Modul Sertifikasi Penilaian RMI
Modul Sertifikasi Penilaian RMI
Maret 2024
STRICTLY C O N F I D E N T I A L
Daftar Definisi
Formula Ambang
Realisasi / Target
Hijau Kuning Merah
(mengukur ketepatan
(0% - 2%) (3 % - 7%) (>8%)
waktu penyelesaian)
Skor Kriteria
Fase Praktik
yang Baik
Tingkat Kesehatan Fase Praktik yang
Peringkat Akhir
Peringkat Akhir Lebih Baik
(Final Rating)
(Final Rating)
Fase Praktik
Skor Aspek Penyesuaian Skor Terbaik
Penilaian Indeks
Kematangan Risiko/Risk
Maturity Index (RMI)
Modul 1. Penilaian Indeks Kematangan Risiko (RMI)
2 3 4 5 6
STRICTLY C O N F I D E N T I A L
1.1 Penilaian RMI
B Aspek Dimensi
C Aspek Kinerja
3 Wawancara
1 1 2 Menggabungkan antara
Penilaian RMI berdasarkan
Budaya & Kapabilitas Risiko Dimensi dengan realisasi
kinerja yang terdiri dari
Tingkat Kesehatan Peringkat
2 3 Akhir (Final Rating) dan
Tingkat Peringkat Komposit Risiko
Organisasi & Tata Kerangka Risiko &
Kelola Risiko Kepatuhan Kesehatan Peringkat
Komposit Risiko
(Final Rating) Tujuan Penilaian RMI berbasis
4 5
kinerja adalah meyakinkan
Proses & Kontrol Model, Data, dan bahwa Tingkat Kematangan
Risiko Teknologi Risiko Risiko sinkron dengan hasil
kinerja
1 2 3 4 5
Fase Awal Fase Berkembang Fase Praktik yang Baik Fase Praktik yang Lebih Baik Fase Praktik Terbaik
• Menerapkan sejumlah Dimensi • Secara rata-rata menerapkan • Menerapkan seluruh Dimensi • Menerapkan seluruh Dimensi praktik • Menerapkan praktik-praktik terbaik
praktik MR seluruh Dimensi praktik MR untuk praktik MR, mendekati/ sejalan MR yang kuat, mendekati/ sejalan MR sesuai praktik standar global
• Budaya & kesadaran Risiko memenuhi persyaratan minimum dgn praktik standar industrinya; dgn praktik standar global industrinya;
pegawai masih rendah; • Pegawai tertentu cukup sadar • Pegawai cukup sadar akan Risiko, industrinya; • Budaya Risiko sepenuhnya
• Tata kelola dan struktur organisasi akan Risiko, budaya Risiko mulai budaya Risiko mulai diterapkan di • Semua pegawai sadar Risiko, tertanam, telah dilaksanakan
MR dalam tahap perencanaan; diperkenalkan dalam perusahaan; penerapan budaya Risiko memasuki sepenuhnya didukung pengelolaan
• Kebijakan/pedoman/SOP/keten- • Terdapat struktur organisasi, • Struktur organisasi, kerangka kerja, tahap lebih luas & makin terintegrasi pengetahuan & pengembangan
tuan diperbaharui tidak secara kerangka kerja, kepatuhan, proses, kepatuhan, proses, sistem, dan alat • Struktur organisasi, kerangka kerja, kapabilitas sumber daya MR;
berkala; dan sistem, & alat yang terkait MR, ada terkait MR telah diterapkan, level kepatuhan, proses, sistem, & alat • Struktur organisasi, kerangka kerja,
• Kerangka kerja, kepatuhan, proses, kesenjangan dalam praktiknya, implementasinya masih bervariasi; terkait MR diimplementasikan cukup kepatuhan, proses, sistem, & alat
sistem dan alat yang terkait MR level implementasi tiap Dimensi • Menerapkan MRyang
secara konsisten Fase Praktik yang
Fase Praktik Baik efektif; terkait
FaseMRPraktik
diterapkan secara efektif
Terbaik
diterapkan tidak secara konsisten bervariasi sesuai framework MR dan • MenerapkanLebih
MRBaik
dengan perbaikan & dilakukan perbaikan
di seluruh organisasi. • Telah mengomunikasikan menerapkan prinsip MR terus- terus-menerus berkelanjutan;
infrastruktur MR dan dipahami oleh menerus; dan • Penerapan MR didukung sistem • Proses MR menggunakan metode
seluruh insan Perusahaan • Penjabaran (cascading) target informasi yang memadai dan dapat terdepan dgn sistem informasi MR
• Perusahaan telah menyelaraskan kinerja perusahaan telah dilakukan dipertanggungjawabkan yang terintegrasi dengan sistem
Fase Awal (+) infrastruktur MR dan target kinerja hingga tingkat individu. • Evaluasi pencapaian kinerja telah informasi lainnya. Perbaikan MR
dilakukan secara berkala. dilakukan berkelanjutan;
Praktik MR melampaui fase awal & Fase Berkembang (+) • MR menjadi dasar pengambilan
Fase Praktik yang Baik (+)
sedang transisi menuju fase Fase Praktik yang Lebih Baik (+) keputusan dengan
berkembang Praktik MR melampaui fase Praktik MR melampaui fase praktik memperhitungkan peluang yang
berkembang & sedang transisi menuju yang baik & sedang transisi menuju Praktik MR melampaui fase yang lebih ada; dan
fase praktik yang baik fase praktik yang lebih baik baik & sedang transisi menuju fase • Tren kinerja meningkat dari tahun ke
praktik terbaik tahun.
Aspek Kinerja dalam Penilaian RMI terdiri atas Peringkat Akhir (Final Rating) merupakan peringkat perusahaan
secara konsolidasi yang telah memperhitungkan faktor
hubungan/dukungan dengan/dari induk Perusahaan dan/atau
1 2 pemerintah
Tingkat Kesehatan Peringkat Akhir (Final Rating) yang dijadikan sebagai rujukan
dalam Penilaiaan RMI adalah angka yang diterbitkan oleh perusahaan pemeringkat
Tingkat
Peringkat
Kesehatan
Komposit Risiko
(Final Rating) Peringkat Komposit Risiko
Bobot 50% Bobot 50% Merujuk pada Petunjuk Teknis Pelaporan Manajemen Risiko, penentuan
peringkat komposit Risiko BUMN didasarkan pada dua variabel penilaian
yaitu:
Kualitas Penerapan
Kinerja
Manajemen Risiko (KPMR)
Kualitas Penerapan
Manajemen Risiko (KPMR)
1. Pencapaian Nilai Eksposur Risiko
(30%) KPMR Skor Penilaian
2. Pencapaian pelaksanaan Strong >90
perlakuan Risiko (20%) Satisfactory 85-90
Fair 80-84
3. Realisasi biaya pelaksanaan Marginal 75-79 1
Risiko terkendali sangat baik, kemungkinan tidak tercapainya
perlakuan Risiko (20%) target kinerja sangat rendah
Unsatisfactory <75
4. Ketepatan penilaian Risiko (30%) Risiko terkendali baik, kemungkinan tidak tercapainya
2 target kinerja tergolong rendah
Risiko terkendali cukup, kemungkinan tidak
3
tercapainya target kinerja tergolong cukup
Kinerja Risiko tidak terkendali, kemungkinan tidak
4
tercapainya target kinerja tergolong tinggi.
Kinerja Skor Penilaian
1. Capaian KPI Kolegial (30%)
Sangat Baik >95 Risiko sangat tidak terkendali dan
2. Capaian Kinerja Keuangan Baik 90-94 5 kemungkinan tidak tercapainya target kinerja
Cukup 80-89 tergolong sangat tinggi.
(30%) Kurang 70-79
3. Capaian Kinerja Buruk <70
Hasil perhitungan Peringkat Komposit Risiko harus direviu oleh SPI terlebih
Operasi/Produksi Utama (40%) dahulu untuk dapat dijadikan sebagai rujukan dalam Penilaiaan RMI
1 2 3 4 5
Penunjukan Pengumpulan,
Pemantauan oleh
Pelaksana Reviu & Penilaian Wawancara Penilaian dan Pelaporan
KBUMN
Penilaian Dokumen serta Survei
Setiap tahapan sesuai alur proses di atas harus dilakukan pada saat Penilaian RMI baik dengan metode Penilaian
Internal maupun Penilaian Independen
Penilai Independen wajib menjalankan prosedur Penilaian RMI secara profesional untuk dapat memberikan keyakinan atas tingkat
penerapan Manajemen Risiko sesuai dengan Dimensi, Parameter,
dan Kriteria Penilaian RMI dalam Juknis ini.
2
2
Kualifikasi Tim Penilai Internal sebagaimana ketentuan dalam Penilai Independen menandatangi perjanjian kerahasiaan
Juknis ini. (NDA) sebelum melakukan penilaian RMI.
3
Penilaian RMI pada BUMN dan anak perusahaan BUMN 3
Kualifikasi instansi dan anggota tim Penilai Independen
dilakukan oleh tim yang terdiri dari Lini Kedua dan Lini Ketiga sebagaimana ketentuan dalam Juknis ini.
yang diketuai oleh Lini Ketiga.
1
Tim Penilai Internal menyusun dan
Tim Penilai PIC Koordinasi selanjutnya
Tim Penilai mengirimkan pemberitahuan tertulis
menyampaikan mengirim dokumen yang
menyusun daftar terkait Penilaian RMI kepada Direksi,
permintaan data telah dikumpulkan ke Tim
kebutuhan data Dekom/Dewas, KPR, Kepala Unit dan
kepada PIC Koordinasi, Penilai.
risk officer
Tim Penilai membangun survei yang dapat dipertanggungjawabkan secara ilmiah dan menghindari potensi diperolehnya hasil survei yang
2
bias/normatif/kecenderungan terdistribusi pada salah satu tail.
Metode Wawancara ditetapkan oleh Tim Penilai Internal atau Penilai Independen
Metode Wawancara ditetapkan oleh Tim Penilai Internal atau Penilai Independen
Tim Penilai mengevaluasi temuan hasil wawancara dan membandingkan dengan hasil reviu dokumen
& Metode
survei. Wawancara ditetapkan oleh Tim Penilai Internal atau Penilai Independen
Tim Penilai mereviu skor penilaian dari hasil reviu dokumen dan survei berdasarkan informasi tambahan
dari wawancara
Metode Wawancara ditetapkan oleh Tim Penilai Internal atau Penilai Independen
Tim Penilai memvalidasi hasil wawancara dengan memastikan informasi tsb didukung:
• Bukti dokumen yang sudah disahkan/diformalkan dan dijadikan panduan dalam proses bisnis BUMN
• Bukti non dokumen yang telah dikonfirmasi kepada pihak lain dengan hasil informasi yang konsisten
• Penilaian dapat dilakukan oleh Penilai Independen atau Penilai Internal dan mengacu pada Juknis RMI KBUMN
• Laporan hasil Penilaian RMI disampaikan maksimal TW I 2024
• BUMN yang tidak dapat melaksanakan penilaian RMI, dapat memberikan penjelasan kepada KBUMN saat penyampaian laporan
pertanggungjawaban TB 2023
• Untuk kebutuhan KPI fungsi MR 2024, target program perbaikannya minimal memenuhi Parameter skor 2 dan sebagian skor 3 pada setiap Aspek
Dimensi yang meliputi: budaya Risiko, struktur tata kelola Risiko, sistem dan pengendalian Risiko, serta data modelling Risiko
*Penilaian Independen: Penilaian RMI yang dilakukan Konsultan eksternal atau instansi pemerintah yang memiliki kapabilitas dalam Penilaian RMI yang ditunjuk oleh Direktur yang
membidangi pengelolaan Risiko
STRICTLY C O N F I D E N T I A L
1.2. Lembar Penilaian dan Pelaporan RMI
1.2.8
Formulir Ringkasan Hasil Penilaian RMI
A. Temuan/gap utama yang didapatkan dari kajian dokumen maupun hasil wawancara
B. kutipan dan bukti-bukti penting yang mendukung temuan pada bagian A beserta sumber ditemukannya kutipan dan bukti penting tersebut.
Keterangan
Sumber dapat berupa dokumen yang telah direviu maupun hasil wawancara.
C. sumber/lokasi dari bukti-bukti yang dikumpulkan (sebagai referensi).
D. Penentuan skor dan penjelasan singkat mengenai justifikasi pemberian skor sesuai masing-masing kriteria evaluasi. Skor yang diperoleh
berdasarkan hasil reviu dokumen dapat disesuaikan merujuk kepada hasil wawancara.
E. Keterangan mengenai kutipan/highlight informasi penting beserta sumber/lokasi ditemukannya informasi tersebut
F. Bukti temuan berupa screenshot dokumen yang memuat data kutipan dan bukti-bukti penting
2
Skor untuk setiap Dimensi dihitung
3 menggunakan rata-rata dari skor untuk
semua Parameter dalam Dimensi tersebut
Keterangan
Total Nilai 86
d Aktifitas Utama Diisi langkah-langkah atau aktivitas yang harus dilakukan untuk melaksanakan rekomendasi. Aktivitas-aktivitas
Ini menjadi panduan untuk tindakan praktis yang harus diambil.
e Output Diisi hasil konkret yang diharapkan dari rekomendasi tersebut. Hal ini membantu dalam mengukur kemajuan dan mengevaluasi
pencapaian tujuan.
f Indikator Keberhasilan Diisi kriteria atau ukuran yang akan digunakan untuk menilai apakah rekomendasi telah berhasil. Indikator keberhasilan
membantu dalam mengukur dampak rekomendasi.
g Unit In Charge (UIC) Diisi tim yang bertanggung jawab atas pelaksanaan rekomendasi. Ini memastikan akuntabilitas dan pengawasan yang tepat.
Keterangan
a) Prioritas pertama: rekomendasi dengan dampak tinggi
dan mudah diimplementasikan.
b) Prioritas kedua: rekomendasi dengan dampak rendah
dan mudah diimplementasikan atau rekomendasi
dengan dampak tinggi namun tidak mudah
diimplementasikan.
c) Prioritas ketiga: rekomendasi dengan dampak rendah
dan tidak mudah diimplementasikan.
BUMN a
Tahun b
No. Laporan c
Model Penilaian RMI d
Keterangan
STRICTLY C O N F I D E N T I A L
Dimensi Budaya dan Kapabilitas Risiko
2 Paramater 2. Peran Penilaian RMI dalam upaya peningkatan praktik Manajemen Risiko
Outline
3 Parameter 3. Program Peningkatan Keahlian Risiko
1. Belum ada program 1. program penanaman budaya 1. program penanaman budaya 1. Program penanaman budaya dan 1. Program penanaman budaya dan
penanaman budaya risiko Risiko dilakukan tidak secara dan program sadar risiko program sadar risiko dilakukan secara program sadar risiko dilakukan secara
rutin (tidak dilakukan setiap dilakukan secara rutin (1x per rutin dan lebih sering (lebih dari 1x per rutin dan lebih sering (lebih dari 1x per
2. Tanggung jawab tahun) tahun) tahun) tahun)
pengembangan budaya
Risiko diemban oleh unit 2. Tanggung jawab 2. Fase Praktikjawab
Tanggung yang Baik 2. Tanggung jawab pengembangan 2. Tanggung jawab pengembangan
kerja khusus. Tidak ada pengembangan budaya pengembangan budaya budaya Risiko diemban Lini Kedua, budaya Risiko diemban Lini Kedua, telah
keterlibatan Lini Kedua Risiko diemban Lini Kedua Risiko diemban Lini Kedua dan tercantum dengan jelas pada uraian tercantum dengan jelas pada uraian
namun tidak tercantum pada tercantum dengan jelas pada jabatan serta diawasi oleh Direksi dan jabatan tidak hanya Lini Kedua namun di
3. Direksi belum berperan aktif uraian jabatan uraian jabatan Dekom/Dewas semua lini (khususnya yang memegang
untuk mengembangkan posisi manajerial)
3. Direksi berperan aktif untuk Fase Praktik yang
3. Direksi berperan aktif untuk
budaya risiko 3. Direksi belum berperan aktif
untuk mengembangkan mengembangkan budaya Lebih Baikbudaya risiko
mengembangkan 3. Direksi berperan aktif untuk
budaya risiko risiko mengembangkan budaya risiko
4. Evaluasi rutin min. 1x per tahun Fase Praktik Terbaik
terhadap peningkatan budaya Risiko 4. Evaluasi rutin min.1x per tahun terhadap
beserta pengumpulan masukan peningkatan budaya Risiko beserta
pengembangan program budaya pengumpulan masukan pengembangan
Keterangan Risiko program budaya Risiko
Tertanam diseluruh lini Perusahaan dimulai dengan penegasan dari jajaran manajemen, diperkuat dengan 5. Budaya Risiko menjadi bagian integral 5. Budaya Risiko menjadi bagian integral
langkah nyata (yang juga dapat digunakan sebagai kriteria evaluasi kinerja pegawai): budaya Perusahaan, tercantum pada budaya Perusahaan, tercantum pada
kebijakan budaya kerja perusahaan, kebijakan budaya kerja perusahaan, dan
o Cepat mengantisipasi potensi risiko dan menanggapinya dengan tepat
dan tertanam di seluruh lini tertanam di seluruh lini Perusahaan*
o Menyeimbangkan target jangka pendek dan Risiko jangka panjang
* o Pembahasan Risiko yang sulit tetap dilakukan secara konstruktif
Perusahaan*
6. Terdapat sistem penunjang untuk
o Mendukung pelaksanaan inisiatif MR dan secara ketat menerapkan pedoman MR pelaksanaan dan penanaman program
o Resiliensi (contoh resiliensi operasional, tanggap merespon peristiwa yang merugikan dengan memberi budaya Risiko Perusahaan**
penekanan baik dalam penyusunan strategi maupun dalam pelaksanaannya)
7. Terdapat bukti yang jelas atas kinerja
Contoh sistem penunjang implementasi program budaya Risiko***
** o Intranet untuk memuat informasi mengenai program budaya Risiko dan kebijakan Risiko perusahaan
o Dashboard untuk memantau metrik yang berkaitan dengan budaya Risiko/program budaya Risiko
a.Contoh
Sub Dimensi Budaya Risiko
risk culture output: bagaimana posisi organisasi yang
Budaya Risiko yang diukur dari 4 elemen, 10 sub elemen, 40 atribut
dinilai dalam 10 sub-elemen
Kelemahan relatif Area untuk diperhatikan Kekuatan relatif
1 Laporan risiko yang terperinci dan 6 Pembiayaan yang lebih tinggi pada
terstruktur dengan wawasan yang agunan yang dinilai terlalu tinggi yang
dapat ditindaklanjuti yang nilainya menurun seiring waktu
disosialisasikan secara berkala
Acknowledgement
Communication
Confidence
45%
40%
30%
25%
20%
15%
~2X skor da
Line of defense
Openness 60% 20% 35%
sebagaimana
Challenge 30% 23% 15% dibandingkan deng
Responsiveness Speed of response 20% 28% 15% line of defense
Level of care 55% 46% 30%
1. Belum ada Penilaian RMI 1. Telah ada Penilaian RMI oleh 1. Telah ada Penilaian RMI oleh 1. Telah ada Penilaian RMI yang diatur 1. Telah ada Penilaian RMI yang diatur
oleh Penilai Independen Penilai Independen dalam 3 Penilai Independen dalam 3 dalam kebijakan risiko perusahaan dalam kebijakan risiko perusahaan
dalam 3 tahun terakhir tahun terakhir tahun terakhir
2. Penilaian RMI dilakukan secara rutin 2. Penilaian RMI dilakukan secara rutin
2. Penilaian RMI pernah 2. Periode Penilaian RMI baik 2. Penilaian RMI dilakukan secara (setiap tahun), dan dilaksanakan (setiap tahun), dan dilaksanakan dengan
dilakukan oleh Penilai yang dilakukan oleh Penilai rutin (setiap tahun) setidaknya dengan baik di level Holding dan baik di level Holding dan setiap anak
Internal, periode penilaian Internal/ Independen tidak untuk level holding setiap anak perusahaan perusahaan
tidak rutin rutin
3. Penilaian RMI mencakup 3. Penilaian RMI mencakup seluruh 3. Penilaian RMI mencakup seluruh Dimensi
3. Penilaian RMI bersifat high- 3. Penilaian RMI belum seluruh Dimensi Risiko Dimensi Risiko Risiko
level, kajian mendalam mencakup seluruh Dimensi Fase Praktik yang Baik
belum dilaksanakan Risiko 4. Rencana perbaikan hasil 4. Rencana perbaikan hasil Penilaian 4. Rencana perbaikan hasil Penilaian RMI
Penilaian RMI dilengkapi RMI dilengkapi inisiatif detail, Timeline dilengkapi inisiatif detail, Timeline yang
Fase Praktik yang
4. Rencana perbaikan hasil inisiatif detail, Timeline yang yang terperinci dan PIC terperinci dan PIC penanggungjawab
Penilaian RMI bersifat umum, terperinci dan PIC Lebih Baik
penanggungjawab
tidak dilengkapi Timeline dan penanggungjawab 5. Sosialisasi hasil Penilaian RMI kepada
PIC penanggungjawab 5. Sosialisasi hasil Penilaian RMI kepada Fase
Direksi danPraktik Terbaik serta
Dekom/Dewas
5. Sosialisasi hasil Penilaian RMI Direksi dan Dekom/Dewas serta pemangku kepentingan terkait* untuk
kepada Direksi dan pemangku kepentingan terkait* untuk memperkuat kepemilikan Risiko
Dekom/Dewas serta memperkuat kepemilikan Risiko
pemangku kepentingan 6. Pemantauan progres tindak lanjut
terkait* untuk memperkuat 6. Pemantauan progres tindak lanjut pelaksanaan rekomendasi Penilaian RMI
kepemilikan Risiko pelaksanaan rekomendasi Penilaian yang terdokumentasi dengan baik
RMI yang terdokumentasi dengan
baik 7. Telah ada bukti yang jelas atas kinerja
implementasi rekomendasi hasil Penilaian
7. Telah ada bukti yang jelas atas RMI**
kinerja implementasi rekomendasi
hasil Penilaian RMI** 8. Verifikasi/audit Penilaian RMI oleh pihak
Keterangan independen (misal audit internal atau
pihak eksternal independen) sebagai
Pemangku kepentingan terkait misal semua personel Manajemen Risiko, beserta personel Lini Pertama/Lini “check-and-balance” untuk
* Ketiga terkait) meminimalisir potensi bias penilaian.
1. Telah ada program 1. Telah ada program 1. Telah ada program 1. Telah ada program peningkatan 1. Telah ada program peningkatan keahlian
peningkatan keahlian Risiko peningkatan keahlian Risiko peningkatan keahlian Risiko keahlian Risiko Risiko
2. Program belum diterapkan 2. Program dapat diakses 2. Program dapat diakses seluruh 2. Program dapat diakses seluruh 2. Program dapat diakses seluruh pegawai
ke seluruh pegawai (misal sebagian besar pegawai pegawai pegawai
baru ke level Dekom/ 3. Program bersifat wajib dan rutin (minimal
Dewas? 3. Program tidak bersifat 3. Program bersifat wajib dan 3. Program bersifat wajib dan rutin 1x pertahun), dan titetapkan sanksi untuk
wajib/rutin rutin (minimal 1x pertahun) (minimal 1x pertahun) ketidakhadiran
3. Program tidak bersifat
wajib/rutin 4. Program disesuaikan dengan 4. Program disesuaikan dengan 4. Program disesuaikan dengan Tingkat 4. Program disesuaikan dengan Tingkat
keahlian pegawai Tingkat keahlian/jabatan keahlian/jabatan khususnya untuk keahlian/jabatan khususnya untuk
Fase Praktik yang Baik personel risiko, Dekom/Dewas, Direksi
4. Program pelatihan belum khususnya untuk personel personel risiko, Dekom/Dewas, Direksi
risiko, Dekom/Dewas, Direksi
Fase Praktik yang
disesuaikan dengan tingkat 5. Topik pada program
kemungkinan belum Lebih bersifat
5. Topik program Baik komprehensif 5. Topik program bersifat komprehensif
keahlian pegawai
komprehensif (belum 5. Topik program bersifat mencakup seluruh dimensi MR mencakup seluruh dimensi MR
mencakup seluruh dimensi komprehensif mencakup
MR) seluruh dimensi MR 6. Tingkat kehadiran pelatihan >95% dari 6. Tingkat kehadiran pelatihan >95% dari
jumlah peserta terdaftar jumlah peserta terdaftar
6. Tingkat kehadiran pelatihan 6. Tingkat kehadiran pelatihan Fase Praktik Terbaik
relatif tinggi hanya dibeberapa >90% dari jumlah peserta 7. Kurikulum ditinjau secara rutin 7. Kurikulum ditinjau secara rutin
divisi terdaftar berdasarkan kebutuhan pelatihan berdasarkan kebutuhan pelatihan
pegawai* pegawai*
7. Program belum diperbaharui
secara rutin (tidak ditinjau 8. Telah ada pengumpulan feedback 8. Telah ada pengumpulan feedback
setiap tahun) terdokumentasi dari pegawai yang terdokumentasi dari pegawai yang telah
telah menerima pelatihan Risiko menerima pelatihan Risiko
1 Dewan Komisaris/ 2 3
Dewan Pengawas, Direksi, Anggota Komite Audit &
Direktur yang Membidangi Komite Pemantau Risiko
Satuan Pengawasan Intern
Pengelolaan Risiko, Direktur yang berasal dari luar
(SPI)
Yang Membidangi anggota Dewan
Pengelolaan Keuangan & Komisaris/Dewan Pengawas
Komite TKT
BUMN/Anak Perusahaan BUMN
Saat menjabat Sebelum menjabat Saat menjabat Sebelum menjabat Saat menjabat
Integritas
Pelatihan Pelatihan Pelatihan
Sikap
Pemenuhan kualifikasi sertifikasi saat menjabat wajib dipenuhi 1 tahun sejak menjabat
Sertifikasi sebelum & saat menjabat wajib berlaku selama masa jabatan
STRICTLY C O N F I D E N T I A L
Dimensi Organisasi dan Tata Kelola Risiko
Sub-Dimensi: Organ Pengelola Risiko
4 Paramater 4. Efektifitas Fungsi Pengelola Risiko
5 Parameter 5. Tingkat Kematangan Organ Pengelola Risiko
Sub-Dimensi: Model Tata Kelola Risiko Tiga Lini dan Tata Kelola Risiko Terintegrasi
13 Paramater 13. Penerapan Model Tata Kelola Risiko Tiga Lini
14 Parameter 14. Peran dan Fungsi Lini Pertama
15 Parameter 15. Peran dan Fungsi Lini Kedua
16 Parameter 16. Peran dan Fungsi Lini Ketiga
17 Parameter 17. Interaksi antara fungsi Risiko dan Assurance (kepatuhan, legal, audit)
18 Parameter 18. Peran dan Fungsi Tata Kelola Terintegrasi
19 Parameter 19. Monitoring Risiko Entitas Induk Sampai ke Entitas Anak
RAHASIA DAN TERBATAS | HALAMAN 47
a.
