Kaji Ulang Manajemen Risiko Operasional
KAJI ULANG MANAJEMEN RISIKO OPERASIONAL
(OPERATIONAL RISK MANAGEMENT REVIEW)
Oleh : Z. D u n i l
A. PENGERTIAN RISIKO OPERASIONAL
Bank Indonesia memberikan pengertian tentang Risiko Operasional sebagai berikut :
Risiko Operasional adalah risiko yang antara lain disebabkan ketidakcukupan dan atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, atau adanya problem external yang mempengaruhi operasional bank.
Risiko operasional dapat menimbulkan kerugian keuangan secara langsung maupun tidak langsung dan kerugian potensial atas hilangnya kesempatan memperoleh keuntungan
Risiko operasional dapat melekat pada setiap aktivitas fungsional Bank seperti kegiatan perkreditan (penyediaan dana), tresuri dan investasi, operasional dan jasa, pembiayaan perdagangan, pendanaan dan instrumen utang, teknologi sistem informasi dan Informasi Manajemen dan pengelolaan sumber daya manusia.
Bank for International Settlement 1 (BIS) memberikan definisi tentang ‘Risiko Operasional’sebagai berikut :
Risiko operasional adalah risiko kerugian yang dapat terjadi baik langsung maupun tidak langsung yang disebabkan oleh ketidak cukupan atau kegagalan dari proses internal, orang, system atau sebab dari luar. Tercakup dalam definisi tersebut “Legal Risk “ tetapi tidak termasuk didalamnya Strategic Risk, Reputational Risk dan Systemic Risk.
Dari pengertian yang diberikan Bank Indonesia serta definisi Bank for International Settlement diatas jelas bahwa cakupan Risiko Operasional meliputi proses (baik proses transaksi maupun proses otorisasi), sistem internal bank (sistem dan prosedur transaksi,semua kegiatan dalam rangka usaha bank, peralatan yang menunjang sistem seperti computer dsb.nya), orang (staf pelaksana dan pejabat pengambil keputusan / otorisasi) dan sebab dari luar
Risiko Operasional adalah suatu terminologi yang mempunyai pengertian beragam dalam industri perbankan, dan menurut BIS untuk keperluan intern, bank dapat mengadopsi / menggunakan definisi sendiri tentang Risiko Operasional. Apapun definisi yang digunakan, yang penting bank mempunyai pemahaman yang jelas tentang maksud dari risiko operasional terhadap pengelolaan dan pengendalian kategori risiko yang efektif. Beberapa kalangan malahan memberikan definisi secara umum bahwa “Risiko operasional adalah semua risiko selain risiko kredit dan risiko pasar”. Penting untuk dipahami bahwa definisi hendaknya mempertimbangkan full range risiko operasional yang material yang dihadapi bank dan mencakup sebagian besar sebab-sebab utama kerugian operasional. :
B. BANK PERLU MEMPERHITUNGKAN RISIKO OPERASIONAL
Berdasarkan kajian-kajian Bank for Internatiomnal Settlement dapat dipahami bahwa Risiko Operasional perlu diperhitungakan menginagat hal-hal sebagai berikut :
I. Deregulasi dan globalisasi dari jasa-jasa keuangan, berserta peningkatan kerumitan teknologi keuangan, menjadikan kegiatan dari bank serta profil risikonya (misalnya, tingkat risiko antar kegiatan suatu usaha dan atau kategori risiko) menjadi lebih kompleks. Perklembangan praktik-praktik perbankan menyarankan agar risiko-risiko selain risiko kredit , risiko suku bunga / risiko pasar dapat menjadi sangat substansial sifatnya. Contoh dari risiko-risiko baru dan sedang berkembang yang dihadapi oleh bank-bank adalah :
o Penggunaan yang semakin luas terhadap teknologi otomasi yang semakin tinggi berpotensi untuk merubah risiko dari kesalahan proses secara manual menjadi risiko kegagalan sistem , selaras dengan semakin diandalkannya penggunaan sistem yang terintergarsi secara global.
o Pertumbuhan dari e-commerce disertai dengan peningkatan potensi risikonya (misal, kecurangan internal maupun external serta isu-isu tentang sistem keamanan ) yang belum dipahami secara penuh.
o Skala akuisisi yang besar , merger-merger dan de-merger serta konsolidasi menguji kebenaran dari sistem integrasi yang baru atau yang diperbarui.
