran dan
tanggung jawab jabatan tersebut
• Fungsi Risiko bekerja sebagai mitra bagi
Lini Pertama yang mampu memberikan
masukan konstruktif kepada Unit Bisnis.
12. Efektivitas • Penilaian risiko telah • Telah ada Manajer Risiko khusus • Telah ada tim sentral yang • Telah ada tim sentral khusus yang didukung • Telah ada tim sentral khusus dengan risk
fungsi dilakukan, namun oleh dalam fungsi keuangan, audit atau khusus berfokus pada strategi oleh berbagai inisiatif dari Unit Bisnis (misal ambassador atau terdapat dukungan
pengelola risiko pegawai/tim yang tidak kepatuhan (belum ada pemisahan transversal dan terkonsolidasi risk ambassador di tingkat Unit Bisnis) yang inisiatif Risiko dari setiap Unit Bisnis yang
dalam secara khusus menangani peran yang jelas antara risiko dan (misal isu Risiko yang beririsan memberikan komentar atau masukan secara memberikan komentar atau masukan
menjalankan Manajemen Risiko fungsi perusahaan lainnya) antara Unit Bisnis dan/atau efektif sebagai Lini Kedua secara efektif sebagai Lini Kedua bagi
tugasnya • Dilakukan penilaian Risiko • Dilakukan penilaian Rrisiko secara anak perusahaan) • Tim sentral memberikan standar dan Unit Bisnis
secara backward-looking, backward-looking untuk membantu • Tim sentral memberikan standar pedoman Manajemen Risiko untuk • Tim sentral memberikan standar dan
namun hanya dikhususkan mengidentifikasi dan menilai Risiko dan pedoman Manajemen perusahaan secara independen, difasilitasi pedoman Manajemen Risiko untuk
untuk Risiko khusus/kasus (tidak hanya Risiko khusus/kasus Risiko untuk perusahaan, oleh pihak eksternal (misal konsultan) hanya perusahaan secara independen,
khusus tertentu (misal khusus tertentu), namun penilaian namun masih sebagian besar untuk topik-topik khusus difasilitasi oleh pihak eksternal (misal
hanya Risiko proyek saja) masih tidak rutin dan dilakukan difasilitasi oleh pihak eksternal • Dilakukan penilaian Risiko secara forward- konsultan) hanya untuk topik-topik
secara ad-hoc (misal konsultan) looking dan memberikan wawasan mengenai khusus
• Dilakukan penilaian Risiko proyeksi Risiko ke depan untuk membantu • Dilakukan penilaian Risiko secara
secara backward-looking untuk mengidentifikasi dan menilai Risiko secara forward-looking dan memberikan
membantu mengidentifikasi dan rutin dan mengikuti standar yang telah wawasan mengenai proyeksi Risiko ke
menilai risiko secara rutin dan ditetapkan, namun penilaian masih terlalu depan (misal secara kualitatif dan
mengikuti standar yang telah bergantung dengan tim sentral Risiko (sedikit kuantitatif mengidentifikasi Risiko-Risiko
ditetapkan melibatkan Unit Bisnis) utama yang akan dihadapi perusahaan di
tahun berikutnya untuk setiap Unit Bisnis
dan untuk perusahaan secara umum)
secara rutin dan mengikuti standar yang
telah ditetapkan
• Penilaian Risiko dengan efektif
melibatkan Unit Bisnis sebagai Lini
Pertama, sehingga proses tidak terlalu
bergantung dengan tim sentral Risiko
(fungsi tim sentral Risiko mampu
menjalankan tugasnya dengan lebih
efektif sebagai penilai Risiko secara
integrasi).
39
Kriteria
Sub
Dimensi
c. Model 13. Penerapan • Model Tata Kelola Risiko • Model Tata Kelola Risiko Tiga Lini • Penerapan Model Tata Kelola • Telah ada Model Tata Kelola Risiko Tiga Lini, • Telah ada Model Tata Kelola Risiko Tiga
Tata Kelola Model Tata Tiga Lini belum telah diformalkan dalam struktur Tiga Lini telah tertuang dengan dengan peran dan tanggung jawab yang jelas Lini dengan peran dan tanggung jawab
Risiko Tiga Kelola Risiko sepenuhnya diformalkan organisasi perusahaan (misal jelas dalam bentuk kebijakan dan tepat pada jabatan tersebut yang yang jelas dan tepat pada jabatan
Lini dan
Tiga Lini dalam struktur organisasi didokumentasikan dalam bentuk Perusahaan dijalankan oleh setiap pihak untuk tersebut yang dijalankan oleh setiap
Tata Kelola
Risiko (misal tidak kebijakan perusahaan), namun • Telah ada Model Tata Kelola memastikan independensi dan objektivitas pihak untuk memastikan independensi
Terintegrasi didokumentasikan dalam masih ada tumpang tindih peran dan Risiko Tiga Lini, dengan peran • Unit Bisnis secara langsung mengidentifikasi dan objektivitas
bentuk kebijakan tanggung jawab pada jabatan dan tanggung jawab yang jelas dan mengelola risiko dalam proses bisnis • Unit Bisnis secara langsung
perusahaan) tersebut dan tepat pada jabatan tersebut sebagai Lini Pertama mengidentifikasi dan mengelola risiko
• Penerapan Model Tata • Belum ada tanggung jawab risiko yang dijalankan oleh setiap • Setiap Lini sepenuhnya menjalankan dalam proses bisnis sebagai Lini
Kelola Tiga Lini belum yang jelas dari Unit Bisnis sebagai pihak untuk memastikan perannya Pertama
secara jelas tertuang dalam Lini Pertama, masih sangat independensi dan objektivitas • Self-assurance/self-checking dilakukan di Lini • Setiap Lini sepenuhnya menjalankan
bentuk kebijakan bergantung pada Lini Kedua dan • Unit Bisnis secara langsung Pertama perannya;
Perusahaan Lini Ketiga untuk mengelola risiko mengidentifikasi dan mengelola • Telah ada bukti bahwa keefektifan Tata • Self-assurance/self-checking dilakukan di
risiko dalam proses bisnis Kelola Risiko Tiga Lini diuji secara berkala Lini Pertama
sebagai Lini Pertama untuk mengetahui adanya kesenjangan, • Telah ada bukti bahwa keefektifan tiga
• Setiap Lini sepenuhnya duplikasi, atau ketidakkonsistenan dalam lini diuji secara berkala untuk mengetahui
menjalankan perannya dan peran dan tanggung jawab guna memastikan adanya kesenjangan, duplikasi, atau
bertanggung jawab penuh optimalisasi penerapannya ketidakkonsistenan dalam peran dan
• Self-assurance/self-checking tanggung jawab guna memastikan
dilakukan di Lini Pertama optimalisasi penerapannya
• Setiap unit di seluruh Lini tidak
beroperasi sendiri-sendiri, tetapi secara
berkala mendiskusikan dan menguji
setiap upaya perbaikan berkelanjutan
(terdapat bukti/dokumentasi komunikasi)
implementasi Model Tata Kelola Risiko
Tiga Lini, di antaranya: telah
dilaksanakan penyesuaian berkala (misal
setiap tahun) terhadap struktur organisasi
Model Tata Kelola Risiko Tiga Lini
berdasarkan tinjauan rutin (termasuk
pengurangan duplikasi tanggung jawab,
dan penyempurnaan penerapan Model
Tata Kelola Risiko Tiga Lini di fungsi
penunjang), terutama terlibat dalam
mempertimbangkan dampak dari
transformasi perusahaan yang sedang
berlangsung (jika ada) terhadap desain
Model Tata Kelola Risiko Tiga Lini.
40
Kriteria
Sub
Dimensi
14. Peran dan • Kepemilikan beberapa • Perusahaan memiliki pemahaman • Perusahaan sudah menetapkan • Setiap risiko dievaluasi oleh pemilik risiko • Setiap risiko dievaluasi oleh pemilik risiko
fungsi Lini risiko dalam perusahaan mengenai penanggung jawab dan penanggung jawab dan pemilik berdasarkan alur proses bisnis beserta faktor- berdasarkan alur proses bisnis beserta
Pertama belum ditentukan kepemilikan risiko, tetapi bersifat ad- risiko (terdokumentasi secara faktor yang mempengaruhinya. faktor-faktor yang mempengaruhinya.
• Identifikasi risiko masih hoc, dan belum ada keputusan formal dan telah ada kesamaan • Telah ada dokumentasi keputusan Direksi • Telah ada dokumentasi keputusan
dilakukan oleh Lini Kedua formal (belum terdokumentasi) pemahaman dari manajemen mengenai risiko yang akan ditanggung oleh manajemen senior mengenai risiko yang
• Penanggung jawab risiko • Identifikasi risiko dilakukan oleh Lini senior mengenai risiko yang perusahaan/unit Bisnis akan ditanggung oleh perusahaan/Unit
secara tidak langsung Pertama akan ditanggung oleh • Unit Bisnis secara langsung mengidentifikasi Bisnis
sudah diemban oleh unit • Masih terdapat kesulitan dalam perusahaan/Unit Bisnis), dan mengelola risiko dalam proses bisnis • Unit Bisnis secara langsung
kerja tertentu, namun mengarahkan Lini Pertama agar khususnya untuk risiko-risiko sebagai Lini Pertama mengidentifikasi dan mengelola risiko
masih kurang optimal patuh terhadap prosedur risiko yang akan muncul (emerging • Lini Pertama telah memperhatikan kebijakan dalam proses bisnis sebagai Lini
(misal kepemilikan risiko risk) atau risiko yang baru risiko dalam penetapan target/ sasaran unit Pertama.
diemban oleh bidang ditambahkan ke taksonomi kerja dan terdapat KPI risiko di Lini Pertama • Lini Pertama telah memperhatikan
audit/kontrol/ kepatuhan) risiko perusahaan • Kepemilikan kuat risiko oleh Lini Pertama kebijakan risiko dalam penetapan target/
• Perusahaan memiliki kesadaran namun diperkirakan masih bergantung pada sasaran unit kerja dan terdapat KPI risiko
akan kepemilikan risiko atas Lini 2 (kepemilikan risiko belum sepenuhnya di Lini Pertama
mitra dan kompetitor yang efektif) • Kepemilikan risiko dipahami dengan baik
berada dalam rantai nilai dan mempengaruhi keputusan penting
Perusahaan. (misal keputusan strategis
• Lini Pertama telah mempertimbangkan input kritis dari
memperhatikan kebijakan risiko personel manajemen yang bertanggung
dalam penetapan target/ jawab atas risiko tersebut)
sasaran unit • Lini Pertama menjadi pemilik penuh
risiko dan kontrol relevan di lini yang
diemban.
• Telah ada otomatisasi kontrol
15. Peran dan • Risiko utama belum • Telah ada dan ditetapkannya risiko • Telah ada dan ditetapkannya • Telah dilakukan pemantauan risiko utama • Telah dilakukan pemantauan risiko
fungsi Lini tetapkan secara formal utama perusahaan yang dimonitor Risiko utama perusahaan yang oleh lini kedua yang menyebabkan utama oleh lini kedua yang menyebabkan
Kedua • Pengelolaan dan tanggung dan direviu oleh unit risiko. dimonitor dan direviu oleh unit tercapainya kinerja perusahaan. kinerja perusahaan tercapai melebihi
jawab risiko masih • Unit Risiko mereviu dan memantau Risiko dan dilaporkan secara • Unit Risiko mereviu dan memantau profil target.
dilakukan oleh Lini Kedua profil Risiko, peta Risiko, realisasi periodik ke Direksi. Risiko, peta Risiko, realisasi perhitungan • Unit Risiko mereviu dan memantau profil
• Beberapa risiko perhitungan Risiko inheren dan Risiko • Unit Risiko mereviu dan Risiko inheren dan Risiko residual, dan Risiko, peta Risiko, realisasi perhitungan
perusahaan di Lini Pertama residual, dan realisasi pelaksanaan memantau profil Risiko, peta realisasi pelaksanaan perlakuan Risiko dan Risiko inheren dan Risiko residual, dan
sudah dianalisis oleh Lini perlakuan Risiko dan biaya agar Risiko, realisasi perhitungan biaya agar sesuai dengan target realisasi pelaksanaan perlakuan Risiko
Kedua secara informal, sesuai dengan target penyelesaian Risiko inheren dan Risiko penyelesaian, memberi tanggapan secara dan biaya agar sesuai dengan target
namun belum ada hasil • Lini Kedua melakukan internal control residual, dan realisasi formal. Lini kedua menerapkan apresiasi dan penyelesaian, memberi tanggapan
analisis yang memadai testing dan stress testing namun pelaksanaan perlakuan Risiko hukuman kepada Lini Pertama dalam secara formal. Lini kedua menerapkan
• Lini Kedua melakukan belum dilakukan secara berkala dan biaya agar sesuai dengan pengelolaan risiko. apresiasi dan hukuman kepada Lini
tindak lanjut terhadap • Lini Kedua melakukan tindak lanjut target penyelesaian dan • Lini Kedua melakukan internal control testing Pertama dalam pengelolaan risiko.
temuan dan rekomendasi terhadap temuan dan rekomendasi memberi tanggapan secara dan stress testing secara berkala • Lini Kedua melakukan internal control
hasil audit eksternal hasil audit eksternal maupun internal formal. testing dan stress testing secara berkala
maupun internal terkait terkait Manajemen Risiko dan
41
Kriteria
Sub
Dimensi
Manajemen Risiko dan mayoritas tindak lanjut sudah sesuai • Lini Kedua melakukan internal • Lini Kedua menyampaikan risiko utama dan • Lini Kedua menyampaikan Risiko utama
hanya sebagian tindak dengan target penyelesaian. control testing secara berkala rekomendasi kepada Lini Ketiga sebagai dan rekomendasi kepada Lini Ketiga
lanjut yang sudah sesuai • Lini Kedua menyampaikan bahan penyusunan rencana audit tahunan sebagai bahan penyusunan rencana
dengan target penyelesaian Risiko utama dan rekomendasi • Lini Kedua melakukan tindak lanjut terhadap audit tahunan
kepada Lini Ketiga sebagai temuan dan rekomendasi hasil audit eksternal • Lini Kedua melakukan tindak lanjut
bahan penyusunan rencana maupun internal terkait Manajemen Risiko terhadap temuan dan rekomendasi hasil
audit tahunan yang secara keseluruhan sudah sesuai target audit eksternal maupun internal terkait
• Lini Kedua melakukan tindak penyelesaian yang diberikan Manajemen Risiko yang secara
lanjut terhadap temuan dan • Lini Kedua menyusun laporan Manajemen keseluruhan sudah sesuai target
rekomendasi hasil audit Risiko secara triwulanan kepada Direksi penyelesaian yang diberikan
eksternal maupun internal • Lini Kedua menyusun laporan
terkait Manajemen Risiko yang Manajemen Risiko secara bulanan
secara keseluruhan sudah kepada Direksi
sesuai target penyelesaian yang • Lini Kedua memastikan tindak lanjut
diberikan penyelesaian perbaikan dari RMI untuk
• Lini Kedua menyusun laporan dapat diselesaikan pada unit kerja
Manajemen Risiko secara
triwulanan kepada Direksi
16. Peran dan • Tidak terdapat piagam • Telah terdapat piagam Audit Intern • Telah terdapat piagam audit • Telah terdapat piagam audit intern dan • Telah terdapat piagam audit intern dan
fungsi Lini audit intern namun belum dilakukan pengkajian intern dan dilakukan pengkajian dilakukan pengkajian terhadap piagam dilakukan pengkajian terhadap piagam
Ketiga • Prosedur dalam terhadap piagam tersebut secara terhadap piagam tersebut tersebut secara periodik tersebut secara periodik
memastikan tata kelola dan periodik secara periodik • Dilakukan pengkajian terhadap prosedur yang • Dilakukan pengkajian terhadap prosedur
pengendalian risiko belum • Terdapat prosedur yang jelas dalam • Dilakukan pengkajian terhadap berkaitan dengan tata kelola dan yang berkaitan dengan tata kelola dan
lengkap memastikan tata kelola dan prosedur yang berkaitan dengan pengendalian risiko secara periodik pengendalian risiko secara periodik
• Terdapat rencana audit pengendalian risiko internal control tata kelola dan pengendalian • Terdapat rencana audit tahunan yang • Terdapat rencana audit tahunan yang
tahunan dan alokasi testing namun belum dilakukan risiko seperti internal control berbasis risiko dan alokasi anggaran untuk berbasis risiko dan alokasi anggaran
anggaran namun belum pengkajian secara periodik testing secara periodik pelaksanaan fungsi pengawasan intern untuk pelaksanaan fungsi pengawasan
berbasis risiko, untuk • Terdapat rencana audit tahunan dan • Terdapat rencana audit tahunan • Pelaksanaan pengawasan intern secara aktif intern
pelaksanaan fungsi alokasi anggaran namun belum yang berbasis risiko dan alokasi dilaksanakan sesuai dengan rencana audit • Pelaksanaan pengawasan intern secara
pengawasan intern berbasis risiko, untuk pelaksanaan anggaran untuk pelaksanaan tahunan, memastikan auditee menyusun aktif dilaksanakan sesuai dengan
• pelaksanaan pengawasan fungsi pengawasan intern fungsi pengawasan intern rencana tindakan perbaikan yang dapat rencana audit tahunan, memastikan
intern belum sesuai • Lini Ketiga memastikan pelaksanaan • Lini Ketiga memastikan menjawab temuan/ rekomendasi, dan auditee menyusun rencana tindakan
rencana audit tahunan pengawasan intern sesuai dengan pelaksanaan pengawasan intern berkurangnya jumlah temuan perbaikan yang dapat menjawab temuan/
• Belum dilakukan evaluasi rencana audit tahunan. sesuai dengan rencana dan • Rekomendasi perbaikan atas hasil evaluasi rekomendasi dan tidak terdapat temuan
atas efektivitas • Rekomendasi perbaikan atas hasil memastikan auditee menyusun efektivitas pelaksanaan pengendalian intern, berulang.
pelaksanaan pengendalian evaluasi efektivitas pelaksanaan rencana tindakan perbaikan Manajemen Risiko, dan proses tata kelola • Rekomendasi perbaikan atas hasil
intern/Manajemen Risiko/ pengendalian intern, manajemen yang dapat menjawab temuan/ perusahaan telah dijalankan hampir evaluasi efektivitas pelaksanaan
proses tata kelola risiko, dan proses tata kelola rekomendasi. seluruhnya (>90%) oleh manajemen pengendalian intern, Manajemen Risiko,
perusahaan sesuai dengan perusahaan telah dijalankan • Rekomendasi perbaikan atas • SPI BUMN Induk menentukan strategi dan proses tata kelola perusahaan telah
peraturan perundang- sebagian (<50%) oleh manajemen hasil evaluasi efektivitas pelaksanaan Audit Intern Anak Perusahaan dijalankan seluruhnya (100%) oleh
pelaksanaan pengendalian BUMN, merumuskan prinsip Audit Intern yang manajemen
42
Kriteria
Sub
Dimensi
undangan dan kebijakan • Lini Ketiga melakukan evaluasi atas intern, manajemen risiko, dan mencakup metodologi audit dan langkah • SPI BUMN Induk menentukan strategi
perusahaan. efektivitas pelaksanaan proses tata kelola perusahaan pelaksanaan pengendalian mutu, serta pelaksanaan Audit Intern Anak
• SPI BUMN induk pengendalian intern, Manajemen telah dijalankan sebagian besar memantau pelaksanaan Audit Intern pada Perusahaan BUMN, merumuskan prinsip
menyelaraskan strategi Risiko, dan proses tata kelola (>50%) oleh manajemen masing-masing Anak Perusahaan BUMN (jika Audit Intern yang mencakup metodologi
pelaksanaan Audit Intern perusahaan, sesuai dengan • Lini Ketiga melakukan evaluasi relevan). audit dan langkah pelaksanaan
Anak Perusahaan BUMN peraturan perundang-undangan dan atas efektivitas pelaksanaan pengendalian mutu, serta memantau
dengan strategi audit di kebijakan perusahaan. pengendalian intern, pelaksanaan Audit Intern pada masing-
BUMN Induk (jika relevan). • SPI BUMN Induk menyelaraskan Manajemen Risiko, dan proses masing Anak Perusahaan BUMN (jika
strategi pelaksanaan Audit Intern tata kelola perusahaan, sesuai relevan).
Anak Perusahaan BUMN dengan dengan peraturan perundang-
strategi audit di BUMN Induk serta undangan dan kebijakan
merumuskan prinsip Audit Intern perusahaan.
yang mencakup metodologi audit • SPI BUMN Induk menentukan
(jika relevan). strategi pelaksanaan Audit
Intern Anak Perusahaan BUMN,
merumuskan prinsip Audit Intern
yang mencakup metodologi
audit dan langkah pelaksanaan
pengendalian mutu, serta
memantau pelaksanaan Audit
Intern pada masing-masing
Anak Perusahaan BUMN (jika
relevan).
17. Interaksi antara Assurance dan Risiko Tanggung jawab antara Assurance dan • Assurance dan Risiko • Assurance dan Risiko merupakan dua tim • Assurance dan Risiko merupakan dua
fungsi Risiko dilaksanakan oleh tim yang Risiko bersifat umum dan sebagian merupakan dua tim terpisah terpisah dengan tanggung jawab yang tim terpisah dengan tanggung jawab
dan Assurance sama/tidak terpisah (misal besar tumpang tindih, atau Assurance dengan tanggung jawab yang terpisah dan terdefinisi dengan jelas yang terpisah dan terdefinisi dengan
(kepatuhan, Risiko bagian dari Assurance) dan Risiko merupakan dua tim terpisah, terpisah dan terdefinisi dengan • Fungsi Assurance tidak terlibat dalam jelas
legal, audit) namun di beberapa bagian masih jelas penyusunan atau penerapan proses • Fungsi Assurance tidak terlibat dalam
terdapat tumpang tindih tanggung • Fungsi Assurance tidak terlibat Manajemen Risiko atau mengelola risiko, penyusunan atau penerapan proses
jawab (misal Audit terlibat dalam dalam penyusunan atau sebaliknya, mereka memastikan bahwa setiap Manajemen Risiko atau mengelola risiko,
penyusunan proses Manajemen penerapan proses Manajemen risiko telah dievaluasi, dimonitor, dan sebaliknya, mereka memastikan bahwa
Risiko). Risiko atau mengelola risiko; dilaporkan dengan tepat setiap risiko telah dievaluasi, dimonitor,
sebaliknya, mereka memastikan • Fungsi Assurance bersifat independen dan dan dilaporkan dengan tepat
bahwa setiap risiko telah bertugas untuk memastikan bahwa • Fungsi Assurance bersifat independen
dievaluasi, dimonitor, dan manajemen dan kontrol risiko dilakukan dan bertugas untuk memastikan bahwa
dilaporkan dengan tepat. secara efektif (internal audit). manajemen dan kontrol risiko dilakukan
• Fungsi Assurance bersifat • Fungsi Assurance secara efektif melakukan secara efektif (internal audit)
independen dan bertugas untuk tugasnya sebagai lini terakhir terhadap • Fungsi Assurance secara efektif
memastikan bahwa manajemen pengelolaan risiko (misal terdapat bukti melakukan tugasnya sebagai lini terakhir
dan kontrol risiko dilakukan pelaksanaan tugas/laporan audit internal yang terhadap pengelolaan risiko (misal
secara efektif (internal audit). menggambarkan kegiatan evaluasi atas terdapat bukti pelaksanaan tugas/laporan
proses Manajemen Risiko) audit internal yang menggambarkan
43
Kriteria
Sub
Dimensi
kegiatan evaluasi atas proses
Manajemen Risiko)
• Interaksi antara fungsi Assurance dan
Risiko sangat kolaboratif (misal fungsi
Risiko mempertimbangkan masukan dari
fungsi Assurance sebagai bagian dari
perbaikan berkesinambungan).
18. Peran dan • Belum ada harmonisasi • Harmonisasi kebijakan tingkat induk • Direksi BUMN Induk telah • Direksi BUMN Induk telah menetapkan • Direksi BUMN Induk telah menetapkan
fungsi Tata kebijakan tingkat induk dan dan anak belum sepenuhnya menetapkan kebijakan pada kebijakan pada tingkat BUMN Induk yang kebijakan pada tingkat BUMN Induk yang
Kelola Risiko anak dilaksanakan oleh direktur yang tingkat BUMN Induk yang diharmonisasikan dengan kebijakan pada diharmonisasikan dengan kebijakan pada
Terintegrasi • Belum terdapat organ melaksanakan tugas fungsional diharmonisasikan dengan tingkat Anak Perusahaan BUMN melalui: tingkat Anak Perusahaan BUMN melalui:
(Parameter ini Komite Tata Kelola BUMN Induk dan/atau direktur yang kebijakan pada tingkat Anak o Direktur yang melaksanakan tugas o Direktur yang melaksanakan tugas
tidak perlu Terintegrasi (KTKT) sesuai melaksanakan tugas pembinaan Perusahaan BUMN melalui: fungsional BUMN Induk wajib melakukan fungsional BUMN Induk wajib
diperhitungkan dengan kategori dan • Direksi BUMN Induk memantau o Direktur yang melaksanakan harmonisasi kebijakan fungsional pada melakukan harmonisasi kebijakan
dalam klasifikasi risiko BUMN implementasi kebijakan harmonisasi tugas fungsional BUMN Induk Anak Perusahaan BUMN fungsional pada Anak Perusahaan
perhitungan dengan kebijakan BUMN Induk wajib melakukan harmonisasi o Direktur yang melaksanakan tugas BUMN
aspek Dimensi • Direksi BUMN Induk melakukan kebijakan fungsional pada pembinaan wajib memastikan keselarasan o Direktur yang melaksanakan tugas
Penilaian RMI pemantauan Risiko antara BUMN Anak Perusahaan BUMN dan sinergitas strategi BUMN Induk dan pembinaan wajib memastikan
untuk BUMN Induk dengan Anak. o Direktur yang melaksanakan Anak Perusahaan BUMN. keselarasan dan sinergitas strategi
yang tidak tugas pembinaan wajib • Direksi BUMN Induk memantau implementasi BUMN Induk dan Anak Perusahaan
memerlukan memastikan keselarasan dan kebijakan harmonisasi dengan kebijakan BUMN.
KTKT sinergitas strategi BUMN BUMN Induk. • Direksi BUMN Induk memantau
sebagaimana Induk dan Anak Perusahaan • Direksi BUMN induk menindaklanjuti arahan implementasi kebijakan harmonisasi
ketentuan BUMN. atau nasihat Dewan Komisaris/Dewan dengan kebijakan BUMN Induk.
dalam PER- • Direksi BUMN Induk memantau Pengawas dalam rangka penyempurnaan • Direksi BUMN induk menindaklanjuti
2/MBU/03/2023 implementasi kebijakan Kebijakan Tata Kelola Terintegrasi arahan atau nasihat Dewan
yaitu: harmonisasi dengan kebijakan • Direksi BUMN Induk melakukan pemantauan Komisaris/Dewan Pengawas dalam
a. BUMN BUMN Induk Risiko secara terstruktur dan terintegrasi rangka penyempurnaan Kebijakan Tata
Individu • Direksi BUMN induk antara BUMN Induk dengan Anak Kelola Terintegrasi
dengan menindaklanjuti arahan atau • Adanya organ Komite Tata Kelola • Direksi BUMN Induk melakukan
klasifikasi nasihat Dewan Komisaris/ Terintegrasi (KTKT) sesuai dengan kategori pemantauan Risiko secara terstruktur
risiko Dewan Pengawas dalam rangka dan klasifikasi risiko di BUMN Induk dan anak dan terintegrasi antara BUMN Induk
Sistemik B, penyempurnaan Kebijakan Tata perusahaan dengan Anak serta memastikan
Signifikan, Kelola Terintegrasi • Dewan Komisaris/Dewan Pengawas dijalankannya mitigasi ataupun
dan Netral; • Direksi BUMN Induk melakukan melakukan evaluasi kebijakan Tata Kelola menyiapkan mitigasi baru untuk
dan pemantauan Risiko secara Terintegrasi dan mengarahkan untuk menurunkan tingkat risiko tersebut
b. BUMN yang terstruktur dan terintegrasi penyempurnaan. Dewan Komisaris/Dewan sehingga tingkat risiko turun sesuai
tidak memiliki antara BUMN Induk dengan Pengawas mengawasi pelaksanaan dengan target.
anak Anak penyempurnaan kebijakan Tata Kelola • Adanya organ Komite Tata Kelola
perusahaan.) • Adanya organ Komite Tata Terintegrasi Terintegrasi (KTKT) sesuai dengan
Kelola Terintegrasi (KTKT) kategori dan klasifikasi risiko di BUMN
sesuai dengan kategori dan Induk dan anak perusahaan
44
Kriteria
Sub
Dimensi
klasifikasi risiko di BUMN Induk • Dewan Komisaris/Dewan Pengawas • Dewan Komisaris/Dewan Pengawas
dan anak perusahaan mengawasi penerapan Tata Kelola melakukan evaluasi kebijakan Tata
• Dewan Komisaris/Dewan Terintegrasi pada Anak Perusahaan BUMN Kelola Terintegrasi dan mengarahkan
Pengawas melakukan evaluasi agar selaras dengan kebijakan Tata Kelola untuk penyempurnaan. Dewan
kebijakan Tata Kelola Terintegrasi BUMN Induk dan Anak Komisaris/Dewan Pengawas mengawasi
Terintegrasi dan mengarahkan Perusahaan BUMN pelaksanaan penyempurnaan kebijakan
untuk penyempurnaan • Dewan Komisaris/Dewan Pengawas Tata Kelola Terintegrasi
• Dewan Komisaris/Dewan mengawasi pelaksanaan tugas dan tanggung • Dewan Komisaris/Dewan Pengawas
Pengawas mengawasi jawab Direksi BUMN Induk, serta memberikan mengawasi penerapan Tata Kelola
penerapan Tata Kelola arahan atau nasihat kepada Direksi BUMN Terintegrasi pada Anak Perusahaan
Terintegrasi pada Anak Induk atas pelaksanaan kebijakan Tata Kelola BUMN agar selaras dengan kebijakan
Perusahaan BUMN agar selaras Terintegrasi Tata Kelola Terintegrasi BUMN Induk
dengan kebijakan Tata Kelola • Dewan Komisaris/Dewan Pengawas belum dan Anak Perusahaan BUMN’
Terintegrasi BUMN Induk dan secara optimal melaksanakan pengawasan • Dewan Komisaris/Dewan Pengawas
Anak Perusahaan BUMN dan pemberian nasihat terhadap pelaksanaan mengawasi pelaksanaan tugas dan
• Dewan Komisaris/Dewan fungsi Tata Kelola Terintegrasi lainnya sesuai tanggung jawab Direksi BUMN Induk,
Pengawas mengawasi dengan ketentuan peraturan perundang- serta memberikan arahan atau nasihat
pelaksanaan tugas dan undangan, anggaran dasar, dan/atau kepada Direksi BUMN Induk atas
tanggung jawab Direksi BUMN keputusan RUPS/Menteri. pelaksanaan kebijakan Tata Kelola
Induk, serta memberikan arahan Terintegrasi
atau nasihat kepada Direksi • Dewan Komisaris/Dewan Pengawas
BUMN Induk atas pelaksanaan telah melaksanakan pengawasan dan
kebijakan Tata Kelola pemberian nasihat terhadap pelaksanaan
Terintegrasi fungsi Tata Kelola Terintegrasi lainnya
sesuai dengan ketentuan peraturan
perundang-undangan, anggaran dasar,
dan/atau keputusan RUPS/Menteri.
19. Monitoring Telah ada mandat secara • Fungsi risiko pusat tidak memiliki • Telah ada mandat/ hubungan • Telah ada mandat/hubungan formal bagi • Telah ada mandat/hubungan formal bagi
risiko entitas informal bagi beberapa mandat dan kewenangan formal formal bagi fungsi risiko pusat fungsi risiko pusat untuk memonitor risiko di fungsi risiko pusat untuk memonitor risiko
induk sampai pegawai/jajaran pimpinan untuk melaksanakan tanggung untuk memonitor risiko di seluruh lini perusahaan, termasuk dengan di seluruh lini perusahaan, termasuk
ke entitas anak utama untuk memantau risiko, jawab utamanya seluruh lini perusahaan, anak perusahaan (misal terdapat kerangka dengan anak perusahaan (misal terdapat
namun belum dilaksanakan • Tanggung jawab utama dalam termasuk dengan anak tata kelola risiko yang menjelaskan kerangka tata kelola risiko yang
secara independen (misal monitoring hanya dilakukan di tingkat perusahaan (misal terdapat kewenangan ini bagi seluruh lini perusahaan menjelaskan kewenangan ini bagi
pegawai yang ditunjuk untuk Unit Bisnis kerangka tata kelola risiko yang dan tercantum pada kebijakan Manajemen seluruh lini perusahaan dan tercantum
melakukan tugas pemantauan menjelaskan kewenangan ini Risiko) pada kebijakan Manajemen Risiko)
risiko di Unit Bisnis juga bagi seluruh lini perusahaan • Kewenangan fungsi risiko pusat dan tingkat • Kewenangan fungsi risiko pusat dan
bertanggung jawab untuk dan tercantum pada kebijakan Unit Bisnis/anak perusahaan didefinisikan dan tingkat Unit Bisnis/anak perusahaan
penjualan) Manajemen Risiko) dikomunikasikan dengan baik (misal panduan didefinisikan dan dikomunikasikan
• Kewenangan fungsi risiko mana yang diturunkan ke Unit Bisnis/anak dengan baik misal, panduan mana yang
pusat/BUMN Induk dan tingkat perusahaan (jika relevan), bagian mana yang diturunkan ke Unit Bisnis/anak
Unit Bisnis/anak perusahaan merupakan kewenangan pengambilan perusahaan (jika relevan), bagian mana
45
Kriteria
Sub
Dimensi
didefinisikan dan keputusan Unit Bisnis/anak) perusahaan dan yang merupakan kewenangan
dikomunikasikan dengan baik sebagainya pengambilan keputusan Unit Bisnis/anak
(misal panduan mana yang • Telah ada alur pelaporan yang jelas untuk perusahaan dan sebagainya
diturunkan ke Unit Bisnis/anak fungsi risiko di seluruh organisasi, termasuk • Telah ada alur pelaporan yang jelas
perusahaan (jika relevan), dari divisi risiko khusus/fungsi risiko di anak untuk fungsi risiko di seluruh organisasi,
bagian mana yang merupakan perusahaan ke fungsi risiko pusat kemudian termasuk dari divisi risiko khusus/fungsi
kewenangan pengambilan ke komite di tingkat Dewan Komisaris/Dewan risiko di anak perusahaan ke fungsi risiko
keputusan Unit Bisnis/anak) Pengawas atau Direksi yang bertanggung pusat kemudian ke komite di tingkat
perusahaan dan sebagainya jawab atas Manajemen Risiko Dewan Komisaris/Dewan Pengawas atau
• Telah ada alur pelaporan yang • Telah ada bukti bahwa perusahaan Direksi yang bertanggung jawab atas
jelas untuk fungsi risiko di melakukan tinjauan secara berkala untuk Manajemen Risiko
seluruh organisasi, termasuk memastikan apakah mandat, kerangka kerja, • Telah ada bukti bahwa perusahaan
dari divisi risiko khusus/fungsi kebijakan/prosedur risiko yang diturunkan dari melakukan tinjauan secara berkala (misal
risiko di anak perusahaan ke fungsi risiko pusat telah diimplementasikan setiap tahun) untuk menilai apakah
fungsi risiko pusat kemudian ke dengan baik ke seluruh lini perusahaan mandat, kerangka kerja,
komite di tingkat Dewan (termasuk Unit Bisnis/anak perusahaan) kebijakan/prosedur risiko yang diturunkan
Komisaris/Dewan Pengawas dari fungsi risiko pusat telah
atau Direksi yang bertanggung diimplementasikan dengan baik ke
jawab atas Manajemen Risiko seluruh lini perusahaan (termasuk Unit
Bisnis/anak perusahaan)
• Telah ada interaksi yang efektif dan
harmonis antara fungsi risiko pusat dan
divisi-divisi lain dalam hierarki
Manajemen Risiko (misal divisi risiko
khusus/fungsi risiko di anak perusahaan)
untuk menyelaraskan strategi risiko,
identifikasi dan penanganan risiko utama
(misal rapat mingguan/bulanan,
keputusan utama yang diambil dan ada
bukti bahwa keputusan tersebut efektif,
dilakukan pemantauan dan pengawasan
yang diberikan oleh fungsi risiko pusat
yang efektif dalam menjaga jadwal
proyek sesuai jadwal di semua fungsi di
bawahnya).
3. Kerangka Risiko dan Kepatuhan
a. Strategi 20. Peningkatan Telah ada inisiatif peningkatan • Telah ada pembahasan tahap awal • Telah ada pembahasan formal • Inisiatif peningkatan kualitas kerangka ERM • Inisiatif peningkatan kualitas kerangka
Risiko kualitas kualitas kerangka Enterprise mengenai peningkatan kualitas dan pengusulan inisiatif telah dijalankan dengan didukung oleh ERM telah dijalankan dengan dilakukan
kerangka Risk Management (ERM) ERM, namun belum ada insiatif yang peningkatan kualitas kerangka banyaknya kegiatan dalam penyelesaian pengukuran dampak yang jelas,
namun belum dilakukan disusun dan diusulkan ERM inisiatif tersebut contohnya secara kuantitatif (misal
penurunan jumlah peristiwa risiko) atau
46
Kriteria
Sub
Dimensi
Manajemen pembaruan/reviu selama 3 • Terdapat kerangka kerja Manajemen • Terdapat kerangka kerja • Terdapat kerangka kerja Manajemen Risiko secara kualitatif (misal jajaran
Risiko (tiga) tahun terakhir Risiko yang disusun sebagai acuan Manajemen Risiko yang disusun yang disusun sebagai acuan bagi perusahaan manajemen melakukan pemantauan
bagi perusahaan untuk menerapkan sebagai acuan bagi perusahaan untuk menerapkan Manajemen Risiko yang dengan lebih baik)
Manajemen Risiko yang terintegrasi untuk menerapkan Manajemen terintegrasi dengan aktivitas utama dan • Terdapat kerangka kerja Manajemen
dengan aktivitas utama dan aktivitas Risiko yang terintegrasi dengan aktivitas pendukung untuk pencapaian Risiko yang disusun sebagai acuan bagi
pendukung untuk pencapaian aktivitas utama dan aktivitas sasaran strategis perusahaan. perusahaan untuk menerapkan
sasaran strategis perusahaan pendukung untuk pencapaian • Kerangka kerja Manajemen Risiko telah Manajemen Risiko yang terintegrasi
• Kerangka kerja Manajemen Risiko sasaran strategis perusahaan. ditetapkan secara formal oleh pimpinan dengan aktivitas utama dan aktivitas
telah ditetapkan secara formal oleh • Kerangka kerja Manajemen perusahaan dan diterapkan secara konsisten pendukung untuk pencapaian sasaran
pimpinan perusahaan dan Risiko telah ditetapkan secara • Kerangka kerja Manajemen Risiko diturunkan strategis perusahaan.
diterapkan secara konsisten formal oleh pimpinan lebih lanjut dalam bentuk kebijakan, prosedur, • Kerangka kerja Manajemen Risiko telah
perusahaan dan diterapkan dan turunannya untuk memastikan adanya ditetapkan secara formal oleh pimpinan
secara konsisten penanaman praktik pengelolaan Risiko di perusahaan dan diterapkan secara
• Kerangka kerja Manajemen seluruh tingkatan perusahaan konsisten.
Risiko diturunkan lebih lanjut • Evaluasi terhadap efektivitas kerangka kerja • Kerangka kerja Manajemen Risiko
dalam bentuk kebijakan, Manajemen Risiko dilakukan secara berkala diturunkan lebih lanjut dalam bentuk
prosedur, dan turunannya untuk dan diperbaharui (jika dibutuhkan), namun kebijakan, prosedur, dan turunannya
memastikan adanya belum dilaporkan kepada pimpinan untuk memastikan adanya penanaman
penanaman praktik pengelolaan perusahaan praktik pengelolaan Risiko di seluruh
Risiko di seluruh tingkatan tingkatan perusahaan.
perusahaan • Telah dilakukan evaluasi terhadap
kerangka kerja Manajemen Risiko
beserta kebijakan, prosedur, dsb secara
berkala dan diperbaharui (jika
dibutuhkan) dan dilaporkan kepada
pimpinan perusahaan dalam rangka
perbaikan berkelanjutan
21. Rencana • Perusahaan belum memiliki • Perusahaan telah memiliki rencana • Perusahaan memiliki rencana • Perusahaan memiliki rencana transformasi • Perusahaan memiliki rencana
transformasi rencana transformasi transformasi ERM, untuk beberapa transformasi yang jelas untuk yang jelas untuk beberapa tahun ke depan transformasi yang jelas untuk beberapa
Enterprise Risk Enterprise Risk tahun ke depan atau jangka panjang beberapa tahun ke depan atau atau jangka panjang yang dapat tahun ke depan atau jangka panjang
Management Management (ERM) yang namun kurang mendetail, belum ada jangka panjang yang dapat ditindaklanjuti dan mendetail (misal lini masa, yang dapat ditindaklanjuti dan mendetail
jelas dan dapat prioritas pelaksanaannya, dan ruang ditindaklanjuti dan mendetail kebutuhan sumber daya, pemantauan (misal lini masa, kebutuhan sumber
ditindaklanjuti untuk lingkup transformasi hanya untuk (misal lini masa, kebutuhan program, dan sebagainya) daya, pemantauan program, dan
beberapa tahun ke depan pemenuhan persyaratan regulator sumber daya, pemantauan • Ruang lingkup transformasi jauh melampaui sebagainya)
atau jangka panjang (masih • Dalam konteks transformasi ESG: program, dan sebagainya) pemenuhan persyaratan regulator (misal • Ruang lingkup transformasi jauh
ada mentalitas 'cepat o Risiko ESG/Iklim telah tercantum • Dalam konteks transformasi menjadi bagian dari perbaikan berkelanjutan), melampaui pemenuhan persyaratan
merasa puas' atas pada taksonomi ESG: transformasi didasarkan pada benchmark regulator (misal menjadi bagian dari
kematangan Enterprise Risk o Beberapa implikasi risiko o Risiko ESG/Iklim telah untuk menerapkan best-practice secara perbaikan berkelanjutan), transformasi
Management saat ini) ESG/Iklim dimasukkan ke dalam tercantum pada taksonomi global dalam perusahaan didasarkan pada benchmark untuk
• Dalam konteks transformasi Kerangka Kerja ERM tetapi hanya o Implikasi risiko ESG/Iklim • Dalam konteks transformasi ESG: menerapkan best-practice secara global
ESG: secara umum (misal risiko dimasukkan secara jelas ke o Risiko ESG/Iklim telah tercantum pada dalam perusahaan
ESG/Iklim hanya menjadi bagian dalam Kerangka Kerja ERM taksonomi • Program diperbarui secara rutin
47
Kriteria
Sub
Dimensi
o Risiko ESG/Iklim telah kecil dari keseluruhan strategi o Telah ada tim khusus o Implikasi risiko ESG/Iklim dimasukkan • Telah ada tim khusus yang bertanggung
tercantum pada ESG/Iklim atau belum ada ESG/Iklim yang dibentuk. secara jelas ke dalam Kerangka Kerja ERM jawab atas pelaksanaan rencana
taksonomi namun rencana eksekusi mendetail) o Telah dilakukan analisis o Telah ada tim khusus ESG/Iklim yang transformasi dan kesuksesannya. Unit
implikasinya terhadap terhadap dampak risiko dibentuk. Bisnis dan fungsi lainnya terlibat dalam
kerangka risiko belum ESG/Iklim pada portofolio o Telah dilakukan analisis terhadap dampak rencana transformasi ini (misal dalam
dikaji o Tersedia beberapa analisis risiko ESG/Iklim pada portofolio tahap perancangan dan
dan data. o Tersedia beberapa analisis dan data pelaksanaannya)
o Telah ada target khusus yang ditetapkan • Pengukuran yang jelas atas estimasi
dan dikomunikasikan "value-at-stake" yang akan diperoleh dari
o Telah ada rencana jangka panjang untuk program transformasi ERM yang
mencapai target dimonitor ketika program
diimplementasikan (fokus ERM bergeser
dari "kepatuhan" ke "value capture”)
• Dalam konteks transformasi ESG:
o Risiko ESG/Iklim telah tercantum pada
taksonomi
o Implikasi risiko ESG/Iklim dimasukkan
secara jelas ke dalam Kerangka Kerja
ERM
o Telah ada tim khusus ESG/Iklim yang
dibentuk.
o Telah dilakukan analisis terhadap
dampak risiko ESG/Iklim pada
portofolio
o Tersedia beberapa analisis dan data
o Telah ada target khusus yang
ditetapkan dan dikomunikasikan
o Telah ada rencana jangka panjang
untuk mencapai target
o Selain agenda-agenda defensif
(menghindari kerugian), perusahaan
menggali peluang bisnis baru dan
pertumbuhan melalui agenda
ESG/Iklim (meraih manfaat dari risiko
tersebut).
22. Peran Telah ada strategi perusahaan • Strategi perusahaan dan bisnis • Dilakukan penyelarasan secara • Dilakukan penyelarasan secara rutin antara • Dilakukan penyelarasan secara rutin
Manajemen dan strategi risiko, namun ditetapkan terlebih dahulu, kemudian rutin antara strategi perusahaan strategi perusahaan dan strategi risiko untuk antara strategi perusahaan dan strategi
Risiko dalam penyusunannya dilakukan strategi risiko didefinisikan dan strategi risiko untuk memastikan bahwa rencana strategis telah risiko untuk memastikan bahwa rencana
penyusunan secara terpisah setelahnya (risiko baru menjadi memastikan bahwa rencana mempertimbangkan risiko (misal anggaran strategis telah mempertimbangkan risiko
rencana pertimbangan setelah strategi bisnis strategis telah tahunan, penentuan proyek strategis) (misal anggaran tahunan, penentuan
strategis tersusun) mempertimbangkan risiko (misal • Rencana strategis perusahaan sepenuhnya proyek strategis)
mempertimbangkan risiko yang dilakukan
48
Kriteria
Sub
Dimensi
• Unit Bisnis tidak bekerja sama anggaran tahunan, penentuan dengan pendekatan sistematis dan terstruktur • Rencana strategis perusahaan
dengan divisi Risiko dalam proyek strategis) (mempertimbangkan skenario risiko dalam sepenuhnya mempertimbangkan risiko
penyusunan rencana strategis • Risiko dipertimbangkan dalam upaya pencapaian sasaran perusahaan) yang dilakukan dengan pendekatan
perencanaan strategis hanya • Implikasi risiko terhadap rencana strategis sistematis dan terstruktur
untuk menghindari kerugian perusahaan dipahami dengan baik, misalnya: (mempertimbangkan skenario risiko
(Downside-risk), belum untuk o Manajemen mengetahui perilaku dalam upaya pencapaian sasaran
menggali manfaat/peluang dari pengambilan risiko yang diperlukan dan perusahaan)
risiko (upside-risk) kaitannya dengan strategi risiko • Implikasi risiko terhadap rencana
o Setiap keputusan penting strategi strategis perusahaan dipahami dengan
perusahaan harus didukung oleh analisis baik, misalnya:
risiko yang spesifik untuk keputusan o Manajemen mengetahui perilaku
tersebut pengambilan risiko yang diperlukan
dan kaitannya dengan strategi risiko
o Setiap keputusan penting strategi
perusahaan (misal dalam RKAP/RJP)
harus didukung oleh analisis risiko
yang spesifik untuk keputusan tersebut
• Telah ada bukti dan dokumentasi bahwa
fungsi Risiko dan fungsi Strategi bekerja
sama menjadi mitra dalam pembahasan
dan penyusunan keseluruhan strategi
risiko dan strategi perusahaan,
contohnya:
o Personil risiko utama dilibatkan secara
ekstensif dalam proses penetapan
strategi (bukan hanya di akhir proses
untuk "memeriksa" atau "menyetujui"
strategi yang ditetapkan
o Telah ada analisis risiko yang
digunakan untuk menguji dan
memperkaya pertimbangan strategis
(risiko mengambil peran aktif dan
memberi nilai tambah)
o Analisis risiko difokuskan pada prinsip-
prinsip penciptaan
nilai/menyeimbangkan pertimbangan
sisi positif dan negatif (daripada hanya
berfokus pada mengurangi sisi negatif)
• Unit Bisnis memahami cara
mempertimbangkan risiko dalam
perencanaan strategis untuk menggali
manfaat
49
Kriteria
Sub
Dimensi
penerapan Manajemen Risiko dalam
penyusunan rencana strategis, di
antaranya:
o Metrik yang menilai keberhasilan
strategi perusahaan ditetapkan dengan
target yang dikaitkan dengan analisis
risiko yang sesuai (misal trade-off dari
pengambilan keputusan strategis
dipertimbangkan dalam scenario
analysis)
o Pemantauan progres strategi
perusahaan melibatkan personel risiko
senior
23. Hubungan Evaluasi peran Manajemen • Telah ada kerangka kerja informal • Telah ada kerangka kerja formal • Telah ada kerangka kerja formal untuk • Telah ada kerangka kerja formal untuk
peran Risiko terhadap pencapaian untuk mengevaluasi peran untuk mengevaluasi peran mengevaluasi peran Manajemen Risiko mengevaluasi peran Manajemen Risiko
Manajemen target strategis RKAP telah Manajemen Risiko terhadap Manajemen Risiko terhadap terhadap pencapaian target strategis RKAP, terhadap pencapaian target strategis
Risiko terhadap dilakukan, namun prosesnya pencapaian target strategis RKAP. pencapaian target strategis termasuk analisis: RKAP, termasuk analisis:
pencapaian belum terstruktur (kerangka Evaluasi tersebut dilakukan dan RKAP, termasuk analisis: o Jika target perusahaan tercapai, apa saja o Jika target perusahaan tercapai, apa
target strategis kerja belum dibentuk, analisis dibahas secara informal (misal o Jika target perusahaan praktik Manajemen Risiko (misal budaya saja praktik Manajemen Risiko (misal
RKAP dilakukan secara ad-hoc) dan dibahas di rapat Manajemen Risiko tercapai, apa saja praktik risiko, organisasi dan tata kelola, kerangka budaya risiko, organisasi dan tata
belum dilakukan pembahasan Dewan Komisaris/Dewan Pengawas Manajemen Risiko (misal kerja dan kepatuhan, proses dan kontrol, kelola, kerangka kerja dan kepatuhan,
(misal dibahas di rapat atau Direksi secara ad-hoc) serta budaya risiko, organisasi dan model, data, dan teknologi) yang proses dan kontrol, model, data dan
Manajemen Risiko Dewan belum ada analisis yang jelas dan tata kelola, kerangka kerja berkontribusi terhadap pencapaian tersebut teknologi) yang berkontribusi terhadap
Komisaris/Dewan Pengawas detail dan kepatuhan, proses dan (misal pencegahan/pengurangan dampak pencapaian tersebut (misal
atau Direksi) • Evaluasi dilakukan hanya sebagai kontrol, model, data dan peristiwa risiko yang dapat mempengaruhi pencegahan/pengurangan dampak
"formalitas" misal belum ada langkah teknologi) yang berkontribusi kemampuan BUMN untuk mencapai target) peristiwa risiko yang dapat
tindak lanjut yang jelas untuk terhadap pencapaian tersebut o Jika target perusahaan tidak tercapai, apa mempengaruhi kemampuan BUMN
memperbaiki kekurangan dalam (misal saja praktik Manajemen Risiko yang untuk mencapai target)
praktik Manajemen Risiko yang pencegahan/pengurangan berkontribusi terhadap kegagalan o Jika target perusahaan tidak tercapai,
dievaluasi untuk meningkatkan dampak peristiwa risiko yang pencapaian target (misal peristiwa risiko apa saja praktik Manajemen Risiko
potensi pencapaian target RKAP dapat mempengaruhi yang berdampak pada kemampuan BUMN yang berkontribusi terhadap kegagalan
berikutnya kemampuan BUMN untuk untuk mencapai target dan dapat pencapaian target (misal peristiwa
mencapai target) dicegah/dikurangi dampaknya dengan risiko yang berdampak pada
o Jika target perusahaan tidak praktik manajemen risiko yang lebih baik) kemampuan BUMN untuk mencapai
tercapai, apa saja praktik • Evaluasi ini secara efektif membantu BUMN target, dan dapat dicegah/dikurangi
Manajemen Risiko yang memperbaiki praktik Manajemen Risiko untuk dampaknya dengan praktik
berkontribusi terhadap perencanaan RKAP berikutnya (misal Manajemen Risiko yang lebih baik)
kegagalan pencapaian target kekurangan yang ditemukan telah • Evaluasi ini secara efektif membantu
(misal peristiwa risiko yang ditindaklanjuti atau kelebihan/kekuatan terus BUMN memperbaiki praktik Manajemen
berdampak pada kemampuan dipertahankan atau bahkan ditingkatkan lebih Risiko untuk perencanaan RKAP
BUMN untuk mencapai jauh) serta memiliki langkah tindak berikutnya (misal kekurangan yang
50
Kriteria
Sub
Dimensi
target, dan dapat lanjut/inisiatif perbaikan yang jelas (misal ditemukan telah ditindaklanjuti atau
dicegah/dikurangi dampaknya ditunjuknya penanggung jawab, lini kelebihan/ kekuatan terus dipertahankan
dengan praktik Manajemen masa/milestone jelas, dilakukan monitoring, atau bahkan ditingkatkan lebih jauh)
Risiko yang lebih baik) dsb) serta memiliki langkah tindak
• Evaluasi dilakukan hanya • Analisis bersifat backward-looking dan lanjut/inisiatif perbaikan yang jelas (misal
sebagai "formalitas" misal mengevaluasi kinerja pada periode saat ditunjuknya penanggung jawab, lini
belum ada langkah tindak lanjut ini/sebelumnya (misal belum ada analisis masa/milestone jelas, dilakukan
yang jelas untuk memperbaiki skenario kuantitatif forward-looking mengenai monitoring
kekurangan dalam praktik bagaimana pengaruh praktik Manajemen • Dilakukan analisis backward-looking dan
Manajemen Risiko yang Risiko terhadap keberhasilan/kegagalan forward-looking untuk pencapaian
kemudian dievaluasi untuk pencapaian target RKAP periode berikutnya (misal terdapat
meningkatkan potensi analisis skenario kuantitatif forward-
pencapaian target RKAP looking mengenai bagaimana pengaruh
berikutnya praktik Manajemen Risiko tertentu
terhadap keberhasilan/kegagalan
pencapaian target RKAP)
24. Kapasitas risiko Telah dilakukan identifikasi • Telah ada elemen-elemen utama • Telah ada elemen-elemen • Telah ada elemen penting kapasitas risiko • Telah ada elemen penting kapasitas
elemen-elemen kapasitas kapasitas risiko yang relevan utama kapasitas risiko yang (misal terdapat perhitungan detail/daftar risiko (misal terdapat perhitungan
risiko yang relevan terhadap terhadap perusahaan (misal Net relevan terhadap perusahaan metrik kapasitas risiko yang dapat ditanggung detail/daftar metrik kapasitas risiko yang
perusahaan namun kapasitas Working Capital, EBITDA, atau (misal Net Working Capital , oleh perusahaan) dapat ditanggung oleh perusahaan)
risiko belum ditetapkan persyaratan modal minimum untuk EBITDA, atau persyaratan • Telah ada prosedur yang mengatur • Kapasitas risiko telah mencakup
mengantisipasi loss event, dan lain modal minimum untuk penyusunan kapasitas risiko yang dihitung identifikasi dan pengelolaan berbagai
sebagainya) mengantisipasi loss event, dan berdasarkan data historis atau persyaratan jenis risiko, termasuk risiko operasional,
• Telah ada prosedur yang mengatur lain sebagainya) minimum regulator keuangan, lingkungan, reputasi, dan
penyusunan kapasitas risiko yang • Telah ada prosedur yang • Kapasitas risiko menjadi dasar dalam lainnya yang relevan bagi perusahaan
dihitung berdasarkan data historis mengatur penyusunan menetapkan selera risiko, toleransi risiko, dan • Telah ada prosedur yang mengatur
atau persyaratan minimum regulator kapasitas risiko yang dihitung limit risiko penyusunan kapasitas risiko yang
• Belum dilakukan analisis yang berdasarkan data historis atau • Elemen penting kapasitas risiko (misal dihitung berdasarkan data historis atau
mendalam untuk menentukan persyaratan minimum regulator perhitungan detail/daftar metrik kapasitas persyaratan minimum regulator
kapasitas risiko yang dapat • Telah dilakukan analisis dan risiko) ditinjau setiap tahun dan diperbaharui • Kapasitas risiko menjadi dasar dalam
ditanggung Perusahaan sudah terdapat kapasitas risiko (jika dibutuhkan) menetapkan selera risiko, toleransi risiko,
yang dapat ditanggung • Kapasitas risiko dikomunikasikan kepada dan limit risiko
Perusahaan dan telah seluruh pihak yang terlibat dalam penerapan • Elemen penting kapasitas risiko (misal
ditetapkan secara formal Manajemen Risiko perusahaan perhitungan detail/daftar metrik kapasitas
• Kapasitas risiko menjadi dasar risiko) ditinjau setiap tahun dan
dalam menetapkan selera diperbaharui (jika dibutuhkan)
risiko, toleransi risiko, dan limit • Kapasitas risiko dikomunikasikan kepada
risiko seluruh pihak yang terlibat dalam
• Elemen penting kapasitas risiko penerapan Manajemen Risiko
(misal perhitungan detail/daftar perusahaan
metrik kapasitas risiko) ditinjau
51
Kriteria
Sub
Dimensi
setiap tahun dan diperbaharui
(jika dibutuhkan).
25. Selera Risiko • Telah ada konsep informal • Telah ada konsep selera risiko yang • Telah ada pernyataan selera • Telah ada pernyataan selera risiko formal • Telah ada pernyataan selera risiko formal
selera risiko secara untuk beberapa jenis risiko (misal risiko formal yang yang terhubung/konsisten dengan kapasitas yang terhubung/konsisten dengan
umum/garis besar (misal keinginan untuk menjaga rating), terhubung/konsisten dengan risiko kapasitas risiko
perusahaan berusaha namun konsep selera risiko belum kapasitas risiko • Mencakup Dimensi dan ambang batas • Mencakup Dimensi dan ambang batas
untuk menghindari kerugian dipahami dan digunakan secara • Mencakup Dimensi dan ambang kuantitatif dan kualitatif (misal untuk kuantitatif dan kualitatif (misal untuk
neraca dari semua jelas (belum ada prosedur/standar batas kuantitatif dan kualitatif menangkap permasalahan risiko yang lebih menangkap permasalahan risiko yang
peristiwa risiko yang tidak perumusan selera risiko) (misal untuk menangkap kualitatif seperti risiko reputasi) lebih kualitatif seperti risiko reputasi)
melebihi batas tertentu), • Selera risiko yang ada cenderung permasalahan risiko yang lebih • Selera risiko menjadi salah satu • Selera risiko menjadi salah satu
meskipun belum ada bersifat kualitatif, tanpa ada kualitatif seperti risiko reputasi) pertimbangan dalam penyusunan rencana pertimbangan dalam penyusunan
pernyataan selera risiko keterkaitan dengan kapasitas risiko • Selera risiko menjadi salah satu strategis perusahaan rencana strategis perusahaan
untuk setiap jenis risiko pertimbangan dalam • Telah ada penentuan target yang jelas (misal • Pernyataan selera risiko memiliki
• Perumusan selera risiko penyusunan rencana strategis bagian modal yang dialokasikan), peringatan toleransi risiko, ambang batas, dan
telah direncanakan sebagai perusahaan dan nilai batas dari setiap risiko yang ada di metrik untuk beberapa risiko (misal risiko
bagian dari insiatif di masa • Telah ada penentuan target taksonomi, yang disetujui oleh Direksi, di operasional, risiko pasar), baik dalam
mendatang untuk yang jelas (misal bagian modal dalam kerangka selera risiko bentuk kuantitatif dan kualitatif
transformasi Manajemen yang dialokasikan), peringatan • Pernyataan selera risiko mencakup semua • Dilakukan kaji ulang/reviu rutin terhadap
Risiko di perusahaan dan nilai batas dari setiap risiko risiko utama, termasuk metrik yang jelas pernyataan selera risiko (misal tahunan)
yang ada di taksonomi, yang untuk masing-masing pernyataan sebagai bagian dari proses formal
disetujui oleh Direksi, di dalam • Selera risiko secara efektif diterapkan di • Selera risiko dan strategi risiko menjadi
kerangka selera risiko perusahaan, termasuk: bagian inti dari materi komunikasi
• Pernyataan selera risiko o Keputusan strategis dibuat dengan investor dan pemangku kepentingan
mencakup semua risiko utama, mempertimbangkan konteks selera risiko eksternal (misal tercantum di laman web
termasuk metrik yang jelas o Proses bisnis yang melibatkan keputusan dan laporan tahunan)
untuk masing-masing terkait dengan pernyataan selera risiko • Pemangku kepentingan utama (termasuk
pernyataan harus dimodifikasi untuk memastikan Unit Bisnis) dapat menjelaskan
kepatuhan terhadap pernyataan selera pernyataan selera risiko dan alasan-
risiko (misal perencanaan strategis, alasannya, dan sepenuhnya
perencanaan modal, stress testing) menyepakatinya
o Pernyataan selera risiko dibuat secara • Selera risiko secara efektif diterapkan di
bertahap (misal metrik khusus Unit Bisnis) perusahaan, termasuk:
dengan arahan yang jelas untuk o Keputusan strategis dibuat dengan
diselaraskan dengan pernyataan selera mempertimbangkan konteks selera
risiko di tingkat perusahaan risiko
o Telah ada peraturan yang jelas mengenai o Proses bisnis yang melibatkan
kewajiban untuk mematuhi selera risiko dan keputusan terkait dengan pernyataan
prosedur untuk memberikan persetujuan selera risiko harus dimodifikasi untuk
atas setiap pengecualian. memastikan kepatuhan terhadap
• Telah ada bukti yang jelas atas kinerja pernyataan selera risiko (misal
implementasi selera risiko yang baik dalam
penerapan selera risiko di tingkat perusahaan
52
Kriteria
Sub
Dimensi
perencanaan strategis, perencanaan
modal, stress testing)
o Pernyataan selera risiko dibuat secara
bertahap (misal metrik khusus Unit
Bisnis) dengan arahan yang jelas
untuk diselaraskan dengan pernyataan
selera risiko di tingkat perusahaan
o Telah ada peraturan yang jelas
mengenai kewajiban untuk mematuhi
selera risiko dan prosedur untuk
memberikan persetujuan atas setiap
pengecualian
implementasi selera risiko yang baik
dalam penerapan selera risiko di tingkat
perusahaan
26. Komunikasi Beberapa pernyataan selera Telah ada komunikasi yang jelas Selera dan strategi risiko adalah • Selera dan strategi risiko adalah bagian inti • Selera dan strategi risiko adalah bagian
selera Risiko risiko telah disampaikan kepada pemangku kepentingan bagian inti dari komunikasi investor dari komunikasi investor dan pemangku inti dari komunikasi investor dan
kepada kepada pemangku eksternal mengenai semua selera dan pemangku kepentingan kepentingan eksternal lainnya serta pemangku kepentingan eksternal lainnya
pemangku kepentingan eksternal namun risiko, namun penyampaian selera eksternal lainnya, serta penyampaiannya dilakukan secara rutin, serta penyampaiannya dilakukan secara
kepentingan dalam konteks ad-hoc risiko belum dilakukan secara rutin penyampaiannya dilakukan secara misal tercantum pada laporan tahunan rutin, misal tercantum pada laporan
eksternal rutin, misal tercantum pada • Pemangku kepentingan utama memahami tahunan
laporan tahunan dan menerima selera dan strategi risiko. • Pemangku kepentingan utama
memahami dan menerima selera dan
strategi risiko
• Dilakukan pembahasan secara aktif
mengenai selera dan strategi risiko
bersama pemangku kepentingan utama
(misal dibahas dalam rapat triwulanan
pemegang saham).
b. Kebijakan 27. Kebijakan Kebijakan terkait proses • Perusahaan memiliki kebijakan risiko • Perusahaan memiliki kebijakan • Perusahaan memiliki kebijakan risiko yang • Perusahaan memiliki kebijakan risiko
dan Risiko Manajemen Risiko untuk yang meliputi: risiko yang meliputi: meliputi: yang meliputi:
Prosedur mengelola setiap risiko utama o Adanya kepemilikan dan tanggung o Adanya kepemilikan dan o Telah ada kepemilikan dan tanggung jawab o Telah ada kepemilikan dan tanggung
belum lengkap atau telah jawab yang jelas untuk mengelola tanggung jawab yang jelas yang jelas untuk mengelola risiko-risiko jawab yang jelas untuk mengelola
lengkap namun belum risiko-risiko utama untuk mengelola risiko-risiko utama risiko-risiko utama
direviu/diperbaharui dalam 5 o Adanya penanggung jawab yang utama o Telah ada penanggung jawab yang jelas o Telah ada penanggung jawab yang
tahun terakhir jelas dan memiliki kapabilitas yang o Adanya penanggung jawab dan memiliki kapabilitas yang ditunjuk untuk jelas dan memiliki kapabilitas yang
ditunjuk untuk mengelola setiap yang jelas dan memiliki mengelola setiap risiko utama ditunjuk untuk mengelola setiap risiko
risiko utama kapabilitas yang ditunjuk o Telah ada garis tanggung jawab yang jelas utama
o Adanya garis tanggung jawab untuk mengelola setiap risiko dari Direktur Utama ke Lini Pertama untuk o Telah ada garis tanggung jawab yang
yang jelas dari Direktur Utama ke utama setiap risiko utama jelas dari Direktur Utama ke Lini
Pertama untuk setiap risiko utama
53
Kriteria
Sub
Dimensi
Lini Pertama untuk setiap risiko o Adanya garis tanggung jawab • Telah ada kebijakan dan proses yang • Telah ada kebijakan dan proses yang
utama yang jelas dari Direktur komprehensif untuk mengelola setiap risiko komprehensif untuk mengelola setiap
• Kebijakan risiko belum Utama ke Lini Pertama untuk utama, misal: risiko utama, misal:
direviu/diperbaharui dalam 3 tahun setiap risiko utama o Telah ada SOP asesmen risiko, prioritisasi, o Telah ada SOP asesmen risiko,
terakhir • Kebijakan risiko telah rutin mitigasi, monitoring, sistem peringatan dini, prioritisasi, mitigasi, monitoring, sistem
direviu/diperbaharui setiap 2 dan metrik yang terperinci peringatan dini, dan metrik yang
o Telah ada kebijakan risiko dan kepatuhan terperinci
tahun
di tingkat grup dilengkapi kebijakan tingkat o Telah ada kebijakan risiko dan
• Telah ada proses/alur logis
lokal/unit/anak perusahaan untuk kepatuhan di tingkat grup dilengkapi
untuk mengelola beberapa
mencakup seluruh risiko relevan kebijakan tingkat lokal/unit/anak
risiko utama sesuai dengan
• Telah ada kaji ulang dan perbaikan proses perusahaan untuk mencakup seluruh
selera risiko, namun proses- Manajemen Risiko, termasuk: risiko relevan
proses tersebut belum o Telah ada feedback sistematis dari “near- • Telah ada kaji ulang dan perbaikan
sepenuhnya lengkap atau misses” sampai dengan perbaikan proses proses Manajemen Risiko, termasuk:
belum diperbarui o Usulan revisi dokumen kebijakan o Telah ada feedback sistematis dari
dikomunikasikan ke pemangku kepentingan “near-misses” sampai dengan
relevan di seluruh lini perbaikan proses
o Memastikan tidak adanya ambiguitas peran o Usulan revisi dokumen kebijakan
dan tanggung jawab yang tercantum dalam dikomunikasikan ke pemangku
kebijakan risiko kepentingan relevan di seluruh lini
o Memastikan bahwa kebijakan risiko o Memastikan tidak adanya ambiguitas
diturunkan menjadi Standar dan Prosedur peran dan tanggung jawab yang
• Kebijakan memuat rencana kontingensi yang tercantum dalam kebijakan risiko
terperinci dan terdefinisi dengan baik, dengan o Memastikan bahwa kebijakan risiko
alur spesifik atas langkah yang dibutuhkan diturunkan menjadi Standar dan
• Kebijakan dikaji ulang secara rutin (sekurang- Prosedur
kurangnya satu kali dalam dua tahun) • Kebijakan memuat rencana kontingensi
yang terperinci dan terdefinisi dengan
baik, dengan alur spesifik atas langkah
yang dibutuhkan
• Kebijakan dikaji ulang secara rutin
(sekurang-kurangnya satu kali dalam dua
tahun)
• Setiap pegawai memahami dan
menerima peran dan tanggung jawabnya
yang berkaitan dengan kebijakan dan
proses pengelolaan risiko-risiko utama,
contohnya melalui:
o Pelatihan khusus yang mencakup
kebijakan yang berkaitan dengan risiko
dan kontrol (misal modul pelatihan
elektronik)
54
Kriteria
Sub
Dimensi
o Forum reguler mengenai pembaruan
terkini mengenai kebijakan risiko
organisasi
o Program penjangkauan untuk
mendorong pegawai agar berani
mengungkap setiap pelanggaran
kebijakan
o Matriks RACI (Responsible,
Accountable, Consulted, Informed)
yang ditetapkan untuk kebijakan yang
dikeluarkan
• Tidak ditemukan kekurangan serius
dalam proses-proses yang berkaitan
dengan pengelolaan risiko-risiko utama
• Fungsi Risiko secara rutin memanfaatkan
analisis yang relevan dan terperinci
dalam memberikan wawasan terkait arah
kegiatan usaha, misal:
o Kebijakan perencanaan terintegrasi
o Kebijakan stress-testing
o Forecasting analysis
o Horizon scanning analysis
28. Prosedur risiko • Telah ada beberapa proses • Telah ada prosedur formal untuk • Telah ada proses dan kontrol • Prosedur risiko dan standar pendukungnya • Prosedur risiko dan standar
dan kontrol risiko, namun memitigasi peristiwa-peristiwa risiko risiko untuk setiap elemen secara efektif tertanam dan diterapkan di pendukungnya secara efektif tertanam
belum formal penting, namun belum semua kontrol dalam kerangka ERM, bersifat perusahaan, termasuk: dan diterapkan di perusahaan, termasuk:
• Telah ada kebijakan dan risiko diformalkan dalam bentuk formal dan secara efektif o Prosedur risiko yang diterapkan pada o Prosedur risiko yang diterapkan pada
prosedur informal (belum di prosedur baku dikomunikasikan ke seluruh lini setiap proses bisnis yang berkaitan dengan setiap proses bisnis yang berkaitan
sahkan) untuk memitigasi • Prosedur terkait risiko di perusahaan risiko-risiko material perusahaan dengan risiko-risiko material
peristiwa-peristiwa risiko komunikasikan ke seluruh lini • Prosedur terkait risiko di o Telah ada pemodelan proses/dokumentasi perusahaan
perusahaan komunikasikan ke seluruh lini proses yang tepat o Telah ada pemodelan
perusahaan o Mitigasi/pengendalian risiko diidentifikasi proses/dokumentasi proses yang tepat
dalam proses (misal terdapat pelatihan o Mitigasi/pengendalian risiko
• Kontrol risiko sekurang-
kebijakan yang bersifat wajib sebelum diidentifikasi dalam proses (misal
kurangnya memuat metode
melakukan kegiatan bisnis berisiko tinggi), terdapat pelatihan kebijakan yang
untuk mengontrol risiko termasuk setiap kegiatan self-assurance bersifat wajib sebelum melakukan
keberlangsungan bisnis, dan • Kontrol risiko meliputi metode untuk kegiatan bisnis berisiko tinggi),
mempertimbangkan eksposur mengontrol risiko keberlangsungan bisnis dan termasuk setiap kegiatan self-
risiko dan selera risiko mempertimbangkan eksposur risiko dan assurance
perusahaan selera risiko perusahaan, termasuk titik • Kontrol risiko meliputi metode untuk
pemicu (trigger point) yang didefinisikan mengontrol risiko keberlangsungan bisnis
sebelumnya untuk pelaksanaan prosedur dan mempertimbangkan eksposur risiko
kontingensi dan selera risiko perusahaan, termasuk
• Telah ada kebijakan dan prosedur untuk titik pemicu (trigger point) yang
melindungi informasi digital dari akses oleh
55
Kriteria
Sub
Dimensi
pihak yang tidak berwenang, kerusakan data, didefinisikan sebelumnya untuk
atau pencurian data di seluruh siklus pelaksanaan prosedur kontingensi
pengolahan data, yang mencakup setiap • Kebijakan dan prosedur risiko
aspek keamanan informasi mulai dari diimplementasikan secara efektif, dan
keamanan fisik perangkat keras dan keefektifannya dikaji secara periodik
perangkat penyimpanan hingga aplikasi melalui kegiatan yang terdokumentasi.
administrasi dan kontrol akses, kebijakan dan Penilaian keefektifan pelaksanaan
prosedur organisasi prosedur dan pengendalian dapat
mencakup:
o Identifikasi pegawai utama yang
bertanggung jawab/mampu
mengoperasikan prosedur dan
pengendalian
o Evaluasi desain pengendalian (misal
pengujian langsung, lokakarya) dan
analisis kegagalan pengendalian untuk
memitigasi risiko
o Peninjauan laporan audit untuk
mengetahui adanya kekurangan
prosedur
o Identifikasi KPI untuk pemantauan
keefektifan proses/prosedur yang
sedang berlangsung (outcome-based)
• Telah ada kebijakan dan prosedur untuk
melindungi informasi digital dari akses
oleh pihak yang tidak berwenang,
kerusakan data, atau pencurian data di
seluruh siklus pengolahan data, yang
mencakup setiap aspek keamanan
informasi mulai dari keamanan fisik
perangkat keras dan perangkat
penyimpanan hingga aplikasi
administrasi dan kontrol akses, kebijakan
dan prosedur organisasi
• Keefektifan didukung oleh bukti kinerja
penurunan/pemertahanan jumlah kasus
dan kerugian yang disebabkan oleh
kebocoran data secara year-on-year.
29. Rencana • Perusahaan belum memiliki • Telah ada rencana kontingensi • Telah ada rencana yang dapat • Telah ada rencana yang dapat ditindaklanjuti • Telah ada rencana yang dapat
darurat rencana keberlangsungan namun hanya untuk memenuhi ditindaklanjuti (langkah-langkah (langkah-langkah tindakan, dengan trigger ditindaklanjuti (langkah-langkah tindakan,
(contingency bisnis dan rencana persyaratan minimum regulator tindakan, dengan trigger point, point, nilai ambang batas, serta langkah yang dengan trigger point, nilai ambang batas,
plan) kontingensi yang telah nilai ambang batas, serta harus dilakukan) terkait keberlangsungan serta langkah yang harus dilakukan)
langkah yang harus dilakukan) bisnis dan manajemen krisis.
56
Kriteria
Sub
Dimensi
dalam kondisi dikodifikasi dalam bentuk • Rencana belum bisa ditindaklanjuti terkait keberlangsungan bisnis • Telah ada dokumentasi mengenai: terkait keberlangsungan bisnis dan
terburuk (worst kebijakan (misal rencana bersifat umum, tanpa dan manajemen krisis o Rencana manajemen krisis (alur rantai manajemen krisis
case scenario) • Telah ada kerangka trigger point dan nilai ambang batas) • Telah ada dokumentasi komando dalam kondisi krisis, proses untuk • Telah ada dokumentasi mengenai:
rencana keberlangsungan • Tanggung jawab belum ditetapkan mengenai: menangani tugas-tugas utama) o Rencana manajemen krisis (alur rantai
bisnis/kontingensi secara dengan jelas (misal bentuk rantai o Rencana manajemen krisis o Rencana kontingensi kas/likuiditas) komando dalam kondisi krisis, proses
informal (misal didasarkan komando dalam keadaan krisis) (alur rantai komando dalam • Rencana kontingensi disusun melebihi kriteria untuk menangani tugas-tugas utama)
oleh pengalaman kondisi krisis, proses untuk yang diprasyaratkan regulator o Rencana kontingensi kas/likuiditas
perusahaan menangani menangani tugas-tugas • Dilakukan pengujian terhadap rencana • Rencana kontingensi disusun melebihi
skenario krisis di masa lalu) utama) keberlangsungan bisnis dan manajemen kriteria yang diprasyaratkan regulator
o Rencana kontingensi krisis secara berkala (misal satu kali dalam • Dilakukan pengujian terhadap rencana
kas/likuiditas) setahun) yang melibatkan manajemen senior keberlangsungan bisnis dan manajemen
• Rencana kontingensi disusun untuk mereviu, mengkritisi dan memperbaiki krisis secara berkala (misal setahun dua
melebihi kriteria yang kualitasnya, contohnya: kali) yang melibatkan manajemen senior
diprasyaratkan regulator o Telah ada simulasi kejadian krisis yang untuk mereviu, mengkritisi dan
dilakukan tahunan memperbaiki kualitasnya, contohnya:
o Telah ada pengujian rencana kontingensi o Telah ada simulasi kejadian krisis yang
oleh pihak independen (misal audit ISO dilakukan tahunan
22301:2019) o Telah ada pengujian rencana
o Rencana Business Continuity Management kontingensi oleh pihak independen
(BCM) ditingkatkan secara berkala (misal audit ISO 22301:2019)
berdasarkan praktik terbaik terbaru o Rencana Business Continuity
o Tinjauan post-mortem atas simulasi dan Management (BCM) ditingkatkan
penggabungan pembelajaran secara berkala berdasarkan praktik
terbaik terbaru
o Tinjauan post-mortem atas simulasi
dan penggabungan pembelajaran
• Setiap pemangku kepentingan (termasuk
Unit Bisnis) memahami dan menerima
peran dan tanggung jawabnya dalam
kondisi krisis melalui change
management, contohnya:
o Jajaran pimpinan telah dilatih tentang
manajemen keberlangsungan bisnis
o Tim operasional menerima pelatihan
o Rencana keberlangsungan bisnis
tingkat fungsi diadaptasi berdasarkan
rencana keberlangsungan bisnis
tingkat perusahaan
o Manajemen keberlangsungan bisnis
untuk setiap lini didefinisikan dan
57
Kriteria
Sub
Dimensi
diimplementasikan (model operasi
krisis)
• Rencana keberlangsungan bisnis pernah
diterapkan dengan baik pada kejadian-
kejadian krisis di masa lampau
30. Reviu dan Sesi reviu pernah digunakan • Telah ada reviu informal dan/atau • Dilakukan reviu dan stress test • Dilakukan reviu dan stress test rutin (misal • Dilakukan reviu dan stress test rutin
Stress test untuk memperbaiki beberapa parsial terhadap prosedur dalam rutin (misal tahunan) untuk tahunan) terhadap sebagian besar prosedur (misal tahunan) terhadap sebagian besar
terhadap prosedur dan SOP namun beberapa waktu atau saat sebagian prosedur dan SOP dan SOP utama yang berkaitan dengan risiko prosedur dan SOP utama yang berkaitan
prosedur dan dilaksanakan secara ad-hoc diprasyaratkan oleh regulator utama yang berkaitan dengan utama perusahaan, serta dilakukan dengan risiko utama perusahaan, serta
SOP dan frekuensi yang kurang • Reviu prosedur dilakukan di level risiko utama perusahaan, serta identifikasi area-area perbaikan. dilakukan identifikasi area-area
rutin (misal 2-3 tahun sekali) unit kerja, dengan sedikit dilakukan identifikasi area-area • Jajaran manajemen senior terlibat secara aktif perbaikan
keterlibatan dari jajaran manajemen perbaikan dalam melakukan reviu, mengkritisi, dan • Jajaran manajemen senior terlibat secara
senior • Jajaran manajemen senior memperbaiki proses melalui stress test aktif dalam melakukan reviu, mengkritisi,
• Belum dilakukan stress test pada terlibat secara aktif dalam setidaknya satu kali dalam setahun, misal: dan memperbaiki proses melalui stress
prosedur dan SOP melakukan reviu, mengkritisi, o Terlibat dalam simulasi krisis/workshop test setidaknya satu kali dalam setahun,
dan memperbaiki proses o Terlibat dalam identifikasi titik-titik lemah misal:
melalui stress test, meskipun proses/root-cause analysis o Terlibat dalam simulasi krisis/workshop
sebagian besar o Terlibat dalam identifikasi titik-titik
pelaksanaannya masih lemah proses/root-cause analysis
dilakukan oleh unit kerja • Dilakukan perbaikan berkesinambungan
terhadap prosedur, benchmarking
terhadap praktik terbaik, serta sosialisasi
ke seluruh lini perusahaan sepanjang
waktu
• Telah ada database yang mudah diakses
dan terpusat untuk SOP terbaru (misal
intranet, solusi manajemen SOP, dan
kontrol dokumen)
c. Fungsi 31. Organ fungsi • Belum ada • Telah ada departemen/divisi • Seluruh proses kepatuhan • Seluruh proses kepatuhan terpisah dari • Seluruh proses kepatuhan terpisah dari
Kepatuhan kepatuhan dan departemen/divisi kepatuhan yang dibentuk secara terpisah dari proses bisnis proses bisnis sehari-hari (misal terdapat proses bisnis sehari-hari (misal terdapat
perannya kepatuhan yang dibentuk formal sehari-hari (misal terdapat proses terpisah untuk proses kaji ulang/ reviu) proses terpisah untuk proses kaji
secara formal dan • Telah ada beberapa kasus di mana proses tersendiri untuk kaji • Telah ada pemisahan yang jelas antara peran ulang/reviu)
independen, namun telah proses kepatuhan belum secara ulang/reviu) dan berfokus pada dan tanggung jawab jabatan divisi risiko • Telah ada pemisahan yang jelas antara
ada dalam bentuk unit kerja jelas terpisah dari proses bisnis pemenuhan persyaratan (khususnya risiko operasional) kepatuhan dan peran dan tanggung jawab jabatan divisi
• Sebagian besar proses sehari-hari (misal tidak ada proses regulator audit, contohnya: risiko (khususnya risiko operasional),
kepatuhan belum secara tersendiri untuk kaji ulang/reviu) • Telah ada pemisahan yang o Peninjauan bersama atas peran dan kepatuhan, dan audit, contohnya:
jelas terpisah dari proses • Belum ada pemisahan yang jelas jelas antara peran dan tanggung jawab yang telah dikodifikasi • Peninjauan bersama atas peran dan
bisnis sehari-hari (misal antara divisi risiko (khususnya risiko tanggung jawab jabatan divisi (misal kebijakan) untuk meminimalkan tanggung jawab yang telah dikodifikasi
tidak ada proses tersendiri operasional), kepatuhan dan audit risiko (khususnya risiko tumpang tindih dan memperjelas (misal kebijakan) untuk meminimalkan
untuk kaji ulang/reviu) operasional), kepatuhan, dan kepemilikan tugas dan kegiatan antara tumpang tindih dan memperjelas
audit, contohnya: risiko, audit, dan kepatuhan
58
Kriteria
Sub
Dimensi
o Peninjauan bersama atas o Rapat terdokumentasi untuk bersama- kepemilikan tugas dan kegiatan antara
peran dan tanggung jawab sama menyelaraskan prioritas inisiatif risiko, audit, dan kepatuhan
yang telah dikodifikasi (misal perbaikan/mengoordinasikan tindakan • Rapat terdokumentasi untuk bersama-
kebijakan) untuk untuk menghindari duplikasi sama menyelaraskan prioritas inisiatif
meminimalkan tumpang tindih mitigasi/rencana kerja perbaikan/mengoordinasikan tindakan
dan memperjelas kepemilikan • Kegiatan kepatuhan berfokus pada untuk menghindari duplikasi
tugas dan kegiatan antara pemenuhan kebijakan perusahaan selain mitigasi/rencana kerja
risiko, audit, dan kepatuhan pemenuhan persyaratan regulator • Kegiatan kepatuhan berfokus pada
o Rapat terdokumentasi untuk • Perusahaan menerapkan pendekatan bottom- pemenuhan kebijakan perusahaan selain
bersama-sama up untuk memeriksa pemenuhan persyaratan pemenuhan persyaratan regulator
menyelaraskan prioritas kepatuhan dan statusnya saat ini terhadap • Perusahaan menerapkan pendekatan
inisiatif perbaikan/ persyaratan regulator dan praktik terbaik bottom-up untuk memeriksa pemenuhan
mengoordinasikan tindakan industri, contohnya: persyaratan kepatuhan dan statusnya
untuk menghindari duplikasi o Fungsi kepatuhan memastikan tersedianya saat ini terhadap persyaratan regulator
mitigasi/rencana kerja katalog kontrol bottom-up yang dan praktik terbaik industri, contohnya:
komprehensif (misal untuk risiko siber) • Fungsi kepatuhan memastikan
o Bukti yang jelas mengenai penilaian tersedianya katalog kontrol bottom-up
dampak secara komprehensif atas yang komprehensif (misal untuk risiko
peraturan baru terhadap siber)
kebijakan/prosedur yang ada • Bukti yang jelas mengenai penilaian
dampak secara komprehensif atas
peraturan baru terhadap
kebijakan/prosedur yang ada
• Telah ada keterkaitan yang harmonis
antara proses risiko operasional dengan
proses kepatuhan/audit (misal
identifikasi, penilaian, pengelolaan limit
risiko, pemanfaatan taksonomi risiko
umum dan sistem informasi umum)
• Kepatuhan terhadap kebijakan
perusahaan dievaluasi secara rutin
maupun secara acak sepanjang tahun
• Bukti bahwa fungsi kepatuhan dapat
menjalankan peran sebagai advisory
yang efektif bila diperlukan, misalnya
secara konsisten memberikan saran
berkualitas kepada unit bisnis, termasuk
dalam menangani isu-isu sulit (misal
menyediakan informasi yang disesuaikan
dengan kebutuhan bisnis mengenai
persyaratan kepatuhan, menerjemahkan
persyaratan regulasi ke dalam
59
Kriteria
Sub
Dimensi
rekomendasi yang praktis dan dapat
ditindaklanjuti)
d. Efektifitas 32. Penerapan Telah ada konsep ERM • Perusahaan memiliki kerangka • Perusahaan memiliki kerangka • Perusahaan memiliki kerangka ERM yang • Perusahaan memiliki kerangka ERM
Manajemen Kerangka informal yang mencakup ERM yang mencakup sejumlah ERM yang mencakup semua mencakup semua langkah-langkah besar yang mencakup semua langkah-langkah
Risiko dan Integrated sejumlah langkah Manajemen langkah Manajemen Risiko, namun langkah-langkah besar manajemen risiko, dan memenuhi standar besar Manajemen Risiko, dan memenuhi
Pengendali Enterprise Risk Risiko namun belum belum memenuhi standar Manajemen Risiko, dan internasional seperti ISO 31000:2018 standar internasional seperti ISO
an Intern Management didokumentasikan internasional memenuhi standar internasional • Kerangka ERM ditinjau dan disesuaikan 31000:2018
(ERM) sepenuhnya di perusahaan • Telah ada inisiatif untuk melakukan seperti ISO 31000:2018 secara rutin/setiap tahun untuk • Kerangka ERM ditinjau dan disesuaikan
(misal belum diformalkan transformasi kerangka ERM • Kerangka ERM belum ditinjau mencerminkan perubahan risiko dan kegiatan secara rutin (paling sedikit satu kali
dalam bentuk kebijakan perusahaan agar memenuhi dan disesuaikan secara rutin usaha dalam setahun) untuk mencerminkan
Manajemen Risiko) Standar internasional, misalnya ISO (misal setiap tahun) untuk • Perusahaan memiliki rencana transformasi perubahan risiko dan kegiatan usaha
31000:2018 mencerminkan perubahan risiko ERM yang mencakup semua inisiatif dan • Perusahaan memiliki rencana
dan kegiatan usaha mendetail (misal lini masa, keperluan sumber transformasi ERM yang mencakup
• Terdapat kerangka transformasi daya, pengawasan program, dan sebagainya) semua inisiatif dan mendetail (misal lini
ERM namun hanya sebagai • Ruang lingkup transformasi ini melampaui masa, keperluan sumber daya,
tindak lanjut dari pemenuhan persyaratan regulator (misal menjadi bagian pengawasan program, dan sebagainya)
persyaratan regulator, bukan dari perbaikan berkelanjutan) • Ruang lingkup transformasi ini
menjadi bagian dari perbaikan melampaui persyaratan regulator (misal
berkelanjutan menjadi bagian dari perbaikan
berkelanjutan)
• Telah ada tim khusus yang bertanggung
jawab atas pelaksanaan rencana
transformasi dan kesuksesannya. Unit
Bisnis dan fungsi lainnya terlibat dalam
rencana transformasi ini (misal dalam
tahap perancangan dan
pelaksanaannya)
• Telah ada hasil penilaian benchmarking
terhadap praktik terbaik global/eksternal
untuk mengidentifikasi kesenjangan dan
area yang perlu ditingkatkan, serta bukti
penyesuaian kerangka ERM yang telah
dilakukan berdasarkan hasil analisis
• Fokus ERM bergeser dari "kepatuhan" ke
"value capture”
33. Efektivitas • Terdapat struktur • Terdapat struktur organisasi yang • Terdapat struktur organisasi • Terdapat struktur organisasi yang • Terdapat struktur organisasi yang
Pengendalian organisasi yang menggambarkan secara jelas yang menggambarkan secara menggambarkan secara jelas kegiatan usaha menggambarkan secara jelas kegiatan
Intern menggambarkan secara kegiatan usaha BUMN jelas kegiatan usaha BUMN BUMN usaha BUMN
jelas kegiatan usaha BUMN • Telah ditetapkan jalur pelaporan dan • Telah ditetapkan jalur pelaporan • Telah ditetapkan jalur pelaporan dan • Telah ditetapkan jalur pelaporan dan
• Telah ditetapkan jalur pemisahan fungsi yang jelas dari Lini dan pemisahan fungsi yang pemisahan fungsi yang jelas dari Lini pemisahan fungsi yang jelas dari Lini
pelaporan dan pemisahan Pertama kepada Lini Kedua Pertama kepada Lini Kedua Pertama kepada Lini Kedua
60
Kriteria
Sub
Dimensi
fungsi yang jelas dari Lini • Terdapat kecukupan prosedur untuk jelas dari Lini Pertama kepada • Terdapat kecukupan prosedur untuk • Terdapat kecukupan prosedur untuk
Pertama kepada Lini Kedua memastikan kepatuhan BUMN Lini Kedua memastikan kepatuhan BUMN terhadap memastikan kepatuhan BUMN terhadap
• Terdapat kecukupan terhadap ketentuan peraturan • Terdapat kecukupan prosedur ketentuan peraturan perundang-undangan ketentuan peraturan perundang-
prosedur untuk memastikan perundang-undangan untuk memastikan kepatuhan • Terdapat sistem pengendalian intern sesuai undangan
kepatuhan BUMN terhadap • Terdapat sistem pengendalian intern BUMN terhadap ketentuan dengan jenis dan tingkat Risiko yang melekat • Terdapat sistem pengendalian intern
ketentuan peraturan sesuai dengan jenis dan tingkat peraturan perundang-undangan pada kegiatan usaha BUMN sesuai dengan jenis dan tingkat Risiko
perundang-undangan Risiko yang melekat pada kegiatan • Terdapat sistem pengendalian • Telah ditetapkan wewenang dan tanggung yang melekat pada kegiatan usaha
• Belum ada sistem usaha BUMN intern sesuai dengan jenis dan jawab untuk pemantauan kepatuhan BUMN
pengendalian intern sesuai • Telah ditetapkan wewenang dan tingkat Risiko yang melekat kebijakan dan prosedur Manajemen Risiko • Telah ditetapkan wewenang dan
dengan jenis dan tingkat tanggung jawab untuk pemantauan pada kegiatan usaha BUMN serta penetapan strategi Risiko dan tanggung jawab untuk pemantauan
Risiko yang melekat pada kepatuhan kebijakan dan prosedur • Telah ditetapkan wewenang pelaksanaannya telah dilakukan secara kepatuhan kebijakan dan prosedur
kegiatan usaha BUMN Manajemen Risiko serta penetapan dan tanggung jawab untuk optimal Manajemen Risiko serta penetapan
• Belum ditetapkan strategi Risiko pemantauan kepatuhan • Dokumentasi telah lengkap dan memadai strategi Risiko dan pelaksanaannya telah
wewenang dan tanggung • Dokumentasi belum secara lengkap kebijakan dan prosedur terhadap prosedur operasional, cakupan, dan dilakukan secara optimal
jawab untuk pemantauan dan memadai terhadap prosedur Manajemen Risiko serta temuan audit, serta tanggapan Direksi • Dokumentasi telah lengkap dan memadai
kepatuhan kebijakan dan operasional, cakupan, dan temuan penetapan strategi Risiko dan terhadap hasil audit terhadap prosedur operasional, cakupan,
prosedur Manajemen audit, serta tanggapan Direksi pelaksanaannya telah dilakukan • Pelaporan keuangan dan kegiatan dan temuan audit, serta tanggapan
Risiko serta penetapan terhadap hasil audit secara optimal operasional telah dilakukan namun belum Direksi terhadap hasil audit
strategi Risiko • Pelaporan keuangan dan kegiatan • Dokumentasi telah lengkap dan akurat dan tepat waktu • Pelaporan keuangan dan kegiatan
• Dokumentasi belum secara operasional telah dilakukan namun memadai terhadap prosedur • Telah dilakukan kaji ulang atau reviu yang operasional telah dilakukan namun
lengkap dan memadai belum akurat dan tepat waktu operasional, cakupan, dan efektif, independen, objektif terhadap belum akurat dan tepat waktu;
terhadap prosedur • Telah dikaji ulang atau reviu yang temuan audit, serta tanggapan prosedur penilaian kegiatan operasional • Telah dilakukan kaji ulang atau reviu
operasional, cakupan, dan efektif, independen, dan objektif Direksi terhadap hasil audit BUMN, sistem informasi Manajemen Risiko, yang efektif, independen, objektif
temuan audit, serta terhadap prosedur penilaian • Pelaporan keuangan dan dan penanganan kelemahan BUMN yang terhadap prosedur penilaian kegiatan
tanggapan Direksi terhadap kegiatan operasional BUMN kegiatan operasional telah bersifat material. Kaji ulang telah dilakukan operasional BUMN, sistem informasi
hasil audit • Telah dilakukan pengujian dan kaji dilakukan namun belum akurat secara berkala dan berkesinambungan Manajemen Risiko, dan penanganan
• Pelaporan keuangan dan ulang atau reviu yang memadai dan tepat waktu • Telah dilakukan pengujian dan kaji ulang atau kelemahan BUMN yang bersifat material.
kegiatan operasional telah terhadap sistem informasi • Telah dilakukan kaji ulang atau reviu yang memadai terhadap sistem Kaji ulang telah dilakukan secara berkala
dilakukan namun belum Manajemen Risiko reviu yang efektif, independen, informasi Manajemen Risiko dan berkesinambungan
akurat dan tepat waktu • Telah dilakukan verifikasi dan kaji objektif terhadap prosedur • Telah dilakukan verifikasi dan kaji ulang atau • Telah dilakukan pengujian dan kaji ulang
• Telah dikaji ulang atau ulang atau reviu secara berkala dan penilaian kegiatan operasional reviu secara berkala dan berkesinambungan atau reviu yang memadai terhadap
reviu yang efektif, berkesinambungan terhadap BUMN, sistem informasi terhadap penanganan kelemahan BUMN sistem informasi Manajemen Risiko
independen, dan objektif penanganan kelemahan BUMN yang Manajemen Risiko, dan yang bersifat material dan tindakan Direksi • Telah dilakukan verifikasi dan kaji ulang
terhadap prosedur bersifat material dan tindakan penanganan kelemahan BUMN untuk memperbaiki penyimpangan yang atau reviu secara berkala dan
penilaian kegiatan Direksi untuk memperbaiki yang bersifat material. Kaji terjadi. berkesinambungan terhadap
operasional BUMN penyimpangan yang terjadi. ulang telah dilakukan secara • Telah dilakukan proses tindaklanjut atas hasil penanganan kelemahan BUMN yang
• Belum dilakukan tindaklanjut atas berkala dan berkesinambungan kaji ulang/ reviu kegiatan operasional BUMN, bersifat material dan tindakan Direksi
hasil kaji ulang/reviu kegiatan • Telah dilakukan pengujian dan sistem informasi Manajemen Risiko, dan untuk memperbaiki penyimpangan yang
operasional BUMN, sistem informasi kaji ulang atau reviu yang penanganan kelemahan BUMN yang bersifat terjadi.
Manajemen Risiko, dan penanganan memadai terhadap sistem material dengan telah terdapat dokumentasi • Telah dilakukan proses tindaklanjut atas
informasi Manajemen Risiko atas progres dan bukti atas tindak lanjut hasil kaji ulang/reviu kegiatan
61
Kriteria
Sub
Dimensi
kelemahan BUMN yang bersifat • Telah dilakukan verifikasi dan tersebut. Penyelesaian tindaklanjut atas hasil operasional BUMN, sistem informasi
material kaji ulang atau reviu secara reviu/temuan dilakukan secara tuntas (100%) Manajemen Risiko, dan penanganan
berkala dan berkesinambungan kelemahan BUMN yang bersifat material
terhadap penanganan dengan telah terdapat dokumentasi atas
kelemahan BUMN yang bersifat progres dan bukti atas tindak lanjut
material dan tindakan Direksi tersebut. Penyelesaian tindaklanjut atas
untuk memperbaiki hasil reviu/temuan dilakukan secara
penyimpangan yang terjadi tuntas (100%) minimal 3 (tiga) tahun
• Tindaklanjut atas hasil kaji terakhir
ulang/reviu kegiatan
operasional BUMN, sistem
informasi Manajemen Risiko,
penanganan kelemahan BUMN
yang bersifat material telah
selesai dilakukan sebagian dan
terdapat dokumentasi atas
progres dan bukti atas tindak
lanjut tersebut
4. Proses dan Kontrol Risiko
a. 34. Identifikasi Telah ada taksonomi risiko • Telah ada taksonomi risiko dan • Telah ada taksonomi risiko yang • Telah ada taksonomi risiko integrasian yang • Telah ada taksonomi risiko integrasian
Identifikasi Risiko utama informal yang digunakan mencakup sejumlah risiko dasar terhubung dengan bisnis, dan terhubung dengan bisnis, dan mencakup yang terhubung dengan bisnis, dan
Risiko dalam identifikasi dan analisis (taksonomi mencakup risiko terkait mencakup risiko-risiko dasar risiko-risiko dasar dan risiko kompleks, serta mencakup risiko-risiko dasar dan risiko
risiko utama, namun belum regulasi dan keuangan) dan risiko kompleks, serta mencakup risiko yang akan muncul (emerging kompleks, serta mencakup risiko yang
dilakukan standardisasi • Taksonomi risiko belum diterapkan mencakup risiko yang akan risk) termasuk risiko-risiko masa depan akan muncul (emerging risk) termasuk
taksonomi (misal Unit secara konsisten di ketiga lini/anak muncul (emerging risk) (forward-looking risks) (misal ESG, siber) risiko-risiko masa depan (forward-looking
Bisnis/divisi berbeda perusahaan (jika relevan), meskipun • Taksonomi risiko belum • Taksonomi risiko secara konsisten diterapkan risks) (misal ESG, siber)
menggunakan penamaan dan pemetaan kerangka kerja taksonomi diterapkan secara konsisten di di ketiga lini, serta terdapat kerangka dan • Taksonomi risiko secara konsisten
klasifikasi risiko yang berbeda) risiko yang berbeda mungkin ada ketiga lini/anak perusahaan (jika sistem Manajemen Risiko Perusahaan yang diterapkan di ketiga lini, serta terdapat
dan belum dilakukan • Telah ada proses identifikasi risiko, relevan), meskipun terdapat komprehensif, misalnya: kerangka dan sistem Manajemen Risiko
formalisasi dalam kebijakan yang utamanya dilakukan dengan pemetaan kerangka kerja o Telah ada pemahaman dan pemanfaatan Perusahaan yang komprehensif,
pusat pendekatan bottom-up, setidaknya taksonomi risiko yang berbeda taksonomi risiko oleh Unit Bisnis dalam misalnya:
mempertimbangkan risiko-risiko • Telah ada metodologi keseharian kegiatan usaha (misal o Telah ada pemahaman dan
yang melekat pada proses bisnis di identifikasi risiko, yang pengambilan keputusan berbasis risiko) pemanfaatan taksonomi risiko oleh
BUMN dan target risiko residual setidaknya mempertimbangkan o Taksonomi risiko yang terkini digunakan Unit Bisnis dalam keseharian kegiatan
• Bahasa, kata-kata, atau istilah yang risiko-risiko yang melekat pada untuk mengklasifikasikan risiko dalam risk usaha (misal pengambilan keputusan
digunakan dalam proses identifikasi proses bisnis di BUMN dan register berbasis risiko)
risiko sudah konsisten dan tidak target risiko residual secara o Analisis risiko (misal dalam sistem informasi o Taksonomi risiko yang terkini
rancu antara risiko dengan bottom-up; namun juga manajemen) menggunakan taksonomi digunakan untuk mengklasifikasikan
penyebab risiko dilengkapi dengan pendekatan risiko (misal untuk integrasi risiko) risiko dalam risk register
top-down, yang biasanya o Pemantauan risiko dilakukan untuk setiap o Analisis risiko (misal dalam sistem
dilakukan di setiap triwulan taksonomi risiko informasi manajemen) menggunakan
62
Kriteria
Sub
Dimensi
• Proses ini dilakukan tahunan oleh • Proses identifikasi risiko • Taksonomi risiko secara konsisten diterapkan taksonomi risiko (misal untuk integrasi
Unit Bisnis, dengan eksposur risiko menganalisis: di seluruh anak perusahaan (jika relevan) risiko)
yang tergambar dalam risk register o Karakteristik risiko inheren • Telah ada bukti yang jelas atas kinerja o Pemantauan risiko dilakukan untuk
• Telah ada beberapa risk register dari BUMN, dan; penerapan taksonomi risiko, di antaranya: setiap taksonomi risiko
setiap Unit Bisnis o Risiko-risiko dari kegiatan o Telah ada taksonomi risiko yang • Taksonomi risiko secara konsisten
• Terdapat metode dan alat yang usaha BUMN komprehensif, biasanya 2-4 level diterapkan di seluruh anak perusahaan
memadai dan digunakan secara • Bahasa, kata-kata, atau istilah o Level taksonomi risiko di setiap jenis risiko (jika relevan)
konsisten dan efektif untuk yang digunakan dalam proses disesuaikan dengan kebutuhan • Dilakukan pengkinian terhadap
melakukan proses identifikasi risiko identifikasi risiko sudah • Telah ada metodologi identifikasi risiko yang taksonomi risiko dan secara rutin dikaji
di perusahaan, seperti wawancara, konsisten dan tidak rancu setidaknya mempertimbangkan risiko-risiko ulang (sekurang-kurangnya satu kali
analisis alur proses, proyeksi, antara risiko dengan penyebab yang melekat pada proses bisnis di BUMN dalam setahun) guna memastikan
penelusuran temuan audit, dan risiko, potensi dampak, atau dan target risiko residual secara bottom-up di keterkiniannya dan tetap komprehensif
lainnya potensi dampak yang level bisnis, dan top-down yang dipimpin tim terutama untuk mengetahui risiko yang
• Identifikasi risiko dilakukan dengan disebabkan pengendalian risiko pusat. Identifikasi risiko dilakukan melalui muncul, misalnya melalui:
menggunakan informasi bersifat yang tidak efektif pendekatan top-down berdasarkan input dari o Benchmarking eksternal terhadap risk
kualitatif • Telah ada gambaran umum tingkat Unit Bisnis dan didefinisikan di tingkat universe untuk industri/wilayah
eksposur risiko, yang dicatat pusat geografis
pada risk register. • Proses identifikasi risiko menganalisis: o Tinjauan rutin (misal dua kali dalam
• Terdapat metode dan alat yang o Karakteristik risiko inheren BUMN, dan setahun) dengan para Direksi
memadai dan digunakan secara o Risiko-risiko dari kegiatan usaha BUMN mengenai perubahan lingkungan
konsisten dan efektif untuk • Bahasa, kata-kata, atau istilah yang (misal ekonomi, politik, regulasi) yang
melakukan proses identifikasi digunakan dalam proses identifikasi risiko dapat berdampak pada taksonomi
risiko di perusahaan, seperti sudah konsisten dan tidak rancu antara risiko risiko
wawancara, analisis alur dengan penyebab risiko, potensi dampak, o Mengadakan workshop untuk meninjau
proses, proyeksi, penelusuran atau potensi dampak yang disebabkan taksonomi risiko
temuan audit, loss event data, pengendalian risiko yang tidak efektif. • Telah ada bukti yang jelas atas kinerja
dan lainnya. • Telah ada gambaran umum eksposur risiko, penerapan taksonomi risiko, di
• Identifikasi risiko dilakukan yang dicatat pada risk register antaranya:
dengan menggunakan informasi • Terdapat metode dan alat yang memadai dan o Telah ada taksonomi risiko yang
bersifat kuantitatif dan kualitatif digunakan secara konsisten dan efektif untuk komprehensif, biasanya 2-4 level
melakukan proses identifikasi risiko di o Level taksonomi risiko di setiap jenis
perusahaan, seperti wawancara, analisis alur risiko disesuaikan dengan kebutuhan
proses, proyeksi, penelusuran temuan audit, • Telah ada metodologi identifikasi risiko
loss event data, dan lainnya. yang setidaknya mempertimbangkan
• Identifikasi risiko dilakukan dengan risiko-risiko yang melekat pada proses
menggunakan informasi bersifat kuantitatif bisnis di BUMN dan target risiko residual
dan kualitatif. secara bottom-up di level bisnis, dan top-
down yang dipimpin tim pusat.
Identifikasi risiko dilakukan melalui
pendekatan top-down berdasarkan input
dari tingkat Unit Bisnis dan didefinisikan
di tingkat pusat
63
Kriteria
Sub
Dimensi
• Proses identifikasi risiko menganalisis:
o Karakteristik risiko inheren BUMN,
dan
o Risiko-risiko dari kegiatan usaha
BUMN
• Bahasa, kata-kata, atau istilah yang
digunakan dalam proses identifikasi risiko
sudah konsisten dan tidak rancu antara
risiko dengan penyebab risiko, potensi
dampak, atau potensi dampak yang
disebabkan pengendalian risiko yang
tidak efektif
• Telah ada gambaran umum eksposur
risiko, yang dicatat pada risk register.
• Terdapat metode dan alat yang memadai
dan digunakan secara konsisten dan
efektif untuk melakukan proses
identifikasi risiko di perusahaan, seperti
wawancara, analisis alur proses,
proyeksi, penelusuran temuan audit, loss
event data, dan lainnya.
• Identifikasi risiko dilakukan dengan
menggunakan informasi bersifat
kuantitatif dan kualitatif
b. 35. Pengukuran Penilaian risiko belum • Telah ada penerapan metode yang • Telah ada penerapan metode • Telah ada penerapan metode yang • Telah ada penerapan metode yang