Sub Dimensi Organ Pengelola Risiko
Parameter : 4. Efektifitas Fungsi Pengelola Risiko
1. Belum ada fungsi risiko, 1. Telah ada fungsi risiko terpusat 1. Telah ada fungsi risiko khusus 1. Telah ada fungsi risiko khusus dengan 1. Telah ada fungsi risiko khusus dengan
namun ada beberapa berskala kecil, namun dengan akuntabilitas akuntabilitas perorangan dan cara akuntabilitas perorangan dan cara
pegawai yang diberi tugas kegiatan MR Sebagian besar perorangan dan cara interaksi interaksi yang jelas dengan fungsi interaksi yang jelas dengan fungsi kontrol
berkaitan dengan Risiko terdesentralisasi (manajer risiko yang jelas dengan fungsi kontrol maupun dengan Unit Bisnis maupun dengan Unit Bisnis
(misal manajer kontrol & kegiatan MR tersebar kontrol maupun dengan Unit
operasional dengan salah disetiap unit bisnis) Bisnis 2. Telah ada Direktur yang membidangi 2. Telah ada Direktur yang membidangi
satu ruang lingkup kerja pengelollan risiko sesuai dengan pengelolaan risiko sesuai dengan
terkait risiko di unit bisnis) 2. Telah ada Kepala unit Risiko, 2. Telah ada Direktur yang klasifikasi Risiko BUMN ref. Juknis SK-3 klasifikasi Risiko BUMN ref. Juknis SK-3
namun fungsi Manajemen membidangi pengelollan risiko
2. Belum ada Kepala unit Risiko tidak bertanggung sesuai dengan klasifikasi Risiko 3. Telah ada fungsi MR dan kepatuhan 3. Telah ada fungsi MR dan kepatuhan
Risiko, namun akuntabilitas jawab langsung kepada BUMN ref. Juknis SK-3 independen sebagai Lini Kedua yang independen sebagai Lini Kedua yang
untuk beberapa fungsi Risiko Direktur yang membidangi menjalankan tugas menyusun menjalankan tugas menyusun
dilaksanakan oleh pimpinan pengelolaan Risiko 3. Telah ada fungsi Manajemen metodologi dan kebijakan MR metodologi dan kebijakan MR
lain misal kepala bidang Risiko dan kepatuhan
Audit independen
Fase sebagai
Praktik yang Lini
Baik 4. Fungsi Risiko memiliki kewenangan 4. Fungsi Risiko memiliki kewenangan untuk:
Kedua yang menjalankan untuk: Mengidentifikasi,
Fase Praktik yangMengukur, Mengidentifikasi, Mengukur, Memonitor,
tugas menyusun metodologi Memonitor, Mengontrol atau Mengontrol atau memitigasi, Melaporkan
Lebih Baik
dan kebijakan MR memitigasi, Melaporkan eksposur eksposur risiko
risiko Fase Praktik Terbaik
4. Fungsi Risiko memiliki 5. Fungsi Assurance bersifat independen
kewenangan untuk: 5. Fungsi Assurance bersifat independen dan bertugas memastikan manajemen
Mengidentifikasi, Mengukur, dan bertugas memastikan dan kontrol Risiko dilakukan secara efektif
Memonitor, Mengontrol atau manajemen dan kontrol Risiko (internal audit)
memitigasi, Melaporkan dilakukan secara efektif (internal
eksposur risiko audit) 6. Terdapat pimpinan khusus disetiap risiko
Keterangan utama (misal pimsus untuk risiko proyek,
5. Fungsi Assurance bersifat 6. Terdapat pimpinan khusus disetiap risiko pasar, dll) yang selaras dengan
struktur tata kelola disesuaikan untuk risiko-risiko khusus seperti Risiko independen dan bertugas risiko utama (misal pimsus untuk risiko konteks bisnisnya
* siber memastikan manajemen dan proyek, risiko pasar, dll) yang selaras
kontrol Risiko dilakukan secara dengan konteks bisnisnya 7. Akuntabilitas Direktorat Risiko
Diantaranya: efektif (internal audit) disampaikan kepada Komite Pemantau
telah dilaksanakan penyesuaian berkala (misal setiap tahun) struktur 7. Akuntabilitas Direktorat Risiko Risiko dengan alur pelaporan yang jelas
** organisasi Risiko beserta penunjukan yang jelas untuk pimpinan yang disampaikan kepada Komite
Pemantau Risiko dengan alur 8. Struktur tata kelola Risiko yang jelas untuk
bertanggung jawab atas risiko-risiko utama perusahaan setiap Unit Bisnis di bawah payung Grup*
pelaporan yang jelas
1. Telah ada fungsi risiko khusus (Lini 1. Telah ada fungsi risiko khusus (Lini 1. Telah ada fungsi risiko khusus (Lini 1. Telah ada fungsi risiko khusus (Lini
1. Belum ada fungsi risiko,
Kedua) dengan akuntabilitas Kedua) dengan akuntabilitas Kedua) dengan akuntabilitas Kedua) dengan akuntabilitas
namun telah ada beberapa
perorangan dan cara interaksi perorangan dan cara interaksi perorangan dan cara interaksi yang perorangan dan cara interaksi yang
pegawai yang diberi tugas
yang jelas dengan fungsi kontrol yang jelas dengan fungsi kontrol jelas dengan fungsi kontrol (Lini jelas dengan fungsi kontrol (Lini Ketiga)
yang berkaitan dengan risiko
(Lini Ketiga) maupun dengan Unit (Lini Ketiga) maupun dengan Unit Ketiga) maupun dengan Unit Bisnis maupun dengan Unit Bisnis (Lini
meskipun secara
Bisnis (Lini Pertama) Bisnis (Lini Pertama) (Lini Pertama) Pertama)
terdesentralisasi dan belum
terstruktur* 2. Telah ada Direktur Risiko yang 2. Telah ada Direktur Risiko (terpisah 2. Telah ada Direktur Risiko (terpisah 2. Telah ada Direktur Risiko (terpisah untuk
merupakan bagian dari jajaran untuk klasifikasi risiko Sistemik A untuk klasifikasi risiko Sistemik A dan klasifikasi risiko Sistemik A dan Sistemik
2. Belum ada Kepala unit Risiko,
Direksi dan memiliki alur dan Sistemik B) yang merupakan Sistemik B) yang merupakan bagian B) yang merupakan bagian dari
namun akuntabilitas untuk
pelaporan dan akuntabilitas bagian dari jajaran Direksi, dari jajaran Direksi, dengan: jajaran Direksi, dengan:
beberapa fungsi Risiko
langsung ke Direktur utama dengan: • Direktur Risiko tidak merangkap Lini • Direktur Risiko tidak merangkap Lini
dilaksanakan oleh pimpinan
namun Direktur Risiko masih • Direktur Risiko tidak merangkap Pertama dan Lini Ketiga Pertama dan Lini Ketiga
lain misal kepala bidang Audit
dirangkap dengan tugas lain Lini Pertama dan Lini Ketiga • Akuntabilitas Direktur Risiko ke • Akuntabilitas Direktur Risiko ke Direktur
(misal Direktur SDM dan Risiko) Fase Praktik yang Baik
3. Wewenang, tugas, dan • Akuntabilitas Direktur Risiko ke Direktur Utama dengan alur Utama dengan alur pelaporan yang
tanggung jawab Direksi, bagi BUMN dengan klasifikasi Direktur Utama dengan alur pelaporan yang yang
jelas jelas
Fase Praktik
Dewan Komisaris, dan Komite risiko Sistemik A dan Sistemik B pelaporan yang jelas • Akuntabilitas • Akuntabilitas Direktorat Risiko
Lebih Direktorat
Baik Risiko
Audit belum sesuai dengan • Akuntabilitas Direktorat Risiko disampaikan kepada Komite disampaikan kepada Komite
3. Wewenang, tugas, dan
ketentuan pada PER- disampaikan kepada Komite Pemantau Risiko dengan alur Pemantau Risiko dengan alur
tanggung jawab Direksi, Dewan
2/MBU/03/2023 untuk masing- Pemantau Risiko dengan alur pelaporan yang jelas pelaporan
Fase Praktik yang jelas
Terbaik
Komisaris, dan Komite Audit
masing klasifikasi Risiko BUMN pelaporan yang jelas
sudah sesuai dengan ketentuan 3. Wewenang, tugas, dan tanggung
pada PER-2/MBU/03/2023 untuk 3. Wewenang, tugas, dan tanggung
4. Belum ada organ Komite 3. Wewenang, tugas, dan tanggung jawab Direksi, Dewan Komisaris, , jawab Direksi, Dewan Komisaris, ,
Pemantau Risiko dan Komite masing-masing klasifikasi Risiko Komite Audit, Komite Pemantau Risiko,
BUMN jawab Direksi, Dewan Komisaris, , Komite Audit, Komite Pemantau
Tata Kelola Terintegrasi Komite Audit, Komite Pemantau Risiko, dan Komite Tata Kelola dan Komite Tata Kelola Terintegrasi
sebagaimana ketentuan Risiko, dan Komite Tata Kelola Terintegrasi sudah sesuai dengan sudah sesuai dengan ketentuan pada
4. Belum ada organ Komite
pada PER-2/MBU/03/2023 Terintegrasi sudah sesuai dengan ketentuan pada PER-2/MBU/03/2023 PER-2/MBU/03/2023 untuk masing-
Pemantau Risiko dan Komite Tata
untuk masing-masing klasifikasi ketentuan pada PER- untuk masing-masing klasifikasi Risiko masing klasifikasi Risiko BUMN
Kelola Terintegrasi sebagaimana
Risiko 2/MBU/03/2023 untuk masing- BUMN
ketentuan pada PER- 4. Akuntabilitas kepala Unit Bisnis
2/MBU/03/2023 untuk masing- masing klasifikasi Risiko BUMN
kepada Direktur Risiko untuk
masing klasifikasi Risiko 4. Akuntabilitas kepala Unit Bisnis mendapatkan persetujuan strategi
kepada Direktur Risiko untuk risiko dan implementasinya di Unit
mendapatkan persetujuan strategi Bisnis masing-masing
risiko dan implementasinya di Unit
Bisnis masing-masing 5. Direktur Risiko pusat memiliki hak veto
Keterangan dalam pemberian persetujuan strategi
risiko dan implementasinya di Unit
(misal terdapat manajer kontrol operasional yang memiliki ruang lingkup kerja yang berkaitan dengan risiko Bisnis
* di Unit Bisnis), atau sebaliknya terdapat fungsi risiko namun tidak ada pegawai yang menjabat (pegawai
dirangkap oleh pegawai dari fungsi lain 6. Direktur Risiko memiliki pengalaman
industri yang luas di bidang
Manajemen Risiko
RAHASIA DAN TERBATAS | HALAMAN 49
a. E
Sub Dimensi Organ Pengelola Risiko
Wewenang, tugas, tanggung jawab, dan pelaporan Organ Pengelola Risiko
Parameter : 4. Efektifitas Fungsi Pengelola Risiko
5. Menjalankan pelaksanaan
audit intern terintegrasi melalui
penentuan strategi
pelaksanaan audit internal
Wewenang dan tanggung jawab:
anak perusahaan,
merumuskan prinsip audit dan
1. Memantau pelaksanaan strategi Manajemen Risiko yang telah disetujui oleh Direksi;
memantau pelaksanaan audit
2. Memantau profil Risiko, peta Risiko, realisasi perhitungan Risiko inheren dan Risiko residual, dan realisasi pelaksanaan perlakuan
intern pada masing-masing
Risiko dan biaya;
anak perusahaan.
3. Melakukan internal control testing dan stress testing;
4. Mengkaji ulang secara berkala terhadap proses Manajemen Risiko;
5. Mengevaluasi terhadap akurasi model dan validitas data yang digunakan untuk mengukur Risiko;
6. Memberikan rekomendasi kepada lini pertama dan/atau komite pemantau Risiko sesuai kewenangan yang dimiliki; dan
7. menyusun dan menyampaikan laporan Manajemen Risiko kepada direktur yang membidang pengelolaan Risiko dan komite
pemantau Risiko secara berkala triwulan.
1. Belum memenuhi organ 1. Telah memenuhi organ 1. Telah memenuhi organ 1. Telah memenuhi organ pengelola 1. Telah memenuhi organ pengelola risiko.
pengelola risiko. pengelola risiko. pengelola risiko. risiko.
2. Telah memiliki kebijakan/pedoman
2. Belum memiliki 2. Belum memiliki 2. Telah memiliki 2. Telah memiliki kebijakan/pedoman Manajemen Risiko.
kebijakan/pedoman kebijakan/pedoman kebijakan/pedoman Manajemen Risiko.
Manajemen Risiko. Manajemen Risiko. Manajemen Risiko. 3. Fungsi risiko memiliki keterampilan dalam
Fase Praktik yang Baik Fase Praktik yang
3. Pengambilan Keputusan pengendalian dan pemodelan risiko
3. Pengambilan Keputusan tidak 3. Pengambilan Keputusan Lebih Baik selera risiko dan
mempertimbangkan sebagai dasar pengambilan Keputusan
mempertimbangkan selera mempertimbangkan selera memberikan kontribusi terhadap mempertimbangkan selera risiko dan
risiko. risiko. kinerja. memberikan kontribusi terhadap kinerja.
Fase Praktik Terbaik
4. Seluruh organ pengelola Risiko 4. Seluruh organ pengelola Risiko telah 4. Seluruh organ pengelola Risiko telah
telah tersertifikasi Manajemen tersertifikasi Manajemen Risiko lebih tersertifikasi Manajemen Risiko lebih dari 1
Risiko. dari 1 sertifikasi. sertifikasi.
1. Belum terpenuhinya 1. Belum terpenuhinya 1. Telah terpenuhinya kelengkapan 1. Telah terpenuhinya kelengkapan organ Kriteria 1-5 sama dengan skor 4
kelengkapan organ pengelola kelengkapan organ organ pengelola risiko secara pengelola risiko secara formal sesuai
risiko secara formal sesuai pengelola risiko secara formal formal sesuai dengan klasifikasi risiko dengan klasifikasi risiko BUMN serta fungsi, 6. Struktur tata kelola risiko yang jelas untuk
dengan klasifikasi risiko BUMN sesuai dengan klasifikasi risiko BUMN serta fungsi, tugas, dan tugas, dan tanggung jawabnya belum setiap Unit Bisnis di bawah payung Grup
serta fungsi, tugas, dan BUMN serta fungsi, tugas, dan tanggung jawabnya belum sesuai sesuai sebagaimana ketentuan dalam (struktur tata kelola disesuaikan untuk
tanggung jawabnya belum tanggung jawabnya belum sebagaimana ketentuan dalam PER-2/MBU/03/ 2023 maupun Petunjuk risiko-risiko khusus seperti risiko siber) dan
sesuai sebagaimana sesuai sebagaimana PER-2/MBU/03/ 2023 maupun Teknis mengenai Komposisi dan Kualifikasi untuk seluruh anak perusahaan (jika
ketentuan dalam PER- ketentuan dalam PER- Petunjuk Teknis mengenai Komposisi Organ Pengelola Risiko relevan)
2/MBU/03/ 2023 maupun 2/MBU/03/ 2023 maupun dan Kualifikasi Organ Pengelola 2. Telah ada fungsi manajemen risiko dan
Petunjuk Teknis mengenai Petunjuk Teknis mengenai Risiko 7. Praktik terbaik tata kelola risiko diterapkan
kepatuhan yang terpusat dan
Komposisi dan Kualifikasi Komposisi dan Kualifikasi di induk dan semua anak perusahaan
2. Telah ada fungsi manajemen risiko independen serta menjalankan tugasnya
Organ Pengelola Risiko Organ Pengelola Risiko untuk menyusun metodologi dan
dan kepatuhan yang terpusat dan 8. Keefektifan penerapan struktur tata kelola
2. Telah ada fungsi risiko terpusat independen serta menjalankan kebijakan Manajemen Risiko risiko ditinjau secara berkala (misal setiap
2. Belum ada fungsi risiko secara
formal, namun telah dibentuk berskala kecil, namun tugasnya untuk menyusun 3. BUMN sudah memiliki proses formal untuk tahun) oleh pihak independen (internal
unit kerja/satuan khusus/pihak kegiatan manajemen risiko metodologi dan kebijakan mengelola risiko yang dituangkan dalam atau eksternal), kemudian dilakukan
eksternal yang melakukan sebagian besar dilakukan Manajemen Risiko kebijakan/ pedoman manajemen risiko penyesuaian atau peningkatan untuk
kegiatan berkaitan dengan secara terdesentralisasi, misal: Fase Praktik yang Baik mencerminkan konteks saat ini (misal jenis
manajemen risiko perusahaan o Operasionalisasi kegiatan 3. BUMN sudah memiliki proses formal 4. Unit risiko
Fasejuga mengelola
Praktik yang risiko lainnya risikoFase
utama Praktik
yangTerbaik
ditangani,
(misal perencanaan untuk mengelola risiko yang selain yang diprasyaratkan
Lebih Baik OJK, misalnya: pertumbuhan/ skala bisnis, strategi, dsb.)
manajemen risiko berbeda
pembentukan dituangkan dalam kebijakan/ o Model Risk: Unit internal khusus untuk
berdasarkan Unit Bisnis, pedoman manajemen risiko mengelola risiko model
3. BUMN belum memiliki proses produk, wilayah, dan proses o Cyber Risk: Pemantauan siber 24/7
formal untuk mengelola risiko o Belum ada standar risiko 4. Unit risiko juga mengelola risiko terpusat (misal Security Operations
yang dituangkan dalam transversal lainnya selain yang diprasyaratkan Center)
kebijakan/pedoman OJK, misalnya: o Sustainability Risk: Unit internal khusus
manajemen risiko 3. BUMN belum memiliki proses o Model Risk: Unit internal khusus untuk mengelola risiko sustainability/
formal untuk mengelola risiko untuk mengelola risiko model keberlanjutan
yang dituangkan dalam o Cyber Risk: Pemantauan siber 24/7
terpusat (misal Security 5. Fungsi risiko memiliki keterampilan dalam
kebijakan/pedoman
Operations Center) pengendalian dan pemodelan risiko
manajemen risiko
5. Struktur tata kelola risiko sudah 6. Struktur tata kelola risiko sudah
4. Struktur tata kelola terdefinisikan dengan jelas di terdefinisikan dengan jelas di beberapa
manajemen risiko dirancang beberapa anak perusahaan (jika anak perusahaan (jika relevan)
untuk memenuhi kriteria relevan) 7. Telah ada unit/sub-unit khusus untuk
minimum OJK setiap risiko utama (misal pimpinan khusus
untuk risiko proyek, risiko strategis, risiko
pasar, dll) yang selaras antara
penanggung jawab dan konteks
bisnisnya
1. DeKom/DeWas telah terlibat 1. DeKom/DeWas mengawasi 1. DeKom/DeWas mengawasi 1. DeKom/DeWas mengawasi Poin 1 – 6 di samping +
pada hal-hal yang berkaitan kegiatan Manajemen Risiko yang kegiatan Manajemen Risiko yang kegiatan Manajemen Risiko yang
dengan kepatuhan terhadap bersifat regulatori dan dianggap bersifat regulatori dan dianggap bersifat regulatori dan dianggap 7. Telah ada bukti yang jelas atas
regulasi, namun masih sedikit krusial namun belum ada ambang krusial serta telah ada ambang krusial serta telah ada ambang kinerja keterlibatan aktif
terlibat dalam isu-isu Risiko lain. eskalasi yang jelas dari eskalasi yang jelas dari eskalasi yang jelas dari DeKom/DeWas, di antaranya:
Direksi/Direktur Utama ke Dewan. Direksi/Direktur Utama ke Dewan Direksi/Direktur Utama ke Dewan o DeKom/DeWas telah
2. Ruang lingkup keterlibatan Komisaris/Dewan Pengawas. Komisaris/ Dewan Pengawas. Komisaris/ Dewan Pengawas. diikutsertakan dalam
DeKom/DeWas dan Direksi pengambilan keputusan untuk
dalam Manajemen Risiko belum 2. Ruang lingkup keterlibatan 2. Telah ada ruang lingkup dan 2. Telah ada ruang lingkup dan isu-isu yang membutuhkan
tercantum pada kebijakan DeKom/DeWas dan Direksi dalam pedoman yang jelas atas pedoman yang jelas atas eskalasi/persetujuan
Manajemen Risiko. Manajemen Risiko tercantum keterlibatan DeKom/DeWas dan keterlibatan DeKom/DeWas dan DeKom/DeWas dalam periode
pada kebijakan Manajemen Direksi yang terdefinisi dengan Direksi yang terdefinisi dengan pelaporan (dengan merujuk
Risiko, namun belum menjelaskan baik dalam kebijakan Manajemen baik dalam kebijakan Manajemen ambang batas materialitas yang
tanggung jawab tertentu (misal Fase Praktik yang Baik
Risiko. Risiko. telah ditetapkan)
hanya bersifat umum, pernyataan o DeKom/DeWas telah mengambil
yang mencakup keseluruhan). 3. DeKom/DeWas menyetujui 3. DeKom/DeWas menyetujui peran sekurang-kurangnya
sebagian dari poin berikut: sebagian dari poin berikut: dalam satu acara sosialisasi
o Kebijakan untuk Risiko, o Kebijakan untuk
Fase Praktik Risiko,
yang Manajemen Risiko Perusahaan
Manajemen Risiko, dan Manajemen Risiko, dan Fase Praktik Terbaik
Lebih Baik
kepatuhan kepatuhan
o Daftar Risiko utama o Daftar Risiko utama
o Kode etik o Kode etik
Keterangan | Description:
Kementerian
Ministry
Organ kolektif
Collective organ
RAPAT UMUM PEMEGANG SAHAM | GENERAL MEETING OF SHAREHOLDERS
Organ komite non-struktural Tipe Pelaporan:
Non-structural committee organ
a. Laporan Keuangan
b. Manajemen Risiko
Organ struktural BUMN DEWAN KOMISARIS | BOARD OF COMMISSIONER c. Fungsi Kepatuhan
SOE structural organ
d. Fungsi Internal Audit
Organ struktural lainnya sesuai
ketentuan industri
Komite Pemantau
Komite Tata Kelola Komite Nominasi & Reporting Type:
Other structural organ according to industry
Komite Audit Terintegrasi Remunerasi a. Financial Statements
rules
Risiko
Audit Committee Integrated Nomination &
Risk Oversight
Governance Remuneration b. Risk Management
Committee c. Compliance Function
Committee Committee
d. Internal Audit Function
1. Sudah ada permasalahan 1. Dewan Komisaris/Dewan 1. Dewan Komisaris/Dewan 1. Dewan Komisaris/Dewan 1. Dewan Komisaris/Dewan
berkaitan dengan risiko dan Pengawas menangani eskalasi Pengawas menangani eskalasi Pengawas membuat keputusan Pengawas membuat keputusan
kepatuhan yang dieskalasikan permasalahan permasalahan independen dan berbasis fakta independen dan berbasis fakta
ke Dewan Komisaris/Dewan bernilai/berdampak besar atau bernilai/berdampak besar atau untuk permasalahan yang untuk permasalahan yang
Pengawas memiliki implikasi stategis yang memiliki implikasi stategis yang dieskalasikan. dieskalasikan
signifikan signifikan
Fase Praktik yang Baik Fase Praktik yang
2. Telah ada ambang batas 2. Telah ada ambang batas
2. Belum ada kriteria eskalasi
permasalahan berkaitan 2. Belum ada kriteria eskalasi yang 2. Telah ada ambang batas Lebihatau
materialitas Baikkriteria yang jelas materialitas atau kriteria yang
dengan risiko dan kepatuhan jelas (memerlukan penilaian dari materialitas atau kriteria yang dari isu-isu terkait risiko yang perlu jelas dari isu-isu terkait risiko yang
yang jelas dari Direksi ke Direksi) jelas dari isu-isu terkait risiko dieskalasikan ke Dewan perlu dieskalasikan ke Dewan
Dewan Komisaris/Dewan yang perlu dieskalasikan ke Komisaris/Dewan Pengawas Komisaris/Dewan Pengawas
Pengawas Dewan Komisaris/Dewan
Pengawas 3. Dewan Komisaris/Dewan
Pengawas tidak menjadi
penghambat, misal:
o Telah
Fase ada bukti
Praktik bahwa Dewan
Terbaik
Komisaris/Dewan Pengawas
merespon dengan cepat dan
membuat keputusan tanpa
menghabiskan waktu yang
lama saat ada permasalahan
yang dieskalasikan ke tingkat
komite
o Dewan Komisaris/Dewan
Pengawas menyediakan
waktu yang cukup untuk
mengatasi masalah Risiko
yang dieskalasikan dengan
bukti ketidakhadiran minim
saat rapat Dewan
Komisaris/Dewan Pengawas
diadakan (terutama selama
periode krisis)
1. Dekom/Dewas memiliki 1. Sebagian kecil 1. Sebagian besar Dekom/Dewas 1. Semua Dekom/Dewas memiliki 1. Semua Dekom/Dewas memiliki keahlian
keahlian MR yang masih Dekom/Dewas memiliki memiliki keahlian MR untuk keahlian MR untuk secara efektif dan kapabilitas MR yang tinggi untuk
dasar (belum memiliki keahlian MR (beberapa secara efektif mengawasi mengawasi strategi MR (semua secara efektif mengawasi strategi MR
sertifikasi/ pengalaman anggota Dekom/Dewas strategi MR (sebagian besar anggota Dekom/Dewas memiliki (semua anggota Dekom/Dewas memiliki
dibidang MR) memiliki sertifikasi/ anggota Dekom/Dewas sertifikasi dasar MR seperti LSPP, BSMR, sertifikasi dasar MR seperti LSPP, BSMR,
pengalaman dibidang MR) memiliki sertifikasi MR seperti dsb dsb
2. Belum ada rencana LSPP, BSMR, dsb)
program pelatihan keahlian 2. Rencana program pelatihan 2. Minimal terdapat satu anggota 2. Minimal terdapat satu anggota
MR bagi Dekom/Dewas, keahlian MR bagi 2. Program pelatihan keahlian Dekom/Dewas yang memiliki Dekom/Dewas yang memiliki
namun telah ada program Dekom/Dewas telah disusun, MR bagi Dekom/Dewas telah pengalaman MR di industrinya dan pengalaman MR di industrinya dan
yang pernah diikuti secara namun belum dilaksanakan disusun dan disesuaikan mampu melihat potensi-potensi risiko mampu melihat potensi-potensi risiko
ad-hoc* seluruhnya dengan topik-topik edukasi
Risiko saat ini dan 3. Program pelatihan keahlian MR bagi 3. Program pelatihan keahlian MR bagi
dilaksanakan
Fase Praktik yangseluruhnya**
Baik Dekom/Dewas telah disusun dan Dekom/Dewas telah disusun dan
disesuaikan dengan topik-topik disesuaikan dengan topik-topik edukasi
3. Anggota Dekom/ Dewas yang Fase
edukasi Praktik
Risiko saatyang
ini dan Risiko saat ini dan dilaksanakan
memiliki keahlian MR
Fase Praktik Terbaik
seluruhnya**
Lebihseluruhnya**
dilaksanakan Baik
ditugaskan di komite yang
tepat 4. Anggota Dekom/Dewas yang 4. Anggota Dekom/Dewas yang memiliki
Keterangan memiliki keahlian MR ditugaskan di keahlian MR ditugaskan di komite yang
4. Anggota Dekom/ Dewas komite yang tepat tepat
misal beberapa anggota Dekom/Dewas pernah menghadiri forum
* eksekutif berkaitan dengan topik Manajemen Risiko)
berasal dari berbagai latar
belakang yang membantu 5. Anggota Dekom/Dewas berasal dari 5. Anggota Dekom/Dewas berasal dari
memberikan perspektif berbagai latar belakang yang berbagai latar belakang yang
seperti: independen membantu memberikan perspektif membantu memberikan perspektif
o Pelatihan dan sertifikasi tentang dasar-dasar/prinsip MR independen independen
** o Forum MR dengan eksekutif industri lainnya 5. Telah ada komite Risiko di
o Materi tentang Risiko berwawasan ke depan (forward looking) bawah Dekom/Dewas untuk 6. Telah ada komite Risiko di bawah 6. Telah ada komite Risiko di bawah
mengelola MR perusahaan Dekom/Dewas untuk mengelola MR Dekom/Dewas untuk mengelola MR
o Materi tentang perspektif global Manajemen
Perusahaan. Perusahaan.
Diantaranya:
7. Telah ada bukti yang jelas atas kinerja 7. Telah ada bukti yang jelas atas kinerja
o Penyelesaian sebagian program pelatihan Risiko untuk
pelatihan untuk Dekom/Dewas*** pelatihan untuk Dekom/Dewas***
Dekom/Dewas yang telah direncanakan dalam periode
pelaporan (untuk skor 5, penyelesaian penuh program pelatihan
*** risiko)
o Level keahlian Risiko Dekom/Dewas (misal melalui sertifikasi) dapat
dipertahankan/ditingkatkan secara year on year, dan untuk skor 5
termasuk partisipasi Dekom/Dewas dalam program refresher
1. Belum ada komite Risiko di 1. Telah ada komite di tingkat 1. Telah ada lebih dari satu komite 1. Telah ada lebih dari satu komite 1. Telah ada lebih dari satu komite khusus
tingkat Dewan Komisaris/ Dekom/Dewas untuk khusus di bawah Dewan Komisaris khusus di bawah Dewan Komisaris di bawah Dewan Komisaris (paling
Dewan Pengawas, namun mengelola hal-hal yang (paling sedikit komite audit, Komite (paling sedikit komite audit, Komite sedikit komite audit, Komite Pemantau
telah ada setidaknya 1 berkaitan dengan Pemantau Risiko, dan Komite Tata Pemantau Risiko, dan Komite Tata Risiko, dan Komite Tata Kelola
(satu) anggota Dewan Manajemen Risiko, namun Kelola Terintegrasi), sebagaimana Kelola Terintegrasi) dengan tanggung Terintegrasi) dengan tanggung jawab
Komisaris/ Dewan komite ini tidak ketentuan dalam PER- jawab yang jelas dan terpisah satu yang jelas dan terpisah satu sama lain,
Pengawas yang dikhususkan untuk 02/MBU/03/2023 sama lain, sebagaimana ketentuan sebagaimana ketentuan dalam PER-
bertanggung jawab atas mengawasi Manajemen dalam PER-02/MBU/03/2023. 02/MBU/03/2023.
hal-hal yang berkaitan Risiko di perusahaan (misal 2. Tanggung jawab dari setiap komite
dengan Manajemen Risiko komite memiliki dual- telah diatur (khususnya dalam 2. Adanya tim Audit Khusus, yang 2. Adanya tim Audit Khusus, yang
responsibility) permasalahan yang berkaitan bertanggung jawab mengawasi dan bertanggung jawab mengawasi dan
Fase Praktik
dengan yang Baik
strategi terus memonitor risiko-risiko yang terus memonitor risiko-risiko yang
2. Tanggung jawab dari setiap berkembang (misal IT audit) untuk
Fase Praktik yang berkembang (misal IT audit) untuk
komite tidak diatur mendukung upaya
3. Rapat komite risiko Dewan Komisaris Lebih BaikDewan Komisaris mendukung upaya Dewan Komisaris
sering kali difokuskan untuk dalam melakukan pengawasan. dalam melakukan pengawasan.
memberikan informasi terkini
kepada anggota komite 3. Rapat komite risiko Dewan Komisaris Fase Praktik Terbaik
3. Telah ada bukti bahwa komite
Dekom/Dewas ("komunikasi satu memiliki bukti yang jelas bahwa berinteraksi dengan manajemen secara
arah”) anggota komite Dewan Komisaris proaktif (tidak menunggu diminta),
berperan aktif dalam memberikan terutama pada periode di mana
3. Komite Pemantau Risiko pengawasan, tantangan, dan arahan terdapat peningkatan potensi terjadinya
DeKom/DeWas dilibatkan yang dapat ditindaklanjuti terhadap peristiwa risiko
setidaknya dua kali dalam setahun isu-isu risiko yang dieskalasi (diskusi
untuk rapat komite Risiko dua arah). 4. Rapat komite risiko Dewan Komisaris
memiliki bukti yang jelas bahwa anggota
4. Komite Pemantau Risiko dilibatkan komite Dewan Komisaris berperan aktif
setidaknya dua kali dalam setahun dalam memberikan pengawasan,
untuk rapat komite risiko tantangan, dan arahan yang dapat
ditindaklanjuti terhadap isu-isu risiko yang
dieskalasi (diskusi dua arah).