o Kemunculan bank-bank yang bertindak sebagai penyedia jasa dalam volume yang besar menciptakan kebutuhan pemeliharaan yang berkesinambungan terhadap tingkat pengendalian yang tinggi serta sistem back-up nya.
o Bank-bank dapat saja mempunyai teknik-reknik mitigasi risiko (seperti , Jaminan / Kolateral , Kredit Derivatif , Netting Arrangements, dan Sekuritisasi Aset ) untuk optimalisasi eksposur mereka terhadap risiko pasar dan risiko kredit, namun pada gilirannya dapat saja menimbulkan risiko baru seperti risiko hukum (legal risk), dan
o Pertumbuhan penggunaan perjanjian ‘outsourcing’ dan keikut sertaan dalam sistem kliring dan ‘settlement’ dapat mengurangi beberapa risiko namun dapat pula menimbulkan risiko lain yang signifikan terhadap bank.
Risiko- risiko yang dikemukakan diatas dapat dikelompokkan menjadi satu yaitu sebagai ‘Risiko Operasional’, yang di-definisikan oleh BIS sebagai “risiko kerugian yang timbul dari ketidak cukupan atau kegagalan proses internal , orang atau sistem
atau sebab dari luar’. Dalam definisi dicakup risiko hukum tetapi tidak termasuk risiko strategik dan risiko reputasi.
II. BIS / Komite Basel dengan bekerja sama dengan industri perbankan , telah melakukan identifikasi tipe-tipe kejadian yang termasuk dalam risiko operasional yang berpotensi mengakibatkan kerugian yang substansial bagi bank , yaitu :
o Internal fraud. Misalnya sengaja tidak melaporkan / kurang dalam melaporkan suatu posisi, pencurian oleh pegawai, kecurangan / pembocoran rahasia terkait dengan permainan harga saham (insider trading) untuk keuntungan pribadi dsb.nya.
o External fraud. Misalnya, perampokan, pemalsuan, Cheque kitting (gali lobang tutup lobang), dan kerugian karena “computer hacking”.
o Praktek keselamatan dan keamanan pegawai. Misalnya klaim Kompensasi pekerja, pelanggaran undang-undang tentang keselamatan dan kesehatan kerja, kegiatan buruh yang terorganisasi, klaim atas pembedaan (diskriminasi), keselamatan umum.
o Langganan, produk dan praktek bisnis. Misalnya pelanggaran penggadaian, alpa dalam menjaga informasi rahasia dari nasabah, kegiatan perdagangan yang menyimpang pada rekening bank, pencucian uang, dan penjualan produk yang melanggar hukum / illegal.
o Kerusakan asset secara fisik. Misalnya terorisme, vandalisme, gempa bumi, kebakaran dan banjir.
o Gangguan bisnis dan kegagalan sistem. Misalnya, kegagalan perangkat keras dan perangkat lunak computer, problem komunikasi dan fasilitas yang sudah ketinggalan / tua.
o Eksekusi, pemindahan dan proses manajemen. Misalnya kesalahan pemasukan data, kegagalan pengelolaan jaminan, dokumentasi hukum yang tidak lengkap, akses ke rekening nasabah yang tidak berdasarkan persetujuan nasabah, kinerja pihak ketiga (bukan nasabah) yang tidak baik, dan perselisihan dengan vendor
Kecendrungan yang dikemukakan diatas, dikombinasikan dengan kejadian-kejadian yang meningkat sebagai kerugian operasional yang besar secara luas, mengarahkan bank-bank dan otoritas pengawasan bank untuk meningkatkan pandangan terhadap pengelolaan risiko operasional sebagai suatu disiplin yang inklusif , sebagai mana telah dilakukan pada berbagai industri lainnya.
III. Pada masa lalu, bank-bank sangat mengandalkan mekanisme pengendalian intern dalam ‘business line’, yang di-support oleh fungsi internal audit untuk mengelola risiko operasional. Walaupun hal ini tetap penting, saat ini terdapat suatu kegentingan dari proses dan struktur yang spesifik yang dimaksudkan untuk mengelola risiko operasional. Dalam hubungan ini semakin banyak organisasi perbankan menyimpulkan bahwa suatu program pengelolaan risiko operasional memberikan keamanan dan kebaikan, dan karenanya memberikan kemajuan dalam
mengarahkan risiko operasional sebagai suatu risiko tersendiri sebagaimana perlakuan terhadap risiko kredit dan risiko pasar
C. PRINSIP-PRINSIP MANAJEMEN RISIKO OPERASIONAL
Bank for International Settlement (BIS) telah menyusun rekomendasi berupa Prinsip-prinsip Sound Practices dalam manajemen dan supervisi terhadap Risiko Operasional dalam final paper BIS/BCBS berjudul “Sound Practices for the Management and Supervision of Operational Risk “ yang diterbitkan oleh Basel Committee on Banking Supervision pada Pebruari 2003. Paper tersebut dapat di akses melalui website Bank for International Settlement : www. bis.org.