Pengukuran Risiko dilakukan secara rutin/ad-hoc bersifat umum dan kualitatif untuk kuantitatif dan kualitatif untuk berimbang antara kuantitatif dan kualitatif berimbang antara kuantitatif dan kualitatif
dan proses penilaian risiko proses penilaian risiko (misal untuk proses penilaian risiko, antara lain: untuk proses risiko, antara lain:
Prioritisasi
• Secara umum belum ada kapabilitas terdapat kriteria kuantitatif dan o Telah ada kriteria kuantitatif dan kualitatif o Telah ada kriteria kuantitatif dan
Risiko
untuk melakukan penilaian dampak kualitatif untuk penilaian untuk penilaian dampak kualitatif untuk penilaian dampak
risiko secara kuantitatif, meskipun dampak), namun sebagian o Penerapan metode kualitatif melibatkan o Penerapan metode kualitatif
telah dilakukan penilaian Kuantitatif besar penilaian masih pengumpulan opini dari pakar internal melibatkan pengumpulan opini dari
untuk beberapa jenis risiko tertentu menggunakan metode kualitatif (misal lokakarya, self-assessment) pakar internal (misal lokakarya, self-
(seperti risiko keuangan) • Proses Penilaian risiko masih o Penerapan metode kuantitatif terutama assessment) dan pakar eksternal yaitu
• Penilaian risiko dilaksanakan dua kali bersifat manual melibatkan penggunaan data historis (misal (perspektif “outside-in”)
dalam satu tahun (misal penilaian • Penilaian risiko dilaksanakan loss event database ) o Penerapan metode kuantitatif
awal dan penilaian terkini setiap triwulan (misal penilaian • Telah ada evaluasi kesesuaian metode melibatkan penggunaan data historis
pertengahan tahun) awal dan penilaian terkini asesmen risiko setidaknya setiap tahun (misal loss event database), dilengkapi
setiap triwulan) • Beberapa proses penilaian risiko dilakukan dengan data pasar dan perkiraan
secara otomatis (misal pilot stage) forward looking lainnya
• Metode risiko kuantitatif dan kualitatif tidak • Telah ada evaluasi kesesuaian metode
sepenuhnya terstandardisasi/konsisten untuk penilaian risiko secara lebih sering (lebih
dari sekali setiap tahun) sebagai bagian
64
Kriteria
Sub
Dimensi
semua jenis risiko di antara Unit Bisnis/anak dari peningkatan berkelanjutan dari
perusahaan yang berbeda proses penilaian risiko dan sebagian
• Proses penilaian risiko telah dilaksanakan besar risiko utama dapat dinilai secara
secara efektif, termasuk: kuantitatif
o Penilaian dilaksanakan setidaknya setiap • Banyak proses penilaian risiko dilakukan
triwulan (misal penilaian awal dan penilaian secara otomatis, contohnya:
terkini setiap triwulan) o Batas kuantitatif/kualitatif (misal dari
o Kerangka dan proses penilaian cukup Risk Appetite Statement/Risk
efektif untuk menilai risiko, walaupun masih Capacity) dihubungkan ke proses
ada realisasi dampak kuantitatif dan penilaian risiko, terdapat peringatan
kualitatif yang untuk beberapa jenis risiko saat limit risiko terlampaui
yang melebihi dampak yang telah o Permintaan input data periodik
diperkirakan saat penilaian awal tahun otomatis (misal untuk input para ahli)
o Kerangka dan proses penilaian telah atau penarikan data otomatis (misal
dilakukan, namun masih ada beberapa untuk data historis) dan perekaman
realisasi peristiwa risiko signifikan yang data sistem untuk memfasilitasi
belum dinilai pada saat penilaian awal penilaian risiko secara
tahun kuantitatif/kualitatif
o Otomatisasi diterapkan secara rutin
untuk proses penilaian risiko (misal
automated cyber controls status testing
untuk infrastruktur TI)
• Metode penilaian risiko kuantitatif dan
kualitatif sepenuhnya
terstandardisasi/konsisten di seluruh
jenis risiko di antara Unit Bisnis/anak
perusahaan yang berbeda untuk
memfasilitasi integrasi dampak risiko
• Proses penilaian risiko telah
dilaksanakan secara efektif, termasuk:
o Penilaian risiko dilaksanakan setiap
bulan
o Kerangka dan proses penilaian efektif
untuk menilai risiko, terbukti dari
realisasi dampak kuantitatif dan
kualitatif yang untuk sebagian besar
jenis risiko tidak melebihi dampak yang
telah diperkirakan saat penilaian awal
tahun
o Kerangka dan proses penilaian risiko
telah komprehensif, sehingga hampir
tidak ada realisasi peristiwa risiko
65
Kriteria
Sub
Dimensi
signifikan yang belum dinilai pada saat
penilaian awal tahun
36. Kerangka • Telah ada kerangka dasar • Telah ada kerangka dasar penilaian • Telah ada kerangka dasar • Telah ada kerangka dasar penilaian Risiko • Telah ada kerangka dasar penilaian
proses penilaian Risiko secara Risiko secara formal dalam penilaian Risiko secara formal secara formal dalam kebijakan Manajemen risiko secara formal dalam kebijakan
pengukuran informal, namun belum kebijakan Manajemen Risiko dalam kebijakan Manajemen Risiko Manajemen Risiko
Risiko untuk diikutsertakan ke dalam • Telah ada kerangka penilaian Risiko, Risiko • Telah ada kerangka penilaian Risiko, yang • Telah ada kerangka penilaian Risiko,
prioritisasi kebijakan Manajemen yang mencakup penilaian • Telah ada kerangka penilaian mencakup penilaian kemungkinan terjadinya yang mencakup penilaian kemungkinan
Risiko Risiko kemungkinan terjadinya Risiko serta Risiko, yang mencakup Risiko serta tingkat dampak yang dituangkan terjadinya risiko serta tingkat dampak
• Penilaian risiko belum tingkat dampak yang dituangkan penilaian kemungkinan dalam bentuk risk heatmap yang dituangkan dalam bentuk risk
dilakukan secara rutin/ad- dalam bentuk risk heatmap terjadinya Risiko serta tingkat • Telah dilaksanakan penilaian yang heatmap
hoc • Belum dilaksanakan penilaian yang dampak yang dituangkan dalam mempertimbangkan keefektifan proses • Telah dilaksanakan penilaian yang
mempertimbangkan keefektifan bentuk risk heatmap pengendalian internal mempertimbangkan keefektifan proses
proses pengendalian internal • Telah dilaksanakan penilaian • Penilaian dan prioritisasi Risiko pengendalian internal
• Implementasi penilaian risiko masih yang mempertimbangkan diimplementasikan dengan baik oleh Lini • Penilaian dan prioritisasi Risiko
bergantung pada Lini Kedua dan keefektifan proses Pertama dan Kedua diimplementasikan dengan baik oleh Lini
tidak optimal diterapkan oleh Lini pengendalian internal • Telah terdapat perlakuan risiko Pertama dan Kedua.
Pertama • Penilaian dan prioritisasi Risiko (kurangi/transfer/hindari), indikator risiko • Telah terdapat perlakuan risiko
• Penilaian Risiko dilaksanakan dua diimplementasikan dengan baik utama/KRI, dan limit risiko dari setiap risiko. (kurangi/transfer/hindari), indikator risiko
kali dalam satu tahun (misal oleh Lini Pertama dan Kedua • Telah ada prosedur formal saat peringatan utama/KRI, dan limit risiko dari setiap
penilaian awal dan penilaian terkini • Penilaian risiko dilaksanakan muncul/limit Risiko terlampaui risiko.
pertengahan tahun) setiap triwulan (misal penilaian • Telah ada prosedur formal saat
awal dan penilaian terkini setiap peringatan muncul/limit Risiko terlampaui
triwulan) • Telah ada proses sistematis untuk
• Telah terdapat perlakuan risiko mengidentifikasi dan menganalisis risiko-
(kurangi/transfer/ hindari), risiko yang akan muncul (emerging risk)
kriteria peringatan dan nilai di luar kerangka risiko yang telah ada
maksimal dari setiap Risiko seperti risiko operasional, keuangan, dan
kepatuhan serta risiko-risiko tersebut
dipertimbangkan dalam proses
pengambilan keputusan serta menjadi
input dalam proses penilaian risiko yang
dilakukan secara rutin
37. Integrasi atas • Risiko utama diidentifikasi • Risiko utama diidentifikasi di tingkat • Telah ada sistem risk register • Telah ada sistem risk register yang • Telah ada sistem risk register yang
seluruh di tingkat Unit Bisnis dan Unit Bisnis dan perhitungan yang terkonsolidasi mencakup terkonsolidasi mencakup seluruh Unit Bisnis, terkonsolidasi mencakup seluruh Unit
Risiko utama belum diintegrasikan. eksposur risiko dalam risk register seluruh Unit Bisnis dan dan perhitungan eksposur risiko dalam risk Bisnis, dan perhitungan eksposur risiko
• Telah ada risk register belum seluruhnya terintegrasi perhitungan eksposur risiko register sudah terintegrasi dalam risk register sudah terintegrasi
informal dari masing- • Telah ada beberapa risk register dalam risk register sudah • Proses integrasi risiko biasanya dilakukan seluruhnya
masing Unit Bisnis (belum (dari setiap Unit Bisnis) terintegrasi seluruhnya setiap tahun oleh Unit Bisnis dan unit risiko • Proses integrasi risiko biasanya
ada prosedur standar/ • Proses integrasi risiko biasanya pusat dilakukan setiap tahun oleh Unit Bisnis
template) dilakukan setiap tahun oleh Unit dan unit risiko pusat
Bisnis dan unit risiko pusat
66
Kriteria
Sub
Dimensi
• Proses integrasi dilakukan • Proses integrasi dilakukan secara bottom up • Proses integrasi dilakukan secara bottom
secara bottom up sehingga sehingga risiko utama perusahaan dapat up sehingga risiko utama perusahaan
risiko utama perusahaan dapat ditentukan dapat ditentukan.
ditentukan • Perusahaan sudah menetapkan secara • Perusahaan sudah menetapkan secara
• Perusahaan sudah menetapkan formal terkait jenis dan jumlah risiko yang formal terkait jenis dan jumlah risiko yang
secara formal terkait jenis dan dapat diterima oleh perusahaan dalam dapat diterima oleh perusahaan dalam
jumlah risiko yang dapat mencapai sasaran strategisnya, yaitu selera mencapai sasaran strategisnya, yaitu
diterima oleh perusahaan dalam risiko (risk appetite). Selera risiko (risk selera risiko (risk appetite). Selera risiko
mencapai sasaran strategisnya, appetite) tersebut menjadi salah satu dasar (risk appetite) tersebut menjadi salah
yaitu selera risiko (risk appetite) dalam menyusun kriteria pengukuran risiko. satu dasar dalam menyusun kriteria
• Kriteria pengukuran risiko telah digunakan pengukuran risiko.
secara konsisten dan terbukti untuk • Kriteria pengukuran risiko telah
melakukan pengukuran risiko digunakan secara konsisten dan terbukti
untuk melakukan pengukuran risiko
• Hasil pengukuran risiko dikomunikasikan
kepada pimpinan unit kerja/fungsi dan
pimpinan perusahaan, guna divalidasi
untuk selanjutnya digunakan secara
konsisten sebagai salah satu
pertimbangan dalam proses pengambilan
keputusan di perusahaan
• Dalam memprioritaskan risiko, selain
mempertimbangkan tingkat eksposur
risiko (dampak dan kemungkinan terjadi)
dan dampaknya pada toleransi risiko
(risk tolerance), selera risiko (risk
appetite), kapasitas risiko (risk capacity),
dan sasaran strategis perusahaan juga
mempertimbangkan kriteria lain yang
telah disepakati sebelumnya, sebagai
contoh tingkat adaptabilitas perusahaan
terhadap risiko, kompleksitas risiko,
velositas risiko, tingkat persistensi risiko,
dan tingkat pemulihan risiko
c. 38. Aktivitas Telah ada kerangka rencana • Telah ada sejumlah rencana formal • Rencana penanganan risiko • Telah ada penanggung jawab yang jelas dan • Telah ada penanggung jawab yang jelas
Perlakuan perlakuan mitigasi risiko informal yang mitigasi untuk beberapa risiko disusun untuk risiko-risiko di berkapabilitas yang ditunjuk untuk mengelola dan berkapabilitas yang ditunjuk untuk
Risiko terhadap Risiko masih dalam cakupan high- namun banyak risiko-risiko utama tingkat unit kerja/fungsi yang setiap risiko utama mengelola setiap risiko utama
utama level dan belum dijelaskan tidak memiliki penanggung jawab dapat mengganggu pencapaian • Telah ada proses/alur untuk pengendalian • Telah ada proses/alur untuk mengelola
secara mendetail (sesuai maupun rencana mitigasi sasaran strategis perusahaan setiap risiko utama sesuai dengan selera setiap risiko utama sesuai dengan selera
dengan jenis-jenis risiko • Apabila penanganan risiko • Penyusunan rencana risiko perusahaan termasuk untuk emerging risiko perusahaan termasuk untuk
utama) dilakukan, maka pelaksanaannya penanganan risiko difasilitasi risk emerging risk
bersifat ad-hoc oleh fungsi Manajemen Risiko
67
Kriteria
Sub
Dimensi
• Telah ada proses/alur logis untuk yang berkoordinasi dengan Risk • Telah ada rencana tindakan mendetail • Telah ada rencana tindakan mendetail
mengelola beberapa risiko utama Owner di masing-masing unit dengan urutan langkah-langkah tindak lanjut dengan urutan langkah-langkah tindak
sesuai dengan definisi selera risiko, kerja/fungsi. yang spesifik lanjut yang spesifik.
namun proses-proses tersebut • Telah ada proses yang bersifat • Rencana penanganan risiko disusun dengan • Rencana penanganan risiko disusun
belum sepenuhnya lengkap atau rutin untuk menangani risiko- mempertimbangkan keterkaitan risiko antar dengan mempertimbangkan keterkaitan
belum diperbarui risiko utama tersebut unit kerja/fungsi, agar penanganan risiko tidak risiko antar unit kerja/fungsi, agar
• Belum ada garis tanggung jawab • Telah ada proses/alur untuk terduplikasi dan lebih efektif penanganan risiko tidak terduplikasi dan
yang jelas dari Direktur Utama mengelola setiap risiko utama • Rencana penanganan risiko harus dipantau lebih efektif
hingga ke front line sesuai dengan selera risiko secara berkala untuk menilai efektivitasnya • Rencana penanganan risiko harus
perusahaan termasuk untuk • Dalam menentukan rencana penanganan dipantau secara berkala untuk menilai
emerging risk risiko, perusahaan memperhatikan manfaat efektivitasnya
yang dapat tercipta dan sumber daya yang • Dalam menentukan rencana penanganan
dikeluarkan untuk menangani suatu risiko risiko, perusahaan memperhatikan
• Manfaat dan sumber daya tersebut harus manfaat yang dapat tercipta dan sumber
dikomunikasikan kepada fungsi Manajemen daya yang dikeluarkan untuk menangani
Risiko sebagai pihak yang bertanggung jawab suatu risiko
dalam mengkoordinasikan aktivitas • Manfaat dan sumber daya tersebut harus
Manajemen Risiko perusahaan dikomunikasikan secara berkala kepada
fungsi Manajemen Risiko sebagai pihak
yang bertanggung jawab dalam
mengkoordinasikan aktivitas Manajemen
Risiko perusahaan
• Telah ada rencana kontingensi yang
terdefinisi dengan baik untuk setiap risiko
utama
• Setiap pegawai memahami dan
menerima peran dan tanggung jawabnya
yang berkaitan dengan kebijakan dan
proses pengelolaan risiko-risiko utama
• Telah ada perhitungan dampak risiko
residual yang akan dikorelasikan dengan
targetnya
39. Identifikasi dan Telah ada pembahasan • Telah ada pembahasan mengenai • Telah ada proses terstruktur • Telah ada proses terstruktur untuk menyusun • Telah ada proses terstruktur untuk
pengelolaan mengenai ketidaksesuaian ketidaksesuaian antara eksposur untuk menyusun strategi strategi penanganan ketidaksesuaian antara menyusun strategi penanganan
eksposur Risiko antara eksposur risiko aktual risiko aktual dan selera risiko penanganan ketidaksesuaian eksposur risiko aktual dan selera risiko: ketidaksesuaian antara eksposur risiko
yang berada dan selera risiko secara ad- sebagai bagian dari keputusan antara eksposur risiko aktual o Menyusun basis fakta/data mengenai risiko aktual dan selera risiko:
diatas selera hoc, dan belum ada jadwal manajemen yang bersifat 'business dan selera risiko: o Melakukan analisis risiko o Menyusun basis fakta/data mengenai
risiko pembahasan rutin as usual' o Menyusun basis fakta/data o Memaparkan opsi-opsi kepada jajaran risiko
• Pembahasan dilakukan setidaknya mengenai risiko manajemen o Melakukan analisis risiko
satu kali dalam setahun o Melakukan analisis risiko • Pembahasan dilakukan setidaknya setiap o Memaparkan opsi-opsi kepada jajaran
o Memaparkan opsi-opsi triwulan manajemen
kepada jajaran manajemen
68
Kriteria
Sub
Dimensi
• Belum ada keputusan mengenai • Pembahasan dilakukan • Strategi yang ada saat ini telah efektif • Pembahasan dilakukan setidaknya setiap
langkah spesifik untuk menangani setidaknya setiap triwulan menjaga eksposur risiko agar tetap di level bulan
ketidakcocokan tersebut yang diinginkan (misal tidak ditemui bukti • Strategi yang ada saat ini telah efektif
mengenai risiko yang melampaui ambang menjaga eksposur risiko agar tetap di
batasnya). level yang diinginkan (misal tidak ditemui
bukti mengenai risiko yang melampaui
ambang batasnya)
• Dilakukan penyelarasan antara
perusahaan induk dan anak
perusahaan/Unit Bisnis untuk
memastikan bahwa analisis eksposur
risiko telah mencakup seluruh risiko dari
anak perusahaan/ Unit Bisnis.
d. 40. Pelaporan • Telah ada pelaporan risiko • Pelaporan dilakukan secara rutin • Pelaporan dilakukan untuk • Pelaporan dilakukan untuk memenuhi • Pelaporan dilakukan untuk memenuhi
Pelaporan Risiko yang bersifat ad-hoc, (misal laporan triwulanan memenuhi persyaratan persyaratan pelaporan finansial atau persyaratan pelaporan finansial atau
Risiko melaporkan dilatarbelakangi oleh menunjukkan dengan jelas ambang pelaporan finansial atau pelaporan yang bersifat legal/kepatuhan pelaporan yang bersifat legal/kepatuhan
Risiko secara peristiwa tertentu (misal batas risiko yang telah terlampaui) pelaporan yang bersifat • Pelaporan dilakukan secara rutin (misal • Pelaporan dilakukan secara rutin (misal
real-time insiden risiko, permintaan • Pelaporan mencakup gap dalam legal/kepatuhan laporan triwulanan menunjukkan dengan jelas laporan bulanan menunjukkan dengan
audit internal) cakupan risiko-risiko utama, • Pelaporan dilakukan secara ambang batas risiko yang telah terlampaui) jelas ambang batas risiko yang telah
• Pelaporan risiko belum berfokus pada proses rutin (misal laporan triwulanan dan dilengkapi dengan rekomendasi tindak terlampaui) dan dilengkapi dengan
mencakup gap dalam • Penerapan Leading indicator masih menunjukkan dengan jelas lanjut perbaikan, dan analisis tambahan rekomendasi tindak lanjut perbaikan, dan
cakupan risiko-risiko utama terbatas. ambang batas risiko yang telah • Telah ada pelaporan di tingkat Unit Bisnis dan analisis tambahan
atau belum menerapkan • Cakupan pelaporan masih dalam terlampaui) tingkat grup, termasuk anak perusahaan (jika • Telah ada pelaporan di tingkat Unit
Leading indicator tingkat Unit Bisnis tertentu • Pelaporan menyertakan relevan) Bisnis dan tingkat grup, termasuk anak
sejumlah Leading indicator • Pelaporan risiko mencakup ringkasan semua perusahaan (jika relevan)
• Telah ada pelaporan di tingkat risiko utama di semua jenis risiko, kejadian- • Pelaporan risiko mencakup ringkasan
Unit Bisnis dan tingkat grup, kejadian penting dengan analisis pasca semua risiko utama di semua jenis risiko,
termasuk anak perusahaan (jika kejadian, leading indicator, dan rekomendasi kejadian-kejadian penting dengan
relevan) yang dapat ditindaklanjuti analisis pasca kejadian, leading indicator,
dan rekomendasi yang dapat
ditindaklanjuti
• Pelaporan dilakukan menggunakan
toolkit otomatis dan hasil pelaporan dapat
diakses secara real-time
E. Model, Data, dan Teknologi Risiko
a. 41. Permodelan • Belum ada penerapan • Model risiko diterapkan untuk • Telah ada model risiko untuk • Telah ada model risiko untuk kuantifikasi • Telah ada model risiko untuk kuantifikasi
Permodelan dan model risiko, namun telah kuantifikasi risiko namun belum kuantifikasi risiko, namun, risiko sebagian besar risiko utama risiko sebagian besar risiko utama
Risiko Teknologi ada analisis yang dilakukan secara rutin (masih secara ad-hoc) model hanya tersedia untuk perusahaan, dengan analisis dampak perusahaan, dengan analisis dampak
Risiko secara ad-hoc (misal dan tidak terintegrasi dalam sebagian jenis risiko/ diterapkan berbasis risiko secara mendetail yang berbasis risiko secara mendetail yang
melalui analisis metrik pengambilan keputusan pada tingkat tinggi (misal dikonsolidasikan ke dampak tingkat dikonsolidasikan ke dampak tingkat
keuangan, analisis integrasian (misal P/L, arus kas) integrasian (misal P/L, arus kas)
69
Kriteria
Sub
Dimensi
kualitatif) meskipun belum • Aplikasi Advanced Analytics untuk analisis skenario P/L) tanpa • Telah ada aplikasi Advanced Analytics untuk • Data risiko digunakan dan menjadi input
dilakukan standardisasi dan Manajemen Risiko masih dalam analisis granular Manajemen Risiko namun dengan tingkat otomatis untuk setiap analisis dan model.
formalisasi cakupan dan pengembangan • Telah ada aplikasi Advanced kematangan berbeda (misal Early Warning • Telah ada lebih dari satu implementasi
metodologi analisis Analytics untuk Manajemen System/EWS telah matang, namun anti-fraud aplikasi Advanced Analytics Manajemen
• Proses Manajemen Risiko Risiko, namun masih dalam analytics baru dikembangkan). Risiko yang telah matang (misal Early
belum menerapkan tahap awal, misal terdapat Early • Telah ada aplikasi Early Warning System Warning System/EWS, anti-fraud,
Advanced Analytics (misal Warning System (EWS) yang (EWS) yang telah matang, yang secara penagihan).
analisis masih dilakukan baru dikembangkan. otomatis memperbarui dan mengambil data. • Telah ada aplikasi Early Warning System
secara manual) • Model risiko belum • Telah ada tim risk model and analytics in- (EWS) yang telah matang, yang secara
divalidasi/tidak pernah divalidasi house khusus yang memiliki kapabilitas otomatis memperbarui dan mengambil
untuk menguji keefektifannya Manajemen Risiko dan kemampuan data.
manajemen model khusus di beberapa, • Telah ada tim risk model and analytics in-
namun tidak semua tahapan siklus hidup house khusus yang memiliki kapabilitas
manajemen model, yaitu: Manajemen Risiko dan kemampuan
o Pembuatan model manajemen model khusus di semua
o Pengembangan model tahapan siklus hidup manajemen model,
o Implementasi model yaitu:
o Pemantauan dan validasi model o Pembuatan model
• Model risiko secara rutin divalidasi, namun o Pengembangan model
keakuratannya bervariasi (misal banyak o Implementasi model
model masih memiliki GINI rendah kurang o Pemantauan dan validasi model
dari 30%) • Model risiko secara rutin divalidasi oleh
• Teknik pemodelan risiko tidak diterapkan pihak validator independen dan model
secara konsisten di seluruh Unit Bisnis/anak terus diperbaiki untuk mencapai tingkat
perusahaan (misal SOP, bakat pemodelan, akurasi yang lebih tinggi (misal GINI >
tata kelola, mandat, dan kapabilitas lain yang 50%).
belum dibagikan/diturunkan) • Penerapan teknologi dan algoritma
• Manajemen model dilakukan secara manual Artificial Intelligence/Machine Learning
dan tersebar di beberapa pemilik tanpa (AI/ML) dalam model risiko, termasuk
dokumentasi yang baik dan sistem prosedur untuk mengurangi potensi
penyimpanan terpusat penyalahgunaan/ketidakpastian/bias dari
• Seluruh sistem yang berada di masing- penggunaan teknik-teknik canggih
masing unit bisnis terintegrasi dengan sistem tersebut
informasi Manajemen Risiko • Teknik pemodelan risiko yang diterapkan
secara konsisten di seluruh Unit
Bisnis/anak perusahaan (misal SOP,
bakat pemodelan, tata kelola, mandat,
dan kapabilitas lainnya yang
dibagikan/diturunkan)
• Digitalisasi dan otomatisasi terhadap
manajemen model di seluruh siklus hidup
model secara menyeluruh, dengan
70
Kriteria
Sub
Dimensi
pengembangan model, dokumentasi,
validasi, dan pelaporan yang
dikonsolidasikan dalam sistem/ruang
kerja yang terpusat
• Seluruh sistem yang berada di masing-
masing unit bisnis terintegrasi dengan
sistem informasi Manajemen Risiko
b. Data 42. Data Risiko • Telah ada sistem data • Telah ada sistem dan infrastruktur • Telah ada penyimpanan data • Telah ada penyimpanan data risiko terpusat • Telah ada penyimpanan data risiko
Risiko terpusat (misal untuk data data terpusat khusus untuk risiko terpusat khusus untuk khusus untuk Manajemen Risiko yang rutin terpusat khusus untuk Manajemen Risiko
keuangan) dan memuat Manajemen Risiko dalam tahap awal Manajemen Risiko yang rutin diperbarui (paling sedikit setiap triwulan) yang yang rutin diperbarui (paling sedikit
data yang bisa digunakan implementasi/pilot stage diperbarui (paling sedikit setiap dapat digunakan oleh pengguna yang tepat, setiap triwulan) yang dapat digunakan
untuk keperluan • Data risiko belum dikumpulkan dan tahun) yang dapat digunakan mencakup data risiko dari perusahaan induk oleh pengguna yang tepat, mencakup
Manajemen Risiko (misal, diperbarui secara rutin oleh pengguna yang tepat, dan anak perusahaan dengan metrik-metrik data risiko dari perusahaan induk dan
modul ad-hoc khusus untuk • Database terpusat hanya mengambil mencakup data risiko dari terstandar anak perusahaan dengan metrik-metrik
analisis Manajemen Risiko data dari perusahaan induk, dan perusahaan induk dan anak • Telah ada sistem penyimpanan data risiko terstandar
ada dalam cakupan sistem belum menarik data dari anak perusahaan dengan metrik- yang terpusat dan terintegrasi: • Telah ada sistem penyimpanan data
lain) perusahaan (untuk perusahaan metrik terstandar o Telah ada solusi TI terintegrasi (misal alat risiko yang terpusat dan terintegrasi:
• Perusahaan belum memiliki konglomerasi) • Telah ada sistem penyimpanan terkait tata kelola, Manajemen Risiko, dan o Telah ada solusi TI terintegrasi (misal
database risiko terpusat • Database risiko terpusat belum data risiko terpusat: kepatuhan yang digunakan untuk alat terkait tata kelola, Manajemen
(informasi hanya tersedia di digunakan di seluruh proses risiko o Telah ada solusi TI (misal alat menunjang fungsi risiko dan kontrol mulai Risiko, dan kepatuhan yang digunakan
tingkat Unit Bisnis/proyek) secara menyeluruh (misal terdapat terkait tata kelola, Manajemen dari penilaian risiko hingga pelaporannya untuk menunjang fungsi risiko dan
dashboard untuk dilakukan Risiko, dan kepatuhan yang (dashboard). kontrol mulai dari penilaian risiko
pemantauan, namun belum ada digunakan untuk menunjang o Minim duplikasi/fragmentasi aset TI hingga pelaporannya (dashboard).
input terpusat untuk fungsi risiko dan kontrol mulai sehingga penerapan arsitektur data risiko o Minim duplikasi/fragmentasi aset TI
menginventarisasi risiko) dari penilaian risiko hingga secara menyeluruh sehingga penerapan arsitektur data
pelaporannya (dashboard). • Solusi TI memuat informasi mengenai risiko secara menyeluruh
o Ada duplikasi/fragmentasi eksposur risiko, kebijakan dan prosedur • Solusi TI memuat informasi mengenai
aset TI yang mengarah pada Manajemen Risiko, dan limit risiko eksposur risiko, kebijakan dan prosedur
implementasi yang kompleks • Pengelolaan data risiko dengan cakupan lebih Manajemen Risiko, dan limit risiko.
dari arsitektur data risiko end- luas untuk jenis-jenis risiko material bagi • Data risiko yang dikelola mencakup
to-end/masalah kualitas data perusahaan, termasuk data untuk risiko-risiko semua jenis risiko material perusahaan,
dan kompleksitas kualitatif (misal risiko reputasi) termasuk data untuk risiko kualitatif dan
• Solusi TI memuat informasi • Telah ada penyimpanan data sentral yang jenis risiko yang muncul (misal data risiko
mengenai eksposur risiko, dapat mencatat data kerugian internal, privasi)
kebijakan dan prosedur termasuk near-misses • Telah ada penyimpanan data sentral
Manajemen Risiko, serta limit • Diterapkan otomatisasi pengumpulan data yang dapat mencatat data kerugian
risiko. operasional untuk pelaporan risiko internal, termasuk near-misses.
• Cakupan data risiko yang • Diterapkan otomatisasi pengumpulan
dikelola terbatas, terutama data operasional untuk pelaporan risiko
hanya untuk jenis risiko utama
organisasi (misal risiko
keuangan, risiko operasional)
71
Kriteria
Sub
Dimensi
• Kualitas data risiko sangat baik dan
konsisten di seluruh lini perusahaan,
ditunjang dengan:
o Pelaporan berkala mengenai kontrol
kualitas data secara menyeluruh dan
pelaporan mengenai kekurangan
kualitas data
o Jalur eskalasi yang jelas untuk
menyelesaikan masalah terkait data
• Telah ada pengelolaan kualitas data
secara otomatis dan pemanfaatan
teknologi (misal teknik berbasis Artificial
Intelligence/Machine Learning (AI/ML)
untuk mempercepat identifikasi dan
remediasi masalah kualitas data)
B. Parameter dan Kriteria Penilaian Indeks Kematangan Risiko untuk Industri Perbankan
Sub Kriteria
Dimensi Parameter
1. Fase Awal 2. Fase Berkembang 3. Fase Praktik yang Baik 4.Fase Praktik yang Lebih Baik 5.Fase praktik terbaik
(Initial Phase) (Emerging Phase) (Good Practice Phase) (Strong Practice Phase) (Best Practice Phase)
a. Budaya B. Internalisasi • Belum ada program penanaman • Telah ada program • Telah ada program penanaman • Telah ada program penanaman • Telah ada program penanaman budaya risiko
Risiko budaya budaya risiko, misal risk penanaman budaya risiko budaya risiko yang sedang budaya risiko yang sedang dijalankan yang sedang dijalankan (misal risk awards,
Risiko dalam awards, sosialisasi, risk (misal risk awards, sosialisasi dijalankan (misal risk awards, (misal risk awards, sosialisasi, risk sosialisasi risk townhall, dan sebagainya) dan
budaya townhall, dan sebagainya risk townhall, dan sosialisasi risk townhall, dan townhall, dan sebagainya) dan terdapat program sadar risiko, saat ini
perusahaan • Budaya risiko belum tertanam di sebagainya), namun saat ini sebagainya) dan terdapat program terdapat program sadar risiko, saat dilakukan secara rutin dan lebih sering (lebih
kegiatan usaha sehari-hari program hanya dilakukan sadar risiko, saat ini dilakukan ini dilakukan secara rutin dan lebih dari satu kali dalam setahun),
(misal kepemilikan dan sesekali, tidak rutin atau secara rutin (satu kali dalam sering (lebih dari satu kali dalam • Tanggung jawab pengembangan budaya risiko
tanggung jawab risiko pegawai berkala. setahun). setahun) secara jelas diemban dan tercantum dalam
dan jajaran manajemen belum • Tanggung jawab • Tanggung jawab pengembangan • Tanggung jawab pengembangan uraian jabatan tidak hanya untuk Lini Kedua,
jelas). Tanggung jawab pengembangan budaya risiko budaya risiko secara jelas diemban budaya risiko secara jelas diemban tetapi juga di semua lini (khususnya yang
pengembangan budaya risiko diemban oleh Lini Kedua oleh Lini Kedua dan sudah oleh Lini Kedua dan tercantum dalam memegang posisi manajerial)
diemban oleh pegawai tertentu namun tidak tercantum tercantum dengan jelas dalam uraian jabatan Lini Kedua serta • Direksi berperan aktif untuk mengembangkan
(misal unit kerja khusus), dengan jelas peran dan uraian jabatan Lini Kedua, serta di diawasi oleh Direksi dan Dewan budaya Manajemen Risiko
namun tidak ada keterlibatan tanggung jawab dalam uraian awasi oleh Direksi dan Dewan Komisaris • Telah ada evaluasi rutin yang dilakukan
Lini Kedua dan Direksi jabatan Lini Kedua Komisaris • Direksi berperan aktif untuk minimal 1 kali per tahun terhadap peningkatan
mengembangkan budaya budaya risiko (misal survei budaya risiko)
Manajemen Risiko termasuk mengumpulkan masukan dari
72
Sub Kriteria
Dimensi Parameter
• Direksi belum berperan aktif • Direksi belum berperan aktif • Direksi berperan aktif untuk • Telah ada evaluasi rutin yang pegawai untuk pengembangan program
untuk mengembangkan budaya untuk mengembangkan mengembangkan budaya dilakukan minimal 1 kali per tahun budaya risiko
Manajemen Risiko budaya Manajemen Risiko Manajemen Risiko terhadap peningkatan budaya risiko • Budaya risiko menjadi bagian integral dari
(misal survei budaya risiko) termasuk budaya perusahaan. Budaya risiko tercantum
mengumpulkan masukan dari pada kebijakan budaya kerja yang
pegawai untuk pengembangan disosialisasikan di perusahaan, dan budaya ini
program budaya risiko tertanam di seluruh lini perusahaan dimulai
• Budaya risiko menjadi bagian integral dengan penegasan dari jajaran manajemen,
dari budaya perusahaan. Budaya diperkuat dengan langkah nyata (yang juga
risiko tercantum pada kebijakan dapat digunakan sebagai kriteria evaluasi
budaya kerja yang disosialisasikan di kinerja pegawai):
perusahaan, dan budaya ini tertanam o Cepat mengantisipasi potensi risiko dan
di seluruh lini perusahaan dimulai menanggapinya dengan tepat
dengan penegasan dari jajaran o Menyeimbangkan target jangka pendek
manajemen, diperkuat dengan dan risiko jangka panjang
langkah nyata (yang juga dapat o Pembahasan risiko yang sulit tetap
digunakan sebagai kriteria evaluasi dilakukan secara konstruktif
kinerja pegawai): o Mendukung pelaksanaan inisiatif
o Cepat mengantisipasi potensi Manajemen Risiko dan secara ketat
risiko dan menanggapinya dengan menerapkan pedoman Manajemen Risiko
tepat o Resiliensi (contohnya resiliensi operasional,
o Menyeimbangkan target jangka tanggap merespon peristiwa yang
pendek dan risiko jangka panjang merugikan, dan sebagainya, dengan
o Pembahasan risiko yang sulit tetap memberi penekanan baik dalam
dilakukan secara konstruktif penyusunan strategi maupun dalam
o Mendukung pelaksanaan inisiatif pelaksanaannya)
Manajemen Risiko dan secara • Telah ada serangkaian sistem penunjang untuk
ketat menerapkan pedoman pelaksanaan dan penanaman program budaya
Manajemen Risiko risiko perusahaan, contohnya:
o Resiliensi (contohnya resiliensi o Intranet perusahaan untuk memuat
operasional, tanggap merespon informasi yang dapat diakses mengenai
peristiwa yang merugikan, dan program budaya risiko dan kebijakan risiko
sebagainya, dengan memberi perusahaan
penekanan baik dalam o Tersedia dashboard untuk memantau
penyusunan strategi maupun metrik yang berkaitan dengan budaya
dalam pelaksanaannya) risiko/program budaya risiko
implementasi program budaya risiko, di
antaranya:
o Bukti perbaikan indikator utama berkaitan
dengan budaya risiko perusahaan, di
antaranya penurunan jumlah kasus
73
Sub Kriteria
Dimensi Parameter
kecurangan internal, korupsi, pelanggaran
kode etik pegawai, dan penurunan jumlah
kerugian dari kasus pelanggaran tersebut
o Penyelesaian program budaya risiko yang
telah direncanakan
b. C. Peran • Belum ada Penilaian RMI yang • Telah ada Penilaian RMI yang • Telah ada Penilaian RMI yang • Telah ada Penilaian RMI yang telah • Telah ada Penilaian RMI yang telah
Kapabilitas Penilaian dilakukan oleh tim Penilai dilakukan oleh tim Penilai dilakukan oleh tim Penilai diformalisasikan ke dalam kebijakan diformalisasikan ke dalam kebijakan Risiko
Risiko RMI dalam Independen dalam 3 tahun Independen dalam 3 tahun Independen dalam 3 tahun terakhir Risiko perusahaan perusahaan
upaya terakhir terakhir • Penilaian RMI dilakukan secara rutin • Penilaian RMi dilakukan secara rutin • Penilaian RMI dilakukan secara rutin (setiap
peningkatan • Penilaian RMI pernah dilakukan • Penilaian RMI, baik yang (setiap tahun), setidaknya (setiap tahun), dan telah tahun) dan telah dilaksanakan dengan baik di
praktik oleh Tim Penilai Internal namun dilaksanakan Tim Penilai dilaksanakan untuk level Holding dilaksanakan dengan baik di level level Holding dan setiap anak perusahaan (jika
Manajemen tidak dilakukan dengan periode Internal atau eksternal tidak • Penilaian RMI mencakup seluruh Holding dan setiap anak perusahaan relevan)
Risiko yang sistematis dilakukan dengan periode Dimensi Risiko (budaya dan (jika relevan) • Penilaian RMI mencakup seluruh Dimensi
• Penilaian RMI masih bersifat yang sistematis kapabilitas Risiko, organisasi dan • Penilaian RMI mencakup seluruh Risiko (budaya dan kapabilitas Risiko,
high-level, kajian mendalam • Penilaian RMI belum tata kelola Risiko, kerangka Risiko Dimensi risiko (budaya dan organisasi dan tata kelola Risiko, kerangka
belum dilaksanakan mencakup semua Dimensi dan kepatuhan, proses dan kontrol kapabilitas Risiko, organisasi dan tata Risiko dan kepatuhan, proses dan kontrol
Risiko (budaya dan Risiko, serta model, data, dan kelola Risiko, kerangka Risiko dan Risiko, serta model, data, dan teknologi Risiko)
kapabilitas Risiko, organisasi teknologi Risiko) kepatuhan, proses dan kontrol Risiko, • Telah ada rencana perbaikan atas hasil
dan tata kelola Risiko, • Telah ada rencana perbaikan atas serta model, data, dan teknologi Penilaian RMI dengan tindak lanjut yang jelas
kerangka Risiko dan hasil Penilaian RMI dengan tindak Risiko) (terdapat inisiatif mendetail dengan
kepatuhan, proses dan lanjut yang jelas (terdapat inisiatif • Telah ada rencana perbaikan atas penanggung jawab, lini masa implementasi
kontrol Risiko, serta model, mendetail dengan penanggung hasil Penilaian RMI dengan tindak terperinci)
data, dan teknologi Risiko) jawab, lini masa implementasi lanjut yang jelas (terdapat inisiatif • Telah ada sosialisasi atas hasil Penilaian RMI
• Telah ada rencana perbaikan terperinci) mendetail dengan penanggung dan pemantauan progres tindak lanjut atas
atas hasil Penilaian RMI, • Telah ada sosialisasi atas hasil jawab, lini masa implementasi rekomendasi Penilaian RMI yang
namun masih bersifat umum Penilaian RMI kepada Direksi dan terperinci) terdokumentasi dengan baik kepada Direksi
(tidak detil), serta tidak Dewan Komisaris serta pemangku • Telah ada sosialisasi atas hasil dan Dewan Komisaris serta pemangku
dilengkapi dengan lini masa kepentingan terkait (misal semua Penilaian RMI dan pemantauan kepentingan terkait (misal semua personel
dan penanggung jawabnya personel Manajemen Risiko, beserta progres tindak lanjut atas Manajemen Risiko, beserta personel Lini
personel Lini Pertama/Lini Ketiga rekomendasi Penilaian RMI yang Pertama/Lini Ketiga terkait) untuk memperkuat
terkait) untuk memperkuat terdokumentasi dengan baik kepada kepemilikan kematangan risiko di antara semua
kepemilikan kematangan risiko di Direksi dan Dewan Komisaris serta pihak yang berkepentingan
antara semua pihak yang pemangku kepentingan terkait (misal • Telah ada bukti yang jelas atas kinerja
berkepentingan semua personel Manajemen Risiko, implementasi rekomendasi Penilaian RMI, di
beserta personel Lini Pertama/Lini antaranya:
Ketiga terkait) untuk memperkuat o Peningkatan skor RMI secara year-on-year,
kepemilikan kematangan risiko di baik di level Holding maupun anak
antara semua pihak yang perusahaan (jika relevan)
berkepentingan o Inisiatif dan rencana tindakan perbaikan
• Telah ada bukti yang jelas atas dilaksanakan sepenuhnya (100%) selama
kinerja implementasi rekomendasi periode pelaporan sesuai dengan peta jalan
hasil Penilaian RMI, di antaranya: dan lini masa yang telah disusun
74
Sub Kriteria
Dimensi Parameter
o Peningkatan skor RMI secara • Telah dilakukan verifikasi/audit Penilaian RMI
year-on-year, baik di level Holding oleh pihak independen (misal audit internal,
maupun anak perusahaan (jika atau tinjauan oleh pihak eksternal independen)
relevan) sebagai “check-and-balance” untuk
o Inisiatif dan rencana tindakan meminimalisir potensi bias dalam penilaian
perbaikan dilaksanakan lebih dari
50% selama periode pelaporan
sesuai dengan peta jalan dan lini
masa yang telah disusun
D. Program • Telah ada program peningkatan • Telah ada program • Telah ada program peningkatan • Telah ada program peningkatan • Telah ada program peningkatan keahlian risiko
peningkatan keahlian risiko namun: peningkatan keahlian risiko keahlian risiko keahlian risiko • Program dapat diakses oleh semua pegawai
keahlian Risiko o Program belum diterapkan ke • Program dapat diakses oleh • Program dapat diakses oleh semua • Program dapat diakses oleh semua • Program disesuaikan dengan tingkat
seluruh pegawai (misal hanya sebagian besar pegawai pegawai pegawai keahlian/jabatan, khususnya untuk personel
dikhususkan untuk Dewan • Program disesuaikan dengan • Program disesuaikan dengan tingkat • Program disesuaikan dengan tingkat risiko dan anggota Dewan Komisaris/Direksi
Komisaris) sehingga tingkat keahlian pegawai (yang keahlian/jabatan, khususnya untuk keahlian/jabatan, khususnya untuk • Topik program bersifat komprehensif
pelatihannya rendah (program memiliki akses ke pelatihan personel risiko dan anggota Dewan personel risiko dan anggota Dewan (mencakup seluruh dimensi manajemen risiko
pelatihan risiko hanya diberikan ini) Komisaris/Direksi Komisaris/Direksi seperti budaya dan kapabilitas Risiko,
kepada kurang dari 1% total • Topik yang dibahas dalam • Topik program bersifat komprehensif • Topik program bersifat komprehensif organisasi dan tata kelola Risiko, kerangka
jumlah pegawai) program kemungkinan belum (mencakup seluruh mencakup (mencakup seluruh dimensi Risiko dan kepatuhan, proses dan kontrol
o Program tidak bersifat komprehensif (misal belum seluruh dimensi manajemen risiko manajemen risiko seperti budaya Risiko, serta model, data, dan teknologi Risiko)
wajib/rutin (misal hanya mencakup seluruh dimensi seperti budaya dan kapabilitas dan kapabilitas Risiko, organisasi • Tingkat kehadiran pelatihan di atas 95% dari
dilakukan secara ad-hoc) manajemen risiko seperti Risiko, organisasi dan tata kelola dan tata kelola Risiko, kerangka jumlah peserta yang terdaftar
• Program pelatihan belum budaya dan kapabilitas Risiko, kerangka Risiko dan Risiko dan kepatuhan, proses dan • Program bersifat wajib dan rutin (paling sedikit
disesuaikan dengan tingkat Risiko, organisasi dan tata kepatuhan, proses dan kontrol kontrol Risiko, serta model, data, dan satu kali dalam setahun), dan telah diterapkan
keahlian pegawai kelola Risiko, kerangka Risiko Risiko, serta model, data, dan teknologi Risiko) sanksi untuk ketidakhadiran
dan kepatuhan, proses dan teknologi Risiko • Tingkat kehadiran pelatihan di atas • Kurikulum ditinjau secara rutin dan bersifat
kontrol Risiko, serta model, • Tingkat kehadiran pelatihan di atas 95% dari jumlah peserta yang formal berdasarkan kebutuhan pelatihan
data, dan teknologi Risiko) 90% dari jumlah terdaftar pegawai, serta melalui proses pembaruan
• Tingkat kehadiran pelatihan • Program bersifat wajib dan rutin • Program bersifat wajib dan rutin setiap tahun untuk memastikan kualitasnya dan
relatif tinggi di beberapa divisi (paling sedikit satu kali dalam (paling sedikit satu kali dalam diperbarui agar sesuai dengan risiko-risiko
saja (misal divisi Manajemen setahun) setahun) utama dan praktik terbaik Manajemen Risiko
Risiko) • Program belum diperbarui dan • Kurikulum ditinjau secara rutin dan (misal terus diperbarui dengan standar
• Program tidak bersifat ditinjau secara rutin (misal satu kali bersifat formal berdasarkan internasional terkini)
wajib/rutin (misal hanya dalam setahun) kebutuhan pelatihan pegawai, serta • Telah ada “feedback-loop”/pengumpulan
dilakukan secara ad-hoc) melalui proses pembaruan setiap feedback terdokumentasi dari pegawai yang
tahun untuk memastikan kualitasnya telah menerima pelatihan risiko, untuk menilai
dan diperbarui agar sesuai dengan manfaat dari pelatihan risiko terhadap keahlian
risiko-risiko utama dan praktik terbaik pegawai dalam menjalankan pekerjaannya,
Manajemen Risiko (misal terus serta memberikan masukan untuk
diperbarui dengan standar pengembangan program pelatihan secara
internasional terkini) berkesinambungan
75
Sub Kriteria
Dimensi Parameter
• Telah ada “feedback- • Telah dilakukan analisis untuk menilai
loop”/pengumpulan feedback keberhasilan/ruang perbaikan program,
terdokumentasi dari pegawai yang termasuk area-area di mana pegawai belum
telah menerima pelatihan risiko, menunjukkan kinerja yang baik dan
untuk menilai manfaat dari pelatihan membutuhkan pelatihan/tes lebih lanjut pada
risiko terhadap keahlian pegawai siklus pelatihan berikutnya
dalam menjalankan pekerjaannya, • Perusahaan terus melakukan terobosan dalam
serta memberikan masukan untuk pembelajaran melalui kolaborasi dengan
pengembangan program pelatihan penyedia program pelatihan Manajemen Risiko
secara berkesinambungan sesuai industri yang dijalankannya untuk
mengedukasi pegawainya terkait praktik terbaik
global Manajemen Risiko (khususnya untuk
pegawai di jabatan Manajemen
penting/personel Unit Bisnis dan divisi
Manajemen Risiko)
implementasi pelatihan risiko, di antaranya:
o Penyelesaian penuh untuk pelatihan wajib
terkait Manajemen Risiko/kesadaran risiko
untuk semua pegawai
o Penyelesaian penuh pelatihan risiko
berdasarkan tingkat keahlian/jabatan untuk
pegawai utama, terutama mereka yang
memegang posisi manajerial di Lini Pertama,
Lini Kedua, dan Lini Ketiga
(kebutuhan/keluaran pelatihan terpenuhi)
• Telah ada bukti sanksi yang diterapkan kepada
pegawai yang tidak menyelesaikan program
pelatihan terkait manajemen risiko yang telah
diwajibkan.
a. Organ 4. Akuntabilitas • Belum ada fungsi risiko, namun • Telah ada fungsi risiko • Telah ada fungsi risiko khusus (Lini • Telah ada fungsi risiko khusus (Lini • Telah ada fungsi risiko khusus (Lini Kedua)
Pengelola organ telah ada beberapa pegawai khusus (Lini Kedua) dengan Kedua) dengan akuntabilitas Kedua) dengan akuntabilitas dengan akuntabilitas perorangan dan cara
Risiko pengelola yang diberi tugas yang berkaitan akuntabilitas perorangan dan perorangan dan cara interaksi yang perorangan dan cara interaksi yang interaksi yang jelas dengan fungsi kontrol (Lini
risiko dengan risiko meskipun secara cara interaksi yang jelas jelas dengan fungsi kontrol (Lini jelas dengan fungsi kontrol (Lini Ketiga) maupun dengan Unit Bisnis (Lini
terdesentralisasi dan belum dengan fungsi kontrol (Lini Ketiga) maupun dengan Unit Bisnis Ketiga) maupun dengan Unit Bisnis Pertama)
terstruktur (misal terdapat Ketiga) maupun dengan Unit (Lini Pertama) (Lini Pertama) • Telah ada Direktur Risiko (terpisah untuk
manajer kontrol operasional yang Bisnis (Lini Pertama) • Telah ada Direktur Risiko (terpisah • Telah ada Direktur Risiko (terpisah klasifikasi risiko Sistemik A dan Sistemik B)
memiliki ruang lingkup kerja yang • Telah ada Direktur Risiko untuk klasifikasi risiko Sistemik A untuk klasifikasi risiko Sistemik A dan yang merupakan bagian dari jajaran Direksi,
berkaitan dengan risiko di Unit yang merupakan bagian dari dan Sistemik B) yang merupakan Sistemik B) yang merupakan bagian dengan
Bisnis), atau sebaliknya terdapat jajaran Direksi dan memiliki bagian dari jajaran Direksi, dengan: dari jajaran Direksi, dengan:
76
Sub Kriteria
Dimensi Parameter
fungsi risiko namun tidak ada alur pelaporan dan o Direktur Risiko tidak merangkap o Direktur Risiko tidak merangkap o Direktur Risiko tidak merangkap Lini Pertama
pegawai yang menjabat akuntabilitas langsung ke Lini Pertama dan Lini Ketiga Lini Pertama dan Lini Ketiga dan Lini Ketiga
(pegawai dirangkap oleh Direktur utama namun o Akuntabilitas Direktur Risiko ke o Akuntabilitas Direktur Risiko ke o Akuntabilitas Direktur Risiko ke Direktur
pegawai dari fungsi lain) Direktur Risiko masih Direktur Utama dengan alur Direktur Utama dengan alur utama dengan alur pelaporan yang jelas
• Belum ada Kepala unit Risiko, dirangkap dengan tugas lain pelaporan yang jelas pelaporan yang jelas o Akuntabilitas Direktorat Risiko disampaikan
namun akuntabilitas untuk (misal Direktur SDM dan o Akuntabilitas Direktorat Risiko o Akuntabilitas Direktorat Risiko kepada Komite Pemantau Risiko dengan
beberapa fungsi risiko telah Risiko) bagi BUMN dengan disampaikan kepada Komite disampaikan kepada Komite alur pelaporan yang jelas
dilaksanakan oleh pimpinan lain klasifikasi risiko Sistemik A Pemantau Risiko dengan alur Pemantau Risiko dengan alur • Wewenang, tugas, dan tanggung jawab
(misal kepala bidang Audit) dan Sistemik B pelaporan yang jelas pelaporan yang jelas Direksi, Dewan Komisaris, Komite Audit,
• Wewenang, tugas, dan tanggung • Wewenang, tugas, dan • Wewenang, tugas, dan tanggung • Wewenang, tugas, dan tanggung Komite Pemantau Risiko, dan Komite Tata
jawab Direksi, Dewan Komisaris, tanggung jawab Direksi, jawab Direksi, Dewan Komisaris, jawab Direksi, Dewan Komisaris, Kelola Terintegrasi sudah sesuai dengan
dan Komite Audit belum sesuai Dewan Komisaris, dan Komite Audit, Komite Pemantau Komite Audit, Komite Pemantau ketentuan pada PER-2/MBU/03/2023 untuk
dengan ketentuan pada PER- Komite Audit sudah sesuai Risiko, dan Komite Tata Kelola Risiko, dan Komite Tata Kelola masing-masing klasifikasi Risiko BUMN
2/MBU/03/2023 untuk masing- dengan ketentuan pada PER- Terintegrasi sudah sesuai dengan Terintegrasi sudah sesuai dengan • Akuntabilitas kepala Unit Bisnis kepada
masing klasifikasi Risiko BUMN 2/MBU/03/2023 untuk ketentuan pada PER- ketentuan pada PER- Direktur Risiko untuk mendapatkan persetujuan
• Belum ada organ Komite masing-masing klasifikasi 2/MBU/03/2023 untuk masing- 2/MBU/03/2023 untuk masing- strategi risiko dan implementasinya di Unit
Pemantau Risiko dan Komite Risiko BUMN masing klasifikasi Risiko BUMN masing klasifikasi Risiko BUMN Bisnis masing-masing
Tata Kelola Terintegrasi • Sudah ada organ Komite • Akuntabilitas kepala Unit Bisnis • Direktorat Risiko pusat memiliki hak veto dalam
sebagaimana ketentuan pada Pemantau Risiko dan Komite kepada Direktur Risiko untuk pemberian persetujuan strategi risiko dan
PER-2/MBU/03/2023 untuk Tata Kelola Terintegrasi mendapatkan persetujuan strategi implementasinya di Unit Bisnis
masing-masing klasifikasi Risiko sebagaimana ketentuan pada risiko dan implementasinya di Unit • Direktur Risiko memiliki pengalaman industri
BUMN PER-2/MBU/03/2023 untuk Bisnis masing-masing yang luas di bidang Manajemen Risiko
masing-masing klasifikasi • Telah ada Komite Risiko di bawah Direksi yang
Risiko BUMN menangani permasalahan risiko khusus
5. Tingkat • Belum terpenuhinya kelengkapan • Belum terpenuhinya • Telah terpenuhinya kelengkapan • Telah terpenuhinya kelengkapan • Telah terpenuhinya kelengkapan organ
kematangan organ pengelola risiko secara kelengkapan organ pengelola organ pengelola risiko sesuai organ pengelola risiko sesuai pengelola risiko sesuai klasifikasi risiko BUMN
organ formal sesuai dengan klasifikasi risiko secara formal sesuai klasifikasi risiko BUMN serta fungsi, klasifikasi risiko BUMN serta fungsi, serta fungsi, tugas, dan tanggung jawabnya
pengelola risiko BUMN serta fungsi, tugas, dengan klasifikasi risiko tugas, dan tanggung jawabnya sudah tugas, dan tanggung jawabnya sudah sesuai sebagaimana ketentuan dalam
Risiko dan tanggung jawabnya belum BUMN serta fungsi, tugas, sesuai sebagaimana ketentuan sudah sesuai sebagaimana PER-2/MBU/03/ 2023 maupun Petunjuk Teknis
sesuai sebagaimana ketentuan dan tanggung jawabnya dalam PER-2/MBU/03/ 2023 maupun ketentuan dalam PER-2/MBU/03/ mengenai Komposisi dan Kualifikasi Organ
dalam PER-2/MBU/03/ 2023 belum sesuai sebagaimana Petunjuk Teknis mengenai 2023 maupun Petunjuk Teknis Pengelola Risiko
maupun Petunjuk Teknis ketentuan dalam PER- Komposisi dan Kualifikasi Organ mengenai Komposisi dan Kualifikasi • Telah ada fungsi manajemen risiko dan
mengenai Komposisi dan 2/MBU/03/ 2023 maupun Pengelola Risiko. Organ Pengelola Risiko. kepatuhan yang terpusat dan independen
Kualifikasi Organ Pengelola Petunjuk Teknis mengenai • Telah ada fungsi manajemen risiko • Telah ada fungsi manajemen risiko sebagai Lini Kedua, dan menjalankan tugasnya
Risiko Komposisi dan Kualifikasi dan kepatuhan yang terpusat dan dan kepatuhan yang terpusat dan untuk menyusun metodologi dan kebijakan
• Belum ada fungsi risiko secara Organ Pengelola Risiko independen serta menjalankan independen serta menjalankan Manajemen Risiko
formal, namun telah dibentuk unit • Telah ada fungsi risiko tugasnya untuk menyusun tugasnya untuk menyusun • BUMN sudah memiliki proses formal untuk
kerja/satuan khusus/pihak terpusat berskala kecil, metodologi dan kebijakan metodologi dan kebijakan mengelola risiko yang dituangkan dalam
eksternal yang melakukan namun kegiatan manajemen Manajemen Risiko Manajemen Risiko kebijakan/pedoman manajemen risiko
kegiatan berkaitan dengan risiko sebagian besar
77
Sub Kriteria
Dimensi Parameter
manajemen risiko perusahaan dilakukan secara • BUMN sudah memiliki proses formal • BUMN sudah memiliki proses formal • Unit risiko juga mengelola risiko lainnya selain
(misal perencanaan pembentukan terdesentralisasi, misal: untuk mengelola risiko yang untuk mengelola risiko yang yang diprasyaratkan OJK, misalnya:
fungsi risiko) o Operasionalisasi kegiatan dituangkan dalam dituangkan dalam o Model Risk: Unit internal khusus untuk
• BUMN belum memiliki proses manajemen risiko berbeda kebijakan/pedoman manajemen kebijakan/pedoman manajemen mengelola risiko model
formal untuk mengelola risiko berdasarkan Unit Bisnis, risiko risiko o Cyber Risk: Pemantauan siber 24/7 terpusat
yang dituangkan dalam produk, wilayah, dan proses • Unit risiko juga mengelola risiko • Unit risiko juga mengelola risiko (misal Security Operations Center)
kebijakan/pedoman manajemen o Belum ada standar risiko lainnya selain yang diprasyaratkan lainnya selain yang diprasyaratkan o Sustainability Risk: Unit internal khusus
risiko transversal OJK, misalnya: OJK, misalnya: untuk mengelola risiko sustainability/
• BUMN belum memiliki proses o Model Risk: Unit internal khusus o Model Risk: Unit internal khusus keberlanjutan
formal untuk mengelola risiko untuk mengelola risiko model untuk mengelola risiko model • Telah ada unit/sub-unit khusus untuk setiap
yang dituangkan dalam o Cyber Risk: Pemantauan siber 24/7 o Cyber Risk: Pemantauan siber risiko utama (misal pimpinan khusus untuk
kebijakan/pedoman terpusat (misal Security 24/7 terpusat (misal Security risiko proyek, risiko strategis, risiko pasar, dll.)
manajemen risiko. Operations Center) Operations Center) yang selaras antara penanggung jawab dan
• Struktur tata kelola • Struktur tata kelola risiko sudah o Sustainability Risk: Unit internal konteks bisnisnya
Manajemen Risiko dirancang terdefinisikan dengan jelas di khusus untuk mengelola risiko • Struktur tata kelola risiko yang jelas untuk
untuk memenuhi kriteria beberapa anak perusahaan (jika sustainability/keberlanjutan setiap Unit Bisnis di bawah payung Grup
minimum OJK relevan) • Telah ada unit/sub-unit khusus untuk (struktur tata kelola disesuaikan untuk risiko-
setiap risiko utama (misal pimpinan risiko khusus seperti risiko siber) dan untuk
khusus untuk risiko proyek, risiko seluruh anak perusahaan (jika relevan)
strategis, risiko pasar, dll.) yang • Fungsi risiko memiliki keterampilan dalam
selaras antara penanggung jawab pengendalian dan pemodelan risiko
dan konteks bisnisnya • Praktik terbaik tata kelola risiko diterapkan di
• Struktur tata kelola risiko sudah induk dan semua anak perusahaan
terdefinisikan dengan jelas di • Keefektifan penerapan struktur tata kelola
beberapa anak perusahaan (jika risiko ditinjau secara berkala (misal setiap
relevan) tahun) oleh pihak independen (internal atau
• Fungsi risiko memiliki keterampilan eksternal), kemudian dilakukan penyesuaian
dalam pengendalian dan pemodelan atau peningkatan untuk mencerminkan konteks
risiko saat ini (misal jenis risiko utama yang
ditangani, pertumbuhan/ skala bisnis, strategi,
dsb.)
b. 6. Keterlibatan • Dewan Komisaris telah terlibat • Dewan Komisaris mengawasi • Dewan Komisaris mengawasi • Dewan Komisaris mengawasi • Dewan Komisaris mengawasi kegiatan
Peran dan aktif Dewan pada hal-hal yang berkaitan kegiatan Manajemen Risiko kegiatan Manajemen Risiko yang kegiatan Manajemen Risiko yang Manajemen Risiko yang bersifat regulatori dan
Tanggung Komisaris dengan kepatuhan terhadap yang bersifat regulatori dan bersifat regulatori dan dianggap bersifat regulatori dan dianggap dianggap krusial serta telah ada ambang
Jawab
dalam regulasi, namun masih sedikit dianggap krusial namun krusial serta telah ada ambang krusial serta telah ada ambang eskalasi yang jelas dari Direksi/Direktur Utama
Organ
Pengelola pengelolaan terlibat dalam isu-isu risiko lain belum ada ambang eskalasi eskalasi yang jelas dari eskalasi yang jelas dari ke Dewan Komisaris
Risiko Risiko • Ruang lingkup keterlibatan Dewan yang jelas dari Direksi/ Direksi/Direktur Utama ke Dewan Direksi/Direktur Utama ke Dewan • Ruang lingkup keterlibatan Dewan Komisaris
Komisaris dan Direksi dalam Direktur Utama ke Dewan Komisaris Komisaris dan Direksi dalam Manajemen Risiko dan
Manajemen Risiko belum Komisaris • Telah ada ruang lingkup keterlibatan • Ruang lingkup keterlibatan Dewan pedoman pengambilan keputusan dalam
tercantum pada kebijakan • Ruang lingkup keterlibatan Dewan Komisaris dan Direksi yang Komisaris dan Direksi dalam permasalahan risiko utama dengan jelas
Manajemen Risiko, namun telah Dewan Komisaris dan Direksi terdefinisi dengan baik dalam Manajemen Risiko dan pedoman tercantum pada kebijakan Manajemen Risiko
78
Sub Kriteria
Dimensi Parameter
tercantum pada kebijakan lain dalam Manajemen Risiko kebijakan Manajemen Risiko dan pengambilan keputusan dalam • Dewan Komisaris menyetujui dan mengawasi
(misal, piagam Dewan tercantum pada kebijakan pedoman yang jelas dalam proses permasalahan risiko utama dengan implementasi:
Komisaris/piagam Direksi) Manajemen Risiko, namun pengambilan keputusan untuk isu- jelas tercantum pada kebijakan o Kebijakan untuk risiko, Manajemen Risiko,
meskipun lingkup keterlibatan belum menjelaskan tanggung isu risiko utama Manajemen Risiko dan kepatuhan
yang dijelaskan masih kurang jawab tertentu (misal hanya • Dewan Komisaris menyetujui • Dewan Komisaris menyetujui dan o Daftar risiko utama
jelas/terlalu umum bersifat umum, pernyataan sebagian dari poin berikut: mengawasi implementasi: o Kode etik yang menjelaskan perilaku yang
yang mencakup keseluruhan) o Kebijakan untuk risiko, o Kebijakan untuk risiko, tidak dapat diterima
manajemen risiko, dan kepatuhan manajemen risiko, dan kepatuhan • Dewan Komisaris rutin terlibat pada
o Daftar risiko utama o Daftar risiko utama permasalahan risiko utama selain untuk
o Kode etik yang menjelaskan o Kode etik yang menjelaskan menyetujui rencana bisnis tahunan
perilaku yang tidak dapat diterima perilaku yang tidak dapat diterima • Dewan Komisaris secara rutin terlibat dalam
• Dewan Komisaris rutin terlibat pada • Dewan Komisaris rutin terlibat pada kegiatan sosialisasi risiko di perusahaan
permasalahan risiko utama selain permasalahan risiko utama selain (penekanan secara top-down)
untuk menyetujui rencana bisnis untuk menyetujui rencana bisnis • Dewan Komisaris efektif dalam mengarahkan
tahunan tahunan Manajemen Risiko perusahaan ke arah yang
• Dewan Komisaris secara rutin terlibat konsisten dengan visi perusahaan, termasuk
dalam kegiatan sosialisasi risiko di terlibat secara formal dalam penyusunan
perusahaan (penekanan secara top- strategi risiko, rencana transformasi ERM, dan
down) memastikan bahwa semua keputusan strategis
• Dewan Komisaris efektif dalam yang diambil oleh perusahaan didukung oleh
mengarahkan Manajemen Risiko analisis risiko yang memadai
perusahaan ke arah yang konsisten • Telah ada bukti yang jelas atas kinerja
dengan visi perusahaan, termasuk keterlibatan aktif Dewan Komisaris, di
terlibat secara formal dalam antaranya:
penyusunan strategi risiko, rencana o Dewan Komisaris telah diikutsertakan dalam
transformasi ERM, dan memastikan pengambilan keputusan untuk isu-isu yang
bahwa semua keputusan strategis membutuhkan eskalasi/persetujuan Dewan
yang diambil oleh perusahaan Komisaris dalam periode pelaporan (dengan
didukung oleh analisis risiko yang merujuk ambang batas materialitas yang
memadai telah ditetapkan)
o Dewan Komisaris telah mengambil peran
sekurang-kurangnya dalam satu acara
sosialisasi manajemen risiko Perusahaan.
7. Eskalasi • Sudah ada permasalahan • Dewan Komisaris menangani • Dewan Komisaris menangani • Dewan Komisaris membuat • Dewan Komisaris membuat keputusan
permasalahan berkaitan dengan risiko dan eskalasi permasalahan eskalasi permasalahan keputusan independen dan berbasis independen dan berbasis fakta untuk
kepada Dewan kepatuhan yang dieskalasikan ke bernilai/berdampak besar bernilai/berdampak besar atau fakta untuk permasalahan yang permasalahan yang dieskalasikan, misal:
Komisaris Dewan Komisaris (misal dalam atau memiliki implikasi memiliki implikasi strategis yang dieskalasikan, misal: o Telah ada bukti atau data yang
hal menangani pemenuhan strategis yang signifikan signifikan o Telah ada bukti atau data yang dipresentasikan sebagai bahan
persyaratan minimum regulator) • Belum ada kriteria eskalasi • Telah ada ambang batas dipresentasikan sebagai bahan pertimbangan Dewan Komisaris
meskipun eskalasi tidak yang jelas (hanya materialitas atau kriteria yang jelas pertimbangan Dewan Komisaris o Dewan Komisaris membuat keputusan
dilakukan secara rutin berdasarkan penilaian/ dari isu-isu terkait risiko atau o Dewan Komisaris membuat berbasis fakta dan terdokumentasi dengan
judgment dari Direksi) permasalahan atau transaksi yang keputusan berbasis fakta dan jelas (misal melalui recording, risalah rapat)
79
Sub Kriteria
Dimensi Parameter
• Belum ada kriteria eskalasi perlu dieskalasikan ke Dewan terdokumentasi dengan jelas o Dewan Komisaris mendasarkan keputusan
permasalahan berkaitan dengan Komisaris dan diformalisasikan (misal melalui recording, risalah dengan membandingkan bukti/fakta yang
risiko dan kepatuhan yang jelas dalam kebijakan perusahaan rapat) disajikan terhadap kerangka risiko yang telah
dari Direksi ke Dewan Komisaris termasuk yang memiliki implikasi o Dewan Komisaris mendasarkan disepakati (misal selera risiko, batas risiko)
strategis yang signifikan bukan keputusan dengan • Telah ada ambang batas materialitas atau
hanya permasalahan berdampak/ membandingkan bukti/fakta yang kriteria yang jelas dari isu-isu terkait risiko atau
bernilai besar disajikan terhadap kerangka risiko permasalahan atau transaksi yang perlu
yang telah disepakati (misal selera dieskalasikan ke Dewan Komisaris dan
risiko, batasan risiko, kapasitas diformalisasikan dalam kebijakan perusahaan
risiko) termasuk yang memiliki implikasi strategis yang
• Telah ada ambang batas materialitas signifikan bukan hanya permasalahan
atau kriteria yang jelas dari isu-isu berdampak/bernilai besar
terkait risiko atau permasalahan atau • Dewan Komisaris tidak menjadi penghambat,
transaksi yang perlu dieskalasikan ke misal:
Dewan Komisaris dan o Telah ada bukti bahwa Dewan Komisaris
diformalisasikan dalam kebijakan merespon dengan cepat dan membuat
perusahaan termasuk yang memiliki keputusan tanpa menghabiskan waktu yang
implikasi strategis yang signifikan lama saat ada permasalahan yang
bukan hanya permasalahan dieskalasikan ke tingkat komite
berdampak/bernilai besar o Dewan Komisaris menyediakan waktu yang
cukup untuk mengatasi masalah risiko yang
dieskalasikan dengan bukti ketidakhadiran
minim saat rapat Dewan Komisaris diadakan
(terutama selama periode krisis)
8. Tingkat • Dewan Komisaris kompeten • Dewan Komisaris kompeten • Sebagian besar Dewan Komisaris • Semua Dewan Komisaris memiliki • Semua Dewan Komisaris memiliki keahlian dan
pemahaman dalam hal bisnis dan dalam hal bisnis dan memiliki keahlian manajemen risiko keahlian manajemen risiko untuk kapabilitas risiko yang tinggi untuk secara
Risiko di manajemen, namun memiliki manajemen, namun hanya untuk secara efektif mengawasi secara efektif mengawasi strategi efektif mengawasi strategi Manajemen Risiko
jajaran Dewan keahlian manajemen risiko yang sebagian kecil yang memiliki strategi Manajemen Risiko (misal Manajemen Risiko (misal semua (misal semua anggota Dewan Komisaris telah
Komisaris masih dasar (misal belum ada keahlian manajemen risiko sebagian besar anggota Dewan anggota Dewan Komisaris telah mengikuti sertifikasi dasar Manajemen Risiko
Dewan Komisaris yang memiliki (misal beberapa anggota Komisaris memiliki Sertifikasi mengikuti sertifikasi dasar seperti LSPP, BSMR, dan sebagainya)
sertifikasi Manajemen Risiko memiliki sertifikasi Manajemen Risiko seperti LSPP, Manajemen Risiko seperti LSPP, • Paling sedikit terdapat satu anggota Dewan
atau memiliki pengalaman Manajemen Risiko, atau BSMR, dan sebagainya) BSMR, dan sebagainya) dan paling Komisaris yang memiliki pengalaman
Manajemen Risiko di industrinya) memiliki pengalaman • Program pelatihan keahlian sedikit terdapat satu anggota Dewan Manajemen Risiko di industrinya (misal
• Belum ada rencana program Manajemen Risiko di manajemen risiko bagi Dewan Komisaris yang memiliki pengalaman sebelumnya menjabat sebagai pimpinan
pelatihan keahlian manajemen industrinya) Komisaris telah disusun dan Manajemen Risiko di industrinya bidang Manajemen Risiko) dan mampu melihat
risiko bagi Dewan Komisaris, • Rencana program pelatihan disesuaikan dengan topik-topik (misal sebelumnya menjabat sebagai potensi-potensi risiko.
namun telah ada program yang keahlian manajemen risiko edukasi risiko saat ini dan pimpinan bidang Manajemen Risiko) • Telah ada komite risiko di bawah Dewan
pernah diikuti secara ad-hoc bagi Dewan Komisaris telah dilaksanakan seluruhnya seperti: • Program pelatihan keahlian Komisaris untuk mengelola Manajemen Risiko
(misal beberapa anggota Dewan disusun, namun belum o Pelatihan dan sertifikasi tentang manajemen risiko bagi Dewan di perusahaan
Komisaris pernah menghadiri dilaksanakan seluruhnya dasar-dasar/ prinsip manajemen Komisaris telah disusun dan • Anggota Dewan Komisaris yang memiliki
forum eksekutif berkaitan dengan risiko disesuaikan dengan topik-topik keahlian Manajemen Risiko ditugaskan di
topik manajemen risiko) komite yang tepat (misal anggota yang sangat
80
Sub Kriteria
Dimensi Parameter
o Forum manajemen risiko dengan edukasi risiko saat ini dan berpengalaman ditunjuk menjadi kepala komite
eksekutif industri lainnya dilaksanakan seluruhnya seperti: risiko di bawah Dewan Komisaris)
o Materi tentang risiko berwawasan o Pelatihan dan sertifikasi tentang • Program pelatihan keahlian manajemen risiko
ke depan (forward looking) dasar-dasar/prinsip manajemen bagi Dewan Komisaris telah disusun dan
o Materi tentang perspektif global risiko disesuaikan dengan topik-topik edukasi risiko
manajemen risiko o Forum manajemen risiko dengan saat ini dan dilaksanakan seluruhnya, seperti:
• Telah ada komite pemantau risiko di eksekutif industri lainnya o Pelatihan dan sertifikasi tentang dasar-
bawah Dewan Komisaris untuk o Materi tentang risiko berwawasan dasar/prinsip manajemen risiko
mengelola Manajemen Risiko di ke depan (forward looking) o Forum manajemen risiko dengan eksekutif
perusahaan o Materi tentang perspektif global industri lainnya
• Anggota Dewan Komisaris yang manajemen risiko o Materi tentang risiko berwawasan ke depan
memiliki keahlian Manajemen Risiko • Telah ada komite risiko di bawah (forward looking)
ditugaskan di komite yang tepat Dewan Komisaris untuk mengelola o Materi tentang perspektif global manajemen
(misal anggota yang sangat Manajemen Risiko di perusahaan risiko
berpengalaman ditunjuk menjadi • Anggota Dewan Komisaris yang • Anggota Dewan Komisaris berasal dari
kepala komite risiko di bawah Dewan memiliki keahlian Manajemen Risiko berbagai latar belakang dan bersifat
Komisaris) ditugaskan di komite yang tepat independen yang membantu memberikan
• Anggota Dewan Komisaris berasal (misal anggota yang sangat perspektif independen
dari berbagai latar belakang dan berpengalaman ditunjuk menjadi • Telah ada bukti yang jelas atas kinerja
bersifat independen yang membantu kepala komite risiko di bawah Dewan pelatihan untuk Dewan Komisaris, di antaranya:
memberikan perspektif independen Komisaris) o Penyelesaian penuh (100%) program
• Anggota Dewan Komisaris berasal pelatihan risiko untuk Dewan Komisaris yang
dari berbagai latar belakang dan telah direncanakan dalam periode pelaporan
bersifat independen yang membantu o Level keahlian risiko Dewan Komisaris
memberikan perspektif independen (misal melalui sertifikasi) dapat
• Telah ada bukti yang jelas atas dipertahankan/ditingkatkan secara year-on-
kinerja pelatihan untuk Dewan year, termasuk partisipasi Dewan Komisaris
Komisaris, di antaranya: dalam program refresher
o Penyelesaian sebagian program
pelatihan risiko untuk Dewan
Komisaris yang telah direncanakan
o Level keahlian risiko Dewan
Komisaris (misal melalui sertifikasi)
belum dipertahankan/ditingkatkan
secara year-on-year
9. Peran komite- Belum ada Komite Pemantau • Telah ada Komite untuk • Telah ada lebih dari satu komite • Telah ada lebih dari satu komite • Telah ada lebih dari satu komite khusus di
komite di Risiko, namun telah ada setidaknya mengelola hal-hal yang khusus di bawah Dewan Komisaris khusus di bawah Dewan Komisaris bawah Dewan Komisaris (paling sedikit Komite
bawah Dewan 1 (satu) anggota Dewan Komisaris berkaitan dengan Manajemen (paling sedikit komite audit, Komite (paling sedikit komite audit, Komite Audit, Komite Pemantau Risiko, dan Komite
Komisaris yang bertanggung jawab atas hal- Risiko, namun komite ini tidak Pemantau Risiko, dan Komite Tata Pemantau Risiko, dan Komite Tata Tata Kelola Terintegrasi) dengan tanggung
dikhususkan untuk Kelola Terintegrasi), sebagaimana Kelola Terintegrasi) dengan jawab yang jelas dan terpisah satu sama lain,
mengawasi manajemen risiko tanggung jawab yang jelas dan
81
Sub Kriteria
Dimensi Parameter
hal yang berkaitan dengan di perusahaan (misal komite ketentuan dalam PER- terpisah satu sama lain, sebagaimana ketentuan dalam PER-
Manajemen Risiko memiliki dual-responsibility) 02/MBU/03/2023 sebagaimana ketentuan dalam PER- 02/MBU/03/2023
• Tanggung jawab dari setiap • Tanggung jawab dari setiap komite 02/MBU/03/2023 • Adanya tim Audit Khusus, yang bertanggung
komite tidak diatur telah diatur (khususnya dalam • Adanya tim Audit Khusus, yang jawab mengawasi dan terus memonitor risiko-
permasalahan yang berkaitan bertanggung jawab mengawasi dan risiko yang berkembang (misal IT audit) untuk
dengan strategi) terus memonitor risiko-risiko yang mendukung upaya Dewan Komisaris dalam
• Rapat komite risiko Dewan berkembang (misal IT audit) untuk melakukan pengawasan
Komisaris sering kali difokuskan mendukung upaya Dewan Komisaris • Telah ada bukti bahwa komite berinteraksi
untuk memberikan informasi terkini dalam melakukan pengawasan. dengan manajemen secara proaktif (tidak
kepada anggota komite Dewan • Rapat komite risiko Dewan Komisaris menunggu diminta), terutama pada periode di
Komisaris (”komunikasi satu arah”) memiliki bukti yang jelas bahwa mana terdapat peningkatan potensi terjadinya
• Komite Pemantau Risiko dilibatkan anggota komite Dewan Komisaris peristiwa risiko kritis
setidaknya dua kali dalam setahun berperan aktif dalam memberikan • Rapat komite risiko Dewan Komisaris memiliki
untuk rapat komite risiko pengawasan, tantangan, dan arahan bukti yang jelas bahwa anggota komite Dewan
yang dapat ditindaklanjuti terhadap Komisaris berperan aktif dalam memberikan
isu-isu risiko yang dieskalasi (diskusi pengawasan, tantangan, dan arahan yang
dua arah). dapat ditindaklanjuti/langkah selanjutnya
• Komite Pemantau Risiko dilibatkan terhadap isu-isu risiko yang dieskalasi (diskusi
setiap tiga bulan untuk mengikuti dua arah)
rapat komite risiko. • Komite Pemantau Risiko dilibatkan lebih sering
dari tiga bulan sekali untuk mengikuti rapat
komite risiko
10. Pengurusan • Direksi belum terlibat secara aktif • Direksi ikut terlibat secara • Direksi ikut terlibat secara aktif • Direksi ikut terlibat secara aktif • Direksi ikut terlibat secara aktif menyusun
aktif Direksi menyusun kebijakan dan strategi aktif menyusun kebijakan dan menyusun kebijakan dan strategi menyusun kebijakan dan strategi kebijakan dan strategi manajemen risiko secara
dalam manajemen risiko secara strategi manajemen risiko manajemen risiko secara manajemen risiko secara komprehensif kemudian mengusulkan
pengelolaan komprehensif secara komprehensif komprehensif kemudian komprehensif kemudian kebijakan dan strategi tersebut kepada Dewan
Risiko kemudian mengusulkan mengusulkan kebijakan dan strategi mengusulkan kebijakan dan strategi Komisaris
• Direksi belum terlibat secara aktif kebijakan dan strategi tersebut kepada Dewan Komisaris tersebut kepada Dewan Komisaris • Direksi terlibat secara aktif menyusun
menyusun perencanaan tersebut kepada Dewan • Direksi terlibat secara aktif • Direksi terlibat secara aktif menyusun perencanaan Manajemen Risiko yang menjadi
Manajemen Risiko yang menjadi Komisaris menyusun perencanaan Manajemen perencanaan Manajemen Risiko satu kesatuan dengan RKAP
satu kesatuan dengan RKAP • Direksi terlibat secara aktif Risiko yang menjadi satu kesatuan yang menjadi satu kesatuan dengan • Direksi telah terlibat aktif dalam menyusun dan
• Direksi belum terlibat aktif dalam menyusun perencanaan dengan RKAP RKAP menyampaikan laporan Manajemen Risiko.
menyusun dan menyampaikan Manajemen Risiko yang • Direksi telah terlibat aktif dalam • Direksi telah terlibat aktif dalam • Telah ada ruang lingkup keterlibatan Direksi
laporan Manajemen Risiko. menjadi satu kesatuan menyusun dan menyampaikan menyusun dan menyampaikan dalam Manajemen Risiko dan pedoman
• Ruang lingkup keterlibatan dengan RKAP laporan Manajemen Risiko. laporan Manajemen Risiko. pengambilan keputusan dalam permasalahan
Direksi dalam Manajemen • Direksi telah terlibat aktif • Telah ada ruang lingkup keterlibatan • Telah ada ruang lingkup keterlibatan risiko utama dengan jelas tercantum pada
dalam menyusun dan Direksi yang terdefinisi dengan baik Direksi dalam Manajemen Risiko dan kebijakan Manajemen Risiko
Risiko belum tercantum pada
menyampaikan laporan dalam kebijakan Manajemen Risiko pedoman pengambilan keputusan • Direksi telah secara konsisten melaksanakan
kebijakan Manajemen Risiko,
Manajemen Risiko. dan pedoman yang jelas dalam dalam permasalahan risiko utama kebijakan Manajemen Risiko dalam
namun telah tercantum pada
• Ruang lingkup keterlibatan proses pengambilan keputusan dengan jelas tercantum pada menjalankan proses bisnis perusahaan
kebijakan lain (misal, piagam
Direksi dalam Manajemen untuk isu-isu risiko utama kebijakan Manajemen Risiko
Direksi) meskipun lingkup
82
Sub Kriteria
Dimensi Parameter
keterlibatan yang dijelaskan Risiko tercantum pada • Direksi telah secara konsisten • Direksi telah secara konsisten • Direksi melaksanakan kaji ulang secara berkala
masih kurang jelas/terlalu umum kebijakan Manajemen Risiko, melaksanakan kebijakan melaksanakan kebijakan Manajemen untuk memastikan Ketepatan kebijakan
• Direksi belum secara konsisten namun belum menjelaskan Manajemen Risiko dalam Risiko dalam menjalankan proses prosedur Manajemen Risiko serta penetapan
melaksanakan kebijakan tanggung jawab tertentu menjalankan proses bisnis bisnis perusahaan batasan Risiko (risk limit) dan ambang batas
Manajemen Risiko dalam (misal hanya bersifat umum, perusahaan • Direksi melaksanakan kaji ulang (threshold); kecukupan implementasi sistem
menjalankan proses bisnis pernyataan yang mencakup • Direksi melaksanakan kaji ulang secara berkala untuk memastikan informasi Manajemen Risiko yang terintegrasi
perusahaan keseluruhan) secara berkala untuk memastikan Ketepatan kebijakan prosedur dengan sistem informasi lainnya, serta
• Kaji ulang untuk memastikan • Direksi telah secara konsisten ketepatan kebijakan prosedur Manajemen Risiko serta penetapan memastikan keakuratan metodologi penilaian
ketepatan kebijakan dan melaksanakan kebijakan Manajemen Risiko serta penetapan batasan Risiko (risk limit) dan Risiko
prosedur Manajemen Risiko Manajemen Risiko dalam batasan Risiko (risk limit) dan ambang batas (threshold), • Direksi telah memastikan bahwa fungsi
serta penetapan batasan Risiko menjalankan proses bisnis ambang batas (threshold) serta kecukupan implementasi sistem Manajemen Risiko telah beroperasi secara
(risk limit) dan ambang batas perusahaan terimplementasinya sistem informasi informasi Manajemen Risiko, serta independen
(threshold) belum dilakukan • Kaji ulang untuk memastikan Manajemen Risiko memastikan keakuratan metodologi • Direksi memonitor dan memastikan
secara berkala ketepatan kebijakan prosedur • Direksi telah memastikan bahwa penilaian Risiko pelaksanaan penanganan risiko utama
Manajemen Risiko serta fungsi Manajemen Risiko telah • Direksi telah memastikan bahwa perusahaan berjalan sesuai rencana
penetapan batasan Risiko beroperasi secara independen fungsi Manajemen Risiko telah • Direksi telah menerapkan manajemen risiko
(risk limit) dan ambang batas beroperasi secara independen dalam setiap pengambilan keputusan.
(threshold) serta kecukupan • Direksi memonitor dan memastikan
implementasi sistem pelaksanaan penanganan risiko
informasi Manajemen Risiko, utama perusahaan berjalan sesuai
belum dilakukan secara rencana
berkala
11. Mandat, Telah ada mandat secara informal • Fungsi risiko memiliki mandat • Fungsi Risiko memiliki mandat yang • Mandat fungsi Risiko didefinisikan • Mandat fungsi Risiko didefinisikan dengan jelas
wewenang, bagi beberapa pegawai/jajaran dan kewenangan formal untuk jelas dan tercantum dalam kerangka dengan jelas dan tercantum dalam dan tercantum dalam kerangka kebijakan dan
dan pimpinan utama untuk memantau menjalankan tanggung jawab kebijakan perusahaan kerangka kebijakan dan dikomunikasikan ke seluruh pegawai
independensi risiko, namun belum dilaksanakan intinya. Namun terdapat • Independensi dan kapabilitas staf dikomunikasikan ke seluruh pegawai • Telah ada bukti bahwa perusahaan melakukan
fungsi secara independen (misal pegawai ambiguitas antara peran Risiko dipastikan dengan pelatihan • Telah ada bukti bahwa perusahaan tinjauan secara berkala (misal setiap tahun)
Manajemen yang ditunjuk untuk melakukan fungsi risiko pusat dengan yang berkelanjutan dan kapasitas melakukan tinjauan secara berkala apakah mandat, kerangka kerja,
Risiko untuk tugas pemantauan risiko di Unit fungsi risiko Unit Bisnis (misal yang memadai untuk memastikan apakah mandat, kebijakan/prosedur risiko yang diturunkan dari
memantau Bisnis juga bertanggung jawab beberapa sumber • Fungsi Risiko sepenuhnya kerangka kerja, kebijakan/ prosedur fungsi risiko pusat telah diimplementasikan
semua Risiko untuk penjualan) daya/pegawai bertugas di terintegrasi ke semua proses bisnis risiko yang diturunkan dari fungsi dengan baik ke seluruh lini perusahaan
keduanya). Selain itu, utama risiko pusat telah diimplementasikan (termasuk Unit Bisnis/anak perusahaan)
terdapat ambiguitas terkait dengan baik ke seluruh lini • Fungsi risiko melapor ke Dewan Komisaris
keputusan kontrol antara perusahaan (termasuk Unit • Telah ada pemisahan yang jelas antara peran
Risiko dan Unit Bisnis Bisnis/anak perusahaan) fungsi risiko pusat dan fungsi risiko Unit Bisnis
• Fungsi Risiko pusat bersifat • Fungsi Risiko melapor ke Dewan • Telah ada independensi organisasi antara
independen hanya dalam Komisaris fungsi risiko dan Unit Bisnis yang kegiatan dan
struktur organisasi dan jalur • Telah ada pemisahan yang jelas eksposurnya ditinjau
pelaporan, namun dalam antara peran fungsi risiko pusat dan • Fungsi risiko (dengan dukungan dari fungsi
pelaksanaannya fungsi Risiko fungsi risiko Unit Bisnis kepatuhan) memiliki kewenangan untuk
tidak independen di semua • Telah ada independensi organisasi menjalankan tanggung jawab intinya:
tingkatan antara fungsi risiko dan Unit Bisnis
83
Sub Kriteria
Dimensi Parameter
yang kegiatan dan eksposurnya o Mengidentifikasi risiko
ditinjau o Mengukur risiko
• Fungsi risiko (dengan dukungan dari o Memonitor risiko
fungsi kepatuhan) memiliki o Mengontrol atau memitigasi risiko
kewenangan untuk menjalankan o Melaporkan eksposur risiko
tanggung jawab intinya: • Fungsi risiko berperan lebih dengan bertindak
o Mengidentifikasi risiko sebagai thought partner untuk membahas
o Mengukur risiko masalah risiko dengan Unit Bisnis (misal Risiko
o Memonitor risiko terlibat dalam penyusunan keputusan-
o Mengontrol atau memitigasi risiko keputusan strategi bisnis penting). Unit Bisnis
o Melaporkan eksposur risiko sepenuhnya menyepakati peran dan tanggung
• Telah ada fungsi Risiko independen jawab jabatan tersebut
di setiap tingkatan Lini Kedua • Fungsi Risiko bekerja sebagai mitra bagi Lini
melakukan proses Assurance untuk Pertama yang mampu memberikan masukan
semua jenis risiko konstruktif kepada Unit Bisnis.
• Fungsi Risiko menerima pelatihan
khusus (contohnya risiko perubahan
iklim, Advanced Analytics,dsb)
12. Efektivitas • Penilaian risiko telah dilakukan, • Telah ada pengelola Risiko • Telah ada tim sentral yang khusus • Telah ada tim sentral khusus yang • Telah ada tim sentral khusus dengan risk
fungsi namun oleh pegawai/tim yang khusus dalam fungsi berfokus pada strategi transversal didukung oleh berbagai inisiatif dari ambassador atau terdapat dukungan inisiatif
pengelola tidak secara khusus menangani keuangan, audit atau dan terkonsolidasi (misal untuk isu Unit Bisnis (misal risk ambassador di risiko dari setiap Unit Bisnis yang memberikan
risiko dalam manajemen risiko kepatuhan (belum ada risiko yang beririsan antara Unit tingkat Unit Bisnis) yang memberikan komentar atau masukan secara efektif sebagai
menjalankan • Dilakukan penilaian risiko secara pemisahan peran yang jelas Bisnis dan/atau anak perusahaan) komentar atau masukan secara Lini Kedua bagi Unit Bisnis
tugasnya backward-looking, namun hanya antara risiko dan fungsi • Tim sentral memberikan standar dan efektif sebagai Lini Kedua bagi unit • Tim sentral memberikan standar dan pedoman
dikhususkan untuk risiko perusahaan lainnya) pedoman Manajemen Risiko untuk bisnis Manajemen Risiko untuk perusahaan secara
khusus/kasus khusus tertentu • Dilakukan penilaian risiko perusahaan, namun masih sebagian • Tim sentral memberikan standar dan independen, difasilitasi oleh pihak eksternal
(misal hanya risiko proyek saja) secara backward-looking besar difasilitasi oleh pihak eksternal pedoman Manajemen Risiko untuk (misal konsultan) hanya untuk topik-topik
untuk membantu (misal konsultan) perusahaan secara independen, khusus
mengidentifikasi dan menilai • Dilakukan penilaian risiko secara difasilitasi oleh pihak eksternal (misal • Dilakukan penilaian risiko secara forward-
risiko (tidak hanya risiko backward-looking untuk membantu konsultan) hanya untuk topik-topik looking dan memberikan wawasan mengenai
khusus/kasus khusus mengidentifikasi dan menilai risiko khusus proyeksi risiko ke depan (misal secara kualitatif
tertentu), namun penilaian secara rutin dan mengikuti standar • Dilakukan penilaian risiko secara dan kuantitatif mengidentifikasi risiko-risiko
masih tidak rutin dan yang telah ditetapkan forward-looking dan memberikan utama yang akan dihadapi perusahaan di tahun
dilakukan secara ad-hoc wawasan mengenai proyeksi risiko berikutnya untuk setiap Unit Bisnis dan untuk
ke depan untuk membantu perusahaan secara umum) secara rutin dan
mengidentifikasi dan menilai risiko mengikuti standar yang telah ditetapkan
secara rutin dan mengikuti standar • Penilaian risiko dengan efektif melibatkan Unit
yang telah ditetapkan, namun Bisnis sebagai Lini Pertama, sehingga proses
penilaian masih terlalu bergantung tidak terlalu bergantung dengan tim sentral
dengan tim sentral risiko (sedikit risiko (fungsi tim risiko pusat mampu
melibatkan Unit Bisnis) menjalankan tugasnya dengan lebih efektif
sebagai penilai risiko secara integrasi).
84
Sub Kriteria
Dimensi Parameter
c. 13. Model Tata Model Tata Kelola Risiko Tiga Lini • Model Tata Kelola Risiko Tiga • Telah ada Model Tata Kelola Risiko • Telah ada Model Tata Kelola Risiko • Telah ada Model Tata Kelola Risiko Tiga Lini
Model Tata Kelola Risiko belum sepenuhnya diformalkan Lini telah diformalkan dalam Tiga Lini, dengan peran dan Tiga Lini, dengan peran dan dengan peran dan tanggung jawab yang jelas
Kelola Tiga Lini dalam struktur organisasi (misal struktur organisasi tanggung jawab yang jelas dan tepat tanggung jawab yang jelas dan tepat dan tepat pada jabatan tersebut yang
Risiko Tiga
tidak didokumentasikan dalam perusahaan (misal pada jabatan tersebut yang pada jabatan tersebut yang dijalankan oleh setiap pihak untuk memastikan
Lini dan
Tata Kelola bentuk kebijakan perusahaan) didokumentasikan dalam dijalankan oleh setiap pihak untuk dijalankan oleh setiap pihak untuk independensi dan objektivitas
Risiko bentuk kebijakan memastikan independensi dan memastikan independensi dan • Unit Bisnis secara langsung mengidentifikasi
Terintegrasi perusahaan), namun masih objektivitas objektivitas dan mengelola risiko dalam proses bisnis
ada tumpang tindih peran dan • Unit Bisnis secara langsung • Unit Bisnis secara langsung sebagai Lini Pertama
tanggung jawab pada jabatan mengidentifikasi dan mengelola mengidentifikasi dan mengelola risiko • Setiap Lini sepenuhnya menjalankan perannya
tersebut risiko dalam proses bisnis sebagai dalam proses bisnis sebagai Lini • Self-assurance/self-checking dilakukan di Lini
• Belum ada tanggung jawab Lini Pertama Pertama Pertama
risiko yang jelas dari Unit • Setiap Lini sepenuhnya menjalankan • Setiap Lini sepenuhnya menjalankan • Telah ada bukti bahwa keefektifan Model Tata
Bisnis sebagai Lini Pertama, perannya perannya Kelola Risiko Tiga Lini diuji secara berkala
masih sangat bergantung • Self-assurance/self-checking • Self-assurance/self-checking untuk mengetahui adanya kesenjangan,
pada Lini Kedua dan Lini dilakukan di Lini Pertama dilakukan di Lini Pertama duplikasi, atau ketidakkonsistenan dalam peran
Ketiga untuk mengelola risiko • Telah ada bukti bahwa keefektifan dan tanggung jawab guna memastikan
Model Tata Kelola Risiko Tiga Lini optimalisasi penerapannya
diuji secara berkala untuk • Setiap unit di seluruh lini tidak beroperasi
mengetahui adanya kesenjangan, sendiri-sendiri, tetapi secara berkala
duplikasi, atau ketidakkonsistenan mendiskusikan dan menguji setiap upaya
dalam peran dan tanggung jawab perbaikan berkelanjutan (terdapat
guna memastikan optimalisasi bukti/dokumentasi komunikasi)
penerapannya • Telah ada bukti yang jelas atas kinerja
implementasi Model Tata Kelola Risiko Tiga
Lini, di antaranya: telah dilaksanakan
terhadap struktur organisasi Model Tata Kelola
Risiko Tiga Lini berdasarkan tinjauan rutin
(termasuk pengurangan duplikasi tanggung
jawab, dan penyempurnaan penerapan Tata
Kelola Risiko Tiga Lini di fungsi penunjang),
terutama terlibat dalam mempertimbangkan
dampak dari transformasi perusahaan yang
sedang berlangsung (jika ada) terhadap desain
Model Tata Kelola Risiko Tiga Lini
14. Peran dan • Kepemilikan beberapa risiko • Perusahaan memiliki • Perusahaan memiliki pemahaman • Setiap risiko dan • Setiap risiko dan penanggungjawabnya
fungsi Lini dalam perusahaan sudah pemahaman mengenai yang jelas mengenai penanggung penanggungjawabnya dievaluasi dievaluasi secara sistematis berdasarkan
Pertama dianalisis secara informal, namun penanggung jawab dan jawab dan kepemilikan risiko secara sistematis berdasarkan kekuatan dan kelemahan serta faktor-faktor
belum ada keputusan yang jelas kepemilikan risiko, tetapi (terdokumentasi secara formal dan kekuatan dan kelemahan serta lainnya (misal resiliensi model bisnis,
• Identifikasi risiko masih dilakukan informasi ini bersifat selektif telah ada kesamaan pemahaman faktor-faktor lainnya (misal resiliensi keterampilan dan kapabilitas, kekuatan
oleh Lini Kedua dan ad-hoc, serta belum ada dari manajemen senior mengenai model bisnis, keterampilan dan finansial untuk menanggungnya)
85
Sub Kriteria
Dimensi Parameter
• Penanggung jawab risiko secara keputusan formal (tidak risiko yang akan ditanggung oleh kapabilitas, kekuatan finansial untuk • Telah ada dokumentasi keputusan manajemen
tidak langsung sudah diemban terdokumentasi) perusahaan/Unit Bisnis, serta ada menanggungnya) senior mengenai risiko yang akan ditanggung
oleh unit kerja tertentu, namun • Kepemilikan risiko oleh Lini pembaruan rutin (misal tahunan), • Telah ada dokumentasi keputusan oleh perusahaan/Unit Bisnis
masih kurang optimal (misal Pertama sudah dialokasikan khususnya untuk risiko-risiko yang Direksi mengenai risiko yang akan • Unit Bisnis secara langsung mengidentifikasi
kepemilikan risiko diemban oleh secara langsung/tidak akan muncul (emerging risk) atau ditanggung oleh perusahaan/unit dan mengelola risiko dalam proses bisnis
bidang audit/kontrol/ kepatuhan) langsung, namun masih risiko yang baru ditambahkan ke Bisnis sebagai Lini Pertama.
terdapat kesulitan dalam taksonomi risiko perusahaan • Unit Bisnis secara langsung • Lini Pertama telah memperhatikan kebijakan
mengarahkan Lini Pertama • Perusahaan memiliki sedikit mengidentifikasi dan mengelola risiko risiko dalam penetapan target/ sasaran unit
agar patuh terhadap prosedur kesadaran akan kepemilikan risiko dalam proses bisnis sebagai Lini kerja dan terdapat KPI risiko di Lini Pertama
risiko atas mitra dan kompetitor yang Pertama (misal kualitas kredit)
berada dalam rantai nilai • Lini Pertama telah memperhatikan • Kepemilikan risiko dipahami dengan baik dan
Perusahaan. kebijakan risiko dalam penetapan mempengaruhi keputusan penting (misal
• Lini Pertama menunjukkan target/ sasaran unit kerja dan keputusan strategis mempertimbangkan input
kepemilikan risiko terdapat KPI risiko di Lini Pertama kritis dari personel manajemen yang
• Lini Pertama telah memperhatikan • Kepemilikan kuat risiko oleh Lini bertanggung jawab atas risiko tersebut)
kebijakan risiko dalam penetapan Pertama namun masih bergantung • Lini Pertama menjadi pemilik penuh risiko dan
target/sasaran unit pada Lini Kedua (kepemilikan risiko kontrol relevan di lini yang diemban.
belum sepenuhnya efektif) • Telah ada otomatisasi kontrol
15. Peran dan • Risiko utama belum tetapkan • Telah ada dan ditetapkannya • Telah ada dan ditetapkannya risiko • Telah dilakukan pemantauan risiko • Telah dilakukan pemantauan risiko utama oleh
fungsi Lini secara formal risiko utama perusahaan yang utama perusahaan yang dimonitor utama oleh Lini Kedua yang Lini Kedua yang menyebabkan kinerja
Kedua • Pengelolaan dan tanggung jawab dimonitor dan direviu oleh unit dan direviu oleh unit risiko dan menyebabkan tercapainya kinerja perusahaan tercapai melebihi target.
risiko masih dilakukan oleh Lini risiko. dilaporkan secara periodik ke perusahaan. • Unit Risiko mereviu dan memantau profil
Kedua • Unit Risiko mereviu dan Direksi. • Unit Risiko mereviu dan memantau Risiko, peta Risiko, realisasi perhitungan Risiko
• Beberapa risiko perusahaan di Lini memantau profil Risiko, peta • Unit Risiko mereviu dan memantau profil Risiko, peta Risiko, realisasi inheren dan Risiko residual, dan realisasi
Pertama sudah dianalisis oleh Lini Risiko, realisasi perhitungan profil Risiko, peta Risiko, realisasi perhitungan Risiko inheren dan pelaksanaan perlakuan Risiko dan biaya agar
Kedua secara informal, namun Risiko inheren dan Risiko perhitungan Risiko inheren dan Risiko residual, dan realisasi sesuai dengan target penyelesaian, serta
belum ada hasil analisis yang residual, dan realisasi Risiko residual, dan realisasi pelaksanaan perlakuan Risiko dan memberi tanggapan secara formal.
memadai pelaksanaan perlakuan Risiko pelaksanaan perlakuan Risiko dan biaya agar sesuai dengan target • Lini Kedua menerapkan apresiasi dan hukuman
• Lini Kedua melakukan tindak dan biaya agar sesuai dengan biaya agar sesuai dengan target penyelesaian, serta memberi kepada Lini Pertama dalam pengelolaan risiko.
lanjut terhadap temuan dan target penyelesaian penyelesaian dan memberi tanggapan secara formal. • Lini Kedua melakukan internal control testing
rekomendasi hasil audit eksternal • Lini Kedua melakukan internal tanggapan secara formal • Lini Kedua menerapkan apresiasi dan stress testing secara berkala
maupun internal terkait control testing dan stress • Lini Kedua melakukan internal dan hukuman kepada Lini Pertama • Lini Kedua menyampaikan risiko utama dan
manajemen risiko dan hanya testing namun belum dilakukan control testing dan stress testing dalam pengelolaan risiko. rekomendasi kepada Lini Ketiga sebagai bahan
sebagian tindaklanjut yang sudah secara berkala secara berkala • Lini Kedua melakukan internal control penyusunan rencana audit tahunan
sesuai dengan target • Lini Kedua melakukan tindak • Lini Kedua menyampaikan risiko testing dan stress testing secara • Lini Kedua melakukan tindak lanjut terhadap
penyelesaian lanjut terhadap temuan dan utama dan rekomendasi kepada Lini berkala temuan dan rekomendasi hasil audit eksternal
rekomendasi hasil audit Ketiga sebagai bahan penyusunan • Lini Kedua menyampaikan risiko maupun internal terkait manajemen risiko yang
eksternal maupun internal rencana audit tahunan utama dan rekomendasi kepada Lini secara keseluruhan sudah sesuai target
terkait manajemen risiko dan • Lini Kedua melakukan tindak lanjut Ketiga sebagai bahan penyusunan penyelesaian yang diberikan
mayoritas tindaklanjut sudah terhadap temuan dan rekomendasi rencana audit tahunan • Lini Kedua menyusun laporan manajemen
hasil audit eksternal maupun internal risiko secara bulanan kepada Direksi
86
Sub Kriteria
Dimensi Parameter
sesuai dengan target terkait manajemen risiko yang • Lini Kedua melakukan tindak lanjut • Lini Kedua memastikan tindak lanjut
penyelesaian. secara keseluruhan sudah sesuai terhadap temuan dan rekomendasi penyelesaian perbaikan hasil Penilaian RMI
target penyelesaian yang diberikan. hasil audit eksternal maupun internal untuk dapat diselesaikan pada unit kerja.
• Lini Kedua menyusun laporan terkait manajemen risiko yang secara
manajemen risiko secara triwulanan keseluruhan sudah sesuai target
kepada Direksi penyelesaian yang diberikan.
• Lini Kedua menyusun laporan
manajemen risiko secara triwulanan
kepada Direksi
16. Peran dan • Tidak terdapat piagam audit • Telah terdapat piagam Audit • Telah terdapat piagam audit intern • Telah terdapat piagam audit intern • Telah terdapat piagam audit intern dan
fungsi Lini intern Intern namun belum dilakukan dan dilakukan pengkajian terhadap dan dilakukan pengkajian terhadap dilakukan pengkajian terhadap piagam tersebut
Ketiga • Prosedur dalam memastikan tata pengkajian terhadap piagam piagam tersebut secara periodik piagam tersebut secara periodik secara periodik
kelola dan pengendalian risiko tersebut secara periodik • Dilakukan pengkajian terhadap • Dilakukan pengkajian terhadap • Dilakukan pengkajian terhadap prosedur yang
belum lengkap • Terdapat prosedur yang jelas prosedur yang berkaitan dengan tata prosedur yang berkaitan dengan tata berkaitan dengan tata kelola dan pengendalian
• Terdapat rencana audit tahunan dalam memastikan tata kelola kelola dan pengendalian risiko kelola dan pengendalian risiko risiko seperti internal control testing secara
dan alokasi anggaran namun dan pengendalian risiko seperti internal control testing secara seperti internal control testing secara periodik
belum berbasis risiko untuk seperti internal control testing, periodik periodik • Terdapat rencana audit tahunan yang berbasis
pelaksanaan fungsi pengawasan namun belum dilakukan • Terdapat rencana audit tahunan • Terdapat rencana audit tahunan yang risiko dan alokasi anggaran untuk pelaksanaan
intern pengkajian secara periodik yang berbasis risiko dan alokasi berbasis risiko dan alokasi anggaran fungsi pengawasan intern
• pelaksanaan pengawasan intern • Terdapat rencana audit anggaran untuk pelaksanaan fungsi untuk pelaksanaan fungsi • Pelaksanaan pengawasan intern secara aktif