1. Direksi belum terlibat aktif 1. Direksi terlibat aktif menyusun 1. Direksi terlibat aktif menyusun 1. Direksi terlibat aktif menyusun 1. Direksi terlibat aktif menyusun kebijakan
menyusun kebijakan & kebijakan & strategi MR kebijakan & strategi MR kebijakan & strategi MR kemudian & strategi MR kemudian
strategi MR kemudian mengusulkannya kemudian mengusulkannya mengusulkannya kepada mengusulkannya kepada
kepada Dekom/Dewas kepada Dekom/Dewas Dekom/Dewas Dekom/Dewas
2. Direksi belum terlibat aktif
menyusun perencanaan MR 2. Direksi terlibat aktif menyusun 2. Direksi terlibat aktif menyusun 2. Direksi terlibat aktif menyusun 2. Direksi terlibat aktif menyusun
(RKAP) perencanaan MR (RKAP) perencanaan MR (RKAP) perencanaan MR (RKAP) perencanaan MR (RKAP)
3. Direksi belum terlibat aktif 3. Direksi terlibat aktif dalam 3. Direksi terlibat aktif dalam 3. Direksi terlibat aktif dalam menyusun 3. Direksi terlibat aktif dalam menyusun
dalam menyusun dan menyusun dan menyusun dan dan menyampaikan laporan MR dan menyampaikan laporan MR
menyampaikan laporan MR menyampaikan laporan MR menyampaikan laporan MR
4. Telah ada ruang lingkup keterlibatan 4. Telah ada ruang lingkup keterlibatan
4. Ruang lingkup keterlibatan 4. Ruang lingkup keterlibatan 4. Telah ada ruang lingkup Direksi dalam MR dan pedoman Direksi dalam MR dan pedoman
Direksi dalam MR belum Direksi dalam MR tercantum keterlibatan Direksi yang pengambilan keputusan dalam pengambilan keputusan dalam
tercantum pada kebijakan pada kebijakan MR, namun terdefinisi dengan baik dalam permasalahan Risiko utama dengan permasalahan Risiko utama dengan
MR, namun telah tercantum belum menjelaskan kebijakan MR dan pedoman jelas tercantum dalam kebijakan MR jelas tercantum dalam kebijakan MR
pada kebijakan lain (misal, tanggung jawab tertentu yang jelas dalam proses
5. Direksi telah secara konsisten 5. Direksi telah secara konsisten
piagam Direksi) (misal hanya bersifat umum, pengambilan keputusan untuk
Fase Praktik yang Baik Fase Praktik yang
melaksanakan kebijakan MR dalam melaksanakan kebijakan MR dalam
pernyataan yang mencakup isu-isu Risiko utama Lebih Baik Fase Praktik Terbaik
5. Direksi belum secara menjalankan proses bisnis menjalankan proses bisnis Perusahaan
keseluruhan)
konsisten melaksanakan 5. Direksi telah secara konsisten Perusahaan
melaksanakan kebijakan MR 6. Kaji ulang untuk memastikan ketepatan
kebijakan MR dalam 5. Direksi telah secara konsisten
dalam menjalankan proses 6. Kaji ulang untuk memastikan kebijakan prosedur MR, penetapan risk
menjalankan proses bisnis melaksanakan kebijakan MR
bisnis Perusahaan ketepatan kebijakan prosedur MR, limit dan ambang batas/threshold,
perusahaan dalam menjalankan proses
penetapan risk limit dan ambang kecukupan implementasi sistem
bisnis perusahaan
6. Kaji ulang untuk memastikan 6. Kaji ulang untuk memastikan batas/threshold, kecukupan informasi MR yang terintegrasi dengan
ketepatan kebijakan & 6. Kaji ulang untuk memastikan ketepatan kebijakan prosedur implementasi sistem informasi MR, sistem informasi lainnya, dan
prosedur MR, penetapan risk ketepatan kebijakan MR, penetapan risk limit dan memastikan keakuratan metodologi memastikan keakuratan metodologi
limit dan ambang prosedur MR, penetapan risk ambang batas/threshold, penilaian Risiko telah dilakukan penilaian Risiko telah dilakukan secara
batas/threshold belum limit dan ambang terimplementasinya sistem secara berkala berkala
dilakukan secara berkala batas/threshold, kecukupan informasi MR, memastikan
implementasi metodologi 7. Direksi telah memastikan bahwa 7. Direksi telah memastikan bahwa fungsi
implementasi sistem informasi
penilaian Risiko telah dilakukan fungsi MR telah beroperasi secara MR telah beroperasi secara independen
MR, memastikan
secara berkala independen
implementasi metodologi 8. Direksi memonitor dan memastikan
penilaian Risiko belum 8. Direksi memonitor dan memastikan pelaksanaan penanganan Risiko utama
7. Direksi telah memastikan
dilakukan secara berkala pelaksanaan penanganan Risiko perusahaan berjalan sesuai rencana
bahwa fungsi MR telah
beroperasi secara independen utama perusahaan berjalan sesuai
9. Direksi telah menerapkan MR dalam
rencana
setiap pengambilan keputusan
Telah ada mandat secara informal 1. Fungsi Risiko memiliki mandat 1. Fungsi Risiko memiliki mandat 1. Mandat fungsi Risiko didefinisikan 1. Mandat fungsi Risiko didefinisikan
bagi beberapa pegawai/jajaran dan kewenangan formal untuk yang jelas dan tercantum dengan jelas dan tercantum dalam dengan jelas dan tercantum dalam
pimpinan utama untuk memantau menjalankan tanggung jawab dalam kerangka kebijakan kerangka kebijakan dan kerangka kebijakan dan
Risiko, namun belum dilaksanakan intinya. Namun terdapat dikomunikasikan ke seluruh dikomunikasikan ke seluruh pegawai
secara independen (misal ambiguitas antara peran fungsi 2. Independensi dan kapabilitas pegawai
pegawai yang ditunjuk untuk Risiko pusat dengan fungsi Risiko staf Risiko dipastikan dengan 2. Telah ada bukti bahwa perusahaan
melakukan pemantauan Risiko di Unit Bisnis (misal beberapa pelatihan yang berkelanjutan 2. Telah ada bukti bahwa perusahaan melakukan tinjauan secara berkala
Unit Bisnis juga bertanggung sumber daya/pegawai bertugas dan kapasitas yang memadai melakukan tinjauan secara berkala (misal setiap tahun) apakah mandat,
jawab untuk penjualan) di keduanya). Selain itu, untuk memastikan apakah mandat, kerangka kerja, kebijakan/prosedur risiko
terdapat ambiguitas terkait 3. Fase
Fungsi Risikoyang
Praktik sepenuhnya
Baik kerangka kerja, kebijakan/prosedur yang diturunkan dari fungsi risiko pusat
keputusan kontrol antara Risiko terintegrasi ke semua proses risiko yang diturunkan dari fungsi telah diimplementasikan dengan baik ke
dan Unit Bisnis bisnis utama risiko pusat telah diimplementasikan seluruh lini perusahaan
dengan baik ke seluruh lini
2. Fungsi risiko pusat bersifat perusahaan* 3. Fungsi risiko melapor ke Dewan
independen hanya dalam Komisaris/Dewan Pengawas
struktur organisasi dan jalur 3. Fungsi risiko melapor ke Dewan
pelaporan, namun dalam Komisaris/Dewan Pengawas 4. Telah ada pemisahan yang jelas antara
pelaksanaannya fungsi risiko peran fungsi risiko pusat dan fungsi risiko
tidak independen di semua Fase
4. Telah ada Praktik yangyang jelas
pemisahan Unit Fase
Bisnis Praktik Terbaik
tingkatan Lebih fungsi
antara peran Baik risiko pusat dan
fungsi risiko Unit Bisnis 5. Telah ada independensi organisasi
antara fungsi risiko dan Unit Bisnis yang
5. Telah ada independensi organisasi kegiatan dan eksposurnya ditinjau
antara fungsi risiko dan Unit Bisnis
yang kegiatan dan eksposurnya 6. Fungsi risiko (dengan dukungan dari
Keterangan ditinjau fungsi kepatuhan) memiliki kewenangan
untuk menjalankan tanggung jawab
6. Fungsi risiko (dengan dukungan dari intinya**
* termasuk Unit Bisnis/anak perusahaan fungsi kepatuhan) memiliki
kewenangan untuk menjalankan 7. Fungsi risiko dapat berperan sebagai
tanggung jawab intinya** thought partner untuk membahas
Seperti Mengidentifikasi risiko; Mengukur risiko; Memonitor risiko;
** Mengontrol atau memitigasi risiko; Melaporkan eksposur risiko
masalah risiko dengan Unit Bisnis. Unit
7. Telah ada fungsi Risiko independen Bisnis sepenuhnya menyepakati peran
di setiap tingkatan Lini Kedua dan tanggung jawab jabatan tersebut
melakukan proses Assurance untuk
semua jenis risiko 8. Fungsi Risiko bekerja sebagai mitra bagi
Lini Pertama yang mampu memberikan
8. Fungsi Risiko menerima pelatihan masukan konstruktif kepada Unit Bisnis.
khusus (contohnya risiko perubahan
iklim, Advanced Analytics)
1. Penilaian risiko telah dilakukan, 1. Telah ada Manajer Risiko khusus 1. Telah ada tim sentral yang khusus 1. Telah ada tim sentral khusus yang 1. Telah ada tim sentral khusus dengan
namun oleh pegawai/tim yang dalam fungsi keuangan, audit berfokus pada strategi transversal didukung oleh berbagai inisiatif dari risk ambassador atau terdapat
tidak secara khusus menangani atau kepatuhan (belum ada dan terkonsolidasi (misal isu Risiko Unit Bisnis (misal risk ambassador di dukungan inisiatif Risiko dari setiap
Manajemen Risiko pemisahan peran yang jelas yang beririsan antara Unit Bisnis tingkat Unit Bisnis) yang Unit Bisnis yang memberikan
antara risiko dan fungsi dan/atau anak perusahaan) memberikan komentar atau komentar atau masukan secara
2. Dilakukan penilaian Risiko perusahaan lainnya) masukan secara efektif sebagai Lini efektif sebagai Lini Kedua bagi Unit
secara backward-looking, 2. Dilakukan penilaian Risiko secara Kedua Bisnis
namun hanya dikhususkan 2. Dilakukan penilaian Rrisiko backward-looking untuk
untuk Risiko khusus/kasus secara backward-looking untuk Fase Praktik mengidentifikasi
membantu yang Baik dan 2. Tim sentral memberikan standar 2. Tim sentral memberikan standar dan
khusus tertentu membantu mengidentifikasi dan menilai risiko secara rutin dan dan pedoman Manajemen Risiko pedoman Manajemen Risiko untuk
menilai Risiko (tidak hanya Risiko mengikuti standar yang telah untuk perusahaan secara perusahaan secara independen,
Fase Praktik yang difasilitasi oleh pihak eksternal (misal
khusus/kasus khusus tertentu), ditetapkan independen, difasilitasi oleh pihak
namun penilaian masih tidak
Lebih
eksternal Baik
(misal konsultan) hanya konsultan) hanya untuk topik-topik
rutin dan dilakukan secara ad- 3. Tim sentral memberikan standar untuk topik-topik khusus khusus
hoc dan pedoman Manajemen Risiko
untuk perusahaan, namun masih 3. Dilakukan penilaian Risiko secara 3. Dilakukan penilaian Risiko secara
sebagian besar difasilitasi oleh forward- looking dan memberikan forward-looking dan memberikan
Fase Praktik Terbaik
pihak eksternal (misal konsultan) wawasan mengenai proyeksi Risiko wawasan mengenai proyeksi Risiko
ke depan untuk membantu ke depan (misal secara kualitatif
mengidentifikasi dan menilai Risiko dan kuantitatif mengidentifikasi
secara rutin dan mengikuti standar Risiko-Risiko utama yang akan
yang telah ditetapkan, namun dihadapi perusahaan di tahun
penilaian masih terlalu bergantung berikutnya untuk setiap Unit Bisnis
dengan tim sentral Risiko (sedikit dan untuk perusahaan secara
melibatkan Unit Bisnis) umum) secara rutin dan mengikuti
standar yang telah ditetapkan
1. Model Tata Kelola Risiko Tiga 1. Model Tata Kelola Risiko Tiga Lini 1. Penerapan Model Tata Kelola 1. Telah ada Model Tata Kelola Risiko 1. Telah ada Model Tata Kelola Risiko
Lini belum sepenuhnya telah diformalkan dalam struktur Tiga Lini telah tertuang dengan Tiga Lini, dengan peran dan Tiga Lini dengan peran dan
diformalkan dalam struktur organisasi perusahaan (misal jelas dalam bentuk kebijakan tanggung jawab yang jelas dan tanggung jawab yang jelas dan
organisasi (misal tidak didokumentasikan dalam bentuk Perusahaan tepat pada jabatan tersebut yang tepat pada jabatan tersebut yang
didokumentasikan dalam kebijakan perusahaan), namun dijalankan oleh setiap pihak untuk dijalankan oleh setiap pihak untuk
bentuk kebijakan masih ada tumpang tindih peran 2. Telah ada Model Tata Kelola memastikan independensi dan memastikan independensi dan
perusahaan) dan tanggung jawab pada Risiko Tiga Lini, dengan peran objektivitas objektivitas
jabatan tersebut dan tanggung jawab yang jelas
2. Penerapan Model Tata Kelola dan tepat pada jabatan tersebut 2. Unit Bisnis secara langsung 2. Unit Bisnis secara langsung
Tiga Lini belum secara jelas 2. Belum ada tanggung jawab risiko yang dijalankan oleh setiap mengidentifikasi dan mengelola mengidentifikasi dan mengelola
tertuang dalam bentuk yang jelas dari Unit Bisnis sebagai pihakPraktik
Fase untuk memastikan
yang Baik risiko dalam proses bisnis sebagai risiko dalam proses bisnis sebagai
kebijakan Perusahaan Lini Pertama, masih sangat independensi dan objektivitas Lini Pertama Lini Pertama
bergantung pada Lini Kedua dan Fase Praktik yang
Lini Ketiga untuk mengelola risiko 3. Unit Bisnis secara langsung Lebih
3. Setiap Lini Baik
sepenuhnya 3. Setiap Lini sepenuhnya
mengidentifikasi dan mengelola menjalankan perannya menjalankan perannya;
risiko dalam proses bisnis
sebagai Lini Pertama 4. Self-assurance/self-checking 4. Self-assurance/self-checking
Fase Praktik Terbaik
dilakukan di Lini Pertama
dilakukan di Lini Pertama
4. Setiap Lini sepenuhnya
menjalankan perannya dan 5. Telah ada bukti bahwa keefektifan 5. Telah ada bukti bahwa keefektifan
bertanggung jawab penuh Tata Kelola Risiko Tiga Lini diuji tiga lini diuji secara berkala untuk
secara berkala untuk mengetahui mengetahui adanya kesenjangan,
5. Self-assurance/self-checking adanya kesenjangan, duplikasi, duplikasi, atau ketidakkonsistenan
dilakukan di Lini Pertama atau ketidakkonsistenan dalam dalam peran dan tanggung jawab
peran dan tanggung jawab guna guna memastikan optimalisasi
Keterangan memastikan optimalisasi penerapannya
penerapannya
6. Setiap unit di seluruh Lini tidak
Diantaranya: telah dilaksanakan penyesuaian berkala (misal setiap beroperasi sendiri-sendiri, tetapi
tahun) terhadap struktur organisasi Model Tata Kelola Risiko Tiga Lini secara berkala mendiskusikan dan
berdasarkan tinjauan rutin (termasuk pengurangan duplikasi tanggung menguji setiap upaya perbaikan
* jawab, dan penyempurnaan penerapan Model Tata Kelola Risiko Tiga berkelanjutan (terdapat
Lini di fungsi penunjang), terutama terlibat dalam mempertimbangkan bukti/dokumentasi komunikasi)
dampak dari transformasi perusahaan yang sedang berlangsung (jika
ada) terhadap desain Model Tata Kelola Risiko Tiga Lini. 7. Telah ada bukti yang jelas atas
kinerja implementasi Model Tata
Kelola Risiko Tiga Lini*
1. Model Tata Kelola Risiko Tiga 1. Telah ada Model Tata Kelola 1. Telah ada Model Tata Kelola Risiko 1. Telah ada Model Tata Kelola Risiko Tiga Lini,
1. Model Tata Kelola Risiko
Lini telah diformalkan dalam Risiko Tiga Lini, dengan peran Tiga Lini, dengan peran dan dengan peran dan tanggung jawab yang jelas
Tiga Lini belum
sepenuhnya diformalkan struktur organisasi dan tanggung jawab yang tanggung jawab yang jelas dan dan tepat pada jabatan tersebut yang
dalam struktur organisasi perusahaan (misal jelas dan tepat pada jabatan tepat pada jabatan tersebut yang dijalankan oleh setiap pihak untuk memastikan
(misal tidak didokumentasikan dalam tersebut yang dijalankan dijalankan oleh setiap pihak untuk independensi dan objektivitas
didokumentasikan dalam bentuk kebijakan oleh setiap pihak untuk memastikan independensi dan
bentuk kebijakan perusahaan), namun masih memastikan independensi objektivitas 2. Unit Bisnis secara langsung mengidentifikasi dan
perusahaan) ada tumpang tindih peran dan objektivitas mengelola risiko dalam proses bisnis sebagai Lini
2. Unit Bisnis secara langsung Pertama
dan tanggung jawab pada 2.Fase
UnitPraktik yang langsung
Bisnis secara Baik
jabatan tersebut mengidentifikasi dan mengelola
mengidentifikasi dan 3. Setiap Lini sepenuhnya menjalankan perannya
risiko dalam proses bisnis sebagai
mengelola risiko dalam
2. Belum ada tanggung jawab Lini Pertama 4. Self-assurance/self-checking dilakukan di Lini
proses bisnis sebagai Lini Fase Praktik yang
risiko yang jelas dari Unit Pertama Pertama
Bisnis sebagai Lini Pertama, 3. SetiapLebih Baik
Lini sepenuhnya
masih sangat bergantung 3. Setiap Lini sepenuhnya menjalankan perannya 5. Telah ada bukti bahwa keefektifan Model Tata
pada Lini Kedua dan Lini menjalankan perannya Kelola Risiko Tiga Lini diuji secara berkala untuk
Ketiga untuk mengelola risiko 4. Self-assurance/self-checking mengetahui adanya kesenjangan, duplikasi,
4. Self-assurance/self-checking dilakukan di Lini Pertama Fase Praktik Terbaik
atau ketidakkonsistenan dalam peran dan
dilakukan di Lini Pertama tanggung jawab guna memastikan optimalisasi
5. Telah ada bukti bahwa keefektifan penerapannya
Model Tata Kelola Risiko Tiga Lini
diuji secara berkala untuk 6. Setiap unit di seluruh lini tidak beroperasi sendiri-
mengetahui adanya sendiri, tetapi secara berkala mendiskusikan dan
kesenjangan, duplikasi, atau menguji setiap upaya perbaikan berkelanjutan
ketidakkonsistenan dalam peran (terdapat bukti/dokumentasi komunikasi
dan tanggung jawab guna
7. Telah ada bukti yang jelas atas kinerja
memastikan optimalisasi
implementasi Model Tata Kelola Risiko Tiga Lini,
penerapannya
di antaranya: telah dilaksanakan penyesuaian
berkala (misal setiap tahun) terhadap struktur
organisasi Model Tata Kelola Risiko Tiga Lini
berdasarkan tinjauan rutin (termasuk
* pengurangan duplikasi tanggung jawab, dan
penyempurnaan penerapan Tata Kelola Risiko
Tiga Lini di fungsi penunjang), terutama terlibat
dalam mempertimbangkan dampak dari
transformasi perusahaan yang sedang
berlangsung
1. Kepemilikan beberapa risiko 1. Perusahaan memiliki 1. Perusahaan sudah menetapkan 1. Setiap risiko dievaluasi oleh pemilik 1. Setiap risiko dievaluasi oleh pemilik risiko
dalam perusahaan belum pemahaman mengenai penanggung jawab dan pemilik risiko berdasarkan alur proses bisnis berdasarkan alur proses bisnis beserta
ditentukan penanggung jawab dan risiko (terdokumentasi secara beserta faktor-faktor yang faktor-faktor yang mempengaruhinya.
kepemilikan risiko, tetapi formal, ada kesamaan mempengaruhinya.
2. Identifikasi risiko masih bersifat ad-hoc, dan belum pemahaman dari manajemen 2. Telah ada dokumentasi keputusan
dilakukan oleh Lini Kedua ada keputusan formal (belum senior mengenai risiko yang akan 2. Telah ada dokumentasi keputusan manajemen senior mengenai risiko yang
terdokumentasi) ditanggung oleh Direksi mengenai risiko yang akan akan ditanggung oleh perusahaan/Unit
3. Penanggung jawab risiko perusahaan/Unit Bisnis), ditanggung oleh perusahaan/unit Bisnis
secara tidak langsung sudah 2. Identifikasi risiko dilakukan oleh khususnya untuk risiko-risiko yang Bisnis
diemban oleh unit kerja Lini Pertama akan muncul (emerging risk) 3. Unit Bisnis secara langsung
tertentu, namun masih atau risiko yang baru 3. Unit Bisnis secara langsung mengidentifikasi dan mengelola risiko
Fase Praktik yang Baik dalam proses bisnis sebagai Lini
kurang optimal (misal 3. Masih terdapat kesulitan ditambahkan ke taksonomi risiko Fase Praktik yang
mengidentifikasi dan mengelola
kepemilikan risiko diemban dalam mengarahkan Lini perusahaan risiko dalam
Lebihproses
Baik bisnis sebagai Pertama.
oleh bidang audit/kontrol/ Pertama agar patuh terhadap Lini Pertama
kepatuhan) prosedur risiko 2. Perusahaan memiliki kesadaran 4. Lini Pertama telahTerbaik
Fase Praktik memperhatikan
akan kepemilikan risiko atas 4. Lini Pertama telah memperhatikan kebijakan risiko dalam penetapan
mitra dan kompetitor yang kebijakan risiko dalam penetapan target/ sasaran unit kerja dan terdapat
berada dalam rantai nilai target/ sasaran unit kerja dan KPI risiko di Lini Pertama
Perusahaan. terdapat KPI risiko di Lini Pertama
5. Kepemilikan risiko dipahami dengan
3. Lini Pertama memperhatikan 5. Kepemilikan kuat risiko oleh Lini baik dan mempengaruhi keputusan
kebijakan risiko dalam Pertama namun diperkirakan masih penting (misal keputusan strategis
penetapan target/ sasaran unit bergantung pada Lini 2 (kepemilikan mempertimbangkan input kritis dari
risiko belum sepenuhnya efektif) personel manajemen yang bertanggung
jawab atas risiko tersebut)
1. Risiko utama belum tetapkan 1. Telah ada dan ditetapkannya 1. Telah ada dan ditetapkannya 1. Telah dilakukan pemantauan risiko 1. Telah dilakukan pemantauan risiko
secara formal risiko utama perusahaan yang Risiko utama perusahaan yang utama oleh lini kedua yang utama oleh lini kedua yang
dimonitor dan diriviu oleh unit dimonitor dan direviu oleh unit menyebabkan tercapainya kinerja menyebabkan kinerja perusahaan
2. Pengelolaan dan tanggung risiko. Risiko dan dilaporkan secara perusahaan. tercapai melebihi target.
jawab risiko masih dilakukan periodik ke Direksi.
oleh Lini Kedua 2. Unit Risiko mereviu dan 2. Unit Risiko mereviu dan memantau 2. Unit Risiko mereviu dan memantau
memantau profil Risiko, peta 2. Unit Risiko mereviu dan profil Risiko, peta Risiko, realisasi profil Risiko, peta Risiko, realisasi
3. Beberapa risiko perusahaan Risiko, realisasi perhitungan Risiko memantau profil Risiko, peta perhitungan Risiko inheren dan perhitungan Risiko inheren dan Risiko
di Lini Pertama sudah inheren dan Risiko residual, dan Risiko, realisasi perhitungan Risiko Risiko residual, dan realisasi residual, dan realisasi pelaksanaan
dianalisis oleh Lini Kedua realisasi pelaksanaan perlakuan inheren dan Risiko residual, dan pelaksanaan perlakuan Risiko dan perlakuan Risiko dan biaya agar
secara informal, namun Risiko dan biaya agar sesuai realisasi pelaksanaan perlakuan biaya agar sesuai dengan target sesuai dengan target penyelesaian,
belum ada hasil analisis yang dengan target penyelesaian Risiko dan biaya agar sesuai penyelesaian, memberi tanggapan memberi tanggapan secara formal.
memadai dengan target penyelesaian dan secara formal. Lini kedua Lini kedua menerapkan apresiasi
3. Lini Kedua melakukan internal memberi tanggapan secara menerapkan apresiasi dan dan hukuman kepada Lini Pertama
4. Lini Kedua melakukan tindak control testing dan stress testing formal. hukuman kepada Lini Pertama dalam pengelolaan risiko.
lanjut terhadap temuan dan namun belum dilakukan secara dalam pengelolaan risiko.
rekomendasi hasil audit berkala 3. Fase
Lini Kedua melakukan internal Fase Praktik yang 3. Lini Kedua melakukan internal
Praktik yang Baik
eksternal maupun internal control testing secara berkala 3. Lini Kedua melakukan internal control testing dan stress testing
Lebih Baik
terkait Manajemen Risiko dan 4. Lini Kedua melakukan tindak control testing dan stress testing Fase
secara Praktik Terbaik
berkala
hanya sebagian tindaklanjut lanjut terhadap temuan dan 4. Lini Kedua menyampaikan Risiko secara berkala
yang sudah sesuai dengan rekomendasi hasil audit eksternal utama dan rekomendasi kepada 4. Lini Kedua menyampaikan Risiko
target penyelesaian maupun internal terkait Lini Ketiga sebagai bahan 4. Lini Kedua menyampaikan risiko utama dan rekomendasi kepada
Manajemen Risiko dan mayoritas penyusunan rencana audit utama dan rekomendasi kepada Lini Ketiga sebagai bahan
tindaklanjut sudah sesuai dengan tahunan Lini Ketiga sebagai bahan penyusunan rencana audit tahunan
target penyelesaian. penyusunan rencana audit tahunan
5. Lini Kedua melakukan tindak 5. Lini Kedua melakukan tindak lanjut
lanjut terhadap temuan dan 5. Lini Kedua melakukan tindak lanjut terhadap temuan dan rekomendasi
rekomendasi hasil audit eksternal terhadap temuan dan rekomendasi hasil audit eksternal maupun internal
maupun internal terkait hasil audit eksternal maupun terkait Manajemen Risiko yang
Manajemen Risiko yang secara internal terkait Manajemen Risiko secara keseluruhan sudah sesuai
keseluruhan sudah sesuai target yang secara keseluruhan sudah target penyelesaian yang diberikan
penyelesaian yang diberikan sesuai target penyelesaian yang
diberikan 6. Lini Kedua menyusun laporan
6. Lini Kedua menyusun laporan Manajemen Risiko secara bulanan
Manajemen Risiko secara 6. Lini Kedua menyusun laporan kepada Direksi
triwulanan kepada Direksi Manajemen Risiko secara triwulanan
kepada Direksi 7. Lini Kedua memastikan tindak lanjut
penyelesaian perbaikan dari RMI
untuk dapat diselesaikan pada unit
kerja
Business
M etode Rencana Tindak
Data Item Sasaran BUM N Process/Peristiwa Key Control Kelemahan Kontrol Due Date PIC Status Tindak Lanjut
Pengujian Lanjut
Risiko
Jenis Data Free Text Free Text Free Text Free Text Free Text Free Text Date Free Text Dropdown List
Diisi dengan kontrol
Diisi dengan
Diisikan dengan kunci (key control) Diisikan dengan status atas
Agar diisi oleh metode Diisikan dengan Diisikan dengan Diisikan dengan batas
proses bisnis atas suatu risiko yang Unit penanggung pelaksanaan tindak lanjut, yaitu:
BUMN sesuai yang ringkasan/ikhtisar atas rencana tindak lanjut w aktu penyelesaian
perusahaan yang diperiksa. Existing jaw ab perlakuan 1. Sesuai
Petunjuk dengan sasaran digunakan indikasi kelemahan yang akan dilakukan atas rencana tindak
relevan maupun control tersebut risiko setingkat 2. Belum Sesuai
perusahaan yang untuk kontrol yang terdeteksi atas hasil lanjut yang telah
dengan risiko yang dapat berupa kontrol Direksi 3. Belum Ditindaklanjuti
relevan menguji pada saat testing pemeriksaan. ditentukan.
relevan SOP, sistem, 4. Tidak Dapat Ditindaklanjuti
kontrol
kebijakan, dll
1. Sesuai: Sesuai dengan
rekomendasi;
Apabila existing Apabila terdapat
BUMN dapat memilih Apabila terdapat lebih 2. Belum Sesuai: Belum sesuai
control lebih dari 1, berbagai temuan yang
untuk mengisikan dari 1 komitmen atas 1 dengan rekomendasi;
untuk control ke 2 dst terjadi di lapangan
Notes kolom ini antara rekomendasi, maka 3. Belum Ditindaklanjuti:
agar ditambahkan terhadap 1 risiko, maka
proses bisnis atau dapat ditambahkan Rekomendasi belum dilaksanakan;
pada row di dapat ditambahkan row
peristiw a risiko row dibaw ahnya 4. Tidak Dapat Ditindaklanjuti:
baw ahnya dibaw ahnya
Rekomendasi tidak dapat
ditindaklanjuti
Start
pengisian
1. Tidak terdapat piagam audit 1. Telah terdapat piagam Audit Intern 1. Telah terdapat piagam audit intern yang 1. Telah terdapat piagam audit 1. Telah terdapat piagam audit
intern namun belum dikaji secara periodik dikaji secara periodik intern yang dikaji secara periodik intern yang dikaji secara periodik
2. Terdapat prosedur yang jelas 2. Prosedur yang berkaitan dengan tata 2. Dilakukan pengkajian terhadap 2. Dilakukan pengkajian terhadap
2. Prosedur dalam memastikan
dalam memastikan tata kelola dan kelola dan pengendalian risiko seperti prosedur yang berkaitan dengan prosedur yang berkaitan dengan
tata kelola dan
pengendalian risiko seperti internal internal control testing dikaji secara tata kelola dan pengendalian tata kelola dan pengendalian
pengendalian risiko belum
control testing namun belum dikaji periodik risiko secara periodik risiko secara periodik
lengkap
secara periodik
3. Terdapat rencana audit tahunan yang 3. Terdapat rencana audit tahunan 3. Terdapat rencana audit tahunan
3. Terdapat rencana audit 3. Terdapat rencana audit tahunan yang berbasis risiko dan alokasi yang berbasis risiko dan alokasi
berbasis risiko dan alokasi anggaran untuk
tahunan dan alokasi dan alokasi anggaran namun anggaran untuk pelaksanaan anggaran untuk pelaksanaan
pelaksanaan fungsi pengawasan intern
anggaran namun belum belum berbasis risiko, untuk fungsi pengawasan intern fungsi pengawasan intern
berbasis risiko, untuk pelaksanaan fungsi pengawasan 4. Lini Ketiga memastikan pelaksanaan
pelaksanaan fungsi intern pengawasan intern sesuai dengan 4. Pelaksanaan pengawasan intern 4. Pelaksanaan pengawasan intern
pengawasan intern rencana dan memastikan audittee secara aktif dilaksanakan sesuai secara aktif dilaksanakan sesuai
4. Lini Ketiga memastikan menyusun rencana tindakan perbaikan dengan rencana audit tahunan, dengan rencana audit tahunan,
4. Pelaksanaan pengawasan pelaksanaan pengawasan intern yang dapat menjawab temuan/ memastikan audittee menyusun memastikan audittee menyusun
intern belum sesuai rencana sesuai dengan rencana audit rekomendasi. rencana tindakan perbaikan rencana tindakan perbaikan
audit tahunan tahunan. Fasedapat
yang Praktik yang temuan/
menjawab yang dapat menjawab temuan/
5. LiniFase Praktik
Ketiga yangevaluasi
melakukan Baik atas rekomendasi, dan berkurangnya
Lebih Baik
Fase Praktikdan
rekomendasi Terbaik
tidak terdapat
5. Lini Ketiga melakukan evaluasi atas
5. Belum dilakukan evaluasi efektivitas pelaksanaan pengendalian jumlah temuan temuan berulang.
efektivitas pelaksanaan
atas efektivitas pelaksanaan intern, Manajemen Risiko, dan proses tata
pengendalian intern, Manajemen 5. Rekomendasi perbaikan atas 5. Rekomendasi perbaikan atas hasil
pengendalian intern/ kelola perusahaan, sesuai dengan
Risiko, dan proses tata kelola hasil evaluasi efektivitas evaluasi efektivitas pelaksanaan
Manajemen Risiko/ proses peraturan perundang-undangan dan
perusahaan, sesuai dengan pelaksanaan pengendalian pengendalian intern, Manajemen
tata kelola perusahaan kebijakan perusahaan.
peraturan perundang-undangan intern, Manajemen Risiko, dan Risiko, dan proses tata kelola
sesuai dengan peraturan
dan kebijakan perusahaan. 6. Rekomendasi perbaikan atas hasil evaluasi proses tata kelola perusahaan perusahaan telah dijalankan
perundang-undangan dan
kebijakan perusahaan. 6. Rekomendasi perbaikan atas hasil efektivitas pelaksanaan pengendalian telah dijalankan hampir seluruhnya (100%) oleh
evaluasi efektivitas pelaksanaan intern, manajemen risiko, dan proses tata seluruhnya (>90%) oleh manajemen
6. SPI BUMN induk pengendalian intern, manajemen kelola perusahaan telah dijalankan manajemen
sebagian besar (>50%) oleh manajemen 6. SPI BUMN Induk menentukan
menyelaraskan strategi risiko, dan proses tata kelola
6. SPI BUMN Induk menentukan strategi pelaksanaan Audit Intern
pelaksanaan Audit Intern perusahaan telah dijalankan 7. SPI BUMN Induk menentukan strategi strategi pelaksanaan Audit Intern Anak Perusahaan BUMN,
Anak Perusahaan BUMN sebagian (<50%) oleh manajemen pelaksanaan Audit Intern Anak Anak Perusahaan BUMN, merumuskan prinsip Audit Intern
dengan strategi audit di
7. SPI BUMN Induk menyelaraskan Perusahaan BUMN, merumuskan prinsip merumuskan prinsip Audit Intern yang mencakup metodologi
BUMN Induk (jika relevan).
strategi pelaksanaan Audit Intern Audit Intern yang mencakup metodologi yang mencakup metodologi audit dan langkah pelaksanaan
Anak Perusahaan BUMN dengan audit dan langkah pelaksanaan audit dan langkah pelaksanaan pengendalian mutu, serta
strategi audit di BUMN Induk serta pengendalian mutu, serta memantau pengendalian mutu, serta memantau pelaksanaan Audit
merumuskan prinsip Audit Intern pelaksanaan Audit Intern pada masing- memantau pelaksanaan Audit Intern pada masing-masing Anak
yang mencakup metodologi audit masing Anak Perusahaan BUMN (jika Intern pada masing-masing Anak Perusahaan BUMN (jika relevan).