Berdasarkan prinsip-prinsip yang dikemukakan ( terdapat 10 prinsip ) oleh Bank for International Settlement tersebut diatas, penulis mencoba menggambarkan secara matriks kesepuluh prinsip tersebut (lihat Lampiran).
Bank for International Settlement mengelompokkan prinsip prinsip tersebut kedalam 4 kategori :
I. Pengembangan Lingkup Manajemen Risiko yang sesuai (appropriate)
II. Manajemen Risiko (Identifikasi , Asesmen, Pemantauan dan Pengendalian Risiko Operasional).
III. Peranan Otoritas Pengawasan Bank (Role of Superviso).r
IV. Peranan keterbukaan (Role of Disclosure).
Topik pada rumawi I akan dibahas dalam pembahasan tentang Strategic Risk Management Review. Sedang angka rumawi III menyangkut ‘ Role of Supervisor’ tidak dibahas dalam tulisan ini sdl karena lebih menyangkut otoritas . Dengan demikian yang dijadikan bahan review terhadap pelaksanaan manajemen risiko operasional dalam kesempatan ini hanya menyangkut topik pada rumawi II dan IV.
D. KAJI ULANG MANAJEMEN RISIKO OPERASIONAL
Dalam ‘ Strategic Management Review’ akan dibahas bagaimana melakukan review terhadap tugas dan tanggungb jawab pengurus bank (dewan komisaris dan direksi) dalam mengelola ‘Risiko Operasional’. Dalam kesempatan ini di-review bagaimana pada tingkat makro Risiko Operasional tersebut diimplementasikan oleh satuan-satuan kerja yang ada, apakah prinsip-prinsip Manajemen Risiko Operasional yang direkomendasikan oleh Bank for International Settlement serta ketentuan-ketentuan yang ditetapkan oleh Bank Indonesia sudah terlaksana dengan baik.
Program review manajemen risiko operasional akan mencari jawaban atas pertanyaan-pertanyan sebagai berikut :
I. . UU Menyangkut identifikasi, Asesmen, Pemantauan dan Pengendalian Risiko Operasional.
1. Apakah bank sudah melakukan identifikasi dan asesmen terhadap risiko operasional yang material , yang melekat pada produk , kegiatan , proses dan sistem ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No. 4 dari BIS)
Bank harus meng-identifikasi, melakukan asesmen risiko operasional yang material yang melekat pada produk-produk, kegiatan-kegiatan, proses dan sistem. Bank juga harus meyakini bahwa sebelum produk baru, kegiatan dan proses di luncurkan atau dilaksanakan, risiko operasional yang melekat harus sudah melalui prosedur asesmen yang cukup
Penjelasan atas prinsip diatas sebagai berikut :
a. Identifikasi risiko adalah puncak pengembangan berikutnya dari berbagai pemantauan risiko operasional dan sistem pengendalian. Identifikasi risiko yang efektif mempertimbangkan baik faktor-faktor internal (seperti , struktur bank , sifat kegiatan bank , kualitas dari SDM bank , perubahan dalam organisasi serta turnover pegawai) maupun faktor eksternal (seperti , perubahan dalam industri dan perkembangan teknologi) yang dapat berakibat negatif terhadap pencapaian tujuan-tujuan bank
.
b. Untuk mengidentifikasi risiko-risiko potensial yang paling merugikan, bank harus melakukan asesmen terhadap bahaya dari risiko-risiko tersebut. Asesmen risiko yang efektif memungkinkan bank untuk memperoleh pemahaman yang lebih baik terhadap profil risiko serta target manajemen risiko sumber daya yang paling efektif.
c. Diantara ‘tools’ yang digunakan bank untuk mengidentifikasi dan melakukan asesmen terhadap risiko operasional adalah :
c.1. Menilai / menghitung risiko sendiri (self-risk assessment).