belum sesuai rencana audit tahunan dan alokasi pengawasan intern pengawasan intern dilaksanakan sesuai dengan rencana audit
tahunan anggaran namun belum • Lini Ketiga memastikan pelaksanaan • Pelaksanaan pengawasan intern tahunan, memastikan auditee menyusun
• Belum dilakukan evaluasi atas berbasis risiko untuk pengawasan intern sesuai dengan secara aktif dilaksanakan sesuai rencana tindakan perbaikan yang dapat
efektivitas pelaksanaan pelaksanaan fungsi rencana dan memastikan auditee dengan rencana audit tahunan, menjawab temuan/rekomendasi dan tidak
pengendalian intern/ manajemen pengawasan intern menyusun rencana tindakan memastikan auditee menyusun terdapat temuan berulang.
risiko/proses tata kelola • Lini Ketiga memastikan perbaikan yang dapat menjawab rencana tindakan perbaikan yang • Rekomendasi perbaikan atas hasil evaluasi
perusahaan sesuai dengan pelaksanaan pengawasan temuan/ rekomendasi. dapat menjawab temuan/ efektivitas pelaksanaan pengendalian intern,
peraturan perundang-undangan intern sesuai dengan rencana • Rekomendasi perbaikan atas hasil rekomendasi, dan berkurangnya manajemen risiko, dan proses tata kelola
dan kebijakan perusahaan. audit tahunan. evaluasi efektivitas pelaksanaan jumlah temuan perusahaan telah dijalankan seluruhnya (100%)
• SPI BUMN induk belum • Rekomendasi perbaikan atas pengendalian intern, manajemen • Rekomendasi perbaikan atas hasil oleh manajemen
menyelaraskan strategi hasil evaluasi efektivitas risiko, dan proses tata kelola evaluasi efektivitas pelaksanaan • SPI BUMN Induk menentukan strategi
pelaksanaan Audit Intern Anak pelaksanaan pengendalian perusahaan telah dijalankan pengendalian intern, manajemen pelaksanaan Audit Intern Anak Perusahaan
Perusahaan BUMN dengan intern, manajemen risiko, dan sebagian besar (>50%) oleh risiko, dan proses tata kelola BUMN, merumuskan prinsip Audit Intern yang
strategi audit di BUMN Induk (jika proses tata kelola perusahaan manajemen perusahaan telah dijalankan hampir mencakup metodologi audit dan langkah
relevan) telah dijalankan sebagian • Lini Ketiga melakukan evaluasi atas seluruhnya (>90%) oleh manajemen pelaksanaan pengendalian mutu, serta
(<50%) oleh manajemen efektivitas pelaksanaan • SPI BUMN Induk menentukan memantau pelaksanaan Audit Intern pada
• Lini Ketiga melakukan pengendalian intern, manajemen strategi pelaksanaan Audit Intern masing-masing Anak Perusahaan BUMN (jika
evaluasi atas efektivitas risiko, dan proses tata kelola Anak Perusahaan BUMN, relevan).
pelaksanaan pengendalian perusahaan, sesuai dengan merumuskan prinsip Audit Intern
intern, manajemen risiko, dan peraturan perundang-undangan dan yang mencakup metodologi audit dan
proses tata kelola kebijakan perusahaan. langkah pelaksanaan pengendalian
87
Sub Kriteria
Dimensi Parameter
perusahaan, sesuai dengan • SPI BUMN Induk menentukan mutu, serta memantau pelaksanaan
peraturan perundang- strategi pelaksanaan Audit Intern Audit Intern pada masing-masing
undangan dan kebijakan Anak Perusahaan BUMN, Anak Perusahaan BUMN (jika
perusahaan. merumuskan prinsip Audit Intern relevan).
• SPI BUMN Induk yang mencakup metodologi audit
menyelaraskan strategi dan langkah pelaksanaan
pelaksanaan Audit Intern pengendalian mutu, serta memantau
Anak Perusahaan BUMN pelaksanaan Audit Intern pada
dengan strategi audit di masing-masing Anak Perusahaan
BUMN Induk serta BUMN (jika relevan).
merumuskan prinsip Audit
Intern yang mencakup
metodologi audit (jika
relevan).
17. Interaksi antara Assurance dan Risiko dilaksanakan Tanggung jawab antara • Assurance dan Risiko merupakan • Assurance dan Risiko merupakan • Assurance dan Risiko merupakan dua tim
fungsi Risiko oleh tim yang sama/tidak terpisah Assurance dan Risiko bersifat dua tim terpisah dengan tanggung dua tim terpisah dengan tanggung terpisah dengan tanggung jawab yang terpisah
dan Assurance (misal Risiko bagian dari umum dan sebagian besar jawab yang terpisah dan terdefinisi jawab yang terpisah dan terdefinisi dan terdefinisi dengan jelas
(kepatuhan, Assurance) tumpang tindih, atau Assurance dengan jelas dengan jelas • Fungsi Assurance tidak terlibat dalam
legal, audit) dan Risiko merupakan dua tim • Fungsi Assurance tidak terlibat • Fungsi Assurance tidak terlibat penyusunan atau penerapan proses
terpisah, namun di beberapa dalam penyusunan atau penerapan dalam penyusunan atau penerapan Manajemen Risiko atau mengelola risiko,
bagian masih terdapat tumpang proses Manajemen Risiko atau proses Manajemen Risiko atau sebaliknya, Fungsi Assurance memastikan
tindih tanggung jawab (misal mengelola risiko, sebaliknya, Fungsi mengelola risiko, sebaliknya, Fungsi bahwa setiap risiko telah dievaluasi, dimonitor,
Audit terlibat dalam penyusunan Assurance memastikan bahwa Assurance memastikan bahwa dan dilaporkan dengan tepat
proses Manajemen Risiko) setiap risiko telah dievaluasi, setiap risiko telah dievaluasi, • Fungsi Assurance bersifat independen dan
dimonitor, dan dilaporkan dengan dimonitor, dan dilaporkan dengan bertugas untuk memastikan bahwa manajemen
tepat. tepat dan kontrol risiko dilakukan secara efektif
• Fungsi Assurance bersifat • Fungsi Assurance bersifat (internal audit)
independen dan bertugas untuk independen dan bertugas untuk • Fungsi Assurance secara efektif melakukan
memastikan bahwa manajemen dan memastikan bahwa manajemen dan tugasnya sebagai lini terakhir terhadap
kontrol risiko dilakukan secara efektif kontrol risiko dilakukan secara efektif pengelolaan risiko (misal terdapat bukti
(internal audit). (internal audit). pelaksanaan tugas/laporan audit internal yang
• Fungsi Assurance secara efektif menggambarkan kegiatan evaluasi atas proses
melakukan tugasnya sebagai lini Manajemen Risiko)
terakhir terhadap pengelolaan risiko • Interaksi antara fungsi Assurance dan Risiko
(misal terdapat bukti pelaksanaan sangat kolaboratif (misal fungsi Risiko
tugas/laporan audit internal yang mempertimbangkan masukan dari fungsi
menggambarkan kegiatan evaluasi Assurance sebagai bagian dari perbaikan
atas proses Manajemen Risiko) berkesinambungan)
18. Peran dan • Belum ada harmonisasi • Harmonisasi kebijakan tingkat • Direksi BUMN Induk telah • Direksi BUMN Induk telah • Direksi BUMN Induk telah menetapkan
fungsi Tata kebijakan tingkat induk dan anak induk dan anak belum menetapkan kebijakan pada tingkat menetapkan kebijakan pada tingkat kebijakan pada tingkat BUMN Induk yang
Kelola Risiko (jika relevan) sepenuhnya dilaksanakan BUMN Induk yang diharmonisasikan BUMN Induk yang diharmonisasikan
Terintegrasi
88
Sub Kriteria
Dimensi Parameter
(Parameter ini • Belum terdapat organ Komite oleh direktur yang dengan kebijakan pada tingkat Anak dengan kebijakan pada tingkat Anak diharmonisasikan dengan kebijakan pada
tidak perlu Tata Kelola Terintegrasi (KTKT) melaksanakan tugas Perusahaan BUMN melalui: Perusahaan BUMN melalui: tingkat Anak Perusahaan BUMN melalui:
diperhitungkan sesuai dengan kategori dan fungsional BUMN Induk o Direktur yang melaksanakan tugas o Direktur yang melaksanakan tugas o Direktur yang melaksanakan tugas
dalam klasifikasi risiko BUMN dan/atau direktur yang fungsional BUMN Induk wajib fungsional BUMN Induk wajib fungsional BUMN Induk wajib melakukan
perhitungan melaksanakan tugas melakukan harmonisasi kebijakan melakukan harmonisasi kebijakan harmonisasi kebijakan fungsional pada Anak
aspek Dimensi pembinaan fungsional pada Anak Perusahaan fungsional pada Anak Perusahaan Perusahaan BUMN
Penilaian RMI • Direksi BUMN Induk BUMN BUMN o Direktur yang melaksanakan tugas
untuk BUMN memantau implementasi o Direktur yang melaksanakan tugas o Direktur yang melaksanakan tugas pembinaan wajib memastikan keselarasan
yang tidak kebijakan harmonisasi pembinaan wajib memastikan pembinaan wajib memastikan dan sinergitas strategi BUMN Induk dan
memerlukan dengan kebijakan BUMN keselarasan dan sinergitas keselarasan dan sinergitas strategi Anak Perusahaan BUMN.
KTKT Induk strategi BUMN Induk dan Anak BUMN Induk dan Anak • Direksi BUMN Induk memantau implementasi
sebagaimana • Direksi BUMN Induk Perusahaan BUMN. Perusahaan BUMN. kebijakan harmonisasi dengan kebijakan
ketentuan melakukan pemantauan • Direksi BUMN Induk memantau • Direksi BUMN Induk memantau BUMN Induk. Direksi BUMN induk
dalam PER- Risiko antara BUMN Induk implementasi kebijakan harmonisasi implementasi kebijakan harmonisasi menindaklanjuti arahan atau nasihat Dewan
2/MBU/03/202 dengan Anak. dengan kebijakan BUMN Induk dengan kebijakan BUMN Induk. Komisaris dalam rangka penyempurnaan
3 yaitu: • Direksi BUMN induk menindaklanjuti Direksi BUMN induk menindaklanjuti Kebijakan Tata Kelola Terintegrasi
a. BUMN arahan atau nasihat Dewan arahan atau nasihat Dewan • Direksi BUMN Induk melakukan pemantauan
Individu Komisaris dalam rangka Komisaris rangka penyempurnaan Risiko secara terstruktur dan terintegrasi antara
dengan penyempurnaan Kebijakan Tata Kebijakan Tata Kelola Terintegrasi BUMN Induk dengan Anak serta memastikan
klasifikasi Kelola Terintegrasi • Direksi BUMN Induk melakukan dijalankannya mitigasi ataupun menyiapkan
risiko • Direksi BUMN Induk melakukan pemantauan Risiko secara terstruktur mitigasi baru untuk menurunkan tingkat risiko
Sistemik B, pemantauan Risiko secara dan terintegrasi antara BUMN Induk tersebut sehingga tingkat risiko turun sesuai
Signifikan, terstruktur dan terintegrasi antara dengan Anak dengan target.
dan Netral; BUMN Induk dengan Anak • Adanya organ Komite Tata Kelola • Adanya organ Komite Tata Kelola Terintegrasi
dan • Adanya organ Komite Tata Kelola Terintegrasi (KTKT) sesuai dengan (KTKT) sesuai dengan kategori dan klasifikasi
b. BUMN yang Terintegrasi (KTKT) sesuai dengan kategori dan klasifikasi risiko di risiko di BUMN Induk dan anak perusahaan
tidak kategori dan klasifikasi risiko di BUMN Induk dan anak perusahaan • Dewan Komisaris melakukan evaluasi
memiliki BUMN Induk dan anak perusahaan • Dewan Komisaris melakukan kebijakan Tata Kelola Terintegrasi dan
anak • Dewan Komisaris melakukan evaluasi kebijakan Tata Kelola mengarahkan untuk penyempurnaan.
perusahaan.) evaluasi kebijakan Tata Kelola Terintegrasi dan mengarahkan untuk • Dewan Komisaris mengawasi pelaksanaan
Terintegrasi dan mengarahkan untuk penyempurnaan. penyempurnaan kebijakan Tata Kelola
penyempurnaan • Dewan Komisaris mengawasi Terintegrasi
• Dewan Komisaris mengawasi pelaksanaan penyempurnaan • Dewan Komisaris mengawasi penerapan Tata
penerapan Tata Kelola Terintegrasi kebijakan Tata Kelola Terintegrasi Kelola Terintegrasi pada Anak Perusahaan
pada Anak Perusahaan BUMN agar • Dewan Komisaris mengawasi BUMN agar selaras dengan kebijakan Tata
selaras dengan kebijakan Tata penerapan Tata Kelola Terintegrasi Kelola Terintegrasi BUMN Induk dan Anak
Kelola Terintegrasi BUMN Induk dan pada Anak Perusahaan BUMN agar Perusahaan BUMN
Anak Perusahaan BUMN selaras dengan kebijakan Tata Kelola • Dewan Komisaris mengawasi pelaksanaan
Dewan Komisaris mengawasi Terintegrasi BUMN Induk dan Anak tugas dan tanggung jawab Direksi BUMN
pelaksanaan tugas dan tanggung Perusahaan BUMN Induk, serta memberikan arahan atau nasihat
jawab Direksi BUMN Induk, serta • Dewan Komisaris mengawasi kepada Direksi BUMN Induk atas pelaksanaan
memberikan arahan atau nasihat pelaksanaan tugas dan tanggung kebijakan Tata Kelola Terintegrasi
89
Sub Kriteria
Dimensi Parameter
kepada Direksi BUMN Induk atas jawab Direksi BUMN Induk, serta • Dewan Komisaris telah melaksanakan
pelaksanaan kebijakan Tata Kelola memberikan arahan atau nasihat pengawasan dan pemberian nasihat terhadap
Terintegrasi;. kepada Direksi BUMN Induk atas pelaksanaan fungsi Tata Kelola Terintegrasi
pelaksanaan kebijakan Tata Kelola lainnya sesuai dengan ketentuan peraturan
Terintegrasi perundang-undangan, anggaran dasar,
• Dewan Komisaris belum secara dan/atau keputusan RUPS/Menteri.
optimal melaksanakan pengawasan
dan pemberian nasihat terhadap
pelaksanaan fungsi Tata Kelola
Terintegrasi lainnya sesuai dengan
ketentuan peraturan perundang-
undangan, anggaran dasar, dan/atau
keputusan RUPS/Menteri.
19. Monitoring Telah ada mandat secara informal • Fungsi risiko pusat/BUMN • Telah ada mandat/hubungan formal • Telah ada mandat/hubungan formal • Telah ada mandat/hubungan formal bagi fungsi
Risiko entitas bagi beberapa pegawai/jajaran Induk tidak memiliki mandat bagi fungsi risiko pusat/BUMN bagi fungsi risiko pusat/BUMN Induk risiko pusat/BUMN Induk untuk memonitor
induk sampai pimpinan utama untuk memantau dan kewenangan formal untuk Induk untuk memonitor risiko di untuk memonitor risiko di seluruh lini risiko di seluruh lini perusahaan, termasuk
ke entitas anak risiko, namun belum dilaksanakan melaksanakan tanggung seluruh lini perusahaan, termasuk perusahaan, termasuk dengan anak dengan anak perusahaan (misal terdapat
secara independen (misal pegawai jawab utamanya dengan anak perusahaan (misal perusahaan (misal terdapat kerangka tata kelola risiko yang menjelaskan
yang ditunjuk untuk melakukan • Tanggung jawab utama terdapat kerangka tata kelola risiko kerangka tata kelola risiko yang kewenangan ini bagi seluruh lini perusahaan
tugas pemantauan risiko di Unit dalam monitoring hanya yang menjelaskan kewenangan ini menjelaskan kewenangan ini bagi dan tercantum pada kebijakan Manajemen
Bisnis juga bertanggung jawab dilakukan di tingkat Unit bagi seluruh lini perusahaan dan seluruh lini perusahaan dan Risiko)
untuk fungsi lain) Bisnis tercantum pada kebijakan tercantum pada kebijakan • Kewenangan fungsi risiko pusat/BUMN Induk
Manajemen Risiko) Manajemen Risiko) dan tingkat Unit Bisnis/anak perusahaan
• Kewenangan fungsi risiko • Kewenangan fungsi risiko didefinisikan dan dikomunikasikan dengan baik
pusat/BUMN Induk dan tingkat Unit pusat/BUMN Induk dan tingkat Unit misal, panduan mana yang diturunkan ke Unit
Bisnis/anak perusahaan Bisnis/anak perusahaan Bisnis/anak perusahaan (jika relevan), bagian
didefinisikan dan dikomunikasikan didefinisikan dan dikomunikasikan mana yang merupakan kewenangan
dengan baik (misal panduan mana dengan baik (misal panduan mana pengambilan keputusan Unit Bisnis/anak
yang diturunkan ke Unit Bisnis/ anak yang diturunkan ke Unit Bisnis/anak perusahaan dan sebagainya
perusahaan (jika relevan), bagian perusahaan (jika relevan), bagian • Telah ada alur pelaporan yang jelas untuk
mana yang merupakan kewenangan mana yang merupakan kewenangan fungsi risiko di seluruh organisasi, termasuk
pengambilan keputusan Unit pengambilan keputusan Unit dari fungsi risiko khusus/fungsi risiko di anak
Bisnis/anak) perusahaan dan Bisnis/anak) perusahaan dan perusahaan ke fungsi risiko pusat/BUMN Induk
sebagainya sebagainya kemudian ke komite di tingkat Dewan
• Telah ada alur pelaporan yang jelas • Telah ada alur pelaporan yang jelas Komisaris/Direksi yang bertanggung jawab atas
untuk fungsi risiko di seluruh untuk fungsi risiko di seluruh Manajemen Risiko
organisasi, termasuk dari fungsi organisasi, termasuk dari fungsi • Telah ada bukti bahwa perusahaan melakukan
risiko khusus/fungsi risiko di anak risiko khusus/fungsi risiko di anak tinjauan secara berkala (misal setiap tahun)
perusahaan ke fungsi risiko pusat perusahaan ke fungsi risiko untuk menilai apakah mandat, kerangka kerja,
kemudian ke komite di tingkat pusat/BUMN Induk kemudian ke kebijakan/prosedur risiko yang diturunkan dari
Dewan Komisaris/Direksi yang komite di tingkat Dewan fungsi risiko pusat/BUMN Induk telah
diimplementasikan dengan baik ke seluruh lini
90
Sub Kriteria
Dimensi Parameter
bertanggung jawab atas Manajemen Komisaris/Direksi yang bertanggung perusahaan (termasuk Unit Bisnis/anak
Risiko jawab atas Manajemen Risiko perusahaan)
• Telah ada bukti bahwa perusahaan • Telah ada interaksi yang efektif dan harmonis
melakukan tinjauan secara berkala antara fungsi risiko pusat/BUMN Induk dan
untuk memastikan apakah mandat, divisi-divisi lain dalam hierarki Manajemen
kerangka kerja, kebijakan/prosedur Risiko (misal divisi risiko khusus/fungsi risiko di
risiko yang diturunkan dari fungsi anak perusahaan) untuk menyelaraskan
risiko pusat/BUMN Induk telah strategi risiko, identifikasi dan penanganan
diimplementasikan dengan baik ke risiko utama (misal rapat mingguan/bulanan,
seluruh lini perusahaan (termasuk keputusan utama yang diambil dan ada bukti
Unit Bisnis/anak perusahaan) bahwa keputusan tersebut efektif, dilakukan
pemantauan dan pengawasan yang diberikan
oleh fungsi risiko pusat yang efektif dalam
menjaga jadwal proyek sesuai jadwal di semua
fungsi di bawahnya)
3. Kerangka Risiko dan Kepatuhan
a. 20. Peningkatan Telah ada inisiatif peningkatan • Telah ada pembahasan tahap • Telah ada pembahasan formal dan • Inisiatif peningkatan kualitas • Inisiatif peningkatan kualitas kerangka ERM
Strategi kualitas kualitas kerangka Enterprise Risk awal mengenai peningkatan pengusulan inisiatif peningkatan kerangka ERM telah dijalankan telah dijalankan dengan dilakukan pengukuran
Risiko kerangka Management (ERM) namun belum kualitas ERM, namun belum kualitas kerangka ERM dengan didukung oleh banyaknya dampak yang jelas, contohnya secara
Manajemen dilakukan pembaruan/reviu selama ada insiatif yang disusun dan • Terdapat kerangka kerja manajemen kegiatan dalam penyelesaian inisiatif kuantitatif (misal penurunan jumlah peristiwa
Risiko 3 (tiga) tahun terakhir diusulkan risiko yang disusun sebagai acuan tersebut risiko) atau secara kualitatif (misal jajaran
• Terdapat kerangka kerja bagi perusahaan untuk menerapkan • Terdapat kerangka kerja manajemen manajemen melakukan pemantauan dengan
manajemen risiko yang manajemen risiko yang terintegrasi risiko yang disusun sebagai acuan lebih baik)
disusun sebagai acuan bagi dengan aktivitas utama dan aktivitas bagi perusahaan untuk menerapkan • Terdapat kerangka kerja manajemen risiko
perusahaan untuk pendukung untuk pencapaian manajemen risiko yang terintegrasi yang disusun sebagai acuan bagi perusahaan
menerapkan manajemen sasaran strategis perusahaan. dengan aktivitas utama dan aktivitas untuk menerapkan manajemen risiko yang
risiko yang terintegrasi • Kerangka kerja manajemen risiko pendukung untuk pencapaian terintegrasi dengan aktivitas utama dan
dengan aktivitas utama dan telah ditetapkan secara formal oleh sasaran strategis perusahaan. aktivitas pendukung untuk pencapaian sasaran
aktivitas pendukung untuk pimpinan perusahaan dan • Kerangka kerja manajemen risiko strategis perusahaan.
pencapaian sasaran strategis diterapkan secara konsisten. telah ditetapkan secara formal oleh • Kerangka kerja manajemen risiko telah
perusahaan. • Kerangka kerja manajemen risiko pimpinan perusahaan dan diterapkan ditetapkan secara formal oleh pimpinan
• Kerangka kerja manajemen diturunkan lebih lanjut dalam bentuk secara konsisten. perusahaan dan diterapkan secara konsisten.
risiko telah ditetapkan secara kebijakan, prosedur, dan turunannya • Kerangka kerja manajemen risiko • Kerangka kerja manajemen risiko diturunkan
formal oleh pimpinan untuk memastikan adanya diturunkan lebih lanjut dalam bentuk lebih lanjut dalam bentuk kebijakan, prosedur,
perusahaan dan diterapkan penanaman praktik pengelolaan kebijakan, prosedur, dan turunannya dan turunannya untuk memastikan adanya
secara konsisten. risiko di seluruh tingkatan untuk memastikan adanya penanaman praktik pengelolaan risiko di
perusahaan. penanaman praktik pengelolaan seluruh tingkatan perusahaan.
risiko di seluruh tingkatan • Telah dilakukan evaluasi terhadap kerangka
perusahaan kerja manajemen risiko beserta kebijakan,
• Evaluasi terhadap efektivitas prosedur, dsb secara berkala dan diperbaharui
kerangka kerja manajemen risiko (jika dibutuhkan) dan dilaporkan kepada
91
Sub Kriteria
Dimensi Parameter
dilakukan secara berkala dan pimpinan perusahaan dalam rangka perbaikan
diperbaharui (jika dibutuhkan), berkelanjutan.
namun belum dilaporkan kepada
pimpinan perusahaan.
21. Rencana • Perusahaan belum memiliki • Perusahaan telah memiliki • Perusahaan memiliki rencana • Perusahaan memiliki rencana • Perusahaan memiliki rencana transformasi
transformasi rencana transformasi ERM yang rencana transformasi ERM transformasi yang jelas untuk transformasi yang jelas untuk yang jelas untuk beberapa tahun ke depan atau
Enterprise Risk jelas dan dapat ditindaklanjuti untuk beberapa tahun ke beberapa tahun ke depan atau beberapa tahun ke depan atau jangka panjang yang dapat ditindaklanjuti dan
Management untuk beberapa tahun ke depan depan atau jangka panjang jangka panjang yang dapat jangka panjang yang dapat mendetail (misal lini masa, kebutuhan sumber
(ERM) atau jangka panjang (masih ada namun ruang lingkup ditindaklanjuti dan mendetail (misal ditindaklanjuti dan mendetail (misal daya, pemantauan program, dan sebagainya)
mentalitas ‘cepat merasa puas’ transformasi hanya untuk lini masa, kebutuhan sumber daya, lini masa, kebutuhan sumber daya, • Ruang lingkup transformasi jauh melampaui
atas kematangan ERM saat ini) pemenuhan persyaratan pemantauan program, dan pemantauan program, dan pemenuhan persyaratan regulator (misal
• Dalam konteks transformasi ESG: regulator (perusahaan sebagainya) sebagainya) menjadi bagian dari perbaikan berkelanjutan),
o Risiko ESG/Iklim telah ‘menunggu’ diprasyaratkan • Dalam konteks transformasi ESG: • Ruang lingkup transformasi jauh transformasi didasarkan pada benchmark untuk
tercantum pada taksonomi regulator sebelum melakukan o Risiko ESG/Iklim telah tercantum melampaui pemenuhan persyaratan menerapkan best-practice secara global dalam
namun implikasinya terhadap inovasi/transformasi) pada taksonomi regulator (misal menjadi bagian dari perusahaan
kerangka risiko belum dikaji • Rencana masih kurang o Implikasi risiko ESG/Iklim perbaikan berkelanjutan), • Program diperbarui secara rutin
mendetail dan belum ada dimasukkan secara jelas ke dalam transformasi didasarkan pada • Telah ada tim khusus yang bertanggung jawab
prioritas pelaksanaannya Kerangka Kerja ERM benchmark untuk menerapkan best- atas pelaksanaan rencana transformasi dan
• Dalam konteks transformasi o Telah ada tim khusus ESG/Iklim practice secara global dalam kesuksesannya. Unit Bisnis dan fungsi lainnya
ESG: yang dibentuk. perusahaan terlibat dalam rencana transformasi ini (misal
o Risiko ESG/Iklim telah o Telah dilakukan analisis terhadap • Dalam konteks transformasi ESG: dalam tahap perancangan dan
tercantum pada taksonomi dampak risiko ESG/Iklim pada o Risiko ESG/Iklim telah tercantum pelaksanaannya)
o Beberapa implikasi risiko portofolio pada taksonomi • Pengukuran yang jelas atas estimasi “value-at-
ESG/Iklim dimasukkan ke o Tersedia beberapa analisis dan o Implikasi risiko ESG/Iklim stake” yang akan diperoleh dari program
dalam Kerangka Kerja ERM data. dimasukkan secara jelas ke dalam transformasi ERM yang dimonitor ketika
tetapi hanya secara umum Kerangka Kerja ERM program diimplementasikan (fokus ERM
(misal risiko ESG/Iklim o Telah ada tim khusus ESG/Iklim bergeser dari “kepatuhan” ke “value capture”)
hanya menjadi bagian kecil yang dibentuk. • Dalam konteks transformasi ESG:
dari keseluruhan strategi o Telah dilakukan analisis terhadap o Risiko ESG/Iklim telah tercantum pada
ESG/Iklim atau belum ada dampak risiko ESG/Iklim pada taksonomi
rencana eksekusi portofolio o Implikasi risiko ESG/Iklim dimasukkan secara
mendetail). o Tersedia beberapa analisis dan jelas ke dalam Kerangka Kerja ERM
data o Telah ada tim khusus ESG/Iklim yang
o Telah ada target khusus yang dibentuk.
ditetapkan dan dikomunikasikan o Telah dilakukan analisis terhadap dampak
o Telah ada rencana jangka panjang risiko ESG/Iklim pada portofolio
untuk mencapai target o Tersedia beberapa analisis dan data
o Telah ada target khusus yang ditetapkan dan
dikomunikasikan
o Telah ada rencana jangka panjang untuk
mencapai target
92
Sub Kriteria
Dimensi Parameter
o Selain agenda-agenda defensif (menghindari
kerugian), perusahaan menggali peluang
bisnis baru dan pertumbuhan melalui agenda
ESG/Iklim (meraih manfaat dari risiko
tersebut).
22. Peran Telah ada strategi perusahaan dan • Strategi perusahaan dan • Dilakukan penyelarasan secara rutin • Dilakukan penyelarasan secara rutin • Dilakukan penyelarasan secara rutin antara
Manajemen strategi risiko, namun bisnis ditetapkan terlebih antara strategi perusahaan dan antara strategi perusahaan dan strategi perusahaan dan strategi risiko untuk
Risiko dalam penyusunannya dilakukan secara dahulu, kemudian strategi strategi risiko untuk memastikan strategi risiko untuk memastikan memastikan bahwa rencana strategis telah
penyusunan terpisah risiko didefinisikan setelahnya bahwa rencana strategis bahwa rencana strategis telah mempertimbangkan risiko (misal anggaran
rencana (risiko baru menjadi telahmempertimbangkan risiko mempertimbangkan risiko (misal tahunan, penentuan proyek strategis)
strategis pertimbangan setelah strategi (misal anggaran tahunan, penentuan anggaran tahunan, penentuan • Rencana strategis perusahaan sepenuhnya
bisnis tersusun) proyek strategis) proyek strategis) mempertimbangkan risiko yang dilakukan
• Unit Bisnis tidak bekerja sama • Risiko dipertimbangkan dalam • Rencana strategis perusahaan dengan pendekatan sistematis dan terstruktur
dengan divisi Risiko dalam perencanaan strategis hanya untuk sepenuhnya mempertimbangkan (mempertimbangkan skenario risiko dalam
penyusunan rencana strategis menghindari kerugian (Downside- risiko yang dilakukan dengan upaya pencapaian sasaran perusahaan)
risk), belum untuk menggali manfaat pendekatan sistematis dan • Implikasi risiko terhadap rencana strategis
dari risiko terstruktur (mempertimbangkan perusahaan dipahami dengan baik, misalnya:
skenario risiko dalam upaya o Manajemen mengetahui perilaku
pencapaian sasaran perusahaan) pengambilan risiko yang diperlukan dan
• Implikasi risiko terhadap rencana kaitannya dengan strategi risiko
strategis perusahaan dipahami o Setiap keputusan penting strategi
dengan baik, misalnya: perusahaan (misal dalam RKAP/RJP) harus
o Manajemen mengetahui perilaku didukung oleh analisis risiko yang spesifik
pengambilan risiko yang diperlukan untuk keputusan tersebut
dan kaitannya dengan strategi • Telah ada bukti dan dokumentasi bahwa Risiko
risiko dan Strategi bekerja sama menjadi mitra dalam
o Setiap keputusan penting strategi pembahasan dan penyusunan keseluruhan
perusahaan harus didukung oleh strategi risiko dan strategi perusahaan,
analisis risiko yang spesifik untuk contohnya,
keputusan tersebut o Personil risiko utama dilibatkan secara
ekstensif dalam proses penetapan strategi
(bukan hanya di akhir proses untuk
”memeriksa” atau ”menyetujui” strategi yang
ditetapkan
o Telah ada analisis risiko yang digunakan
untuk menguji dan memperkaya
pertimbangan strategis (risiko mengambil
peran aktif dan memberi nilai tambah)
o Analisis risiko difokuskan pada prinsip-prinsip
penciptaan nilai/menyeimbangkan
pertimbangan sisi positif dan negatif
93
Sub Kriteria
Dimensi Parameter
(daripada hanya berfokus pada mengurangi
sisi negatif)
mempertimbangkan risiko dalam perencanaan
strategis untuk menggali manfaat
penerapan manajemen risiko dalam
penyusunan rencana strategis, di antaranya:
o Metrik yang menilai keberhasilan strategi
perusahaan ditetapkan dengan target yang
dikaitkan dengan analisis risiko yang sesuai
(misal trade-off dari pengambilan keputusan
strategis dipertimbangkan dalam scenario
analysis)
o Pemantauan progres strategi perusahaan
melibatkan personel risiko senior.
23. Hubungan Evaluasi peran Manajemen Risiko • Telah ada kerangka kerja • Telah ada kerangka kerja formal • Telah ada kerangka kerja formal • Telah ada kerangka kerja formal untuk
peran terhadap pencapaian target informal untuk mengevaluasi untuk mengevaluasi peran untuk mengevaluasi peran mengevaluasi peran Manajemen Risiko
Manajemen strategis RKAP telah dilakukan, peran Manajemen Risiko manajemen risiko terhadap Manajemen Risiko terhadap terhadap pencapaian target strategis RKAP,
Risiko namun prosesnya belum terstruktur terhadap pencapaian target pencapaian target strategis RKAP, pencapaian target strategis RKAP, termasuk analisis:
terhadap (kerangka kerja belum dibentuk, strategis RKAP. Evaluasi termasuk analisis: termasuk analisis: o Jika target perusahaan tercapai, apa saja
pencapaian analisis dilakukan secara ad-hoc) tersebut dilakukan dan o Jika target perusahaan tercapai, o Jika target perusahaan tercapai, praktik Manajemen Risiko yang dinilai
target strategis dan belum dilakukan pembahasan dibahas secara informal apa saja praktik Manajemen apa saja praktik Manajemen berkontribusi terhadap pencapaian tersebut
RKAP (misal dibahas di rapat manajemen (misal dibahas di rapat Risiko yang dinilai berkontribusi Risiko yang dinilai berkontribusi o Jika target perusahaan tidak tercapai, apa
risiko Dewan Komisaris atau manajemen risiko Dewan terhadap pencapaian tersebut terhadap pencapaian tersebut saja praktik manajemen risiko yang dinilai
Direksi) Komisaris/Direksi secara ad- o Jika target perusahaan tidak o Jika target perusahaan tidak berkontribusi terhadap kegagalan
hoc) serta belum ada analisis tercapai, apa saja praktik tercapai, apa saja praktik pencapaian target
yang jelas dan detail Manajemen Risiko yang dinilai Manajemen Risiko yang dinilai • Evaluasi ini secara efektif membantu BUMN
• Evaluasi dilakukan hanya berkontribusi terhadap kegagalan berkontribusi terhadap kegagalan memperbaiki praktik manajemen risiko untuk
sebagai “formalitas” misal pencapaian target. pencapaian target perencanaan RKAP berikutnya serta memiliki
belum ada langkah tindak • Evaluasi dilakukan hanya sebagai • Evaluasi ini secara efektif membantu langkah tindak lanjut/inisiatif perbaikan yang
lanjut yang jelas untuk ”formalitas”, belum ada langkah BUMN memperbaiki praktik jelas
memperbaiki kekurangan tindak lanjut yang jelas untuk manajemen risiko untuk • Dilakukan analisis backward-looking dan
dalam praktik manajemen memperbaiki kekurangan dalam perencanaan RKAP berikutnya serta forward-looking untuk kinerja pencapaian
risiko yang dievaluasi untuk praktik manajemen risiko untuk memiliki langkah tindak lanjut/inisiatif periode berikutnya (misal terdapat analisis
meningkatkan potensi meningkatkan potensi pencapaian perbaikan yang jelas skenario kuantitatif forward-looking mengenai
pencapaian target RKAP target RKAP berikutnya • Analisis bersifat backward-looking bagaimana pengaruh praktik manajemen risiko
berikutnya dan mengevaluasi kinerja pada tertentu terhadap keberhasilan/kegagalan
periode saat ini/sebelumnya (misal pencapaian target RKAP).
belum ada analisis skenario
kuantitatif forward-looking mengenai
bagaimana pengaruh praktik
94
Sub Kriteria
Dimensi Parameter
manajemen risiko tertentu terhadap
keberhasilan/ kegagalan pencapaian
target RKAP).
24. Kapasitas Telah dilakukan identifikasi elemen- • Telah ada elemen-elemen • Telah ada elemen-elemen utama • Telah ada elemen penting kapasitas • Telah ada elemen penting kapasitas risiko yang
risiko elemen kapasitas risiko yang utama kapasitas risiko yang kapasitas risiko yang relevan risiko yang relevan terhadap relevan terhadap perusahaan dan terdapat
relevan terhadap perusahaan relevan terhadap perusahaan terhadap perusahaan (misal Net perusahaan dan terdapat perhitungan detail/daftar metrik kapasitas risiko
namun kapasitas risiko belum (misal Net Working Capital, Working Capital , EBITDA untuk perhitungan detail/daftar metrik yang dapat ditanggung oleh perusahaan)
ditetapkan EBITDA untuk perusahaan perusahaan korporasi, atau kapasitas risiko yang dapat • Kapasitas risiko telah mencakup identifikasi
korporasi, atau persyaratan persyaratan modal minimum untuk ditanggung oleh perusahaan) dan pengelolaan berbagai jenis risiko,
modal minimum untuk mengantisipasi loss event, dan lain • Telah ada prosedur yang mengatur termasuk risiko operasional, keuangan,
mengantisipasi loss event, sebagainya) penyusunan kapasitas risiko yang lingkungan, reputasi, dan lainnya yang relevan
dan lain sebagainya) • Telah ada prosedur yang mengatur dihitung berdasarkan data historis bagi organisasi.
• Telah ada prosedur yang penyusunan kapasitas risiko yang atau persyaratan minimum regulator • Telah ada prosedur yang mengatur
mengatur penyusunan dihitung berdasarkan data historis • Kapasitas risiko menjadi dasar dalam penyusunan kapasitas risiko yang dihitung
kapasitas risiko yang dihitung atau persyaratan minimum regulator menetapkan selera risiko, toleransi berdasarkan data historis atau persyaratan
berdasarkan data historis atau • Telah dilakukan analisis dan sudah risiko, limit risiko, dan metrik strategi minimum regulator
persyaratan minimum terdapat kapasitas risiko yang dapat risiko • Kapasitas risiko menjadi dasar dalam
regulator ditanggung Perusahaan dan telah • Elemen penting kapasitas risiko menetapkan selera risiko, toleransi risiko, limit
• Belum dilakukan analisis yang ditetapkan secara formal (misal perhitungan detail/daftar risiko, dan metrik strategi risiko
mendalam untuk menentukan • Kapasitas risiko menjadi dasar metrik kapasitas risiko) ditinjau setiap • Elemen penting kapasitas risiko (misal
kapasitas risiko yang dapat dalam menetapkan selera risiko, tahun dan diperbaharui (jika perhitungan detail/daftar metrik kapasitas
ditanggung Perusahaan toleransi risiko, limit risiko, dan dibutuhkan) risiko) ditinjau setiap tahun dan diperbaharui
metrik strategi risiko • Kapasitas risiko dikomunikasikan (jika dibutuhkan)
• Elemen penting kapasitas risiko kepada seluruh pihak yang terlibat • Kapasitas risiko dikomunikasikan kepada
(misal perhitungan detail/daftar dalam penerapan manajemen risiko seluruh pihak yang terlibat dalam penerapan
metrik kapasitas risiko) ditinjau perusahaan manajemen risiko perusahaan
setiap tahun dan diperbaharui (jika
dibutuhkan).
25. Selera risiko • Pemangku kepentingan utama • Telah ada konsep selera risiko • Telah ada pernyataan selera risiko • Telah ada pernyataan selera risiko • Telah ada pernyataan selera risiko formal yang
(misal anggota Dewan untuk beberapa jenis risiko, formal yang terhubung/konsisten formal yang terhubung/konsisten terhubung/konsisten dengan kapasitas risiko
Komisaris/Direksi) mungkin telah namun konsep selera risiko dengan kapasitas risiko dengan kapasitas risiko • Mencakup Dimensi dan ambang batas kuantitatif
mengetahui konsep selera risiko, belum dipahami dan digunakan • Mencakup Dimensi dan ambang • Mencakup Dimensi dan ambang batas dan kualitatif
walaupun belum ada pernyataan secara jelas (belum ada batas kuantitatif dan kualitatif kuantitatif dan kualitatif • Selera risiko menjadi salah satu pertimbangan
selera risiko dari perusahaan prosedur/standar perumusan • Selera risiko menjadi salah satu • Selera risiko menjadi salah satu dalam penyusunan rencana strategis
• Telah ada konsep informal selera selera risiko) pertimbangan dalam penyusunan pertimbangan dalam penyusunan perusahaan
risiko secara umum/garis besar • Selera risiko yang ada rencana strategis perusahaan rencana strategis perusahaan • Telah ada penentuan target yang jelas,
(misal perusahaan berusaha untuk cenderung bersifat kualitatif, • Telah ada penentuan target yang • Telah ada penentuan target yang peringatan dan nilai batas dari setiap risiko yang
menghindari kerugian neraca dari tanpa ada keterkaitan dengan jelas, peringatan dan nilai batas dari jelas, peringatan dan nilai batas dari ada di taksonomi, yang disetujui oleh Direksi, di
semua peristiwa risiko yang tidak kapasitas risiko setiap risiko yang ada di taksonomi, setiap risiko yang ada di taksonomi, dalam kerangka selera risiko
melebihi batas tertentu), meskipun yang disetujui oleh Direksi, di dalam yang disetujui oleh Direksi, di dalam • Pemangku kepentingan utama (termasuk Unit
kerangka selera risiko kerangka selera risiko Bisnis) dapat menjelaskan pernyataan selera
95
Sub Kriteria
Dimensi Parameter
belum ada pernyataan selera • Pernyataan selera risiko mencakup • Pernyataan selera risiko mencakup risiko dan alasan-alasannya, serta sepenuhnya
risiko untuk setiap jenis risiko semua risiko utama, termasuk metrik semua risiko utama, termasuk metrik menyepakatinya
• Perumusan selera risiko telah yang jelas untuk masing-masing yang jelas untuk masing-masing • Pernyataan selera risiko mencakup semua risiko
direncanakan sebagai bagian dari pernyataan pernyataan utama, termasuk metrik yang jelas untuk
insiatif di masa mendatang untuk • Selera risiko secara efektif diterapkan masing-masing pernyataan, dan diturunkan ke
transformasi manajemen risiko di di perusahaan, termasuk: Unit Bisnis
perusahaan o Keputusan strategis dibuat dengan • Selera risiko secara efektif diterapkan di
mempertimbangkan konteks selera perusahaan, termasuk:
risiko o Keputusan strategis dibuat dengan
o Proses bisnis yang melibatkan mempertimbangkan konteks selera risiko
keputusan terkait dengan o Proses bisnis yang melibatkan keputusan
pernyataan selera risiko harus terkait dengan pernyataan selera risiko harus
dimodifikasi untuk memastikan dimodifikasi untuk memastikan kepatuhan
kepatuhan terhadap pernyataan terhadap pernyataan selera risiko (misal
selera risiko (misal perencanaan perencanaan strategis, perencanaan modal,
strategis, perencanaan modal, stress stress testing)
testing) o Pernyataan selera risiko dibuat secara
o Pernyataan selera risiko dibuat bertahap (misal metrik khusus Unit Bisnis)
secara bertahap (misal metrik dengan arahan yang jelas untuk
khusus Unit Bisnis) dengan arahan diselaraskan dengan pernyataan selera
yang jelas untuk diselaraskan risiko di tingkat perusahaan
dengan pernyataan selera risiko di o Telah ada peraturan yang jelas mengenai
tingkat perusahaan kewajiban untuk mematuhi selera risiko dan
o Telah ada peraturan yang jelas prosedur untuk memberikan persetujuan
mengenai kewajiban untuk atas setiap pengecualian
mematuhi selera risiko dan prosedur • Telah ada bukti yang jelas atas kinerja
untuk memberikan persetujuan atas implementasi selera risiko yang baik dalam
setiap pengecualian. penerapan selera risiko di tingkat perusahaan.
implementasi selera risiko yang baik
dalam penerapan selera risiko di
tingkat perusahaan.
26. Komunikasi Beberapa pernyataan selera risiko Telah ada komunikasi yang jelas Selera dan strategi risiko adalah bagian • Selera dan strategi risiko adalah • Selera dan strategi risiko adalah bagian inti dari
selera Risiko telah disampaikan kepada kepada pemangku kepentingan inti dari komunikasi investor dan bagian inti dari komunikasi investor komunikasi investor dan pemangku kepentingan
kepada pemangku kepentingan eksternal eksternal mengenai semua pemangku kepentingan eksternal dan pemangku kepentingan eksternal eksternal lainnya serta penyampaiannya
pemangku namun dalam konteks ad-hoc selera risiko, namun lainnya serta penyampaiannya lainnya serta penyampaiannya dilakukan secara rutin, misal tercantum pada
kepentingan penyampaian selera risiko belum dilakukan secara rutin, misal tercantum dilakukan secara rutin, misal laporan tahunan
eksternal dilakukan secara rutin pada laporan tahunan tercantum pada laporan tahunan • Pemangku kepentingan utama memahami dan
• Pemangku kepentingan utama menerima selera dan strategi risiko
memahami dan menerima selera dan • Dilakukan pembahasan secara aktif mengenai
strategi risiko. selera dan strategi risiko bersama pemangku
96
Sub Kriteria
Dimensi Parameter
kepentingan utama (misal dibahas dalam rapat
triwulanan pemegang saham).
b. 27. Kebijakan • Telah ada beberapa proses dan • Telah ada kebijakan dan • Telah ada kebijakan dan prosedur • Telah ada proses dan kontrol risiko • Telah ada proses dan kontrol risiko yang
Kebijakan dan/atau kontrol risiko, namun belum prosedur formal untuk formal untuk mengatur proses yang bersifat formal, dimuat dalam bersifat formal, dimuat dalam
dan prosedur formal mengatur proses kontrol risiko kontrol risiko dan sebagian besar kebijakan/ prosedur manajemen kebijakan/prosedur manajemen risiko dan
Prosedur
terkait proses • Proses kredit: belum ada secara garis besar namun kontrol telah diformalkan ke dalam risiko dan dilengkapi dengan dilengkapi dengan prosedur pendukungnya
dan kontrol kebijakan dan prosedur kredit belum semua kontrol risiko kebijakan/prosedur baku prosedur pendukungnya untuk untuk penerapan di perusahaan, termasuk:
Risiko yang jelas diformalkan ke dalam • Tidak semua kebijakan, prosedur, penerapan di perusahaan, termasuk: o Prosedur risiko yang diterapkan pada setiap
• Proses penagihan: kebijakan/prosedur baku dan kontrol risiko telah o Prosedur risiko yang diterapkan proses bisnis yang berkaitan dengan risiko-
o penagihan dilakukan dengan • Proses kredit: terharmonisasi/dilakukan integrasi pada setiap proses bisnis yang risiko material perusahaan
upaya manual dan berskala o terdapat kebijakan dan dengan proses bisnis yang ada berkaitan dengan risiko-risiko o Telah ada pemodelan proses/dokumentasi
kecil prosedur kredit yang jelas (misal kebijakan kontrol sudah material perusahaan proses yang tepat
o kurangnya diferensiasi dan o Telah ada pemodelan o Mitigasi/pengendalian risiko diidentifikasi
o dilakukan melalui gugus tugas formal tetapi terpisah) sehingga
proses/dokumentasi proses yang dalam proses (misal terdapat pelatihan
o kurangnya alat yang penyesuaian proses kredit komunikasi dan penerapannya
tepat kebijakan yang bersifat wajib sebelum
mendukung proses penagihan berdasarkan segmen kurang efektif
o Mitigasi/pengendalian risiko melakukan kegiatan bisnis berisiko tinggi),
o kurangnya standardisasi. o permasalahan Loan to • Proses kredit: termasuk setiap kegiatan self-assurance
diidentifikasi dalam proses (misal
• Proses siber: risiko siber dikelola Asset Ratio (LAR) o diferensiasi proses kredit untuk terdapat pelatihan kebijakan yang • Telah dilakukan harmonisasi/integrasi
sebagai bagian dari risiko TI • Ritel: setiap segmen bersifat wajib sebelum melakukan kebijakan, standar, dan prosedur risiko dengan
lainnya tanpa SDM, alat, • penggunaan a-score untuk o pembaharuan kebijakan dan kegiatan bisnis berisiko tinggi), proses bisnis yang ada, dan secara efektif telah
kerangka kerja Manajemen penjaminan emisi prosedur secara teratur (fine termasuk setiap kegiatan self- dikomunikasikan ke seluruh lini Perusahaan,
Risiko khusus • inkonsistensi dalam tuning). assurance termasuk prosedur yang diturunkan ke dalam
• Proses risiko operasional: penggunaan o beberapa elemen strategi • Telah dilakukan harmonisasi/ Unit Bisnis tertentu/anak perusahaan
kurangnya kontrol dan • terdapat data manual, portofolio integrasi kebijakan, standar, dan • Kontrol risiko paling sedikit mencakup metode
pengawasan kesalahan dan pengerjaan o kontrol yang baik terhadap prosedur risiko dengan proses bisnis untuk mengontrol risiko keberlangsungan bisnis
• Proses likuiditas, Asset Liability ulang. kualitas kredit. yang ada, dan secara efektif telah serta mempertimbangkan eksposur risiko dan
Management (ALM), dan risiko • UMK: • Ritel: dikomunikasikan ke seluruh lini selera risiko perusahaan
pasar: tidak ada komite untuk o ketergantungan pada o kriteria penerimaan yang Perusahaan, termasuk prosedur • Telah ada database terpusat yang mudah
mengkoordinasikan Manajemen memo kredit dan analisis didefinisikan dengan jelas yang diturunkan ke dalam Unit Bisnis diakses untuk SOP terbaru (misal intranet,
Risiko, misalnya Asset and o inkonsistensi dalam proses o meminimalkan unsur manusia tertentu/anak perusahaan solusi manajemen SOP, kontrol dokumen)
Liability Committee (ALCO). (contohnya tergantung dari penilaian • Kontrol risiko paling sedikit • Kebijakan/prosedur tersebut diimplementasikan
cabang mana) o penggunaan verifikasi input data. mencakup metode untuk mengontrol secara efektif, dan keefektifannya ditinjau
o ada data manual, • UMK: risiko keberlangsungan bisnis, serta secara periodik melalui kegiatan audit yang
kesalahan dan pengerjaan o kriteria penerimaan yang mempertimbangkan eksposur risiko terdokumentasi.
ulang. didefinisikan dengan jelas dan selera risiko perusahaan
• Penilaian keefektifan pelaksanaan prosedur
• Korporasi/Komersial: o meminimalkan unsur manusia • Proses kredit: dan pengendalian dapat mencakup:
o ketergantungan pada dari penilaian o cakupan penuh dari proses kredit o Identifikasi pegawai utama yang
memo kredit dan analisis o penggunaan verifikasi input data yang terdiferensiasi, termasuk bertanggung jawab/mampu mengoperasikan
o bergantung pada penilaian o penggunaan a-score untuk pembaruan. prosedur dan pengendalian
individu. penjaminan emisi o strategi portofolio yang kuat dan o Evaluasi desain pengendalian (misal
• Proses penagihan: terdapat • Korporasi/komersial: strategi komersial pengujian langsung, lokakarya) dan analisis
beberapa alat bantu o kriteria penerimaan yang o fokus pada optimalisasi proses kemungkinan kegagalan pengendalian untuk
didefinisikan dengan jelas untuk efisiensi. memitigasi risiko
97
Sub Kriteria
Dimensi Parameter
penagihan dan standarisasi o meminimalkan unsur manusia • Ritel dan UMK: o Peninjauan laporan audit untuk mengetahui
yang dibuat untuk mendukung dari penilaian o optimalisasi proses adanya kekurangan prosedur
proses penagihan. o penggunaan verifikasi input data o penggunaan credit factories untuk o Identifikasi KPI untuk pemantauan
• Proses siber: o adanya proses strategi portofolio efisiensi. keefektifan proses/prosedur yang sedang
o posisi Chief Information • Proses penagihan: o otomatisasi beberapa proses. berlangsung (outcome-based)
Security Officer (CISO) o standardisasi upaya dan tindakan • Korporasi/komersial: • Proses kredit:
sudah ditetapkan tetapi penagihan berdasarkan tim yang o penggunaan credit scoring untuk o pengambilan keputusan kredit otomatis
organisasi siber belum telah dibentuk underwriting o otomatisasi pembuatan memo kredit
sepenuhnya memiliki staf o ada alat bantu utama untuk o strategi sektor portofolio yang o penerapan otomatisasi dalam proses kredit
o terdapat gap dalam pengumpulan data berkualitas baik termasuk analisis (termasuk ritel, UMK, korporasi/komersial)
pengawasan dan tata o penggunaan model penagihan berkualitas tinggi • Proses penagihan: kemampuan penagihan
kelola serta proses • Proses siber: • Proses penagihan: digital di Ritel dan UMK.
(contohnya tidak o katalog kontrol siber lengkap o dukungan perangkat lengkap • Proses siber: penerapan metode manajemen
semuanya selalu dipantau) didefinisikan dan untuk penagihan risiko tingkat lanjut seperti pengujian kontrol
o fokus pada pengembangan diimplementasikan penggunaan o perangkat khusus untuk otomatis, security-as-code, dan konfigurasi
kemampuan, kepatuhan pen-testing secara teratur mendukung Relationship Manager keamanan cloud otomatis
• Proses risiko operasional: o terdapat masalah pemenuhan (RM)/Petugas Penagihan • Proses risiko operasional: penerapan alat
o kontrol didefinisikan SDM organisasi untuk o analisis penagihan khusus mutakhir untuk berbagai risiko operasional
dengan baik tetapi menyediakan cakupan layanan nasabah. (fraud dan lain-lain)
kurangnya pengawasan penuh • Proses siber: • Proses likuiditas, Assets Liability Management
(contohnya aturan tidak o penggunaan penilaian o cakupan 24/7 dari pusat operasi (ALM), risiko pasar: penggunaan metode
selalu diikuti) kematangan siber secara teratur keamanan (SOC) canggih termasuk hedging, pendanaan back-
o proses RCSA sedang o fokus pada manajemen risiko o penggunaan aktif talenta eksternal to-back, Value at Risk (VAR), analisis
dibentuk • Proses risiko operasional: dan outsourcing untuk mengisi sensitivitas modal, analisis arus kas, dan
o fokus pada pengembangan o pengawasan yang kuat terhadap kesenjangan dalam organisasi pemantauan ketat untuk limit.
kapabilitas, kepatuhan, kontrol internal
dan perilaku o pengumpulan data tentang o penggunaan beragam alat
• Proses likuiditas, Asset kerugian dan near-misses keamanan
Liability Management (ALM), o proses RCSA tertanam dengan o fokus pada perbaikan
risiko pasar: Asset Liability baik berkelanjutan
Committee (ALCO) tidak o fokus pada Manajemen Risiko • Proses risiko operasional:
efektif untuk mengatur • Proses likuiditas, Asset Liability o penggunaan solusi teknis khusus
strategi yang akan diterapkan. Management (ALM), risiko pasar: untuk Manajemen Risiko
o Fund Transfer Pricing (FTP) operasional (misal deteksi fraud)
dengan struktur perjanjian. o penggunaan manajemen
o terdapat pemodelan maturitas operasional sesuai best practice
perilaku melampaui standar kepatuhan
o penggunaan stress testing secara • Proses likuiditas, Assets Liability
teratur Management (ALM), risiko pasar:
o pemahaman yang baik tentang penggunaan metode canggih
karakteristik liabilitas. termasuk hedging, pendanaan back-
to-back, Value at Risk (VAR),
98
Sub Kriteria
Dimensi Parameter
analisis sensitivitas modal, analisis
arus kas, dan pemantauan ketat
untuk limit.
28. Kebijakan • Belum ada kebijakan dan • Telah ada kebijakan untuk • Telah ada kebijakan untuk • Telah ada kebijakan untuk • Telah ada kebijakan untuk memitigasi
dan/atau prosedur untuk memitigasi memitigasi peristiwa-peristiwa memitigasi peristiwa-peristiwa risiko memitigasi peristiwa-peristiwa risiko peristiwa-peristiwa risiko penting yang
prosedur untuk peristiwa-peristiwa risiko penting risiko penting yang penting yang diformalkan dalam penting yang diformalkan dalam diformalkan dalam kebijakan/prosedur baku,
mitigasi yang diformalkan dalam diformalkan dalam kebijakan/prosedur baku, termasuk kebijakan/prosedur baku, termasuk termasuk mencakup risiko kebocoran data klien
peristiwa kebijakan/prosedur baku kebijakan/prosedur baku mencakup risiko kebocoran data mencakup risiko kebocoran data • Kebijakan, standar, dan prosedur tersebut
penting terkait • Standar dan prosedur klien klien mendefinisikan peran dan tanggung jawab
kerahasiaan • Telah ada prosedur informal yang pendukung belum disediakan • Kebijakan, standar, dan prosedur • Kebijakan, standar, dan prosedur jabatan serta memberikan panduan dan proses
data didasarkan oleh perencanaan ad- untuk memberikan panduan tersebut mendefinisikan peran dan tersebut mendefinisikan peran dan yang jelas mengenai cara penanganan
hoc/analisis post-mortem peristiwa implementasi proses yang tanggung jawab jabatan serta tanggung jawab jabatan serta kebocoran data.(misal apa yang harus
risiko yang sudah terjadi jelas. memberikan panduan dan proses memberikan panduan dan proses dievaluasi oleh fungsi legal, kapan harus
sebelumnya • Kebijakan belum mencakup yang jelas mengenai cara yang jelas mengenai cara mempublikasikan kebocoran tersebut dan
risiko kebocoran data klien penanganan kebocoran data, misal penanganan kebocoran data.(misal kapan perlu bekerja sama dengan pihak
apa yang harus dievaluasi oleh apa yang harus dievaluasi oleh berwenang secara tertutup, dan sebagainya)
fungsi legal, kapan harus fungsi legal, kapan harus • Telah ada kebijakan dan prosedur untuk
mempublikasikan kebocoran mempublikasikan kebocoran tersebut melindungi informasi digital dari akses oleh
tersebut dan kapan perlu bekerja dan kapan perlu bekerja sama pihak yang tidak berwenang, kerusakan data,
sama dengan pihak berwenang dengan pihak berwenang secara atau pencurian data di seluruh siklus
secara tertutup, dan sebagainya. tertutup, dan sebagainya) pengolahan data, yang mencakup setiap aspek
• Telah ada kebijakan dan prosedur keamanan informasi mulai dari keamanan fisik
untuk melindungi informasi digital perangkat keras dan perangkat penyimpanan
dari akses oleh pihak yang tidak hingga aplikasi administrasi dan kontrol akses,
berwenang, kerusakan data, atau kebijakan dan prosedur organisasi
pencurian data di seluruh siklus • Efektivitas didukung oleh bukti kinerja
pengolahan data, yang mencakup penurunan/pemertahanan jumlah kasus dan
setiap aspek keamanan informasi kerugian yang disebabkan oleh kebocoran data
mulai dari keamanan fisik perangkat secara year-on-year
keras dan perangkat penyimpanan • Kebijakan/prosedur Manajemen Risiko
hingga aplikasi administrasi dan dilengkapi dengan standar dan prosedur
kontrol akses, kebijakan dan pendukungnya diimplementasikan secara
prosedur organisasi efektif serta keefektifannya ditinjau secara
periodik melalui kegiatan yang terdokumentasi
• Dilakukan benchmarking secara periodik untuk
perbaikan kebijakan, prosedur, dan standar
29. Rencana • Perusahaan belum memiliki • Telah ada rencana • Telah ada rencana yang dapat • Telah ada rencana yang dapat • Telah ada rencana yang dapat ditindaklanjuti
darurat rencana keberlangsungan bisnis kontingensi namun hanya ditindaklanjuti (langkah-langkah ditindaklanjuti (langkah-langkah dan berisi langkah-langkah tindakan dengan
(contingency dan rencana kontingensi yang untuk memenuhi persyaratan tindakan, dengan trigger point, nilai tindakan, dengan trigger point, nilai trigger point, nilai ambang batas, serta langkah
plan) telah dikodifikasi dalam bentuk minimum regulator. ambang batas, serta langkah yang ambang batas, serta langkah yang yang harus dilakukan terkait keberlangsungan
kebijakan harus dilakukan) terkait harus dilakukan) terkait bisnis dan manajemen krisis.
99
Sub Kriteria
Dimensi Parameter
• Telah ada kerangka rencana • Rencana belum bisa keberlangsungan bisnis dan keberlangsungan bisnis dan • Telah ada dokumentasi mengenai:
keberlangsungan ditindaklanjuti (misal rencana manajemen krisis. manajemen krisis. o rencana manajemen krisis (alur rantai
bisnis/kontingensi secara bersifat umum, tanpa trigger • Telah ada dokumentasi mengenai: • Telah ada dokumentasi mengenai: komando dalam kondisi krisis, proses untuk
informal (misal didasarkan oleh point dan nilai ambang batas). o Rencana manajemen krisis (alur o Rencana manajemen krisis (alur menangani tugas-tugas utama)
pengalaman perusahaan • Tanggung jawab belum rantai komando dalam kondisi rantai komando dalam kondisi o rencana kontingensi kas/likuiditas)
menangani skenario krisis di ditetapkan dengan jelas krisis, proses untuk menangani krisis, proses untuk menangani • Rencana kontingensi disusun melebihi kriteria
masa lalu) (misal bentuk rantai komando tugas-tugas utama) tugas-tugas utama) yang diprasyaratkan regulator.
dalam keadaan krisis). o Rencana kontingensi o Rencana kontingensi kas/likuiditas) • Dilakukan pengujian terhadap rencana
kas/likuiditas) • Rencana kontingensi disusun keberlangsungan bisnis dan manajemen krisis
• Rencana kontingensi disusun melebihi kriteria yang diprasyaratkan secara berkala (misal setahun dua kali) yang
melebihi kriteria yang diprasyaratkan regulator. yang melibatkan manajemen senior untuk
regulator. • Dilakukan pengujian terhadap mereviu, mengkritisi, dan memperbaiki
rencana keberlangsungan bisnis dan kualitasnya, contohnya:
manajemen krisis secara berkala o Telah ada simulasi kejadian krisis yang
(misal satu kali dalam setahun) yang dilakukan tahunan
melibatkan manajemen senior untuk o Telah ada pengujian rencana kontingensi
mereviu, mengkritisi dan oleh pihak independen (misal audit ISO
memperbaiki kualitasnya, contohnya: 22301:2019)
o Telah ada simulasi kejadian krisis o Rencana BCM ditingkatkan secara berkala
yang dilakukan tahunan berdasarkan praktik terbaik terbaru
o Telah ada pengujian rencana o Tinjauan post-mortem atas simulasi dan
kontingensi oleh pihak independen penggabungan pembelajaran
(misal audit ISO 22301:2019) • Setiap pemangku kepentingan (termasuk Unit
o Rencana BCM ditingkatkan secara Bisnis) memahami dan menerima peran dan
berkala berdasarkan praktik terbaik tanggung jawabnya dalam kondisi krisis.
terbaru • Rencana keberlangsungan bisnis pernah
o Tinjauan post-mortem atas diterapkan dengan baik pada kejadian-kejadian
simulasi dan penggabungan krisis di masa lampau
pembelajaran • Setiap pemangku kepentingan (termasuk Unit
Bisnis) memahami dan menerima peran dan
tanggung jawabnya dalam kondisi krisis melalui
change management, contohnya
o Jajaran pimpinan telah dilatih tentang
o Tim operasional menerima pelatihan
o rencana keberlangsungan bisnis tingkat
fungsi diadaptasi berdasarkan rencana
keberlangsungan bisnis tingkat perusahaan
• Manajemen keberlangsungan bisnis untuk
setiap lini didefinisikan dan diimplementasikan
(model operasi krisis).
100
Sub Kriteria
Dimensi Parameter
30. Reviu dan Sesi reviu pernah digunakan untuk • Telah ada reviu informal • Dilakukan reviu dan stress test rutin • Dilakukan reviu dan stress test rutin • Dilakukan reviu dan stress test rutin (misal
Stress test membenahi beberapa prosedur dan dan/atau parsial terhadap (misal tahunan) untuk sebagian (misal tahunan) terhadap sebagian tahunan) terhadap sebagian besar prosedur
terhadap SOP namun dilaksanakan secara prosedur dalam beberapa (namun tidak semua) prosedur dan besar prosedur dan SOP utama yang dan SOP utama yang berkaitan dengan risiko
prosedur dan ad-hoc dan frekuensi yang kurang waktu atau saat SOP utama yang berkaitan dengan berkaitan dengan risiko utama utama perusahaan, serta dilakukan identifikasi
SOP rutin (misal 2-3 tahun sekali) diprasyaratkan oleh regulator. risiko utama perusahaan, serta perusahaan, serta dilakukan area-area perbaikan
• Reviu prosedur dilakukan di dilakukan identifikasi area-area identifikasi area-area perbaikan. • Jajaran manajemen senior terlibat secara aktif
level unit kerja, dengan sedikit perbaikan. • Jajaran manajemen senior terlibat dalam melakukan reviu, mengkritisi, dan
keterlibatan dari jajaran • Jajaran manajemen senior terlibat secara aktif dalam melakukan reviu, memperbaiki proses melalui stress test
manajemen senior. secara aktif dalam melakukan reviu, mengkritisi, dan memperbaiki proses setidaknya satu kali dalam setahun, misal:
• Belum dilakukan stress test mengkritisi, dan memperbaiki proses melalui stress test setidaknya satu o Terlibat dalam simulasi krisis/workshop
pada prosedur dan SOP melalui stress test, meskipun kali dalam setahun, misal: o Terlibat dalam identifikasi titik-titik lemah
sebagian besar pelaksanaannya o Terlibat dalam simulasi proses/root-cause analysis
masih dilakukan oleh unit kerja krisis/workshop • Dilakukan perbaikan berkesinambungan
o Terlibat dalam identifikasi titik-titik terhadap prosedur, benchmarking terhadap
lemah proses/root-cause analysis praktik terbaik, serta sosialisasi ke seluruh lini
perusahaan sepanjang waktu.
• Telah ada database yang mudah diakses dan
terpusat untuk SOP terbaru (misal intranet,
solusi manajemen SOP, kontrol dokumen).
c. 31. Organ fungsi • Belum ada departemen/divisi • Telah ada departemen/divisi • Seluruh proses kepatuhan terpisah • Seluruh proses kepatuhan terpisah • Seluruh proses kepatuhan terpisah dari proses
Fungsi kepatuhan dan kepatuhan yang dibentuk secara kepatuhan yang dibentuk dari proses bisnis sehari-hari (misal dari proses bisnis sehari-hari (misal bisnis sehari-hari (misal terdapat proses
Kepatuhan perannya formal dan independen, namun secara formal terdapat proses tersendiri untuk kaji terdapat proses terpisah untuk terpisah untuk proses kaji ulang/reviu)
telah ada dalam bentuk unit kerja • Telah ada beberapa kasus di ulang/reviu), berfokus pada proses kaji ulang/reviu) • Telah ada pemisahan yang jelas antara peran
• Sebagian besar proses mana proses kepatuhan pemenuhan persyaratan regulator • Telah ada pemisahan yang jelas dan tanggung jawab jabatan divisi risiko
kepatuhan belum secara jelas belum secara jelas terpisah • Telah ada pemisahan yang jelas antara peran dan tanggung jawab (khususnya risiko operasional), kepatuhan dan
terpisah dari proses bisnis sehari- dari proses bisnis sehari-hari antara peran dan tanggung jawab jabatan divisi risiko (khususnya risiko audit, contohnya:
hari (misal tidak ada proses (misal tidak ada proses jabatan divisi risiko (khususnya risiko operasional), kepatuhan dan audit, o Peninjauan bersama atas peran dan
tersendiri untuk kaji ulang/reviu) tersendiri untuk kaji operasional), kepatuhan dan audit, contohnya: tanggung jawab yang telah dikodifikasi (misal
ulang/reviu) contohnya: o Peninjauan bersama atas peran kebijakan) untuk meminimalkan tumpang
• Belum ada pemisahan yang o Peninjauan bersama atas peran dan tanggung jawab yang telah tindih dan memperjelas kepemilikan tugas
jelas antara divisi risiko dan tanggung jawab yang telah dikodifikasi (misal kebijakan) untuk dan kegiatan antara risiko, audit, dan
(khususnya risiko dikodifikasi (misal kebijakan) untuk meminimalkan tumpang tindih dan kepatuhan
operasional), kepatuhan dan meminimalkan tumpang tindih dan memperjelas kepemilikan tugas o Rapat terdokumentasi untuk bersama-sama
audit memperjelas kepemilikan tugas dan kegiatan antara risiko, audit, menyelaraskan prioritas inisiatif perbaikan/
dan kegiatan antara risiko, audit, dan kepatuhan mengoordinasikan tindakan untuk
dan kepatuhan o Rapat terdokumentasi untuk menghindari duplikasi mitigasi/rencana kerja
o Rapat terdokumentasi untuk bersama-sama menyelaraskan • Kegiatan kepatuhan berfokus pada
bersama-sama menyelaraskan prioritas inisiatif perbaikan/ pemenuhan kebijakan perusahaan selain
prioritas inisiatif perbaikan/ mengoordinasikan tindakan untuk pemenuhan persyaratan regulator
mengoordinasikan tindakan untuk menghindari duplikasi • Perusahaan menerapkan pendekatan bottom-
menghindari duplikasi mitigasi/rencana kerja up untuk memeriksa pemenuhan persyaratan
mitigasi/rencana kerja
101
Sub Kriteria
Dimensi Parameter
• Kegiatan kepatuhan berfokus pada kepatuhan dan statusnya saat ini terhadap
pemenuhan kebijakan perusahaan persyaratan regulator dan praktik terbaik
selain pemenuhan persyaratan industri, contohnya:
regulator o Fungsi kepatuhan memastikan tersedianya
• Perusahaan menerapkan katalog kontrol bottom-up yang komprehensif
pendekatan bottom-up untuk (misal untuk risiko siber)
memeriksa pemenuhan persyaratan o Bukti yang jelas mengenai penilaian dampak
kepatuhan dan statusnya saat ini secara komprehensif atas peraturan baru
terhadap persyaratan regulator dan terhadap kebijakan/prosedur yang ada
praktik terbaik industri, contohnya: • Telah ada keterkaitan yang harmonis antara
o Fungsi kepatuhan memastikan proses risiko operasional dengan proses
tersedianya katalog kontrol kepatuhan/audit (misal identifikasi,
bottom-up yang komprehensif pengukuran, pengelolaan limit risiko,
(misal untuk risiko siber) pemanfaatan taksonomi risiko umum dan
o Bukti yang jelas mengenai sistem informasi umum)
penilaian dampak secara • Kepatuhan terhadap kebijakan perusahaan
komprehensif atas peraturan baru diperiksa secara rutin maupun secara acak
terhadap kebijakan/prosedur yang sepanjang tahun
ada • Bukti bahwa fungsi kepatuhan dapat
menjalankan peran sebagai advisory yang
efektif bila diperlukan, misalnya secara
konsisten memberikan saran berkualitas
kepada unit bisnis atau unit kerja lain,
termasuk dalam menangani isu-isu sulit (misal
menyediakan informasi yang tersedia dan
disesuaikan dengan kebutuhan bisnis
mengenai persyaratan Kepatuhan,
menerjemahkan persyaratan regulasi ke dalam
rekomendasi yang dapat ditindaklanjuti dan
praktis)
d. 32. Efektivitas Perusahaan masih dalam tahap • Telah ada kontrol risiko di • Telah ada kebijakan yang jelas dan • Dilakukan pemantauan terhadap • Dilakukan optimalisasi tata kelola, struktur,
Efektifitas praktik awal penerapan kontrol risiko sebagian besar bidang/unit, terdokumentasi yang mendefinisikan struktur, proses dan kontrol risiko proses dan kontrol di seluruh Dimensi dan
Manajemen Manajemen khusus untuk bidang/unit/proses tetapi belum ada standar organisasi risiko, peran, dan • Dilakukan pengawasan terhadap sesuai dengan acuan praktik terbaik (misal
Risiko dan
Risiko tertentu yang memiliki risiko inheren umum dan belum tanggung jawab deviasi secara rutin (paling sedikit dibentuk struktur Model Tata Kelola Risiko Tiga
Pengendali
an Intern tinggi diformalkan/ • Proses dan kontrol risiko diterapkan satu kali dalam setahun) dan Lini, di seluruh divisi bisnis termasuk anak
didokumentasikan sesuai kebijakan yang merujuk pada ditangani dengan tepat serta perusahaan)
• Penanganan masalah standar tertentu, namun tidak dilakukan tindakan preventif pada • Telah ada hasil penilaian benchmarking
dilakukan secara ad- dilakukan pemantauan area-area dengan risiko tinggi terhadap praktik terbaik global/eksternal untuk
hoc/kasus per kasus kepatuhannya secara berkala • Dilakukan tindakan korektif terhadap mengidentifikasi kesenjangan dan area yang
• Sangat bergantung pada struktur/proses yang kurang efektif perlu ditingkatkan, serta bukti penyesuaian
pengetahuan/keahlian untuk menangani area-area yang kerangka ERM yang telah dilakukan
individu masih perlu ditingkatkan. berdasarkan hasil analisis
102
Sub Kriteria
Dimensi Parameter
• Menerapkan otomatisasi/digitalisasi dan
Advanced Analytics secara sistematis
33. Efektivitas • Terdapat struktur organisasi • Terdapat struktur organisasi • Terdapat struktur organisasi yang • Terdapat struktur organisasi yang • Terdapat struktur organisasi yang
Pengendalian yang menggambarkan secara yang menggambarkan secara menggambarkan secara jelas menggambarkan secara jelas menggambarkan secara jelas kegiatan usaha
Intern jelas kegiatan usaha BUMN jelas kegiatan usaha BUMN kegiatan usaha BUMN kegiatan usaha BUMN BUMN
• Telah ditetapkan jalur pelaporan • Telah ditetapkan jalur • Telah ditetapkan jalur pelaporan dan • Telah ditetapkan jalur pelaporan dan • Telah ditetapkan jalur pelaporan dan
dan pemisahan fungsi yang jelas pelaporan dan pemisahan pemisahan fungsi yang jelas dari Lini pemisahan fungsi yang jelas dari Lini pemisahan fungsi yang jelas dari Lini Pertama
dari Lini Pertama kepada Lini fungsi yang jelas dari Lini Pertama kepada Lini Kedua Pertama kepada Lini Kedua kepada Lini Kedua
Kedua Pertama kepada Lini Kedua • Terdapat kecukupan prosedur untuk • Terdapat kecukupan prosedur untuk • Terdapat kecukupan prosedur untuk
• Terdapat kecukupan prosedur • Terdapat kecukupan prosedur memastikan kepatuhan BUMN memastikan kepatuhan BUMN memastikan kepatuhan BUMN terhadap
untuk memastikan kepatuhan untuk memastikan kepatuhan terhadap ketentuan peraturan terhadap ketentuan peraturan ketentuan peraturan perundang-undangan
BUMN terhadap ketentuan BUMN terhadap ketentuan perundang-undangan perundang-undangan • Terdapat sistem pengendalian intern sesuai
peraturan perundang-undangan peraturan perundang- • Terdapat sistem pengendalian intern • Terdapat sistem pengendalian intern dengan jenis dan tingkat Risiko yang melekat
• Belum ada sistem pengendalian undangan sesuai dengan jenis dan tingkat sesuai dengan jenis dan tingkat pada kegiatan usaha BUMN
intern sesuai dengan jenis dan • Terdapat sistem Risiko yang melekat pada kegiatan Risiko yang melekat pada kegiatan • Telah ditetapkan wewenang dan tanggung
tingkat Risiko yang melekat pada pengendalian intern sesuai usaha BUMN usaha BUMN jawab untuk pemantauan kepatuhan kebijakan
kegiatan usaha BUMN dengan jenis dan tingkat • Telah ditetapkan wewenang dan • Telah ditetapkan wewenang dan dan prosedur Manajemen Risiko serta
• Belum ditetapkan wewenang dan Risiko yang melekat pada tanggung jawab untuk pemantauan tanggung jawab untuk pemantauan penetapan strategi Risiko dan pelaksanaannya
tanggung jawab untuk kegiatan usaha BUMN kepatuhan kebijakan dan prosedur kepatuhan kebijakan dan prosedur telah dilakukan secara optimal
pemantauan kepatuhan • Telah ditetapkan wewenang Manajemen Risiko serta penetapan Manajemen Risiko serta penetapan • Dokumentasi telah lengkap dan memadai
kebijakan dan prosedur dan tanggung jawab untuk strategi Risiko dan pelaksanaannya strategi Risiko dan pelaksanaannya terhadap prosedur operasional, cakupan, dan
Manajemen Risiko serta pemantauan kepatuhan telah dilakukan secara optimal telah dilakukan secara optimal temuan audit, serta tanggapan Direksi
penetapan strategi Risiko kebijakan dan prosedur • Dokumentasi telah lengkap dan • Dokumentasi telah lengkap dan terhadap hasil audit
• Dokumentasi belum secara Manajemen Risiko serta memadai terhadap prosedur memadai terhadap prosedur • Pelaporan keuangan dan kegiatan operasional
lengkap dan memadai terhadap penetapan strategi Risiko operasional, cakupan, dan temuan operasional, cakupan, dan temuan telah dilakukan namun belum akurat dan tepat
prosedur operasional, cakupan, • Dokumentasi belum secara audit, serta tanggapan Direksi audit, serta tanggapan Direksi waktu;
dan temuan audit, serta lengkap dan memadai terhadap hasil audit terhadap hasil audit • Telah dilakukan kaji ulang atau reviu yang
tanggapan Direksi terhadap hasil terhadap prosedur • Pelaporan keuangan dan kegiatan • Pelaporan keuangan dan kegiatan efektif, independen, objektif terhadap prosedur
audit operasional, cakupan, dan operasional telah dilakukan namun operasional telah dilakukan namun penilaian kegiatan operasional BUMN, sistem
• Pelaporan keuangan dan temuan audit, serta belum akurat dan tepat waktu; belum akurat dan tepat waktu; informasi Manajemen Risiko, dan penanganan
kegiatan operasional telah tanggapan Direksi terhadap • Telah dilakukan kaji ulang atau reviu • Telah dilakukan kaji ulang atau reviu kelemahan BUMN yang bersifat material. Kaji
dilakukan namun belum akurat hasil audit yang efektif, independen, objektif yang efektif, independen, objektif ulang telah dilakukan secara berkala dan
dan tepat waktu • Pelaporan keuangan dan terhadap prosedur penilaian terhadap prosedur penilaian berkesinambungan
• Telah dikaji ulang atau reviu kegiatan operasional telah kegiatan operasional BUMN, sistem kegiatan operasional BUMN, sistem • Telah dilakukan pengujian dan kaji ulang atau
yang efektif, independen, dan dilakukan namun belum informasi Manajemen Risiko, dan informasi Manajemen Risiko, dan reviu yang memadai terhadap sistem informasi
objektif terhadap prosedur akurat dan tepat waktu penanganan kelemahan BUMN yang penanganan kelemahan BUMN yang Manajemen Risiko
penilaian kegiatan operasional • Telah dikaji ulang atau reviu bersifat material. Kaji ulang telah bersifat material. Kaji ulang telah • Telah dilakukan verifikasi dan kaji ulang atau
BUMN yang efektif, independen, dan dilakukan secara berkala dan dilakukan secara berkala dan reviu secara berkala dan berkesinambungan
objektif terhadap prosedur berkesinambungan berkesinambungan terhadap penanganan kelemahan BUMN yang
penilaian kegiatan • Telah dilakukan pengujian dan kaji • Telah dilakukan pengujian dan kaji
operasional BUMN ulang atau reviu yang memadai ulang atau reviu yang memadai
103
Sub Kriteria
Dimensi Parameter
• Telah dilakukan pengujian terhadap sistem informasi terhadap sistem informasi bersifat material dan tindakan Direksi untuk
dan kaji ulang atau reviu yang Manajemen Risiko Manajemen Risiko memperbaiki penyimpangan yang terjadi.
memadai terhadap sistem • Telah dilakukan verifikasi dan kaji • Telah dilakukan verifikasi dan kaji • Telah dilakukan proses tindaklanjut atas hasil
informasi Manajemen Risiko ulang atau reviu secara berkala dan ulang atau reviu secara berkala dan kaji ulang/reviu kegiatan operasional BUMN,
• Telah dilakukan verifikasi dan berkesinambungan terhadap berkesinambungan terhadap sistem informasi Manajemen Risiko, dan
kaji ulang atau reviu secara penanganan kelemahan BUMN yang penanganan kelemahan BUMN yang penanganan kelemahan BUMN yang bersifat
berkala dan bersifat material dan tindakan Direksi bersifat material dan tindakan Direksi material dengan telah terdapat dokumentasi
berkesinambungan terhadap untuk memperbaiki penyimpangan untuk memperbaiki penyimpangan atas progres dan evidence atas tindak lanjut
penanganan kelemahan yang terjadi. yang terjadi. tersebut. Penyelesaian tindaklanjut atas hasil
BUMN yang bersifat material • Tindaklanjut atas hasil kaji • Telah dilakukan proses tindaklanjut reviu/ temuan dilakukan secara tuntas (100%)
dan tindakan Direksi untuk ulang/reviu kegiatan operasional atas kaji ulang/reviu kegiatan minimal 3 (tiga) tahun terakhir.
memperbaiki penyimpangan BUMN, sistem informasi Manajemen operasional BUMN. Sistem Informasi
yang terjadi. Risiko, penanganan kelemahan Manajemen Risiko, dan penanganan
• Belum dilakukan tindaklanjut BUMN yang bersifat material telah kelemahan BUMN yang bersifat
atas hasil kaji ulang/reviu selesai dilakukan sebagian dan material dengan telah terdapat
kegiatan operasional BUMN, terdapat dokumentasi atas progres dokumentasi progres dan bukti atas
sistem informasi Manajemen dan bukti atas tindak lanjut tersebut. tindak lanjut tersebut. Penyelesaian
Risiko, dan penanganan tindak lanjut atas hasil reviu/temuan
kelemahan BUMN yang dilakukan secara tuntas (100%).
bersifat material.
a. 34. Identifikasi Telah ada taksonomi risiko informal • Telah ada taksonomi risiko • Telah ada taksonomi risiko yang • Telah ada taksonomi risiko • Telah ada taksonomi risiko integrasian yang
Identifikasi Risiko utama yang digunakan dalam identifikasi dan mencakup sejumlah risiko terhubung dengan bisnis, dan integrasian yang terhubung dengan terhubung dengan bisnis, dan mencakup risiko-
Risiko dan analisis risiko utama, namun utama (taksonomi mencakup mencakup risiko-risiko utama dan bisnis, dan mencakup risiko-risiko risiko utama dan risiko kompleks, serta
belum dilakukan standardisasi risiko terkait regulasi dan risiko kompleks, serta mencakup utama dan risiko kompleks, serta mencakup risiko yang akan muncul (emerging
taksonomi (misal Unit Bisnis/divisi keuangan) risiko yang akan muncul (emerging mencakup risiko yang akan muncul risk) termasuk risiko-risiko masa depan
berbeda menggunakan penamaan • Taksonomi risiko belum risk) (emerging risk) termasuk risiko-risiko (forward-looking risks) (misal ESG, siber)
dan klasifikasi risiko yang berbeda) diterapkan secara konsisten • Taksonomi risiko belum diterapkan masa depan (forward-looking risks) • Taksonomi risiko secara konsisten diterapkan
dan belum dilakukan formalisasi di ketiga lini/anak perusahaan secara konsisten di ketiga lini/anak (misal ESG, siber) di ketiga lini, serta terdapat kerangka dan
dalam kebijakan pusat (jika relevan), meskipun perusahaan (jika relevan), meskipun • Taksonomi risiko secara konsisten sistem Manajemen Risiko Perusahaan yang
pemetaan kerangka kerja terdapat pemetaan kerangka kerja diterapkan di ketiga lini, serta komprehensif, misalnya:
taksonomi risiko yang taksonomi risiko yang berbeda terdapat kerangka dan sistem o Telah ada pemahaman dan pemanfaatan
berbeda mungkin ada • Telah ada metodologi identifikasi Manajemen Risiko Perusahaan yang taksonomi risiko oleh Unit Bisnis dalam
• Telah ada proses identifikasi risiko, yang setidaknya komprehensif, misalnya: keseharian kegiatan usaha (misal
risiko, yang utamanya mempertimbangkan risiko-risiko o Telah ada pemahaman dan pengambilan keputusan berbasis risiko)
dilakukan dengan pendekatan yang melekat pada proses bisnis di pemanfaatan taksonomi risiko oleh o Taksonomi risiko yang terkini digunakan
bottom-up, setidaknya BUMN dan target risiko residual Unit Bisnis dalam keseharian untuk mengklasifikasikan risiko dalam risk
mempertimbangkan risiko- secara bottom-up dan top-down, kegiatan usaha (misal register
risiko yang melekat pada yang biasanya dilakukan di setiap pengambilan keputusan berbasis
triwulan risiko)
104
Sub Kriteria
Dimensi Parameter
proses bisnis di BUMN dan • Proses identifikasi risiko o Taksonomi risiko yang terkini o Analisis risiko (misal dalam sistem informasi
target risiko residual. menganalisis: digunakan untuk manajemen) menggunakan taksonomi risiko
• Bahasa, kata-kata, atau istilah o Karakteristik risiko inheren mengklasifikasikan risiko dalam (misal untuk integrasi risiko)
yang digunakan dalam proses BUMN, dan risk register o Pemantauan risiko dilakukan untuk setiap
identifikasi risiko sudah o Risiko-risiko dari kegiatan usaha o Analisis risiko (misal dalam sistem Taksonomi risiko
konsisten dan tidak rancu BUMN informasi manajemen) o Taksonomi risiko secara konsisten diterapkan
antara risiko dengan • Bahasa, kata-kata, atau istilah yang menggunakan taksonomi risiko di seluruh anak perusahaan (jika relevan)
penyebab risiko. digunakan dalam proses identifikasi (misal untuk integrasi risiko) • Dilakukan pengkinian terhadap taksonomi
• Proses ini dilakukan tahunan risiko sudah konsisten dan tidak o Pemantauan risiko dilakukan untuk risiko dan secara rutin dikaji ulang (sekurang-
oleh Unit Bisnis, dengan rancu antara risiko dengan setiap taksonomi risiko kurangnya satu kali dalam setahun) guna
eksposur risiko yang penyebab risiko, potensi dampak, • Taksonomi risiko secara konsisten memastikan keterkiniannya dan tetap
tergambar dari risk register atau potensi dampak yang diterapkan di seluruh anak komprehensif terutama untuk mengetahui risiko
• Telah ada beberapa risk disebabkan pengendalian risiko yang perusahaan (jika relevan) yang muncul, misalnya melalui:
register dari setiap Unit Bisnis tidak efektif. • Telah ada bukti yang jelas atas o Benchmarking eksternal terhadap risk
• Terdapat metode dan alat • Telah ada gambaran umum kinerja penerapan taksonomi risiko, universe untuk industri/wilayah geografis
yang memadai dan digunakan eksposur risiko, yang dicatat pada di antaranya: o Tinjauan rutin (misal dua kali dalam setahun)
secara konsisten dan efektif risk register. o Telah ada taksonomi risiko yang dengan para Direksi mengenai perubahan
untuk melakukan proses • Terdapat metode dan alat yang komprehensif, biasanya 2-4 level lingkungan (misal ekonomi, politik, regulasi)
identifikasi risiko di memadai dan digunakan secara o Level taksonomi risiko di setiap yang dapat berdampak pada taksonomi risiko
perusahaan, seperti konsisten dan efektif untuk jenis risiko disesuaikan dengan o Mengadakan workshop untuk meninjau
wawancara, analisis alur melakukan proses identifikasi risiko kebutuhan taksonomi risiko
proses, proyeksi, penelusuran di perusahaan, seperti wawancara, • Telah ada metodologi identifikasi • Telah ada bukti yang jelas atas kinerja
temuan audit. Identifikasi analisis alur proses, proyeksi, risiko yang setidaknya penerapan taksonomi risiko, di antaranya:
risiko dilakukan dengan penelusuran temuan audit, data loss mempertimbangkan risiko-risiko o Telah ada taksonomi risiko yang
menggunakan informasi event , dan lainnya. Identifikasi risiko yang melekat pada proses bisnis di komprehensif, biasanya 2-4 level
bersifat kualitatif dilakukan dengan menggunakan BUMN dan target risiko residual o Level taksonomi risiko di setiap jenis risiko
informasi bersifat kuantitatif dan secara bottom-up di level bisnis, dan disesuaikan dengan kebutuhan
kualitatif. top-down yang dipimpin tim pusat. • Telah ada metodologi identifikasi risiko yang
Identifikasi risiko dilakukan melalui setidaknya mempertimbangkan risiko-risiko
pendekatan top-down berdasarkan yang melekat pada proses bisnis di BUMN dan
input dari tingkat Unit Bisnis dan target risiko residual secara bottom-up di level
didefinisikan di tingkat pusat bisnis, dan top-down yang dipimpin tim pusat.
• Proses identifikasi risiko Identifikasi risiko dilakukan melalui pendekatan
menganalisis: top-down berdasarkan input dari tingkat Unit
o Karakteristik risiko inheren BUMN, Bisnis dan didefinisikan di tingkat pusat
dan • Proses identifikasi risiko menganalisis:
o Risiko-risiko dari kegiatan usaha o Karakteristik risiko inheren BUMN, dan
BUMN o Risiko-risiko dari kegiatan usaha BUMN
• Bahasa, kata-kata, atau istilah yang • Bahasa, kata-kata, atau istilah yang digunakan
digunakan dalam proses identifikasi dalam proses identifikasi risiko sudah konsisten
risiko sudah konsisten dan tidak dan tidak rancu antara risiko dengan penyebab
rancu antara risiko dengan penyebab risiko, potensi dampak, atau potensi dampak
105
Sub Kriteria
Dimensi Parameter
risiko, potensi dampak, atau potensi yang disebabkan pengendalian risiko yang
dampak yang disebabkan tidak efektif.
pengendalian risiko yang tidak efektif. • Telah ada gambaran umum eksposur risiko
• Telah ada gambaran umum eksposur yang dicatat pada risk register.
risiko, yang dicatat pada risk register • Terdapat metode dan alat yang memadai dan
• Terdapat metode dan alat yang digunakan secara konsisten dan efektif untuk
memadai dan digunakan secara melakukan proses identifikasi risiko di
konsisten dan efektif untuk perusahaan, seperti wawancara, analisis alur
melakukan proses identifikasi risiko proses, proyeksi, penelusuran temuan audit,
di perusahaan, seperti wawancara, data loss event, dan lainnya.
analisis alur proses, proyeksi, • Identifikasi risiko dilakukan dengan
penelusuran temuan audit, data loss menggunakan informasi bersifat kuantitatif dan
event, dan lainnya. kualitatif.
• Identifikasi risiko dilakukan dengan
kuantitatif dan kualitatif.
b. 35. Kerangka • Telah ada kerangka dasar • Telah ada kerangka dasar • Telah ada kerangka dasar penilaian • Telah ada kerangka dasar penilaian • Telah ada kerangka dasar penilaian risiko
Pengukuran proses penilaian risiko secara informal, penilaian risiko secara formal risiko secara formal dalam kebijakan risiko secara formal dalam kebijakan secara formal dalam kebijakan manajemen
dan pengukuran namun belum diikutsertakan ke dalam kebijakan manajemen manajemen risiko manajemen risiko risiko
Prioritisasi
Risiko untuk dalam kebijakan manajemen risiko • Telah ada kerangka penilaian risiko, • Telah ada kerangka penilaian risiko, • Telah ada kerangka penilaian risiko, yang
Risiko
prioritisasi risiko • Telah ada kerangka penilaian yang mencakup penilaian yang mencakup penilaian mencakup penilaian kemungkinan terjadinya
Risiko • Penilaian risiko belum dilakukan risiko, yang mencakup kemungkinan terjadinya risiko serta kemungkinan terjadinya risiko serta risiko serta tingkat dampak (peta risiko/risk
secara rutin/ad-hoc penilaian kemungkinan tingkat dampak (peta risiko/risk tingkat dampak (peta risiko/risk heatmap)
terjadinya risiko serta tingkat heatmap) heatmap) • Telah dilaksanakan penilaian yang
dampak (peta risiko/risk • Telah dilaksanakan penilaian risiko • Telah dilaksanakan penilaian risiko mempertimbangkan efektivitas proses
heatmap) yang mempertimbangkan efektivitas yang mempertimbangkan efektivitas pengendalian internal
• Belum dilaksanakan penilaian proses pengendalian internal proses pengendalian internal • Penilaian dan prioritisasi risiko
risiko yang • Penilaian dan prioritisasi risiko • Penilaian dan prioritisasi risiko diimplementasikan dengan baik oleh Lini
mempertimbangkan diimplementasikan dengan baik oleh diimplementasikan dengan baik oleh Pertama dan Kedua.
efektivitas proses Lini Pertama dan Kedua Lini Pertama dan Kedua. • Telah terdapat perlakuan risiko, indikator risiko
pengendalian internal • Penilaian risiko dilaksanakan setiap • Telah terdapat perlakuan risiko, utama/KRI, dan limit risiko dari setiap risiko
• Implementasi penilaian risiko triwulan (misal penilaian awal dan indikator risiko utama/KRI, dan limit • Telah ada prosedur formal saat peringatan
masih bergantung pada Lini penilaian terkini setiap triwulan) risiko dari setiap risiko muncul/limit risiko terlampaui
Kedua dan tidak optimal • Telah ada prosedur formal saat • Telah ada proses sistematis untuk
diterapkan oleh Lini Pertama peringatan muncul/limit risiko mengidentifikasi dan menganalisis risiko-risiko
• Penilaian risiko dilaksanakan terlampaui yang akan muncul (emerging risk) di luar
dua kali dalam satu tahun • Proses penilaian risiko telah kerangka risiko yang telah ada seperti risiko
(misal penilaian awal dan dilaksanakan secara efektif, operasional, keuangan, dan kepatuhan serta
penilaian terkini pertengahan termasuk: risiko-risiko tersebut dipertimbangkan dalam
tahun) o Penilaian risiko dilaksanakan proses pengambilan keputusan serta menjadi
setiap triwulan (misal penilaian
106
Sub Kriteria
Dimensi Parameter
awal dan penilaian terkini setiap input dalam proses penilaian risiko yang
triwulan) dilakukan secara rutin
o Kerangka dan proses penilaian • Proses penilaian risiko telah dilaksanakan
cukup efektif untuk menilai risiko, secara efektif, termasuk:
walaupun masih ada realisasi o Penilaian risiko dilaksanakan setiap bulan
dampak yang melebihi dampak o Kerangka dan proses penilaian efektif untuk
yang telah diperkirakan saat menilai risiko, terbukti dari realisasi dampak
penilaian awal tahun sebagian besar jenis risiko tidak melebihi
o Kerangka dan proses penilaian dampak yang telah diperkirakan saat
telah dilakukan, namun masih ada penilaian awal tahun
beberapa realisasi peristiwa risiko o Kerangka dan proses penilaian telah
signifikan yang belum dinilai pada komprehensif, sehingga hampir tidak ada
saat penilaian awal tahun realisasi peristiwa risiko signifikan yang
belum dinilai pada saat penilaian awal tahun
36. Integrasi atas • Risiko utama diidentifikasi di • Risiko utama diidentifikasi di • Telah ada risk register yang • Telah ada risk register yang • Telah ada risk register yang terkonsolidasi
seluruh Risiko tingkat Unit Bisnis dan belum tingkat Unit Bisnis. terkonsolidasi mencakup seluruh terkonsolidasi mencakup seluruh mencakup seluruh Unit Bisnis. Perhitungan
utama diintegrasikan. Perhitungan eksposur risiko Unit Bisnis. Perhitungan eksposur Unit Bisnis. Perhitungan eksposur eksposur risiko dalam risk register sudah
• Telah ada risk register informal dalam risk register belum risiko dalam risk register sudah risiko dalam risk register sudah terintegrasi
dari masing-masing Unit Bisnis seluruhnya terintegrasi. terintegrasi terintegrasi • Proses integrasi risiko biasanya dilakukan
(belum ada prosedur • Telah ada beberapa risk • Proses integrasi risiko biasanya • Proses integrasi risiko biasanya setiap tahun oleh Unit Bisnis dan unit risiko
standar/template) register dari setiap Unit dilakukan setiap tahun oleh Unit dilakukan setiap tahun oleh Unit pusat
Bisnis. Bisnis dan unit risiko pusat Bisnis dan unit risiko pusat • Proses integrasi dilakukan secara bottom up
• Proses integrasi dilakukan secara • Proses integrasi dilakukan secara sehingga risiko utama perusahaan dapat
bottom up sehingga risiko utama bottom up sehingga risiko utama ditentukan.
perusahaan dapat ditentukan. perusahaan dapat ditentukan. • Perusahaan sudah menetapkan secara formal
• Perusahaan sudah menetapkan • Perusahaan sudah menetapkan terkait jenis dan jumlah risiko yang dapat
secara formal terkait jenis dan secara formal terkait jenis dan jumlah diterima oleh perusahaan dalam mencapai
jumlah risiko yang dapat diterima risiko yang dapat diterima oleh sasaran strategisnya, yaitu selera risiko (risk
oleh perusahaan dalam mencapai perusahaan dalam mencapai appetite). Selera risiko (risk appetite) tersebut
sasaran strategisnya, yaitu selera sasaran strategisnya, yaitu selera menjadi salah satu dasar dalam menyusun
risiko (risk appetite). risiko (risk appetite). Selera risiko kriteria pengukuran risiko. Kriteria pengukuran
(risk appetite) tersebut menjadi salah risiko telah digunakan secara konsisten dan
satu dasar dalam menyusun kriteria terbukti untuk melakukan pengukuran risiko.
pengukuran risiko. Kriteria • Hasil pengukuran risiko dikomunikasikan
pengukuran risiko telah digunakan kepada pimpinan unit kerja/fungsi dan
secara konsisten dan terbukti untuk pimpinan perusahaan, guna divalidasi untuk
melakukan pengukuran risiko. selanjutnya digunakan secara konsisten
sebagai salah satu pertimbangan dalam proses
pengambilan keputusan di perusahaan.
mempertimbangkan tingkat eksposur risiko
(dampak dan kemungkinan terjadi) dan
107
Sub Kriteria
Dimensi Parameter
dampaknya pada toleransi risiko (risk
tolerance), selera risiko (risk appetite),
kapasitas risiko (risk capacity), dan sasaran
strategis perusahaan juga mempertimbangkan
kriteria lain yang telah disepakati sebelumnya,
sebagai contoh tingkat adaptabilitas
perusahaan terhadap risiko, kompleksitas
risiko, velositas risiko, tingkat persistensi risiko,
dan tingkat pemulihan risiko.
c. 37. Aktivitas Telah ada kerangka rencana • Telah ada sejumlah rencana • Rencana mitigasi risiko disusun • Telah ada penanggung jawab yang • Telah ada penanggung jawab yang jelas dan
Perlakuan perlakuan mitigasi risiko informal yang masih formal mitigasi untuk untuk risiko-risiko di tingkat unit jelas dan berkapabilitas yang ditunjuk berkapabilitas yang ditunjuk untuk mengelola
Risiko terhadap dalam cakupan high-level dan beberapa risiko namun kerja/fungsi yang dapat untuk mengelola setiap risiko utama setiap risiko utama
Risiko utama belum dijelaskan secara mendetail banyak risiko-risiko utama mengganggu pencapaian sasaran • Telah ada proses/alur untuk • Telah ada proses/alur untuk mengelola setiap
(sesuai dengan jenis-jenis risiko tidak memiliki penanggung strategis perusahaan pengendalian setiap risiko utama risiko utama sesuai dengan definisi selera
utama) jawab maupun rencana • Penyusunan rencana mitigasi risiko sesuai dengan definisi selera risiko risiko termasuk untuk emerging risk,
mitigasi difasilitasi oleh fungsi manajemen termasuk untuk emerging risk • Telah ada rencana tindakan mendetail dengan
• Apabila mitigasi risiko risiko yang berkoordinasi dengan • Telah ada rencana tindakan urutan langkah-langkah tindak lanjut yang
dilakukan, maka Risk Owner di masing-masing unit mendetail dengan urutan langkah- spesifik.
pelaksanaannya bersifat ad- kerja/fungsi. langkah tindak lanjut yang spesifik. • Rencana mitigasi risiko disusun dengan
hoc • Telah ada proses yang bersifat rutin • Rencana mitigasi risiko disusun mempertimbangkan keterkaitan risiko antar unit
• Telah ada proses/alur logis untuk menangani risiko-risiko utama dengan mempertimbangkan kerja/fungsi, agar penanganan risiko tidak
untuk mengelola beberapa tersebut keterkaitan risiko antar unit terduplikasi dan lebih efektif.
risiko utama sesuai dengan • Telah ada proses/alur untuk kerja/fungsi, agar penanganan risiko • Rencana mitigasi risiko dipantau secara
definisi selera risiko, namun mengelola setiap risiko utama sesuai tidak terduplikasi dan lebih efektif. berkala untuk menilai efektivitasnya.
proses-proses tersebut belum dengan definisi selera risiko • Rencana mitigasi risiko dipantau • Dalam menentukan rencana mitigasi risiko,
sepenuhnya lengkap atau termasuk untuk emerging risk secara berkala untuk menilai perusahaan memperhatikan manfaat yang
belum diperbarui. efektivitasnya. dapat tercipta dan sumber daya yang
• Belum ada garis tanggung • Dalam menentukan rencana mitigasi dikeluarkan untuk menangani suatu risiko.
jawab yang jelas dari Direktur risiko, perusahaan memperhatikan • Manfaat dan sumber daya tersebut harus
Utama hingga ke front line manfaat yang dapat tercipta dan dikomunikasikan secara berkala kepada fungsi
dalam hal mitigasi risiko. sumber daya yang dikeluarkan untuk manajemen risiko sebagai pihak yang
menangani suatu risiko. bertanggung jawab dalam mengkoordinasikan
• Manfaat dan sumber daya tersebut aktivitas manajemen risiko perusahaan.
harus dikomunikasikan kepada • Telah ada rencana kontingensi yang terdefinisi
fungsi manajemen risiko sebagai dengan baik untuk setiap risiko utama
pihak yang bertanggung jawab dalam • Setiap pegawai memahami dan menerima
mengkoordinasikan aktivitas peran dan tanggung jawabnya yang berkaitan
manajemen risiko perusahaan. dengan kebijakan dan proses pengelolaan
risiko-risiko utama
• Telah ada perhitungan dampak risiko residual
yang akan dikorelasikan dengan targetnya.
108
Sub Kriteria
Dimensi Parameter
38. Identifikasi dan Telah ada pembahasan mengenai • Telah ada pembahasan • Telah ada proses terstruktur untuk • Telah ada proses terstruktur untuk • Telah ada proses terstruktur untuk menyusun
pengelolaan ketidaksesuaian antara eksposur mengenai ketidaksesuaian menyusun strategi penanganan menyusun strategi penanganan strategi penanganan ketidaksesuaian antara
eksposur risiko aktual dan selera risiko secara antara eksposur risiko aktual ketidaksesuaian antara eksposur ketidaksesuaian antara eksposur eksposur risiko aktual dan selera risiko, antara
Risiko yang ad-hoc, dan belum ada jadwal dan selera risiko sebagai risiko aktual dan selera risiko, antara risiko aktual dan selera risiko, antara lain:
berada diatas pembahasan rutin bagian dari keputusan lain: lain: o Menyusun basis fakta/data mengenai risiko
selera risiko manajemen yang bersifat o Menyusun basis fakta/data o Menyusun basis fakta/data o Melakukan analisis risiko
’business as usual’ mengenai risiko mengenai risiko o Memaparkan opsi-opsi kepada jajaran
• Pembahasan dilakukan o Melakukan analisis risiko o Melakukan analisis risiko manajemen
setidaknya satu kali dalam o Memaparkan opsi-opsi kepada o Memaparkan opsi-opsi kepada • Pembahasan dilakukan setidaknya setiap bulan
setahun jajaran manajemen jajaran manajemen • Strategi yang ada saat ini telah efektif menjaga
• Belum ada keputusan • Pembahasan dilakukan setidaknya • Pembahasan dilakukan setidaknya eksposur risiko agar tetap di level yang
mengenai langkah spesifik setiap triwulan. setiap triwulan diinginkan (misal tidak ditemui bukti mengenai
untuk menangani • Strategi yang ada saat ini telah efektif risiko yang melampaui ambang batasnya)
ketidaksesuaian tersebut menjaga eksposur risiko agar tetap di • Dilakukan penyelarasan antara perusahaan
level yang diinginkan (misal tidak induk dan anak perusahaan/Unit Bisnis untuk
ditemui bukti mengenai risiko yang memastikan bahwa analisis eksposur risiko
melampaui ambang batasnya) telah mencakup seluruh risiko dari anak
perusahaan/Unit Bisnis.
d. 39. Pelaporan • Telah ada pelaporan risiko yang • Pelaporan risiko dilakukan • Pelaporan risiko dilakukan untuk • Pelaporan risiko dilakukan untuk • Pelaporan dilakukan untuk memenuhi
Pelaporan Risiko bersifat ad-hoc, dilatarbelakangi secara rutin (misal laporan memenuhi persyaratan pelaporan memenuhi persyaratan pelaporan persyaratan pelaporan finansial atau pelaporan
Risiko melaporkan oleh peristiwa tertentu (misal triwulanan menunjukkan finansial atau pelaporan yang finansial atau pelaporan yang bersifat yang bersifat legal/kepatuhan
Risiko secara insiden risiko, permintaan audit dengan jelas ambang batas bersifat legal/kepatuhan legal/kepatuhan • Pelaporan dilakukan secara rutin (misal laporan
real-time internal, dsb) risiko yang telah terlampaui) • Pelaporan risiko dilakukan secara • Pelaporan risiko dilakukan secara bulanan menunjukkan dengan jelas ambang
• Pelaporan risiko belum • Pelaporan risiko mencakup rutin (misal laporan triwulanan rutin (misal laporan triwulanan batas risiko yang telah terlampaui) dan