(jika relevan). relevan). Perusahaan BUMN (jika relevan).
*Dalam perencanaan Audit Intern, memperhatikan Profil Risiko BUMN dan Anper BUMN serta Loss Event Database (LED)
1. Belum ada harmonisasi 1. Harmonisasi kebijakan 1. Direksi BUMN Induk telah 1. Direksi BUMN Induk telah menetapkan 1. Direksi BUMN Induk telah menetapkan
kebijakan tingkat induk dan tingkat induk dan anak menetapkan kebijakan pada kebijakan pada tingkat BUMN Induk kebijakan pada tingkat BUMN Induk yang
anak belum sepenuhnya tingkat BUMN Induk yang yang diharmonisasikan dengan diharmonisasikan dengan kebijakan
dilaksanakan oleh direktur diharmonisasikan dengan kebijakan pada tingkat Anak pada tingkat Anak Perusahaan BUMN
2. Belum terdapat organ fungsional/pembinaan kebijakan pada tingkat Anak Perusahaan BUMN melalui Direktur melalui Direktur fungsional dan Direktur
Komite Tata Kelola BUMN Induk Perusahaan BUMN melalui fungsional dan Direktur Pembinaan* Pembinaan*
Terintegrasi (KTKT) sesuai Direktur fungsional dan Direktur
dengan kategori dan 2. Direksi BUMN Induk Pembinaan* 2. Direksi BUMN Induk melaksanakan 2. Direksi BUMN Induk melaksanakan
klasifikasi risiko BUMN memantau implementasi tugasnya: (i)memantau implementasi tugasnya: (i)memantau implementasi
kebijakan harmonisasi dan 2. Direksi BUMN Induk harmonisasi kebijakandi Anak; (ii) harmonisasi kebijakan di Anak; (ii)
memantau Risiko antara melaksanakan tugasnya: memantau risiko antara BUMN Induk memantau risiko antara BUMN Induk dan
BUMN Induk dengan Anak. (i)memantau implementasi dan Anak ; (iii)menindaklanjuti Anak ; (iii)menindaklanjuti arahan/nasihat
harmonisasi kebijakandi Anak; arahan/nasihat Dekom/Dewas dalam Dekom/Dewas dalam rangka
(ii) memantau risiko antara rangka penyempurnaan kebijakan penyempurnaan kebijakan TKT
BUMN Induk dan Anak ; TKT
(iii)menindaklanjuti 3. Terdapat organ KTKT sesuai dengan
Fase Praktik yang Baik
arahan/nasihat Dekom/Dewas Faseorgan
3. Terdapat Praktik yang
KTKT sesuai dengan kategori dan klasifikasi risiko di BUMN
dalam rangka kategori Lebih Baik risiko di BUMN
dan klasifikasi Fase
Induk danPraktik
Anak Terbaik
penyempurnaan kebijakan TKT Induk dan Anak
4. Dekom/Dewas melaksanakan tugasnya:
3. Terdapat organ KTKT sesuai
4. Dekom/Dewas melaksanakan (i) mengawasi penerapan TKT pada
dengan kategori dan klasifikasi
tugasnya: (i) mengawasi penerapan Anak; (ii) mengevaluasi kebijakan TKT; (iii)
risiko di BUMN Induk dan Anak
TKT pada Anak; (ii) mengevaluasi mengawasi pelaksanaan tugas dan
4. Dekom/Dewas melaksanakan kebijakan TKT; (iii) mengawasi tanggung jawab Direksi BUMN Induk; dan
tugasnya: (i) mengawasi pelaksanaan tugas dan tanggung (iv) memberikan arahan/nasihat kepada
penerapan TKT pada Anak; (ii) jawab Direksi BUMN Induk; dan (iv) Direksi BUMN Induk atas pelaksanaan
mengevaluasi kebijakan TKT; memberikan arahan/nasihat kepada kebijakan TKT
(iii) mengawasi pelaksanaan Direksi BUMN Induk atas pelaksanaan
tugas dan tanggung jawab kebijakan TKT 5. Dekom/Dewas telah secara optimal
Direksi BUMN Induk; dan (iv) melaksanakan pengawasan dan
memberikan arahan/nasihat 5. Dekom/Dewas belum secara optimal pemberian nasihat terhadap
kepada Direksi BUMN Induk melaksanakan pengawasan dan pelaksanaan fungsi TKT lainnya sesuai
atas pelaksanaan kebijakan pemberian nasihat terhadap dengan ketentuan UU, AD, dan/atau
Keterangan TKT pelaksanaan fungsi TKT lainnya sesuai keputusan RUPS/Menteri.
dengan ketentuan UU, AD, dan/atau
Direktur fungsional BUMN Induk wajib melakukan harmonisasi kebijakan keputusan RUPS/Menteri.
fungsional pada Anak Perusahaan BUMN. Direktur pembinaan BUMN
* Induk wajib memastikan keselarasan dan sinergitas strategi BUMN
Induk dan Anak Perusahaan BUMN
DEWAN KOMISARIS/DEWAN
PENGAWAS BUMN INDUK
Komite TKT terdiri dari:
a. Komisaris Utama/Ketua Dewan Pengawas 1. Menyetujui kebijakan TKT
menjabat sebagai Ketua TKT. 2. Mengevaluasi pelaksanaan TKT 1. Penyempurnaan Kebijakan Tata
b. Anggota Komisaris BUMN induk sebagai 3. Memberikan arahan Kelola Terintegrasi
anggota TKT. 2. Realisasi tindak lanjut daftar
c. Komisaris yang mewakili masing-masing DIREKSI BUMN INDUK temuan MR terintegrasi, audit
anper sebagai anggota TKT. terintegrasi dan kepatuhan
1. Menyusun kebijakan TKT terintegrasi
KOMISARIS PERWAKILAN 2. Menindaklanjuti arahan Dekom Pelaporan 3. Realisasi penataan portofolio
ANAK PERUSAHAAN 3. Mengevaluasi penerapan TKT dan perbaikan kinerja anak
Pelaporan 4. Menindaklanjuti temuan dan perusahaan
Anper 1 Anper 2 rekomendasi SPI Terintegrasi dan 4. Realisasi penguatan unit kerja
Unit Kerja MR Terintegrasi MR terintegrasi dan SPI
Laporan evaluasi terintegrasi
Anper 3 Anper 4 DIREKTUR UTAMA 1. Laporan 5. Realisasi area fokus rencana
kinerja penilaian TKT kerja Komite TKT
Laporan efektivitas 2. Laporan
Anper 5 Anper ..dst
kebijakan fungsional kepatuhan
terintegrasi TKT
Pelaporan: DIREKTUR
a. Laporan Kinerja DIREKTUR PEMBINA DIREKTUR FUNGSIONAL
MANAJEMEN RISIKO
b. Laporan Manajemen Risiko
c. Laporan Audit Intern Laporan MR
Laporan TKT disampaikan setiap
terintegrasi
Laporan audit intern terintegrasi dan semester.
kepatuhan
UNIT KERJA MR
SPI TERINTEGRASI terintegrasi
TERINTEGRASI
Memantau pelaksanaan audit Memantau pelaksanaan kebijakan
intern pada Anper manajemen risiko dan fungsi
kepatuhan pada Anper
1. Terdapat mandat informal 1. Fungsi risiko pusat tidak 1. Terdapat mandat formal bagi 1. Terdapat mandat formal bagi fungsi 1. Terdapat mandat formal bagi fungsi risiko
untuk beberapa memiliki mandat dan fungsi risiko pusat untuk risiko pusat untuk memonitor risiko di pusat untuk memonitor risiko di seluruh lini
pegawai/jajaran pimpinan kewenangan formal untuk memonitor risiko di seluruh lini seluruh lini perusahaan, termasuk perusahaan, termasuk dengan anak
utama untuk memantau melaksanakan tanggung perusahaan, termasuk dengan anak perusahaan** perusahaan**
risiko, namun belum jawab monitoring risiko induk dengan anak perusahaan**
dilaksanakan secara dan anak 2. Kewenangan fungsi risiko pusat/BUMN 2. Kewenangan fungsi risiko pusat/BUMN
independen* 2. Kewenangan fungsi risiko Induk dan tingkat Unit Bisnis/anak Induk dan tingkat Unit Bisnis/anak
2. Tanggung jawab utama pusat/BUMN Induk dan tingkat perusahaan didefinisikan dan perusahaan didefinisikan dan
dalam monitoring hanya Unit Bisnis/anak perusahaan dikomunikasikan dengan baik*** dikomunikasikan dengan baik***
dilakukan di tingkat Unit didefinisikan dan
Bisnis Fase Praktik yang dengan
dikomunikasikan Baik 3. Terdapat alur pelaporan yang jelas 3. Terdapat alur pelaporan yang jelas untuk
baik*** untukFase
fungsi risiko di
Praktik seluruh organisasi,
yang fungsi risiko di seluruh organisasi, termasuk
termasukLebih
dari fungsi dari fungsi risiko di anak perusahaan ke
Baik risiko di anak
3. Terdapat alur pelaporan yang perusahaan ke fungsi risiko fungsi risiko pusat/induk kemudian ke
jelas untuk fungsi risiko di pusat/induk kemudian ke komite di komite di tingkat Dewan
seluruh organisasi, termasuk tingkat Dekom/Dewas atau Direksi Komisaris/Dewan Pengawas atau Direksi
dari fungsi risiko di anak
Fase Praktik Terbaik
yang membidangi Manajemen Risiko
yang membidangi Manajemen Risiko
perusahaan ke fungsi risiko
pusat/induk kemudian ke 4. Terdapat bukti perusahaan 4. Terdapat bukti perusahaan melakukan
Keterangan komite di tingkat melakukan reviu secara berkala untuk reviu secara berkala (setiap tahun) untuk
Dekom/Dewas atau Direksi memastikan apakah mandat, memastikan apakah mandat, kerangka
misal pegawai yang ditunjuk untuk melakukan tugas pemantauan
* risiko di Unit Bisnis juga bertanggung jawab untuk penjualan)
yang membidangi kerangka kerja, kebijakan/prosedur kerja, kebijakan/prosedur risiko yang
Manajemen Risiko risiko yang diturunkan dari fungsi risiko diturunkan dari fungsi risiko pusat telah
pusat telah diimplementasikan diimplementasikan dengan baik ke
misal terdapat kerangka tata kelola risiko yang menjelaskan dengan baik ke seluruh lini seluruh lini perusahaan (termasuk Unit
** kewenangan tsb bagi seluruh lini perusahaan dan tercantum pada perusahaan (termasuk Unit Bisnis/anak Bisnis/anak perusahaan)
kebijakan Manajemen Risiko perusahaan)
5. Terdapat interaksi yang efektif dan
misal panduan mana yang diturunkan ke Unit Bisnis/anak perusahaan harmonis antara fungsi risiko pusat dan
*** (jika relevan), bagian mana yang merupakan kewenangan divisi-divisi lain dalam hierarki
pengambilan keputusan Unit Bisnis/anak) perusahaan dan sebagainya Manajemen Risiko (termasuk fungsi risiko
di anak perusahaan) untuk
menyelaraskan strategi risiko, identifikasi
misal rapat mingguan/bulanan, keputusan utama yang diambil dan
dan penanganan risiko utama****
ada bukti bahwa keputusan tersebut efektif, dilakukan pemantauan
**** dan pengawasan yang diberikan oleh fungsi risiko pusat yang efektif
dalam menjaga jadwal proyek sesuai jadwal di semua fungsi di
bawahnya).
STRICTLY C O N F I D E N T I A L
Jumat, 8 Maret 2024
Mulai Durasi Modul
08.00-08.30 30’ Registrasi
08.30-08.40 10’ Pembukaan
SCHEDULE
08.40-09.00 20’ Overview Penilaian RMI
09.00-09.10 10’ Foto Bersama
PELATIHAN 09.10-09.40 30’ Penilaian Index Kematangan Risiko
09.40-10.40 60’ Budaya dan Kapabilitas Risiko
PENILAIAN RMI 10.40-11.40 60’ Organisasi dan Tata Kelola Risiko
STRICTLY C O N F I D E N T I A L
Dimensi Kerangka Risiko dan Kepatuhan
Sub-Dimensi: Strategi Risiko
20 Paramater 20. Peningkatan Kualitas Kerangka Manajemen Risiko
21 Parameter 21. Rencana transformasi Enterprise Risk Management (ERM)
22
Parameter 22. Peran Manajemen Risiko dalam penyusunan rencana strategis
23
Paramater 23. Hubungan peran Manajemen Risiko terhadap pencapaian target strategis RKAP
23
Parameter 24. Kapasitas risiko
25
Parameter 25. Selera risiko
26
Parameter 26. Komunikasi Selera Risiko kepada Pemangku Kepentingan Eksternal
Outline
Sub-Dimensi: Kebijakan dan Prosedur
27 Parameter 27. Kebijakan risiko | Kebijakan dan/atau prosedur terkait proses dan kontrol risiko
28
Parameter 28. Prosedur risiko | Kebijakan dan/atau prosedur untuk mitigasi peristiwa penting terkait
kerahasiaan data
29 Parameter 29. Rencana darurat (contingency plan) dalam kondisi terburuk (worst case scenario)
30 Parameter 30. Reviu dan Stress test terhadap prosedur dan SOP
1. Telah ada inisiatif 1. Telah ada pembahasan 1. Telah ada pembahasan formal 1. Inisiatif peningkatan kerangka ERM 1. Inisiatif peningkatan kerangka ERM telah
peningkatan kualitas peningkatan ERM tahap dan pengusulan peningkatan telah dijalankan dengan banyak dijalankan dengan pengukuran dampak
awal, namun belum ada kerangka ERM kegiatan yang jelas. Pengukuran dilakukan
kerangka ERM namun
inisiatif yang disusun dan secara:
belum dilakukan Terdapat kerangka kerja MR Terdapat kerangka kerja MR sebagai a. kuantitatif, misal penurunan jumlah
diusulkan 2. 2.
pembaruan/reviu selama 3 sebagai acuan Manajemen acuan Manajemen Risiko yang peristiwa risiko; atau
tahun terakhir 2. Terdapat kerangka kerja Risiko yang terintegrasi dengan terintegrasi dengan aktivitas b. Kualitatif, misal jajaran manajemen
MR sebagai acuan aktivitas pencapaian sasaran pencapaian sasaran strategis melakukan pemantauan dengan
Manajemen Risiko yang strategis
Fase Praktik yang Baik lebih baik)
terintegrasi dengan 3. Kerangka
Fase kerja MRyang
Praktik ditetapkan secara
Kerangka kerja MR ditetapkan formal dan 2. Terdapat kerangka kerja MR sebagai
aktivitas pencapaian 3.
Lebih Baik diterapkan
konsisten
sasaran strategis secara formal dan konsisten acuan Manajemen Risiko yang
diterapkan 4. Kerangka kerja MR diturunkan dalam Fase Praktik
terintegrasi Terbaik
dengan aktivitas
3. Kerangka kerja MR kebijakan, prosedur dan turunannya pencapaian sasaran strategis
ditetapkan secara formal 4. Kerangka kerja MR diturunkan untuk menanamkan praktik
dan konsisten diterapkan dalam kebijakan, prosedur dan pengelolaan Risiko 3. Kerangka kerja MR ditetapkan secara
turunannya untuk menanamkan formal dan konsisten diterapkan
praktik pengelolaan Risiko 5. Evaluasi efektivitas kerangka kerja MR
secara berkala dan diperbaharui, 4. Kerangka kerja MR diturunkan dalam
namun belum dilaporkan kepada kebijakan, prosedur dan turunannya
pimpinan untuk menanamkan praktik pengelolaan
Risiko
1. Belum ada rencana 1. Rencana transformasi ERM 1. Rencana transformasi ERM untuk 1. Rencana transformasi ERM untuk 1. Rencana transformasi ERM untuk jangka
transformasi ERM yang jelas jangka panjang kurang jangka panjang, dapat jangka panjang, dapat panjang, dapat ditindaklanjuti, dan
dan dapat ditindaklanjuti detail (belum ada prioritas, ditindaklanjuti, dan mendetail ditindaklanjuti, dan mendetail mendetail
hanya untuk regulasi)
2. Transformasi ESG: 2. Ruang lingkup transformasi jauh 2. Ruang lingkup transformasi jauh
2. Risiko ESG/Iklim telah 2. Transformasi ESG: melampaui regulasi dan didasarkan
a. risiko ESG/Iklim tercantum melampaui regulasi dan didasarkan
tercantum dalam taksonomi a. risiko ESG/iklim Fase Praktik
dalam yang Baik
taksonomi pada benchmark pada benchmark
namun implikasi atas tercantum dalam b. implikasi risiko telah
kerangka risiko belum dikaji taksonomi dimasukkan ke dalam 3. Transformasi ESG: yang 3. Program diperbarui secara rutin
Fase Praktik
b. implikasi risiko telah kerangka kerja ERM a. risiko ESG/Iklim tercantum dalam
dimasukkan namun
Lebih Baik Ada tim khusus yang bertanggung jawab
c. memiliki tim khusus taksonomi 4.
hanya bersifat umum d. telah dianalisis dampaknya b. implikasi risiko telah dimasukkan ke terhadap transformasi. Unit bisnis dan
kepada portofolio dalam kerangka kerja ERM fungsi lainnya terlibat dalam rencana
e. memiliki analisis dan data c. memiliki tim khusus transformasi.
d. telah dianalisis dampaknya
kepada portofolio 5. Pengukuran yang jelas atas estimasi
e. memiliki analisis dan data value-at-stake dari program transformasi
Fase Praktik Terbaik
(fokus bergeser dari kepatuhan ke value
f. memiliki target khusus
g. memiliki rencana jangka panjang capture)
untuk mencapai target
6. Transformasi ESG:
a. risiko ESG/Iklim tercantum dalam
taksonomi
b. implikasi risiko telah dimasukkan ke
dalam kerangka kerja ERM
c. memiliki tim khusus
d. telah dianalisis dampaknya kepada
portofolio
e. memiliki analisis dan data
f. memiliki target khusus
g. memiliki rencana jangka panjang
untuk mencapai target
h. perusahaan menggali peluang bisnis
baru dan pertumbuhan dari agenda
ESG/Iklim
1. Strategi Perusahaan dan 1. Strategi perusahaan 1. Strategi perusahaan dan strategi 1. Strategi perusahaan dan strategi risiko 1. Strategi perusahaan dan strategi risiko
strategi risiko disusun secara ditetapkan dahulu, risiko diselaraskan secara rutin diselaraskan secara rutin diselaraskan secara rutin
terpisah kemudian baru disusul oleh
strategi risiko 2. Pertimbangan risiko dalam 2. Rencana strategis sepenuhnya 2. Rencana strategis sepenuhnya
rencana strategis
Fase Praktik yang hanya
Baik untuk mempertimbangkan risiko secara mempertimbangkan risiko secara
Fase Praktik yang
2. Dalam menyusun rencana menghindari kerugian, belum sistematis dan terukur sistematis dan terukur
strategis, unit bisnis tidak menggali peluang
Lebih Baik
bekerjasama dengan divisi 3. Implikasi risiko terhadap rencana 3. Implikasi risiko terhadap rencana
risiko strategis dipahami dengan baik* strategis dipahami dengan baik*
4. Fase bukti
Terdapat Praktik
danTerbaik
dokumentasi bahwa
fungsi risiko dan strategi bekerjasama
membahas dan menyusun strategi risiko
dan strategi perusahaan**
Keterangan
Contoh:
* o Manajemen mengetahui perilaku pengambilan risiko yang diperlukan dan kaitannya dengan strategi
o Keputusan strategi penting didukung dengan analisis risiko spesifik untuk keputusan tersebut
Contoh:
o Personil risiko ekstensif terlibat dalam penetapan strategi, bukan hanya memeriksa atau menyetujui
** o Analisis risiko memiliki peran aktif dan memberikan nilai tambah terhadap pertimbangan strategis
o Analisis risiko berfokus pada penciptaan nilai/menyeimbangkan pertimbangan positif dan negatif
Contoh:
*** o Metrik penilaian keberhasilan strategi ditetapkan dengan target yang dikaitkan dengan analisis risiko
o Pemantauan progress strategi perusahaan melibatkan personel risiko senior
1 2 3 4 5 Persetujuan
Strategi Risiko RAS BUMN Nilai Ambang Batas Risiko Parameter Metrik Strategi Risiko Strategi Risiko
a. RAS Kementerian a. Risk capacity telah dihitung berdasarkan Strategi Risiko telah
a. Risk Appetite a. Mampu digunakan sebagai Batasan
BUMN; pendekatan value yang paling dapat disetujui bersama antara
Statement penerimaan risiko dalam penyusunan
b. RJPP; diandalkan. BOC dan BOD yang
b. Nilai Ambang Risiko RKAP
c. Outlook industri; b. Risk appetite telah dihitung berdasarkan dibuktikan dalam
yang meliputi risk b. Mampu dijadikan sebagai alat monitoring
d. Core competence pandangan backward looking dan bentuk kesepakatan
capacity, risk dalam menjaga risk limit
perusahaan; dan forward looking serta telah menunjukkan dalam rapat,
appetite, risk c. Mampu dijadikan sebagai alat kebijakan
e. Core value AKHLAK. nilai yang paling optimum. pernyataan yang
tolerance dan risk dalam hal menaikkan atau menurunkan
c. Risk tolerance dan risk limit telah dihitung ditandatangani
limit batasan risiko yang berimplikasi terhadap
untuk mengamankan risk appetite yang bersama, atau bentuk
c. Metrik Strategi kenaikan atau penurunan target
telah ditetapkan kesepakatan lainnya.a
Risiko pertumbuhan dalam RKAP.
IDr100 T
Statement Sikap Risiko Taksonomi Parameter Nilai Limit Risiko
IDR22 T Risiko
Mengeksplorasi Strategis
pertumbuhan IDR20 T Rasio Reserved to 7 Tahun
unorganic. M&A, JV dan Production
Restrukturisasi
Hurdle Rate 12%
Mempertahank Konservatif
an struktur IDR18 T Keuangan Debt to EBITDA 2x
keuangan
yang sehat
Strategi 1
Target
1. Evaluasi peran MR terhadap 1. Evaluasi peran MR 1. Evaluasi peran MR terhadap 1. Evaluasi peran MR terhadap 1. Evaluasi peran MR terhadap pencapaian
pencapaian target RKAP terhadap pencapaian pencapaian target RKAP memiliki pencapaian target RKAP memiliki target RKAP memiliki kerangka kerja
target RKAP memiliki kerangka kerja formal* kerangka kerja formal* formal*
belum terstruktur prosesnya
kerangka kerja informal
dan belum dibahas di level Evaluasi ini secara efektif membantu
dan dibahas informal, serta 2. Evaluasi dilakukan hanya sebagai 2. Evaluasi
FaseiniPraktik
secara yang
efektif membantu 2.
manajemen Fase Praktik yang Baik BUMN memperbaiki praktik MR untuk
belum ada analisis yang formalitas BUMN memperbaiki praktik MR untuk
Lebih Baik
jelas dan detail RKAP berikutnya serta memiliki RKAPFase Praktikserta
berikutnya Terbaik
memiliki langkah
langkah perbaikan yang jelas perbaikan yang jelas
2. Evaluasi dilakukan hanya
sebagai formalitas 3. Analisis bersifat current dan backward 3. Analisis bersifat backward dan forward
looking looking
Keterangan
Mencakup analisis:
o Jika target perusahaan tercapai, apa saja praktik MR yang berkontribusi terhadap pencapaian tersebut
* o Jika target perusahaan tidak tercapai, apa saja praktik MR yang berkontribusi terhadap kegagalan
pencapaian target
a.
Sub Dimensi Strategi Risiko
Parameter : 23. Hubungan peran Manajemen Risiko terhadap B Nilai Ambang Risiko
Agregasi
BUMN
Integrasi
Anak
K Identifikasi KRI
A D I M N O Q
L Identifikasi dan Penilaian Kontrol
B E J P
M Kuantifikasi Risiko
C F K
N Rencana Perlakan Risiko
Risiko yang tidak terkendali dan tidak diketahui oleh Direksi/Dekom/Dewas serta mempengaruhi pencapaian kinerja perusahaan,
1 sepenuhnya merupakan tanggung jawab Direksi/Dekom/Dewas dalam melakukan pengurusan kecuali risiko tersebut berlaku umum dan
tidak dapat diantisipasi oleh sebagian besar perusahaan dalam industri
Kebijakan strategis perlu dilakukan Direksi harus sesuai dengan ketentuan tata kelola perusahaan yang baik termasuk memperhatikan
2
batasan/threshold persetujuan di tingkat Dewan Komisaris atau tingkat Pemegang Saham Seri A atau RUPS.
Direksi dengan berkonsultasi kepada Dewan Komisaris/Dewan Pengawas dapat melakukan perubahan terhadap dokumen perencanaan
3
strategis yang prosesnya mengikuti ketentuan tata kelola perusahaan yang baik.
1. Terdapat identifikasi elemen 1. Telah ada elemen utama 1. Telah ada elemen utama 1. Telah ada elemen penting kapasitas 1. Telah ada elemen penting kapasitas
kapasitas risiko yang relevan kapasitas risiko yang kapasitas risiko yang relevan* risiko** risiko**
namun kapasitas risiko relevan*
2. Telah ada prosedur penyusunan 2. Telah ada prosedur penyusunan 2. Kapasitas risiko mencakup identifikasi
belum ditetapkan
2. Telah ada prosedur kapasitas risiko berdasarkan data kapasitas risiko berdasarkan data dan pengelolaan berbagai jenis risiko
penyusunan kapasitas historis atau syarat minimum historis atau syarat minimum regulator relevan (operasional, keuangan,
risiko berdasarkan data regulator lingkungan, reputasi, dll)
historis atau syarat 3. Kapasitas risiko menjadi dasar
minimum regulator 3. Telah Praktik
Fase dilakukan analisis
yang Baikdan Fase Praktik
penetapan selera,yang
toleransi, dan limit 3. Telah ada prosedur penyusunan
sudah terdapat kapasitas risiko risiko Lebih Baik kapasitas risiko berdasarkan data historis
3. Belum ada analisis yang ditetapkan secara formal atauFase Praktik
syarat Terbaik
minimum regulator
mendalam untuk 4. Elemen penting kapasitas risiko**
menentukan kapasitas 4. Kapasitas risiko menjadi dasar ditinjau dan diperbaharui setiap 4. Kapasitas risiko menjadi dasar
risiko penetapan selera, toleransi, dan tahun penetapan selera, toleransi, dan limit
limit risiko risiko
5. Kapasitas risiko dikomunikasikan
5. Elemen penting kapasitas risiko** kepada seluruh pihak yang terlibat 5. Elemen penting kapasitas risiko ditinjau
ditinjau dan diperbaharui setiap dalam penerapan MR dan diperbaharui setiap tahun
tahun
6. Kapasitas risiko dikomunikasikan kepada
seluruh pihak yang terlibat dalam
penerapan MR
Keterangan
** Misal terdapat perhitungan detail/daftar metrik kapasitas risiko yang dapat ditanggung
1. Telah ada konsep informal 1. Telah ada konsep selera 1. Telah ada pernyataan selera 1. Telah ada RAS formal yang 1. Telah ada RAS formal yang
selera risiko secara risiko untuk beberapa jenis risiko (RAS) formal yang terhubung/konsisten dengan terhubung/konsisten dengan kapasitas
risiko namun konsep selera terhubung/ konsisten dengan kapasitas risiko risiko
umum/garis besar* namun
risiko belum dipahami dan kapasitas risiko
belum ada pernyataan Mencakup Dimensi dan ambang Mencakup Dimensi dan ambang batas
digunakan secara jelas 2. 2.
selera risiko untuk setiap (belum ada prosedur/ 2. Mencakup dimensi dan ambang batas kuantitatif dan kualitatif kuantitatif dan kualitatif
jenis risiko standar perumusan selera batas kuantitatif dan kualitatif
risiko) 3. Selera risiko menjadi salah satu 3. Selera risiko menjadi salah satu
2. Perumusan selera risiko telah 3. Selera risiko menjadi salah satu pertimbangan dalam penyusunan pertimbangan dalam penyusunan
direncanakan sebagai 2. Selera risiko yang ada pertimbangan dalam rencana strategis perusahaan rencana strategis perusahaan
insiatif di masa mendatang cenderung bersifat Fase Praktikrencana
penyusunan yang Baik
strategis
kualitatif, tanpa ada perusahaan 4. Telah ada penentuan target yang 4. Selera risiko secara efektif diterapkan di
untuk transformasi MR di perusahaan**
keterkaitan dengan jelas,Fase Praktikdan
peringatan yang
nilai batas dari
perusahaan kapasitas risiko 4. Telah ada penentuan target yang setiap risiko yang ada di taksonomi,
Lebih Baik
jelas, peringatan & nilai batas yang disetujui oleh Direksi, di dalam 5. Telah ada bukti yang jelas atas kinerja
dari setiap risiko pada taksonomi, kerangka selera risiko implementasi selera risiko yang baik
yang disetujui oleh Direksi, dalam dalam penerapan selera risiko di tingkat
kerangka selera risiko 5. RAS mencakup semua risiko utama, perusahaan
Fase Praktik Terbaik
termasuk metrik yang jelas untuk
5. RAS mencakup semua risiko masing-masing pernyataan 6. RAS memiliki nilai batasan/limit, dan
utama, termasuk metrik yang metrik untuk beberapa risiko baik dalam
jelas untuk masing-masing 6. Selera risiko secara efektif diterapkan bentuk kuantitatif dan kualitatif
pernyataan di perusahaan**
7. Selera risiko dan strategi risiko menjadi
7. Telah ada bukti yang jelas atas bagian inti dari materi komunikasi
kinerja implementasi selera risiko investor dan pemangku kepentingan
yang baik dalam penerapan selera eksternal (misal tercantum di laman web
Keterangan dan laporan tahunan)
risiko di tingkat perusahaan
Konsep informal selera risiko secara umum/garis besar misalnya perusahaan berusaha untuk menghindari kerugian
* neraca dari semua peristiwa risiko yang tidak melebihi batas tertentu
8. Pemangku kepentingan utama
(termasuk Unit Bisnis) dapat menjelaskan
RAS dan alasan-alasannya, dan
Termasuk: sepenuhnya menyepakatinya
o Keputusan strategis dibuat dengan mempertimbangkan konteks selera risiko
o Proses bisnis yang melibatkan keputusan terkait dengan pernyataan selera risiko harus dimodifikasi untuk memastikan 9. Dilakukan kaji ulang/reviu rutin terhadap
kepatuhan terhadap pernyataan selera risiko (misal perencanaan strategis, perencanaan modal, stress testing) RAS (misal tahunan) sebagai bagian dari
** o Pernyataan selera risiko dibuat secara bertahap (misal metrik khusus Unit Bisnis) dengan arahan yang jelas untuk diselaraskan proses formal
dengan pernyataan selera risiko di tingkat perusahaan
o Telah ada peraturan yang jelas mengenai kewajiban untuk mematuhi selera risiko dan prosedur untuk memberikan
persetujuan atas setiap pengecualian.