Suatu bank melakukan asesmen terhadap operasi dan kegiatan terhadap suatu daftar bahaya-bahaya risiko operasional yang potensial. Proses ini secara internal didorong dan sering menggunakan check-list dan atau semacam seminar (workshops ) untuk meng-identifikasi kekuatan dan kelemahan lingkungan (environments) dari risiko operasional. Metode Scorecards, umpamanya, menyediakan suatu sarana untuk menerjemahkan asesmen yang kualitatif menjadi perhitungan-perhitungan yang kuantitatif yang menghasilkan secara relatif ranking dari berbagai tipe eksposur risiko operasional. Beberapa skor mungkin berkaitan dengan risiko yang unik terhadap suatu line bisnis, sementara yang lain dapat membuat ranking risiko yang berbeda dengan line bisnis. Skor dapat diarahkan pada risiko-
risiko yang melekat (inherent) sebagaimana pengendalian untuk mitigasi risiko tersebut. Scorecards mungkin dapat digunakan bank untuk meng-alokasikan economic capital pada line bisnis dalam hubungannya dengan kinerja dalam mengelola dan mengendalikan berbagai aspek risiko operasional.
c.2. Pemetaan risiko (risk mapping ) :
Dalam proses in, berbagai unit bisnis, fungsi-fungsi organisasi atau alur proses (process flows) dipetakan berdasarkan tipe risiko. Cara ini dapat menghasilkan area-area yang mempunyai kelemahan dan membantu menetapkan prioritas kegiatan manajemen selanjutnya
c.3. Indikator risiko (Risk indicators).
Indikator indikator risiko adalah statistik dan atau metrics, sering dalam financial , yang dapat memberikan penglihatan terhadap suatu posisi risiko suatu bank. Indikator-indikator ini perlu dikaji ulang (review) secara periodi (bulanan atau kuartalan) untuk menjaga kewaspadaan bank terhadap perubahan yang mungkin merupakan indikasi yang berkaitan dengan risiko. Indikator-indikator tersebut dapat mencakup sejumlah kegagalan dalam trading, tingkat turnover staf, frekuensi dan jumlah kesalahan (errors) serta frekuensi kehilangan.
c.4. Pengukuran (measurements).
Beberapa perusahaan mulai memperhitungkan eksposur mereka terhadap risiko operasional dengan menggunakan berbagai pendekatan. Misalnya, data kerugian bank berdasarkan pengalaman dapat menyediakan informasi yang berharga dalam melakukan asesmen terhadap eksposur bank pada risiko operasional dan mengembangkan suatu kebijakan untuk mitigasi / pengendalian risiko. Cara yang efektif untuk memanfaatkan informasi ini adalah dengan membentuk suatu kerangka kerja yang secara sistimatis melaksanakan napaktilas (tracking) dan pencatatan (recording) frekuensi, severity, dan informasi lain tentang kejadian-kejadian yang menyebabkan kerugian individual. Beberapa perusahaan bahkan mengkombinasikan data kerugian internal dengan data kerugian eksternal, membuat scenario analyses dan faktor-faktor asesmen risiko.
Kriteria Bank Indonesia : (Lampiran SEBI No. 5/21/2003/DPNP , rumawi III. 4.d. 1) s/d 2)).
Proses Identifikasi, Pengukuran, Pemantauan dan Sistem Informasi Manajemen Risiko Operasional
(1) Identifikasi Risiko Operasional
a) Bank harus melakukan identifikasi dan analisa terhadap faktor penyebab timbulnya risiko operasional yang melekat pada seluruh aktivitas fungsional, produk, proses dan sistem informasi, baik yang disebabkan oleh faktor intern maupun ekstern yang berdampak negatif terhadap pencapaian sasaran organisasi Bank.
b) Bank harus memiliki prosedur penilaian yang memadai terhadap risiko operasional yang melekat pada aktivitas dan produk baru termasuk proses dan sistemnya.
c) Hasil identifikasi tersebut selanjutnya digunakan oleh Bank untuk
mengembangkan suatu database mengenai jenis kerugian (loss events) yang ditimbulkan oleh risiko operasional.
d) Metode yang dapat digunakan Bank untuk mengidentifikasi risiko operasional, antara lain:
(1) self risk assessment berupa checklists untuk mengidentifikasi kekuatan dan kelemahan pada lingkungan risiko operasional Bank, seperti peranan Komisaris dan Direksi, struktur organisasi, sumber
daya manusia, serta arus informasi dan komunikasi pada Bank;
(2) risk mapping berupa pemetaan menurut jenis risiko terhadap aktivitas fungsional, struktur organisasi dan arus proses transaksi;
(3) key risk indicators berupa statistik atau matriks yang menyediakan data posisi risiko operasional Bank, seperti jumlah pembatalan transaksi, tingkat perputaran pegawai, dan frekuensi kesalahan (errors);
(4) scorecards yang menyediakan metode untuk mentranslasikan penilaian/kriteria kualitatif menjadi matriks kuantitatif, yang dapat digunakan untuk mengalokasikan kebutuhan modal masingmasing
aktivitas fungsional.