mencakup gap dalam cakupan gap dalam cakupan risiko- menunjukkan dengan jelas ambang menunjukkan dengan jelas ambang dilengkapi dengan rekomendasi tindak lanjut
risiko-risiko utama atau belum risiko utama batas risiko yang telah terlampaui) batas risiko yang telah terlampaui) perbaikan, dan analisis tambahan
menerapkan leading indicator • Penerapan leading indicator • Pelaporan risiko menyertakan dan dilengkapi dengan rekomendasi • Telah ada pelaporan di tingkat Unit Bisnis dan
pada pelaporan risiko. pada pelaporan risiko masih sejumlah leading indicator tindak lanjut perbaikan, dan analisis tingkat grup, termasuk anak perusahaan (jika
terbatas. • Telah ada pelaporan di tingkat Unit tambahan relevan)
• Cakupan pelaporan masih Bisnis dan tingkat grup, termasuk • Telah ada pelaporan di tingkat Unit • Pelaporan risiko mencakup ringkasan semua
dalam tingkat Unit Bisnis anak perusahaan (jika relevan). Bisnis dan tingkat grup, termasuk risiko utama di semua jenis risiko, kejadian-
tertentu. anak perusahaan (jika relevan) kejadian penting dengan analisis pasca
• Pelaporan risiko mencakup kejadian, leading indicator, dan rekomendasi
ringkasan semua risiko utama di yang dapat ditindaklanjuti
semua kategori risiko, kejadian- • Pelaporan dilakukan menggunakan toolkit
kejadian penting dengan analisis otomatis dan hasil pelaporan dapat diakses
pasca kejadian, leading indicator, secara real-time.
dan rekomendasi yang dapat
ditindaklanjuti.
109
Sub Kriteria
Dimensi Parameter
E. Model, data, dan teknologi risiko
a. 40. Model / alat • Belum ada penerapan model • Telah ada beberapa model • Telah ada tim risk model and • Telah ada tim risk model and • Telah ada tim risk model and analytics in-house
Permodelan pemantauan risiko seperti scoring model, risiko, tetapi tidak terintegrasi analytics in-house khusus yang analytics in-house khusus yang khusus yang memiliki kapabilitas Manajemen
dan untuk model Exposure at Default dalam pengambilan memiliki kapabilitas Manajemen Risiko dan kemampuan manajemen model
memiliki kapabilitas Manajemen
Teknologi
menunjang (EAD), model Loss Given Default keputusan Risiko dan kemampuan manajemen Risiko dan kemampuan manajemen khusus di semua tahapan siklus manajemen
Risiko
proses (LGD), atau model pengambilan • Penerapan/adopsi awal model khusus di beberapa tahapan model khusus di semua tahapan model:
Manajemen keputusan kredit lainnya, namun model scoring pada segmen siklus manajemen model: siklus manajemen model: o Pembuatan model
Risiko dan telah ada analisis yang dilakukan pertama (Retail a-score/b- o Pembuatan model o Pembuatan model o Pengembangan model
pengambilan secara ad-hoc seperti analisis score) o Pengembangan model o Pengembangan model o Implementasi model
keputusan metrik keuangan dan analisis • Penerapan/adopsi awal o Implementasi model o Implementasi model o Pemantauan dan validasi model
kualitatif meskipun belum model Exposure at Default o Pemantauan dan validasi model o Pemantauan dan validasi model • Teknik pemodelan risiko yang diterapkan secara
dilakukan standardisasi dan (EAD) dan Loss Given Default • Teknik pemodelan risiko tidak • Teknik pemodelan risiko diterapkan konsisten di seluruh Unit Bisnis/anak
formalisasi cakupan dan (LGD) untuk segmen utama, diterapkan secara konsisten di secara konsisten di seluruh Unit perusahaan (misal SOP, bakat pemodelan, tata
metodologi analisis contohnya Mortgage Loss seluruh Unit Bisnis/anak perusahaan Bisnis, namun belum diterapkan kelola, mandat, dan kapabilitas lainnya yang
• Early Warning System (EWS) Given Default (LGD) dan (misal SOP, bakat pemodelan, tata secara konsisten pada anak dibagikan/diturunkan)
belum ada, namun telah ada Credit Card Exposure at kelola, mandat, dan kapabilitas lain perusahaan (misal SOP, bakat • Digitalisasi dan otomatisasi terhadap
daftar pengawasan/watchlist Default (EAD) yang belum dibagikan/ diturunkan) pemodelan, tata kelola, mandat, dan manajemen model di seluruh siklus hidup model
yang masih bersifat dasar • Penerapan/adopsi awal • Telah ada beberapa model risiko kapabilitas lain yang belum secara menyeluruh, dengan pengembangan
• Proses Manajemen Risiko belum model pengambilan untuk pengambilan keputusan, dibagikan/diturunkan) model, dokumentasi, validasi, dan pelaporan
menerapkan Advanced Analytics keputusan kredit tambahan misalnya: • Manajemen model dilakukan secara yang dikonsolidasikan dalam sistem/ruang kerja
(misal analisis masih dilakukan dalam segmen yang memiliki o Ritel: keputusan diambil manual dan tersebar di beberapa yang terpusat
secara manual) data banyak, contohnya b- berdasarkan model tertentu, misal pemilik risiko tanpa dokumentasi • Model divalidasi secara teratur dan validasi
score yang disesuaikan untuk berdasarkan scoring/Probability yang baik dan sistem penyimpanan terkini tidak lebih dari 1 tahun sebelumnya.
Early Warning System Default (PD) terpusat • Kualitas model baik (misal GINI, semakin tinggi
(EWS)/model pre-screening o UMK: keputusan diambil • Telah menggunakan sejumlah model semakin baik, GINI 70%+ sangat baik)
• Penggunaan Ritel b-score berdasarkan model tertentu risiko untuk pengambilan keputusan • Model penilaian yang digunakan di semua
dan non-bespoke data and o Korporasi: Peringkat merupakan (misal pemantauan Probability of segmen sebagai input untuk underwriting
analytics lainnya untuk input penting dalam menyalurkan Default (PD), Loss Given Default • Model Exposure at Default (EAD) dan Loss
pemantauan pinjaman bagi pengambil (LGD), Exposure at Default (EAD), Given Default (LGD) tersedia untuk semua
• Aplikasi Advanced Analytics keputusan pada tingkat tertentu Early Warning System (EWS); segmen utama, termasuk portofolio khusus
untuk Manajemen Risiko • Model Scoring digunakan di menggunakan model risiko dalam (contohnya low default, private banking)
masih dalam pengembangan sebagian besar segmen yang penagihan misalnya self-repayment, • End-to-end model pengambilan keputusan
memiliki data banyak (Ritel, UMK) model value-at-risk, model pemilihan kredit mencakup seluruh segmen
tetapi tidak diterapkan di segmen strategi) • Penggunaan otomatisasi, sumber data
lainnya. • Model Scoring digunakan di segmen alternatif, dan analitik lanjutan
• Model Loss Given Default (LGD) dan Ritel, UMK dan Komersial, tetapi • Telah ada lebih dari satu implementasi aplikasi
Exposure at Default (EAD) di seluruh Belum ada model internal untuk Advanced Analytics manajemen risiko yang
portofolio Ritel tetapi tidak di segmen portofolio khusus (contohnya FI, telah matang (misal Early Warning
lainnya. NBFI, SL) System/EWS, anti-fraud, penagihan).
• Telah ada beberapa aplikasi model • Model Exposure at Default (EAD) • Model/alat pemantauan menunjang proses
pengambilan keputusan kredit dan Loss Given Default (LGD) Manajemen Risiko dan pengambilan keputusan
110
Sub Kriteria
Dimensi Parameter
tambahan di seluruh segmen Ritel tersedia untuk segmen utama, tetapi dengan baik dan diperkirakan dapat tercermin
dan UMKM, contohnya Early belum ada penyesuaian/cakupan dalam pencapaian target kinerja keuangan/non-
Warning System (EWS) dan untuk portofolio khusus keuangan.
Penagihan • Model kredit untuk memungkinkan
• Telah ada Early Warning System otomatisasi penuh pengambilan
(EWS) untuk Ritel dan UMK. Proses keputusan dalam satu segmen
sepenuhnya terlaksana dan (contohnya underwriting UMK
diterapkan dengan baik termasuk pemeriksaan limit dan
• Telah ada aplikasi Advanced fraud otomatis)
Analytics untuk Manajemen Risiko, • Early Warning System (EWS)
namun masih dalam tahap awal, diterapkan di Ritel, UMK dan
misal terdapat Early Warning Komersial
System (EWS) yang baru • Telah ada aplikasi Advanced
dikembangkan. Analytics untuk Manajemen Risiko
namun dengan tingkat kematangan
berbeda (misal Early Warning
System/EWS telah matang, namun
anti-fraud
41. Sistem Telah ada sistem data terpusat • Telah ada sistem data • Telah ada sistem dan infrastruktur • Telah ada sistem penyimpanan data • Telah ada sistem penyimpanan data risiko
informasi (misal untuk data keuangan) terpusat (misal untuk data data terpusat khusus untuk risiko yang terpusat dan terintegrasi: yang terpusat dan terintegrasi:
Manajemen memuat data yang bisa digunakan keuangan) memuat data yang manajemen risiko dalam tahap awal o Telah ada solusi IT terintegrasi o Telah ada solusi IT terintegrasi (misal alat
Risiko untuk keperluan manajemen risiko, bisa digunakan untuk implementasi/pilot stage (misal alat terkait tata kelola, terkait tata kelola, manajemen risiko, dan
namun belum ada sistem data keperluan manajemen risiko, • Sejumlah Unit Bisnis memiliki sistem manajemen risiko, dan kepatuhan kepatuhan yang digunakan untuk
terpusat khusus untuk manajemen namun belum ada sistem data yang digunakan untuk penyimpanan yang digunakan untuk menunjang menunjang fungsi risiko dan kontrol mulai
risiko terpusat khusus untuk data risiko, namun sistem masih fungsi risiko dan kontrol mulai dari dari penilaian risiko hingga pelaporannya
manajemen risiko belum sepenuhnya terintegrasi/ penilaian risiko hingga (dashboard).
• Sistem data terpusat khusus terpusat pelaporannya (dashboard). o Minim duplikasi/fragmentasi aset TI
untuk manajemen risiko o Minim duplikasi/fragmentasi aset sehingga memungkinkan penerapan
masih dalam tahap TI sehingga memungkinkan arsitektur data risiko secara menyeluruh
perencanaan penerapan arsitektur data risiko • Unit Bisnis memiliki akses untuk sistem yang
• Telah ada sejumlah secara menyeluruh digunakan untuk penyimpanan data risiko, dan
infrastruktur yang dapat • Unit Bisnis memiliki akses untuk telah dikembangkan solusi IT terintegrasi (misal
dimanfaatkan untuk kegiatan sistem yang digunakan untuk alat terkait tata kelola, Manajemen Risiko, dan
manajemen risiko (misal, penyimpanan data risiko, dan telah kepatuhan) yang digunakan untuk menunjang
modul ad-hoc khusus untuk dikembangkan solusi IT terintegrasi fungsi risiko dan kontrol mulai dari penilaian
analisis manajemen risiko ada (misal alat terkait tata kelola, risiko hingga pelaporannya (dashboard)
dalam cakupan sistem lain) Manajemen Risiko, dan kepatuhan) • Solusi IT memuat informasi mengenai eksposur
• Cakupan sistem data sifatnya yang digunakan untuk menunjang risiko, kebijakan dan prosedur Manajemen
masih secara ad-hoc dan fungsi risiko dan kontrol mulai dari Risiko, dan limit risiko
belum melibatkan penilaian risiko hingga pelaporannya • Alat terkait tata kelola, Manajemen Risiko, dan
implementasi di Unit Bisnis (dashboard) kepatuhan menunjang kegiatan pemantauan,
secara menyeluruh
111
Sub Kriteria
Dimensi Parameter
• Solusi IT memuat informasi memberikan wawasan, dan akses informasi
mengenai eksposur risiko, kebijakan secara rutin dan tepat waktu
dan prosedur Manajemen Risiko, dan • Telah ada penggabungan database yang
limit risiko diperbarui secara otomatis dengan Application
• Seluruh sistem yang berada di Programming Interface (API) ke data pihak
masing-masing unit bisnis ketiga, terdapat proses pengumpulan data
terintegrasi dengan sistem informasi eksternal yang sedang berlangsung, serta
manajemen risiko terdapat implikasi temuan analisis data untuk
perbaikan Customer Value Management (CVM)
dan Customer Relationship Management
(CRM).
• Seluruh sistem yang berada di masing-masing
unit bisnis terintegrasi dengan sistem informasi
manajemen risiko
b. 42. Cakupan dan • Data risiko telah ada tetapi hanya • Data risiko telah ada untuk • Data risiko telah ada untuk setiap • Data risiko telah ada untuk setiap • Data risiko telah ada untuk setiap risiko yang
Data Risiko kualitas data tersedia untuk risiko-risiko setiap risiko yang dipantau risiko yang dipantau oleh risiko yang dipantau oleh perusahaan dipantau oleh perusahaan
Risiko tertentu oleh perusahaan perusahaan • Telah ada pengumpulan metrik risiko • Telah ada pengumpulan metrik risiko dari
• Belum ada standardisasi untuk • Belum ada database terpusat • Telah ada pengumpulan metrik risiko dari setiap Unit Bisnis yang telah setiap Unit Bisnis yang telah tersentralisasi di
metode pengumpulan dan dan informasi baru tersedia di dari setiap Unit Bisnis, meskipun tersentralisasi di tingkat pusat formal tingkat pusat formal untuk pengumpulan dan
penyimpanan data risiko tingkat Unit Bisnis belum semua data risiko telah untuk pengumpulan dan penyimpanan data risiko
• Telah ada standardisasi tersentralisasi di tingkat pusat (misal penyimpanan data risiko • Telah ada standardisasi formal untuk metode
informal untuk metode sistem database masih manual) • Telah ada standardisasi formal untuk pengumpulan dan penyimpanan data risiko
pengumpulan dan • Telah ada standardisasi formal untuk metode pengumpulan dan • Data risiko yang dikelola mencakup semua
penyimpanan data risiko metode pengumpulan dan penyimpanan data risiko jenis risiko material perusahaan, termasuk data
• Kualitas data risiko kurang penyimpanan data risiko • Telah ada kerangka pemertahanan untuk risiko kualitatif dan jenis risiko yang akan
baik, belum ada kerangka • Telah ada kerangka pemertahanan kualitas data risiko, evaluasi dan muncul/emerging risk (misal data risiko privasi)
pemertahanan kualitas data kualitas data risiko, namun belum perbaikan dilaksanakan secara rutin • Telah ada kerangka pemertahanan kualitas
risiko seluruhnya dilaksanakan secara (satu kali dalam setahun) oleh data risiko, evaluasi dan perbaikan
rutin pegawai/unit kerja yang bertanggung dilaksanakan secara rutin (lebih dari satu kali
jawab dalam setahun/perbaikan berkelanjutan) oleh
• Telah ada penyimpanan data sentral pegawai/unit kerja yang bertanggung jawab
yang dapat diakses oleh seluruh Unit • Kualitas data risiko sangat baik dan konsisten
Bisnis di seluruh lini perusahaan, ditunjang dengan:
• Data dapat diakses secara real-time o Pelaporan berkala mengenai kontrol kualitas
data secara menyeluruh dan pelaporan
mengenai kekurangan kualitas data
o Jalur eskalasi yang jelas untuk
menyelesaikan masalah terkait data
• Telah ada penyimpanan data sentral yang
dapat diakses oleh seluruh Unit Bisnis
• Data dapat diakses secara real-time
112
Sub Kriteria
Dimensi Parameter
• Perusahaan memanfaatkan teknologi mutakhir
untuk perbaikan kualitas data (misal Artificial
Intelligence/AI untuk pengelolaan data).
C. Parameter dan Kriteria Penilaian Indeks Kematangan Risiko untuk Industri Asuransi
Sub Kriteria
Dimensi Parameter
1. Fase Awal 2. Fase Berkembang 3. Fase Praktik yang Baik (Good 4.Fase Praktik yang Lebih Baik 5.Fase praktik terbaik
(Initial Phase) (Emerging Phase) Practice Phase) (Strong Practice Phase) (Best Practice Phase)
a. Budaya 1. Internalisasi • Belum ada program penanaman • Telah ada program • Telah ada program penanaman • Telah ada program penanaman • Telah ada program penanaman budaya risiko
Risiko budaya Risiko budaya risiko, misal risk awards, penanaman budaya risiko budaya risiko yang sedang dijalankan budaya risiko yang sedang yang sedang dijalankan (misal risk awards,
dalam budaya sosialisasi, risk townhall, dan (misal risk awards, (misal risk awards, sosialisasi risk dijalankan (misal risk awards, sosialisasi, risk townhall, dan sebagainya) dan
perusahaan sebagainya sosialisasi, risk townhall, dan townhall, dan sebagainya) dan sosialisasi, risk townhall, dan terdapat program sadar risiko, saat ini
• Budaya risiko belum tertanam di sebagainya), namun saat ini terdapat program sadar risiko, saat ini sebagainya) dan terdapat program dilakukan secara rutin dan lebih sering (lebih
kegiatan usaha sehari-hari (misal program hanya dilakukan dilakukan secara rutin (satu kali dalam sadar risiko, saat ini dilakukan dari satu kali dalam setahun),
kepemilikan dan tanggung jawab sesekali, tidak rutin atau setahun) secara rutin dan lebih sering (lebih • Tanggung jawab pengembangan budaya
risiko pegawai dan jajaran berkala • Tanggung jawab pengembangan dari satu kali dalam setahun) risiko secara jelas diemban dan tercantum
manajemen belum jelas). • Tanggung jawab budaya risiko secara jelas diemban • Tanggung jawab pengembangan dalam uraian jabatan tidak hanya untuk Lini
Tanggung jawab pengembangan pengembangan budaya risiko oleh Lini Kedua dan sudah tercantum budaya risiko secara jelas diemban Kedua, tetapi juga di semua lini (khususnya
budaya risiko secara tidak diemban oleh Lini Kedua dengan jelas dalam uraian jabatan Lini oleh Lini Kedua dan tercantum yang memegang posisi manajerial)
langsung diemban oleh pegawai namun tidak tercantum Kedua, serta di awasi oleh Direksi dan dalam uraian jabatan Lini Kedua • Direksi berperan aktif untuk mengembangkan
tertentu (misal unit kerja khusus), dengan jelas peran dan Dewan Komisaris. serta di awasi oleh Direksi dan budaya Manajemen Risiko
namun tidak ada keterlibatan Lini tanggung jawab dalam uraian • Direksi berperan aktif untuk Dewan Komisaris • Telah ada evaluasi rutin yang dilakukan
Kedua, Direksi jabatan Lini Kedua mengembangkan budaya Manajemen • Direksi berperan aktif untuk minimal 1 kali per tahun terhadap peningkatan
• Direksi belum berperan aktif • Direksi belum berperan aktif Risiko mengembangkan budaya budaya risiko (misal survei budaya risiko)
untuk mengembangkan budaya untuk mengembangkan Manajemen Risiko termasuk mengumpulkan masukan dari
Manajemen Risiko budaya Manajemen Risiko • Telah ada evaluasi rutin yang pegawai untuk pengembangan program
dilakukan minimal 1 kali per tahun budaya risiko
terhadap peningkatan budaya risiko • Budaya risiko menjadi bagian integral dari
(misal survei budaya risiko) budaya perusahaan. Budaya risiko tercantum
termasuk mengumpulkan masukan pada kebijakan budaya kerja yang
dari pegawai untuk pengembangan disosialisasikan di perusahaan, dan budaya
program budaya risiko ini tertanam di seluruh lini perusahaan dimulai
• Budaya risiko menjadi bagian dengan penegasan dari jajaran manajemen,
integral dari budaya perusahaan. diperkuat dengan langkah nyata (yang juga
Budaya risiko tercantum pada dapat digunakan sebagai kriteria evaluasi
kebijakan budaya kerja yang kinerja pegawai):
disosialisasikan di perusahaan, dan
113
Sub Kriteria
Dimensi Parameter
budaya ini tertanam di seluruh lini o Cepat mengantisipasi potensi risiko dan
perusahaan dimulai dengan menanggapinya dengan tepat
penegasan dari jajaran manajemen, o Menyeimbangkan target jangka pendek
diperkuat dengan langkah nyata dan risiko jangka panjang
(yang juga dapat digunakan sebagai o Pembahasan risiko yang sulit tetap
kriteria evaluasi kinerja pegawai): dilakukan secara konstruktif
o Cepat mengantisipasi potensi o Mendukung pelaksanaan inisiatif
risiko dan menanggapinya dengan Manajemen Risiko dan secara ketat
tepat menerapkan pedoman Manajemen Risiko
o Menyeimbangkan target jangka o Resiliensi (contohnya resiliensi operasional,
pendek dan risiko jangka panjang tanggap merespon peristiwa yang
o Pembahasan risiko yang sulit merugikan, dan sebagainya, dengan
tetap dilakukan secara konstruktif memberi penekanan baik dalam
o Mendukung pelaksanaan inisiatif penyusunan strategi maupun dalam
Manajemen Risiko dan secara pelaksanaannya)
ketat menerapkan pedoman • Telah ada serangkaian sistem penunjang
Manajemen Risiko untuk pelaksanaan dan penanaman program
o Resiliensi (contohnya resiliensi budaya risiko perusahaan, contohnya:
operasional, tanggap merespon o Intranet perusahaan untuk memuat
peristiwa yang merugikan, dan informasi yang dapat diakses mengenai
sebagainya, dengan memberi program budaya risiko dan kebijakan risiko
penekanan baik dalam perusahaan
penyusunan strategi maupun o Tersedia dashboard untuk memantau
dalam pelaksanaannya) metrik yang berkaitan dengan budaya
risiko/program budaya risiko
implementasi program budaya risiko, di
antaranya:
o Bukti perbaikan indikator utama berkaitan
dengan budaya risiko perusahaan, di
antaranya penurunan jumlah kasus
kecurangan internal, korupsi, dan
pelanggaran kode etika pegawai, beserta
penurunan jumlah kerugian dari kasus
pelanggaran tersebut
o Penyelesaian penuh program budaya risiko
bagi pegawai yang telah direncanakan
114
Sub Kriteria
Dimensi Parameter
Kapabilitas 2. Peran • Belum ada Penilaian RMI yang • Telah ada Penilaian RMI • Telah ada Penilaian RMI yang • Telah ada Penilaian RMI yang telah • Telah ada Penilaian RMI yang telah
Risiko Penilaian RMI dilakukan oleh tim Penilai yang dilakukan oleh tim dilakukan oleh tim Penilai Independen diformalisasikan ke dalam kebijakan diformalisasikan ke dalam kebijakan Risiko
dalam upaya Independen dalam 3 tahun Penilai Independen dalam 3 dalam 3 tahun terakhir Risiko perusahaan perusahaan
peningkatan terakhir tahun terakhir • Penilaian RMI dilakukan secara rutin • Penilaian RMI dilakukan secara rutin • Penilaian RMI dilakukan secara rutin (setiap
praktik • Penilaian RMI pernah dilakukan • Penilaian RMI dilakukan (setiap tahun), setidaknya (setiap tahun), dan telah tahun) dan telah dilaksanakan dengan baik di
Manajemen oleh Tim Penilai Internal namun secara rutin (setiap tahun), dilaksanakan untuk level Holding dilaksanakan dengan baik di level level Holding dan setiap anak perusahaan
Risiko tidak dilakukan dengan periode setidaknya dilaksanakan • Penilaian RMI mencakup seluruh Holding dan setiap anak perusahaan (jika relevan)
yang sistematis untuk level Holding Dimensi (budaya dan kapabilitas (jika relevan) • Penilaian RMI mencakup seluruh Dimensi
• Penilaian masih bersifat high- • Penilaian RMI mencakup Risiko, organisasi dan tata kelola • Penilaian RMI mencakup seluruh (budaya dan kapabilitas Risiko, organisasi
level, kajian mendalam belum seluruh Dimensi (budaya dan Risiko, kerangka Risiko dan Dimensi (budaya dan kapabilitas dan tata kelola Risiko, kerangka Risiko dan
dilaksanakan kapabilitas Risiko, organisasi kepatuhan, proses dan kontrol Risiko, Risiko, organisasi dan tata kelola kepatuhan, proses dan kontrol Risiko, serta
dan tata kelola Risiko, serta model, data, dan teknologi Risiko, kerangka Risiko dan model, data, dan teknologi Risiko)
kerangka Risiko dan Risiko) kepatuhan, proses dan kontrol • Telah ada rencana perbaikan atas hasil
kepatuhan, proses dan • Telah ada rencana perbaikan atas Risiko, serta model, data, dan Penilaian RMI dengan tindak lanjut yang jelas
kontrol Risiko, serta model, hasil Penilaian RMI dengan tindak teknologi Risiko) (terdapat inisiatif mendetail dengan
data, dan teknologi Risiko) lanjut yang jelas (terdapat inisiatif • Telah ada rencana perbaikan atas penanggung jawab, lini masa implementasi
• Telah ada rencana perbaikan mendetail dengan penanggung jawab, hasil Penilaian RMI dengan tindak terperinci)
atas hasil Penilaian RMI lini masa implementasi terperinci) lanjut yang jelas (terdapat inisiatif • Telah ada sosialisasi atas hasil Penilaian RMI
dengan tindak lanjut yang • Telah ada sosialisasi atas hasil mendetail dengan penanggung dan pemantauan progres tindak lanjut atas
jelas (terdapat inisiatif Penilaian RMI kepada Direksi dan jawab, lini masa implementasi rekomendasi Penilaian RMI yang
mendetail dengan Dewan Komisaris serta pemangku terperinci) terdokumentasi dengan baik kepada Direksi
penanggung jawab, lini masa kepentingan terkait (misal semua • Telah ada sosialisasi atas hasil dan Dewan Komisaris serta pemangku
implementasi terperinci) personel Manajemen Risiko, beserta Penilaian RMI dan pemantauan kepentingan terkait (misal semua personel
personel Lini Pertama/Lini Ketiga progres tindak lanjut atas Manajemen Risiko, beserta personel Lini
terkait) untuk memperkuat kepemilikan rekomendasi Penilaian RMI yang Pertama/Lini Ketiga terkait) untuk
kematangan Risiko di antara semua terdokumentasi dengan baik kepada memperkuat kepemilikan kematangan Risiko
pihak yang berkepentingan Direksi dan Dewan Komisaris serta di antara semua pihak yang berkepentingan
pemangku kepentingan terkait (misal • Telah ada bukti yang jelas atas kinerja
semua personel Manajemen Risiko, implementasi rekomendasi Penilaian RMI, di
beserta personel Lini Pertama/Lini antaranya:
Ketiga terkait) untuk memperkuat o Peningkatan skor RMI secara year-on-year,
kepemilikan kematangan risiko di baik di level Holding maupun anak
antara semua pihak yang perusahaan (jika relevan)
berkepentingan o Inisiatif dan rencana tindakan perbaikan
• Telah ada bukti yang jelas atas dilaksanakan sepenuhnya (100%) selama
kinerja implementasi rekomendasi periode pelaporan sesuai dengan peta
Penilaian RMI, di antaranya: jalan dan lini masa yang telah disusun
o Peningkatan skor RMI secara o Telah dilakukan verifikasi/audit Penilaian
year-on-year, baik di level Holding RMI oleh pihak independen (misal audit
maupun anak perusahaan (jika internal, atau tinjauan oleh pihak eksternal
relevan) independen) sebagai “check-and-balance”
115
Sub Kriteria
Dimensi Parameter
o Inisiatif dan rencana tindakan untuk meminimalisir potensi bias dalam
perbaikan dilaksanakan lebih dari penilaian
50% selama periode pelaporan
sesuai dengan peta jalan dan lini
masa yang telah disusun
3. Program • Telah ada program peningkatan • Telah ada program • Telah ada program peningkatan • Telah ada program peningkatan • Telah ada program peningkatan keahlian
peningkatan keahlian risiko namun: peningkatan keahlian risiko keahlian risiko keahlian risiko risiko
keahlian Risiko o Program belum diterapkan ke • Program dapat diakses oleh • Program dapat diakses oleh semua • Program dapat diakses oleh semua • Program dapat diakses oleh semua pegawai
seluruh pegawai (misal hanya sebagian besar pegawai pegawai pegawai • Program disesuaikan dengan tingkat
dikhususkan untuk Dewan • Program disesuaikan dengan • Program disesuaikan dengan tingkat • Program disesuaikan dengan tingkat keahlian/jabatan, khususnya untuk personel
Komisaris) sehingga tingkat keahlian pegawai (yang keahlian/jabatan, khususnya untuk keahlian/jabatan, khususnya untuk risiko dan anggota Dewan Komisaris/Direksi
pelatihannya rendah (misal memiliki akses ke pelatihan personel risiko dan anggota Dewan personel risiko dan anggota Dewan • Topik program bersifat komprehensif
program pelatihan risiko hanya ini) Komisaris/Direksi Komisaris/Direksi (mencakup seluruh Dimensi manajemen
diberikan kepada kurang dari • Topik yang dibahas dalam • Topik program bersifat komprehensif • Topik program bersifat komprehensif risiko seperti budaya dan kapabilitas Risiko,
1% total jumlah pegawai) program kemungkinan belum (mencakup seluruh Dimensi (mencakup seluruh Dimensi organisasi dan tata kelola Risiko, kerangka
o Program tidak bersifat komprehensif (misal belum Manajemen Risiko seperti budaya dan manajemen risiko seperti budaya Risiko dan kepatuhan, proses dan kontrol
wajib/rutin (misal hanya mencakup seluruh Dimensi kapabilitas Risiko, organisasi dan tata dan kapabilitas Risiko, organisasi Risiko, serta model, data, dan teknologi
dilakukan secara ad-hoc) manajemen risiko seperti kelola Risiko, kerangka Risiko dan dan tata kelola Risiko, kerangka Risiko)
• Program pelatihan belum budaya dan kapabilitas kepatuhan, proses dan kontrol Risiko, Risiko dan kepatuhan, proses dan • Tingkat kehadiran pelatihan di atas 95% dari
disesuaikan dengan tingkat Risiko, organisasi dan tata serta model, data, dan teknologi Risiko kontrol Risiko, serta model, data, jumlah peserta yang terdaftar
keahlian pegawai kelola Risiko, kerangka Risiko • Tingkat kehadiran pelatihan di atas dan teknologi Risiko) • Program bersifat wajib dan rutin (paling
dan kepatuhan, proses dan 90% dari jumlah peserta yang terdaftar • Tingkat kehadiran pelatihan di atas sedikit satu kali dalam setahun), dan telah
kontrol Risiko, serta model, • Program bersifat wajib dan rutin (paling 95% dari jumlah peserta yang diterapkan sanksi untuk ketidakhadiran
data, dan teknologi Risiko) sedikit satu kali dalam setahun) terdaftar • Kurikulum ditinjau secara rutin dan formal
• Tingkat kehadiran pelatihan • Program belum diperbarui secara rutin • Program bersifat wajib dan rutin berdasarkan kebutuhan pelatihan pegawai,
relatif tinggi di beberapa divisi (misal tidak dilakukan tinjauan setiap (paling sedikit satu kali dalam serta melalui proses pembaruan setiap tahun
saja (misal divisi Manajemen tahunnya) setahun) untuk memastikan kualitasnya dan diperbarui
Risiko) • Kurikulum ditinjau secara rutin dan agar sesuai dengan risiko-risiko utama dan
• Program tidak bersifat formal berdasarkan kebutuhan praktik terbaik Manajemen Risiko (misal terus
wajib/rutin (misal hanya pelatihan pegawai, serta melalui diperbarui dengan standar internasional
dilakukan secara ad-hoc) proses pembaruan setiap tahun terkini)
untuk memastikan kualitasnya dan • Telah ada “feedback-loop”/pengumpulan
diperbarui agar sesuai dengan feedback terdokumentasi dari pegawai yang
risiko-risiko utama dan praktik telah menerima pelatihan risiko, untuk menilai
terbaik Manajemen Risiko (misal manfaat dari pelatihan risiko terhadap
terus diperbarui dengan standar keahlian pegawai dalam menjalankan
internasional terkini) pekerjaannya, serta memberikan masukan
• Telah ada “feedback- untuk pengembangan program pelatihan
loop”/pengumpulan feedback secara berkesinambungan
terdokumentasi dari pegawai yang • Telah dilakukan analisis untuk menilai
telah menerima pelatihan risiko, keberhasilan/ruang perbaikan program,
116
Sub Kriteria
Dimensi Parameter
untuk menilai manfaat dari pelatihan termasuk area-area di mana pegawai belum
risiko terhadap keahlian pegawai menunjukkan kinerja yang baik dan
dalam menjalankan pekerjaannya, membutuhkan pelatihan/tes lebih lanjut pada
serta memberikan masukan untuk siklus pelatihan berikutnya
pengembangan program pelatihan • Perusahaan terus melakukan terobosan
secara berkesinambungan dalam pembelajaran melalui kolaborasi
dengan penyedia program pelatihan
Manajemen Risiko sesuai industri yang
dijalankannya untuk mengedukasi
pegawainya terkait praktik terbaik global
Manajemen Risiko (khususnya untuk pegawai
di jabatan Manajemen penting/personel Unit
Bisnis dan divisi Manajemen Risiko)
implementasi pelatihan risiko, di antaranya:
o Penyelesaian penuh untuk pelatihan wajib
terkait manajemen risiko/ kesadaran risiko
untuk semua pegawai
o Penyelesaian penuh pelatihan risiko
berdasarkan tingkat keahlian/jabatan untuk
pegawai utama, terutama mereka yang
memegang posisi manajerial di Lini
Pertama, Lini Kedua, dan Lini Ketiga
(kebutuhan/keluaran pelatihan terpenuhi)
o Telah ada bukti sanksi yang diterapkan
kepada pegawai yang tidak menyelesaikan
program pelatihan terkait manajemen risiko
yang telah diwajibkan
a. 4. Akuntabilitas • Belum ada fungsi risiko, namun • Telah ada fungsi risiko • Telah ada fungsi risiko khusus dengan • Telah ada fungsi risiko khusus • Telah ada fungsi risiko khusus dengan
Organ organ pengelola telah ada beberapa pegawai terpusat berskala kecil, akuntabilitas perorangan dan cara dengan akuntabilitas perorangan akuntabilitas perorangan dan cara interaksi
Pengelola risiko yang diberi tugas yang berkaitan namun kegiatan Manajemen interaksi yang jelas dengan fungsi dan cara interaksi yang jelas dengan yang jelas dengan fungsi kontrol maupun
Risiko
dengan risiko meskipun secara Risiko sebagian besar kontrol maupun dengan Unit Bisnis fungsi kontrol maupun dengan Unit dengan Unit Bisnis
terdesentralisasi dan belum dilakukan secara • Telah ada Direktur yang bertanggung Bisnis • Telah ada Direktur yang bertanggung jawab
terstruktur (misal terdapat terdesentralisasi (misal jawab atas risiko, sesuai dengan • Telah ada Direktur yang atas risiko, sesuai dengan klasifikasi risiko
pengelola kontrol operasional pengelola risiko dan kegiatan klasifikasi risiko dan komposisi organ bertanggung jawab atas risiko, dan komposisi organ yang diatur dalam
yang memiliki ruang lingkup kerja Manajemen Risiko tersebar di yang diatur dalam Petunjuk Teknis sesuai dengan klasifikasi risiko dan Petunjuk Teknis Komposisi dan Kualifikasi
yang berkaitan dengan risiko di setiap Unit Bisnis) Komposisi dan Kualifikasi Organ komposisi organ yang diatur dalam Organ Pengelola Risiko
Unit Bisnis) • Telah ada Kepala Unit Risiko, Pengelola Risiko Petunjuk Teknis Komposisi dan • Telah ada fungsi Manajemen Risiko dan
• Belum ada Kepala unit Risiko, namun fungsi Manajemen • Telah ada fungsi Manajemen Risiko Kualifikasi Organ Pengelola Risiko kepatuhan independen sebagai Lini Kedua,
namun akuntabilitas untuk Risiko tidak bertanggung dan kepatuhan independen sebagai
117
Sub Kriteria
Dimensi Parameter
beberapa fungsi risiko telah jawab langsung kepada Lini Kedua, dan menjalankan tugasnya • Telah ada fungsi Manajemen Risiko dan menjalankan tugasnya untuk menyusun
dilaksanakan oleh pimpinan lain Direktur yang bertanggung untuk menyusun metodologi dan dan kepatuhan independen sebagai metodologi dan kebijakan Manajemen Risiko
(misal kepala bidang Audit) jawab atas risiko. kebijakan Manajemen Risiko Lini Kedua, dan menjalankan • Fungsi risiko (dengan dukungan dari fungsi
• Fungsi risiko (dengan dukungan dari tugasnya untuk menyusun kepatuhan) memiliki kewenangan untuk
fungsi kepatuhan) memiliki metodologi dan kebijakan menjalankan tanggung jawab utamanya yaitu:
kewenangan untuk menjalankan Manajemen Risiko o Mengidentifikasi risiko
tanggung jawab utamanya yaitu: • Fungsi risiko (dengan dukungan dari o Mengukur risiko
o Mengidentifikasi risiko fungsi kepatuhan) memiliki o Memonitor risiko
o Mengukur risiko kewenangan untuk menjalankan o Mengontrol atau memitigasi risiko
o Memonitor risiko tanggung jawab utamanya yaitu: o Melaporkan eksposur risiko
o Mengontrol atau memitigasi risiko o Mengidentifikasi risiko • Fungsi Assurance bersifat independen dan
o Melaporkan eksposur risiko o Mengukur risiko bertugas untuk memastikan bahwa
• Fungsi Assurance bersifat independen o Memonitor risiko manajemen dan pengendalian risiko
dan bertugas untuk memastikan bahwa o Mengontrol atau memitigasi risiko; dilakukan secara efektif (internal audit)
manajemen dan pengendalian risiko Melaporkan eksposur risiko • Telah ada pimpinan khusus yang
dilakukan secara efektif (internal audit) • Fungsi Assurance bersifat diformalisasikan (di tingkat manajemen) untuk
independen dan bertugas untuk setiap risiko utama (misal pimpinan khusus
memastikan bahwa manajemen dan untuk risiko proyek, risiko strategis, risiko
pengendalian risiko dilakukan secara pasar, dll.) yang selaras antara penanggung
efektif (internal audit) jawab dan konteks bisnisnya.
• Telah ada pimpinan khusus yang • Akuntabilitas Direktorat Risiko disampaikan
diformalisasikan (di tingkat kepada Komite Pemantau Risiko dengan alur
manajemen) untuk setiap risiko pelaporan yang jelas
utama (misal pimpinan khusus untuk • Struktur tata kelola risiko yang jelas untuk
risiko proyek, risiko strategis, risiko setiap Unit Bisnis di bawah payung Grup
pasar, dll.) yang selaras antara (struktur tata kelola disesuaikan untuk risiko-
penanggung jawab dan konteks risiko khusus seperti risiko siber)
bisnisnya • Keefektifan penerapan struktur tata kelola
• Akuntabilitas Direktorat Risiko risiko ditinjau secara berkala (misal setiap
disampaikan kepada Komite tahun) oleh pihak independen (internal atau
Pemantau Risiko dengan alur eksternal) dan ditingkatkan atau disesuaikan
pelaporan yang jelas untuk mencerminkan konteks saat ini (misal
jenis risiko utama yang ditangani,
pertumbuhan/skala bisnis, strategi, dsb.)
optimalisasi struktur tata kelola risiko, di
antaranya: telah dilaksanakan penyesuaian
berkala (misal setiap tahun) struktur
organisasi risiko (beserta penunjukan yang
jelas untuk pimpinan yang bertanggung jawab
atas risiko-risiko utama perusahaan).
118
Sub Kriteria
Dimensi Parameter
5. Tingkat • Belum terpenuhinya • Telah terpenuhinya • Telah terpenuhinya kelengkapan organ • Telah terpenuhinya kelengkapan • Telah terpenuhinya kelengkapan organ
kematangan kelengkapan organ pengelola kelengkapan organ pengelola pengelola risiko sesuai klasifikasi risiko organ pengelola risiko sesuai pengelola risiko sesuai klasifikasi risiko
organ pengelola risiko sesuai klasifikasi risiko risiko sesuai klasifikasi risiko BUMN serta fungsi, tugas, dan klasifikasi risiko BUMN serta fungsi, BUMN serta fungsi, tugas, dan tanggung
risiko BUMN serta fungsi, tugas, dan BUMN serta fungsi, tugas, tanggung jawabnya sudah sesuai tugas, dan tanggung jawabnya jawabnya sudah sesuai sebagaimana
tanggung jawabnya belum dan tanggung jawabnya sebagaimana ketentuan dalam PER- sudah sesuai sebagaimana ketentuan dalam PER-2/MBU/03/ 2023
sesuai sebagaimana ketentuan belum sesuai sebagaimana 2/MBU/03/ 2023 maupun Petunjuk ketentuan dalam PER-2/MBU/03/ maupun Petunjuk Teknis mengenai
dalam PER-2/MBU/03/ 2023 ketentuan dalam PER- Teknis mengenai Komposisi dan 2023 maupun Petunjuk Teknis Komposisi dan Kualifikasi Organ Pengelola
maupun Petunjuk Teknis 2/MBU/03/ 2023 maupun Kualifikasi Organ Pengelola Risiko. mengenai Komposisi dan Kualifikasi Risiko.
mengenai Komposisi dan Petunjuk Teknis mengenai • BUMN telah memiliki proses formal Organ Pengelola Risiko. • BUMN telah memiliki proses formal untuk
Kualifikasi Organ Pengelola Komposisi dan Kualifikasi untuk mengelola risiko yang • BUMN telah memiliki proses formal mengelola risiko yang dituangkan dalam
Risiko Organ Pengelola Risiko dituangkan dalam kebijakan/pedoman untuk mengelola risiko yang kebijakan/pedoman manajemen risiko.
• BUMN belum memiliki proses • BUMN belum memiliki proses manajemen risiko. dituangkan dalam • Fungsi risiko memiliki keterampilan dalam
formal untuk mengelola risiko formal untuk mengelola risiko • Fungsi risiko memiliki keterampilan kebijakan/pedoman manajemen pengendalian dan pemodelan risiko sebagai
yang dituangkan dalam yang dituangkan dalam dalam pengendalian dan pemodelan risiko. dasar pengambilan keputusan berdasarkan
kebijakan/pedoman manajemen kebijakan/ pedoman risiko sebagai dasar pengambilan • Fungsi risiko memiliki keterampilan selera risiko BUMN dan memberikan
risiko. manajemen risiko. keputusan berdasarkan selera risiko dalam pengendalian dan pemodelan kontribusi terhadap kinerja BUMN
• Fungsi risiko memiliki BUMN risiko sebagai dasar pengambilan • Seluruh organ pengelola Risiko telah
keterampilan dalam • Seluruh organ pengelola Risiko telah keputusan berdasarkan selera tersertifikasi Manajemen Risiko lebih dari 1
pengendalian dan pemodelan tersertifikasi Manajemen Risiko, risiko dan memberikan kontribusi sertifikasi
risiko sebagai dasar minimal 1 sertifikasi. terhadap kinerja BUMN • Praktik terbaik tata kelola risiko diterapkan di
pengambilan keputusan tanpa • Seluruh organ pengelola Risiko telah induk dan semua anak perusahaan (jika
mempertimbangkan selera tersertifikasi Manajemen Risiko lebih relevan)
risiko BUMN dari 1 sertifikasi • Keefektifan penerapan struktur tata kelola
risiko ditinjau secara berkala (misal setiap
tahun) oleh pihak independen (internal atau
eksternal), kemudian dilakukan penyesuaian
atau peningkatan untuk mencerminkan
konteks saat ini (misal jenis risiko utama yang
ditangani, pertumbuhan/ skala bisnis, strategi,
dsb.)
b. 6. Keterlibatan aktif • Dewan Komisaris telah terlibat • Dewan Komisaris mengawasi • Dewan Komisaris mengawasi kegiatan • Dewan Komisaris mengawasi • Dewan Komisaris mengawasi kegiatan
Peran dan Dewan pada hal-hal yang berkaitan kegiatan Manajemen Risiko Manajemen Risiko yang bersifat kegiatan Manajemen Risiko yang Manajemen Risiko yang bersifat regulatori
Tanggung Komisaris dalam dengan kepatuhan terhadap yang bersifat regulatori dan regulatori dan dianggap krusial serta bersifat regulatori dan dianggap dan dianggap krusial serta telah ada ambang
Jawab
pengelolaan regulasi, namun masih sedikit dianggap krusial namun telah ada ambang eskalasi yang jelas krusial serta telah ada ambang eskalasi yang jelas dari Direksi/Direktur
Organ
Pengelola Risiko terlibat dalam isu-isu risiko lain belum ada ambang eskalasi dari Direksi/Direktur Utama ke Dewan eskalasi yang jelas dari Utama ke Dewan Komisaris
Risiko • Ruang lingkup keterlibatan Dewan yang jelas dari Komisaris Direksi/Direktur Utama ke Dewan • Ruang lingkup keterlibatan Dewan Komisaris
Komisaris dan Direksi dalam Direksi/Direktur Utama ke • Telah ada ruang lingkup keterlibatan Komisaris dan Direksi dalam Manajemen Risiko dan
Manajemen Risiko belum Dewan Komisaris Dewan Komisaris dan Direksi yang • Ruang lingkup keterlibatan Dewan pedoman pengambilan keputusan dalam
tercantum pada kebijakan • Ruang lingkup keterlibatan terdefinisi dengan baik dalam Komisaris dan Direksi dalam permasalahan risiko utama dengan jelas
Manajemen Risiko, namun telah Dewan Komisaris dan Direksi kebijakan Manajemen Risiko dan Manajemen Risiko dan pedoman tercantum pada kebijakan Manajemen Risiko
tercantum pada kebijakan lain dalam Manajemen Risiko pedoman yang jelas dalam proses pengambilan keputusan dalam
119
Sub Kriteria
Dimensi Parameter
(misal, piagam Dewan tercantum pada kebijakan pengambilan keputusan untuk isu-isu permasalahan risiko utama dengan • Dewan Komisaris menyetujui dan mengawasi
Komisaris/piagam Direksi) Manajemen Risiko, namun risiko utama jelas tercantum pada kebijakan implementasi:
meskipun lingkup keterlibatan belum menjelaskan tanggung • Dewan Komisaris menyetujui sebagian Manajemen Risiko o Kebijakan untuk risiko, Manajemen Risiko,
yang dijelaskan masih kurang jawab tertentu (misal hanya dari poin berikut: • Dewan Komisaris menyetujui dan dan kepatuhan
jelas/terlalu umum. bersifat umum, pernyataan o Kebijakan untuk risiko, manajemen mengawasi implementasi: o Daftar risiko utama
yang mencakup keseluruhan) risiko, dan kepatuhan o Kebijakan untuk risiko, o Kode etik yang menjelaskan perilaku yang
o Daftar risiko utama manajemen risiko, dan kepatuhan tidak dapat diterima
o Kode etik yang menjelaskan o Daftar risiko utama • Dewan Komisaris rutin terlibat pada
perilaku yang tidak dapat diterima o Kode etik yang menjelaskan permasalahan risiko utama selain untuk
• Dewan Komisaris rutin terlibat pada perilaku yang tidak dapat diterima menyetujui rencana bisnis tahunan.
permasalahan risiko utama selain • Dewan Komisaris rutin terlibat pada • Dewan Komisaris secara rutin terlibat dalam
untuk menyetujui rencana bisnis permasalahan risiko utama selain kegiatan sosialisasi risiko di perusahaan
tahunan. untuk menyetujui rencana bisnis (penekanan secara top-down)
tahunan. • Dewan Komisaris efektif dalam mengarahkan
• Dewan Komisaris secara rutin Manajemen Risiko perusahaan ke arah yang
terlibat dalam kegiatan sosialisasi konsisten dengan visi perusahaan, termasuk
risiko di perusahaan (penekanan terlibat secara formal dalam penyusunan
secara top-down) strategi risiko, rencana transformasi ERM,
• Dewan Komisaris efektif dalam dan memastikan bahwa semua keputusan
mengarahkan Manajemen Risiko strategis yang diambil oleh perusahaan
perusahaan ke arah yang konsisten didukung oleh analisis risiko yang memadai
dengan visi perusahaan, termasuk • Telah ada bukti yang jelas atas kinerja
terlibat secara formal dalam keterlibatan aktif Dewan Komisaris, di
penyusunan strategi risiko, rencana antaranya:
transformasi ERM, dan memastikan o Dewan Komisaris telah diikutsertakan
bahwa semua keputusan strategis dalam pengambilan keputusan untuk isu-
yang diambil oleh perusahaan isu yang membutuhkan
didukung oleh analisis risiko yang eskalasi/persetujuan Dewan Komisaris
memadai dalam periode pelaporan (dengan merujuk
ambang batas materialitas yang telah
ditetapkan)
o Dewan Komisaris telah mengambil peran
sekurang-kurangnya dalam satu acara
sosialisasi manajemen risiko Perusahaan.
7. Eskalasi • Sudah ada permasalahan • Dewan Komisaris menangani • Dewan Komisaris menangani eskalasi • Dewan Komisaris membuat • Dewan Komisaris membuat keputusan
permasalahan berkaitan dengan risiko dan eskalasi permasalahan permasalahan bernilai/berdampak keputusan independen dan berbasis independen dan berbasis fakta untuk
kepada Dewan kepatuhan yang dieskalasikan ke bernilai/berdampak besar besar atau memiliki implikasi strategis fakta untuk permasalahan yang permasalahan yang dieskalasikan, misal:
Komisaris/ Dewan Komisaris (misal dalam atau memiliki implikasi yang signifikan dieskalasikan, misal: o Telah ada bukti atau data yang
Dewan hal menangani pemenuhan strategis yang signifikan • Telah ada ambang batas materialitas o Telah ada bukti atau data yang dipresentasikan sebagai bahan
Pengawas persyaratan minimum regulator) • Belum ada kriteria eskalasi atau kriteria yang jelas dari isu-isu dipresentasikan sebagai bahan pertimbangan Dewan Komisaris
meskipun eskalasi tidak yang jelas (hanya terkait risiko atau permasalahan atau pertimbangan Dewan Komisaris
dilakukan secara rutin transaksi yang perlu dieskalasikan ke
120
Sub Kriteria
Dimensi Parameter
• Belum ada kriteria eskalasi berdasarkan penilaian/ Dewan Komisaris dan diformalisasikan o Dewan Komisaris membuat o Dewan Komisaris membuat keputusan
permasalahan berkaitan judgment dari Direksi) dalam kebijakan perusahaan termasuk keputusan berbasis fakta dan berbasis fakta dan terdokumentasi dengan
dengan risiko dan kepatuhan yang memiliki implikasi strategis yang terdokumentasi dengan jelas jelas (misal melalui recording, risalah rapat)
yang jelas dari Direksi ke Dewan signifikan bukan hanya permasalahan (misal melalui recording, risalah o Dewan Komisaris mendasarkan keputusan
Komisaris berdampak/ bernilai besar rapat) dengan membandingkan bukti/fakta yang
o Dewan Komisaris mendasarkan disajikan terhadap kerangka risiko yang
keputusan dengan telah disepakati (misal selera risiko,
membandingkan bukti/fakta yang batasan risiko, kapasitas risiko)
disajikan terhadap kerangka risiko • Telah ada ambang batas materialitas atau
yang telah disepakati (misal selera kriteria yang jelas dari isu-isu terkait risiko
risiko, batasan risiko, kapasitas atau permasalahan atau transaksi yang perlu
risiko) dieskalasikan ke Dewan Komisaris dan
• Telah ada ambang batas diformalisasikan dalam kebijakan perusahaan
materialitas atau kriteria yang jelas termasuk yang memiliki implikasi strategis
dari isu-isu terkait risiko atau yang signifikan bukan hanya permasalahan
permasalahan atau transaksi yang berdampak/bernilai besar
perlu dieskalasikan ke Dewan • Dewan Komisaris tidak menjadi penghambat,
Komisaris dan diformalisasikan misal:
dalam kebijakan perusahaan o Telah ada bukti bahwa Dewan Komisaris
termasuk yang memiliki implikasi merespon dengan cepat dan membuat
strategis yang signifikan bukan keputusan tanpa menghabiskan waktu
hanya permasalahan berdampak/ yang lama saat ada permasalahan yang
bernilai besar dieskalasikan ke tingkat komite
o Dewan Komisaris menyediakan waktu yang
cukup untuk mengatasi masalah risiko yang
dieskalasikan dengan bukti ketidakhadiran
minim saat rapat Dewan Komisaris
diadakan (terutama selama periode krisis)
8. Tingkat • Dewan Komisaris kompeten • Dewan Komisaris kompeten • Sebagian besar Dewan Komisaris • Semua Dewan Komisaris memiliki • Semua Dewan Komisaris memiliki keahlian
pemahaman dalam hal bisnis dan dalam hal bisnis dan memiliki keahlian manajemen risiko keahlian manajemen risiko untuk dan kapabilitas manajemen risiko yang tinggi
Risiko di manajemen, namun memiliki manajemen, namun hanya untuk secara efektif mengawasi secara efektif mengawasi strategi untuk secara efektif mengawasi strategi
jajaran Dewan keahlian manajemen risiko yang sebagian kecil yang memiliki strategi Manajemen Risiko (misal Manajemen Risiko (misal semua Manajemen Risiko (misal semua anggota
Komisaris masih dasar (misal belum ada keahlian manajemen risiko sebagian besar anggota Dewan anggota Dewan Komisaris telah Dewan Komisaris telah mengikuti sertifikasi
Dewan Komisaris yang memiliki (misal beberapa anggota Komisaris memiliki Sertifikasi mengikuti sertifikasi dasar dasar Manajemen Risiko seperti LSPP,
sertifikasi Manajemen Risiko memiliki sertifikasi Manajemen Risiko seperti LSPP, Manajemen Risiko seperti LSPP, BSMR, dan sebagainya) dan paling sedikit
atau memiliki pengalaman Manajemen Risiko, atau BSMR, dan sebagainya) BSMR, dan sebagainya) dan paling terdapat satu anggota Dewan Komisaris yang
Manajemen Risiko di memiliki pengalaman • Program pelatihan keahlian sedikit terdapat satu anggota Dewan memiliki pengalaman Manajemen Risiko di
industrinya) Manajemen Risiko di manajemen risiko bagi Dewan Komisaris yang memiliki industrinya (misal sebelumnya menjabat
• Belum ada rencana program industrinya) Komisaris telah disusun dan pengalaman Manajemen Risiko di sebagai pimpinan bidang Manajemen Risiko)
pelatihan keahlian manajemen • Rencana program pelatihan disesuaikan dengan topik-topik edukasi industrinya (misal sebelumnya • Lebih dari satu anggota Dewan Komisaris
risiko bagi Dewan Komisaris, keahlian manajemen risiko risiko saat ini dan dilaksanakan menjabat sebagai pimpinan bidang yang memiliki pengalaman industri di bidang
namun telah ada program yang bagi Dewan Komisaris telah seluruhnya seperti: Manajemen Risiko)
121
Sub Kriteria
Dimensi Parameter
pernah diikuti secara ad-hoc disusun, namun belum o Pelatihan dan sertifikasi tentang • Program pelatihan keahlian manajemen risiko dan mampu melihat
(misal beberapa anggota dilaksanakan seluruhnya dasar-dasar/prinsip manajemen manajemen risiko bagi Dewan potensi-potensi risiko
Dewan Komisaris pernah risiko Komisaris telah disusun dan • Anggota Dewan Komisaris yang memiliki
menghadiri forum eksekutif o Forum manajemen risiko dengan disesuaikan dengan topik-topik keahlian Manajemen Risiko ditugaskan di
berkaitan dengan topik eksekutif industri lainnya edukasi risiko saat ini dan komite yang tepat (misal anggota yang sangat
manajemen risiko) o Materi tentang risiko berwawasan ke dilaksanakan seluruhnya seperti: berpengalaman ditunjuk menjadi kepala
depan (forward looking) o Pelatihan dan sertifikasi tentang komite risiko dibawah Dewan Komisaris)
o Materi tentang perspektif global dasar-dasar/prinsip manajemen • Program pelatihan keahlian manajemen risiko
manajemen risiko risiko bagi Dewan Komisaris telah disusun dan
• Anggota Dewan Komisaris yang o Forum manajemen risiko dengan disesuaikan dengan topik-topik edukasi risiko
memiliki keahlian Manajemen Risiko eksekutif industri lainnya saat ini dan dilaksanakan seluruhnya,
ditugaskan di komite yang tepat (misal o Materi tentang risiko berwawasan seperti:
anggota yang sangat berpengalaman ke depan (forward looking) o Pelatihan dan sertifikasi tentang dasar-
ditunjuk menjadi kepala komite risiko di o Materi tentang perspektif global dasar/prinsip manajemen risiko
bawah Dewan Komisaris) manajemen risiko o Forum manajemen risiko dengan eksekutif
• Anggota Dewan Komisaris berasal dari • Anggota Dewan Komisaris yang industri lainnya
berbagai latar belakang dan bersifat memiliki keahlian Manajemen Risiko o Materi tentang risiko berwawasan ke depan
independen yang membantu ditugaskan di komite yang tepat (forward looking)
memberikan perspektif independen (misal anggota yang sangat o Materi tentang perspektif global manajemen
• Telah ada komite risiko di bawah berpengalaman ditunjuk menjadi risiko
Dewan Komisaris untuk mengelola kepala komite risiko di bawah Dewan • Anggota Dewan Komisaris berasal dari
Manajemen Risiko di perusahaan Komisaris) berbagai latar belakang dan bersifat
• Telah ada komite risiko di bawah independen yang membantu memberikan
Dewan Komisaris untuk mengelola perspektif independen
Manajemen Risiko di perusahaan • Telah ada komite risiko di bawah Dewan
• Anggota Dewan Komisaris berasal Komisaris untuk mengelola Manajemen
dari berbagai latar belakang dan Risiko di perusahaan
bersifat independen yang membantu • Telah ada bukti yang jelas atas kinerja
memberikan perspektif independen pelatihan untuk Dewan Komisaris, di
• Telah ada bukti yang jelas atas antaranya:
kinerja pelatihan untuk Dewan o Penyelesaian penuh program pelatihan
Komisaris, di antaranya: risiko untuk Dewan Komisaris yang telah
o Penyelesaian sebagian program direncanakan dalam periode pelaporan
pelatihan risiko untuk Dewan o Level keahlian risiko Dewan Komisaris
Komisaris yang telah (misal melalui sertifikasi) dapat
direncanakan dalam periode dipertahankan/ditingkatkan secara year-on-
pelaporan year, termasuk partisipasi Dewan Komisaris
o Level keahlian risiko Dewan dalam program refresher
Komisaris (misal melalui
sertifikasi) belum
dipertahankan/ditingkatkan secara
year-on-year
122
Sub Kriteria
Dimensi Parameter
9. Peran komite- Belum ada komite risiko di bawah • Telah ada komite di bawah • Telah ada komite risiko di bawah • Lebih dari satu komite khusus di • Lebih dari satu komite khusus di bawah
komite di Dewan Komisaris, namun telah ada Dewan Komisaris untuk Dewan Komisaris untuk mengelola bawah Dewan Komisaris (sekurang- Dewan Komisaris (sekurang-kurangnya
bawah Dewan setidaknya 1 (satu) anggota Dewan mengelola hal-hal yang topik Manajemen Risiko di perusahaan kurangnya komite audit, komite komite audit, komite risiko, dan komite tata
Komisaris Komisaris yang bertanggung jawab berkaitan dengan Manajemen o Komite risiko bekerja secara risiko, dan komite tata kelola kelola terintegrasi) dengan tanggung jawab
atas hal-hal yang berkaitan dengan Risiko, namun komite ini tidak independen terpisah dari Komite terintegrasi) dengan tanggung jawab yang jelas:
Manajemen Risiko dikhususkan untuk Dewan Komisaris lainnya yang jelas: o Komite risiko bekerja secara independen
mengawasi topik Manajemen o Tanggung jawab dari setiap komite o Komite risiko bekerja secara terpisah dari Komite Dewan Komisaris
Risiko di perusahaan belum jelas (khususnya dalam independen terpisah dari Komite lainnya
• Permasalahan risiko kritis permasalahan yang berkaitan Dewan Komisaris lainnya o Komite risiko memiliki anggota dari
dikelola oleh Dewan dengan strategi) o Komite risiko memiliki anggota manajemen senior dan tim risiko
Komisaris secara • Rapat komite risiko Dewan Komisaris dari manajemen senior dan tim • Setiap risiko utama organisasi dialokasikan
keseluruhan, tidak ditangani sering kali difokuskan untuk risiko kepada setidaknya 1 sub-komite Dewan
oleh komite khusus memberikan informasi terkini kepada • Adanya tim Audit Khusus, yang Komisaris yang bertanggung jawab atau
anggota komite Dewan Komisaris bertanggung jawab mengawasi dan seluruh Dewan Komisaris
(komunikasi satu arah) terus memonitor risiko-risiko yang • Adanya tim Audit Khusus, yang bertanggung
• Komite risiko Dewan Komisaris berkembang (misal IT audit) untuk jawab mengawasi dan terus memonitor risiko-
dilibatkan setidaknya dua kali dalam mendukung upaya Dewan Komisaris risiko yang berkembang (misal IT audit) untuk
setahun untuk rapat komite risiko dalam melakukan pengawasan mendukung upaya Dewan Komisaris dalam
• Rapat komite risiko Dewan Komisaris melakukan pengawasan
memiliki bukti yang jelas bahwa • Telah ada bukti bahwa komite berinteraksi
anggota komite Dewan Komisaris dengan manajemen secara proaktif (tidak
berperan aktif dalam memberikan menunggu diminta), terutama pada periode di
pengawasan, tantangan, dan arahan mana terdapat peningkatan potensi terjadinya
yang dapat ditindaklanjuti/langkah peristiwa risiko kritis
selanjutnya terhadap isu-isu risiko • Rapat komite risiko Dewan Komisaris memiliki
yang dieskalasi (diskusi dua arah) bukti yang jelas bahwa anggota komite
• Komite risiko Dewan Komisaris Dewan Komisaris berperan aktif dalam
dilibatkan setiap tiga bulan untuk memberikan pengawasan, tantangan, dan
mengikuti rapat komite risiko arahan yang dapat ditindaklanjuti/langkah
selanjutnya terhadap isu-isu risiko yang
dieskalasi (diskusi dua arah)
• Komite risiko Dewan Komisaris dilibatkan
lebih sering dari tiga bulan sekali untuk
mengikuti rapat komite risiko.
10. Pengurusan • Direksi belum terlibat secara • Direksi ikut terlibat secara • Direksi ikut terlibat secara aktif • Direksi ikut terlibat secara aktif • Direksi ikut terlibat secara aktif menyusun
aktif Direksi aktif menyusun kebijakan dan aktif menyusun kebijakan menyusun kebijakan dan strategi menyusun kebijakan dan strategi kebijakan dan strategi manajemen risiko
dalam strategi manajemen risiko dan strategi manajemen manajemen risiko secara manajemen risiko secara secara komprehensif kemudian mengusulkan
pengelolaan secara komprehensif risiko secara komprehensif komprehensif kemudian mengusulkan komprehensif kemudian kebijakan dan strategi tersebut kepada
Risiko • Direksi belum terlibat secara kemudian mengusulkan kebijakan dan strategi tersebut mengusulkan kebijakan dan strategi Dewan Komisaris
aktif menyusun perencanaan kebijakan dan strategi kepada Dewan Komisaris tersebut kepada Dewan Komisaris
Manajemen Risiko yang tersebut kepada Dewan
Komisaris
123
Sub Kriteria
Dimensi Parameter
menjadi satu kesatuan dengan • Direksi terlibat secara aktif • Direksi terlibat secara aktif menyusun • Direksi terlibat secara aktif • Direksi terlibat secara aktif menyusun
RKAP menyusun perencanaan perencanaan Manajemen Risiko yang menyusun perencanaan Manajemen perencanaan Manajemen Risiko yang
• Direksi belum terlibat aktif Manajemen Risiko yang menjadi satu kesatuan dengan RKAP Risiko yang menjadi satu kesatuan menjadi satu kesatuan dengan RKAP
dalam menyusun dan menjadi satu kesatuan • Direksi telah terlibat aktif dalam dengan RKAP • Direksi telah terlibat aktif dalam menyusun
menyampaikan laporan dengan RKAP menyusun dan menyampaikan • Direksi telah terlibat aktif dalam dan menyampaikan laporan Manajemen
Manajemen Risiko • Direksi telah terlibat aktif laporan Manajemen Risiko menyusun dan menyampaikan Risiko
• Ruang lingkup keterlibatan dalam menyusun dan • Telah ada ruang lingkup keterlibatan laporan Manajemen Risiko • Telah ada ruang lingkup keterlibatan Direksi
Direksi dalam Manajemen menyampaikan laporan Direksi yang terdefinisi dengan baik • Telah ada ruang lingkup keterlibatan dalam Manajemen Risiko dan pedoman
Risiko belum tercantum pada Manajemen Risiko dalam kebijakan Manajemen Risiko Direksi dalam Manajemen Risiko pengambilan keputusan dalam permasalahan
kebijakan Manajemen Risiko, • Ruang lingkup keterlibatan dan pedoman yang jelas dalam dan pedoman pengambilan risiko utama dengan jelas tercantum pada
namun telah tercantum pada Direksi dalam Manajemen proses pengambilan keputusan untuk keputusan dalam permasalahan kebijakan Manajemen Risiko
kebijakan lain (misal, piagam Risiko tercantum pada isu-isu risiko utama Risiko utama dengan jelas • Direksi telah secara konsisten melaksanakan
Direksi) meskipun lingkup kebijakan Manajemen • Direksi telah secara konsisten tercantum pada kebijakan kebijakan Manajemen Risiko dalam
keterlibatan yang dijelaskan Risiko, namun belum melaksanakan kebijakan Manajemen Manajemen Risiko menjalankan proses bisnis perusahaan
masih kurang jelas/terlalu menjelaskan tanggung Risiko dalam menjalankan proses • Direksi telah secara konsisten • Direksi melaksanakan kaji ulang secara
umum jawab tertentu (misal hanya bisnis perusahaan melaksanakan kebijakan berkala untuk memastikan ketepatan
• Direksi belum secara konsisten bersifat umum, pernyataan • Direksi melaksanakan kaji ulang Manajemen Risiko dalam kebijakan prosedur Manajemen Risiko serta
melaksanakan kebijakan yang mencakup secara berkala untuk memastikan menjalankan proses bisnis penetapan batasan Risiko (risk limit) dan
Manajemen Risiko dalam keseluruhan) ketepatan kebijakan prosedur perusahaan ambang batas (threshold), kecukupan
menjalankan proses bisnis • Direksi telah secara Manajemen Risiko serta penetapan • Direksi melaksanakan kaji ulang implementasi sistem informasi Manajemen
perusahaan konsisten melaksanakan batasan Risiko (risk limit) dan secara berkala untuk memastikan Risiko yang terintegrasi dengan sistem
• Kaji ulang untuk memastikan kebijakan Manajemen Risiko ambang batas (threshold) serta Ketepatan kebijakan prosedur informasi lainnya, serta memastikan
ketepatan kebijakan dan dalam menjalankan proses terimplementasinya sistem informasi Manajemen Risiko serta penetapan keakuratan metodologi penilaian Risiko
prosedur Manajemen Risiko bisnis perusahaan Manajemen Risiko batasan Risiko (risk limit) dan • Direksi telah memastikan bahwa fungsi
serta penetapan batasan Risiko • Kaji ulang untuk memastikan • Direksi telah memastikan bahwa ambang batas (threshold); Manajemen Risiko telah beroperasi secara
(risk limit) dan ambang batas ketepatan kebijakan fungsi Manajemen Risiko telah kecukupan implementasi sistem independen
(threshold) belum dilakukan prosedur Manajemen Risiko beroperasi secara independen informasi Manajemen Risiko, serta • Direksi memonitor dan memastikan
secara berkala serta penetapan batasan memastikan keakuratan metodologi pelaksanaan penanganan Risiko utama
Risiko (risk limit) dan penilaian Risiko perusahaan berjalan sesuai rencana
ambang batas (threshold) • Direksi telah memastikan bahwa • Direksi telah menerapkan Manajemen Risiko
serta kecukupan fungsi Manajemen Risiko telah dalam setiap pengambilan keputusan
implementasi sistem beroperasi secara independen
informasi Manajemen Risiko, • Direksi memonitor dan memastikan
belum dilakukan secara pelaksanaan penanganan Risiko
berkala utama perusahaan berjalan sesuai
rencana
11. Mandat, Telah ada mandat secara informal • Fungsi Risiko memiliki • Fungsi Risiko memiliki mandat yang • Mandat fungsi Risiko didefinisikan • Mandat fungsi Risiko didefinisikan dengan
wewenang, bagi beberapa pegawai/jajaran mandat dan kewenangan jelas dan tercantum dalam kerangka dengan jelas dan tercantum dalam jelas dan tercantum dalam kerangka
dan pimpinan utama untuk memantau formal untuk menjalankan kebijakan kerangka kebijakan dan kebijakan dan dikomunikasikan ke seluruh
independensi Risiko, namun belum dilaksanakan tanggung jawab intinya. • Independensi dan kapabilitas staf dikomunikasikan ke seluruh pegawai pegawai
fungsi secara independen (misal pegawai Namun terdapat ambiguitas Risiko dipastikan dengan pelatihan
Manajemen yang ditunjuk untuk melakukan
124
Sub Kriteria
Dimensi Parameter
Risiko untuk tugas pemantauan Risiko di Unit antara peran fungsi Risiko yang berkelanjutan dan kapasitas yang • Telah ada bukti bahwa perusahaan • Telah ada bukti bahwa perusahaan
memantau Bisnis juga bertanggung jawab pusat dengan fungsi Risiko memadai melakukan tinjauan secara berkala melakukan tinjauan secara berkala (misal
semua Risiko untuk penjualan) Unit Bisnis (misal beberapa • Fungsi Risiko sepenuhnya terintegrasi untuk memastikan apakah mandat, setiap tahun) apakah mandat, kerangka kerja,
sumber daya/pegawai ke semua proses bisnis utama kerangka kerja, kebijakan/ prosedur kebijakan/prosedur Risiko yang diturunkan
bertugas di keduanya). Selain Risiko yang diturunkan dari fungsi dari fungsi Risiko pusat telah
itu, terdapat ambiguitas Risiko pusat telah diimplementasikan dengan baik ke seluruh lini
terkait keputusan kontrol diimplementasikan dengan baik ke perusahaan (termasuk Unit Bisnis/anak
antara Risiko dan Unit Bisnis seluruh lini perusahaan (termasuk perusahaan)
• Fungsi Risiko pusat bersifat Unit Bisnis/anak perusahaan) • Fungsi Risiko melapor ke Dewan Komisaris.
independen hanya dalam • Fungsi Risiko melapor ke Dewan • Telah ada pemisahan yang jelas antara peran
struktur organisasi dan jalur Komisaris fungsi Risiko pusat dan fungsi Risiko Unit
pelaporan, namun dalam • Telah ada pemisahan yang jelas Bisnis
pelaksanaannya fungsi Risiko antara peran fungsi Risiko pusat dan • Telah ada independensi organisasi antara
tidak independen di semua fungsi Risiko Unit Bisnis fungsi Risiko dan Unit Bisnis yang kegiatan
tingkatan • Telah ada independensi organisasi dan eksposurnya ditinjau
antara fungsi Risiko dan Unit Bisnis • Fungsi Risiko (dengan dukungan dari fungsi
yang kegiatan dan eksposurnya kepatuhan) memiliki kewenangan untuk
ditinjau menjalankan tanggung jawab intinya:
• Fungsi Risiko (dengan dukungan o Mengidentifikasi Risiko
dari fungsi kepatuhan) memiliki o Mengukur Risiko
kewenangan untuk menjalankan o Memonitor Risiko
tanggung jawab intinya: o Mengontrol atau memitigasi Risiko
o Mengidentifikasi Risiko o Melaporkan eksposur Risiko
o Mengukur Risiko • Fungsi Risiko berperan lebih dengan
o Memonitor Risiko bertindak sebagai thought partner untuk
o Mengontrol atau memitigasi Risiko membahas masalah Risiko dengan Unit
o Melaporkan eksposur Risiko Bisnis (misal Risiko terlibat dalam
• Fungsi Risiko menerima pelatihan penyusunan keputusan-keputusan strategi
khusus (contohnya risiko perubahan bisnis penting). Unit Bisnis sepenuhnya
iklim, Advanced Analytics dsb) menyepakati peran dan tanggung jawab
jabatan tersebut
• Fungsi Risiko bekerja sebagai mitra bagi Lini
Pertama yang mampu memberikan masukan
konstruktif kepada Unit Bisnis
12. Efektivitas • Penilaian Risiko telah dilakukan, • Telah ada pengelola Risiko • Telah ada tim sentral yang khusus • Telah ada tim sentral khusus yang • Telah ada tim sentral khusus dengan risk
fungsi namun oleh pegawai/tim yang khusus dalam fungsi berfokus pada strategi transversal dan didukung oleh berbagai inisiatif dari ambassador atau terdapat dukungan inisiatif
pengelola tidak secara khusus menangani keuangan, audit atau terkonsolidasi (misal isu Risiko yang Unit Bisnis (misal risk ambassador di risiko dari setiap Unit Bisnis yang memberikan
risiko dalam Manajemen Risiko kepatuhan namun belum ada beririsan antara Unit Bisnis dan/atau tingkat Unit Bisnis) yang komentar atau masukan secara efektif
menjalankan • Dilakukan penilaian Risiko pemisahan peran yang jelas anak perusahaan) memberikan komentar atau sebagai Lini Kedua bagi Unit Bisnis
tugasnya secara backward-looking, namun antara risiko dan fungsi • Tim sentral memberikan standar dan masukan secara efektif sebagai Lini • Tim sentral memberikan standar dan
hanya dikhususkan untuk Risiko perusahaan lainnya pedoman Manajemen Risiko untuk Kedua bagi unit bisnis pedoman Manajemen Risiko untuk
125
Sub Kriteria
Dimensi Parameter
khusus/kasus khusus tertentu • Dilakukan penilaian Risiko perusahaan, namun masih sebagian • Tim sentral memberikan standar dan perusahaan secara independen, difasilitasi
(misal hanya risiko proyek saja) secara backward-looking besar difasilitasi oleh pihak eksternal pedoman Manajemen Risiko untuk oleh pihak eksternal (misal konsultan) hanya
untuk membantu (misal konsultan) perusahaan secara independen, untuk topik-topik khusus
mengidentifikasi dan menilai • Dilakukan penilaian Risiko secara difasilitasi oleh pihak eksternal • Dilakukan penilaian risiko secara forward-
Risiko (tidak hanya Risiko backward-looking untuk membantu (misal konsultan) hanya untuk topik- looking dan memberikan wawasan mengenai
khusus/kasus khusus mengidentifikasi dan menilai risiko topik khusus proyeksi risiko ke depan secara rutin (misal
tertentu), namun penilaian secara rutin dan mengikuti standar • Dilakukan penilaian Risiko secara secara kualitatif dan kuantitatif
masih tidak rutin dan yang telah ditetapkan forward-looking dan memberikan mengidentifikasi risiko-risiko utama yang akan
dilakukan secara ad-hoc wawasan mengenai proyeksi Risiko dihadapi perusahaan di tahun berikutnya
ke depan untuk membantu untuk setiap Unit Bisnis dan untuk
mengidentifikasi dan menilai risiko perusahaan secara umum) dan mengikuti
secara rutin dan mengikuti standar standar yang telah ditetapkan
yang telah ditetapkan, namun • Penilaian Risiko dengan efektif melibatkan
penilaian masih terlalu bergantung Unit Bisnis sebagai Lini Pertama, sehingga
dengan tim sentral risiko (sedikit proses tidak terlalu bergantung dengan tim
melibatkan Unit Bisnis) sentral risiko (fungsi tim sentral risiko mampu
menjalankan tugasnya dengan lebih efektif
sebagai penilai risiko secara integrasi).
c. 13. Model Tata • Model Tata Kelola Risiko Tiga • Model Tata Kelola Risiko Tiga • Penerapan Model Tata Kelola Tiga Lini • Telah ada Model Tata Kelola Risiko • Telah ada Model Tata Kelola Risiko Tiga Lini
Model Tata Kelola Risiko Lini belum sepenuhnya Lini telah diformalkan dalam telah tertuang dengan jelas dalam Tiga Lini, dengan peran dan dengan peran dan tanggung jawab yang jelas
Kelola Tiga Lini diformalkan dalam struktur struktur organisasi bentuk kebijakan Perusahaan tanggung jawab yang jelas dan tepat dan tepat pada jabatan tersebut yang
Risiko Tiga
organisasi (misal tidak perusahaan (misal • Telah ada Model Tata Kelola Risiko pada jabatan tersebut yang dijalankan oleh setiap pihak untuk
Lini dan
Tata Kelola didokumentasikan dalam bentuk didokumentasikan dalam Tiga Lini, dengan peran dan tanggung dijalankan oleh setiap pihak untuk memastikan independensi dan objektivitas
Risiko kebijakan perusahaan) bentuk kebijakan jawab yang jelas dan tepat pada memastikan independensi dan • Unit Bisnis secara langsung mengidentifikasi
Terintegrasi • Penerapan Model Tata Kelola perusahaan), namun masih jabatan tersebut yang dijalankan oleh objektivitas dan mengelola risiko dalam proses bisnis
Tiga Lini belum secara jelas ada tumpang tindih peran dan setiap pihak untuk memastikan • Unit Bisnis secara langsung sebagai Lini Pertama
tertuang dalam bentuk kebijakan tanggung jawab pada jabatan independensi dan objektivitas mengidentifikasi dan mengelola • Setiap Lini sepenuhnya menjalankan
Perusahaan tersebut • Unit Bisnis secara langsung risiko dalam proses bisnis sebagai perannya;
• Belum ada tanggung jawab mengidentifikasi dan mengelola risiko Lini Pertama • Self-assurance/self-checking dilakukan di Lini
risiko yang jelas dari Unit dalam proses bisnis sebagai Lini • Setiap Lini sepenuhnya menjalankan Pertama
Bisnis sebagai Lini Pertama, Pertama perannya • Telah ada bukti bahwa keefektifan tiga lini
masih sangat bergantung • Setiap Lini sepenuhnya menjalankan • Self-assurance/self-checking diuji secara berkala untuk mengetahui adanya
pada Lini Kedua dan Lini perannya dan bertanggung jawab dilakukan di Lini Pertama kesenjangan, duplikasi, atau
Ketiga untuk mengelola risiko penuh • Telah ada bukti bahwa keefektifan ketidakkonsistenan dalam peran dan
• Self-assurance/self-checking dilakukan Tata Kelola Risiko Tiga Lini diuji tanggung jawab guna memastikan
di Lini Pertama secara berkala untuk mengetahui optimalisasi penerapannya
adanya kesenjangan, duplikasi, atau • Setiap unit di seluruh Lini tidak beroperasi
ketidakkonsistenan dalam peran dan sendiri-sendiri, tetapi secara berkala
tanggung jawab guna memastikan mendiskusikan dan menguji setiap upaya
optimalisasi penerapannya perbaikan berkelanjutan (terdapat
bukti/dokumentasi komunikasi)
126
Sub Kriteria
Dimensi Parameter
implementasi Model Tata Kelola Risiko Tiga
Lini, di antaranya: telah dilaksanakan
terhadap struktur organisasi Model Tata
Kelola Risiko Tiga Lini berdasarkan tinjauan
rutin (termasuk pengurangan duplikasi
tanggung jawab, dan penyempurnaan
penerapan Model Tata Kelola Risiko Tiga Lini
di fungsi penunjang), terutama terlibat dalam
mempertimbangkan dampak dari transformasi
perusahaan yang sedang berlangsung (jika
ada) terhadap desain Model Tata Kelola
Risiko Tiga Lini.
14. Peran dan • Kepemilikan beberapa risiko • Perusahaan memiliki • Perusahaan sudah menetapkan • Setiap risiko dievaluasi oleh pemilik • Setiap risiko dievaluasi oleh pemilik risiko
fungsi Lini dalam perusahaan belum pemahaman mengenai penanggung jawab dan pemilik risiko risiko berdasarkan alur proses bisnis berdasarkan alur proses bisnis beserta faktor-
Pertama ditentukan penanggung jawab dan (terdokumentasi secara formal dan beserta faktor-faktor yang faktor yang mempengaruhinya.
• Identifikasi risiko masih dilakukan kepemilikan risiko, tetapi telah ada kesamaan pemahaman dari mempengaruhinya. • Telah ada dokumentasi keputusan
oleh Lini Kedua bersifat ad-hoc, dan belum manajemen senior mengenai risiko • Telah ada dokumentasi keputusan manajemen senior mengenai risiko yang akan
• Penanggung jawab risiko secara ada keputusan formal (belum yang akan ditanggung oleh Direksi mengenai risiko yang akan ditanggung oleh perusahaan/Unit Bisnis
tidak langsung sudah diemban terdokumentasi) perusahaan/Unit Bisnis), khususnya ditanggung oleh perusahaan/unit • Unit Bisnis secara langsung mengidentifikasi
oleh unit kerja tertentu, namun • Identifikasi risiko dilakukan untuk risiko-risiko yang akan muncul Bisnis dan mengelola risiko dalam proses bisnis
masih kurang optimal (misal oleh Lini Pertama (emerging risk) atau risiko yang baru • Unit Bisnis secara langsung sebagai Lini Pertama.
kepemilikan risiko diemban oleh • Masih terdapat kesulitan ditambahkan ke taksonomi risiko mengidentifikasi dan mengelola • Lini Pertama telah memperhatikan kebijakan
bidang audit/kontrol/ kepatuhan) dalam mengarahkan Lini perusahaan risiko dalam proses bisnis sebagai risiko dalam penetapan target/sasaran unit
Pertama agar patuh terhadap • Perusahaan memiliki kesadaran akan Lini Pertama kerja dan terdapat KPI risiko di Lini Pertama
prosedur risiko kepemilikan risiko atas mitra dan • Lini Pertama telah memperhatikan • Kepemilikan risiko dipahami dengan baik dan
kompetitor yang berada dalam rantai kebijakan risiko dalam penetapan mempengaruhi keputusan penting (misal
nilai Perusahaan. target/ sasaran unit kerja dan keputusan strategis mempertimbangkan input
• Lini Pertama telah memperhatikan terdapat KPI risiko di Lini Pertama kritis dari personel manajemen yang
kebijakan risiko dalam penetapan • Kepemilikan kuat risiko oleh Lini bertanggung jawab atas risiko tersebut)
target/sasaran unit Pertama namun diperkirakan masih • Lini Pertama menjadi pemilik penuh risiko dan
bergantung pada Lini 2 (kepemilikan kontrol relevan di lini yang diemban.
risiko belum sepenuhnya efektif) • Telah ada otomatisasi kontrol
15. Peran dan • Risiko utama belum tetapkan • Telah ada dan ditetapkannya • Telah ada dan ditetapkannya risiko • Telah dilakukan pemantauan risiko • Telah dilakukan pemantauan risiko utama
fungsi Lini secara formal risiko utama perusahaan yang utama perusahaan yang dimonitor dan utama oleh lini kedua yang oleh lini kedua yang menyebabkan kinerja
Kedua • Pengelolaan dan tanggung jawab dimonitor dan direviu oleh unit direviu oleh unit risiko dan dilaporkan menyebabkan tercapainya kinerja perusahaan tercapai melebihi target.
risiko masih dilakukan oleh Lini risiko. secara periodik ke Direksi. perusahaan. • Unit Risiko mereviu dan memantau profil
Kedua Risiko, peta Risiko, realisasi perhitungan
127
Sub Kriteria
Dimensi Parameter
• Beberapa risiko perusahaan di Lini • Unit Risiko mereviu dan • Unit Risiko mereviu dan memantau • Unit Risiko mereviu dan memantau Risiko inheren dan Risiko residual, dan
Pertama sudah dianalisis oleh Lini memantau profil Risiko, peta profil Risiko, peta Risiko, realisasi profil Risiko, peta Risiko, realisasi realisasi pelaksanaan perlakuan Risiko dan
Kedua secara informal, namun Risiko, realisasi perhitungan perhitungan Risiko inheren dan Risiko perhitungan Risiko inheren dan biaya agar sesuai dengan target
belum ada hasil analisis yang Risiko inheren dan Risiko residual, dan realisasi pelaksanaan Risiko residual, dan realisasi penyelesaian, memberi tanggapan secara
memadai residual, dan realisasi perlakuan Risiko dan biaya agar sesuai pelaksanaan perlakuan Risiko dan formal. Lini Kedua menerapkan apresiasi dan
• Lini Kedua melakukan tindak pelaksanaan perlakuan Risiko dengan target penyelesaian dan biaya agar sesuai dengan target hukuman kepada Lini Pertama dalam
lanjut terhadap temuan dan dan biaya agar sesuai dengan memberi tanggapan secara formal penyelesaian, memberi tanggapan pengelolaan risiko.
rekomendasi hasil audit eksternal target penyelesaian • Lini Kedua melakukan internal control secara formal. Lini Kedua • Lini Kedua melakukan internal control testing
maupun internal terkait • Lini Kedua melakukan internal testing dan stress testing secara menerapkan apresiasi dan hukuman dan stress testing secara berkala
manajemen risiko dan hanya control testing dan stress berkala kepada Lini Pertama dalam • Lini Kedua menyampaikan risiko utama dan
sebagian tindaklanjut yang sudah testing namun belum dilakukan • Lini Kedua menyampaikan risiko utama pengelolaan risiko. rekomendasi kepada Lini Ketiga sebagai
sesuai dengan target secara berkala dan rekomendasi kepada Lini Ketiga • Lini Kedua melakukan internal bahan penyusunan rencana audit tahunan
penyelesaian • Lini Kedua melakukan tindak sebagai bahan penyusunan rencana control testing dan stress testing • Lini Kedua melakukan tindak lanjut terhadap
lanjut terhadap temuan dan audit tahunan secara berkala temuan dan rekomendasi hasil audit eksternal
rekomendasi hasil audit • Lini Kedua melakukan tindak lanjut • Lini Kedua menyampaikan risiko maupun internal terkait manajemen risiko
eksternal maupun internal terhadap temuan dan rekomendasi utama dan rekomendasi kepada Lini yang secara keseluruhan sudah sesuai target
terkait manajemen risiko dan hasil audit eksternal maupun internal Ketiga sebagai bahan penyusunan penyelesaian yang diberikan
mayoritas tindaklanjut sudah terkait manajemen risiko yang secara rencana audit tahunan • Lini Kedua menyusun laporan manajemen
sesuai dengan target keseluruhan sudah sesuai target • Lini Kedua melakukan tindak lanjut risiko secara bulanan kepada Direksi
penyelesaian. penyelesaian yang diberikan. terhadap temuan dan rekomendasi • Lini Kedua memastikan tindak lanjut
• Lini Kedua menyusun laporan hasil audit eksternal maupun internal penyelesaian perbaikan dari RMI untuk dapat
manajemen risiko secara triwulanan terkait manajemen risiko yang diselesaikan pada unit kerja.
kepada Direksi secara keseluruhan sudah sesuai
target penyelesaian yang diberikan.
• Lini Kedua menyusun laporan
manajemen risiko secara triwulanan
kepada Direksi
16. Peran dan • Tidak terdapat piagam audit • Telah terdapat piagam Audit • Telah terdapat piagam audit intern dan • Telah terdapat piagam audit intern • Telah terdapat piagam audit intern dan
fungsi Lini intern Intern namun belum dilakukan pengkajian terhadap piagam dan dilakukan pengkajian terhadap dilakukan pengkajian terhadap piagam
Ketiga • Prosedur dalam memastikan tata dilakukan pengkajian tersebut secara periodik piagam tersebut secara periodik tersebut secara periodik
kelola dan pengendalian risiko terhadap piagam tersebut • Dilakukan pengkajian terhadap • Dilakukan pengkajian terhadap • Dilakukan pengkajian terhadap prosedur yang
belum lengkap secara periodik prosedur yang berkaitan dengan tata prosedur yang berkaitan dengan tata berkaitan dengan tata kelola dan
• Terdapat rencana audit tahunan • Terdapat prosedur yang jelas kelola dan pengendalian risiko seperti kelola dan pengendalian risiko pengendalian risiko secara periodik
dan alokasi anggaran namun dalam memastikan tata kelola internal control testing secara periodik secara periodik • Terdapat rencana audit tahunan yang
belum berbasis risiko, untuk dan pengendalian risiko • Terdapat rencana audit tahunan yang • Terdapat rencana audit tahunan berbasis risiko dan alokasi anggaran untuk
pelaksanaan fungsi pengawasan seperti internal control testing berbasis risiko dan alokasi anggaran yang berbasis risiko dan alokasi pelaksanaan fungsi pengawasan intern
intern namun belum dilakukan untuk pelaksanaan fungsi pengawasan anggaran untuk pelaksanaan fungsi • Pelaksanaan pengawasan intern secara aktif
• Pelaksanaan pengawasan intern pengkajian secara periodik intern pengawasan intern dilaksanakan sesuai dengan rencana audit
belum sesuai rencana audit • Terdapat rencana audit • Lini Ketiga memastikan pelaksanaan • Pelaksanaan pengawasan intern tahunan, memastikan auditee menyusun
tahunan tahunan dan alokasi pengawasan intern sesuai dengan secara aktif dilaksanakan sesuai rencana tindakan perbaikan yang dapat
anggaran namun belum rencana dan memastikan auditee dengan rencana audit tahunan,
128
Sub Kriteria
Dimensi Parameter
• Belum dilakukan evaluasi atas berbasis risiko, untuk menyusun rencana tindakan perbaikan memastikan auditee menyusun menjawab temuan/rekomendasi dan tidak
efektivitas pelaksanaan pelaksanaan fungsi yang dapat menjawab temuan/ rencana tindakan perbaikan yang terdapat temuan berulang.
pengendalian intern/ manajemen pengawasan intern rekomendasi. dapat menjawab temuan/ • Rekomendasi perbaikan atas hasil evaluasi
risiko/proses tata kelola • Lini Ketiga memastikan • Rekomendasi perbaikan atas hasil rekomendasi, dan berkurangnya efektivitas pelaksanaan pengendalian intern,
perusahaan sesuai dengan pelaksanaan pengawasan evaluasi efektivitas pelaksanaan jumlah temuan manajemen risiko, dan proses tata kelola
peraturan perundang-undangan intern sesuai dengan rencana pengendalian intern, manajemen • Rekomendasi perbaikan atas hasil perusahaan telah dijalankan seluruhnya
dan kebijakan perusahaan. audit tahunan. risiko, dan proses tata kelola evaluasi efektivitas pelaksanaan (100%) oleh manajemen
• SPI BUMN induk menyelaraskan • Rekomendasi perbaikan atas perusahaan telah dijalankan sebagian pengendalian intern, manajemen • SPI BUMN Induk menentukan strategi
strategi pelaksanaan Audit Intern hasil evaluasi efektivitas besar (>50%) oleh manajemen risiko, dan proses tata kelola pelaksanaan Audit Intern Anak Perusahaan
Anak Perusahaan BUMN dengan pelaksanaan pengendalian • Lini Ketiga melakukan evaluasi atas perusahaan telah dijalankan hampir BUMN, merumuskan prinsip Audit Intern yang
strategi audit di BUMN Induk (jika intern, manajemen risiko, dan efektivitas pelaksanaan pengendalian seluruhnya (>90%) oleh manajemen mencakup metodologi audit dan langkah
relevan) proses tata kelola intern, manajemen risiko, dan proses • SPI BUMN Induk menentukan pelaksanaan pengendalian mutu, serta
perusahaan telah dijalankan tata kelola perusahaan, sesuai dengan strategi pelaksanaan Audit Intern memantau pelaksanaan Audit Intern pada
sebagian (<50%) oleh peraturan perundang-undangan dan Anak Perusahaan BUMN, masing-masing Anak Perusahaan BUMN (jika
manajemen kebijakan perusahaan. merumuskan prinsip Audit Intern relevan).
• Lini Ketiga melakukan • SPI BUMN Induk menentukan strategi yang mencakup metodologi audit
evaluasi atas efektivitas pelaksanaan Audit Intern Anak dan langkah pelaksanaan
pelaksanaan pengendalian Perusahaan BUMN, merumuskan pengendalian mutu, serta memantau
intern, manajemen risiko, dan prinsip Audit Intern yang mencakup pelaksanaan Audit Intern pada
proses tata kelola metodologi audit dan langkah masing-masing Anak Perusahaan
perusahaan, sesuai dengan pelaksanaan pengendalian mutu, serta BUMN (jika relevan).
peraturan perundang- memantau pelaksanaan Audit Intern
undangan dan kebijakan pada masing-masing Anak
perusahaan. Perusahaan BUMN (jika relevan).
• SPI BUMN Induk
menyelaraskan strategi
pelaksanaan Audit Intern
Anak Perusahaan BUMN
dengan strategi audit di
BUMN Induk serta
merumuskan prinsip Audit
Intern yang mencakup
metodologi audit (jika
relevan).
17. Interaksi antara Assurance dan Risiko dilaksanakan Tanggung jawab antara • Assurance dan Risiko merupakan dua • Assurance dan Risiko merupakan • Assurance dan Risiko merupakan dua tim
fungsi Risiko oleh tim yang sama/tidak terpisah Assurance dan Risiko bersifat tim terpisah dengan tanggung jawab dua tim terpisah dengan tanggung terpisah dengan tanggung jawab yang
dan Assurance (misal Risiko bagian dari umum dan sebagian besar yang terpisah dan terdefinisi dengan jawab yang terpisah dan terdefinisi terpisah dan terdefinisi dengan jelas
(kepatuhan, Assurance) tumpang tindih, atau Assurance jelas dengan jelas • Fungsi Assurance tidak terlibat dalam
legal, audit) dan Risiko merupakan dua tim • Fungsi Assurance tidak terlibat dalam • Fungsi Assurance tidak terlibat penyusunan atau penerapan proses
terpisah, namun di beberapa penyusunan atau penerapan proses dalam penyusunan atau penerapan Manajemen Risiko atau mengelola risiko,
bagian masih terdapat tumpang Manajemen Risiko atau mengelola proses Manajemen Risiko atau sebaliknya, mereka memastikan bahwa setiap
tindih tanggung jawab (misal risiko; sebaliknya, mereka memastikan mengelola risiko, sebaliknya, mereka
129
Sub Kriteria
Dimensi Parameter
Audit terlibat dalam penyusunan bahwa setiap risiko telah dievaluasi, memastikan bahwa setiap risiko risiko telah dievaluasi, dimonitor, dan
proses Manajemen Risiko) dimonitor, dan dilaporkan dengan telah dievaluasi, dimonitor, dan dilaporkan dengan tepat
tepat. dilaporkan dengan tepat • Fungsi Assurance bersifat independen dan
• Fungsi Assurance bersifat independen • Fungsi Assurance bersifat bertugas untuk memastikan bahwa
dan bertugas untuk memastikan independen dan bertugas untuk manajemen dan kontrol risiko dilakukan
bahwa manajemen dan kontrol risiko memastikan bahwa manajemen dan secara efektif (internal audit)
dilakukan secara efektif (internal audit). kontrol risiko dilakukan secara efektif • Fungsi Assurance secara efektif melakukan
(internal audit). tugasnya sebagai lini terakhir terhadap
• Fungsi Assurance secara efektif pengelolaan risiko (misal terdapat bukti
melakukan tugasnya sebagai lini pelaksanaan tugas/laporan audit internal
terakhir terhadap pengelolaan risiko yang menggambarkan kegiatan evaluasi atas
(misal terdapat bukti pelaksanaan proses Manajemen Risiko)
tugas/laporan audit internal yang • Interaksi antara fungsi Assurance dan Risiko
menggambarkan kegiatan evaluasi sangat kolaboratif (misal fungsi Risiko
atas proses Manajemen Risiko) mempertimbangkan masukan dari fungsi
Assurance sebagai bagian dari perbaikan
berkesinambungan).
18. Peran dan • Belum ada harmonisasi • Harmonisasi kebijakan tingkat • Direksi BUMN Induk telah menetapkan • Direksi BUMN Induk telah • Direksi BUMN Induk telah menetapkan
fungsi Tata kebijakan tingkat induk dan anak induk dan anak belum kebijakan pada tingkat BUMN Induk menetapkan kebijakan pada tingkat kebijakan pada tingkat BUMN Induk yang
Kelola Risiko • Belum terdapat organ Komite sepenuhnya dilaksanakan yang diharmonisasikan dengan BUMN Induk yang diharmonisasikan diharmonisasikan dengan kebijakan pada
Terintegrasi Tata Kelola Terintegrasi (KTKT) oleh direktur yang kebijakan pada tingkat Anak dengan kebijakan pada tingkat Anak tingkat Anak Perusahaan BUMN melalui:
(Parameter ini sesuai dengan kategori dan melaksanakan tugas Perusahaan BUMN melalui: Perusahaan BUMN melalui: o Direktur yang melaksanakan tugas
tidak perlu klasifikasi risiko BUMN fungsional BUMN Induk o Direktur yang melaksanakan tugas o Direktur yang melaksanakan tugas fungsional BUMN Induk wajib melakukan
diperhitungkan dan/atau direktur yang fungsional BUMN Induk wajib fungsional BUMN Induk wajib harmonisasi kebijakan fungsional pada
dalam melaksanakan tugas melakukan harmonisasi kebijakan melakukan harmonisasi kebijakan Anak Perusahaan BUMN
perhitungan pembinaan fungsional pada Anak Perusahaan fungsional pada Anak Perusahaan o Direktur yang melaksanakan tugas
aspek Dimensi • Direksi BUMN Induk BUMN BUMN pembinaan wajib memastikan keselarasan
Penilaian RMI memantau implementasi o Direktur yang melaksanakan tugas o Direktur yang melaksanakan tugas dan sinergitas strategi BUMN Induk dan
untuk BUMN kebijakan harmonisasi pembinaan wajib memastikan pembinaan wajib memastikan Anak Perusahaan BUMN.
yang tidak dengan kebijakan BUMN keselarasan dan sinergitas strategi keselarasan dan sinergitas • Direksi BUMN Induk memantau implementasi
memerlukan Induk; BUMN Induk dan Anak Perusahaan strategi BUMN Induk dan Anak kebijakan harmonisasi dengan kebijakan
KTKT • Direksi BUMN Induk BUMN. Perusahaan BUMN. BUMN Induk. Direksi BUMN induk
sebagaimana melakukan pemantauan • Direksi BUMN Induk memantau • Direksi BUMN Induk memantau menindaklanjuti arahan atau nasihat Dewan
ketentuan Risiko antara BUMN Induk implementasi kebijakan harmonisasi implementasi kebijakan harmonisasi Komisaris dalam rangka penyempurnaan
dalam PER- dengan Anak. dengan kebijakan BUMN Induk dengan kebijakan BUMN Induk. Kebijakan Tata Kelola Terintegrasi
2/MBU/03/202 • Direksi BUMN induk menindaklanjuti Direksi BUMN induk menindaklanjuti • Direksi BUMN Induk melakukan pemantauan
3 yaitu: arahan atau nasihat Dewan Komisaris arahan atau nasihat Dewan Risiko secara terstruktur dan terintegrasi
a. BUMN dalam rangka penyempurnaan Komisaris dalam rangka antara BUMN Induk dengan Anak serta
Individu Kebijakan Tata Kelola Terintegrasi penyempurnaan Kebijakan Tata memastikan dijalankannya mitigasi ataupun
dengan • Direksi BUMN Induk melakukan Kelola Terintegrasi menyiapkan mitigasi baru untuk menurunkan
klasifikasi pemantauan Risiko secara terstruktur • Direksi BUMN Induk melakukan tingkat risiko tersebut sehingga tingkat risiko
risiko pemantauan Risiko secara turun sesuai dengan target.
130
Sub Kriteria
Dimensi Parameter
Sistemik B, dan terintegrasi antara BUMN Induk terstruktur dan terintegrasi antara • Adanya organ Komite Tata Kelola
Signifikan, dengan Anak BUMN Induk dengan Anak Terintegrasi (KTKT) sesuai dengan kategori
dan Netral; • Adanya organ Komite Tata Kelola • Adanya organ Komite Tata Kelola dan klasifikasi risiko di BUMN Induk dan anak
dan Terintegrasi (KTKT) sesuai dengan Terintegrasi (KTKT) sesuai dengan perusahaan
b. BUMN yang kategori dan klasifikasi risiko di BUMN kategori dan klasifikasi risiko di • Dewan Komisaris melakukan evaluasi
tidak Induk dan anak perusahaan BUMN Induk dan anak perusahaan kebijakan Tata Kelola Terintegrasi dan
memiliki • Dewan Komisaris melakukan evaluasi • Dewan Komisaris melakukan mengarahkan untuk penyempurnaan. Dewan
anak kebijakan Tata Kelola Terintegrasi dan evaluasi kebijakan Tata Kelola Komisaris mengawasi pelaksanaan
perusahaan.) mengarahkan untuk penyempurnaan Terintegrasi dan mengarahkan penyempurnaan kebijakan Tata Kelola
• Dewan Komisaris mengawasi untuk penyempurnaan. Dewan Terintegrasi
penerapan Tata Kelola Terintegrasi Komisaris mengawasi pelaksanaan • Dewan Komisaris mengawasi penerapan
pada Anak Perusahaan BUMN agar penyempurnaan kebijakan Tata Tata Kelola Terintegrasi pada Anak
selaras dengan kebijakan Tata Kelola Kelola Terintegrasi Perusahaan BUMN agar selaras dengan
Terintegrasi BUMN Induk dan Anak • Dewan Komisaris mengawasi kebijakan Tata Kelola Terintegrasi BUMN
Perusahaan BUMN penerapan Tata Kelola Terintegrasi Induk dan Anak Perusahaan BUMN
• Dewan Komisaris mengawasi pada Anak Perusahaan BUMN agar • Dewan Komisaris mengawasi pelaksanaan
pelaksanaan tugas dan tanggung selaras dengan kebijakan Tata tugas dan tanggung jawab Direksi BUMN
jawab Direksi BUMN Induk, serta Kelola Terintegrasi BUMN Induk dan Induk, serta memberikan arahan atau nasihat
memberikan arahan atau nasihat Anak Perusahaan BUMN kepada Direksi BUMN Induk atas
kepada Direksi BUMN Induk atas • Dewan Komisaris mengawasi pelaksanaan kebijakan Tata Kelola
pelaksanaan kebijakan Tata Kelola pelaksanaan tugas dan tanggung Terintegrasi
Terintegrasi. jawab Direksi BUMN Induk, serta • Dewan Komisaris telah melaksanakan
memberikan arahan atau nasihat pengawasan dan pemberian nasihat terhadap
kepada Direksi BUMN Induk atas pelaksanaan fungsi Tata Kelola Terintegrasi
pelaksanaan kebijakan Tata Kelola lainnya sesuai dengan ketentuan peraturan
Terintegrasi perundang-undangan, anggaran dasar,
• Dewan Komisaris belum secara dan/atau keputusan RUPS/Menteri.
optimal melaksanakan pengawasan
dan pemberian nasihat terhadap
pelaksanaan fungsi Tata Kelola
Terintegrasi lainnya sesuai dengan
ketentuan peraturan perundang-
undangan, anggaran dasar,
dan/atau keputusan RUPS/Menteri.
19. Monitoring Telah ada mandat secara informal • Fungsi risiko pusat tidak • Telah ada mandat/hubungan formal • Telah ada mandat/hubungan formal • Telah ada mandat/hubungan formal bagi
risiko entitas bagi beberapa pegawai/jajaran memiliki mandat dan bagi fungsi risiko pusat untuk bagi fungsi risiko pusat untuk fungsi risiko pusat untuk memonitor risiko di
induk sampai pimpinan utama untuk memantau kewenangan formal untuk memonitor risiko di seluruh lini memonitor risiko di seluruh lini seluruh lini perusahaan, termasuk dengan
ke entitas risiko, namun belum dilaksanakan melaksanakan tanggung perusahaan, termasuk dengan anak perusahaan, termasuk dengan anak anak perusahaan (misal terdapat kerangka
anak secara independen (misal pegawai jawab utamanya perusahaan (misal terdapat kerangka perusahaan (misal terdapat tata kelola risiko yang menjelaskan
yang ditunjuk untuk melakukan • Tanggung jawab utama tata kelola risiko yang menjelaskan kerangka tata kelola risiko yang kewenangan ini bagi seluruh lini perusahaan
tugas pemantauan risiko di Unit dalam monitoring hanya kewenangan ini bagi seluruh lini menjelaskan kewenangan ini bagi dan tercantum pada kebijakan Manajemen
seluruh lini perusahaan dan Risiko)
131
Sub Kriteria
Dimensi Parameter
Bisnis juga bertanggung jawab dilakukan di tingkat Unit perusahaan dan tercantum pada tercantum pada kebijakan • Kewenangan fungsi risiko pusat dan tingkat
untuk fungsi lain) Bisnis kebijakan Manajemen Risiko) Manajemen Risiko) Unit Bisnis/anak perusahaan didefinisikan
• Kewenangan fungsi risiko pusat/BUMN • Kewenangan fungsi risiko pusat dan dan dikomunikasikan dengan baik misal,
Induk dan tingkat Unit Bisnis/anak tingkat Unit Bisnis/anak perusahaan panduan mana yang diturunkan ke Unit
perusahaan didefinisikan dan didefinisikan dan dikomunikasikan Bisnis/anak perusahaan (jika relevan), bagian
dikomunikasikan dengan baik (misal dengan baik (misal panduan mana mana yang merupakan kewenangan
panduan mana yang diturunkan ke yang diturunkan ke Unit Bisnis/anak pengambilan keputusan Unit Bisnis/anak
Unit Bisnis/anak perusahaan (jika perusahaan (jika relevan), bagian perusahaan dan sebagainya
relevan), bagian mana yang mana yang merupakan kewenangan • Telah ada alur pelaporan yang jelas untuk
merupakan kewenangan pengambilan pengambilan keputusan Unit fungsi risiko di seluruh organisasi, termasuk
keputusan Unit Bisnis/anak) Bisnis/anak) perusahaan dan dari fungsi risiko khusus/fungsi risiko di anak
perusahaan dan sebagainya sebagainya perusahaan ke fungsi risiko pusat kemudian
• Telah ada alur pelaporan yang jelas • Telah ada alur pelaporan yang jelas ke komite di tingkat Dewan Komisaris/Direksi
untuk fungsi risiko di seluruh untuk fungsi risiko di seluruh yang bertanggung jawab atas Manajemen
organisasi, termasuk dari fungsi risiko organisasi, termasuk dari fungsi Risiko
khusus/fungsi risiko di anak risiko khusus/fungsi risiko di anak • Telah ada bukti bahwa perusahaan
perusahaan ke fungsi risiko pusat perusahaan ke fungsi risiko pusat melakukan tinjauan secara berkala (misal
kemudian ke komite di tingkat Dewan kemudian ke komite di tingkat setiap tahun) untuk menilai apakah mandat,
Komisaris/ Direksi yang bertanggung Dewan Komisaris/Direksi yang kerangka kerja, kebijakan/prosedur risiko
