Layaknya mengemudikan kapal; semakin besar kapal semakin sulit pengendalian dilakukan. Chief Executive Officer (CEO) selaku nahkoda harus memperhatikan kepada banyak sekali aspek. Pada suatu titik memberikan perhatian pda setiap aspek didalam korporasi menjadi hal yang mustahil dilakukan jangan kan oleh satu orang CEO bahkan oleh satu tim manajemen puncak. Pada titik ini pimpinan perusahaan membutuhkan suatu metodologi yang komprehensif serta sistematis untuk melakukan review serta panduan pengambilan keputusan terhadap aspek operasional – bisnis perusahaan yang memiliki potensi risiko tinggi terhadap keberlangsungan usaha perusahaan. Sederhananya CEO membutuhkan alat yang depat memisahkan isu-isu operasional-bisnis dalam spektrum: (a) relevan-tidak relevan serta (b)  penting-tidak penting. Metodologi ini dikenal sebagai Enterprise Risk Management (ERM)

Sejarah lahirnya ERM dapat ditarik dari Undang-undang  Sarbanes-Oxley  di AS (Lam, 2017) yang merupakan respon dari skandal akuntansi-keuangan terbesar diabad 21: Enron dan World.Com. Belajar dari skandal tersebut baik regulator maupun dunia bisnis dan akademisi memahami bahwa piranti pengendalian internal perlu dikembangkan dalam perspektif risiko serta transparansi. Pemahaman mengenai bisnis yang ditekuni suatu korporasi tidak hanya dalam konteks penerimaan dan biaya eksplisit tetapi juga harus memasukkan risiko2 yang timbul dari praktek bisnis tersebut; yang sangat mungkin belum “diinternalisasi” secara memadai. Lebih lanjut ERM juga mengarahkan adanya suatu partisipasi dan tanggung jawab yang lebih aktif dari pemilik(pemegang saham) khususnya dalam aspek bisnis strategis: menyengkut keberlangsungan perusahaan.

Pemilik dituntut secara aktif khususnya dalam memberikan suatu panduan filosofis dalam dimensi risiko; mengensi bagaimana seharusnya bisnis perusahaan dikelola. Panduan ini dikenal dengan nama risk appetite; yang menentukan dalam intensitas apa perusahaan akan masuk ke suatu bisnis tertentu . Panduan ini meskipun bersifat normative tetapi harus dapat diturunkan dalam bentuk kuantitatif yang obyektif (dalam bentuk risk statement serta risk tolerance).

Sebagai  ilustrasi misalnya PT. XYZ adalah suatu bank dengan aset Rp. 100 Triliiun; modal Rp. 30 Triliun (25% Capital Adequacy ratio; CAR). ERM akan memberikan panduan tidak hanya normatif: seperti jenis bisnis dominan bank: korporasi/komersial/UMKM/consumer juga cara melaksanakan bisnis: apakah melalui ekspansi bisnis yang aggresif atau konservatif. Suatu pernyataan risk appetite dapat diberikan misalnya sebagai berikut: “kami bank XYZ memiliki tujuan mengembangkan  UMKM di Indonesia mengedepankan  pertumbuhan bisnis yang sehat, berkelanjutan dan prudent”. Dari pernyataan ini jelas terlihat bahwa pemilik telah memberikan panduan bagi manajemen  bahwa bank XYZ adalah bank dengan orientasi bisnis: UMKM yang mengedepankan kehati-hatian dalam melaksanakan bisnis. Dengan demikian apabila dilaksanakan Langkah bisnis memasuki pinjaman korporasi; hal tersebut merupakan suatu pelanggaran terhadap arahan pemilik. Demikian halnya pertumbuhan bisnis (Ekspansi kredit) sebesar 30% pertahun juga dapat diindikasikan sebagai suatu pelanggaran.