(2) Pengukuran Risiko Operasional
a) Setelah Bank melakukan identifikasi risiko operasional yang melekat
pada aktivitas fungsional tertentu, Bank harus menilai parameter yang mempengaruhi eksposur risiko operasional, antara lain jumlah dan frekuensi:
(1) kegagalan dan kesalahan sistem;
(2) sistem admin istrasi;
(3) kegagalan hubungan dengan nasabah;
(4) accounting error;
(5) penundaan dan kesalahan penyelesaian pembayaran;
(6) fraud;
(7) rekayasa akunting;
(8) strategic failure.
b) Pengumpulan Data Risiko Operasional
(1) Sumber utama dalam penerapan manajemen risiko operasional adalah data historis mengenai kerugian Bank yang disebabkan risiko operasional yang telah divalidasi dan diverifikasi.
(2) Data kerugian risiko operasional terdiri dari kejadian (events) yang
bersifat rutin, berfrekuensi tinggi namun berdampak rendah maupun yang berfrekuensi rendah namun berdampak tinggi terhadap rugi laba Bank.
Data kerugian tersebut bersifat:
1) dapat diprediksi (expected) seperti events yang memiliki frekuensi yang tinggi namun berdampak rendah; atau
2) sulit diprediksi (unexpected) seperti events yang memiliki frekuensi rendah namun berdampak tinggi.
c) Bank harus memiliki metodologi pengukuran risiko operasional yang tepat, sumberdaya manusia yang kompeten dan infrastruktur sistem yang memadai dalam rangka mengidentifikasi dan mengumpulkan data risiko operasional.
d) Bank harus mencatat dan menatausahakan setiap events termasuk jumlah potensi kerugian yang diakibatkan events dimaksud dalam suatu administrasi data. Pencatatan dan penatausahaan data tersebut disusun dalam suatu data stastistik yang dapat digunakan untuk memproyeksikan potensi kerugian pada suatu periode dan aktivitas fungsional tertentu.
2. Apakah bank sudah melakukan pemantauan secara berkala terhadap profil risiko operasional serta eksposur kerugian yang material ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No. 5 dari BIS)
Bank mengimplementasikan suatu proses pemantauan secara berkala tentang profil risiko operasional dan eksposur kerugian yang material . Harus ada laporan berkala mengenai informasi yang berkaitan kepada direksi bank dan dewan komisaris yang mendorong pelaksanaan manajemen risiko operasional yang proaktif Penjelasan atas prinsip tersebut sebagai berikut :
a. Proses pemantauan yang efektif diperlukan dalam pengelolaan risiko operasional yang cukup / memadai (adequate). Aktivitas pemantauan secara reguler dapat memberikan keuntungan atau mempercepat deteksi dan koreksi terhadap kekurangan-kekurangan pada kebijakan , proses dan prosedur dalam pengelolaan risiko operasional. Deteksi yang tepat waktu , yang mengarah kepada kekurangan-kekurangan dimaksud dapat secara substansi mengurangi frekuensi dan atau severity (nilai uang) dari kejadian-kejadian kerugian.
b. Dalam pemantauan kejadian-kejadian kerugian operasional, bank harus meng-identifikasi indikator-indikator yang sesuai yang menjadi peringatan dini (early warning) peningkatan suatu risiko kerugian yang akan terjadi (future). Indikator-indikator dimaksud {sering disebut sebagai ‘indikator risiko kunci’ (key risk in dicators ) atau indikator peringatan dini (earlywaring indicators)} haruslah melihat kedepan (forward l ooking) dan dapat merefleksikan sumber-sumber potensial dari risiko operasional seperti pertumbuhan yang pesat, peluncuran produk baru, turnover pegawai, pemutusan / pembatalan transaksi, system downtime dan sebagainya. Jika ambang batasnya berkaitan langsung dengan indikator-indikator ini, suatu proses pemantauan .yang efektif dapat membantu mengidentifikasi risiko-risiko kunci yang material dalam suatu cara yang transparan yang memungkinkan bank untuk bertindak terhadap risiko-risiko dimaksud secara tepat.