1. Belum ada RAS perusahaan, 1. Telah ada konsep selera 1. Telah ada pernyataan selera 1. Telah ada RAS formal yang 1. Telah ada RAS formal yang
namun stakeholder utama risiko untuk beberapa jenis risiko (RAS) formal yang terhubung/konsisten dengan terhubung/konsisten dengan kapasitas
risiko namun konsep selera terhubung/konsisten dengan kapasitas risiko risiko
(Dekom/Direksi) telah
risiko belum dipahami dan kapasitas risiko
mengetahui konsep selera Mencakup Dimensi dan ambang Mencakup Dimensi dan ambang batas
digunakan secara jelas 2. 2.
risiko (belum ada prosedur/ 2. Mencakup dimensi dan ambang batas kuantitatif dan kualitatif kuantitatif dan kualitatif
standar perumusan selera batas kuantitatif dan kualitatif
2. Telah ada konsep informal risiko) 3. Selera risiko menjadi salah satu 3. Selera risiko menjadi salah satu
selera risiko secara 3. Selera risiko menjadi salah satu pertimbangan dalam penyusunan pertimbangan dalam penyusunan
umum/garis besar* namun 2. Selera risiko yang ada pertimbangan dalam rencana strategis perusahaan rencana strategis perusahaan
belum ada pernyataan cenderung bersifat Fase Praktikrencana
penyusunan yang Baik
strategis
kualitatif, tanpa ada perusahaan 4. Telah ada penentuan target yang 4. Telah ada penentuan target yang jelas,
selera risiko untuk setiap peringatan dan nilai batas dari setiap
keterkaitan dengan jelas,Fase Praktikdan
peringatan yang
nilai batas dari
jenis risiko kapasitas risiko 4. Telah ada penentuan target yang setiap risiko yang ada di taksonomi, risiko yang ada di taksonomi, yang
Lebih Baik
jelas, peringatan & nilai batas yang disetujui oleh Direksi, di dalam disetujui oleh Direksi, di dalam kerangka
3. Perumusan selera risiko telah dari setiap risiko pada taksonomi, kerangka selera risiko selera risiko
direncanakan sebagai yang disetujui oleh Direksi, dalam Fase Praktik Terbaik
insiatif di masa mendatang kerangka selera risiko 5. RAS mencakup semua risiko utama, 5. RAS mencakup semua risiko utama,
untuk transformasi MR di termasuk metrik yang jelas untuk termasuk metrik yang jelas untuk masing-
5. RAS mencakup semua risiko masing-masing pernyataan masing pernyataan
perusahaan
utama, termasuk metrik yang
jelas untuk masing-masing 6. Selera risiko secara efektif diterapkan 6. Selera risiko secara efektif diterapkan di
pernyataan di perusahaan** perusahaan**
7. Telah ada bukti yang jelas atas 7. Telah ada bukti yang jelas atas kinerja
kinerja implementasi selera risiko implementasi selera risiko yang baik
yang baik dalam penerapan selera dalam penerapan selera risiko di tingkat
Keterangan perusahaan
risiko di tingkat perusahaan
Konsep informal selera risiko secara umum/garis besar misalnya perusahaan berusaha untuk menghindari
* kerugian neraca dari semua peristiwa risiko yang tidak melebihi batas tertentu
8. Pemangku kepentingan utama
(termasuk Unit Bisnis) dapat menjelaskan
RAS dan alasan-alasannya, dan
Termasuk: sepenuhnya menyepakatinya
o Keputusan strategis dibuat dengan mempertimbangkan konteks selera risiko
o Proses bisnis yang melibatkan keputusan terkait dengan pernyataan selera risiko harus dimodifikasi untuk
memastikan kepatuhan terhadap pernyataan selera risiko (misal perencanaan strategis, perencanaan
** modal, stress testing)
o Pernyataan selera risiko dibuat secara bertahap (misal metrik khusus Unit Bisnis) dengan arahan yang jelas
untuk diselaraskan dengan pernyataan selera risiko di tingkat perusahaan
o Telah ada peraturan yang jelas mengenai kewajiban untuk mematuhi selera risiko dan prosedur untuk
memberikan persetujuan atas setiap pengecualian.
1. Telah ada konsep informal 1. Telah ada konsep selera 1. Telah ada pernyataan selera 1. Telah ada RAS formal yang 1. Telah ada RAS formal yang
selera risiko secara risiko untuk beberapa jenis risiko (RAS) formal yang terhubung/konsisten dengan terhubung/konsisten dengan kapasitas risiko
risiko namun konsep selera terhubung/ konsisten dengan kapasitas risiko
umum/garis besar* namun
risiko belum dipahami dan kapasitas risiko 2. Mencakup Dimensi dan ambang batas
belum ada pernyataan Mencakup Dimensi dan ambang kuantitatif dan kualitatif
digunakan secara jelas 2.
selera risiko untuk setiap (belum ada prosedur/ 2. Mencakup dimensi dan ambang batas kuantitatif dan kualitatif
jenis risiko standar perumusan selera batas kuantitatif dan kualitatif 3. Selera risiko menjadi salah satu
risiko) 3. Selera risiko menjadi salah satu pertimbangan dalam penyusunan rencana
2. Perumusan selera risiko telah 3. Selera risiko menjadi salah satu pertimbangan dalam penyusunan strategis perusahaan
direncanakan sebagai 2. Selera risiko yang ada pertimbangan dalam rencana strategis perusahaan
cenderung bersifat penyusunan rencana strategis 4. Telah ada penentuan target yang jelas,
insiatif di masa mendatang
kualitatif, tanpa ada perusahaan 4. Telah ada penentuan target yang peringatan dan nilai batas dari setiap risiko
untuk transformasi MR di
keterkaitan dengan jelas, peringatan dan nilai batas dari yang ada di taksonomi, yang disetujui oleh
perusahaan kapasitas risiko 4. Telah ada penentuan target yang setiap risiko yang ada di taksonomi, Direksi, di dalam kerangka selera risiko
Fase
jelas, Praktik yang
peringatan Baikbatas
& nilai yang disetujui oleh Direksi, di dalam
dari setiap risiko pada taksonomi, kerangka selera risiko 5. RAS mencakup semua risiko utama, termasuk
yang disetujui oleh Direksi, dalam metrik yang jelas untuk masing-masing
kerangka selera risiko 5. RAS mencakup semua risiko utama, pernyataan, dan diturunkan ke Unit Bisnis
termasuk
Fasemetrik yang
Praktik jelas untuk
yang
5. RAS mencakup semua risiko masing-masing pernyataan
Lebih Baik 6. Selera risiko secara efektif diterapkan di
Fase Praktik Terbaik
perusahaan**
utama, termasuk metrik yang
jelas untuk masing-masing 6. Selera risiko secara efektif diterapkan
pernyataan di perusahaan** 7. Telah ada bukti yang jelas atas kinerja
implementasi selera risiko yang baik dalam
6. Telah ada RAS kuantitatif di 7. Telah ada bukti yang jelas atas penerapan selera risiko di tingkat
setidaknya 3 Dimensi: Modal, kinerja implementasi selera risiko perusahaan
Volatilitas laba dan Likuiditas yang baik dalam penerapan selera
untuk semua risiko dalam risiko di tingkat perusahaan 8. Pemangku kepentingan utama (termasuk
taksonomi, kecuali untuk risiko unit bisnis) dapat menjelaskan RAS dan
Keterangan yang tidak dapat dikuantifikasi 8. Telah ada RAS kuantitatif di setidaknya alasan-alasannya, serta sepenuhnya
Konsep informal selera risiko secara umum/garis besar misalnya (misal geopolitik, keberlanjutan) 3 Dimensi: Modal, Volatilitas laba dan menyepakatinya
* perusahaan berusaha untuk menghindari kerugian neraca dari Likuiditas untuk semua risiko dalam
taksonomi, kecuali untuk risiko yang 9. Telah ada RAS kuantitatif di setidaknya 3
semua peristiwa risiko yang tidak melebihi batas tertentu
tidak dapat dikuantifikasi (misal Dimensi: Modal, Volatilitas laba dan Likuiditas
Termasuk: geopolitik, keberlanjutan) untuk semua risiko dalam taksonomi, kecuali
o Keputusan strategis dibuat dengan mempertimbangkan konteks selera risiko untuk risiko yang tidak dapat dikuantifikasi
o Proses bisnis yang melibatkan keputusan terkait dengan pernyataan selera risiko harus dimodifikasi untuk 9. Dilakukan reviu RAS secara rutin (misal (misal geopolitik, keberlanjutan)
memastikan kepatuhan terhadap pernyataan selera risiko (misal perencanaan strategis, perencanaan tahunan) sebagai bagian dari proses
** modal, stress testing) formal yang disetujui oleh Direksi, di 10. Dilakukan reviu RAS secara rutin (misal
o RAS dibuat secara bertahap (misal metrik khusus Unit Bisnis) dengan arahan yang jelas untuk diselaraskan dalam kerangka selera risiko. tahunan) sebagai bagian dari proses formal
dengan pernyataan selera risiko di tingkat Perusahaan yang disetujui oleh Direksi, di dalam
o Telah ada peraturan yang jelas mengenai kewajiban untuk mematuhi selera risiko dan prosedur untuk kerangka selera risiko.
memberikan persetujuan atas setiap pengecualian. RAHASIA DAN TERBATAS | HALAMAN 88
a.
Sub Dimensi Strategi Risiko
Parameter : 26. Komunikasi Selera Risiko kepada Pemangku Kepentingan Eksternal
1. Beberapa pernyataan selera 1. Telah ada komunikasi yang 1. Selera dan strategi risiko 1. Selera dan strategi risiko adalah 1. Selera dan strategi risiko adalah bagian
risiko telah disampaikan jelas kepada pemangku adalah bagian inti dari bagian inti dari komunikasi investor inti dari komunikasi investor dan
kepada pemangku kepentingan eksternal komunikasi investor dan dan pemangku kepentingan eksternal pemangku kepentingan eksternal
kepentingan eksternal mengenai semua selera risiko, Fase Praktik yang
pemangku Baik
kepentingan lainnya serta penyampaiannya lainnya serta penyampaiannya
eksternal lainnya, serta
Fase Praktik yang
namun dalam konteks ad- namun penyampaian selera dilakukan secara rutin, misal dilakukan secara rutin, misal tercantum
Lebih Baik
hoc risiko belum dilakukan secara penyampaiannya dilakukan tercantum pada laporan tahunan pada laporan tahunan
rutin secara rutin, misal tercantum
pada laporan tahunan 2. Pemangku kepentingan utama Fase Praktik
2. Pemangku Terbaikutama
kepentingan
memahami dan menerima selera dan memahami dan menerima selera dan
strategi risiko. strategi risiko
1. Kebijakan risiko belum 1. Perusahaan telah memiliki 1. Perusahaan telah memiliki 1. Perusahaan telah memiliki kebijakan 1. Perusahaan telah memiliki kebijakan
lengkap atau telah lengkap kebijakan risiko* kebijakan risiko* risiko* risiko*
namun belum direviu/
2. Kebijakan risiko belum 2. Kebijakan risiko telah rutin 2. Kebijakan dikaji ulang secara rutin 2. Kebijakan dikaji ulang secara rutin
diperbaharui dalam 5 tahun
direviu/diperbaharui dalam 3 direviu/diperbaharui setiap 2 (sekurang-kurangnya satu kali dalam (sekurang-kurangnya satu kali dalam
terakhir Fase Praktik yang Baik
tahun terakhir tahun dua tahun) dua tahun)
Keterangan 5. Telah ada kaji ulang dan perbaikan 5. Telah ada kaji ulang dan perbaikan
proses Manajemen Risiko*** proses Manajemen Risiko***
Perusahaan memiliki kebijakan risiko yang meliputi:
o Adanya kepemilikan dan tanggung jawab yang jelas untuk mengelola risiko-risiko utama 6. Tidak ditemukan kekurangan serius
* o Adanya penanggung jawab yang jelas dan memiliki kapabilitas yang ditunjuk untuk mengelola setiap pada proses-proses yang berkaitan
risiko utama dengan pengelolaan risiko utama
o Adanya garis tanggung jawab yang jelas dari Direktur Utama ke Lini Pertama untuk setiap risiko utama
Telah ada kebijakan dan proses yang komprehensif untuk mengelola setiap risiko utama, misal: 7. Fungsi Risiko secara rutin
o Telah ada SOP asesmen risiko, prioritisasi, mitigasi, monitoring, sistem peringatan dini, dan metrik yang memanfaatkan analisis yang relevan
dan terperinci dalam memberikan
** terperinci
wawasan terkait arah kegiatan
o Telah ada kebijakan risiko dan kepatuhan di tingkat grup dilengkapi kebijakan tingkat lokal/unit/anak
usaha****
perusahaan untuk mencakup seluruh risiko relevan
Telah ada kaji ulang dan perbaikan proses Manajemen Risiko, termasuk:
o Telah ada feedback sistematis dari “near-misses” sampai dengan perbaikan proses
*** o Usulan revisi dokumen kebijakan dikomunikasikan ke pemangku kepentingan relevan di seluruh lini
o Memastikan tidak adanya ambiguitas peran dan tanggung jawab yang tercantum dalam kebijakan risiko
o Memastikan bahwa kebijakan risiko diturunkan menjadi Standar dan Prosedur
Fungsi Risiko secara rutin memanfaatkan analisis yang relevan dan terperinci dalam memberikan wawasan
terkait arah kegiatan usaha, misal:
**** o Kebijakan perencanaan terintegrasi
o Kebijakan stress-testing
o Forecasting analysis
1. Telah ada beberapa proses 1.Telah ada kebijakan dan prosedur 1. Telah ada kebijakan dan 1. Terdapat proses dan kontrol risiko 1. Terdapat proses dan kontrol risiko yang
dan kontrol risiko, namun formal untuk mengatur proses prosedur formal untuk mengatur yang bersifat formal, dimuat dalam bersifat formal, dimuat dalam
belum formal kontrol risiko secara garis besar proses kontrol risiko dan sebagian kebijakan/prosedur MR dan prosedur kebijakan/prosedur MR dan prosedur
namun belum semua kontrol risiko besar kontrol telah diformalkan ke pendukungnya** pendukungnya**
2. Proses kredit: belum ada
diformalkan ke dalam dalam kebijakan/prosedur baku
kebijakan dan prosedur 2. Terdapat harmonisasi/integrasi 2. Terdapat harmonisasi/integrasi
kredit yang jelas kebijakan/prosedur
2. Tidak semua kebijakan, prosedur, kebijakan, standar, dan prosedur kebijakan, standar, dan prosedur risiko
2.Proses kredit: dan kontrol risiko telah risiko dengan proses bisnis yang ada, dengan proses bisnis yang ada, dan
3. Proses penagihan:
• Terdapat kebijakan dan prosedur terharmonisasi/dilakukan integrasi dan telah dikomunikasikan ke seluruh telah dikomunikasikan ke seluruh lini
• Penagihan dilakukan
kredit yang jelas dengan proses bisnis yang ada lini Perusahaan, termasuk prosedur Perusahaan, termasuk prosedur yang
dengan upaya manual
• kurangnya diferensiasi dan (misal kebijakan kontrol sudah yang diturunkan ke dalam Unit Bisnis diturunkan ke dalam Unit Bisnis
dan berskala kecil
penyesuaian proses kredit formal tetapi terpisah) sehingga tertentu/anak perusahaan tertentu/anak perusahaan
• Dilakukan melalui gugus
tugas berdasarkan segmen komunikasi dan penerapannya
3. Kontrol risiko paling sedikit mencakup 3. Kontrol risiko paling sedikit mencakup
• kurangnya alat yang • permasalahan Loan to Asset kurang efektif
metode untuk mengontrol risiko metode untuk mengontrol risiko
mendukung proses Ratio (LAR)
3. Proses kredit: keberlangsungan bisnis serta keberlangsungan bisnis serta
penagihan 3. Ritel • diferensiasi proses kredit untuk mempertimbangkan eksposur risiko mempertimbangkan eksposur risiko dan
• Kurangnya standardisasi • Penggunaan a-score untuk setiap segmen dan selera risiko perusahaan selera risiko perusahaan
penjaminan emisi • pembaharuan kebijakan dan
4. Proses siber: risiko siber 4. Proses Kredit: 4. Proses Kredit:
• Inkonsistensi dalam penggunaan prosedur secara teratur (fine Fase Praktik yang
dikelola sebagai bagian dari • cakupan penuh dari proses kredit • pengambilan
Fase Praktikkeputusan
Terbaik kredit
risiko TI lainnya tanpa SDM,
• Terdapat data manual, tuning).
Fase Praktik yang Baik Lebih Baik
kesalahan dan pengerjaan ulang yang terdiferensiasi, termasuk otomatis
• beberapa elemen strategi
alat, kerangka kerja pembaruan. • otomatisasi pembuatan memo kredit
portofolio
Manajemen Risiko khusus 4. UMK • strategi portofolio yang kuat dan • penerapan otomatisasi dalam proses
• kontrol yang baik terhadap
5. Proses risiko operasional: • Ketergantungan pada memo strategi komersial kredit (termasuk ritel, UMK,
kualitas kredit.
kurangnya kontrol dan kredit dan analisis • fokus pada optimalisasi proses untuk korporasi/komersial)
pengawasan • Inkonsistensi dalam proses 3. Ritel efisiensi.
(contohnya tergantung cabang • kriteria penerimaan yang 5. Proses penagihan: kemampuan
6. Proses likuiditas, Asset mana) penagihan digital di Ritel dan UMK.
didefinisikan dengan jelas 5. Ritel dan UMK:
Liability Management (ALM), • Ada data manual, kesalahan • meminimalkan unsur manusia • optimalisasi proses
dan risiko pasar: tidak ada dan pengerjaan ulang 6. Proses siber: penerapan metode MR
dari penilaian • penggunaan credit factories untuk
komite untuk tingkat lanjut seperti pengujian kontrol
• penggunaan verifikasi input efisiensi.
mengkoordinasikan 5.Korporasi/Komersial:
data. • otomatisasi beberapa proses otomatis, security-as-code, dan
Manajemen Risiko misalnya • ketergantungan pada memo
konfigurasi keamanan cloud otomatis
Asset and Liability kredit dan analisis 4. UMK 6. Korporasi/Komersial:
Committee (ALCO). • bergantung pada penilaian • kriteria penerimaan yang • penggunaan credit scoring untuk 7. Proses risiko operasional: penerapan
individu. didefinisikan dengan jelas underwriting alat mutakhir untuk berbagai risiko
6.Proses penagihan: terdapat • meminimalkan unsur manusia • strategi sektor portofolio yang operasional (fraud dan lain-lain)
beberapa alat bantu penagihan dari penilaian berkualitas baik termasuk analisis
dan standarisasi yang dibuat untuk • penggunaan verifikasi input berkualitas tinggi
mendukung proses penagihan. data
• penggunaan a-score untuk
penjaminan emisi
1. Terdapat beberapa proses 1. Terdapat kebijakan dan 1. Terdapat kebijakan dan prosedur 1. Terdapat proses dan kontrol risiko 1. Terdapat proses dan kontrol risiko yang
dan kontrol risiko, namun prosedur formal untuk formal untuk mengatur proses yang bersifat formal, dimuat dalam bersifat formal, dimuat dalam
belum formal mengatur proses kebijakan/prosedur MR dan prosedur kebijakan/prosedur MR dan prosedur
pengendalian risiko dan sebagian
pengendalian risiko namun pendukungnya** pendukungnya**
besar kontrol telah diformalkan ke
belum semua kontrol risiko
sudah diformalkan ke dalam dalam kebijakan/prosedur baku 2. Terdapat harmonisasi/integrasi 2. Terdapat harmonisasi/integrasi
kebijakan/prosedur baku kebijakan, standar, dan prosedur kebijakan, standar, dan prosedur risiko
2. Tidak semua kebijakan, prosedur, risiko dengan proses bisnis yang ada, dengan proses bisnis yang ada, dan
dan secara efektif telah secara efektif telah dikomunikasikan ke
dan pengendalian risiko telah
dikomunikasikan ke seluruh lini seluruh lini Perusahaan, termasuk
terharmonisasi/terintegrasi dengan prosedur yang diturunkan ke dalam
Perusahaan, termasuk prosedur yang
proses bisnis yang ada* sehingga diturunkan ke dalam Unit Bisnis Unit Bisnis tertentu/anak perusahaan
komunikasi danyang
Fase Praktik penerapannya
Baik tertentu/anak perusahaan
kurang efektif 3. Pengendalian risiko minimal mencakup
3. Pengendalian risiko minimal metode untuk mengendalikan risiko
mencakup metode untuk keberlangsungan bisnis, serta
3. Harga (Pricing) harus dibuat pada mempertimbangkan eksposur risiko
mengendalikan risiko
tingkat kontrak. Harga yang tepat keberlangsungan bisnis, serta dan selera risiko perusahaan
harus mencakup kerugian yang mempertimbangkan eksposur risiko
4. Harga (Pricing) harus dibuat pada
diharapkan (diperkirakan sebagai danFase Praktik
selera yang
risiko perusahaan
tingkat kontrak. Harga yang tepat
produk dari frekuensi risiko dan Lebih Baik Fase Praktik Terbaik
4. Harga (Pricing) harus dibuat pada harus mencakup kerugian yang
tingkat dampak, dimodelkan tingkat kontrak. Harga yang tepat diharapkan (diperkirakan sebagai
secara independen dengan regresi harus mencakup kerugian yang produk dari frekuensi risiko dan tingkat
non-linear), biaya akuisisi nasabah, diharapkan (diperkirakan sebagai dampak, dimodelkan secara
biaya penjaminan, dan margin. produk dari frekuensi risiko dan independen dengan regresi non-
Harga minimum dan target harus tingkat dampak, dimodelkan secara linear), biaya akuisisi nasabah, biaya
independen dengan regresi non- penjaminan, dan margin. Harga
ditentukan.
linear), biaya akuisisi nasabah, biaya minimum dan target harus ditentukan.
penjaminan, dan margin. Harga
5. Terdapat perhitungan Risk Based
minimum dan target harus
Minimum Capital (RBMC) dengan
ditentukan.
Keterangan prosedur yang ditentukan OJK. Risiko
5. Terdapat perhitungan Risk Based asuransi dihitung sebagai selisih antara
* misal kebijakan kontrol sudah formal tetapi terpisah Minimum Capital (RBMC) dengan PR3 pada tingkat keyakinan 95%
prosedur yang ditentukan OJK. Risiko dengan PR menurut laporan posisi
Termasuk:
asuransi dihitung sebagai selisih keuangan. Risiko lainnya dihitung
• Prosedur risiko yang diterapkan pada setiap proses bisnis yang berkaitan dengan risiko-risiko material
antara PR3 pada tingkat keyakinan berdasarkan nilai neraca dikalikan
Perusahaan
** • Terdapat pemodelan proses/dokumentasi proses yang tepat
95% dengan PR menurut laporan dengan faktor yang disetujui oleh OJK.
posisi keuangan. Risiko lainnya
• Mitigasi/pengendalian risiko diidentifikasi dalam proses (misal terdapat pelatihan kebijakan yang bersifat 6. Telah ada database yang mudah
dihitung berdasarkan nilai neraca
wajib sebelum melakukan kegiatan bisnis berisiko tinggi), termasuk setiap kegiatan self-assurance. diakses dan terpusat untuk SOP terbaru
dikalikan dengan faktor yang
(misal intranet, solusi manajemen SOP,
disetujui oleh OJK.
kontrol dokumen)
RAHASIA DAN TERBATAS | HALAMAN 94
b.
Sub Dimensi Kebijakan dan Prosedur (Industri Asuransi) 2/2
Parameter : 27. Kebijakan dan/atau prosedur terkait proses dan kontrol risiko
1. Telah ada beberapa proses, 1. Telah ada prosedur formal 1. Telah ada proses dan kontrol risiko 1. Prosedur risiko dan standar 1. Prosedur risiko dan standar
kontrol risiko dan kebijakan untuk memitigasi risiko penting untuk setiap elemen dalam pendukungnya secara efektif pendukungnya secara efektif tertanam
serta prosedur untuk yang dikomunikasikan ke kerangka ERM yang bersifat formal tertanam dan diterapkan di dan diterapkan di Perusahaan*
Perusahaan*
memitigasi risiko yang seluruh lini perusahaan, namun yang telah dikomunikasikan ke
2. Kontrol risiko memuat metode untuk
informal atau belum belum semua kontrol risiko seluruh lini perusahaan. 2. Kontrol risiko memuat metode untuk mengontrol risiko keberlangsungan
disahkan diformalkan dalam bentuk
Fase Praktik yang Baik
mengontrol risiko keberlangsungan bisnis dan mempertimbangkan
prosedur baku 2. Kontrol risiko sekurang-kurangnya Fase Praktik yang eksposur risiko dan selera risiko
bisnis dan mempertimbangkan
memuat metode untuk mengontrol eksposur Lebih
risikoBaik
dan selera risiko perusahaan, termasuk titik pemicu
risiko keberlangsungan bisnis, dan perusahaan, termasuk titik pemicu (trigger point) yang didefinisikan
mempertimbangkan eksposur risiko (trigger point) yang didefinisikan sebelumnya untuk pelaksanaan
sebelumnya untuk pelaksanaan prosedur kontingensi
dan selera risiko perusahaan
prosedur kontingensi
Fase
3. Telah Praktik
ada Terbaikdan prosedur
kebijakan
3. Telah ada kebijakan dan prosedur untuk melindungi informasi digital**
untuk melindungi informasi digital**
4. Kebijakan dan prosedur risiko
diimplementasikan secara efektif, dan
keefektifannya dikaji secara periodik
melalui kegiatan yang
terdokumentasi***
Keterangan
5. Keefektifan didukung oleh bukti kinerja
Prosedur risiko dan standar pendukungnya secara efektif tertanam dan diterapkan di perusahaan, termasuk: penurunan/pemertahanan jumlah
o Prosedur risiko yang diterapkan pada setiap proses bisnis yang berkaitan dengan risiko-risiko material perusahaan kasus dan kerugian yang disebabkan
* o Telah ada pemodelan proses/dokumentasi proses yang tepat oleh kebocoran data secara year-on-
o Mitigasi/pengendalian risiko diidentifikasi dalam proses (misal terdapat pelatihan kebijakan yang bersifat wajib sebelum melakukan kegiatan bisnis berisiko year.
tinggi), termasuk setiap kegiatan self-assurance
Telah ada kebijakan dan prosedur untuk melindungi informasi digital dari akses oleh pihak yang tidak berwenang, kerusakan data, atau pencurian data di
** seluruh siklus pengolahan data, yang mencakup setiap aspek keamanan informasi mulai dari keamanan fisik perangkat keras dan perangkat penyimpanan
hingga aplikasi administrasi dan kontrol akses, kebijakan dan prosedur organisasi
Kebijakan dan prosedur risiko diimplementasikan secara efektif, dan keefektifannya dikaji secara periodik melalui kegiatan yang terdokumentasi. Penilaian
keefektifan pelaksanaan prosedur dan pengendalian dapat mencakup:
o Identifikasi pegawai utama yang bertanggung jawab/mampu mengoperasikan prosedur dan pengendalian
*** o Evaluasi desain pengendalian (misal pengujian langsung, lokakarya) dan analisis kegagalan pengendalian untuk memitigasi risiko
o Peninjauan laporan audit untuk mengetahui adanya kekurangan prosedur
o Identifikasi KPI untuk pemantauan keefektifan proses/prosedur yang sedang berlangsung (outcome-based)
1. Belum ada kebijakan dan 1. Terdapat kebijakan mitigasi 1. Terdapat kebijakan mitigasi 1. Terdapat kebijakan untuk memitigasi 1. Terdapat kebijakan untuk memitigasi
prosedur mitigasi peristiwa peristiwa risiko penting yang peristiwa risiko penting yang peristiwa-peristiwa risiko penting yang peristiwa-peristiwa risiko penting yang
risiko penting yang diformalkan dalam kebijakan/ diformalkan dalam kebijakan/ diformalkan dalam kebijakan/prosedur
diformalkan dalam kebijakan/
diformalkan dalam prosedur baku prosedur baku baku,
prosedur baku
kebijakan / prosedur baku
2. Standar dan prosedur 2. Kebijakan mencakup risiko kebocoran 2. Kebijakan mencakup risiko kebocoran
2. Terdapat prosedur informal pendukung belum disediakan 2. Kebijakan mencakup risiko data klien data klien
yang didasarkan oleh untuk memberikan panduan Fase Praktik
kebocoran yang
data klienBaik 3. Kebijakan, standar, dan prosedur 3. Kebijakan, standar, dan prosedur
perencanaan ad-hoc/ implementasi proses yang
tersebut mendefinisikan peran dan tersebut mendefinisikan peran dan
analisis post-mortem jelas 3. Kebijakan, standar, dan prosedur tanggung jawab jabatan serta tanggung jawab jabatan serta
peristiwa risiko yang sudah
3. Kebijakan belum mencakup menjelaskan peran dan tanggung memberikan panduan dan proses memberikan panduan dan proses yang
terjadi sebelumnya
risiko kebocoran data klien jawab jabatan serta memberikan yang jelas mengenai cara jelas mengenai cara penanganan
Fase Praktik yang
penanganan kebocoran data* kebocoran data
panduan dan proses yang jelas
Lebih Baik
mengenai cara penanganan 4. Terdapat kebijakan dan prosedur 4. Terdapat kebijakan dan prosedur untuk
kebocoran data* untuk melindungi informasi digital dari melindungi informasi digital dari akses
akses oleh pihak yang tidak oleh pihak yang tidak berwenang,
berwenang, kerusakan data, atau kerusakan data, atau pencurian data
pencurian data di seluruh siklus di seluruh siklus pengolahan data, yang
pengolahan data, mencakup setiap Fase Praktik
mencakup setiap Terbaik
aspek keamanan
aspek keamanan informasi mulai dari informasi mulai dari keamanan fisik
keamanan fisik perangkat keras dan perangkat keras dan perangkat
perangkat penyimpanan hingga penyimpanan hingga aplikasi
aplikasi administrasi dan kontrol akses, administrasi dan kontrol akses,
kebijakan dan prosedur organisasi kebijakan dan prosedur organisasi
5. Keefektifan didukung oleh bukti kinerja
penurunan/pemertahanan jumlah kasus
dan kerugian yang disebabkan oleh
kebocoran data secara year-on-year
6. Kebijakan/prosedur Manajemen Risiko
dilengkapi dengan standar dan
prosedur pendukungnya
diimplementasikan secara efektif serta
keefektifannya ditinjau secara periodik
melalui kegiatan yang terdokumentasi
Keterangan
7. Dilakukan benchmarking secara
Contoh: apa yang harus dievaluasi oleh fungsi legal, kapan harus mempublikasikan kebocoran tersebut dan periodik untuk perbaikan kebijakan,
* kapan perlu bekerja sama dengan pihak berwenang secara tertutup, dan sebagainya) prosedur, dan standar
1. Perusahaan belum memiliki 1. Telah ada rencana kontingensi 1. Rencana kontingensi disusun 1. Rencana kontingensi disusun melebihi 1. Rencana kontingensi disusun melebihi
rencana keberlangsungan namun hanya untuk memenuhi melebihi kriteria yang kriteria yang diprasyaratkan regulator kriteria yang diprasyaratkan regulator
bisnis dan rencana persyaratan minimum regulator diprasyaratkan regulator
kontingensi dalam bentuk 2. Telah ada rencana yang dapat 2. Telah ada rencana yang dapat
kebijakan 2. Rencana belum bisa 2. Telah ada rencana yang dapat ditindaklanjuti (langkah-langkah ditindaklanjuti (langkah-langkah
ditindaklanjuti (misal rencana ditindaklanjuti (langkah-langkah tindakan, dengan trigger point, nilai tindakan, dengan trigger point, nilai
2. Telah ada kerangka bersifat umum, tanpa trigger Fase Praktik
tindakan, denganyang Baik point,
trigger ambang batas, serta langkah yang ambang batas, serta langkah yang
rencana keberlangsungan point dan nilai ambang batas) nilai ambang batas, serta langkah harus dilakukan) terkait harus dilakukan) terkait
bisnis/kontingensi secara yang harus dilakukan) terkait keberlangsungan bisnis dan keberlangsungan bisnis dan
3. Tanggung jawab belum keberlangsungan bisnis dan
Fase Praktik yang
manajemen krisis manajemen krisis
informal.
ditetapkan dengan jelas (misal Lebih Baik
manajemen krisis
bentuk rantai komando dalam 3. Telah ada dokumentasi* 3. Telah ada dokumentasi*
keadaan krisis) 3. Telah ada dokumentasi*
4. Dilakukan pengujian terhadap 4. Dilakukan pengujian terhadap rencana
rencana keberlangsungan bisnis dan Fase Praktik Terbaik
keberlangsungan bisnis dan
manajemen krisis secara berkala manajemen krisis secara berkala (misal
(misal satu kali dalam setahun) yang setahun dua kali) yang melibatkan
melibatkan manajemen senior untuk manajemen senior untuk mereviu,
mereviu, mengkritisi dan memperbaiki mengkritisi dan memperbaiki
kualitasnya** kualitasnya**
Keterangan
5. Setiap pemangku kepentingan
Telah ada dokumentasi mengenai: (termasuk Unit Bisnis) memahami dan
* o Rencana manajemen krisis (alur rantai komando dalam kondisi krisis, proses untuk menangani tugas-tugas utama) menerima peran dan tanggung
o Rencana kontingensi kas/likuiditas)
jawabnya dalam kondisi krisis melalui
change management***
Contohnya:
o Telah ada simulasi kejadian krisis yang dilakukan tahunan
6. Rencana keberlangsungan bisnis
** o Telah ada pengujian rencana kontingensi oleh pihak independen (misal audit ISO 22301:2019)
pernah diterapkan dengan baik pada
o Rencana Business Continuity Management (BCM) ditingkatkan secara berkala berdasarkan praktik terbaik terbaru
o Tinjauan post-mortem atas simulasi dan penggabungan pembelajaran kejadian-kejadian krisis di masa
lampau
Contohnya:
o Jajaran pimpinan telah dilatih tentang manajemen keberlangsungan bisnis
*** o Tim operasional menerima pelatihan manajemen keberlangsungan bisnis
o Rencana keberlangsungan bisnis tingkat fungsi diadaptasi berdasarkan rencana keberlangsungan bisnis tingkat perusahaan
o Manajemen keberlangsungan bisnis untuk setiap lini didefinisikan dan diimplementasikan (model operasi krisis)
1 Ringkasan 2 Gambaran umum 3 Strategi rencana aksi/ recovery plan, opsi 4 Pengungkapan rencana aksi / recovery plan
eksekutif perusahaan pemulihan serta opsi resolusi disampaikan kepada pihak internal dan pihak eksternal
Rencana darurat (contingency plan) tersebut wajib mendapatkan persetujuan dari Dewan Komisaris/Dewan Pengawas dan memperoleh pengesahan dari pemegang
saham pengendalli.