jawab atas Manajemen Risiko bertanggung jawab atas Manajemen yang diturunkan dari fungsi risiko pusat telah
Risiko diimplementasikan dengan baik ke seluruh
• Telah ada bukti bahwa perusahaan lini perusahaan (termasuk Unit Bisnis/anak
melakukan tinjauan secara berkala perusahaan)
untuk memastikan apakah mandat, • Telah ada interaksi yang efektif dan harmonis
kerangka kerja, kebijakan/ prosedur antara fungsi risiko pusat dan divisi-divisi lain
risiko yang diturunkan dari fungsi dalam hierarki Manajemen Risiko (misal divisi
risiko pusat telah diimplementasikan risiko khusus/fungsi risiko di anak
dengan baik ke seluruh lini perusahaan) untuk menyelaraskan strategi
perusahaan (termasuk Unit risiko, identifikasi dan penanganan risiko
Bisnis/anak perusahaan) utama (misal rapat mingguan/bulanan,
keputusan utama yang diambil dan ada bukti
bahwa keputusan tersebut efektif, dilakukan
pemantauan dan pengawasan yang diberikan
oleh fungsi risiko pusat yang efektif dalam
menjaga jadwal proyek sesuai jadwal di
semua fungsi di bawahnya).
132
Sub Kriteria
Dimensi Parameter
C. Kerangka Risiko dan Kepatuhan
a. Strategi 20. Peningkatan Telah ada inisiatif peningkatan • Telah ada pembahasan tahap • Telah ada pembahasan formal dan • Inisiatif peningkatan kualitas • Inisiatif peningkatan kualitas kerangka ERM
Risiko kualitas kualitas kerangka Enterprise Risk awal mengenai peningkatan pengusulan inisiatif peningkatan kerangka ERM telah dijalankan telah dijalankan dengan dilakukan
kerangka Management (ERM) namun belum kualitas ERM, namun belum kualitas kerangka ERM dengan didukung oleh banyaknya pengukuran dampak yang jelas, contohnya
Manajemen dilakukan pembaruan/ reviu selama ada insiatif yang disusun dan • Terdapat kerangka kerja manajemen kegiatan dalam penyelesaian inisiatif secara kuantitatif (misal penurunan jumlah
Risiko 3 (tiga) tahun terakhir diusulkan risiko yang disusun sebagai acuan tersebut peristiwa risiko) atau secara kualitatif (misal
• Terdapat kerangka kerja bagi perusahaan untuk menerapkan • Terdapat kerangka kerja manajemen jajaran manajemen melakukan pemantauan
manajemen risiko yang manajemen risiko yang terintegrasi risiko yang disusun sebagai acuan dengan lebih baik)
disusun sebagai acuan bagi dengan aktivitas utama dan aktivitas bagi perusahaan untuk menerapkan • Terdapat kerangka kerja manajemen risiko
perusahaan untuk pendukung untuk pencapaian sasaran manajemen risiko yang terintegrasi yang disusun sebagai acuan bagi perusahaan
menerapkan manajemen strategis perusahaan. dengan aktivitas utama dan aktivitas untuk menerapkan manajemen risiko yang
risiko yang terintegrasi • Kerangka kerja manajemen risiko telah pendukung untuk pencapaian terintegrasi dengan aktivitas utama dan
dengan aktivitas utama dan ditetapkan secara formal oleh sasaran strategis perusahaan. aktivitas pendukung untuk pencapaian
aktivitas pendukung untuk pimpinan perusahaan dan diterapkan • Kerangka kerja manajemen risiko sasaran strategis perusahaan.
pencapaian sasaran strategis secara konsisten. telah ditetapkan secara formal oleh • Kerangka kerja manajemen risiko telah
perusahaan. • Kerangka kerja manajemen risiko pimpinan perusahaan dan ditetapkan secara formal oleh pimpinan
• Kerangka kerja manajemen diturunkan lebih lanjut dalam bentuk diterapkan secara konsisten. perusahaan dan diterapkan secara konsisten.
risiko telah ditetapkan secara kebijakan, prosedur, dan turunannya • Kerangka kerja manajemen risiko • Kerangka kerja manajemen risiko diturunkan
formal oleh pimpinan untuk memastikan adanya penanaman diturunkan lebih lanjut dalam bentuk lebih lanjut dalam bentuk kebijakan, prosedur,
perusahaan dan diterapkan praktik pengelolaan risiko di seluruh kebijakan, prosedur, dan turunannya dan turunannya untuk memastikan adanya
secara konsisten. tingkatan perusahaan. untuk memastikan adanya penanaman praktik pengelolaan risiko di
penanaman praktik pengelolaan seluruh tingkatan perusahaan.
risiko di seluruh tingkatan • Telah dilakukan evaluasi terhadap kerangka
perusahaan kerja manajemen risiko beserta kebijakan,
• Evaluasi terhadap efektivitas prosedur, dsb secara berkala dan
kerangka kerja manajemen risiko diperbaharui (jika dibutuhkan) dan dilaporkan
dilakukan secara berkala dan kepada pimpinan perusahaan dalam rangka
diperbaharui (jika dibutuhkan), perbaikan berkelanjutan
namun belum dilaporkan kepada
pimpinan perusahaan
21. Rencana • Perusahaan belum memiliki • Perusahaan telah memiliki • Perusahaan memiliki rencana • Perusahaan memiliki rencana • Perusahaan memiliki rencana transformasi
transformasi rencana transformasi ERM yang rencana transformasi ERM, transformasi ERM yang jelas untuk transformasi ERM yang jelas untuk ERM yang jelas untuk beberapa tahun ke
Enterprise Risk jelas dan dapat ditindaklanjuti untuk beberapa tahun ke beberapa tahun ke depan atau jangka beberapa tahun ke depan atau depan atau jangka panjang yang dapat
Management untuk beberapa tahun ke depan depan atau jangka panjang panjang yang dapat ditindaklanjuti dan jangka panjang yang dapat ditindaklanjuti dan mendetail (misal lini masa,
(ERM) atau jangka panjang (masih ada namun kurang mendetail, mendetail (misal lini masa, kebutuhan ditindaklanjuti dan mendetail (misal kebutuhan sumber daya, pemantauan
mentalitas 'cepat merasa puas' belum ada prioritas sumber daya, pemantauan program, lini masa, kebutuhan sumber daya, program, dan sebagainya)
atas kematangan Enterprise Risk pelaksanaannya, dan ruang dan sebagainya) pemantauan program, dan • Ruang lingkup transformasi jauh melampaui
Management saat ini) lingkup transformasi hanya • Dalam konteks transformasi ESG: sebagainya) pemenuhan persyaratan regulator (misal
• Dalam konteks transformasi ESG: untuk pemenuhan o Risiko ESG/Iklim telah tercantum • Ruang lingkup transformasi jauh menjadi bagian dari perbaikan berkelanjutan),
o Risiko ESG/Iklim telah persyaratan regulator pada taksonomi melampaui pemenuhan persyaratan transformasi didasarkan pada benchmark
tercantum pada taksonomi regulator (misal menjadi bagian dari
133
Sub Kriteria
Dimensi Parameter
namun implikasinya terhadap • Dalam konteks transformasi o Implikasi risiko ESG/Iklim perbaikan berkelanjutan), untuk menerapkan best-practice secara
kerangka risiko belum dikaji ESG: dimasukkan secara jelas ke dalam transformasi didasarkan pada global dalam perusahaan
o Risiko ESG/Iklim telah Kerangka Kerja ERM benchmark untuk menerapkan best- • Program diperbarui secara rutin
tercantum pada taksonomi o Telah ada tim khusus ESG/Iklim practice secara global dalam • Telah ada tim khusus yang bertanggung
o Beberapa implikasi risiko yang dibentuk. perusahaan jawab atas pelaksanaan rencana transformasi
ESG/Iklim dimasukkan ke o Telah dilakukan analisis terhadap • Dalam konteks transformasi ESG: dan kesuksesannya. Unit Bisnis dan fungsi
dalam Kerangka Kerja ERM dampak risiko ESG/Iklim pada o Risiko ESG/Iklim telah tercantum lainnya terlibat dalam rencana transformasi ini
tetapi hanya secara umum portofolio pada taksonomi (misal dalam tahap perancangan dan
(misal risiko ESG/Iklim o Tersedia beberapa analisis dan o Implikasi risiko ESG/Iklim pelaksanaannya)
hanya menjadi bagian kecil data. dimasukkan secara jelas ke dalam • Pengukuran yang jelas atas estimasi "value-
dari keseluruhan strategi Kerangka Kerja ERM at-stake" yang akan diperoleh dari program
ESG/Iklim atau belum ada o Telah ada tim khusus ESG/Iklim transformasi ERM yang dimonitor ketika
rencana eksekusi yang dibentuk. program diimplementasikan (fokus ERM
mendetail). o Telah dilakukan analisis terhadap bergeser dari "kepatuhan" ke "value capture”)
dampak risiko ESG/Iklim pada • Dalam konteks transformasi ESG:
portofolio o Risiko ESG/Iklim telah tercantum pada
o Tersedia beberapa analisis dan taksonomi
data o Implikasi risiko ESG/Iklim dimasukkan
o Telah ada target khusus yang secara jelas ke dalam Kerangka Kerja ERM
ditetapkan dan dikomunikasikan o Telah ada tim khusus ESG/Iklim yang
o Telah ada rencana jangka panjang dibentuk.
untuk mencapai target o Telah dilakukan analisis terhadap dampak
risiko ESG/Iklim pada portofolio
o Tersedia beberapa analisis dan data
o Telah ada target khusus yang ditetapkan
dan dikomunikasikan
o Telah ada rencana jangka panjang untuk
mencapai target
• Selain agenda-agenda defensif (menghindari
kerugian), perusahaan menggali peluang
bisnis baru dan pertumbuhan melalui agenda
ESG/Iklim (meraih manfaat/peluang dari risiko
tersebut).
22. Peran Telah ada strategi perusahaan dan • Strategi perusahaan dan • Dilakukan penyelarasan secara rutin • Dilakukan penyelarasan secara rutin • Dilakukan penyelarasan secara rutin antara
Manajemen strategi risiko, namun bisnis ditetapkan terlebih antara strategi perusahaan dan strategi antara strategi perusahaan dan strategi perusahaan dan strategi risiko untuk
Risiko dalam penyusunannya dilakukan secara dahulu, kemudian strategi risiko untuk memastikan bahwa strategi risiko untuk memastikan memastikan bahwa rencana strategis telah
penyusunan terpisah risiko didefinisikan setelahnya rencana strategis telah bahwa rencana strategis telah mempertimbangkan risiko (misal anggaran
rencana (risiko baru menjadi mempertimbangkan risiko (misal mempertimbangkan risiko (misal tahunan, penentuan proyek strategis)
strategis pertimbangan setelah strategi anggaran tahunan, penentuan proyek anggaran tahunan, penentuan • Rencana strategis perusahaan sepenuhnya
bisnis tersusun) strategis dsb) proyek strategis) mempertimbangkan risiko yang dilakukan
• Unit Bisnis tidak bekerja • Risiko dipertimbangkan dalam • Rencana strategis perusahaan dengan pendekatan sistematis dan terstruktur
sama dengan unit Risiko perencanaan strategis hanya untuk sepenuhnya mempertimbangkan
134
Sub Kriteria
Dimensi Parameter
dalam penyusunan rencana menghindari kerugian (Downside-risk), risiko yang dilakukan dengan (mempertimbangkan skenario risiko dalam
strategis belum untuk menggali manfaat dari pendekatan sistematis dan upaya pencapaian sasaran perusahaan)
risiko (upside-risk) terstruktur (mempertimbangkan • Implikasi risiko terhadap rencana strategis
skenario risiko dalam upaya perusahaan dipahami dengan baik, misalnya:
pencapaian sasaran perusahaan) o Manajemen mengetahui perilaku
• Implikasi risiko terhadap rencana pengambilan risiko yang diperlukan dan
strategis perusahaan dipahami kaitannya dengan strategi risiko
dengan baik, misalnya: o Setiap keputusan penting strategi
o Manajemen mengetahui perilaku perusahaan (misal dalam RKAP/RJP)
pengambilan risiko yang harus didukung oleh analisis risiko yang
diperlukan dan kaitannya dengan spesifik untuk keputusan tersebut
strategi risiko • Telah ada bukti dan dokumentasi bahwa
o Setiap keputusan penting strategi Risiko dan Strategi bekerja sama menjadi
perusahaan harus didukung oleh mitra dalam pembahasan dan penyusunan
analisis risiko yang spesifik untuk keseluruhan strategi risiko dan strategi
keputusan tersebut perusahaan, contohnya,
o Personil risiko dilibatkan secara ekstensif
dalam proses penetapan strategi (bukan
hanya di akhir proses untuk "memeriksa"
atau "menyetujui" strategi yang ditetapkan
o Telah ada analisis risiko yang digunakan
untuk menguji dan memperkaya
pertimbangan strategis (risiko mengambil
peran aktif dan memberi nilai tambah)
o Analisis risiko difokuskan pada prinsip-
prinsip penciptaan nilai/menyeimbangkan
pertimbangan sisi positif dan negatif
(daripada hanya berfokus pada mengurangi
sisi negatif)
mempertimbangkan risiko dalam
perencanaan strategis untuk menggali
manfaat
penerapan manajemen risiko dalam
penyusunan rencana strategis, di antaranya
metrik yang menilai keberhasilan strategi
perusahaan ditetapkan dengan target yang
dikaitkan dengan analisis risiko yang sesuai
(misal trade-off dari pengambilan keputusan
strategis dipertimbangkan dalam scenario
analysis)
135
Sub Kriteria
Dimensi Parameter
• Pemantauan progres strategi perusahaan
melibatkan personel risiko senior.
23. Hubungan Evaluasi peran Manajemen Risiko • Telah ada kerangka kerja • Telah ada kerangka kerja formal untuk • Telah ada kerangka kerja formal • Telah ada kerangka kerja formal untuk
peran terhadap pencapaian target informal untuk mengevaluasi mengevaluasi peran manajemen risiko untuk mengevaluasi peran mengevaluasi peran manajemen risiko
Manajemen strategis RKAP telah dilakukan, peran Manajemen Risiko terhadap pencapaian target strategis Manajemen Risiko terhadap terhadap pencapaian target strategis RKAP,
Risiko namun prosesnya belum terstruktur terhadap pencapaian target RKAP, termasuk analisis: pencapaian target strategis RKAP, termasuk analisis:
terhadap (kerangka kerja belum dibentuk, strategis RKAP. Evaluasi o Jika target perusahaan tercapai, apa termasuk analisis: o Jika target perusahaan tercapai, apa saja
pencapaian analisis dilakukan secara ad-hoc) tersebut dilakukan dan saja praktik Manajemen Risiko o Jika target perusahaan tercapai, praktik Manajemen Risiko (misal budaya
target strategis dan belum dilakukan pembahasan dibahas secara informal (misal budaya risiko, organisasi dan apa saja praktik Manajemen risiko, organisasi dan tata kelola, kerangka
RKAP (misal dibahas di rapat manajemen (misal dibahas di rapat tata kelola, kerangka kerja dan Risiko (misal budaya risiko, kerja dan kepatuhan, proses dan kontrol,
risiko Dewan Komisaris atau manajemen risiko Dewan kepatuhan, proses dan kontrol, organisasi dan tata kelola, model, data dan teknologi) yang
Direksi) Komisaris/Direksi secara ad- model, data dan teknologi) yang kerangka kerja dan kepatuhan, berkontribusi terhadap pencapaian tersebut
hoc) serta belum ada analisis berkontribusi terhadap pencapaian proses dan kontrol, model, data (misal pencegahan/pengurangan dampak
yang jelas dan detail tersebut (misal pencegahan/ dan teknologi) yang berkontribusi peristiwa risiko yang dapat mempengaruhi
• Evaluasi dilakukan hanya pengurangan dampak peristiwa terhadap pencapaian tersebut kemampuan BUMN untuk mencapai target)
sebagai "formalitas" misal risiko yang dapat mempengaruhi (misal pencegahan/pengurangan o Jika target perusahaan tidak tercapai, apa
belum ada langkah tindak kemampuan BUMN untuk mencapai dampak peristiwa risiko yang saja praktik Manajemen Risiko yang
lanjut yang jelas untuk target) dapat mempengaruhi berkontribusi terhadap kegagalan
memperbaiki kekurangan o Jika target perusahaan tidak kemampuan BUMN untuk pencapaian target (misal peristiwa risiko
dalam praktik manajemen tercapai, apa saja praktik mencapai target) yang berdampak pada kemampuan BUMN
risiko yang dievaluasi untuk manajemen risiko yang berkontribusi o Jika target perusahaan tidak untuk mencapai target, dan dapat
meningkatkan potensi terhadap kegagalan pencapaian tercapai, apa saja praktik dicegah/dikurangi dampaknya dengan
pencapaian target RKAP target (misal peristiwa risiko yang manajemen risiko yang praktik Manajemen Risiko yang lebih baik)
berikutnya berdampak pada kemampuan berkontribusi terhadap kegagalan • Evaluasi ini secara efektif membantu BUMN
BUMN untuk mencapai target, dan pencapaian target (misal memperbaiki praktik manajemen risiko untuk
dapat dicegah/dikurangi dampaknya peristiwa risiko yang berdampak perencanaan RKAP berikutnya (misal
dengan praktik manajemen risiko pada kemampuan BUMN untuk kekurangan yang ditemukan telah
yang lebih baik) mencapai target, dan dapat ditindaklanjuti atau kelebihan /kekuatan terus
• Evaluasi dilakukan hanya sebagai dicegah/dikurangi dampaknya dipertahankan atau bahkan ditingkatkan lebih
"formalitas" misal belum ada langkah dengan praktik manajemen risiko jauh) serta memiliki langkah tindak
tindak lanjut yang jelas untuk yang lebih baik) lanjut/inisiatif perbaikan yang jelas (misal
memperbaiki kekurangan dalam • Evaluasi ini secara efektif ditunjuknya penanggung jawab, lini
praktik Manajemen Risiko yang membantu BUMN memperbaiki masa/milestone jelas, dilakukan monitoring
kemudian dievaluasi untuk praktik manajemen risiko untuk • Dilakukan analisis backward-looking dan
meningkatkan potensi pencapaian perencanaan RKAP berikutnya forward-looking untuk pencapaian periode
target RKAP berikutnya (misal kekurangan yang ditemukan berikutnya (misal terdapat analisis skenario
telah ditindaklanjuti atau kuantitatif forward-looking mengenai
kelebihan/kekuatan terus bagaimana pengaruh praktik manajemen
dipertahankan atau bahkan risiko tertentu terhadap
ditingkatkan lebih jauh) serta keberhasilan/kegagalan pencapaian target
memiliki langkah tindak RKAP).
lanjut/inisiatif perbaikan yang jelas
136
Sub Kriteria
Dimensi Parameter
(misal ditunjuknya penanggung
jawab, lini masa/milestone jelas,
dilakukan monitoring.
• Analisis sebagian besar bersifat
backward-looking dan mengevaluasi
kinerja pada periode saat
ini/sebelumnya (misal belum ada
analisis skenario kuantitatif forward-
looking mengenai bagaimana
pengaruh praktik Manajemen Risiko
tertentu terhadap
keberhasilan/kegagalan pencapaian
target RKAP).
24. Kapasitas Telah dilakukan identifikasi elemen- • Telah ada elemen-elemen • Telah ada elemen-elemen utama • Telah ada elemen penting kapasitas • Telah ada elemen penting kapasitas risiko
risiko elemen kapasitas risiko yang utama kapasitas risiko yang kapasitas risiko yang relevan terhadap risiko (misal terdapat perhitungan (misal terdapat perhitungan detail/daftar
relevan terhadap perusahaan relevan terhadap perusahaan perusahaan (misal Net Working detail/daftar metrik kapasitas risiko metrik kapasitas risiko yang dapat ditanggung
namun kapasitas risiko belum (misal Net Working Capital, Capital , EBITDA untuk perusahaan yang dapat ditanggung oleh oleh perusahaan)
ditetapkan EBITDA untuk perusahaan korporasi, atau persyaratan modal perusahaan) • Kapasitas risiko telah mencakup identifikasi
korporasi, atau persyaratan minimum untuk mengantisipasi loss • Telah ada prosedur yang mengatur dan pengelolaan berbagai jenis risiko,
modal minimum untuk event, dan lain sebagainya) penyusunan kapasitas risiko yang termasuk risiko operasional, keuangan,
mengantisipasi loss event, • Telah ada prosedur yang mengatur dihitung berdasarkan data historis lingkungan, reputasi, dan lainnya yang
dan lain sebagainya) penyusunan kapasitas risiko yang atau persyaratan minimum regulator relevan bagi organisasi.
• Telah ada prosedur yang dihitung berdasarkan data historis atau • Kapasitas risiko menjadi dasar • Telah ada prosedur yang mengatur
mengatur penyusunan persyaratan minimum regulator dalam menetapkan selera risiko, penyusunan kapasitas risiko yang dihitung
kapasitas risiko yang dihitung • Telah dilakukan analisis dan sudah toleransi risiko, limit risiko, dan berdasarkan data historis atau persyaratan
berdasarkan data historis terdapat kapasitas risiko yang dapat metrik strategi risiko minimum regulator
atau persyaratan minimum ditanggung Perusahaan dan telah • Elemen penting kapasitas risiko • Kapasitas risiko menjadi dasar dalam
regulator ditetapkan secara formal (misal perhitungan detail/daftar menetapkan selera risiko, toleransi risiko,
• Belum dilakukan analisis yang • Kapasitas risiko menjadi dasar dalam metrik kapasitas risiko) ditinjau limit risiko, dan metrik strategi risiko
mendalam untuk menentukan menetapkan selera risiko,toleransi setiap tahun dan diperbaharui (jika • Elemen penting kapasitas risiko (misal
kapasitas risiko yang dapat risiko, limit risiko, dan metrik strategi dibutuhkan) perhitungan detail/daftar metrik kapasitas
ditanggung Perusahaan risiko • Kapasitas risiko dikomunikasikan risiko) ditinjau setiap tahun dan diperbaharui
• Elemen penting kapasitas risiko (misal kepada seluruh pihak yang terlibat (jika dibutuhkan)
perhitungan detail/daftar metrik dalam penerapan manajemen risiko • Kapasitas risiko dikomunikasikan kepada
kapasitas risiko) ditinjau setiap tahun perusahaan seluruh pihak yang terlibat dalam penerapan
dan diperbaharui (jika dibutuhkan). manajemen risiko perusahaan
137
Sub Kriteria
Dimensi Parameter
25. Selera risiko • Telah ada konsep informal selera • Telah ada konsep selera • Telah ada pernyataan selera risiko • Telah ada pernyataan selera risiko • Telah ada pernyataan selera risiko formal
risiko secara umum/garis besar risiko yang untuk beberapa formal yang terhubung/konsisten formal yang terhubung/konsisten yang terhubung/konsisten dengan kapasitas
(misal perusahaan berusaha jenis risiko (misal keinginan dengan kapasitas risiko dengan kapasitas risiko risiko
untuk menghindari kerugian untuk menjaga rating), namun • Mencakup Dimensi dan ambang batas • Mencakup Dimensi dan ambang • Mencakup Dimensi dan ambang batas
neraca dari semua peristiwa konsep selera risiko belum kuantitatif dan kualitatif (misal untuk batas kuantitatif dan kualitatif (misal kuantitatif dan kualitatif (misal untuk
risiko yang tidak melebihi batas dipahami dan digunakan menangkap permasalahan risiko yang untuk menangkap permasalahan menangkap permasalahan risiko yang lebih
tertentu), meskipun belum ada secara jelas (belum ada lebih kualitatif seperti risiko reputasi) risiko yang lebih kualitatif seperti kualitatif seperti risiko reputasi)
pernyataan selera risiko untuk prosedur/standar perumusan • Selera risiko menjadi salah satu risiko reputasi) • Selera risiko menjadi salah satu
setiap jenis risiko selera risiko) pertimbangan dalam penyusunan • Selera risiko menjadi salah satu pertimbangan dalam penyusunan rencana
• Perumusan selera risiko telah • Selera risiko yang ada rencana strategis perusahaan pertimbangan dalam penyusunan strategis perusahaan
direncanakan sebagai bagian cenderung bersifat kualitatif, • Telah ada penentuan target yang jelas rencana strategis perusahaan • Telah ada penentuan target yang jelas (misal
dari insiatif di masa mendatang tanpa ada keterkaitan dengan (misal bagian modal yang • Telah ada penentuan target yang bagian modal yang dialokasikan), peringatan
untuk transformasi manajemen kapasitas risiko dialokasikan), peringatan dan nilai jelas (misal bagian modal yang dan nilai batas dari setiap risiko yang ada di
risiko di perusahaan batas dari setiap risiko yang ada di dialokasikan), peringatan dan nilai taksonomi, yang disetujui oleh Direksi, di
taksonomi, yang disetujui oleh Direksi, batas dari setiap risiko yang ada di dalam kerangka selera risiko
di dalam kerangka selera risiko taksonomi, yang disetujui oleh • Telah ada pernyataan target RAS kuantitatif
• Pernyataan selera risiko mencakup Direksi, di dalam kerangka selera di setidaknya 3 Dimensi: Modal, Volatilitas
semua risiko utama, termasuk metrik risiko laba dan Likuiditas untuk semua risiko dalam
yang jelas untuk masing-masing • Pernyataan selera risiko mencakup taksonomi, kecuali untuk risiko yang tidak
pernyataan. semua risiko utama, termasuk metrik dapat dikuantifikasi (misal geopolitik,
• Telah ada pernyataan target risk yang jelas untuk masing-masing keberlanjutan)
appetite statement (RAS) kuantitatif di pernyataan. • Dilakukan reviu pernyataan selera risiko
setidaknya 3 Dimensi: Modal, • Telah ada pernyataan target RAS secara rutin (misal tahunan sebagai bagian
Volatilitas laba dan Likuiditas untuk kuantitatif di setidaknya 3 Dimensi: dari proses formal, yang disetujui oleh Direksi,
semua risiko dalam taksonomi, kecuali Modal, Volatilitas laba dan Likuiditas di dalam kerangka selera risiko
untuk risiko yang tidak dapat untuk semua risiko dalam • Pemangku kepentingan utama (termasuk Unit
dikuantifikasi (misal geopolitik, taksonomi, kecuali untuk risiko yang Bisnis) dapat menjelaskan pernyataan selera
keberlanjutan) tidak dapat dikuantifikasi (misal risiko dan alasan-alasannya, serta
geopolitik, keberlanjutan) sepenuhnya menyepakatinya
• Dilakukan reviu pernyataan selera • Pernyataan selera risiko mencakup semua
risiko secara rutin (misal tahunan) risiko utama, termasuk metrik yang jelas
sebagai bagian dari proses formal untuk masing-masing pernyataan, dan
yang disetujui oleh Direksi, di dalam diturunkan ke Unit Bisnis
kerangka selera risiko. • Selera risiko secara efektif diterapkan di
• Selera risiko secara efektif perusahaan, termasuk:
diterapkan di perusahaan, termasuk: o Keputusan strategis dibuat dengan
o Keputusan strategis dibuat mempertimbangkan konteks selera risiko
dengan mempertimbangkan o Proses bisnis yang melibatkan keputusan
konteks selera risiko terkait dengan pernyataan selera risiko
o Proses bisnis yang melibatkan harus dimodifikasi untuk memastikan
keputusan terkait dengan kepatuhan terhadap pernyataan selera
pernyataan selera risiko harus
138
Sub Kriteria
Dimensi Parameter
dimodifikasi untuk memastikan risiko (misal perencanaan strategis,
kepatuhan terhadap pernyataan perencanaan modal, stress testing)
selera risiko (misal perencanaan o Pernyataan selera risiko dibuat secara
strategis, perencanaan modal, bertahap (misal metrik khusus Unit Bisnis)
stress testing) dengan arahan yang jelas untuk
o Pernyataan selera risiko dibuat diselaraskan dengan pernyataan selera
secara bertahap (misal metrik risiko di tingkat perusahaan
khusus Unit Bisnis) dengan o Telah ada peraturan yang jelas mengenai
arahan yang jelas untuk kewajiban untuk mematuhi selera risiko dan
diselaraskan dengan pernyataan prosedur untuk memberikan persetujuan
selera risiko di tingkat perusahaan atas setiap pengecualian
o Telah ada peraturan yang jelas • Telah ada bukti yang jelas atas kinerja
mengenai kewajiban untuk implementasi selera risiko yang baik dalam
mematuhi selera risiko dan penerapan selera risiko di tingkat perusahaan.
prosedur untuk memberikan
persetujuan atas setiap
pengecualian.
• Telah ada bukti yang jelas atas
kinerja implementasi selera risiko
yang baik dalam penerapan selera
risiko di tingkat perusahaan.
26. Komunikasi Beberapa pernyataan selera risiko Telah ada komunikasi yang jelas Selera dan strategi risiko adalah bagian • Selera dan strategi risiko adalah • Selera dan strategi risiko adalah bagian inti
selera Risiko telah disampaikan kepada kepada pemangku kepentingan inti dari komunikasi investor dan bagian inti dari komunikasi investor dari komunikasi investor dan pemangku
kepada pemangku kepentingan eksternal eksternal mengenai semua pemangku kepentingan eksternal lainnya dan pemangku kepentingan kepentingan eksternal lainnya serta
pemangku namun dalam konteks ad-hoc selera risiko, namun serta penyampaiannya dilakukan secara eksternal lainnya serta penyampaiannya dilakukan secara rutin,
kepentingan penyampaian selera risiko belum rutin, misal tercantum pada laporan penyampaiannya dilakukan secara misal tercantum pada laporan tahunan
eksternal dilakukan secara rutin tahunan rutin, misal tercantum pada laporan • Pemangku kepentingan utama memahami
tahunan dan menerima selera dan strategi risiko
• Pemangku kepentingan utama • Dilakukan pembahasan secara aktif
memahami dan menerima selera mengenai selera dan strategi risiko bersama
dan strategi risiko. pemangku kepentingan utama (misal dibahas
dalam rapat triwulanan pemegang saham).
b. 27. Kebijakan Telah ada beberapa proses dan Telah ada kebijakan dan • Telah ada kebijakan dan prosedur • Telah ada proses dan kontrol risiko • Telah ada proses dan pengendalian risiko
Kebijakan dan/atau kontrol risiko, namun belum formal prosedur formal untuk mengatur formal untuk mengatur proses yang bersifat formal, dimuat dalam yang bersifat formal, dimuat dalam
dan prosedur proses pengendalian risiko pengendalian risiko dan sebagian kebijakan/ prosedur manajemen kebijakan/prosedur manajemen risiko dan
Prosedur
terkait proses secara garis besar namun belum besar kontrol telah diformalkan ke risiko dan dilengkapi dengan dilengkapi dengan prosedur pendukungnya
dan kontrol semua kontrol risiko sudah dalam kebijakan/prosedur baku prosedur pendukungnya untuk untuk penerapan di perusahaan, termasuk:
Risiko diformalkan ke dalam • Tidak semua kebijakan, prosedur, dan penerapan di perusahaan, termasuk: o Prosedur risiko yang diterapkan pada
kebijakan/prosedur baku pengendalian risiko telah o Prosedur risiko yang diterapkan setiap proses bisnis yang berkaitan dengan
terharmonisasi/ dilakukan integrasi pada setiap proses bisnis yang risiko-risiko material perusahaan
dengan proses bisnis yang ada (misal berkaitan dengan risiko-risiko o Telah ada pemodelan proses/dokumentasi
kebijakan kontrol sudah formal tetapi material perusahaan proses yang tepat
139
Sub Kriteria
Dimensi Parameter
terpisah) sehingga komunikasi dan o Telah ada pemodelan o Mitigasi/pengendalian risiko diidentifikasi
penerapannya kurang efektif proses/dokumentasi proses yang dalam proses (misal terdapat pelatihan
• Harga (Pricing) harus dibuat pada tepat kebijakan yang bersifat wajib sebelum
tingkat kontrak. Harga yang tepat o Mitigasi/pengendalian risiko melakukan kegiatan bisnis berisiko tinggi),
harus mencakup kerugian yang diidentifikasi dalam proses (misal termasuk setiap kegiatan self-assurance
diharapkan (diperkirakan sebagai terdapat pelatihan kebijakan yang • Telah dilakukan harmonisasi/integrasi
bersifat wajib sebelum melakukan kebijakan, standar, dan prosedur risiko
produk dari frekuensi risiko dan tingkat
kegiatan bisnis berisiko tinggi), dengan proses bisnis yang ada, dan secara
dampak, dimodelkan secara
termasuk setiap kegiatan self- efektif telah dikomunikasikan ke seluruh lini
independen dengan regresi non-
assurance. Perusahaan, termasuk prosedur yang
linear), biaya akuisisi nasabah, biaya
• Telah dilakukan harmonisasi diturunkan ke dalam Unit Bisnis tertentu/anak
penjaminan, dan margin. Harga
/integrasi kebijakan, standar, dan perusahaan
minimum dan target harus ditentukan.
prosedur risiko dengan proses bisnis • Telah ada database yang mudah diakses dan
yang ada, dan secara efektif telah terpusat untuk SOP terbaru (misal intranet,
dikomunikasikan ke seluruh lini solusi manajemen SOP, kontrol dokumen)
Perusahaan, termasuk prosedur
• Pengendalian risiko paling sedikit mencakup
yang diturunkan ke dalam Unit
metode untuk mengendalikan risiko
Bisnis tertentu/anak perusahaan
keberlangsungan bisnis serta
• Pengendalian risiko paling sedikit mempertimbangkan eksposur risiko dan
mencakup metode untuk selera risiko perusahaan
mengendalikan risiko
• Selain itu, kebijakan/prosedur tersebut
keberlangsungan bisnis, serta
diimplementasikan secara efektif, dan
mempertimbangkan eksposur risiko
keefektifannya ditinjau secara periodik melalui
dan selera risiko perusahaan
kegiatan audit yang terdokumentasi.
• Harga (Pricing) harus dibuat pada Penilaian keefektifan pelaksanaan prosedur
tingkat kontrak. Harga yang tepat dan pengendalian dapat mencakup:
harus mencakup kerugian yang o Identifikasi pegawai utama yang
diharapkan (diperkirakan sebagai bertanggung jawab/mampu
produk dari frekuensi risiko dan mengoperasikan prosedur dan
tingkat dampak, dimodelkan secara pengendalian
independen dengan regresi non- o Evaluasi desain pengendalian (misal
linear), biaya akuisisi nasabah, biaya pengujian langsung, lokakarya) dan analisis
penjaminan, dan margin. Harga kemungkinan kegagalan pengendalian
minimum dan target harus untuk memitigasi risiko
ditentukan. o Peninjauan laporan audit untuk mengetahui
• Telah ada perhitungan Risk Based adanya kekurangan prosedur
Minimum Capital (RBMC) dengan o Identifikasi KPI untuk pemantauan
prosedur yang ditentukan OJK. keefektifan proses/prosedur yang sedang
berlangsung (outcome-based)
Risiko asuransi dihitung sebagai
• Harga (Pricing) harus dibuat pada tingkat
selisih antara PR3 pada tingkat
kontrak. Harga yang tepat harus mencakup
keyakinan 95% dengan PR menurut
kerugian yang diharapkan (diperkirakan
laporan posisi keuangan. Risiko
sebagai produk dari frekuensi risiko dan
140
Sub Kriteria
Dimensi Parameter
lainnya dihitung berdasarkan nilai tingkat dampak, dimodelkan secara
neraca dikalikan dengan faktor yang independen dengan regresi non-linear), biaya
disetujui oleh OJK. akuisisi nasabah, biaya penjaminan, dan
• Teknis perhitungan provisi sesuai margin. Harga minimum dan target harus
dengan teknis penilaian OJK. ditentukan.
Perhitungan provisi asuransi • Telah ada perhitungan Risk Based Minimum
didasarkan pada penjumlahan Best Capital (RBMC) dengan prosedur yang
Estimate Liability (BEL) dan ditentukan OJK. Risiko asuransi dihitung
Provision for Adverse Deviation sebagai selisih antara PR3 pada tingkat
(PAD) pada tingkat kepercayaan keyakinan 95% dengan PR menurut laporan
persentil ke-75 (dihitung posisi keuangan. Risiko lainnya dihitung
berdasarkan model Value at berdasarkan nilai neraca dikalikan dengan
Risk/VaR, atau dengan asumsi faktor yang disetujui oleh OJK.
distribusi risiko normal) untuk • Teknis perhitungan provisi sesuai dengan
memperhitungkan adverse deviation, teknis penilaian OJK. Perhitungan provisi
dengan menggunakan data pada asuransi didasarkan pada penjumlahan Best
horizon 3-5 tahun. Untuk kontrak Estimate Liability (BEL) dan Provision for
pendek (<1 tahun), karena Adverse Deviation (PAD) pada tingkat
persyaratan OJK, median loss dapat kepercayaan persentil ke-75 (dihitung
diterapkan sebagai pengganti berdasarkan model Value at Risk/VaR, atau
persentil ke-75. dengan asumsi distribusi risiko normal) untuk
memperhitungkan adverse deviation, dengan
menggunakan data pada horizon 3-5 tahun.
Untuk kontrak pendek (<1 tahun), karena
persyaratan OJK, median loss dapat
diterapkan sebagai pengganti persentil ke-75.
• Telah ada perhitungan kebutuhan modal
solvabilitas untuk penggunaan internal
dengan model integrasi risiko berbasis IFRS
17 Solvency II yang konsisten
(memungkinkan manfaat diversifikasi
berdasarkan matriks korelasi risiko).
• Model perhitungan Best Estimate Liability
(BEL) yang terperinci dan model Value at
Risk (VaR) diimplementasikan untuk
perhitungan provisi yang lebih tepat.
141
Sub Kriteria
Dimensi Parameter
28. Kebijakan • Belum ada kebijakan dan • Telah ada kebijakan untuk • Telah ada kebijakan untuk memitigasi • Telah ada kebijakan untuk • Telah ada kebijakan untuk memitigasi
dan/atau prosedur untuk memitigasi memitigasi peristiwa-peristiwa peristiwa-peristiwa risiko penting yang memitigasi peristiwa-peristiwa risiko peristiwa-peristiwa risiko penting yang
prosedur untuk peristiwa-peristiwa risiko penting risiko penting yang diformalkan dalam kebijakan/prosedur penting yang diformalkan dalam diformalkan dalam kebijakan/prosedur baku,
mitigasi yang diformalkan dalam diformalkan dalam baku, termasuk mencakup risiko kebijakan/prosedur baku, termasuk termasuk mencakup risiko kebocoran data
peristiwa kebijakan/prosedur baku kebijakan/prosedur baku kebocoran data klien mencakup risiko kebocoran data klien
penting terkait • Namun telah ada prosedur • Standar dan prosedur • Kebijakan, standar, dan prosedur klien • Kebijakan, standar, dan prosedur tersebut
kerahasiaan informal yang didasarkan oleh pendukung belum disediakan tersebut mendefinisikan peran dan • Kebijakan, standar, dan prosedur mendefinisikan peran dan tanggung jawab
data perencanaan ad-hoc/analisis untuk memberikan panduan tanggung jawab jabatan serta tersebut mendefinisikan peran dan jabatan serta memberikan panduan dan
post-mortem peristiwa risiko implementasi proses yang memberikan panduan dan proses yang tanggung jawab jabatan serta proses yang jelas mengenai cara
yang sudah terjadi sebelumnya jelas jelas mengenai cara penanganan memberikan panduan dan proses penanganan kebocoran data.(misal apa yang
• Kebijakan belum mencakup kebocoran data (misal apa yang harus yang jelas mengenai cara harus dievaluasi oleh fungsi legal, kapan
risiko kebocoran data klien dievaluasi oleh fungsi legal, kapan penanganan kebocoran data (misal harus mempublikasikan kebocoran tersebut
harus mempublikasikan kebocoran apa yang harus dievaluasi oleh dan kapan perlu bekerja sama dengan pihak
tersebut dan kapan perlu bekerja sama fungsi legal, kapan harus berwenang secara tertutup, dan sebagainya)
dengan pihak berwenang secara mempublikasikan kebocoran • Telah ada kebijakan dan prosedur untuk
tertutup, dan sebagainya) tersebut dan kapan perlu bekerja melindungi informasi digital dari akses oleh
sama dengan pihak berwenang pihak yang tidak berwenang, kerusakan data,
secara tertutup, dan sebagainya) atau pencurian data di seluruh siklus
• Telah ada kebijakan dan prosedur pengolahan data, yang mencakup setiap
untuk melindungi informasi digital aspek keamanan informasi mulai dari
dari akses oleh pihak yang tidak keamanan fisik perangkat keras dan
berwenang, kerusakan data, atau perangkat penyimpanan hingga aplikasi
pencurian data di seluruh siklus administrasi dan kontrol akses, kebijakan dan
pengolahan data, yang mencakup prosedur organisasi
setiap aspek keamanan informasi • Keefektifan didukung oleh bukti kinerja
mulai dari keamanan fisik perangkat penurunan/pemertahanan jumlah kasus dan
keras dan perangkat penyimpanan kerugian yang disebabkan oleh kebocoran
hingga aplikasi administrasi dan data secara year-on-year
kontrol akses, kebijakan dan • Kebijakan/prosedur Manajemen Risiko
prosedur organisasi dilengkapi dengan standar dan prosedur
pendukungnya diimplementasikan secara
efektif serta keefektifannya ditinjau secara
periodik melalui kegiatan yang
terdokumentasi
• Dilakukan benchmarking secara periodik
untuk perbaikan kebijakan, prosedur, dan
standar
142
Sub Kriteria
Dimensi Parameter
29. Rencana • Perusahaan belum memiliki • Telah ada rencana darurat • Telah ada rencana darurat yang dapat • Telah ada rencana darurat yang • Telah ada rencana darurat yang dapat
darurat rencana keberlangsungan bisnis namun hanya untuk ditindaklanjuti (langkah-langkah dapat ditindaklanjuti (langkah- ditindaklanjuti (langkah-langkah tindakan,
(contingency dan rencana darurat yang telah memenuhi persyaratan tindakan, dengan trigger point, nilai langkah tindakan, dengan trigger dengan trigger point, nilai ambang batas,
plan) dikodifikasi dalam bentuk minimum regulator. ambang batas, serta langkah yang point, nilai ambang batas, serta serta langkah yang harus dilakukan) terkait
kebijakan • Rencana darurat belum bisa harus dilakukan) terkait langkah yang harus dilakukan) keberlangsungan bisnis dan manajemen
• Namun, telah ada kerangka ditindaklanjuti (misal rencana keberlangsungan bisnis dan terkait keberlangsungan bisnis dan krisis.
rencana keberlangsungan bersifat umum, tanpa trigger manajemen krisis. manajemen krisis. • Telah ada dokumentasi mengenai:
bisnis/kontingensi secara point dan nilai ambang • Telah ada dokumentasi mengenai: • Telah ada dokumentasi mengenai: o Rencana manajemen krisis (alur rantai
informal (misal didasarkan oleh batas). o Rencana manajemen krisis (alur o Rencana manajemen krisis (alur komando dalam kondisi krisis, proses
pengalaman perusahaan • Tanggung jawab belum rantai komando dalam kondisi krisis, rantai komando dalam kondisi untuk menangani tugas-tugas utama)
menangani skenario krisis di ditetapkan dengan jelas proses untuk menangani tugas- krisis, proses untuk menangani o Rencana darurat kas/likuiditas
masa lalu) (misal bentuk rantai komando tugas utama) tugas-tugas utama) • Rencana darurat disusun melebihi kriteria
dalam keadaan krisis). o Rencana darurat kas/likuiditas) o Rencana darurat kas/likuiditas) yang diprasyaratkan regulator.
• Rencana darurat disusun melebihi • Rencana darurat disusun melebihi • Dilakukan pengujian terhadap rencana
kriteria yang diprasyaratkan regulator. kriteria yang diprasyaratkan keberlangsungan bisnis dan manajemen
regulator. krisis secara berkala (misal setahun dua kali)
• Dilakukan pengujian terhadap yang melibatkan manajemen senior untuk
rencana keberlangsungan bisnis mereviu, mengkritisi dan memperbaiki
(business continuity kualitasnya, contohnya:
management/BCM) dan manajemen o Telah ada simulasi kejadian krisis yang
krisis secara berkala (misal satu kali dilakukan tahunan
dalam setahun) yang melibatkan o Telah ada pengujian rencana kontingensi
manajemen senior untuk mereviu, oleh pihak independen (misal audit ISO
mengkritisi dan memperbaiki 22301:2019)
kualitasnya, contohnya: o Rencana BCM ditingkatkan secara berkala
o Telah ada simulasi kejadian krisis berdasarkan praktik terbaik terbaru
yang dilakukan tahunan o Tinjauan post-mortem atas simulasi dan
o Telah ada pengujian rencana penggabungan pembelajaran
darurat oleh pihak independen • Setiap pemangku kepentingan (termasuk Unit
(misal audit ISO 22301:2019) Bisnis) memahami dan menerima peran dan
o Rencana BCM ditingkatkan secara tanggung jawabnya dalam kondisi krisis
berkala berdasarkan praktik melalui change management, contohnya:
terbaik terbaru o Jajaran pimpinan telah dilatih tentang
o Tinjauan post-mortem atas manajemen keberlangsungan bisnis
simulasi dan penggabungan o Tim operasional menerima pelatihan
pembelajaran manajemen keberlangsungan bisnis
o Rencana keberlangsungan bisnis tingkat
fungsi diadaptasi berdasarkan rencana
keberlangsungan bisnis tingkat perusahaan
o Manajemen keberlangsungan bisnis untuk
setiap lini didefinisikan dan
diimplementasikan (model operasi krisis)
143
Sub Kriteria
Dimensi Parameter
• Rencana keberlangsungan bisnis pernah
diterapkan dengan baik pada kejadian-
kejadian krisis di masa lampau.
30. Reviu dan Sesi reviu pernah digunakan untuk • Telah ada reviu informal • Dilakukan reviu dan stress test rutin • Dilakukan reviu dan stress test rutin • Dilakukan reviu dan stress test rutin (misal
Stress test membenahi beberapa prosedur dan dan/atau parsial terhadap (misal tahunan) untuk sebagian (misal tahunan) terhadap sebagian tahunan) terhadap sebagian besar prosedur
terhadap SOP namun dilaksanakan secara prosedur dalam beberapa (namun tidak semua) prosedur dan besar prosedur dan SOP utama dan SOP utama yang berkaitan dengan risiko
prosedur dan ad-hoc dan frekuensi yang kurang waktu atau saat SOP utama yang berkaitan dengan yang berkaitan dengan risiko utama utama perusahaan, serta dilakukan
SOP rutin (misal 2-3 tahun sekali) diprasyaratkan oleh regulator. risiko utama perusahaan, serta perusahaan, serta dilakukan identifikasi area-area perbaikan
• Reviu prosedur dilakukan di dilakukan identifikasi area-area identifikasi area-area perbaikan. • Jajaran manajemen senior terlibat secara aktif
level unit kerja, dengan perbaikan. • Jajaran manajemen senior terlibat dalam melakukan reviu, mengkritisi, dan
sedikit keterlibatan dari • Jajaran manajemen senior terlibat secara aktif dalam melakukan reviu, memperbaiki proses melalui stress test
jajaran manajemen senior. secara aktif dalam melakukan reviu, mengkritisi, dan memperbaiki proses setidaknya satu kali dalam setahun, misal:
• Belum dilakukan stress test mengkritisi, dan memperbaiki proses melalui stress test setidaknya satu o Terlibat dalam simulasi krisis/workshop
pada prosedur dan SOP melalui stress test, meskipun sebagian kali dalam setahun, misal: o Terlibat dalam identifikasi titik-titik lemah
besar pelaksanaannya masih o Terlibat dalam simulasi proses/root-cause analysis
dilakukan oleh unit kerja krisis/workshop • Dilakukan perbaikan berkesinambungan
o Terlibat dalam identifikasi titik-titik terhadap prosedur, benchmarking terhadap
lemah proses/root-cause analysis praktik terbaik, serta sosialisasi ke seluruh lini
perusahaan sepanjang waktu.
• Telah ada database yang mudah diakses dan
terpusat untuk SOP terbaru (misal intranet,
solusi manajemen SOP, kontrol dokumen).
c. Fungsi 31. Organ fungsi • Belum ada departemen/divisi • Telah ada departemen/divisi • Seluruh proses kepatuhan terpisah • Seluruh proses kepatuhan terpisah • Seluruh proses kepatuhan terpisah dari
Kepatuhan kepatuhan dan kepatuhan yang dibentuk secara kepatuhan yang dibentuk dari proses bisnis sehari-hari (misal dari proses bisnis sehari-hari (misal proses bisnis sehari-hari (misal terdapat
perannya formal dan independen, namun secara formal terdapat proses tersendiri untuk kaji terdapat proses terpisah untuk proses terpisah untuk proses kaji ulang/reviu)
telah ada dalam bentuk unit kerja • Telah ada beberapa kasus di ulang/reviu), berfokus pada proses kaji ulang/reviu) • Telah ada pemisahan yang jelas antara peran
• Sebagian besar proses mana proses kepatuhan pemenuhan persyaratan regulator • Telah ada pemisahan yang jelas dan tanggung jawab jabatan divisi risiko
kepatuhan belum secara jelas belum secara jelas terpisah • Telah ada pemisahan yang jelas antara peran dan tanggung jawab (khususnya risiko operasional) kepatuhan dan
terpisah dari proses bisnis dari proses bisnis sehari-hari antara peran dan tanggung jawab jabatan divisi risiko (khususnya risiko audit, contohnya:
sehari-hari (misal tidak ada (misal tidak ada proses jabatan divisi risiko (khususnya risiko operasional) kepatuhan dan audit, o Peninjauan bersama atas peran dan
proses tersendiri untuk kaji tersendiri untuk kaji operasional) kepatuhan dan audit, contohnya: tanggung jawab yang telah dikodifikasi
ulang/reviu) ulang/reviu) contohnya: o Peninjauan bersama atas peran (misal kebijakan) untuk meminimalkan
• Belum ada pemisahan yang o Peninjauan bersama atas peran dan dan tanggung jawab yang telah tumpang tindih dan memperjelas
jelas antara divisi risiko tanggung jawab yang telah dikodifikasi (misal kebijakan) untuk kepemilikan tugas dan kegiatan antara
(khususnya risiko dikodifikasi (misal kebijakan) untuk meminimalkan tumpang tindih dan risiko, audit, dan kepatuhan
operasional), kepatuhan dan meminimalkan tumpang tindih dan memperjelas kepemilikan tugas o Rapat terdokumentasi untuk bersama-
audit memperjelas kepemilikan tugas dan dan kegiatan antara risiko, audit, sama menyelaraskan prioritas inisiatif
kegiatan antara risiko, audit, dan dan kepatuhan perbaikan/mengoordinasikan tindakan
kepatuhan o Rapat terdokumentasi untuk untuk menghindari duplikasi
o Rapat terdokumentasi untuk bersama-sama menyelaraskan mitigasi/rencana kerja
bersama-sama menyelaraskan prioritas inisiatif
144
Sub Kriteria
Dimensi Parameter
prioritas inisiatif perbaikan/mengoordinasikan • Kegiatan kepatuhan berfokus pada
perbaikan/mengoordinasikan tindakan untuk menghindari pemenuhan kebijakan perusahaan selain
tindakan untuk menghindari duplikasi duplikasi mitigasi/rencana kerja pemenuhan persyaratan regulator
mitigasi/rencana kerja • Kegiatan kepatuhan berfokus pada • Perusahaan menerapkan pendekatan bottom-
pemenuhan kebijakan perusahaan up untuk memeriksa pemenuhan persyaratan
selain pemenuhan persyaratan kepatuhan dan statusnya saat ini terhadap
regulator persyaratan regulator dan praktik terbaik
• Perusahaan menerapkan industri, contohnya:
pendekatan bottom-up untuk o Fungsi kepatuhan memastikan tersedianya
memeriksa pemenuhan persyaratan katalog kontrol bottom-up yang
kepatuhan dan statusnya saat ini komprehensif (misal untuk risiko siber)
terhadap persyaratan regulator dan o Bukti yang jelas mengenai penilaian
praktik terbaik industri, contohnya: dampak secara komprehensif atas
o Fungsi kepatuhan memastikan peraturan baru terhadap
tersedianya katalog kontrol kebijakan/prosedur yang ada
bottom-up yang komprehensif • Telah ada keterkaitan yang harmonis antara
(misal untuk risiko siber) proses risiko operasional dengan proses
o Bukti yang jelas mengenai kepatuhan/audit (misal identifikasi,
penilaian dampak secara pengukuran, pengelolaan limit risiko,
komprehensif atas peraturan baru pemanfaatan taksonomi risiko umum dan
terhadap kebijakan/prosedur yang sistem informasi umum)
ada • Kepatuhan terhadap kebijakan perusahaan
diperiksa secara rutin maupun secara acak
sepanjang tahun
• Terdapat bukti bahwa fungsi kepatuhan dapat
menjalankan peran sebagai advisory yang
efektif bila diperlukan, misalnya secara
konsisten memberikan saran berkualitas
kepada mitra bisnis, termasuk dalam
menangani isu-isu sulit (misal menyediakan
informasi yang tersedia dan disesuaikan
dengan kebutuhan bisnis mengenai
persyaratan Kepatuhan, menerjemahkan
persyaratan regulasi ke dalam rekomendasi
yang dapat ditindaklanjuti dan praktis).
d. Efektifitas 32. Efektivitas Perusahaan masih dalam tahap • Telah ada kontrol risiko di • Telah ada kebijakan yang jelas • Dilakukan pemonitoran terhadap • Dilakukan optimalisasi tata kelola, struktur,
Manajemen praktik awal penerapan kontrol risiko, sebagian besar bidang/unit, mendefinisikan organisasi risiko, peran struktur, proses dan kontrol risiko proses dan kontrol di seluruh Dimensi dan
Risiko dan Manajemen khusus untuk bidang/unit/proses tetapi belum ada standar dan tanggung jawab didefinisikan dan • Dilakukan pengawasan terhadap sesuai dengan acuan praktik terbaik (misal
Pengendali
Risiko tertentu yang memiliki risiko inheren umum dan belum didokumentasikan deviasi secara rutin (paling sedikit dibentuk Model Tata Kelola Risiko Tiga Lini di
an Intern
tinggi diformalkan/ • Proses dan kontrol risiko diterapkan satu kali dalam setahun) dan seluruh divisi bisnis termasuk anak
didokumentasikan sesuai kebijakan yang merujuk pada ditangani dengan tepat serta perusahaan)
.
145
Sub Kriteria
Dimensi Parameter
• Penanganan masalah standar tertentu, namun tidak dilakukan tindakan preventif pada • Telah ada hasil penilaian benchmarking
dilakukan secara ad-hoc/ dilakukan pemonitoran kepatuhannya. area-area dengan risiko tinggi terhadap praktik terbaik global/eksternal untuk
kasus per kasus • Dilakukan tindakan korektif terhadap mengidentifikasi kesenjangan dan area yang
• Sangat bergantung pada struktur/proses yang kurang efektif perlu ditingkatkan, serta bukti penyesuaian
pengetahuan/keahlian untuk menangani area-area kerangka ERM yang telah dilakukan
individu kelemahan. berdasarkan hasil analisis
• Menerapkan otomatisasi/digitalisasi dan
Advanced Analytics secara sistematis
33. Efektivitas • Terdapat struktur organisasi yang • Terdapat struktur organisasi • Terdapat struktur organisasi yang • Terdapat struktur organisasi yang • Terdapat struktur organisasi yang
Pengendalian menggambarkan secara jelas yang menggambarkan secara menggambarkan secara jelas kegiatan menggambarkan secara jelas menggambarkan secara jelas kegiatan usaha
Intern kegiatan usaha BUMN jelas kegiatan usaha BUMN usaha BUMN kegiatan usaha BUMN BUMN
• Telah ditetapkan jalur pelaporan • Telah ditetapkan jalur • Telah ditetapkan jalur pelaporan dan • Telah ditetapkan jalur pelaporan dan • Telah ditetapkan jalur pelaporan dan
dan pemisahan fungsi yang jelas pelaporan dan pemisahan pemisahan fungsi yang jelas dari Lini pemisahan fungsi yang jelas dari Lini pemisahan fungsi yang jelas dari Lini Pertama
dari Lini Pertama kepada Lini fungsi yang jelas dari Lini Pertama kepada Lini Kedua Pertama kepada Lini Kedua kepada Lini Kedua
Kedua Pertama kepada Lini Kedua • Terdapat kecukupan prosedur untuk • Terdapat kecukupan prosedur untuk • Terdapat kecukupan prosedur untuk
• Terdapat kecukupan prosedur • Terdapat kecukupan prosedur memastikan kepatuhan BUMN terhadap memastikan kepatuhan BUMN memastikan kepatuhan BUMN terhadap
untuk memastikan kepatuhan untuk memastikan kepatuhan ketentuan peraturan perundang- terhadap ketentuan peraturan ketentuan peraturan perundang-undangan
BUMN terhadap ketentuan BUMN terhadap ketentuan undangan perundang-undangan • Terdapat sistem pengendalian intern sesuai
peraturan perundang-undangan peraturan perundang- • Terdapat sistem pengendalian intern • Terdapat sistem pengendalian intern dengan jenis dan tingkat Risiko yang melekat
• Belum ada sistem pengendalian undangan sesuai dengan jenis dan tingkat Risiko sesuai dengan jenis dan tingkat pada kegiatan usaha BUMN
intern sesuai dengan jenis dan • Terdapat sistem pengendalian yang melekat pada kegiatan usaha Risiko yang melekat pada kegiatan • Telah ditetapkan wewenang dan tanggung
tingkat Risiko yang melekat pada intern sesuai dengan jenis dan BUMN usaha BUMN jawab untuk pemantauan kepatuhan kebijakan
kegiatan usaha BUMN tingkat Risiko yang melekat • Telah ditetapkan wewenang dan • Telah ditetapkan wewenang dan dan prosedur Manajemen Risiko serta
• Belum ditetapkan wewenang dan pada kegiatan usaha BUMN tanggung jawab untuk pemantauan tanggung jawab untuk pemantauan penetapan strategi Risiko dan pelaksanaannya
tanggung jawab untuk • Telah ditetapkan wewenang kepatuhan kebijakan dan prosedur kepatuhan kebijakan dan prosedur telah dilakukan secara optimal
pemantauan kepatuhan kebijakan dan tanggung jawab untuk Manajemen Risiko serta penetapan Manajemen Risiko serta penetapan • Dokumentasi telah lengkap dan memadai
dan prosedur Manajemen Risiko pemantauan kepatuhan strategi Risiko dan pelaksanaannya strategi Risiko dan pelaksanaannya terhadap prosedur operasional, cakupan, dan
serta penetapan strategi Risiko kebijakan dan prosedur telah dilakukan secara optimal telah dilakukan secara optimal temuan audit, serta tanggapan Direksi
• Dokumentasi belum secara Manajemen Risiko serta • Dokumentasi telah lengkap dan • Dokumentasi telah lengkap dan terhadap hasil audit
lengkap dan memadai terhadap penetapan strategi Risiko memadai terhadap prosedur memadai terhadap prosedur • Pelaporan keuangan dan kegiatan operasional
prosedur operasional, cakupan, • Dokumentasi belum secara operasional, cakupan, dan temuan operasional, cakupan, dan temuan telah dilakukan namun belum akurat dan tepat
dan temuan audit, serta lengkap dan memadai audit, serta tanggapan Direksi terhadap audit, serta tanggapan Direksi waktu;
tanggapan Direksi terhadap hasil terhadap prosedur hasil audit terhadap hasil audit • Telah dilakukan kaji ulang atau reviu yang
audit operasional, cakupan, dan • Pelaporan keuangan dan kegiatan • Pelaporan keuangan dan kegiatan efektif, independen, objektif terhadap prosedur
• pelaporan keuangan dan kegiatan temuan audit, serta tanggapan operasional telah dilakukan namun operasional telah dilakukan namun penilaian kegiatan operasional BUMN, sistem
operasional telah dilakukan Direksi terhadap hasil audit belum akurat dan tepat waktu; belum akurat dan tepat waktu; informasi Manajemen Risiko, dan penanganan
namun belum akurat dan tepat • pelaporan keuangan dan • Telah dilakukan kaji ulang atau reviu • Telah dilakukan kaji ulang atau reviu kelemahan BUMN yang bersifat material. Kaji
waktu; kegiatan operasional telah yang efektif, independen, objektif yang efektif, independen, objektif ulang telah dilakukan secara berkala dan
• Telah dikaji ulang atau reviu yang dilakukan namun belum akurat terhadap prosedur penilaian kegiatan terhadap prosedur penilaian kegiatan berkesinambungan
efektif, independen, dan objektif dan tepat waktu; operasional BUMN, sistem informasi operasional BUMN, sistem informasi
146
Sub Kriteria
Dimensi Parameter
terhadap prosedur penilaian • Telah dikaji ulang atau reviu Manajemen Risiko, dan penanganan Manajemen Risiko, dan penanganan • Telah dilakukan pengujian dan kaji ulang atau
kegiatan operasional BUMN; yang efektif, independen, dan kelemahan BUMN yang bersifat kelemahan BUMN yang bersifat reviu yang memadai terhadap sistem informasi
objektif terhadap prosedur material. Kaji ulang telah dilakukan material. Kaji ulang telah dilakukan Manajemen Risiko
penilaian kegiatan operasional secara berkala dan berkesinambungan secara berkala dan • Telah dilakukan verifikasi dan kaji ulang atau
BUMN • Telah dilakukan pengujian dan kaji berkesinambungan reviu secara berkala dan berkesinambungan
• Telah dilakukan pengujian dan ulang atau reviu yang memadai • Telah dilakukan pengujian dan kaji terhadap penanganan kelemahan BUMN yang
kaji ulang atau reviu yang terhadap sistem informasi Manajemen ulang atau reviu yang memadai bersifat material dan tindakan Direksi untuk
memadai terhadap sistem Risiko terhadap sistem informasi memperbaiki penyimpangan yang terjadi.
informasi Manajemen Risiko • Telah dilakukan verifikasi dan kaji ulang Manajemen Risiko • Telah dilakukan proses tindaklanjut atas hasil
• Telah dilakukan verifikasi dan atau reviu secara berkala dan • Telah dilakukan verifikasi dan kaji kaji ulang/reviu kegiatan operasional BUMN,
kaji ulang atau reviu secara berkesinambungan terhadap ulang atau reviu secara berkala dan sistem informasi Manajemen Risiko, dan
berkala dan penanganan kelemahan BUMN yang berkesinambungan terhadap penanganan kelemahan BUMN yang bersifat
berkesinambungan terhadap bersifat material dan tindakan Direksi penanganan kelemahan BUMN yang material dengan telah terdapat dokumentasi
penanganan kelemahan untuk memperbaiki penyimpangan yang bersifat material dan tindakan Direksi atas progres dan evidence atas tindak lanjut
BUMN yang bersifat material terjadi. untuk memperbaiki penyimpangan tersebut. Penyelesaian tindaklanjut atas hasil
dan tindakan Direksi untuk • Tindaklanjut atas hasil kaji ulang/reviu yang terjadi. reviu/temuan dilakukan secara tuntas (100%)
memperbaiki penyimpangan kegiatan operasional BUMN, sistem • Telah dilakukan proses tindaklanjut minimal 3 (tiga) tahun terakhir.
yang terjadi. informasi Manajemen Risiko, atas hasil kaji ulang/ reviu kegiatan
• Belum dilakukan tindaklanjut penanganan kelemahan BUMN yang operasional BUMN, sistem informasi
atas hasil kaji ulang/reviu bersifat material telah selesai dilakukan Manajemen Risiko, dan penanganan
kegiatan operasional BUMN, sebagian dan terdapat dokumentasi kelemahan BUMN yang bersifat
sistem informasi Manajemen atas progres dan evidence atas tindak material dengan telah terdapat
Risiko, dan penanganan lanjut tersebut. dokumentasi atas progres dan
kelemahan BUMN yang evidence atas tindak lanjut tersebut.
bersifat material. Penyelesaian tindaklanjut atas hasil
reviu/ temuan dilakukan secara tuntas
(100%).
a. 34. Identifikasi Telah ada taksonomi risiko informal • Telah ada taksonomi risiko • Telah ada taksonomi risiko yang • Telah ada taksonomi risiko • Telah ada taksonomi risiko integrasian yang
Identifikasi Risiko utama yang digunakan dalam identifikasi dan mencakup sejumlah terhubung dengan bisnis, dan integrasian yang terhubung dengan terhubung dengan bisnis, dan mencakup
Risiko dan analisis risiko utama, namun risiko utama (taksonomi mencakup risiko-risiko utama dan risiko bisnis, dan mencakup risiko-risiko risiko-risiko utama dan risiko kompleks (misal
belum dilakukan standardisasi mencakup risiko terkait kompleks (misal risiko kode etik kerja, utama dan risiko kompleks (misal risiko kode etik kerja, reputasi) serta
taksonomi (misal Unit Bisnis/divisi regulasi dan keuangan) reputasi) risiko kode etik kerja, reputasi) serta mencakup risiko yang akan muncul (emerging
berbeda menggunakan penamaan • Taksonomi risiko belum • Taksonomi risiko sudah diterapkan mencakup risiko yang akan muncul risk) termasuk risiko-risiko masa depan
dan klasifikasi risiko yang berbeda) diterapkan secara konsisten secara konsisten di ketiga lini/anak (emerging risk) termasuk risiko-risiko (forward-looking risks) (misal risiko
dan belum dilakukan formalisasi di ketiga lini/anak perusahaan perusahaan (jika relevan), meskipun masa depan (forward-looking risks) lingkungan, sosial dan tata kelola/ESG, risiko
dalam kebijakan pusat (jika relevan), meskipun pemetaan kerangka kerja taksonomi (misal risiko lingkungan, sosial dan analitik, dan sebagainya).
pemetaan kerangka kerja risiko yang berbeda mungkin ada tata kelola/ESG, risiko analitik, dan • Taksonomi risiko secara konsisten diterapkan
taksonomi risiko yang • Telah ada metodologi identifikasi sebagainya). di ketiga lini, serta terdapat kerangka dan
berbeda mungkin ada risiko, yang setidaknya • Taksonomi risiko secara konsisten sistem Manajemen Risiko Perusahaan yang
mempertimbangkan risiko-risiko yang diterapkan di ketiga lini, serta komprehensif, misalnya:
147
Sub Kriteria
Dimensi Parameter
• Telah ada proses identifikasi melekat pada proses bisnis di BUMN terdapat kerangka dan sistem o Telah ada pemahaman dan pemanfaatan
risiko, yang utamanya dan target risiko residual secara Manajemen Risiko Perusahaan taksonomi risiko oleh Unit Bisnis dalam
dilakukan dengan pendekatan bottom-up dan top-down, yang yang komprehensif, misalnya: keseharian kegiatan usaha (misal
bottom-up, setidaknya biasanya dilakukan di setiap triwulan o Telah ada pemahaman dan pengambilan keputusan berbasis risiko)
mempertimbangkan risiko- • Proses identifikasi risiko menganalisis: pemanfaatan taksonomi risiko o Taksonomi risiko yang terkini digunakan
risiko yang melekat pada o Karakteristik risiko inheren BUMN, oleh Unit Bisnis dalam keseharian untuk mengklasifikasikan risiko dalam risk
proses bisnis di BUMN dan dan kegiatan usaha (misal register
target risiko residual. o Risiko-risiko dari kegiatan usaha pengambilan keputusan berbasis o Analisis risiko (misal dalam sistem
• Bahasa, kata-kata, atau istilah BUMN risiko) informasi manajemen) menggunakan
yang digunakan dalam proses • Bahasa, kata-kata, atau istilah yang o Taksonomi risiko yang terkini taksonomi risiko (misal untuk integrasi
identifikasi risiko sudah digunakan dalam proses identifikasi digunakan untuk risiko)
konsisten dan tidak rancu risiko sudah konsisten dan tidak rancu mengklasifikasikan risiko dalam o Pemantauan risiko dilakukan untuk setiap
antara risiko dengan antara risiko dengan penyebab risiko, risk register Taksonomi risiko
penyebab risiko. potensi dampak, atau potensi dampak o Analisis risiko (misal dalam sistem o Taksonomi risiko secara konsisten
• Proses identifikasi risiko ini yang disebabkan pengendalian risiko informasi manajemen) diterapkan di seluruh anak perusahaan (jika
dilakukan tahunan oleh Unit yang tidak efektif. menggunakan taksonomi risiko relevan)
Bisnis, dengan eksposur • Telah ada gambaran umum eksposur (misal untuk integrasi risiko) • Dilakukan pengkinian terhadap taksonomi
risiko yang tergambar dari risk risiko, yang dicatat pada risk register. o Pemantauan risiko dilakukan risiko dan secara rutin dikaji ulang (sekurang-
register • Terdapat metode dan alat yang untuk setiap taksonomi risiko kurangnya satu kali dalam setahun) guna
• Telah ada beberapa risk memadai dan digunakan secara o Taksonomi risiko secara konsisten memastikan keterkiniannya dan tetap
register dari setiap Unit Bisnis konsisten dan efektif untuk melakukan diterapkan di seluruh anak komprehensif terutama untuk mengetahui
• Terdapat metode dan alat proses identifikasi risiko di perusahaan, perusahaan (jika relevan) risiko yang muncul, misalnya melalui:
yang memadai dan digunakan seperti wawancara, analisis alur • Telah ada bukti yang jelas atas o Benchmarking eksternal terhadap risk
secara konsisten dan efektif proses, proyeksi, penelusuran temuan kinerja penerapan taksonomi risiko, universe untuk industri/wilayah geografis
untuk melakukan proses audit, loss event data, dan lainnya. di antaranya: o Tinjauan rutin (misal dua kali dalam
identifikasi risiko di Identifikasi risiko dilakukan dengan o Telah ada taksonomi risiko yang setahun) dengan para Direksi mengenai
perusahaan, seperti menggunakan informasi bersifat komprehensif, biasanya 2-4 level perubahan lingkungan (misal ekonomi,
wawancara, analisis alur kuantitatif dan kualitatif. o Level taksonomi risiko di setiap politik, regulasi) yang dapat berdampak
proses, proyeksi, penelusuran jenis risiko disesuaikan dengan pada taksonomi risiko
temuan audit. Identifikasi kebutuhan o Mengadakan workshop untuk meninjau
risiko dilakukan dengan • Telah ada metodologi identifikasi taksonomi risiko
menggunakan informasi risiko yang setidaknya • Telah ada bukti yang jelas atas kinerja
bersifat kualitatif mempertimbangkan risiko-risiko penerapan taksonomi risiko, di antaranya:
yang melekat pada proses bisnis di o Telah ada taksonomi risiko yang
BUMN dan target risiko residual komprehensif, biasanya 2-4 level
secara bottom-up di level bisnis, dan o Level taksonomi risiko di setiap jenis risiko
top-down yang dipimpin tim pusat. disesuaikan dengan kebutuhan
Identifikasi risiko dilakukan melalui • Telah ada metodologi identifikasi risiko yang
pendekatan top-down berdasarkan setidaknya mempertimbangkan risiko-risiko
input dari tingkat Unit Bisnis dan yang melekat pada proses bisnis di BUMN
didefinisikan di tingkat pusat dan target risiko residual secara bottom-up di
level bisnis, dan top-down yang dipimpin tim
148
Sub Kriteria
Dimensi Parameter
• Proses identifikasi risiko pusat. Identifikasi risiko dilakukan melalui
menganalisis: pendekatan top-down berdasarkan input dari
o Karakteristik risiko inheren tingkat Unit Bisnis dan didefinisikan di tingkat
BUMN, dan pusat
o Risiko-risiko dari kegiatan usaha • Proses identifikasi risiko menganalisis:
BUMN o Karakteristik risiko inheren BUMN, dan
• Bahasa, kata-kata, atau istilah yang o Risiko-risiko dari kegiatan usaha BUMN
digunakan dalam proses identifikasi • Bahasa, kata-kata, atau istilah yang
risiko sudah konsisten dan tidak digunakan dalam proses identifikasi risiko
rancu antara risiko dengan sudah konsisten dan tidak rancu antara risiko
penyebab dengan penyebab risiko, potensi dampak,
risiko, potensi dampak, atau potensi atau potensi dampak yang disebabkan
dampak yang disebabkan pengendalian risiko yang tidak efektif.
pengendalian risiko yang tidak • Telah ada gambaran umum eksposur risiko,
efektif. yang dicatat pada risk register.
• Telah ada gambaran umum • Terdapat metode dan alat yang memadai dan
eksposur risiko, yang dicatat pada digunakan secara konsisten dan efektif untuk
risk register melakukan proses identifikasi risiko di
• Terdapat metode dan alat yang perusahaan, seperti wawancara, analisis alur
memadai dan digunakan secara proses, proyeksi, penelusuran temuan audit,
konsisten dan efektif untuk loss event data, dan lainnya. Identifikasi risiko
melakukan proses identifikasi risiko dilakukan dengan menggunakan informasi
di perusahaan, seperti wawancara, bersifat kuantitatif dan kualitatif.
analisis alur proses, proyeksi,
penelusuran temuan audit, loss
event data, dan lainnya. Identifikasi
risiko dilakukan dengan
kuantitatif dan kualitatif.
b. 35. Kerangka • Telah ada kerangka dasar • Telah ada kerangka dasar • Telah ada kerangka dasar penilaian • Telah ada kerangka dasar penilaian • Telah ada kerangka dasar penilaian risiko
Pengukuran proses penilaian risiko secara informal, penilaian risiko secara formal risiko secara formal dalam kebijakan risiko secara formal dalam kebijakan secara formal dalam kebijakan manajemen
dan pengukuran namun belum diikutsertakan ke dalam kebijakan manajemen manajemen risiko manajemen risiko risiko
Prioritisasi
Risiko untuk dalam kebijakan manajemen risiko • Telah ada kerangka penilaian risiko, • Telah ada kerangka penilaian risiko, • Telah ada kerangka penilaian risiko, yang
Risiko
prioritisasi risiko • Telah ada kerangka penilaian yang mencakup penilaian yang mencakup penilaian mencakup penilaian kemungkinan terjadinya
Risiko • Penilaian risiko belum dilakukan risiko, yang mencakup kemungkinan terjadinya risiko serta kemungkinan terjadinya risiko serta risiko serta tingkat dampak (risk heatmap)
secara rutin/ad-hoc penilaian kemungkinan tingkat dampak (risk heatmap) tingkat dampak (risk heatmap) • Telah dilaksanakan penilaian yang
terjadinya risiko serta tingkat • Telah dilaksanakan penilaian yang • Telah dilaksanakan penilaian yang mempertimbangkan keefektifan
dampak (risk heatmap) mempertimbangkan keefektifan mempertimbangkan keefektifan proses/pengendalian internal
• Belum dilaksanakan penilaian proses/ pengendalian internal proses/ pengendalian internal • Penilaian dan prioritisasi risiko
yang mempertimbangkan diimplementasikan dengan baik oleh Lini
keefektifan proses/ Pertama dan Kedua.
pengendalian internal
149
Sub Kriteria
Dimensi Parameter
• Implementasi penilaian risiko • Penilaian dan prioritisasi risiko • Penilaian dan prioritisasi risiko • Telah terdapat Perlakuan risiko
masih bergantung pada Lini diimplementasikan dengan baik oleh diimplementasikan dengan baik (kurangi/transfer/hindari), indikator risiko
Kedua dan tidak optimal Lini Pertama dan Kedua. oleh Lini Pertama dan Kedua. utama/KRI, dan limit risiko dari setiap risiko
diterapkan oleh Lini Pertama • Penilaian risiko dilaksanakan setiap • Telah terdapat Perlakuan risiko • Telah ada prosedur formal saat peringatan
• Penilaian risiko dilaksanakan triwulan (misal penilaian awal dan (kurangi/transfer/hindari), indikator muncul/limit risiko terlampaui
dua kali dalam satu tahun penilaian terkini setiap triwulan) risiko utama/KRI, dan limit risiko • Telah ada proses sistematis untuk
(misal penilaian awal dan dari setiap risiko mengidentifikasi dan menganalisis risiko-
penilaian terkini pertengahan • Telah ada prosedur formal saat risiko yang akan muncul (emerging risk) di
tahun) peringatan muncul/limit risiko luar kerangka risiko yang telah ada seperti
terlampaui risiko operasional, keuangan, dan kepatuhan
• Proses penilaian risiko telah serta risiko-risiko tersebut dipertimbangkan
dilaksanakan secara efektif, dalam proses pengambilan keputusan serta
termasuk: menjadi input dalam proses penilaian risiko
o Penilaian risiko dilaksanakan yang dilakukan secara rutin
setiap triwulan (misal penilaian • Dilakukan identifikasi limit risiko per segmen
awal dan penilaian terkini setiap nasabah (misal 10 nasabah utama)/penyedia
triwulan) reasuransi dan geografi (untuk risiko
o Kerangka dan proses penilaian asuransi) dan kelas aset (untuk risiko pasar).
cukup efektif untuk menilai risiko, • Proses penilaian risiko telah dilaksanakan
walaupun masih ada realisasi secara efektif, termasuk:
dampak kuantitatif dan kualitatif o Penilaian risiko dilaksanakan setiap bulan
yang untuk beberapa jenis risiko o Kerangka dan proses penilaian efektif untuk
yang melebihi dampak yang menilai risiko, terbukti dari realisasi dampak
telah diperkirakan saat penilaian kuantitatif dan kualitatif yang untuk
awal tahun sebagian besar jenis risiko tidak melebihi
o Kerangka dan proses penilaian dampak yang telah diperkirakan saat
telah dilakukan, namun masih penilaian awal tahun
ada beberapa realisasi peristiwa o Kerangka dan proses penilaian telah
risiko signifikan yang belum komprehensif, sehingga hampir tidak ada
dinilai pada saat penilaian awal realisasi peristiwa risiko signifikan yang
tahun belum dinilai pada saat penilaian awal
• Telah ada evaluasi kesesuaian tahun
kerangka dan proses penilaian risiko • Telah ada evaluasi kesesuaian kerangka dan
setidaknya setiap tahun proses penilaian risiko secara lebih sering
(yaitu lebih dari sekali setiap tahun) sebagai
bagian dari peningkatan berkelanjutan dari
proses asesmen risiko dan sebagian besar
risiko utama dapat dinilai secara kuantitatif.
36. Integrasi atas • Risiko utama diidentifikasi di • Risiko utama diidentifikasi di • Telah ada sistem risk register yang • Telah ada sistem risk register yang • Telah ada sistem risk register yang
seluruh Risiko tingkat Unit Bisnis dan belum tingkat Unit Bisnis dan terkonsolidasi mencakup seluruh Unit terkonsolidasi mencakup seluruh terkonsolidasi mencakup seluruh Unit Bisnis,
utama diintegrasikan. perhitungan eksposur risiko Bisnis dan perhitungan eksposur risiko Unit Bisnis, dan perhitungan dan perhitungan eksposur risiko dalam risk
dalam risk register sudah terintegrasi register sudah terintegrasi
150
Sub Kriteria
Dimensi Parameter
• Telah ada risk register informal dalam risk register belum • Proses integrasi risiko biasanya eksposur risiko dalam risk register • Proses integrasi risiko biasanya dilakukan
dari masing-masing Unit Bisnis seluruhnya terintegrasi. dilakukan setiap tahun oleh Unit Bisnis sudah terintegrasi setiap tahun oleh Unit Bisnis dan unit risiko
(belum ada prosedur • Telah ada beberapa risk dan unit risiko pusat • Proses integrasi risiko biasanya pusat
standar/template) register dari setiap Unit Bisnis • Proses integrasi dilakukan secara dilakukan setiap tahun oleh Unit • Proses integrasi dilakukan secara bottom up
bottom up sehingga risiko utama Bisnis dan unit risiko pusat sehingga risiko utama perusahaan dapat
perusahaan dapat ditentukan. • Proses integrasi dilakukan secara ditentukan.
• Perusahaan sudah menetapkan bottom up sehingga risiko utama • Perusahaan sudah menetapkan secara
secara formal terkait jenis dan jumlah perusahaan dapat ditentukan. formal terkait jenis dan jumlah risiko yang
risiko yang dapat diterima oleh • Perusahaan sudah menetapkan dapat diterima oleh perusahaan dalam
perusahaan dalam mencapai sasaran secara formal terkait jenis dan mencapai sasaran strategisnya, yaitu selera
strategisnya, yaitu selera risiko (risk jumlah risiko yang dapat diterima risiko (risk appetite). Selera risiko (risk
appetite). oleh perusahaan dalam mencapai appetite) tersebut menjadi salah satu dasar
sasaran strategisnya, yaitu selera dalam menyusun kriteria pengukuran risiko.
risiko (risk appetite). Selera risiko • Kriteria pengukuran risiko telah digunakan
(risk appetite) tersebut menjadi salah secara konsisten dan terbukti untuk
satu dasar dalam menyusun kriteria melakukan pengukuran risiko.
pengukuran risiko. • Hasil pengukuran risiko dikomunikasikan
• Kriteria pengukuran risiko telah kepada pimpinan unit kerja/fungsi dan
digunakan secara konsisten dan pimpinan perusahaan, guna divalidasi untuk
terbukti untuk melakukan selanjutnya digunakan secara konsisten
pengukuran risiko. sebagai salah satu pertimbangan dalam
proses pengambilan keputusan di
perusahaan.
mempertimbangkan tingkat eksposur risiko
(dampak dan kemungkinan terjadi) dan
dampaknya pada toleransi risiko (risk
tolerance), selera risiko (risk appetite),
kapasitas risiko (risk capacity), dan sasaran
strategis perusahaan juga
mempertimbangkan kriteria lain yang telah
disepakati sebelumnya, sebagai contoh
tingkat adaptabilitas perusahaan terhadap
risiko, kompleksitas risiko, velositas risiko,
tingkat persistensi risiko, dan tingkat
pemulihan risiko.
151
Sub Kriteria
Dimensi Parameter
c. 37. Aktivitas Telah ada kerangka rencana • Telah ada sejumlah rencana • Rencana penanganan risiko disusun • Telah ada penanggung jawab yang • Telah ada penanggung jawab yang jelas dan
Perlakuan perlakuan mitigasi risiko informal yang masih formal mitigasi untuk untuk risiko-risiko di tingkat unit jelas dan berkapabilitas yang berkapabilitas yang ditunjuk untuk mengelola
Risiko terhadap dalam cakupan high-level dan beberapa risiko namun kerja/fungsi yang dapat mengganggu ditunjuk untuk mengelola setiap setiap risiko utama
Risiko utama belum dijelaskan secara mendetail banyak risiko-risiko utama pencapaian sasaran strategis risiko utama • Telah ada proses/alur untuk mengelola setiap
(sesuai dengan jenis-jenis risiko tidak memiliki penanggung perusahaan. • Telah ada proses/alur untuk risiko utama sesuai dengan definisi selera
utama) jawab, rencana mitigasi • Penyusunan rencana penanganan pengendalian setiap risiko utama risiko termasuk untuk emerging risk,
maupun rencana respons risiko difasilitasi oleh fungsi sesuai dengan definisi selera risiko • Telah ada rencana tindakan mendetail
• Apabila penanganan risiko manajemen risiko yang berkoordinasi termasuk untuk emerging risk dengan urutan langkah-langkah tindak lanjut
dilakukan, maka dengan Risk Owner di masing-masing • Telah ada rencana tindakan yang spesifik.
pelaksanaannya bersifat ad- unit kerja/fungsi. mendetail dengan urutan langkah- • Rencana penanganan risiko disusun dengan
hoc • Telah ada proses yang bersifat rutin langkah tindak lanjut yang spesifik. mempertimbangkan keterkaitan risiko antar
• Telah ada proses/alur logis untuk menangani risiko-risiko utama • Rencana penanganan risiko disusun unit kerja/fungsi, agar penanganan risiko tidak
untuk mengelola beberapa tersebut dengan mempertimbangkan terduplikasi dan lebih efektif.
risiko utama sesuai dengan • Telah ada proses/alur untuk mengelola keterkaitan risiko antar unit • Rencana penanganan risiko harus dipantau
definisi selera risiko, namun setiap risiko utama sesuai dengan kerja/fungsi, agar penanganan risiko secara berkala untuk menilai efektivitasnya.
proses-proses tersebut belum definisi selera risiko termasuk untuk tidak terduplikasi dan lebih efektif. • Dalam menentukan rencana penanganan
sepenuhnya lengkap atau emerging risk • Rencana penanganan risiko harus risiko, perusahaan memperhatikan manfaat
belum diperbarui dipantau secara berkala untuk yang dapat tercipta dan sumber daya yang
• Belum ada garis tanggung menilai efektivitasnya. dikeluarkan untuk menangani suatu risiko.
jawab yang jelas dari Direktur • Dalam menentukan rencana • Manfaat dan sumber daya tersebut harus
Utama hingga ke front line penanganan risiko, perusahaan dikomunikasikan secara berkala kepada
terkait pelaksanaan mitigasi memperhatikan manfaat yang dapat fungsi manajemen risiko sebagai pihak yang
risiko tercipta dan sumber daya yang bertanggung jawab dalam
dikeluarkan untuk menangani suatu mengkoordinasikan aktivitas manajemen
risiko. risiko perusahaan.
• Manfaat dan sumber daya tersebut • Telah ada rencana kontingensi yang
harus dikomunikasikan kepada terdefinisi dengan baik untuk setiap risiko
fungsi manajemen risiko sebagai utama
pihak yang bertanggung jawab • Setiap pegawai memahami dan menerima
dalam mengkoordinasikan aktivitas peran dan tanggung jawabnya yang berkaitan
manajemen risiko perusahaan. dengan kebijakan dan proses pengelolaan
risiko-risiko utama
• Telah ada perhitungan dampak risiko residual
yang akan dikorelasikan dengan targetnya
38. Identifikasi dan Telah ada pembahasan mengenai • Telah ada pembahasan • Telah ada proses terstruktur untuk • Telah ada proses terstruktur untuk • Telah ada proses terstruktur untuk menyusun
pengelolaan ketidaksesuaian antara eksposur mengenai ketidaksesuaian menyusun strategi penanganan menyusun strategi penanganan strategi penanganan ketidaksesuaian antara
eksposur risiko aktual dan selera risiko secara antara eksposur risiko aktual ketidaksesuaian antara eksposur ketidaksesuaian antara eksposur eksposur risiko aktual dan selera risiko:
Risiko yang ad-hoc, dan belum ada jadwal dan selera risiko sebagai risiko aktual dan selera risiko: risiko aktual dan selera risiko: o Menyusun basis fakta/data mengenai risiko
berada diatas pembahasan rutin bagian dari keputusan o Menyusun basis fakta/data o Menyusun basis fakta/data o Melakukan analisis risiko
selera risiko manajemen yang bersifat mengenai risiko mengenai risiko o Memaparkan opsi-opsi kepada jajaran
'business as usual' o Melakukan analisis risiko o Melakukan analisis risiko manajemen
152
Sub Kriteria
Dimensi Parameter
• Pembahasan dilakukan o Memaparkan opsi-opsi kepada o Memaparkan opsi-opsi kepada • Pembahasan dilakukan setidaknya setiap
setidaknya satu kali dalam jajaran manajemen jajaran manajemen bulan
setahun • Pembahasan dilakukan setidaknya • Pembahasan dilakukan setidaknya • Strategi yang ada saat ini telah efektif
• Belum ada keputusan setiap triwulan setiap triwulan menjaga eksposur risiko agar tetap di level
mengenai langkah spesifik • Strategi yang ada saat ini telah yang diinginkan (misal tidak ditemui bukti
untuk menangani efektif menjaga eksposur risiko agar mengenai risiko yang melampaui ambang
ketidakcocokan tersebut tetap di level yang diinginkan (misal batasnya)
tidak ditemui bukti mengenai risiko • Dilakukan penyelarasan antara perusahaan
yang melampaui ambang batasnya). induk dan anak perusahaan/Unit Bisnis untuk
memastikan bahwa analisis eksposur risiko
telah mencakup seluruh risiko dari anak
perusahaan/Unit Bisnis
d. 39. Pelaporan • Telah ada pelaporan risiko yang • Pelaporan risiko dilakukan • Pelaporan risiko dilakukan untuk • Pelaporan risiko dilakukan untuk • Pelaporan risiko dilakukan untuk memenuhi
Pelaporan Risiko bersifat ad-hoc, dilatarbelakangi secara rutin (misal laporan memenuhi persyaratan pelaporan memenuhi persyaratan pelaporan persyaratan pelaporan finansial atau
Risiko melaporkan oleh peristiwa tertentu (misal triwulanan menunjukkan finansial atau pelaporan yang bersifat finansial atau pelaporan yang pelaporan yang bersifat legal/kepatuhan
Risiko secara insiden risiko, permintaan audit dengan jelas ambang batas legal/kepatuhan bersifat legal/kepatuhan • Pelaporan risiko dilakukan secara rutin (misal
real-time internal) risiko yang telah terlampaui) • Pelaporan risiko dilakukan secara rutin • Pelaporan risiko dilakukan secara laporan bulanan menunjukkan dengan jelas
• Pelaporan risiko belum • Pelaporan risiko mencakup (misal laporan triwulanan menunjukkan rutin (misal laporan triwulanan ambang batas risiko yang telah terlampaui)
mencakup gap dalam cakupan gap dalam cakupan risiko- dengan jelas ambang batas risiko yang menunjukkan dengan jelas ambang dan dilengkapi dengan rekomendasi tindak
risiko-risiko utama atau belum risiko utama telah terlampaui) batas risiko yang telah terlampaui) lanjut perbaikan, dan analisis tambahan
menerapkan Leading indicator • Penerapan leading indicator • Pelaporan risiko menyertakan dan dilengkapi dengan rekomendasi • Telah ada pelaporan risiko di tingkat Unit
pada pelaporan. pada pelaporan risiko masih sejumlah Leading indicator tindak lanjut perbaikan, dan analisis Bisnis dan tingkat grup, termasuk anak
terbatas. • Telah ada pelaporan risiko di tingkat tambahan perusahaan (jika relevan)
• Cakupan pelaporan risiko Unit Bisnis dan tingkat grup, termasuk • Telah ada pelaporan risiko di tingkat • Pelaporan risiko mencakup ringkasan semua
masih dalam tingkat Unit anak perusahaan (jika relevan) Unit Bisnis dan tingkat grup, risiko utama di semua jenis risiko, kejadian-
Bisnis tertentu termasuk anak perusahaan (jika kejadian penting dengan analisis pasca
relevan) kejadian, Leading indicator, dan rekomendasi
• Pelaporan risiko mencakup yang dapat ditindaklanjuti
ringkasan semua risiko utama di • Pelaporan risiko dilakukan menggunakan
semua jenis risiko, kejadian-kejadian toolkit otomatis dan hasil pelaporan dapat
penting dengan analisis pasca diakses secara real-time
kejadian, Leading indicator, dan
rekomendasi yang dapat
ditindaklanjuti
153
Sub Kriteria
Dimensi Parameter
E. Model, data, dan teknologi risiko
a. 40. Model / alat • Telah ada sistem data terpusat • Telah ada sistem data • Telah ada sistem dan infrastruktur data • Telah ada sistem penyimpanan data • Telah ada sistem penyimpanan data risiko
Permodelan pemantauan (misal untuk data keuangan) terpusat (misal untuk data terpusat khusus untuk manajemen risiko yang terpusat dan terintegrasi: yang terpusat dan terintegrasi:
Risiko untuk memuat data yang bisa keuangan) memuat data yang risiko dalam tahap awal o Telah ada solusi IT terintegrasi o Telah ada solusi IT terintegrasi (misal alat
menunjang digunakan untuk keperluan bisa digunakan untuk implementasi/pilot stage (misal alat terkait tata kelola, terkait tata kelola, manajemen risiko, dan
proses manajemen risiko, namun belum keperluan manajemen risiko, • Sejumlah Unit Bisnis memiliki sistem manajemen risiko, dan kepatuhan kepatuhan yang digunakan untuk
Manajemen ada sistem data terpusat khusus namun belum ada sistem yang digunakan untuk penyimpanan yang digunakan untuk menunjang menunjang fungsi risiko dan kontrol mulai
Risiko dan untuk manajemen risiko data terpusat khusus untuk data risiko, namun sistem masih belum fungsi risiko dan kontrol mulai dari dari penilaian risiko hingga pelaporannya
pengambilan • Belum ada penerapan model manajemen risiko sepenuhnya terintegrasi/terpusat penilaian risiko hingga (dashboard).
keputusan risiko (misal expected losses, • Sistem data terpusat khusus • Telah ada pemodelan expected losses pelaporannya (dashboard). o Minim duplikasi/fragmentasi aset TI
model Catastrophe (CAT), model untuk manajemen risiko dengan Generalized Linear Model o Minim duplikasi/fragmentasi aset TI sehingga memungkinkan penerapan
Value-at-Risk (VaR)), namun masih dalam tahap (GLM), memprediksi frekuensi risiko sehingga memungkinkan arsitektur data risiko secara menyeluruh
telah ada analisis yang dilakukan perencanaan dan tingkat dampak berdasarkan jenis penerapan arsitektur data risiko • Unit Bisnis memiliki akses untuk sistem yang
secara ad-hoc (misal melalui • Telah ada sejumlah risiko dan profil klien. Model secara menyeluruh digunakan untuk penyimpanan data risiko,
analisis metrik keuangan, infrastruktur yang dapat Catastrophe (CAT) digunakan untuk • Unit Bisnis memiliki akses untuk dan telah dikembangkan solusi IT terintegrasi
analisis kualitatif) meskipun dimanfaatkan untuk kegiatan risiko dengan frekuensi rendah. sistem yang digunakan untuk (misal alat terkait tata kelola, Manajemen
belum dilakukan standardisasi manajemen risiko (misal, • Telah ada pemodelan unexpected penyimpanan data risiko, dan telah Risiko, dan kepatuhan) yang digunakan untuk
dan formalisasi cakupan dan modul ad-hoc khusus untuk losses dengan pendekatan distribusi dikembangkan solusi IT terintegrasi menunjang fungsi risiko dan kontrol mulai dari
metodologi analisis analisis manajemen risiko probabilitas berdasarkan Value at Risk (misal alat terkait tata kelola, penilaian risiko hingga pelaporannya
• Proses Manajemen Risiko belum ada dalam cakupan sistem (VaR) minimal 95%+ Manajemen Risiko, dan kepatuhan) (dashboard)
menerapkan Advanced Analytics lain) • Model risiko telah diformalkan dan yang digunakan untuk menunjang • Solusi IT memuat informasi mengenai
(misal analisis masih dilakukan • Cakupan sistem data sifatnya didokumentasikan dalam prosedur fungsi risiko dan kontrol mulai dari eksposur risiko, kebijakan dan prosedur
secara manual). masih secara ad-hoc dan yang setidaknya diperbarui setiap penilaian risiko hingga pelaporannya Manajemen Risiko, dan limit risiko
belum melibatkan tahun (dashboard) • Alat terkait tata kelola, Manajemen Risiko,
implementasi di Unit Bisnis • Telah ada aplikasi Advanced Analytics • Solusi IT memuat informasi dan kepatuhan menunjang kegiatan
secara menyeluruh untuk Manajemen Risiko, namun mengenai eksposur risiko, kebijakan pemantauan, memberikan wawasan, dan
• Telah ada beberapa masih dalam tahap awal, misal dan prosedur Manajemen Risiko, akses informasi secara rutin dan tepat waktu
penerapan model risiko (misal terdapat Early Warning System (EWS) dan limit risiko • Telah ada penggabungan database yang
expected losses, model yang baru dikembangkan. • Telah ada pemodelan expected diperbarui secara otomatis dengan
Catastrophe (CAT), model • Telah ada tim risk model and analytics losses dengan Generalized Linear Application Programming Interface (API) ke
Value-at-Risk (VaR)) dalam in-house khusus yang memiliki Model (GLM), memprediksi frekuensi data pihak ketiga, terdapat proses
perencanaan dan tahap kapabilitas Manajemen Risiko dan risiko dan tingkat dampak pengumpulan data eksternal yang sedang
implementasi awal/pilot stage kemampuan manajemen model berdasarkan jenis risiko dan profil berlangsung, serta terdapat implikasi temuan
(misal dengan bantuan khusus di beberapa, namun tidak klien. Model Catastrophe (CAT) analisis data untuk perbaikan Customer Value
talenta eksternal), namun semua tahapan siklus hidup digunakan untuk risiko dengan Management (CVM) dan Customer
prosedur belum sepenuhnya manajemen model frekuensi rendah. Relationship Management (CRM)
diformalkan dalam standar o Pembuatan model • Telah ada pemodelan unexpected • Telah ada pemodelan expected losses
dan dokumentasi o Pengembangan model losses dengan pendekatan distribusi dengan Generalized Linear Model (GLM),
• Aplikasi Advanced Analytics o Implementasi model probabilitas berdasarkan Value at memprediksi frekuensi risiko dan tingkat
untuk Manajemen Risiko o Pemantauan dan validasi model Risk (VaR) minimal 95%+ dampak berdasarkan jenis risiko dan profil
masih dalam pengembangan
154
Sub Kriteria
Dimensi Parameter
• Model risiko telah diformalkan dan klien. Model Catastrophe (CAT) digunakan
didokumentasikan dalam prosedur untuk risiko dengan frekuensi rendah
yang setidaknya diperbarui setiap • Telah ada pemodelan unexpected losses
tahun dengan pendekatan distribusi probabilitas
• Telah ada tim risk model and berdasarkan Value at Risk (VaR) minimal
analytics in-house khusus yang 95%+
memiliki kapabilitas Manajemen • Model risiko telah diformalkan dan
Risiko dan kemampuan manajemen didokumentasikan dalam prosedur yang
model khusus di beberapa, namun setidaknya diperbarui setiap tahun
tidak semua tahapan siklus hidup • Telah ada tim risk model and analytics in-
manajemen model house khusus yang memiliki kapabilitas
o Pembuatan model Manajemen Risiko dan kemampuan
o Pengembangan model manajemen model khusus di semua tahapan
o Implementasi model siklus hidup manajemen model
o Pemantauan dan validasi model o Pembuatan model
• Teknik pemodelan risiko mungkin o Pengembangan model
tidak diterapkan secara konsisten di o Implementasi model
seluruh Unit Bisnis/anak perusahaan o Pemantauan dan validasi model
(misal SOP, bakat pemodelan, tata • Teknik pemodelan risiko yang diterapkan
kelola, mandat, dan kapabilitas lain secara konsisten di seluruh Unit Bisnis/anak
yang belum dibagikan/diturunkan) perusahaan (misal SOP, bakat pemodelan,
• Manajemen model dilakukan secara tata kelola, mandat, dan kapabilitas lainnya
manual dan tersebar di beberapa yang dibagikan/diturunkan)
pemilik tanpa dokumentasi yang baik • Digitalisasi dan otomatisasi terhadap
dan sistem penyimpanan terpusat manajemen model di seluruh siklus hidup
• Telah ada back-testing terhadap model secara menyeluruh, dengan
akurasi model secara teratur pengembangan model, dokumentasi, validasi,
(setidaknya setiap tahun) untuk dan pelaporan yang dikonsolidasikan dalam
mengurangi kesalahan model sistem/ruang kerja yang terpusat
• Back-testing dilakukan oleh validator • Telah ada back-testing terhadap akurasi
pembuat model independen. Hasil model secara teratur (setidaknya setiap
disampaikan kepada Unit Bisnis dan tahun) untuk mengurangi kesalahan model.
Direksi terkait • Back-testing dilakukan oleh validator pembuat
• Telah ada aplikasi Advanced model independen. Hasil disampaikan
Analytics untuk Manajemen Risiko kepada Unit Bisnis dan Direksi terkait
namun dengan tingkat kematangan • Telah ada dashboard visualisasi risiko
berbeda (misal Early Warning (termasuk aset, liabilitas, penilaian risiko
System/EWS telah matang, namun utama, termasuk deviasi aktual vs rencana;
anti-fraud analytics baru risiko baru yang muncul; konsentrasi risiko)
dikembangkan) harus diberikan kepada Direksi dan
• Seluruh sistem yang berada di departemen UW setiap bulan atau lebih
masing-masing unit bisnis sering
155
Sub Kriteria
Dimensi Parameter
terintegrasi dengan sistem informasi • Telah ada lebih dari satu implementasi
manajemen risiko aplikasi Advanced Analytics manajemen risiko
yang telah matang (misal Early Warning
System/EWS, anti-fraud, penagihan).
• Seluruh sistem yang berada di masing-
masing unit bisnis terintegrasi dengan sistem
informasi manajemen risiko
b. Data 41. Cakupan dan • Data risiko telah ada tetapi hanya • Data risiko telah ada untuk • Data risiko telah ada untuk setiap risiko • Data risiko telah ada untuk setiap • Data risiko telah ada untuk setiap risiko yang
Risiko kualitas data tersedia untuk risiko-risiko setiap risiko yang dipantau yang dipantau oleh perusahaan risiko yang dipantau oleh dipantau oleh perusahaan
Risiko tertentu oleh perusahaan • Telah ada pengumpulan metrik risiko perusahaan • Telah ada pengumpulan metrik risiko dari
• Belum ada standardisasi untuk • Belum ada database terpusat dari setiap Unit Bisnis, meskipun • Telah ada pengumpulan metrik risiko setiap Unit Bisnis yang telah tersentralisasi di
metode pengumpulan dan dan informasi baru tersedia di belum semua data risiko telah dari setiap Unit Bisnis yang telah tingkat pusat formal untuk pengumpulan dan
penyimpanan data risiko tingkat Unit Bisnis tersentralisasi di tingkat pusat (misal tersentralisasi di tingkat pusat formal penyimpanan data risiko
• Telah ada standardisasi sistem database masih manual) untuk pengumpulan dan • Telah ada standardisasi formal untuk metode
informal untuk metode • Telah ada standardisasi formal untuk penyimpanan data risiko pengumpulan dan penyimpanan data risiko
pengumpulan dan metode pengumpulan dan • Telah ada standardisasi formal untuk • Data risiko yang dikelola mencakup semua
penyimpanan data risiko penyimpanan data risiko metode pengumpulan dan jenis risiko material perusahaan, termasuk
• Kualitas data risiko kurang • Telah ada kerangka pemertahanan penyimpanan data risiko data untuk risiko kualitatif dan jenis risiko
baik, belum ada kerangka kualitas data risiko, namun belum • Telah ada kerangka pemertahanan yang akan muncul/emerging risk (misal data
pemertahanan kualitas data seluruhnya dilaksanakan secara rutin kualitas data risiko, evaluasi dan risiko privasi)
risiko • Telah ada pengumpulan data pada perbaikan dilaksanakan secara rutin • Telah ada kerangka pemertahanan kualitas
tingkat polis/nasabah tunggal (satu kali dalam setahun) oleh data risiko, evaluasi dan perbaikan
(termasuk Lifetime Value/LTV polis, pegawai/unit kerja yang bertanggung dilaksanakan secara rutin (lebih dari satu kali
klaim yang dibayarkan, riwayat jawab dalam setahun/perbaikan berkelanjutan) oleh
komunikasi, dan lain-lain). Data yang • Telah ada penyimpanan data sentral pegawai/unit kerja yang bertanggung jawab
dikumpulkan harus memiliki yang dapat diakses oleh seluruh Unit • Kualitas data risiko sangat baik dan konsisten
granularitas tinggi berdasarkan fitur Bisnis di seluruh lini perusahaan, ditunjang dengan:
polis (misal tingkat cabang, klien, • Data dapat diakses secara real-time o Pelaporan berkala mengenai kontrol
saluran, kontak) dan fitur nasabah • Telah ada pengumpulan data pada kualitas data secara menyeluruh dan
(nama/entitas, industri, tautan ke tingkat polis/nasabah tunggal pelaporan mengenai kekurangan kualitas
informasi tentang kontak sebelumnya, (termasuk Lifetime Value/LTV polis, data
dan lain-lain) klaim yang dibayarkan, riwayat o Jalur eskalasi yang jelas untuk
komunikasi, dan lain-lain). Data yang menyelesaikan masalah terkait data
dikumpulkan harus memiliki • Telah ada penyimpanan data sentral yang
granularitas tinggi berdasarkan fitur dapat diakses oleh seluruh Unit Bisnis
polis (misal tingkat cabang, klien, • Data dapat diakses secara real-time
saluran, kontak) dan fitur nasabah • Perusahaan memanfaatkan teknologi
(nama/entitas, industri, tautan ke mutakhir untuk perbaikan kualitas data (misal
informasi tentang kontak Artificial Intelligence untuk pengelolaan data)
sebelumnya, dan lain-lain) • Telah ada pengumpulan data pada tingkat
polis/nasabah tunggal (termasuk Lifetime
156
LAMPIRAN III
KEPUTUSAN DEPUTI BIDANG KEUANGAN
DAN MANAJEMEN RISIKO
TENTANG : PETUNJUK TEKNIS PENILAIAN
INDEKS KEMATANGAN RISIKO
(RISK MATURITY INDEX) DI
LINGKUNGAN BADAN USAHA
MILIK NEGARA
REFERENSI DAFTAR KEBUTUHAN DATA DAN DOKUMEN
A. Daftar Kebutuhan Data