Risk Stement terhadap risk appetite diatas dapat dituangkan dalam bentuk indicator kuantitatif baik berifat bisnis seperti porsi kredit non UMKM terhadap total kredit ; perumbuhan kredit tahunan ; rasio kredit macet (Non performing loan; NPL)  maupun procedural-operasional misalnya exception yang diberikan (sebagai rasio terhadap total persetujuan kredit suatu tahun bisnis); assessment terhadap kualitas kontrak kredit dan pengikatan agunan dan sebagainya.DIsini bukan hanya perlu ditetapkan suatu acuan good practice tetapi juga batas toleransi. Bagaimanapun juga bisnis tidak hidup didalam vakum atau lingkungan dimana semua hal dapat dikendalikan, toleransi memberikan ruang manuver bagi tim manajemen untuk meningkatkan nilai perusahaan dengan tetap menjaga kaidah pengambilan risiko yang telah digariskan oleh pemilik. Ukuran yang kuantitatif diperlukan untuk memberikan panduan yang spesifik, kongkrit dan obyektif serta menghindari perdebatan yang tidak produktif atas capaian kinerja manajemen.

Kembali ke contoh bank XYZ; maka risk statement-risk tolerance dpat dinyatakan (misalnya) sebagai pertumbuhan kredit maksimum 15% pertahun (atau bisa juga, 3x pertumbuhan PDB nominal), porsi kredit UMKM adalah minimal 80% total kredit dengan NPL maksimum: 5% (Nett), exception atas keputusan kredit maksimum adalah 5% dari total keputusan kredit. Darimana angka-angka ini datang? Mereka bisa berasal dari berbagai sumber seperti: studi industri, global best practices; business wisdom. Diharapkan ukuran dalam risk statement-tolerance harus berasal dari diskusi yang konstuktif dan intens antara pemilik dengan manajemen serta disepakati sebagai komitmen yang akan dilakukan/dipatuhi bersama.Acuan yang bersifat sepihak (fait accomply) harus dihindari.

Keseluruhan acuan (risk appetite, risk statement dan risk tolerance) yang dijelaskan diatas bukanlah prasasti; mereka harus direview secara periodik untuk memastikan relevansi nya dengan dinamika internal dan eksternal bisnis perusahaan. Hal yang tidak kalah pentingnya dengan review relevansi tentunya adalah aktivitas pemantauan dan kinerja dari indikator2 itu sendiri; dikenal sebagai Risk Control System (RCS). Bagaimanapun juga ERM merupakan pengembangan dari system kendali internal melalui perspektif risiko. RCS harus menjadi bagian dari system umpan balik manajemen. Dengan RCS, manajemen dan pemilik dapat mengetahui posisi risiko perusahaan terhadap acuan yang disepakati semula.

Akhirnya  ERM harus dapat mengkuantifisir serta meganggregasi setiap dimensi risiko perusahaan dalam satu ukuran yang mudah dikomunikasikan kepada manajemen. Mengingat untuk dapat mempertahankan bisnis berkelanjutan dibutuhkan permodalan maka secara alamiah ERM berupaya menghasilkan Capital at Risk dari keseluruhan aktivitas bisnis-operasional. Besaran dan karakter dari Capital at Risk akan memberikan masukan bagi manajemen untuk mengembil sikap kebijakan tertentu. Perusahaan dapat memilih untuk (a) menyerap potensi risiko dengan mempersiapkan capital buffer, (b) mentranfer risiko kepada pihak ketiga (Hedging) dan (c) melakukan kegiatan preemptive untuk mengurangi probabilitas-besaran dampak risiko. Suatu kebijakan manajemen risiko juga dapat berupa bauran dari ketiganya

Akhirnya dengan berjalannya waktu, maka posisi perusahaan akan semakin tinggi dalam learning curvenya. Stok identifikasi risiko (risk inventory)akan semakin besar; sehingga banyak aktivitas-siklus pengelolaan risiko yang semula adalah bersifat adhoc (diskresi) akan menjadi rutin. Ini adalah suatu titik yang kritikal dimana manajemen-pemilik dapat terjebak pada keterlenaan (complacent). Untuk itu perusahaan harus membangun iklim budaya yang skeptis namun tetap sehat. Harus ditanamkan bahwa siklus bisnis terlebih diera terobosan teknologi saat ini sangat dinamis. Risiko-risiko bisnis-operasional baru akan muncul dan mengancam eksistensi perusahaan dengan cepat.