Contingency Actions
Business As Usual
Recovery Plan Resolusi Plan
Manajemen risiko yang Memitigasi situasi yang buruk atau mencegah terjadinya krisis: Memitigasi krisis dan melakukan recovery:
berkelanjutan: Memitigasi potensi situasi krisis menggunakan langkah-langkah Menstabilkan kondisi perusahaan pada saat kejadian krisis
Identifikasi dan mitigasi risiko- contingency dengan memonitor indikator-indikator recovery dan
risiko utama menerapkan opsi-opsi recovery.
INDIKATOR CONTIGENCY
RAHASIA DAN TERBATAS | HALAMAN 99
b.
Sub Dimensi Kebijakan dan Prosedur
Parameter : 30. Reviu dan Stress test terhadap prosedur dan SOP
1. Sesi reviu terhadap 1. Reviu informal atau parsial 1. Reviu dan stress test rutin (misal 1. Reviu dan stress test rutin dilakukan 1. Reviu dan stress test rutin dilakukan
prosedur dan SOP dilakukan sesuai waktu atau tahunan) dilakukan pada sebagian secara tahunan pada sebagian besar secara tahunan pada sebagian besar
dilaksanakan secara ad- persyaratan regulator. prosedur dan SOP utama terkait prosedur dan SOP utama terkait risiko prosedur dan SOP utama terkait risiko
risiko utama perusahaan, dengan
hoc dan frekuensi yang 2. Belum dilakukan stress test utama perusahaan, dengan utama perusahaan, dengan identifikasi
identifikasi area perbaikan.
kurang rutin (misal 2-3 tahun pada prosedur dan SOP. Fase Praktik yang Baik identifikasi area perbaikan.
Fase Praktik yang area perbaikan.
sekali) 2. Manajemen senior terlibat aktif Lebih Baik
3. Reviu prosedur dilakukan di dalam reviu dan kritik, meskipun 2. Manajemen senior terlibat aktif dalam 2. Manajemen senior terlibat aktif dalam
tingkat unit kerja, dengan sebagian besar pelaksanaannya
keterlibatan terbatas dari reviu dan kritik melalui stress test reviu dan kritik melalui stress test
dilakukan oleh unit kerja.
manajemen senior. setidaknya sekali dalam setahun, setidaknya sekali dalam setahun,
termasuk dalam simulasi krisis dan termasuk dalam simulasi krisis dan
analisis root-cause. Fase
analisis Praktik Terbaik
root-cause.
3. Dilakukan perbaikan
berkesinambungan pada prosedur,
benchmarking terhadap praktik terbaik,
dan sosialisasi di seluruh lini perusahaan
sepanjang waktu.
Stress Test
Merujuk Pada Juknis Pelaporan SK-7 Halaman 33-34
1. Departemen kepatuhan 1. Departemen kepatuhan telah 1. Proses kepatuhan terpisah dari 1. Proses kepatuhan terpisah dari bisnis 1. Proses kepatuhan terpisah dari bisnis
belum dibentuk secara dibentuk secara formal. proses bisnis sehari-hari, dengan sehari-hari, dengan proses khusus sehari-hari, dengan proses kaji
adanya proses khusus untuk kaji ulang/reviu terpisah.
formal dan independen, untuk kaji ulang/reviu.
ulang/reviu, berfokus pada
tetapi telah ada dalam 2. Beberapa kasus menunjukkan 2. Telah terjadi pemisahan yang jelas
pemenuhan persyaratan
bentuk unit kerja. bahwa proses kepatuhan 2. Telah terjadi pemisahan yang jelas antara peran dan tanggung jawab
regulator.
belum terpisah secara jelas dari antara peran dan tanggung jawab divisi risiko (khususnya risiko operasional),
2. Sebagian besar proses proses bisnis sehari-hari, tanpa Fase Praktik yang Baik divisi risiko (khususnya risiko
2. Telah terjadi pemisahan yang kepatuhan, dan audit*
kepatuhan belum terpisah proses khusus untuk kaji ulang jelas antara peran dan Fase Praktik
operasional), yang dan audit*
kepatuhan,
tanggung jawab divisi risiko Lebih Baik 3. Kegiatan kepatuhan berfokus pada
secara jelas dari proses atau reviu.
(khususnya risiko operasional), 3. Kegiatan kepatuhan berfokus pada pemenuhan kebijakan perusahaan,
bisnis sehari-hari, misalnya
3. Pemisahan yang jelas antara kepatuhan, dan audit* kebijakan perusahaan, bukan hanya bukan hanya persyaratan regulator.
tidak ada proses khusus
untuk kaji ulang atau reviu. divisi risiko (terutama risiko persyaratan regulator. 4. Pendekatan bottom-up digunakan
operasional), kepatuhan, dan untuk memeriksa pemenuhan
audit belum terwujud. 4. Pendekatan bottom-up digunakan persyaratan kepatuhan terhadap
untuk memeriksa pemenuhan regulator dan praktik industri terbaik**
persyaratan kepatuhan terhadap
regulator dan praktik industri terbaik** 5. Keterkaitan harmonis antara proses
Fase Praktik Terbaik
risiko operasional, kepatuhan, dan
audit, termasuk identifikasi, penilaian,
pengelolaan limit risiko, serta
pemanfaatan taksonomi risiko dan
sistem informasi umum.
1. Telah ada konsep ERM 1. Perusahaan memiliki kerangka 1. Perusahaan memiliki kerangka 1. Kerangka ERM perusahaan 1. Kerangka ERM perusahaan memenuhi
informal yang mencakup ERM dengan sejumlah langkah ERM yang mencakup semua memenuhi standar internasional standar internasional seperti ISO
MR, namun belum memenuhi langkah MR dan memenuhi 31000:2018.
sejumlah langkah MR seperti ISO 31000:2018.
standar internasional. standar internasional seperti ISO
namun belum 2. Kerangka ERM direview dan disesuaikan
31000:2018.
didokumentasikan 2. Terdapat inisiatif transformasi 2. Kerangka ERM direview dan rutin (minimal satu kali setahun)
sepenuhnya di perusahaan kerangka ERM perusahaan 2. Kerangka ERM belum direview dan disesuaikan secara rutin/tiap tahun
Fase Praktiksecara
yang rutin
Baik(misal 3. Perusahaan memiliki rencana
(misal belum diformalkan agar sesuai dengan Standar disesuaikan
transformasi ERM yang mendetail,
internasional, seperti ISO setiap tahun) 3. Perusahaan memiliki rencana
dalam bentuk kebijakan termasuk lini masa, kebutuhan sumber
31000:2018. transformasi ERM yang mendetail,
Manajemen Risiko) 3. Terdapat kerangka transformasi daya, pengawasan program, dan
ERM, namun hanya untuk Fase Praktik
mencakup yang
lini masa, kebutuhan lainnya.
memenuhi persyaratan regulator. Lebih Baik
sumber daya, pengawasan
4. Transformasi ERM perusahaan
program, dan lainnya. melibatkan inisiatif yang melampaui
persyaratan regulator, menjadi bagian
4. Transformasi ERM perusahaan dari perbaikan berkelanjutan
melibatkan inisiatif yang melampaui
5. Tim Fase Praktik
khusus Terbaik jawab atas
bertanggung
persyaratan regulator, menjadi
pelaksanaan dan kesuksesan rencana
bagian dari perbaikan berkelanjutan. transformasi, dengan keterlibatan Unit
Bisnis dan fungsi lainnya dalam
perancangan dan pelaksanaan
tahapannya.
6. Hasil penilaian benchmarking dilakukan
terhadap praktik terbaik global/
eksternal, mengidentifikasi kesenjangan
dan area yang perlu ditingkatkan,
dengan bukti penyesuaian kerangka
ERM berdasarkan hasil analisis.
7. Fokus ERM bergeser dari "kepatuhan" ke
"value capture”.
1. Penerapan risiko masih 1. Telah ada kontrol risiko di 1. Telah ada kebijakan yang jelas 1. Dilakukan pemonitoran terhadap 1. Dilakukan optimalisasi tata kelola,
pada tahap awal; hanya sebagian besar bidang/unit, dan terdokumentasi Struktur, proses, dan kontrol risiko struktur, proses, dan kontrol di seluruh
khusus di bidang/unit/ namun belum ada standar mendefinisikan organisasi risiko, dimensi sesuai dengan acuan praktik
umum dan formal peran dan tanggung jawab terbaik (misal dibentuk Model Tata
proses tertentu dengan 2. Dilakukan pengawasan terhadap
Kelola Risiko Tiga Lini di seluruh divisi
risiko inheren tinggi 2. Penanganan masalah secara deviasi secara rutin (min. sekali bisnis termasuk anak perusahaan)
ad-hoc/kasus per kasus 2. Fase Praktik
Proses yangrisiko
dan kontrol Baikditerapkan setahun) dan ditangani, serta pada
sesuai kebijakan yang merujuk Fase Praktik yang
3. Sangat bergantung pada pada standar tertentu, namun area berisiko tinggi dilakukan 2. Ada penilaian benchmarking terhadap
Lebih Baik
tindakan preventif
pengetahuan individu tidak dilakukan pemantauan praktik terbaik global/eksternal untuk
kepatuhannya secara berkala Fase Praktik
identifikasi Terbaikdan area yang
kesenjangan
3. Dilakukan tindakan korektif terhadap perlu ditingkatkan, serta bukti
struktur/proses yang kurang efektif penyesuaian kerangka ERM yang telah
untuk menangani area-area yang dilakukan berdasarkan hasil analisis
masih perlu ditingkatkan
3. Menerapkan otomatisasi/digitalisasi
dan Advanced Analytics secara
sistematis
1. Penerapan risiko masih 1. Telah ada kontrol risiko di 1. Telah ada kebijakan yang jelas 1. Dilakukan pemonitoran terhadap 1. Dilakukan optimalisasi tata kelola,
pada tahap awal; hanya sebagian besar bidang/unit, mendefinisikan organisasi risiko, Struktur, proses, dan kontrol risiko struktur, proses, dan kontrol di seluruh
khusus di bidang/unit/ namun belum ada standar peran dan tanggung jawab dimensi sesuai dengan acuan praktik
umum dan formal didefinisikan dan terbaik (misal dibentuk Model Tata
proses tertentu dengan risiko Fase Praktik yang Baik 2. Dilakukan pengawasan terhadap
didokumentasikan Kelola Risiko Tiga Lini di seluruh divisi
inheren tinggi 2. Penanganan masalah secara deviasi secara rutin (min. sekali bisnis termasuk anak perusahaan)
ad-hoc/kasus per kasus 2. Proses dan kontrol risiko diterapkan setahun)
Fase dan ditangani,
Praktik yang serta pada
sesuai kebijakan yang merujuk area berisiko
3. Sangat bergantung pada Lebih Baik dilakukan
tinggi 2. Ada penilaian benchmarking terhadap
pada standar, namun tidak tindakan preventif Faseterbaik
Praktikglobal/eksternal
Terbaik
pengetahuan individu dimonitor kepatuhannya praktik untuk
identifikasi kesenjangan dan area yang
3. Dilakukan tindakan korektif terhadap perlu ditingkatkan, serta bukti
struktur/proses yang kurang efektif penyesuaian kerangka ERM yang telah
untuk menangani area-area dilakukan berdasarkan hasil analisis
kelemahan
3. Menerapkan otomatisasi/digitalisasi
dan Advanced Analytics secara
sistematis
1.Struktur organisasi BUMN 1. Struktur organisasi BUMN yang 1.Struktur organisasi BUMN yang jelas. 1.Struktur organisasi BUMN yang jelas. 1.Struktur organisasi BUMN yang jelas.
yang jelas. jelas. 2.Jalur pelaporan dan pemisahan fungsi 2.Jalur pelaporan dan pemisahan fungsi dari 2.Jalur pelaporan dan pemisahan fungsi dari
2.Jalur pelaporan dan 2. Jalur pelaporan dan pemisahan dari Lini Pertama ke Lini Kedua telah Lini Pertama ke Lini Kedua telah ditetapkan. Lini Pertama ke Lini Kedua telah ditetapkan.
pemisahan fungsi dari Lini fungsi dari Lini Pertama ke Lini ditetapkan. 3.Prosedur cukup untuk memastikan 3.Prosedur cukup untuk memastikan
Pertama ke Lini Kedua Kedua telah ditetapkan. 3.Prosedur cukup untuk memastikan kepatuhan BUMN terhadap peraturan kepatuhan BUMN terhadap peraturan
telah ditetapkan. 3. Prosedur cukup untuk kepatuhan BUMN terhadap peraturan perundang-undangan. perundang-undangan.
3.Prosedur cukup untuk memastikan kepatuhan BUMN perundang-undangan. 4.Sistem pengendalian intern sesuai dengan 4.Sistem pengendalian intern sesuai dengan
memastikan kepatuhan terhadap peraturan perundang- 4.Sistem pengendalian intern sesuai jenis dan tingkat risiko. jenis dan tingkat risiko.
BUMN terhadap peraturan undangan. dengan jenis dan tingkat risiko.
perundang-undangan. 5.Wewenang dan tanggung jawab telah 5.Wewenang dan tanggung jawab telah
4. Sistem pengendalian intern 5.Wewenang dan tanggung jawab telah ditetapkan untuk pemantauan kepatuhan ditetapkan untuk pemantauan kepatuhan
4.Belum ada sistem sesuai dengan jenis dan tingkat ditetapkan untuk pemantauan
risiko. kebijakan, prosedur MR, penetapan strategi kebijakan, prosedur MR, penetapan strategi
pengendalian intern sesuai kepatuhan kebijakan, prosedur MR,
dengan jenis dan tingkat Risiko dan pelaksanaannya telah dilakukan Risiko dan pelaksanaannya telah dilakukan
5. Wewenang dan tanggung penetapan strategi Risiko dan
risiko. secara optimal secara optimal
jawab telah ditetapkan untuk pelaksanaannya telah dilakukan secara
5.Wewenang dan pemantauan kepatuhan optimal 6.Dokumentasi telah lengkap dan memadai 6.Dokumentasi telah lengkap dan memadai
tanggung jawab belum kebijakan, prosedur MR, dan 6.Dokumentasi telah lengkap dan terkait prosedur operasional, cakupan, terkait prosedur operasional, cakupan,
a untuk
ditetapkan penetapan strategi Risiko. memadai terkait prosedur operasional, temuan audit, dan tanggapan Direksi. temuan audit, dan tanggapan Direksi.
pemantauan kepatuhan 6. Dokumentasi belum lengkap cakupan, temuan audit, dan tanggapan
kebijakan, prosedur MR, terkait prosedur operasional, Direksi. Fase
7.Pelaporan Praktik yang
keuangan dan operasional telah 7.Pelaporan keuangan dan operasional telah
aaaaaaa Fase Praktik yang Baik Fasetepat
Praktik Terbaik
dan penetapan strategi cakupan, temuan audit, dan akurat dan tepat
Lebihwaktu.
Baik akurat dan waktu.
Risiko. 7.Pelaporan keuangan dan operasional
tanggapan Direksi. telah akurat dan tepat waktu. 8.Telah dilakukan kaji ulang atau reviu efektif, 8.Telah dilakukan kaji ulang atau reviu efektif,
6.Dokumentasi belum 7. Pelaporan keuangan dan independen, dan objektif terhadap independen, dan objektif terhadap
lengkap terkait prosedur 8.Telah dilakukan kaji ulang atau reviu
operasional belum akurat dan prosedur penilaian kegiatan operasional, prosedur penilaian kegiatan operasional,
operasional, cakupan, efektif, independen, dan objektif
tepat waktu. terhadap prosedur penilaian kegiatan sistem informasi MR dan penanganan sistem informasi MR dan penanganan
temuan audit, dan
8. Telah dilakukan kaji ulang atau operasional, sistem informasi MR dan kelemahan BUMN yang bersifat material. kelemahan BUMN yang bersifat material. Kaji
tanggapan Direksi.
reviu efektif, independen, dan penanganan kelemahan BUMN yang Kaji ulang dilakukan secara berkala dan ulang dilakukan secara berkala dan
7.Pelaporan keuangan dan objektif terhadap prosedur bersifat material. Kaji ulang dilakukan berkesinambungan. berkesinambungan.
operasional belum akurat penilaian kegiatan operasional. secara berkala dan berkesinambungan.
dan tepat waktu. 9.Pengujian dan kaji ulang atau reviu 9.Pengujian dan kaji ulang atau reviu
9. Pengujian dan kaji ulang atau 9.Pengujian dan kaji ulang atau reviu
8.Telah dikaji ulang atau memadai terhadap sistem informasi MR. memadai terhadap sistem informasi MR.
reviu memadai terhadap sistem memadai terhadap sistem informasi MR.
reviu yang efektif, informasi MR. 10.Telah dilakukan verifikasi dan kaji 10.Telah dilakukan verifikasi dan kaji
10.Telah dilakukan verifikasi dan kaji
independen, dan objektif ulang/reviu berkala dan berkesinambungan ulang/reviu berkala dan berkesinambungan
10. Telah dilakukan verifikasi dan ulang/reviu berkala dan
terhadap prosedur terhadap penanganan kelemahan BUMN
kaji ulang/reviu berkala dan berkesinambungan terhadap terhadap penanganan kelemahan BUMN
penilaian kegiatan yang bersifat material dan tindakan Direksi
berkesinambungan terhadap penanganan kelemahan BUMN yang yang bersifat material dan tindakan Direksi
untuk memperbaiki penyimpangan yang
operasional BUMN penanganan kelemahan BUMN bersifat material dan tindakan Direksi untuk memperbaiki penyimpangan yang
terjadi.
yang bersifat material dan untuk memperbaiki penyimpangan yang
11.Tindaklanjut atas hasil kaji ulang/reviu telah terjadi.
tindakan Direksi untuk terjadi.
memperbaiki penyimpangan selesai dilakukan dan terdapat 11.Tindaklanjut atas hasil kaji ulang/reviu telah
11.Tindaklanjut atas hasil kaji ulang/reviu
yang terjadi. dokumentasi atas tindak lanjut. selesai dilakukan dan terdapat dokumentasi
telah selesai dilakukan sebagian dan
Penyelesaian tindak lanjut 100%.
11. Belum dilakukan tindaklanjut terdapat dokumentasi atas tindak lanjut atas tindak lanjut. Penyelesaian tindak lanjut
atas hasil kaji ulang/reviu. 100%RAHASIA
minimalDAN TERBATAS
3 tahun | HALAMAN 106
terakhir.
Jumat, 8 Maret 2024
Mulai Durasi Modul
08.00-08.30 30’ Registrasi
08.30-08.40 10’ Pembukaan
SCHEDULE
08.40-09.00 20’ Overview Penilaian RMI
09.00-09.10 10’ Foto Bersama
PELATIHAN 09.10-09.40 30’ Penilaian Index Kematangan Risiko
09.40-10.40 60’ Budaya dan Kapabilitas Risiko
PENILAIAN RMI 10.40-11.40 60’ Organisasi dan Tata Kelola Risiko
STRICTLY C O N F I D E N T I A L
Dimensi Proses dan Kontrol Risiko
Sub-Dimensi: Identifikasi Risiko
34 Paramater 34. Identifikasi Risiko utama
Belum dilakukan 1. Sudah ada taksonomi risiko 1. Terdapat taksonomi risiko yang terhubung 1. Terdapat taksonomi risiko 1. Telah ada taksonomi risiko
standardisasi taksonomi yang mencakup risiko dasar, dengan bisnis, dan mencakup risiko-risiko integrasian yang terhubung dengan integrasian yang terhubung
termasuk regulasi dan dasar dan risiko kompleks, serta mencakup bisnis, dan mencakup risiko dasar dengan bisnis, dan mencakup
dan belum dilakukan
keuangan risiko yang akan muncul (emerging risk) dan risiko kompleks, serta risiko-risiko dasar dan risiko
formulasi dalam kompleks, serta mencakup risiko
mencakup risiko yang akan muncul
kebijakan pusat 2. Taksonomi risiko belum 2. Taksonomi risiko belum diterapkan secara (emerging risk) termasuk risiko-risiko yang akan muncul (emerging risk)
diterapkan konsisten di konsisten di ketiga lini/anak perusahaan masa depan (forward-looking risks) termasuk risiko-risiko masa depan
ketiga lini/anper, potensi (jika
Faserelevan),
Praktik potensi
yang Baik terdapat pemetaan (misal ESG, siber) (forward-looking risks) (misal ESG,
terdapat pemetaan taksonomi risiko yang berbeda siber)
taksonomi risiko yang 2. Taksonomi risiko secara konsisten
berbeda. 3. Terdapat metodologi identifikasi risiko yang 2. Taksonomi risiko secara konsisten
diterapkan di ketiga lini, serta
mempertimbangkan risiko pada proses diterapkan di ketiga lini, serta
terdapat kerangka dan sistem
3. Telah ada proses identifikasi bisnis BUMN dan target risiko residual terdapat kerangka dan sistem
Manajemen Risiko Perusahaan yang
risiko dengan pendekatan secara bottom-up dan top-down, yang Manajemen Risiko Perusahaan
komprehensif *
bottom-up, yang biasanya dilakukan di setiap triwulan yang komprehensif *
Fase Praktik yang
mempertimbangkan risiko
3. Taksonomi risiko
Lebih Baiksecara konsisten
pada proses bisnis di BUMN 4. Dilakukan Analisa proses identifikasi risiko 3. Taksonomi risiko secara konsisten
diterapkan di seluruh Anper(jika
dan target risiko residual. *** diterapkan di seluruh anak
relevan)
perusahaan (jika
Fase Praktik relevan)
Terbaik
4. Telah ada bukti yang jelas atas
kinerja penerapan taksonomi risiko 4. Dilakukan pengkinian terhadap
Keterangan ** taksonomi risiko dan secara rutin
dikaji ulang (sekurang-kurangnya
Taksonomi risiko secara konsisten diterapkan di ketiga lini, serta terdapat kerangka dan sistem Manajemen Risiko Perusahaan
5. Terdapat metodologi identifikasi satu kali dalam setahun)****
yang komprehensif, misalnya:
❑ Telah ada pemahaman dan pemanfaatan taksonomi risiko oleh Unit Bisnis dalam keseharian kegiatan usaha (misal risiko yang mempertimbangkan
risiko-risiko pada proses bisnis BUMN 5. Telah ada bukti yang jelas atas
* pengambilan keputusan berbasis risiko)
dan target risiko residual secara kinerja penerapan taksonomi risiko
❑ Taksonomi risiko yang terkini digunakan untuk mengklasifikasikan risiko dalam risk register
bottom-up di level bisnis, dan top- **
❑ Analisis risiko (misal dalam sistem informasi manajemen) menggunakan taksonomi risiko (misal untuk integrasi risiko)
❑ Pemantauan risiko dilakukan untuk setiap taksonomi risiko down yang dipimpin tim pusat.
Identifikasi risiko dilakukan melalui 6. Telah ada metodologi identifikasi
Bukti Penerapan Taksonomi Risiko: pendekatan top-down berdasarkan risiko yang setidaknya
❑ Telah ada taksonomi risiko yang komprehensif, biasanya 2-4 level Taksonomi risiko yang terkini digunakan untuk input dari tingkat Unit Bisnis dan mempertimbangkan risiko-risiko
** mengklasifikasikan risiko dalam risk register didefinisikan di tingkat pusat yang melekat pada proses bisnis di
❑ Level taksonomi risiko di setiap jenis risiko disesuaikan dengan kebutuhan BUMN dan target risiko residual
Analisa Proses Identifikasi Risiko: secara bottom-up di level bisnis,
dan top-down yang dipimpin tim
*** ❑ Karakteristik risiko inheren BUMN
pusat. Identifikasi risiko dilakukan
❑ Risiko-risiko dari kegiatan usaha BUMN
melalui pendekatan top-down
Pengkinian terhadap taksonomi risiko dan secara rutin dikaji ulang (sekurang-kurangnya satu kali dalam setahun) guna memastikan keterkiniannya dan tetap komprehensif berdasarkan input dari tingkat Unit
terutama untuk mengetahui risiko yang muncul, misalnya melalui: Bisnis dan didefinisikan di tingkat
❑ Benchmarking eksternal terhadap risk universe untuk industri/wilayah geografis pusat
**** ❑ Tinjauan rutin (misal dua kali dalam setahun) dengan para Direksi mengenai perubahan lingkungan (misal ekonomi, politik, regulasi) yang dapat berdampak pada
taksonomi risiko
RAHASIA DAN TERBATAS | HALAMAN 110
❑ Mengadakan workshop untuk meninjau taksonomi risiko
a.
Sub Dimensi Identifikasi Risiko
Parameter : 34. Identifikasi Risiko utama
• Sasaran
Yang Perlu Menjadi Perhatian
• Strategi
• Taksonomi Risiko
• Threshold KRI
Terjadinya Eksposur
Risiko
Penilaian risiko belum 1. Telah ada penerapan metode 1. Telah ada penerapan metode 1. Telah ada penerapan metode yang 1. Telah ada penerapan metode yang
dilakukan secara rutin/ad-hoc yang bersifat umum dan kuantitatif dan kualitatif untuk berimbang antara kuantitatif dan berimbang antara kuantitatif dan
(tidak dilakukan setiap tahun) kualitatif untuk proses penilaian proses penilaian risiko (misal kualitatif untuk proses penilaian risiko* kualitatif untuk proses risiko, antara lain:
risiko terdapat kriteria kuantitatif dan a. Telah ada kriteria kuantitatif dan
kualitatif untuk penilaian 2. Telah ada evaluasi kesesuaian
metode asesmen risiko setidaknya kualitatif untuk penilaian dampak
2. Secara umum belum ada dampak), namun sebagian
setiap tahun b. Penerapan metode kualitatif
kapabilitas untuk melakukan besar penilaian masih melibatkan pengumpulan opini dari
penilaian dampak risiko secara Fase Praktik yang
menggunakan Baik
metode 3. Beberapa proses penilaian risiko pakar internal (misal lokakarya, self-
kuantitatif, meskipun telah kualitatif dilakukan secara otomatis (misal pilot assessment) dan pakar eksternal
dilakukan penilaian Kuantitatif
2. Proses Penilaian risiko masih stage) yaitu (perspektif “outside-in”)
untuk beberapa jenis risiko
bersifat manual c. Penerapan metode kuantitatif
tertentu (seperti risiko 4. Metode risiko kuantitatif dan kualitatif melibatkan penggunaan data historis
keuangan) tidak sepenuhnya
3. Penilaian risiko dilaksanakan (misal loss event database),
setiap triwulan (misal penilaian terstandardisasi/konsisten untuk dilengkapi dengan data pasar dan
3. Penilaian risiko dilaksanakan
dua kali dalam satu tahun awal dan penilaian terkini semua jenis risiko di antara Unit perkiraan forward looking lainnya
(misal penilaian awal dan setiap triwulan) Bisnis/anak perusahaan yang
berbeda 2. Telah adaPraktik
Fase evaluasi kesesuaian metode
Terbaik
penilaian terkini pertengahan Fase Praktik yang penilaian risiko secara lebih sering (lebih
tahun) Lebih Baik
5. Proses penilaian risiko telah dari sekali setiap tahun) sebagai bagian
dilaksanakan secara cukup efektif, dari peningkatan berkelanjutan dari
termasuk: proses penilaian risiko dan sebagian
Keterangan a. Penilaian dilaksanakan setidaknya besar risiko utama dapat dinilai secara
setiap triwulan (misal penilaian kuantitatif
a. Telah ada kriteria kuantitatif dan kualitatif untuk penilaian dampak awal dan penilaian terkini setiap
b. Penerapan metode kualitatif melibatkan pengumpulan opini dari pakar internal (misal lokakarya, self-
* assessment)
triwulan) 3. Banyak proses penilaian risiko dilakukan
b. Kerangka dan proses penilaian secara otomatis ***
c. Penerapan metode kuantitatif terutama melibatkan penggunaan data historis (misal loss event database )
cukup efektif untuk menilai risiko, 4. Metode penilaian risiko kuantitatif dan
a. Penilaian dilaksanakan setiap bulan walaupun masih ada realisasi kualitatif sepenuhnya
b. Kerangka dan proses penilaian cukup efektif untuk menilai risiko, walaupun masih ada realisasi dampak dampak kuantitatif dan kualitatif terstandardisasi/konsisten di seluruh jenis
kuantitatif dan kualitatif yang untuk beberapa jenis risiko yang melebihi dampak yang telah diperkirakan saat yang untuk beberapa jenis risiko
** penilaian awal tahun yang melebihi dampak yang telah
risiko di antara Unit Bisnis/anak
perusahaan yang berbeda untuk
c. Kerangka dan proses penilaian risiko telah komprehensif, sehingga hampir tidak ada realisasi peristiwa risiko diperkirakan saat penilaian awal memfasilitasi integrasi dampak risiko
signifikan yang belum dinilai pada saat penilaian awal tahun tahun
c. Kerangka dan proses penilaian 5. Proses penilaian risiko telah dilaksanakan
Proses penilaian risiko dilakukan secara otomatis, contohnya: secara efektif,**
telah dilakukan, namun masih ada
a. Batas kuantitatif/kualitatif (misal dari Risk Appetite Statement/Risk Capacity) dihubungkan ke proses penilaian
beberapa realisasi peristiwa risiko
risiko, terdapat peringatan saat limit risiko terlampaui
signifikan yang belum dinilai pada
*** b. Permintaan input data periodik otomatis (misal untuk input para ahli) atau penarikan data otomatis (misal
saat penilaian awal tahun
untuk data historis) dan perekaman data sistem untuk memfasilitasi penilaian risiko secara kuantitatif/kualitatif
c. Otomatisasi diterapkan secara rutin untuk proses penilaian risiko (misal automated cyber controls status
testing untuk infrastruktur TI)
Bagi unit kerja profit generator, dihitung sebesar potensi penurunan laba
yang hilang jika Risiko terjadi (dapat menggunakan pendekatan gross
profit, revenue dikalikan profit margin, EBITDA, atau net income).