Nama/Dokumen yang Checklist
No. Input/Data yang dibutuhkan Keterangan
Memuat Data (Ada/Tidak)
1 Strategi Risiko saat ini, definisi dan Dokumen strategi Risiko;
prinsip pemilihannya, kriteria prioritas kebijakan Manajemen
untuk metrik strategi Risiko Risiko secara menyeluruh
2 Pendekatan/proses untuk Peraturan tentang
mengintegrasikan strategi Risiko ke pemantauan batas
dalam strategi BUMN ambang risiko
3 Formalisasi langkah/prosedur integrasi Prosedur internal (SOP)
Risiko ke dalam proses pengambilan untuk menerapkan risk
keputusan appetite
4 Proses perencanaan dan pemantauan Kebijakan tentang
Risiko pemantauan Risiko
5 Dimensi Risiko utama yang harus Kebijakan tentang
dipantau (operasional, siber, hukum, dan pemantauan Risiko
lain-lain) dan metrik yang digunakan
untuk setiap pemantauan dimensi
6 Formalisasi langkah/prosedur atas metrik Tata Kelola Perusahaan
Risiko yang mengalir ke tingkat entitas
yang lebih rendah, yaitu anak
perusahaan
7 Metodologi yang digunakan untuk Kode etik - artikel terkait
mendefinisikan/memantau elemen- Risiko
elemen penting dari budaya Risiko
seperti respect/responsiveness/risk
ownership dan transparansi
8 Metodologi yang digunakan untuk Pelatihan Risiko, misalnya,
evaluasi tingkat budaya Risiko dalam program pendidikan
BUMN termasuk norma-norma perilaku Manajemen Risiko
Risiko dalam organisasi dan panduan di
mana norma-norma tersebut ditetapkan
9 Pelatihan dan dokumen internal yang Pelatihan Risiko, misalnya,
tersedia (misalnya, SOP, pedoman) yang program pendidikan
menyoroti potensi Risiko dan metode Manajemen Risiko
mitigasi Risiko
10 2-3 contoh laporan bisnis rutin, dengan Laporan bisnis, dengan
analisis terkait Risiko, yang dibuat pada terdapat analisis Risiko
periode tahun buku terakhir
158
11 Pedoman yang relevan terkait dengan Pedoman tentang
whistleblowing dan eskalasi Risiko Whistleblowing dan
eskalasi Risiko
12 Contoh inisiatif yang membutuhkan Daftar contoh inisiatif
kolaborasi lintas fungsi
13 Contoh catatan rapat/pertemuan terbaru Catatan rapat
dengan Dewan Komisaris yang
membahas isu-isu terkait Risiko
14 Contoh metrik penilaian dan kriteria Job Description atau
seleksi untuk anggota Dewan Komisaris Board of Commissioner
Manual
15 Keterbukaan informasi publik yang Artikel publik/ situs web
relevan mengenai penunjukan anggota
Dewan Komisaris tertentu, terutama
yang terlibat dalam komite audit BUMN
16 Gambaran umum komite dan pasal- Kutipan dari Laporan
pasal terkait yang termasuk dalam Tahunan
anggaran dasar BUMN
17 Kebijakan, pedoman yang menunjuk Kebijakan Manajemen
pemilik Risiko dalam organisasi Risiko
18 Proses yang terdokumentasi untuk Kebijakan Manajemen
memutuskan pengambil keputusan Risiko
utama untuk situasi berisiko tinggi
19 Bagan organisasi untuk organ pengelola Bagan Organisasi;
Risiko (misalnya, departemen Kebijakan Manajemen
kepatuhan, komite audit) serta peran dan Risiko; kebijakan
tanggung jawab badan-badan tersebut pengendalian internal
20 Proses dan aktivitas terstandar yang Bagan Organisasi;
dicakup oleh organ pengelola Risiko Kebijakan Manajemen
yang relevan Risiko; kebijakan
21 Contoh risalah rapat dan analisis yang Notulen rapat
membahas mitigasi dan tanggapan
terhadap Risiko utama yang dialami
BUMN pada tahun buku terakhir
22 Mandat yang mengatur tingkat Anggaran Dasar;
independensi (mengacu pada Kebijakan Manajemen
independensi dalam hal kekuatan Risiko
pengambilan keputusan dan garis
pelaporan) untuk setiap organ pengelola
Risiko dalam BUMN
23 Lingkup pekerjaan dan jalur pelaporan Bagan organisasi
langsung antara fungsi Risiko dan
assurance
24 Standar prosedur (SOP) Manajemen Kebijakan Manajemen
Risiko Risiko dan prosedur terkait
25 Dokumen yang relevan yang Dokumen selera Risiko;
menggambarkan selera Risiko bisnis dan kebijakan Manajemen
pendekatan untuk menilai faktor/ Risiko secara menyeluruh
peristiwa yang relevan terhadap selera
tersebut
159
26 Daftar repositori dan sistem pendukung Daftar repositori dana
untuk memfasilitasi Manajemen Risiko sistem pendukung
Manajemen Risiko
27 Contoh notulen rapat di mana Notulen rapat
peningkatan dan inisiatif ERM dibahas
28 Laporan dan penilaian terkait dengan 1-2 Rencana perusahaan 5
inisiatif Manajemen Risiko terbaru yang tahun; rencana
diterapkan di BUMN Manajemen Risiko
tahunan; rencana audit
tahunan
29 Contoh laporan dan analisis bisnis terkait Contoh laporan bisnis
kesenjangan antara rencana bisnis (triwulanan, tahunan, dll.)
BUMN dengan hasil aktual
30 Rencana transformasi ERM (daftar Rencana transformasi
komprehensif terkait inisiatif dan rencana ERM
eksekusi untuk meningkatkan
Manajemen Risiko perusahaan) untuk
jangka menengah dan jangka panjang
31 Ambang batas standar atau persyaratan Peraturan tentang
minimum pada indikator Risiko utama pemantauan KRI
(KRI)
32 Kerangka kerja dan SOP yang merinci Dokumen selera Risiko;
kewajiban dan selera Risiko BUMN kebijakan Manajemen
Risiko yang menyeluruh;
Anggaran Dasar
Perusahaan
33 Keterbukaan informasi publik terkait Contoh keterbukaan
selera Risiko BUMN informasi
34 Proses dan kerangka kerja untuk Kebijakan manajemen
identifikasi Risiko Risiko dan prosedur terkait
35 Proses, metrik, dan model untuk Kebijakan manajemen
penilaian dan prioritisasi Risiko Risiko dan prosedur terkait
36 Pedoman atau SOP terkait frekuensi Guideline atau Prosedur
pelaporan Risiko dalam bentuk Internal (SOP)
pertemuan formal
37 Catatan saat ini tentang latensi data Catatan latensi data
(Latensi data: waktu yang dibutuhkan
untuk suatu data dapat tersedia di
database atau data warehouse setelah
suatu kejadian terjadi)
38 Piagam otorisasi (daftar pemangku Piagam Otorisasi atau
kepentingan dengan otorisasi atau hak laporan TI terkait
untuk melakukan hal tertentu) untuk
akses data
39 Kebijakan dan metode khusus untuk Daftar pelanggaran
mengevaluasi tingkat kepatuhan kepatuhan dan kebijakan
terhadap kebijakan risiko Risiko
(tingkat kepatuhan: rasio pegawai yang
tidak melanggar peraturan perusahaan
terhadap total jumlah pegawai di
perusahaan)
160
40 Pedoman komunikasi eksternal tentang Kebijakan Manajemen
Risiko dan kepatuhan Risiko
41 Contoh rencana mitigasi dan hasil pada Kutipan dari Laporan
tahun buku terakhir tahunan; Laporan
Manajemen Risiko,
Notulen rapat untuk
masalah terkait Risiko
42 Laporan dan analisis tentang Kutipan dari Laporan
1 s.d 2 Risiko utama yang berhasil tahunan; Laporan
dimitigasi oleh BUMN dan 1 s.d 2 Risiko Manajemen Risiko,
utama yang gagal dikelola Notulen rapat untuk
43 Daftar peristiwa Risiko utama dan Notulen rapat untuk
langkah-langkah mitigasi beserta masalah terkait Risiko
informasi terkait unit pemilik Risiko
44 Peraturan dan kebijakan yang terkait Kebijakan Manajemen
dengan independensi organ pengelola Risiko
Risiko
45 Kriteria untuk menilai objektivitas dan Kebijakan Manajemen
independensi pemangku kepentingan Risiko
utama
46 Dokumen yang relevan yang dapat Contingency plan
menunjukkan contingency plan yang ada
47 Catatan respons terbaru terhadap krisis Kutipan dari Laporan
ekstrem (misalnya pandemi global) tahunan; Laporan
Manajemen Risiko;
Notulen rapat untuk
48 Pelatihan wajib dan pilihan yang Pelatihan Risiko, misalnya,
dilaksanakan tahun lalu, yang terkait program akademi
dengan Manajemen Risiko Manajemen Risiko
(Pelatihan pilihan: pelatihan yang dapat
dipilih peserta untuk diikuti sesuai
dengan minat dan kebutuhan mereka)
49 Infrastruktur Risiko, termasuk aplikasi, Daftar infrastruktur risiko,
model Risiko, dan platform teknologi model, dll.,
yang diadopsi oleh BUMN
50 Pengumpulan daftar data terkait Risiko Inventaris peristiwa Risiko,
dan pendekatan untuk menganalisisnya Pedoman untuk
menganalisis peristiwa
Risiko
51 Kebijakan yang relevan terkait dengan Kebijakan tata kelola data
kerahasiaan data, Risiko siber dan
pernyataan yang berkaitan dengan
tanggung jawab yang terkait dengan
data yang dikumpulkan
52 Struktur organisasi Organisasi, kebijakan
53 Laporan tahunan selama 3 tahun terakhir Laporan tahunan selama 3
tahun terakhir
54 KRI yang didefinisikan untuk tingkat Kebijakan Manajemen
Risiko T3 Risiko dan prosedur terkait
161
55 Proses identifikasi Risiko meliputi Kebijakan Manajemen
langkah-langkah untuk mengukur Risiko, Risiko dan prosedur terkait
sistem yang digunakan untuk memantau
Risiko, sistem yang digunakan untuk
melaporkan Risiko
56 Matriks penilaian Risiko (Risk scoring Kebijakan Manajemen
matrix) BUMN dalam menggunakan Risiko dan prosedur terkait
prinsip-prinsip desain matriks utama
(risk scoring matrix: model atau alat yang
digunakan untuk mengukur dan
menentukan peringkat tingkat severity
atau ruang lingkup dampak dari
serangkaian Risiko tertentu)
57 Sistem penilaian dampak diberlakukan Kebijakan Manajemen
untuk penilaian Risiko inheren. Panduan Risiko dan prosedur terkait
yang digunakan untuk penilaian
efektivitas kontrol dalam mengestimasi
Risiko residual
58 Database utama yang digunakan dalam Database peristiwa Risiko
menyusun profil Risiko historis
59 Langkah mitigasi yang digunakan oleh Prosedur mitigasi Risiko
BUMN
60 Contoh studi kasus nyata dengan Prosedur mitigasi Risiko;
pengembangan pengaturan mitigasi instruksi
Risiko. Instruksi bagaimana BUMN
memastikan hubungan antara
pengaturan mitigasi Risiko dengan
penilaian matriks Risiko
61 Contoh kasus evaluasi Risiko T3 dan Contoh kasus Risiko T3
tindakan mitigasi yang dilakukan untuk
Risiko yang ditentukan
62 Daftar/deskripsi platform Daftar/deskripsi platform
pemrosesan/analisis Risiko yang pemrosesan/analisis
digunakan BUMN Risiko yang digunakan
BUMN
63 Daftar/deskripsi algoritma/formula yang Daftar/deskripsi
digunakan untuk analisis Risiko algoritma/formula untuk
analisis Risiko
64 Info mengenai platform database Risiko Inventaris/database
yang digunakan BUMN termasuk struktur peristiwa Risiko
database
65 Desain dashboard Manajemen Risiko Contoh dashboard
Manajemen Risiko
66 Platform/alat visualisasi yang sedang Contoh platform/alat
digunakan visualisasi
67 Daftar sumber input data terkait Risiko Daftar sumber input data
utama utama terkait Risiko
68 Daftar sistem input data yang digunakan Daftar sistem input data
yang digunakan
69 Daftar alat konsolidasi/pemrosesan data Daftar alat
yang digunakan BUMN konsolidasi/pemrosesan
162
data yang digunakan
BUMN
70 Daftar persyaratan keamanan, privasi, Kebijakan tata kelola data
peraturan yang Anda miliki
71 Pernyataan selera Risiko (Risk Appetite Dokumen pernyataan
Statement) terkini / terbaru selera risiko/ Risk Appetite
Statements
72 Risk dashboard yang Contoh dashboard
dipresentasikan/dilaporkan ke Direksi
(contoh terkini, misal Berita
acara/minutes of meeting)
73 Risk dashboard yang Contoh dashboard; berita
dipresentasikan/dilaporkan kepada acara rapat Dewan
Dewan Komisaris ((contoh terkini, misal Komisaris
Berita acara/minutes of meeting) serta
kriteria mengenai jenis masalah/isu
Risiko yang dieskalasikan kepada
Dewan Komisaris (jika ada)
74 Contoh KPI terkait Risiko yang Deskripsi pekerjaan dan Khusus
digunakan untuk checking Lini Pertama KPI untuk pegawai / divisi Industri
seperti: Kepala unit dan Relationship Lini Pertama (misal Perbankan
Manager (RM) di segmen Relationship Manager)
Ritel/UMK/Komersial
75 Deskripsi pelatihan Risiko yang diberikan Daftar pelatihan yang Khusus
kepada staf Lini Pertama (terutama diberikan kepada Industri
fungsi Bisnis dan TI) pegawai/divisi Lini Perbankan
Pertama
76 Contoh pelatihan untuk staf Lini Kedua Daftar pelatihan yang Khusus
dan Lini Ketiga mengenai topik khusus diberikan kepada Industri
(misalnya, keamanan siber, perubahan pegawai/divisi Lini Kedua Perbankan
iklim) dan Lini Ketiga.
77 Daftar model Probability of Default/PD Dokumen inventaris model Khusus
(yaitu, a-score, b-score, scorecard) untuk Industri
setiap segmen bisnis, dan bagaimana Perbankan
model-model tersebut digunakan dalam
pengambilan keputusan
78 Daftar model Exposure at Default/EAD Dokumen inventaris model Khusus
dan Loss Given Default/LGD untuk Industri
setiap segmen bisnis Perbankan
79 Daftar model pengambilan keputusan Dokumen inventaris model Khusus
kredit lainnya (misalnya, Early Warning Industri
System/EWS, monitoring, penagihan, Perbankan
pre-screening dan penargetan nasabah,
penghitungan limit, next-best-product /
cross-selling) untuk setiap segmen bisnis
80 Tanggal pengembangan model Dokumen inventaris model Khusus
(tahun/bulan ketika disetujui untuk Industri
digunakan) dan tanggal validasi terakhir Perbankan
(bulan validasi tahunan terakhir)
81 Rasio GINI pada model di tahap Laporan validasi model Khusus
pengembangan awal dan pada validasi Industri
terakhir Perbankan
163
82 Daftar segmen yang memiliki sistem Dokumen mengenai EWS Khusus
Early Warning System/EWS yang Industri
menggunakan model analitik (misalnya, Perbankan
b-score)
83 Besaran persentase Day Past Due/DPD Laporan DPD; Laporan Khusus
pada nasabah yang tidak masuk dalam EWS Industri
watchlist (tidak terdeteksi Early Warning Perbankan
System/EWS) berdasarkan segmen
bisnis.
84 Tingkat pemulihan total untuk 0-90 DPD Laporan DPD Khusus
dan >90 DPD berdasarkan segmen Industri
bisnis Perbankan
85 Deskripsi peran Lini Kedua dalam (a) Kebijakan Manajemen Khusus
Analisis Kredit dan (b) Keputusan Kredit Risiko; uraian tugas Industri
di setiap lini bisnis pegawai Risiko yang Perbankan
terlibat dalam analisis
kredit/keputusan kredit
86 Informasi mengenai penggunaan SOP keputusan kredit Khusus
'pengambilan keputusan kredit otomatis' yang menunjukkan Industri
di segmen Ritel dan UKM (sepenuhnya kebijakan dan prosedur; Perbankan
berdasarkan model tanpa memerlukan pedoman/petunjuk/manual
tindakan manusia), dan besaran penggunaan solusi
persentase jumlah keputusan yang teknologi yang digunakan
diotomatisasi dalam proses keputusan
kredit
87 Informasi mengenai penggunaan data SOP penagihan yang Khusus
dan analitik untuk menyarankan tindakan menunjukkan kebijakan Industri
dan strategi penagihan terbaik bagi dan prosedur; Perbankan
nasabah secara otomatis pedoman/petunjuk/manual
penggunaan solusi
teknologi yang digunakan
dalam proses keputusan
kredit
88 Risiko iklim: Full-Time Equivalent (#FTE) Struktur organisasi; daftar Khusus
yang didedikasikan untuk Risiko iklim di jumlah karyawan FTE per Industri
seluruh bank (misalnya, ESG/Climate divisi Perbankan
center of excellence; analis Risiko iklim)
89 Keamanan siber: Full-Time Equivalent Struktur organisasi; daftar Khusus
(#FTE) yang didedikasikan untuk jumlah karyawan FTE per Industri
keamanan siber (misalnya, CISO dan divisi Perbankan
timnya; tata kelola keamanan siber dan
tim Manajemen Risiko; pusat operasi
keamanan (SOC); Tim audit siber)
90 Informasi mengenai cakupan 24/7 untuk Laporan tahunan; SOP Khusus
pemantauan keamanan siber melalui keamanan siber Industri
Pusat Operasi Keamanan (Security Perbankan
Operations Center)
91 Penjelasan pendekatan untuk Laporan ALM; SOP proses Khusus
menentukan behavioural maturity untuk ALM / manual teknis Industri
liabilitas dan aset untuk manajemen penggunaan model Perbankan
risiko liabilitas dan Asset Liability
Management/ALM (misalnya, segmen
164
yang dilakukan perhitungan
menggunakan model dari data internal)
92 Deskripsi 3 Risiko operasional teratas Laporan profil Risiko; Khusus

serta inisiatif dan tindakan utama untuk Rapat komite Manajemen Industri
memitigasinya Risiko Perbankan
93 Informasi mengenai penggunaan data SOP manajemen fraud; Khusus
dan analitik untuk mendeteksi dan laporan tahunan; Industri
mencegah fraud internal dan eksternal instruksi/pedoman/manual Perbankan
secara otomatis serta beberapa kasus untuk solusi teknologi yang
utama penerapan solusi/teknologi digunakan dalam kontrol
otomatisasi) dan proses anti-fraud
94 Contoh sistem terintegrasi umum (jika Contoh dashboard; Khusus
ada, misalnya dashboard) yang pedoman/manual Industri
digunakan untuk pemantauan Risiko dan dashboard (dengan hak Perbankan
daftar divisi yang memiliki akses ke akses)
dashboard untuk pemantauan secara
real-time
95 Contoh Laporan Audit Internal: Laporan internal audit
Kekurangan yang dicatat, tindakan
korektif yang diambil, dan keterlibatan
Direksi
B. Pemetaan Kebutuhan Dokumen untuk Tiap Parameter Penilaian RMI

1. Industri Umum
Data ID yang
Dimensi Sub Dimensi Parameter Relevan (Lihat Data
Checklist)
a. Budaya Internalisasi budaya Risiko dalam budaya
1. 1 7,11,12,39, 53
Risiko perusahaan
Budaya dan
b. Peran Penilaian RMI dalam upaya
kapabilitas 2 53
Kapabilitas peningkatan praktik Manajemen Risiko
Risiko
Risiko 3 Program peningkatan keahlian Risiko 8,9,48,53
a. Organ 19,20,22,23,44,45,
4 Efektivitas fungsi pengelola risiko
Pengelola 52,53
Risiko 5 Tingkat kematangan organ pengelola risiko 19,20,53
Keterlibatan aktif Dewan Komisaris/Dewan
6 13,14,18,53
Pengawas dalam pengelolaan Risiko
Eskalasi permasalahan kepada Dewan
2. 7 11,13,53,72,73
Komisaris/Dewan Pengawas
Organisasi b. Peran dan Tingkat pemahaman Risiko di jajaran Dewan
dan Tata 8 13,14,15
Tanggung Komisaris/Dewan Pengawas
Kelola Risiko Jawab Peran komite-komite di bawah Dewan 11,13,14,15,16,19,
9
Organ Komisaris/Dewan Pengawas 52,53
Pengelola 3,6,11,13,17,18,21,
Pengurusan aktif Direksi dalam pengelolaan
Risiko 10 24,25,27,44,45,46,
Risiko
47,51,71,72
Mandat, wewenang, dan independensi fungsi
11 manajemen risiko untuk memantau semua 19,22,44,45,52,53
Risiko
165
Data ID yang
Checklist)
Efektivitas fungsi pengelola risiko dalam
12 22,24,53
menjalankan tugasnya
Penerapan Model Tata Kelola Risiko Tiga 17,22,23,45,
13
Lini 52, 53
14 Peran dan fungsi Lini Pertama 17,34,43,53
1,3,4,5,6,19,22,23,
15 Peran dan fungsi Lini Kedua 24,25,28,29,32,34,
c. Model 35,36,39,52,53,
Tata Kelola 19,20,22,23,28,52,
16 Peran dan fungsi Lini Ketiga
Risiko Tiga 53,95
Lini dan Tata Interaksi antara fungsi Risiko dan Assurance
17 22,23,52, 53,95
Kelola Risiko (kepatuhan, legal, audit)
Terintegrasi Peran dan fungsi Tata Kelola Risiko
18 3,6,12,19,73
Terintegrasi
Monitoring risiko entitas induk sampai ke
19 6,22,52,53
entitas anak
Peningkatan kualitas kerangka Manajemen
20 27,28,30
Risiko
Rencana transformasi Enterprise Risk
21 27,28,30
Management
Peran Manajemen Risiko dalam penyusunan
22 2,3,4,10,12,25,29,53
rencana strategis
a. Strategi Hubungan peran Manajemen Risiko
Risiko 23 2,3,4,10,12,25,29,53
terhadap pencapaian target strategis RKAP
1,2,6,25,30,31,32,35,
24 Kapasitas risiko
53,55,56
25 Selera Risiko 1,2,6,25,31,32,33,53
Komunikasi selera Risiko kepada pemangku
26 1,33,53
kepentingan eksternal
3.
9,11,21,24,40,42,53,
Kerangka 27 Kebijakan Risiko
59,60,61
Risiko dan
Kepatuhan 9,11,21,24,40,42,53,
b. Kebijakan 28 Prosedur Risiko
59,60,61,65
dan
Prosedur Rencana darurat (contingency plan) dalam 9,21,41,42,43,46,47,
29
kondisi terburuk (worst case scenario); 53,59,60,61,70
Reviu dan Stress test terhadap prosedur dan
30 24,27,28,36,53
SOP
c. Fungsi
31 Organ fungsi kepatuhan dan perannya 22,23,39, 53,57
Kepatuhan
d. Efektifitas
Manajemen 32 Penerapan Kerangka Integrated ERM 27,28,30,40,53,65
Risiko
e. Efektivitas
Pengendalia 33 Efektivitas Pengendalian Intern 4,12,39,40,57,95
n Intern
a. Identifikasi
34 Identifikasi Risiko utama 5,6,34,53
Risiko
4.
Proses dan 5,6,25, 31,35,53,56,
b. 35 Pengukuran Risiko
kontrol risiko 57,58
Pengukuran
Kerangka proses pengukuran Risiko untuk
dan 36 25,35,53,55,56,57,58
prioritisasi Risiko
166
Data ID yang
Checklist)
Prioritisasi
37 Integrasi atas seluruh Risiko utama 4,5,6,53
Risiko
9,21,24,42,59,60,61,
38 Aktivitas perlakuan terhadap Risiko utama
c. Perlakuan 92
Risiko Proses identifikasi dan pengelolaan eksposur
39 5,30,31,35,53
Risiko yang berada diatas selera risiko
d. Pelaporan Pelaporan Risiko melaporkan Risiko secara 4,5,6,10,36,50,54,65,
40
Risiko real-time 72
a.
5. Permodelan
Model, data, dan 41 Permodelan dan Teknologi Risiko 49,53,58,62,63
dan Teknologi
teknologi Risiko
risiko b. Data 26,37,38,49,50,51,
42 Data Risiko
Risiko 64,65,66,67,68,69,70
2. Industri Perbankan
ID Data yang Relevan