1. Telah ada kerangka dasar 1. Telah ada kerangka dasar 1. Telah ada kerangka dasar 1. Telah ada kerangka dasar penilaian 1. Telah ada kerangka dasar penilaian
penilaian Risiko secara penilaian Risiko secara formal penilaian Risiko secara formal Risiko secara formal dalam kebijakan risiko secara formal dalam kebijakan
informal, namun belum dalam kebijakan Manajemen dalam kebijakan Manajemen Manajemen Risiko Manajemen Risiko
diikutsertakan ke dalam Risiko Risiko
2. Telah ada kerangka penilaian Risiko, 2. Telah ada kerangka penilaian Risiko,
kebijakan Manajemen
2. Telah ada kerangka penilaian 2. Telah ada kerangka penilaian yang mencakup penilaian yang mencakup penilaian
Risiko
Risiko, yang mencakup Risiko, yang mencakup penilaian kemungkinan terjadinya Risiko serta kemungkinan terjadinya risiko serta
2. Penilaian risiko belum penilaian kemungkinan kemungkinan terjadinya Risiko tingkat dampak yang dituangkan tingkat dampak yang dituangkan
dilakukan secara terjadinya Risiko serta tingkat serta tingkat dampak yang dalam bentuk risk heatmap dalam bentuk risk heatmap
rutin/ad-hoc dampak yang dituangkan dituangkan dalam bentuk risk
3. Telah dilaksanakan penilaian yang 3. Telah dilaksanakan penilaian yang
dalam bentuk risk heatmap heatmap
mempertimbangkan keefektifan mempertimbangkan keefektifan
3. Belum dilaksanakan penilaian 3. Telah dilaksanakan penilaian proses pengendalian
Fase internal
Praktik yang proses pengendalian internal
yang mempertimbangkan yang Praktik
Fase mempertimbangkan
yang Baik Lebih Baik
4. Penilaian dan prioritisasi Risiko 4. Penilaian dan prioritisasi Risiko
keefektifan proses keefektifan proses pengendalian
diimplementasikan dengan baik oleh diimplementasikan dengan baik oleh
pengendalian internal internal
Lini Pertama dan Kedua Lini Pertama dan Kedua.
4. Implementasi penilaian risiko 4. Penilaian dan prioritisasi Risiko
masih bergantung pada Lini diimplementasikan dengan baik 5. Telah terdapat perlakuan risiko 5. Fase
Telah Praktikperlakuan
terdapat Terbaik risiko
(kurangi/transfer/hindari), indikator (kurangi/transfer/hindari), indikator
Kedua dan tidak optimal oleh Lini Pertama dan Kedua
risiko utama/KRI, dan limit risiko (batas risiko utama/KRI, dan limit risiko dari
diterapkan oleh Lini Pertama
5. Penilaian risiko dilaksanakan maksimal) dari setiap risiko. setiap risiko.
5. Penilaian Risiko dilaksanakan setiap triwulan (misal penilaian
6. Telah ada prosedur formal saat 6. Telah ada prosedur formal saat
dua kali dalam satu tahun awal dan penilaian terkini setiap
peringatan muncul/limit Risiko peringatan muncul/limit Risiko
(misal penilaian awal dan triwulan)
terlampaui terlampaui
penilaian terkini pertengahan
tahun) 6. Telah terdapat perlakuan risiko
7. Telah ada proses sistematis untuk
(kurangi/transfer/ hindari),
mengidentifikasi dan menganalisis
indikator risiko utama/KRI, dan
risiko-risiko yang akan muncul
limit risiko dari setiap risiko.
(emerging risk) di luar kerangka risiko
yang telah ada seperti risiko
operasional, keuangan, dan
kepatuhan serta risiko-risiko tersebut
dipertimbangkan dalam proses
pengambilan keputusan serta menjadi
input dalam proses penilaian risiko
yang dilakukan secara rutin
1. Telah ada kerangka dasar 1. Telah ada kerangka dasar 1. Telah ada kerangka dasar 1. Telah ada kerangka dasar penilaian 1. Telah ada kerangka dasar penilaian risiko
penilaian risiko secara penilaian risiko secara penilaian risiko secara risiko secara formal dalam kebijakan secara formal dalam kebijakan manajemen
informal, namun belum formal dalam kebijakan formal dalam kebijakan manajemen risiko risiko
diikutsertakan ke dalam manajemen risiko manajemen risiko
2. Telah ada kerangka penilaian risiko, 2. Telah ada kerangka penilaian risiko, yang
kebijakan manajemen
2. Telah ada kerangka 2. Telah ada kerangka yang mencakup penilaian mencakup penilaian kemungkinan
risiko
penilaian risiko, yang penilaian risiko, yang kemungkinan terjadinya risiko serta terjadinya risiko serta tingkat dampak (risk
mencakup penilaian mencakup penilaian tingkat dampak (risk heatmap) heatmap)
2. Penilaian risiko belum
kemungkinan terjadinya kemungkinan terjadinya
dilakukan secara rutin/ad- 3. Telah dilaksanakan penilaian risiko yang 3. Telah dilaksanakan penilaian risiko yang
risiko serta tingkat dampak risiko serta tingkat dampak
hoc (satu kali dalam mempertimbangkan efektivitas proses mempertimbangkan efektivitas proses
(risk heatmap) (risk heatmap)
setahun atau tidak setiap pengendalian internal pengendalian internal
tahun dilakukan) 3. Belum dilaksanakan 3. Telah
Fase dilaksanakan
Praktik yang Baik
penilaian risiko yang 4. Penilaian dan prioritisasi risiko 4. Penilaian dan prioritisasi risiko
penilaian risiko yang
mempertimbangkan diimplementasikan dengan baik oleh diimplementasikan dengan baik oleh Lini
mempertimbangkan
efektivitas proses Lini Pertama dan Kedua Pertama dan Kedua
efektivitas proses
pengendalian internal pengendalian internal 5. Telah terdapat perlakuan risiko, 5. Telah terdapat perlakuan risiko, indikator
4. Penilaian dan prioritisasi indikator risiko utama/KRI, dan limit risiko risiko utama/KRI, dan limit risiko dari setiap
4. Implementasi penilaian Fase Praktik
risiko masih bergantung risiko diimplementasikan dari setiap risiko yang risiko Fase Praktik Terbaik
Lebih Baik
pada Lini Kedua dan tidak dengan baik oleh Lini 6. Telah ada prosedur formal saat 6. Telah ada prosedur formal saat peringatan
optimal diterapkan oleh Lini Pertama dan Kedua peringatan muncul/limit risiko muncul/limit risiko terlampaui
Pertama terlampaui
5. Penilaian risiko 7. Proses penilaian risiko telah dilaksanakan
5. Penilaian risiko dilaksanakan setiap triwulan 7. Proses penilaian risiko telah secara efektif, termasuk:
dilaksanakan dua kali (misal penilaian awal dan dilaksanakan secara efektif, termasuk: a. Penilaian risiko dilaksanakan setiap
dalam satu tahun (misal penilaian terkini setiap a. Penilaian risiko dilaksanakan setiap bulan
penilaian awal dan triwulan) triwulan (misal penilaian awal dan b. Kerangka dan proses penilaian efektif
penilaian terkini penilaian terkini setiap triwulan) untuk menilai risiko, terbukti dari realisasi
pertengahan tahun) b. Kerangka dan proses penilaian dampak sebagian besar jenis risiko tidak
cukup efektif untuk menilai risiko, melebihi dampak yang telah
walaupun masih ada realisasi diperkirakan saat penilaian awal tahun
dampak yang melebihi dampak c. Kerangka dan proses penilaian telah
yang telah diperkirakan saat komprehensif, sehingga hampir tidak
penilaian awal tahun ada realisasi peristiwa risiko signifikan
c. Kerangka dan proses penilaian yang belum dinilai pada saat penilaian
Keterangan telah dilakukan, namun masih ada awal tahun
beberapa realisasi peristiwa risiko
8. Telah ada proses sistematis untuk
Di luar kerangka risiko yang telah ada seperti risiko operasional, keuangan, dan kepatuhan signifikan yang belum dinilai pada
mengidentifikasi dan menganalisis risiko-
* serta risiko-risiko tersebut dipertimbangkan dalam proses pengambilan keputusan serta menjadi saat penilaian awal tahun
risiko yang akan muncul (emerging risk)
input dalam proses penilaian risiko yang dilakukan secara rutin
1. Telah ada kerangka dasar 1. Telah ada kerangka dasar 1. Telah ada kerangka dasar penilaian risiko 1. Telah ada kerangka dasar penilaian risiko secara
1. Telah ada kerangka dasar
penilaian risiko secara penilaian risiko secara secara formal dalam kebijakan formal dalam kebijakan manajemen risiko
penilaian risiko secara
formal dalam kebijakan formal dalam kebijakan manajemen risiko
informal, namun belum 2. Telah ada kerangka penilaian risiko, yang mencakup
diikutsertakan ke dalam manajemen risiko manajemen risiko 2. Telah ada kerangka penilaian risiko, yang penilaian kemungkinan terjadinya risiko serta tingkat
kebijakan manajemen risiko mencakup penilaian kemungkinan dampak (peta risiko/risk heatmap)
2. Telah ada kerangka 2. Telah ada kerangka terjadinya risiko serta tingkat dampak
penilaian risiko, yang penilaian risiko, yang 3. Telah dilaksanakan penilaian risiko yang
2. Penilaian risiko belum (peta risiko/risk heatmap) mempertimbangkan efektivitas proses pengendalian
dilakukan secara rutin/ad- mencakup penilaian mencakup penilaian
kemungkinan terjadinya kemungkinan terjadinya 3. Telah dilaksanakan penilaian risiko yang internal
hoc mempertimbangkan efektivitas proses
risiko serta tingkat dampak risiko serta tingkat 4. Penilaian dan prioritisasi risiko diimplementasikan
(peta risiko/risk heatmap) dampak (peta risiko/risk pengendalian internal dengan baik oleh Lini Pertama dan Kedua
heatmap) 4. Penilaian dan prioritisasi risiko
5. Telah terdapat perlakuan risiko, indikator risiko
3. Belum dilaksanakan diimplementasikan dengan baik oleh Lini
utama/KRI, dan limit risiko dari setiap risiko
penilaian risiko yang Fase Praktik
3. Telah yang Baik
dilaksanakan Pertama dan Kedua
mempertimbangkan penilaian risiko yang 6. Telah ada prosedur formal saat peringatan
5. Telah terdapat perlakuan risiko, indikator muncul/limit risiko terlampaui
efektivitas proses mempertimbangkan
risiko utama/KRI, dan limit risiko dari setiap
pengendalian internal efektivitas proses 7. Proses penilaian risiko telah dilaksanakan secara
risiko
pengendalian internal efektif, termasuk:
4. Implementasi penilaian 6. Telah ada
Faseprosedur
Praktik formal
yang saat a. Penilaian risiko dilaksanakan setiap bulan
risiko masih bergantung 4. Penilaian dan prioritisasi peringatanLebih
muncul/limit
Baik risiko terlampaui b. Kerangka dan prosesTerbaik
penilaian efektif untuk
pada Lini Kedua dan tidak risiko diimplementasikan
Fase Praktik
7. Proses penilaian risiko telah dilaksanakan menilai risiko, terbukti dari realisasi dampak
optimal diterapkan oleh Lini dengan baik oleh Lini secara efektif, termasuk: sebagian besar jenis risiko tidak melebihi dampak
Pertama Pertama dan Kedua a. Penilaian risiko dilaksanakan setiap yang telah diperkirakan saat penilaian awal
triwulan (misal penilaian awal dan tahun
5. Penilaian risiko 5. Penilaian risiko penilaian terkini setiap triwulan) c. Kerangka dan proses penilaian telah
dilaksanakan dua kali dilaksanakan setiap b. Kerangka dan proses penilaian cukup komprehensif, sehingga hampir tidak ada
dalam satu tahun (misal triwulan (misal penilaian efektif untuk menilai risiko, walaupun realisasi peristiwa risiko signifikan yang belum
penilaian awal dan awal dan penilaian terkini masih ada realisasi dampak yang dinilai pada saat penilaian awal tahun
penilaian terkini setiap triwulan) melebihi dampak yang telah
pertengahan tahun) 8. Telah ada proses sistematis untuk mengidentifikasi
diperkirakan saat penilaian awal
dan menganalisis risiko-risiko yang akan muncul
tahun
(emerging risk)*
c. Kerangka dan proses penilaian telah
dilakukan, namun masih ada 9. Telah ada evaluasi kesesuaian kerangka dan proses
beberapa realisasi peristiwa risiko penilaian risiko lebih sering (yaitu lebih dari 1x setiap
signifikan yang belum dinilai pada tahun) sebagai bagian dari peningkatan
Keterangan saat penilaian awal tahun berkelanjutan dari proses asesmen risiko dan
sebagian besar risiko utama dapat dinilai secara
Di luar kerangka risiko yang telah ada seperti risiko operasional, keuangan, dan kepatuhan serta risiko- 8. Telah ada evaluasi kesesuaian kerangka kuantitatif.
* risiko tersebut dipertimbangkan dalam proses pengambilan keputusan serta menjadi input dalam dan proses penilaian risiko minimal 1x
tiap tahun 10. Dilakukan identifikasi limit risiko per segmen nasabah
proses penilaian risiko yang dilakukan secara rutin
(misal 10 nasabah utama)/ penyedia reasuransi dan
geografi (untuk risiko asuransi) dan kelas aset (untuk
risiko pasar).
RAHASIA DAN TERBATAS | HALAMAN 117
b.
Sub Dimensi Pengukuran dan Prioritisasi Risiko
Parameter : 37. Integrasi atas seluruh Risiko utama
1. Risiko utama diidentifikasi di 1. Risiko utama diidentifikasi di 1. Telah ada risk register yang 1. Telah ada risk register yang 1. Telah ada risk register yang terkonsolidasi
tingkat Unit Bisnis dan belum tingkat Unit Bisnis. terkonsolidasi mencakup seluruh terkonsolidasi mencakup seluruh Unit mencakup seluruh Unit Bisnis.
diintegrasikan. Perhitungan eksposur risiko Unit Bisnis. Perhitungan eksposur Bisnis. Perhitungan eksposur risiko Perhitungan eksposur risiko dalam risk
dalam risk register belum risiko dalam risk register sudah dalam risk register sudah terintegrasi register sudah terintegrasi
2. Telah ada risk register seluruhnya terintegrasi. terintegrasi seluruhnya
informal dari masing-masing 2. Proses integrasi risiko biasanya 2. Proses integrasi risiko biasanya dilakukan
Unit Bisnis (belum ada 2. Telah ada beberapa risk 2. Proses integrasi risiko biasanya dilakukan setiap tahun oleh Unit Bisnis setiap tahun oleh Unit Bisnis dan unit risiko
prosedur standar/template) register dari setiap Unit dilakukan setiap tahun oleh Unit dan unit risiko pusat pusat
Bisnis. Bisnis dan unit risiko pusat
3. Proses integrasi dilakukan secara 3. Proses integrasi dilakukan secara bottom
Fase Praktik yang Baik up sehingga risiko utama perusahaan
3. Proses integrasi dilakukan secara bottom up sehingga risiko utama
bottom up sehingga risiko utama perusahaan dapat ditentukan. dapat ditentukan.
perusahaan dapat ditentukan. Fase Praktik yang
4. Perusahaan sudah
Lebih Baikmenetapkan 4. Perusahaan sudah menetapkan secara
4. Perusahaan sudah menetapkan secara formal terkait jenis dan jumlah formal terkait jenis dan jumlah risiko yang
secara formal terkait jenis dan risiko yang dapat diterima oleh dapat diterima oleh perusahaan dalam
jumlah risiko yang dapat diterima perusahaan dalam mencapai mencapai sasaran strategisnya, yaitu
oleh perusahaan dalam sasaran strategisnya, yaitu selera risiko Fase
selera Praktik
risiko Terbaik
(risk appetite)
mencapai sasaran strategisnya, (risk appetite). Selera risiko (risk
yaitu selera risiko (risk appetite). 5. Hasil pengukuran risiko dikomunikasikan
appetite) tersebut menjadi salah satu
kepada pimpinan unit kerja/fungsi dan
dasar dalam menyusun kriteria
pimpinan perusahaan, guna divalidasi
pengukuran risiko. Kriteria pengukuran
untuk selanjutnya digunakan secara
risiko telah digunakan secara
konsisten sebagai salah satu
konsisten dan terbukti untuk
pertimbangan dalam proses
melakukan pengukuran risiko.
pengambilan keputusan di perusahaan.
6. Dalam memprioritaskan risiko, selain
mempertimbangkan tingkat eksposur
risiko (dampak dan kemungkinan
terjadi) dan dampaknya pada toleransi
risiko (risk tolerance), selera risiko (risk
appetite), kapasitas risiko (risk capacity),
dan sasaran strategis Perusahaan, juga
mempertimbangkan kriteria lain yang
telah disepakati sebelumnya,
INTEGRASI RISIKO
Memperoleh daftar Risiko utama yang akan dicantumkan RJP atau RKAP serta akan dilakukan
Tujuan: pemantauan dan evaluasi pada level enterprise.
2) Risiko yang dinilai kecil di masing-masing level entitas anak namun menyebar
di banyak anak perusahaan harus dapat ditangkap untuk dilakukan integrasi
dan rencana perlakuan Risiko pada level enterprise BUMN Induk.
3) Proses integrasi Risiko harus dapat mengungkap Risiko tersembunyi pada level
struktur korporasi di bawah BUMN Induk.
5) BUMN Induk harus memiliki analisa sensitivitas terhadap setiap faktor risiko
yang dapat mempengaruhi setiap jenis portofolio dan pengelolaan anak
perusahaan sehingga Risiko dapat dibagi atau dialokasikan antar portofolio
secara optimal sesuai dengan strategi Risiko.
1.Telah ada kerangka 1. Telah ada sejumlah 1. Rencana mitigasi risiko disusun 1. Rencana mitigasi risiko disusun 1. Rencana mitigasi risiko disusun dengan
rencana mitigasi risiko rencana formal mitigasi untuk risiko-risiko di tingkat unit dengan mempertimbangkan mempertimbangkan keterkaitan risiko antar
informal yang masih dalam untuk beberapa risiko kerja/fungsi yang dapat keterkaitan risiko antar unit unit kerja/fungsi, agar penanganan risiko
cakupan high-level dan namun banyak risiko-risiko mengganggu pencapaian kerja/fungsi, agar penanganan risiko tidak terduplikasi dan lebih efektif.
belum dijelaskan secara utama tidak memiliki sasaran strategis perusahaan tidak terduplikasi dan lebih efektif.
2. Telah ada penanggung jawab yang jelas
mendetail (sesuai dengan penanggung jawab
2. Penyusunan rencana mitigasi 2. Telah ada penanggung jawab yang dan berkapabilitas yang ditunjuk untuk
jenis-jenis risiko utama) maupun rencana mitigasi
risiko difasilitasi oleh fungsi jelas dan berkapabilitas yang mengelola setiap risiko utama
2. Apabila mitigasi risiko manajemen risiko yang ditunjuk untuk mengelola setiap risiko
berkoordinasi dengan Risk Owner utama 3. Telah ada rencana tindakan mendetail
dilakukan, maka
di masing-masing unit dengan urutan langkah-langkah tindak lanjut
pelaksanaannya bersifat
ad-hoc
Fase Praktik yang Baik
kerja/fungsi 3. Telah ada rencana tindakan yang spesifik.
mendetail dengan urutan langkah-
Telah ada proses yang bersifat langkah tindak lanjut yang spesifik 4. Telah ada proses/alur untuk mengelola setiap
3. Telah ada proses/alur logis 3.
rutin untuk menangani risiko-risiko risiko utama sesuai dengan definisi selera
untuk mengelola beberapa
utama tersebut 4. Telah ada proses/alur untuk risiko termasuk untuk emerging risk,
risiko utama sesuai dengan
definisi selera risiko, namun Fase Praktik
pengendalian yang
setiap risiko utama
Telah ada proses/alur untuk sesuai dengan definisi selera risiko 5. Rencana mitigasi risiko dipantau secara
proses-proses tersebut 4. Lebih Baik berkala untuk menilai efektivitasnya.
belum sepenuhnya mengelola setiap risiko utama termasuk untuk emerging risk
lengkap atau belum sesuai dengan definisi selera risiko 6. DalamFase Praktik Terbaik
menentukan rencana mitigasi risiko,
termasuk untuk emerging risk 5. Rencana mitigasi risiko dipantau
diperbarui. secara berkala untuk menilai perusahaan memperhatikan manfaat yang
efektivitasnya. dapat tercipta dan sumber daya yang
4. Belum ada garis tanggung dikeluarkan untuk menangani suatu risiko.
jawab yang jelas dari 6. Dalam menentukan rencana mitigasi
Direktur Utama hingga ke risiko, perusahaan memperhatikan 7. Manfaat dan sumber daya tersebut harus
front line manfaat yang dapat tercipta dan dikomunikasikan secara berkala kepada
sumber daya yang dikeluarkan untuk fungsi manajemen risiko sebagai pihak yang
menangani suatu risiko. bertanggung jawab dalam
mengkoordinasikan aktivitas manajemen
7. Manfaat dan sumber daya tersebut risiko perusahaan.
harus dikomunikasikan kepada fungsi
manajemen risiko sebagai pihak 8. Telah ada rencana kontingensi yang
yang bertanggung jawab dalam terdefinisi dengan baik untuk setiap risiko
mengkoordinasikan aktivitas utama
manajemen risiko perusahaan. 9. Setiap pegawai memahami dan menerima
peran dan tanggung jawabnya yang
berkaitan dengan kebijakan dan proses
pengelolaan risiko-risiko utama
10. Telah ada perhitungan dampak risiko residual
yang akan dikorelasikan dengan targetnya.
1. Telah ada pembahasan 1. Telah ada pembahasan 1. Telah ada proses terstruktur untuk 1. Telah ada proses terstruktur untuk 1. Telah ada proses terstruktur untuk
mengenai ketidaksesuaian mengenai ketidaksesuaian menyusun strategi penanganan menyusun strategi penanganan menyusun strategi penanganan
antara eksposur risiko aktual antara eksposur risiko ketidaksesuaian antara eksposur ketidaksesuaian antara eksposur risiko ketidaksesuaian antara eksposur risiko
dan selera risiko secara ad- aktual dan selera risiko risiko aktual dan selera risiko, aktual dan selera risiko, antara lain: aktual dan selera risiko, antara lain:
hoc, dan belum ada jadwal sebagai bagian dari antara lain:
a. Menyusun basis fakta/data a. Menyusun basis fakta/data
pembahasan rutin keputusan manajemen
a. Menyusun basis fakta/data mengenai risiko mengenai risiko
yang bersifat ’business as
usual’ mengenai
Fase risiko Baik
Praktik yang b. Melakukan analisis risiko b. Melakukan analisis risiko
2. Pembahasan dilakukan b. Melakukan analisis risiko
c. Fase Praktik yang
Memaparkan opsi-opsi kepada c. Memaparkan opsi-opsi kepada
setidaknya satu kali dalam c. Memaparkan opsi-opsi jajaran manajemen
Lebih Baik jajaran manajemen
setahun kepada jajaran manajemen
2. Pembahasan dilakukan setidaknya 2. Pembahasan dilakukan setidaknya
3. Belum ada keputusan 2. Pembahasan dilakukan setiap triwulan. Fase
setiap Praktik Terbaik
bulan
mengenai langkah spesifik setidaknya setiap triwulan.
untuk menangani 3. Strategi yang ada saat ini telah efektif 3. Strategi yang ada saat ini telah efektif
ketidaksesuaian tersebut menjaga eksposur risiko agar tetap di menjaga eksposur risiko agar tetap di
level yang diinginkan (misal tidak level yang diinginkan (misal tidak ditemui
ditemui bukti mengenai risiko yang bukti mengenai risiko yang melampaui
melampaui ambang batasnya) ambang batasnya)
4. Dilakukan penyelarasan antara
perusahaan induk dan anak
perusahaan/Unit Bisnis untuk memastikan
bahwa analisis eksposur risiko telah
mencakup seluruh risiko dari anak
perusahaan/Unit Bisnis.
1. Pembahasan 1. Pembahasan 1. Ada proses terstruktur untuk 1. Ada proses terstruktur untuk menyusun 1. Ada proses terstruktur untuk menyusun
ketidaksesuaian eksposur ketidaksesuaian eksposur menyusun strategi penanganan strategi penanganan ketidaksesuaian strategi penanganan ketidaksesuaian
risiko aktual dan selera risiko aktual dan selera ketidaksesuaian eksposur risiko eksposur risiko aktual dan selera risiko* eksposur risiko aktual dan selera risiko*
risiko dilakukan secara ad- risiko sebagai bagian dari aktual dan selera risiko*
2. Pembahasan dilakukan secara 2. Pembahasan dilakukan secara bulanan
hoc, belum ada jadwal keputusan manajemen
yang bersifat ‘business as 2. Pembahasan dilakukan secara triwulanan
rutin (belum dilakukan 3. Strategi yang ada telah efektif menjaga
usual’ triwulanan
setiap tahun) Fase Praktik yang Baik 3. Strategi yang ada telah efektif eksposur risiko tetap di level yang
menjaga eksposur risiko tetap di level diinginkan
2. Pembahasan setidaknya
sekali setahun yangFase Praktik yang
diinginkan
4. Dilakukan penyelarasan antara induk
Lebih Baik dan anak/unit bisnis untuk memastikan
3. Belum ada keputusan Fase Praktiktelah
Terbaik
analisis eksposur mencakup seluruh
mengenai langkah spesifik
risiko dari anak/unit bisnis
untuk menangani
ketidaksesuaian eksposur
risiko dan selera risiko
Keterangan
o Menyusun basis fakta/data risiko
* o Menganalisis risiko
o Memaparkan opsi kepada manajemen
1. Telah ada pelaporan risiko 1. Pelaporan risiko dilakukan 1. Pelaporan risiko dilakukan untuk 1. Pelaporan risiko dilakukan untuk 1. Pelaporan dilakukan untuk memenuhi
yang bersifat ad-hoc, secara rutin (misal laporan memenuhi persyaratan memenuhi persyaratan pelaporan persyaratan pelaporan finansial atau
dilatarbelakangi oleh triwulanan menunjukkan pelaporan finansial atau finansial atau pelaporan yang bersifat pelaporan yang bersifat legal/
peristiwa tertentu (misal dengan jelas ambang pelaporan yang bersifat legal/kepatuhan kepatuhan
insiden risiko, permintaan batas risiko yang telah legal/kepatuhan
2. Pelaporan risiko dilakukan secara rutin 2. Pelaporan dilakukan secara rutin (misal
audit internal, dsb) terlampaui)
2. Pelaporan risiko dilakukan secara (misal laporan triwulanan laporan bulanan menunjukkan dengan
2. Pelaporan risiko belum 2. Pelaporan risiko mencakup rutin (misal laporan triwulanan menunjukkan dengan jelas ambang jelas ambang batas risiko yang telah
mencakup gap dalam gap dalam cakupan risiko- menunjukkan dengan jelas batas risiko yang telah terlampaui) terlampaui) dan dilengkapi dengan
cakupan risiko-risiko utama risiko utama Fase
ambang Praktik
batasyang
risikoBaik
yang telah dan dilengkapi dengan rekomendasi rekomendasi tindak lanjut perbaikan,
atau belum menerapkan terlampaui) tindak lanjut perbaikan, dan analisis dan analisis tambahan
3. Penerapan leading Fase Praktik yang
tambahan
leading indicator pada
indicator pada pelaporan 3. Pelaporan risiko menyertakan 3. Telah ada pelaporan di tingkat Unit Bisnis
pelaporan risiko. Lebih Baik
risiko masih terbatas. sejumlah leading indicator 3. Telah ada pelaporan di tingkat Unit dan tingkat grup, termasuk anak
Bisnis dan tingkat grup, termasuk anak perusahaan (jika relevan)
4. Cakupan pelaporan masih 4. Telah ada pelaporan di tingkat Fase Praktik Terbaik
perusahaan (jika relevan)
dalam tingkat Unit Bisnis Unit Bisnis dan tingkat grup, 4. Pelaporan risiko mencakup ringkasan
tertentu. termasuk anak perusahaan (jika 4. Pelaporan risiko mencakup ringkasan semua risiko utama di semua jenis risiko,
relevan). semua risiko utama di semua kategori kejadian-kejadian penting dengan
risiko, kejadian-kejadian penting analisis pasca kejadian, leading
dengan analisis pasca kejadian, indicator, dan rekomendasi yang dapat
leading indicator, dan rekomendasi ditindaklanjuti
yang dapat ditindaklanjuti.
5. Pelaporan dilakukan menggunakan
toolkit otomatis dan hasil pelaporan
dapat diakses secara real-time.