Dimensi Sub Dimensi Parameter
(Lihat Data Checklist)

1 7,11,12,39,53,74
1. Risiko perusahaan
Budaya dan Peran Penilaian RMI dalam upaya
kapabilitas 2 53
b. Kapabilitas peningkatan praktik Manajemen Risiko
Risiko Risiko
3 Program peningkatan keahlian Risiko 8,9,48,53, 75,76
a. Organ 4 Akuntabilitas organ pengelola risiko 19,20,22,52,53

Pengelola
Risiko 5,14,16,17,18,19,20,
5 Tingkat kematangan organ pengelola risiko
22,44,52
Keterlibatan aktif Dewan Komisaris/ Dewan

6 13,14,18,
Pengawas dalam pengelolaan Risiko
Eskalasi permasalahan kepada Dewan

2. 7 53,72,73
Komisaris
Organisasi dan
Tata Kelola Tingkat pemahaman Risiko di jajaran Dewan
b. Peran dan 8 11,13,53,
Risiko Komisaris
Tanggung
Jawab Organ Peran komite-komite di bawah Dewan
9 72,73
Pengelola Komisaris
Risiko
3,6,11,13,17,18,21,24,
Pengurusan aktif Direksi dalam pengelolaan
10 25,27,44,45,46,47,51,
Risiko
71,72
Mandat, wewenang, dan independensi

11 fungsi manajemen risiko untuk memantau 19,22,44,45,52,53
semua Risiko
167
Efektivitas fungsi pengelola risiko dalam

12 22,24,53,85
13 Model Tata Kelola Risiko Tiga Lini 17,22,23,45,52,53
14 Peran dan fungsi Lini Pertama 17,34,43,53,74
1,3,4,5,6,19,22,23,24,
c. Model Tata
15 Peran dan fungsi Lini Kedua 25,28,29,32,34,35,36,
Kelola Risiko
39,52,53,85
Tiga Lini dan
Tata Kelola
19,20,22,23,28,52,53,
Risiko 16 Peran dan fungsi Lini Ketiga
93,95
Terintegrasi
Interaksi antara fungsi Risiko dan Assurance
17 22,23,52,53,95
(kepatuhan, legal, audit)
Peran dan fungsi Tata Kelola Risiko
18 3,6,12,19,73
Terintegrasi
19 6,22,52,53
entitas anak
20 27,28,30
Risiko
21 27,28,30,88
Management
Peran Manajemen Risiko dalam penyusunan
22 2,3,4,10,12,29,53
rencana strategis
a. Strategi Hubungan peran Manajemen Risiko

23 2,3,4,10,12,29,53
Risiko terhadap pencapaian target strategis RKAP
1,2,6,25,30,31,32,35,
24 Kapasitas risiko
53,55,56
3.
Kerangka 25 Selera risiko 1,2,6,25,31,53,71
Risiko dan
Kepatuhan Komunikasi selera Risiko kepada pemangku
26 1,33,53
kepentingan eksternal
Kebijakan dan/atau prosedur terkait proses 11,24,40,82,97,84,99,

27
dan kontrol Risiko 86,87,91
b. Kebijakan Kebijakan dan/atau prosedur untuk mitigasi 9,21,24,40,41,42,43,

28
dan Prosedur peristiwa penting terkait kerahasiaan data 51,59,60,61,70,89,90
Rencana darurat (contingency plan) dalam 9,21,41,42,46,47,53,

29
kondisi terburuk (worst case scenario); 59,60,61,70
168
Reviu dan Stress test terhadap prosedur dan

30 24,27,28,36,53
SOP
c. Fungsi
31 Organ fungsi kepatuhan dan perannya 22,23,39,53,56,93,109
Kepatuhan
d. Efektifitas
Manajemen 32 Efektivitas praktik Manajemen Risiko 28,42,53
Risiko
e. Efektivitas
Pengendalian 33 Efektivitas Pengendalian Intern 4,12,39,40,57,95
Intern
a. Identifikasi
34 Identifikasi Risiko utama 5,6,34,53,54,55
Risiko
b. Kerangka proses pengukuran Risiko untuk

Pengukuran 35 25,35,53,55,56,57,58
prioritisasi Risiko
dan
4. Prioritisasi 36 Integrasi atas seluruh Risiko utama 4,5,6,53
Proses dan Risiko
kontrol risiko
37 Aktivitas perlakuan terhadap Risiko utama 9,21,24,42,59,60,61,92
c. Perlakuan
Risiko Identifikasi dan pengelolaan eksposur Risiko
38 5,30,31,35,53
yang berada diatas selera risiko
d. Pelaporan Pelaporan Risiko melaporkan Risiko secara 4,5,6,10,36,50,54,65,

39
Risiko real-time 72,87
Model / alat pemantauan untuk menunjang

a. 49,53,58,62,63,77,78,
40 proses Manajemen Risiko dan pengambilan
5. Permodelan 79,80,81,94
keputusan
Model, data, dan
dan teknologi Teknologi
26,38,49,51,64,65,66,
risiko Risiko 41 Sistem informasi Manajemen Risiko
67,68,69
b. Data Risiko 42 Cakupan dan kualitas data Risiko 26,37,38,50,51,66,67
3. Industri Asuransi
1. 1 7,11,12,39,53
Risiko perusahaan
Budaya dan
b. Peran Penilaian RMI dalam upaya
kapabilitas 2 53
Kapabilitas peningkatan praktik Manajemen Risiko
Risiko
Risiko 3 Program peningkatan keahlian Risiko 8,9,48,53
a. Organ 4 Akuntabilitas organ pengelola risiko 19,20,22,52,53
Pengelola
Risiko 5 Tingkat kematangan organ pengelola risiko 19,20,53
b. Peran dan Keterlibatan aktif Dewan Komisaris/ Dewan
6 13,14,18, 53
Tanggung Pengawas dalam pengelolaan Risiko
169
Jawab Eskalasi permasalahan kepada Dewan
7 11,13,53
Organ Komisaris
Pengelola Tingkat pemahaman Risiko di jajaran
8 13,14,15
Risiko Dewan Komisaris
Peran komite-komite di bawah Dewan
9 13,14,15,16,19,52,53
Komisaris
3,6,11,13,17,18,
Pengurusan aktif Direksi dalam
10 21,24,25,27,44,
pengelolaan Risiko
45,46,47,51,71,72
Mandat, wewenang, dan independensi
2. 11 fungsi manajemen risiko untuk memantau 19,22,44,45,52,53
Organisasi semua Risiko
dan Tata Efektivitas fungsi pengelola risiko dalam
Kelola Risiko 12 22,24,53
13 Model Tata Kelola Risiko Tiga Lini 17,22,23,45,52,53
14 Peran dan fungsi Lini Pertama 17,34,43, 53
c. Model 1,3,4,5,6,19,22,23,
Tata Kelola 15 Peran dan fungsi Lini Kedua 24,25,28,29,32,34,
Risiko Tiga 35,36,39,52,53,
Lini dan 19,20,22,23,28,52,
16 Peran dan fungsi Lini Ketiga
Tata Kelola 53,95
Risiko Interaksi antara fungsi Risiko dan
17 22,23,52, 53
Terintegrasi Assurance (kepatuhan, legal, audit)
Peran dan fungsi Tata Kelola Risiko
18 3,6,12,19,73
Terintegrasi
19 6,22,52,53
entitas anak
20 27,28,30
Risiko
21 27,28,30
Management
Peran Manajemen Risiko dalam 2,3,4,10,
22
penyusunan rencana strategis 12,29,53
a. Strategi
Hubungan peran Manajemen Risiko 2,3,4,10,
Risiko 23
terhadap pencapaian target strategis RKAP 12,29,53
1,2,6,25,30,31,32,35,
24 Kapasitas risiko
53,55,56
3.
25 Selera risiko 1,2,6,25,31,53
Kerangka
Komunikasi selera Risiko kepada
Risiko dan 26 1,33,53
pemangku kepentingan eksternal
Kepatuhan
Kebijakan dan/atau prosedur terkait proses
27 11,24,40
dan kontrol Risiko
Kebijakan dan/atau prosedur untuk mitigasi 9,21,24,40,41,42,43,
b. Kebijakan 28
peristiwa penting terkait kerahasiaan data 51,59,60,61,70
dan
Rencana darurat (contingency plan) dalam 9,21,41,42,46,47,53,
Prosedur 29
kondisi terburuk (worst case scenario); 59,60,61,70
Reviu dan Stress test terhadap prosedur
30 24,27,28,36,53
dan SOP
c. Fungsi
31 Organ fungsi kepatuhan dan perannya 22,23,39,53,56
Kepatuhan
170
LAMPIRAN IV
KEMATANGAN RISIKO (RISK MATURITY
INDEX) DI LINGKUNGAN BADAN USAHA
MILIK NEGARA
LEMBAR PENILAIAN INDEKS KEMATANGAN RISIKO
A. Ilustrasi Lembar Penilaian Hasil Reviu Dokumen dan Wawancara
172
Keterangan:
A. Temuan/gap utama: diisi sesuai temuan yang didapatkan dari kajian dokumen maupun hasil wawancara.
B. Kutipan dan bukti penting: diisi dengan kutipan dan bukti-bukti penting yang mendukung temuan pada bagian A beserta sumber ditemukannya kutipan dan
bukti penting tersebut. Sumber dapat berupa dokumen yang telah direviu maupun hasil wawancara.
C. Sumber data: diisi dengan sumber/lokasi dari bukti-bukti yang dikumpulkan (sebagai referensi).
D. Penentuan skor dan penjelasan singkat mengenai justifikasi pemberian skor sesuai masing-masing kriteria evaluasi. Skor yang diperoleh berdasarkan hasil
reviu dokumen dapat disesuaikan merujuk kepada hasil wawancara.
173
Keterangan:
E. Keterangan mengenai kutipan beserta sumber/lokasi ditemukannya kutipan tersebut
F. Bukti temuan berupa screenshot dokumen yang memuat data kutipan dan bukti-bukti penting
B. Ilustrasi Ringkasan Penilaian Aspek Dimensi
174
Keterangan:
A. Skor Aspek Dimensi
B. Skor Dimensi
C. Temuan utama yang menunjukkan kekuatan/aspek yang sudah baik dan gap/kekurangan/area perbaikan.
D. Rekomendasi perbaikan yang dapat dilakukan untuk jangka pendek (kurang dari 1 tahun) dan jangka panjang (lebih dari 1 tahun
C. Ilustrasi dan Format Rekomendasi Hasil Penilaian RMI

C.1. Tabel Rekomendasi Perbaikan Manajemen Risiko
Kode Parameter Unit In
Jangka Waktu Aktivitas Indikator
No Rekomendasi Penilaian RMI Output Charge Penjelasan
Penyelesaian Utama Keberhasilan
terkait (UIC)
a b c d e f g h i
Keterangan masing-masing kolom pelaporan Penilaian RMI:

No. Nama Kolom Keterangan Isian
a Rekomendasi Diisi rekomendasi perbaikan Manajemen Risiko
b Kode Parameter Penilaian Diisi nama atau kode Parameter atas Penilaian RMI yang terkait dengan rekomendasi yang perlu dilakukan
RMI terkait rekomendasi
c Jadwal waktu penyelesaian Diisi periode waktu yang diperlukan untuk melaksanakan rekomendasi dan mencapai tujuan. Ini membantu dalam perencanaan
sumber daya dan menetapkan ekspektasi.
d Aktivitas Utama Diisi langkah-langkah atau aktivitas yang harus dilakukan untuk melaksanakan rekomendasi. Aktivitas-aktivitas
Ini menjadi panduan untuk tindakan praktis yang harus diambil.
e Output Diisi hasil konkret yang diharapkan dari rekomendasi tersebut. Hal ini membantu dalam mengukur kemajuan dan mengevaluasi
pencapaian tujuan.
f Indikator Keberhasilan Diisi kriteria atau ukuran yang akan digunakan untuk menilai apakah rekomendasi telah berhasil. Indikator keberhasilan membantu
dalam mengukur dampak rekomendasi.
g Unit In Charge (UIC) Diisi tim yang bertanggung jawab atas pelaksanaan rekomendasi. Ini memastikan akuntabilitas dan pengawasan yang tepat.
h Penjelasan Diisikan keterangan diantaranya terkait:
1. Tujuan rekomendasi: tujuan yang ingin dicapai melalui rekomendasi tersebut. Tujuan ini memberikan arah dan alasan mengapa
rekomendasi dilakukan;
175
LAMPIRAN V
KEMATANGAN RISIKO (RISK MATURITY INDEX)
DI LINGKUNGAN BADAN USAHA MILIK
NEGARA
FORMAT PELAPORAN HASIL PENILAIAN INDEKS KEMATANGAN RISIKO
A. Bentuk Formulir Ringkasan Hasil Penilaian RMI

BUMN a
Tahun b
No. Laporan c
Model Penilaian RMI d
Skor RMI e
Parameter Dimensi Deskripsi Skor Dimensi Skor

f g h i
1 s.d. 3 1 Budaya dan Kapabiltas Risiko
4 s.d. 19 2 Organisasi dan Tata Kelola Risiko
20 s.d. 33 3 Kerangka Risiko dan Kepatuhan
34 s.d. 39 4 Proses dan Kontrol Risiko
40 s.d. 41/42 5 Model, Data, dan Teknologi Risiko
1 s.d. 41/42 Skor Aspek Dimensi j
ASPEK KINERJA
177
Nilai Konversi x
No Aspek Nilai Aspek Nilai Konversi Bobot Skor
Bobot
k l m n o p
Tingkat Kesehatan
1 Peringkat Akhir (Final
Rating)
2 Peringkat Komposit Risiko
1 s.d. 2 Skor Aspek Kinerja q
Penyesuaian Skor r
SKOR RMI s
Keterangan masing-masing kolom pelaporan Penilaian RMI:

a BUMN Diisi nama BUMN lengkap
b Tahun Diisi tahun penilaian RMI diterbitkan.
c No. Laporan Diisi menggunakan nomor laporan penilaian RMI
d Model Penilaian RMI Diisi menggunakan salah satu model Penilaian RMI di bawah ini:
1. KBUMN – Industri Umum, model Penilaian RMI untuk BUMN selain Bank dan Asuransi
2. KBUMN – Industri Perbankan, model Penilaian RMI untuk BUMN Bank
3. KBUMN – Industri Asuransi, model Penilaian RMI untuk BUMN Asuransi
e Skor RMI Diisi skor total RMI yang merupakan skor aspek Dimensi dijumlahkan dengan skor aspek kinerja dan dikurangi dengan
penyesuaian skor
f Parameter Diisi nomor Parameter sesuai dengan jumlah Parameter untuk masing-masing industri
g Dimensi Diisi nomor Dimensi Penilaian RMI
h Deskripsi Diisi deskripsi atau nama Dimensi Penilaian RMI
i Skor Dimensi Diisi skor Dimensi yang diperoleh dari rata-rata skor Parameter pada Dimensi tersebut.
j Skor Aspek Dimensi Diisi skor aspek Dimensi yang diperoleh dari rata-rata skor seluruh Parameter.
k Nomor Diisi nomor urut Aspek Kinerja
l Aspek Diisi nama Aspek Kinerja dalam Penilaian RMI
178
m Nilai Aspek Diisi nilai dari masing-masing Aspek Kinerja
n Konversi Diisi konversi atas nilai per Aspek Kinerja merujuk pada tabel konversi pada Bab II
o Bobot Diisi bobot per Aspek Kinerja merujuk pada tabel bobot pada Bab II
p Konversi x Bobot Diisi hasil perkalian antara konversi dan bobot
q Skor Aspek Kinerja Diisi skor Aspek Kinerja yang merupakan penjumlahan dari konversi x bobot untuk 3 Aspek Kinerja
r Penyesuaian Skor Diisi penyesuaian skor merujuk pada tabel penyesuaian skor pada Bab II
s Skor RMI Diisi skor total RMI yang merupakan skor Aspek Dimensi dijumlahkan dengan skor Aspek Kinerja dan dikurangi dengan
penyesuaian skor
B. Bentuk Formulir Pemantauan Tindak Lanjut Rekomendasi RMI

BUMN a
Tahun b
No. Laporan c
Model Penilaian RMI d
Dimensi Rekomendasi Target Penyelesaian Pemberi Target Status Tindak Lanjut

e f g h i
Keterangan masing-masing kolom pelaporan Tindak Lanjut Rekomendasi RMI:

a BUMN Diisi nama BUMN lengkap
b Tahun Diisi tahun Penilaian RMI
c No. Laporan Diisi menggunakan nomor laporan penilaian RMI
d Model Penilaian Diisi menggunakan salah satu model Penilaian RMI di bawah ini:
RMI 1. KBUMN – Industri Umum, model Penilaian RMI untuk BUMN selain Bank dan Asuransi
2. KBUMN – Industri Perbankan, model Penilaian RMI untuk BUMN Bank
179
3. KBUMN – Industri Asuransi, model Penilaian RMI untuk BUMN Asuransi
e Dimensi Diisi dengan Dimensi Penilaian RMI
f Rekomendasi Diisi dengan deskripsi rekomendasi yang diberikan. Jika satu temuan memiliki lebih dari satu rekomendasi, maka dituliskan
dalam cell di baris yang berbeda (tidak digabung menjadi satu cell)
g Target Merupakan target penyelesaian rekomendasi yang telah ditetapkan oleh manajemen/Penilai Independen dengan format
Penyelesaian tanggal dd-mm-yyyy. Dalam hal target penyelesaian tidak diisi (dikosongkan), sistem akan mengisi dengan tanggal 30
November tahun bersangkutan.
h Pemberi Target Diisi dengan pemberi target penyelesaian tindak lanjut
i Status Tindak Merupakan status tindak lanjut dari rekomendasi atas temuan yang telah dilaporkan. Status tindak lanjut antara lan:
Lanjut 1. S: Sesuai dengan Rekomendasi.
2. BS: Belum Sesuai dengan Rekomendasi.
3. BD: Rekomendasi Belum Ditindaklanjuti.
4. TDD: Rekomendasi Tidak Dapat Ditindaklanjuti
C. Contoh Pelaporan Ringkasan Hasil Penilaian RMI

BUMN PT ABC
Tahun 2022
No. Laporan 01/II/RMI/2023
Model RMI KBUMN – Industri Umum
Total Skor RMI 2,9
ASPEK DIMENSI
Parameter Dimensi Deskripsi Skor Dimensi Skor
180
ASPEK KINERJA
No Aspek Nilai Aspek Nilai Konversi Bobot Nilai Konversi x Bobot Skor
Tingkat Kesehatan Peringkat
1 A 79 50% 39,5
Akhir (Final Rating)
2 Peringkat Komposit Risiko 2 78 50% 39,0
SKOR RMI 2,9
D. Contoh Pelaporan Pemantauan Tindak Lanjut Rekomendasi RMI

BUMN PT ABC
Tahun 2022
No. Laporan 01/II/RMI/2023
Model RMI KBUMN – Industri Umum
Target Status Tindak

Dimensi Rekomendasi Pemberi Target
Penyelesaian Lanjut
Budaya dan Kapabilitas Terdapat potensi yang dapat ditingkatkan dengan menambah personil 08-05-2022 Manajemen BD
Risiko untuk mengelola manajemen risiko pada sub-holding.
Organisasi dan Tata Dibutuhkan pengembangan kriteria yang lebih jelas untuk isu yang 08-05-2022 Manajemen BS
Kelola Risiko dieskalasi ke Dewan Komisaris.
Kerangka Risiko dan Potensi dalam mengembangkan kerangka yang sistematis untuk 08-05-2022 Manajemen S
Kepatuhan mengidentifikasi dan menilai risiko yang mungkin timbul dalam
profiling risiko.
Proses dan Kontrol Perlu mengembangkan sistem stress testing manajemen dan 30-11-2022 KBUMN BS
Risiko instrumen pendukungnya.
181

(SK-8) UND-55 DKU MBU 12 2023 Tentang Penyampaian Salinan Dan Undangan Sosialisasi Juknis RMI BUMN-1

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

(SK-8) UND-55 DKU MBU 12 2023 Tentang Penyampaian Salinan Dan Undangan Sosialisasi Juknis RMI BUMN-1

Diunggah oleh

Hak Cipta:

Format Tersedia

Nomor : UND-55/DKU.

MBU/12/2023 Jakarta, 17 Desember 2023

Yth. Daftar Terlampir

Deputi Bidang Keuangan dan

Waktu Acara Keterangan

1. Asisten Deputi Bidang Jasa Keuangan

Organ Pengelola Risiko BUMN:

PETUNJUK TEKNIS PENILAIAN INDEKS KEMATANGAN RISIKO (RISK MATURITY

DEPUTI BIDANG KEUANGAN DAN MANAJEMEN RISIKO

Menimbang : bahwa untuk melaksanakan ketentuan Pasal 74 ayat (4) Peraturan

Mengingat : 1. Undang-Undang Nomor 19 Tahun 2003 tentang Badan Usaha

PETUNJUK TEKNIS PENILAIAN INDEKS KEMATANGAN RISIKO

KEMENTERIAN BADAN USAHA MILIK NEGARA

DAFTAR ISI .......................................................................................................................... ii

Istilah atau Definisi Penjelasan

A. Penilaian RMI Berbasis Kinerja

Diagram 1. Penilaian RMI Berbasis Kinerja

B. Skala Spektrum Penilaian RMI

Diagram 2. Spektrum Hasil Penilaian RMI

1. Fase Awal (Initial Phase), terdiri dari 2 (dua) sub-tingkat:

2. Fase Berkembang (Emerging Phase), terdiri dari 2 (dua) sub-tingkat:

E. Alur Proses Penilaian RMI

Diagram 3. Ringkasan Alur Proses Penilaian RMI

1. Penunjukan Pelaksana Penilaian RMI

2. Pengumpulan, Reviu, dan Penilaian Bukti Dokumen Serta Survei

4. Penilaian dan Pelaporan

Diagram 4. Ilustrasi Input Skor tiap Parameter Penilaian RMI

Diagram 5. Ilustrasi Penentuan Skor Aspek Dimensi

3) Menganalisis kekuatan dan kelemahan dari Aspek Dimensi untuk

4) Konversi penilaian Tingkat Kesehatan dan Peringkat Komposit Risiko

b) Konversi Peringkat Komposit Risiko

7) Ilustrasi perhitungan skor Aspek Kinerja sebagaimana digambarkan pada

c. Penentuan Skor RMI

F. Pengaturan Implementasi Penilaian RMI

PARAMETER DAN KRITERIA PENILAIAN INDEKS KEMATANGAN RISIKO

1. Budaya dan Kapabilitas Risiko

4. Proses dan Kontrol Risiko

REFERENSI DAFTAR KEBUTUHAN DATA DAN DOKUMEN

A. Daftar Kebutuhan Data

92 Deskripsi 3 Risiko operasional teratas Laporan profil Risiko; Khusus

B. Pemetaan Kebutuhan Dokumen untuk Tiap Parameter Penilaian RMI

ID Data yang Relevan

a. Budaya Internalisasi budaya Risiko dalam budaya

a. Organ 4 Akuntabilitas organ pengelola risiko 19,20,22,52,53

Keterlibatan aktif Dewan Komisaris/ Dewan

Eskalasi permasalahan kepada Dewan

Mandat, wewenang, dan independensi

Efektivitas fungsi pengelola risiko dalam

13 Model Tata Kelola Risiko Tiga Lini 17,22,23,45,52,53

14 Peran dan fungsi Lini Pertama 17,34,43,53,74

a. Strategi Hubungan peran Manajemen Risiko

Kebijakan dan/atau prosedur terkait proses 11,24,40,82,97,84,99,

b. Kebijakan Kebijakan dan/atau prosedur untuk mitigasi 9,21,24,40,41,42,43,

Rencana darurat (contingency plan) dalam 9,21,41,42,46,47,53,

Reviu dan Stress test terhadap prosedur dan

b. Kerangka proses pengukuran Risiko untuk

d. Pelaporan Pelaporan Risiko melaporkan Risiko secara 4,5,6,10,36,50,54,65,

Model / alat pemantauan untuk menunjang

b. Data Risiko 42 Cakupan dan kualitas data Risiko 26,37,38,50,51,66,67

LEMBAR PENILAIAN INDEKS KEMATANGAN RISIKO

A. Ilustrasi Lembar Penilaian Hasil Reviu Dokumen dan Wawancara

C. Ilustrasi dan Format Rekomendasi Hasil Penilaian RMI

Keterangan masing-masing kolom pelaporan Penilaian RMI:

FORMAT PELAPORAN HASIL PENILAIAN INDEKS KEMATANGAN RISIKO