STRICTLY C O N F I D E N T I A L
Jumat, 8 Maret 2024
Mulai Durasi Modul
08.00-08.30 30’ Registrasi
08.30-08.40 10’ Pembukaan
SCHEDULE
08.40-09.00 20’ Overview Penilaian RMI
09.00-09.10 10’ Foto Bersama
PELATIHAN 09.10-09.40 30’ Penilaian Index Kematangan Risiko
09.40-10.40 60’ Budaya dan Kapabilitas Risiko
PENILAIAN RMI 10.40-11.40 60’ Organisasi dan Tata Kelola Risiko
1. Belum ada penerapan 1. Model risiko diterapkan 1. Telah ada model risiko untuk 1. Telah ada model risiko untuk 1. Telah ada model risiko untuk kuantifikasi
model risiko, namun telah untuk kuantifikasi risiko kuantifikasi risiko, namun, model kuantifikasi risiko sebagian besar risiko risiko sebagian besar risiko utama
ada analisis yang dilakukan namun belum secara rutin hanya tersedia untuk sebagian utama perusahaan, dengan analisis perusahaan, dengan analisis dampak
secara ad-hoc meskipun dan tidak terintegrasi jenis risiko/ diterapkan pada dampak berbasis risiko yang berbasis risiko yang dikonsolidasikan ke
belum dilakukan dalam pengambilan tingkat tinggi tanpa analisis dikonsolidasikan ke dampak tingkat dampak tingkat integrasian
standardisasi dan formalisasi keputusan granular integrasian (misal P/L, arus kas) 2. Data risiko digunakan dan menjadi input
cakupan dan metodologi 2. Telah ada aplikasi Advanced otomatis untuk setiap analisis dan model.
analisis 2. Aplikasi Advanced 2. Fase
Telah Praktik
ada aplikasi
yangAdvanced
Baik Analytics untuk Manajemen Risiko
Analytics untuk Analytics untuk Manajemen 3. Telah ada lebih dari satu implementasi
namun dengan tingkat kematangan aplikasi Advanced Analytics Manajemen
2. Proses Manajemen Risiko Manajemen Risiko masih Risiko, namun masih dalam tahap berbeda (missal EWS telah matang,
belum menerapkan dalam pengembangan awal, misal terdapat Early Risiko yang telah matang
namun anti-fraud analytics baru
Advanced Analytics Warning System (EWS) yang baru dikembangkan) 4. Telah ada aplikasi EWS yang telah
dikembangkan. matang, yang secara otomatis
3. Telah ada aplikasi EWS yang telah memperbarui dan mengambil data
3. Model risiko belum matang, yang secara otomatis 5. Telah ada tim risk model and analytics in-
divalidasi/tidak pernah divalidasi memperbarui dan mengambil data. house khusus yang memiliki kapabilitas
untuk menguji keefektifannya
4. Telah ada tim risk model and Manajemen Risiko dan kemampuan
Fasein-house
analytics Praktik yang
khusus yang manajemen model khusus di semua
memiliki kapabilitas
Lebih BaikManajemen Risiko tahapan
Fasesiklus hidup
Praktik manajemen model*
Terbaik
dan kemampuan manajemen model 6. Model risiko secara rutin divalidasi oleh
khusus di beberapa, namun tidak pihak validator independen dan model
semua tahapan siklus hidup terus diperbaiki untuk mencapai tingkat
manajemen model * akurasi yang lebih tinggi
5. Model risiko secara rutin divalidasi, 7. Penerapan teknologi dan algoritma
namun keakuratannya bervariasi Artificial Intelligence/Machine Learning
(misal banyak model masih memiliki (AI/ML) dalam model risiko, termasuk
GINI rendah kurang dari 30%) prosedur untuk mengurangi potensi
6. Teknik pemodelan risiko tidak penyalahgunaan/ketidakpastian/bias
Keterangan diterapkan secara konsisten di seluruh dari penggunaan
Unit Bisnis/anak Perusahaan**
8. Teknik pemodelan risiko yang diterapkan
a. Pembuatan model 7. Manajemen model dilakukan secara secara konsisten di seluruh Unit Bisnis/
b. Pengembangan model manual dan tersebar di beberapa risk anak Perusahaan
* c. Implementasi model owner tanpa dokumentasi yang baik
9. Digitalisasi dan otomatisasi terhadap
d. Pemantauan dan validasi model dan sistem penyimpanan terpusat
manajemen model di seluruh siklus hidup
8. Seluruh sistem yang berada di model
misal SOP, bakat pemodelan, tata kelola, mandat, dan
** kapabilitas lain yang belum dibagikan/diturunkan
masing-masing unit bisnis terintegrasi
10. Seluruh sistem yang berada di masing-
dengan sistem informasi Manajemen
masing unit bisnis terintegrasi dengan
Risiko
sistem informasi Manajemen Risiko
1. Belum ada penerapan 1. Telah ada beberapa model 1. Telah ada tim risk model and 1. Telah ada tim risk model and analytics 1. Telah ada tim risk model and analytics
model risiko* namun telah risiko*, tetapi tidak terintegrasi analytics in-house khusus yang in-house khusus yang memiliki in-house khusus yang memiliki
ada analisis yang dilakukan dalam pengambilan keputusan memiliki kapabilitas Manajemen kapabilitas Manajemen Risiko dan kapabilitas Manajemen Risiko dan
secara ad-hoc seperti Risiko dan kemampuan kemampuan manajemen model kemampuan manajemen model khusus
2. Penerapan/adopsi awal model
analisis metrik keuangan manajemen model khusus di khusus di semua tahapan siklus di semua tahapan siklus manajemen
scoring pada segmen pertama
dan analisis kualitatif beberapa tahapan siklus manajemen model** model**
(Retail a-score/b-score)
meskipun belum dilakukan manajemen model**
2. Teknik pemodelan risiko diterapkan 2. Teknik pemodelan risiko diterapkan
standardisasi dan formalisasi 3. Penerapan/adopsi awal model
2. Teknik pemodelan risiko tidak secara konsisten di seluruh Unit Bisnis, secara konsisten di seluruh Unit
cakupan dan metodologi EAD dan LGD untuk segmen
diterapkan secara konsisten di namun belum diterapkan secara Bisnis/anak perusahaan (misal SOP,
analisis utama, contohnya Mortgage
seluruh Unit Bisnis/anak konsisten pada anak perusahaan bakat pemodelan, tata kelola,
LGD dan Credit Card EAD
2. Belum ada EWS, namun perusahaan (misal SOP, bakat (misal SOP, bakat pemodelan, tata mandat, dan kapabilitas lainnya yang
sudah ada watchlist (daftar 4. Penerapan/adopsi awal model pemodelan, tata kelola, kelola, mandat, dan kapabilitas lain dibagikan/diturunkan)
pengawasan) yang masih pengambilan keputusan kredit mandat, dan kapabilitas lain yang belum dibagikan/diturunkan)
3. Model penilaian yang digunakan di
bersifat dasar tambahan dalam segmen yang yang belum dibagikan/
3. Telah menggunakan sejumlah model semua segmen sebagai input untuk
memiliki data banyak, diturunkan)
3. Proses Manajemen Risiko risiko untuk pengambilan keputusan underwriting
contohnya b-score yang
belum menerapkan 3. Telah ada beberapa model risiko (misal pemantauan atas PD, LGD,
disesuaikan untuk EWS/model Fase 4. Model/alat pemantauan menunjang
Advanced Analytics (misal untuk Praktik yang Baik
pengambilan Keputusan*** EAD,Fase
EWS; Praktik
menggunakan
yang model risiko
pre-screening proses
analisis masih dilakukan dalam penagihan misalnya self- FaseMR dan pengambilan
Praktik Terbaik keputusan
4. Model Scoring digunakan di Lebih Baik dengan baik dan diperkirakan dapat
secara manual) 5. Penggunaan Ritel b-score dan repayment, model value-at-risk, model
sebagian besar segmen yang tercermin dalam pencapaian target
non-bespoke data and analytics pemilihan strategi)
memiliki data banyak (Ritel, UMK) kinerja keuangan/non-keuangan.
lainnya untuk pemantauan
tetapi tidak diterapkan di 4. Model Scoring digunakan di segmen
5. Model EAD dan LGD tersedia untuk
segmen lainnya. Ritel, UMK dan Komersial, tetapi belum
semua segmen utama, termasuk
ada model internal untuk portofolio
Keterangan 5. Model LGD dan EAD di seluruh khusus (contohnya FI, NBFI, SL)
portofolio khusus (contohnya low
portofolio Ritel tetapi tidak di default, private banking)
Misal scoring model, model Exposure at Default (EAD), model Loss Given
* Default (LGD), atau model pengambilan keputusan kredit lainnya,
segmen lainnya. 5. Model EAD dan LGD tersedia untuk
6. End-to-end model pengambilan
segmen utama, tetapi belum ada
6. Telah ada beberapa aplikasi keputusan kredit mencakup seluruh
Tahapan siklus manajemen model: penyesuaian/cakupan untuk portofolio
model pengambilan keputusan segmen
o Pembuatan model khusus
kredit tambahan di seluruh
** o Pengembangan model segmen Ritel dan UMKM, 6. Model kredit memungkinkan
7. Penggunaan otomatisasi, sumber data
o Implementasi model alternatif, dan analitik lanjutan
contohnya EWS dan Penagihan otomatisasi penuh pengambilan
o Pemantauan dan validasi model keputusan dalam satu segmen 8. Model divalidasi secara teratur dan
7. Telah ada EWS untuk Ritel dan (contohnya underwriting UMK
Ritel: keputusan diambil berdasarkan model tertentu, misal validasi terkini tidak lebih dari 1 tahun
o UMKM. Proses sepenuhnya termasuk pemeriksaan limit dan fraud
berdasarkan scoring/Probability Default (PD) sebelumnya.
terlaksana dan diterapkan otomatis)
*** o UMK: keputusan diambil berdasarkan model tertentu dengan baik 9. Kualitas model baik (misal GINI, semakin
o Korporasi: Peringkat merupakan input penting dalam menyalurkan 7. EWS diterapkan di Ritel, UMK dan tinggi semakin baik, GINI 70%+ sangat
pinjaman bagi pengambil keputusan pada tingkat tertentu Komersial baik)
- 6. Aplikasi Advanced 8. Telah ada aplikasi Advanced 8. Telah ada aplikasi Advanced Analytics 10. Telah ada lebih dari satu implementasi
Analytics untuk Analytics untuk MR, namun masih untuk MR namun dengan tingkat aplikasi Advanced Analytics MR yang
Manajemen Risiko masih dalam tahap awal, misal kematangan berbeda (misal EWS telah telah matang (misal EWS, anti-fraud,
dalam pengembangan terdapat EWS yang baru matang, namun anti-fraud dalam penagihan).
dikembangkan. pengembangan)
11. Digitalisasi dan otomatisasi terhadap
9. Manajemen model dilakukan secara manajemen model di seluruh siklus hidup
manual dan tersebar di beberapa pemilik model secara menyeluruh, dengan
risiko tanpa dokumentasi yang baik dan pengembangan model, dokumentasi,
sistem penyimpanan terpusat validasi, dan pelaporan yang
aik dikonsolidasikan dalam sistem/ruang kerja
yang
Faseterpusat
Praktik Terbaik
1. Terdapat sistem data 1. Terdapat sistem data terpusat 1. Terdapat sistem dan infrastruktur data 1. Terdapat sistem penyimpanan data 1. Terdapat sistem penyimpanan data risiko
terpusat yang memuat yang memuat data terpusat khusus untuk MR yang masih risiko yang terpusat dan terintegrasi** yang terpusat dan terintegrasi**
data keuangan dan MR keuangan dan MR namun dalam tahap awal implementasi/pilot
2. Unit Bisnis memiliki akses untuk sistem 2. Unit Bisnis memiliki akses untuk sistem yang
namun belum ada belum ada sistem data stage
yang digunakan untuk penyimpanan digunakan untuk penyimpanan data risiko,
sistem data terpusat dan terpusat dan khusus untuk MR
2. Sejumlah Unit Bisnis memiliki sistem data risiko, dan telah dikembangkan dan telah dikembangkan solusi IT terintegrasi
khusus untuk MR
2. Sistem data terpusat khusus yang digunakan untuk penyimpanan solusi IT terintegrasi (mencakup MR (mencakup MR dan kepatuhan) yang
untuk MR masih dalam tahap data risiko, namun sistem masih dan kepatuhan) yang digunakan digunakan untuk menunjang fungsi risiko
2. Belum ada penerapan
perencanaan belum sepenuhnya untuk menunjang fungsi risiko dan dan kontrol mulai dari penilaian risiko hingga
model risiko*, namun
terintegrasi/terpusat kontrol mulai dari penilaian risiko pelaporannya (dashboard)
ada analisis yang 3. Terdapat sejumlah hingga pelaporannya (dashboard)
dilakukan secara ad- infrastruktur yang dapat 3. Terdapat pemodelan expected 3. Terdapat pemodelan expected losses
hoc seperti analisis dipakai sebagai alat MR losses dengan Generalized Linear 3. Terdapat pemodelan expected losses dengan Generalized Linear Model (GLM),
metrik keuangan/ (misal modul MR ada dalam Model (GLM), memprediksi frekuensi dengan GLM, memprediksi frekuensi memprediksi frekuensi risiko dan tingkat
analisis kualitatif, sistem lain) Fase
risiko Praktik yang
dan tingkat Baik
dampak risiko dan tingkat dampak dampak berdasarkan jenis risiko dan profil
meskipun belum berdasarkan jenis risiko dan profil berdasarkan jenis risiko dan profil klien. klien. Model Catastrophe (CAT) digunakan
dilakukan standardisasi 4. Cakupan sistem data sifatnya klien. Model Catastrophe (CAT) Model Catastrophe (CAT) digunakan untuk risiko dengan frekuensi rendah.
dan formalisasi cakupan masih secara ad-hoc dan digunakan untuk risiko dengan untuk risiko dengan frekuensi rendah.
dan metodologi analisis belum melibatkan 4. Terdapat pemodelan unexpected losses
frekuensi rendah. Fase Praktik yang
implementasi di Unit Bisnis 4. Terdapat pemodelan unexpected dengan pendekatan
Fase distribusi probabilitas
Praktik Terbaik
secara menyeluruh 4. Terdapat pemodelan unexpected Lebih pendekatan
losses dengan Baik distribusi berdasarkan Value at Risk (VaR) minimal
3. Proses MR belum
menerapkan Advanced losses dengan pendekatan distribusi probabilitas berdasarkan Value at Risk 95%+
5. Penerapan beberapa model probabilitas berdasarkan Value at (VaR) minimal 95%+
Analytics 5. Model risiko telah diformalkan dan
risiko* yang masih dalam Risk (VaR) minimal 95%+
perencanaan/pilot stage. 5. Model risiko telah diformalkan dan didokumentasikan dalam prosedur yang
Prosedur belum sepenuhnya 5. Model risiko telah diformalkan dan didokumentasikan dalam prosedur diperbarui minimal setiap tahun
diformalkan didokumentasikan dalam prosedur yang diperbarui minimal setiap tahun
6. Terdapat lebih dari satu implementasi
yang diperbarui minimal setiap tahun
6. Aplikasi Advanced Analytics 6. Telah ada aplikasi Advanced Analytics aplikasi Advanced Analytics untuk MR yang
untuk MR masih dalam 6. Terdapat aplikasi Advanced untuk MR namun dengan tingkat telah matang (misal EWS, anti-fraud,
pengembangan Analytics untuk MR, namun masih kematangan berbeda (misal Early penagihan)
dalam tahap awal, misal terdapat Warning System/EWS telah matang,
namun anti-fraud analytics baru 7. Terdapat tim risk model and analytics in-
EWS yang baru dikembangkan.
house khusus yang memiliki kemampuan
dikembangkan)
manajemen model untuk semua siklus
7. Terdapat tim risk model and analytics manajemen model (pembuatan,
Keterangan in-house khusus yang memiliki pengembangan implemnetasi,
kemampuan manajemen model untuk pemantauan, dan validasi model)
* Misal model expected losses, model Catastrophe (CAT), model Value-at-Risk beberapa siklus manajemen model
8. Solusi IT memuat informasi mengenai
(pembuatan, pengembangan
eksposur risiko, kebijakan dan prosedur MR,
• Telah ada solusi IT terintegrasi (misal alat terkait tata kelola, manajemen risiko, dan kepatuhan yang digunakan implemnetasi, pemantauan, atau
dan limit risiko
validasi model)
** untuk menunjang fungsi risiko dan kontrol mulai dari penilaian risiko hingga pelaporannya (dashboard).
• Minim duplikasi/fragmentasi aset TI sehingga memungkinkan penerapan arsitektur data risiko secara menyeluruh
RAHASIA DAN TERBATAS | HALAMAN 130
a.
Sub Dimensi Permodelan dan Teknologi Risiko (Industri Asuransi) 2/2
Parameter : 40. Model/alat pemantauan untuk menunjang proses manajemen risiko dan pengambilan keputusan
- - 7. Terdapat tim risk model and 8. Solusi IT memuat informasi mengenai 9. Teknik pemodelan risiko diterapkan secara
analytics in-house khusus yang eksposur risiko, kebijakan dan konsisten di seluruh Unit Bisnis/anak perusahaan
memiliki kemampuan prosedur MR, dan limit risiko (misal SOP, bakat pemodelan, tata kelola,
manajemen model untuk mandat, dan kapabilitas lain yang belum
beberapa siklus manajemen 9. Teknik pemodelan risiko mungkin dibagikan/diturunkan
Fase Praktik yang Baik
model (pembuatan, tidak diterapkan secara konsisten di
pengembangan implementasi, seluruh Unit Bisnis/anak perusahaan 10. Digitalisasi dan otomatisasi terhadap manajemen
pemantauan, atau validasi (misal SOP, bakat pemodelan, tata model di seluruh siklus hidup model secara
model) kelola, mandat, dan kapabilitas lain menyeluruh, dengan pengembangan model,
yang belum dibagikan/diturunkan) dokumentasi, validasi, dan pelaporan yang
dikonsolidasikan dalam sistem/ruang kerja yang
10. Manajemen model dilakukan secara terpusat
manual dan tersebar di beberapa 11. Telah ada back-testing terhadap akurasi model
pemilik tanpa dokumentasi yang secara teratur (min 1x setiap tahun) untuk
baik dan sistem penyimpanan mengurangi kesalahan model
terpusat
Fase Praktik yang 12. Back-testing dilakukan oleh validator pembuat
Lebih Baik
11. Telah ada back-testing terhadap model independen. Hasil disampaikan kepada
akurasi model secara teratur (min 1x Unit Bisnis danPraktik
Fase Direksi Terbaik
terkait
setiap tahun) untuk mengurangi
13. Seluruh sistem yang berada di masing-masing unit
kesalahan model
bisnis terintegrasi dengan sistem informasi
manajemen risiko
12. Back-testing dilakukan oleh validator
pembuat model independen. Hasil 14. Telah ada dashboard visualisasi risiko*** yang
disampaikan kepada Unit Bisnis dan wajib diberikan kepada Direksi dan departemen
Direksi terkait UW setiap bulan atau lebih sering
13. Seluruh sistem yang berada di 15. Alat terkait tata kelola, Manajemen Risiko, dan
masing-masing unit bisnis terintegrasi kepatuhan menunjang kegiatan pemantauan,
dengan sistem informasi manajemen memberikan wawasan, dan akses informasi
risiko secara rutin dan tepat waktu
16. Telah ada penggabungan database yang
diperbarui secara otomatis dengan Application
Programming Interface (API) ke data pihak ketiga,
Keterangan terdapat proses pengumpulan data eksternal
yang sedang berlangsung, serta terdapat
implikasi temuan analisis data untuk perbaikan
*** Termasuk aset, liabilitas, penilaian risiko utama, termasuk deviasi aktual vs
rencana; risiko baru yang muncul; konsentrasi risiko. Customer Value Management (CVM) dan
Customer Relationship Management (CRM)
Tahap evaluasi
merupakan salah satu
titik fokus penilaian,
bukan hanya pada
evaluasi atas data,
tetapi juga terhadap
model yang dibangun.
The CRISP-DM process model of data mining The KDD process model of data mining
1. Telah ada sistem data 1. Telah ada sistem data 1. Telah ada sistem dan 1. Telah ada sistem penyimpanan 1. Telah ada sistem penyimpanan data
terpusat dan memuat data terpusat namun belum ada infrastruktur data terpusat khusus data risiko yang terpusat dan risiko yang terpusat dan terintegrasi*
yang bisa digunakan untuk sistem terpusat khusus untuk untuk MR dalam tahap awal terintegrasi*
keperluan MR MR implementasi/pilot stage 2. Unit Bisnis memiliki akses untuk sistem
2. Unit Bisnis memiliki akses untuk yang digunakan untuk penyimpanan
2. Perusahaan belum memiliki 2. Sistem data data terpusat 2. Sejumlah Unit Bisnis memiliki sistem yang digunakan untuk data risiko, dan telah dikembangkan
database risiko terpusat khusus untuk MR masih dalam sistem yang digunakan untuk penyimpanan data risiko, dan telah solusi IT terintegrasi
tahap perencanaan penyimpanan data risiko, dikembangkan solusi TI terintegrasi
namun sistem masih belum 3. Solusi TI memuat informasi mengenai
3. Ada sejumlah infrastruktur sepenuhnya terintegrasi/ 3. Solusi TI memuat informasi eksposur risiko, kebijakan dan prosedur
yang dapat dimanfaatkan terpusat
Fase Praktik yang Baik mengenai eksposur risiko, kebijakan MR, dan limit risiko
untuk kegiatan MR dan prosedur MR, dan limit risiko
(embedded dengan sistem 4. Seluruh sistem yang berada di masing-
lain) 4. Seluruh sistem yang berada di masing unit bisnis terintegrasi dengan
masing-masing
Fase Praktik unit
yang bisnis sistem informasi manajemen risiko
4. Cakupan sistem data sifatnya terintegrasi
Lebih Baik sistem informasi
dengan
masih secara ad-hoc dan manajemen risiko 5. Alat Fase
terkaitPraktik Terbaik
tata kelola, Manajemen
belum melibatkan Risiko, dan kepatuhan menunjang
implementasi di Unit Bisnis kegiatan pemantauan, memberikan
secara menyeluruh wawasan, dan akses informasi secara
rutin dan tepat waktu
Ditunjang dengan :
• Pelaporan berkala mengenai kontrol kualitas data secara menyeluruh dan pelaporan mengenai
** kekurngan kualitas data
• Jalur eskalasi yang jelas untuk menyelesaikan masalah terkait data
1. Telah ada sistem data 1. Telah ada sistem dan 1. Telah ada penyimpanan data 1. Telah ada penyimpanan data risiko 1. Telah ada penyimpanan data risiko
terpusat dan memuat data infrastruktur data terpusat risiko terpusat khusus untuk terpusat khusus untuk Manajemen terpusat khusus untuk Manajemen Risiko
yang bisa digunakan untuk khusus untuk Manajemen Manajemen Risiko yang rutin Risiko yang rutin diperbarui yang yang rutin diperbarui yang dapat
keperluan Manajemen Risiko dalam tahap awal diperbarui yang dapat dapat digunakan oleh pengguna digunakan oleh pengguna yang tepat,
Risiko. implementasi/pilot stage digunakan oleh pengguna yang tepat, mencakup data risiko mencakup data risiko dari perusahaan
yang tepat, mencakup data dari perusahaan induk dan anak induk dan anak perusahaan dengan
2. Perusahaan belum memiliki 2. Data risiko belum risiko dari perusahaan induk dan perusahaan dengan metrik-metrik metrik-metrik terstandar.
database risiko terpusat dikumpulkan dan diperbarui anak perusahaan dengan terstandar
secara rutin metrik-metrik terstandar 2. Telah ada sistem penyimpanan data
2. Telah ada sistem penyimpanan risiko yang terpusat dan terintegrasi*
3. Database terpusat hanya 2. Fase
Telah ada sistem
Praktik yangpenyimpanan
Baik data risiko yang terpusat dan
mengambil data dari data risiko terpusat* terintegrasi* 3. Solusi TI memuat informasi mengenai
perusahaan induk, dan belum eksposur risiko, kebijakan dan prosedur
menarik data dari anak 3. Solusi TI memuat informasi 3. Solusi TI memuat informasi MR, dan limit risiko.
perusahaan (untuk mengenai eksposur risiko, mengenai eksposur
Fase Praktik yang risiko, kebijakan
perusahaan konglomerasi) kebijakan dan prosedur MR, dan prosedur MR, dan limit risiko 4. Data risiko yang dikelola mencakup
Lebih Baik
serta limit risiko. semua jenis risiko material perusahaan,
4. Database risiko terpusat 4. Pengelolaan data risiko dengan Fase data
termasuk Praktik Terbaik
untuk risiko kualitatif dan
belum digunakan di seluruh 4. Cakupan data risiko yang cakupan lebih luas untuk jenis-jenis jenis risiko yang muncul
proses risiko secara dikelola terbatas, terutama risiko material bagi perusahaan,
menyeluruh hanya untuk jenis risiko utama termasuk data untuk risiko-risiko 5. Telah ada penyimpanan data sentral
organisasi kualitatif yang dapat mencatat data kerugian
internal, termasuk near-misses.
5. Telah ada penyimpanan data
sentral yang dapat mencatat data 6. Diterapkan otomatisasi pengumpulan
kerugian internal, termasuk near- data operasional untuk pelaporan risiko
misses
Keterangan 7. Kualitas data risiko sangat baik dan
6. Diterapkan otomatisasi konsisten di seluruh lini Perusahaan**
• Telah ada solusi TI ((misal alat terkait tata kelola, Manajemen Risiko, dan kepatuhan yang digunakan untuk pengumpulan data operasional
menunjang fungsi risiko dan kontrol mulai dari penilaian risiko hingga pelaporannya (dashboard). untuk pelaporan risiko 8. Telah ada pengelolaan kualitas data
• Ada duplikasi/fragmentasi aset TI yang mengarah pada implementasi yang kompleks dari arsitektur data risiko secara otomatis dan pemanfaatan
* end-to-end/masalah kualitas data dan kompleksitas (khusus skor 3) teknologi (misal teknik berbasis AI/ML)
• Minim duplikasi/fragmentasi aset TI sehingga penerapan arsitektur data risiko secara menyeluruh (khusus skor 4 untuk mempercepat identifikasi dan
& 5) remediasi masalah kualitas data)
Ditunjang dengan :
• Pelaporan berkala mengenai kontrol kualitas data secara menyeluruh dan pelaporan mengenai kekurangan
** kualitas data
• Jalur eskalasi yang jelas untuk menyelesaikan masalah terkait data
1. Data risiko hanya tersedia 1. Data risiko telah ada untuk 1. Data risiko telah ada untuk setiap 1. Data risiko telah ada untuk setiap 1. Data risiko telah ada untuk setiap risiko
untuk risiko tertentu setiap risiko yang dipantau risiko yang dipantau risiko yang dipantau yang dipantau
2. Belum ada standarisasi 2. Belum ada database 2. Ada pengumpulan metrik risiko dari 2. Ada pengumpulan metrik dari setiap 2. Ada pengumpulan metrik dari setiap unit
metode pengumpulan dan terpusat dan informasi baru setiap unit bisnis, meskipun belum unit bisnis yang telah tersentralisasi di bisnis yang telah tersentralisasi di pusat
penyimpanan data risiko tersedia di Unit Bisnis semua data risiko telah pusat formal untuk pengumpulan dan formal untuk pengumpulan dan
tersentralisasi di pusat (masih penyimpanan data risiko penyimpanan data risiko
3. Ada standarisasi informal Fase Praktik yang Baik
manual)
untuk metode 3. Ada standarisasi formal untuk metode 3. Ada standarisasi formal untuk metode
pengumpulan dan 3. Ada standarisasi formal untuk pengumpulan danyang
Fase Praktik penyimpanan pengumpulan dan penyimpanan data
penyimpanan data risiko metode pengumpulan dan data risiko risiko
Lebih Baik
penyimpanan data risiko
4. Kualitas data risiko kurang 4. Ada kerangka pemertahanan kualitas 4. Ada kerangka pemertahanan kualitas
baik, belum ada kerangka 4. Ada kerangka pemertahanan data risiko, evaluasi dan perbaikan data risiko, evaluasi dan perbaikan
pemertahanan kualitas kualitas data risiko, namun belum secara rutin (sekali setahun) oleh secara rutin (lebih dari sekali
data seluruhnya rutin dilaksanakan pegawai/unit penanggungjawab
Fase Praktik Terbaik
setahun/berkelanjutan) oleh
pegawai/unit penanggungjawab
5. Ada penyimpanan data sentral yang
dapat diakses seluruh unit bisnis 5. Ada penyimpanan data sentral yang
dapat diakses seluruh unit bisnis
6. Data dapat diakses real time
6. Data dapat diakses real time
7. Data risiko yang dikelola mencakup
semua risiko material, termasuk data
risiko kulaitatif dan emerging risk
8. Kualitas data risiko sangat baik dan
konsisten di seluruh lini*
9. Memanfaatkan teknologi mutakhir untuk
perbaikan kualitas data (misal AI)
Keterangan
Ditunjang dengan :
• Pelaporan berkala mengenai kontrol kualitas data secara menyeluruh dan pelaporan mengenai
* kekurangan kualitas data
• Jalur eskalasi yang jelas untuk menyelesaikan masalah terkait data
1. Data risiko hanya tersedia 1. Data risiko telah ada untuk 1. Data risiko telah ada untuk setiap 1. Data risiko telah ada untuk setiap 1. Data risiko telah ada untuk setiap risiko yang
untuk risiko tertentu setiap risiko yang dipantau risiko yang dipantau risiko yang dipantau dipantau
2. Belum ada standarisasi 2. Belum ada database 2. Ada pengumpulan metrik risiko dari 2. Ada pengumpulan metrik dari setiap 2. Ada pengumpulan metrik dari setiap unit
metode pengumpulan dan terpusat dan informasi baru setiap unit bisnis, meskipun belum unit bisnis yang telah tersentralisasi di bisnis yang telah tersentralisasi di pusat formal
penyimpanan data risiko tersedia di Unit Bisnis semua data risiko telah pusat formal untuk pengumpulan dan untuk pengumpulan dan penyimpanan data
tersentralisasi di pusat penyimpanan data risiko risiko
3. Ada standarisasi informal
untuk metode 3. Ada standarisasi formal untuk 3. Ada standarisasi formal untuk metode 3. Ada standarisasi formal untuk metode
pengumpulan dan metode
Fase pengumpulan
Praktik yang Baikdan pengumpulan dan penyimpanan pengumpulan dan penyimpanan data risiko
penyimpanan data risiko penyimpanan data risiko data risiko
Fase Praktik yang 4. Ada kerangka pemertahanan kualitas data
4. Ada kerangka risiko, evaluasi dan perbaikan secara rutin
4. Kualitas data risiko kurang 4. Ada kerangka pemertahanan Lebih pemertahanan
Baik kualitas
baik, belum ada kerangka kualitas data risiko, namun belum data risiko, evaluasi dan perbaikan (lebih dari sekali setahun/berkelanjutan) oleh
pemertahanan kualitas seluruhnya rutin dilaksanakan secara rutin (sekali setahun) oleh pegawai/unit penanggungjawab
data pegawai/unit penanggungjawab
5. Ada pengumpulan data pada 5. Ada penyimpanan data sentral yang dapat
tingkat polis/nasabah tunggal*. 5. Ada penyimpanan data sentral yang diakses seluruh unit bisnis
Data yang dikumpulkan harus dapat diakses seluruh unit bisnis
6. Data dapat diakses real time
memiliki granularitas tinggi
6. Data dapat diakses real time Fase
berdasarkan fitur polis** dan fitur 7. Data risikoPraktik Terbaikmencakup semua
yang dikelola
nasabah*** 7. Ada pengumpulan data pada tingkat risiko material, termasuk data risiko kulaitatif
polis/nasabah tunggal*. Data yang dan emerging risk
dikumpulkan harus memiliki
granularitas tinggi berdasarkan fitur 8. Kualitas data risiko sangat baik dan konsisten
polis** dan fitur nasabah*** di seluruh lini****
9. Memanfaatkan teknologi mutakhir untuk
perbaikan kualitas data (misal AI)
10. Ada pengumpulan data pada tingkat
Keterangan polis/nasabah tunggal*. Data yang
dikumpulkan harus memiliki granularitas tinggi
* Termasuk Lifetime Value/LTV Polis, klaim yang dibayarkan, riwayat komunikasi, dll.
berdasarkan fitur polis** dan fitur nasabah***
** Misal tingkat cabang, klien, saluran, kontak 11. Ada penggabungan database yang otomatis
diperbarui dengan API ke data pihak ketiga,
*** Nama/entitas, industry, tautan ke informasi tentang kontak sebelumnya, dll. terdapat proses pengumpulan data eksternal
yang sedang berlangsung, serta terdapat
Ditunjang dengan: implikasi temuan analisis data untuk
o Pelaporan berkala mengenai control kualitas data secara menyeluruh dan pelaporan mengenai perbaikan Customer Value Management
**** kekurangan kualitas data (CVM) dan Customer Relationship
o Jalur eskalasi yang jelas untuk menyelesaikan masalah terkait data Management (CRM)