c. Frekuensi pemantauan harus mencerminkan risiko-risiko yang diperhitungkan serta frekuensi dan sifat perubahan dari lingkungan operasional. Pemantauan harus menjadi bagian yang integral dari kegiatan bank. Hasil pemantauan kegiatan ini harus tercakup dalam pengelolaan berkala serta laporan kepada dewan komisaris, sebagaimana kaji ulang terhadap kepatuhan yang dilakukan oleh internal audit dan atau fungsi-fungsi manajemen risiko. Laporan yang dihasilkan (dan atau untuk) Otoritas Pengawasan Bank dapat pula menginformasikan pemantauan ini dan sepertinya harus dilaporkan secara internal baik kepada direksi maupun dewan komisaris, mana yang dipandang lebih tepat.
d. Direksi bank harus menerima laporan berkala dari area yang sesuai seperti unit bisnis, fungsi-fungsi grup, satuan kerja manajemen risiko operasional, dan internal audit. Laporan-laporan risiko operasional harus berisi keuangan internal, data operasional dan kepatuhan, sebagaimana informasi pasar eksternal tentang kejadian-kejadian dan kondisi yang relevan terhadap pembuatan keputusan. Laporan harus didistribusikan kepada tingkatan manajemen yang sesuai dan untuk merefleksikan area setiap masalah yang di-identifikasi yang dapat terkena dampak. Laporan-laporan harus mencerminkan secara penuh setiap masalah yang di-identifikasi dan harus memotivasi tindalan koreksi yang tepat waktu terhadap masalah (issues) yang terbuka (outstanding). Untuk meyakini penggunaan dan keyakinan terhadap risiko-risiko operasional serta laporan audit, manajemen harus secara regular memeriksa ketepatan waktu, akurasi dan relevansi dari sistem pelaporan dan pengendalian intern secara umum. Manajemen juga dapat menggunakan laporan yang disajikan oleh sumber-sumber luar ( ekstenal auditor dan Otoritas Pengawasan Bank) untuk melaksanakan asesmen terhadap penggunaan dan dapat dipercayanya (reliability) laporan-laporan internal. Laporan-laporan harus dianalisa dengan suatu pandangan untuk perbaikan kinerja manajemen risiko yang sedang dilaksanakan, sebagaimana pengembangan kebijakan manajemen risiko baru, prosedur-prosedur dan praktik-praktik.
e. Dewan komisaris harus menerima informasi yang mencukupi (sufficient) untuk memungkinkan mereka memahami profil risiko operasional secaraoverall dan fokus terhadap implikasi-implikasi strategik yang material bagi bisnis.
Kriteria Bank Indonesia : (Lampiran SEBI No. 5/21/2003/DPNP , rumawi III. 4.d. 3) dst ).
Pemantauan Risiko Operasional
a) Bank harus melakukan pemantauan risiko operasional secara berkelanjutan terhadap seluruh eksposur risiko operasional serta kerugian (loss events) yang dapat ditimbulkan oleh aktivitas fungsional utama (major business line), antara lain dengan cara menerapkan sistem pengendalian intern dan menyediakan laporan berkala mengenai kerugian yang ditimbulkan oleh risiko operasional.
b) Bank harus melakukan review secara berkala terhadap faktor-faktor penyebab timbulnya risiko operasional serta dampak kerugiannya.
c) Satuan Kerja Manajemen Risiko harus menyusun laporan mengenai kerugian dari risiko operasional dan hasil review kepatuhan audit intern serta menyampaikan laporan tersebut kepada Komite Manajemen Risiko dan Direksi.
Sistem Informasi Manajemen Risiko Operasional
a) Bank harus memiliki sistem dan teknologi informasi yang memadai, sesuai dengan sifat dan volume transaksi.
b) Sistem informasi manajemen harus dapat menghasilkan laporan yang lengkap dan akurat yang digunakan untuk pemantauan risiko dalam rangka mendeteksi dan mengkoreksi penyimpangan secara tepat waktu guna mengurangi potensi terjadinya loss events .
c) Sistem informasi manajemen harus dapat menyediakan laporan eksposur risiko operasional secara lengkap, akurat dan tepat waktu dalam rangka proses pengambilan keputusan oleh Direksi.
3.Apakah bank mempunyai kebijakan, proses dan prosedur untuk mengendalikan dan atau mengurangi risiko yang material dari risiko operasional ?. Apakah Bank sudah secara periodik melakukan kaji ulang terhadap limit risiko mereka serta strategi pengendaliannya dan melakukan penyesuaian yang diperlukan ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No.6 dari BIS)
Bank harus mempunyai kebijakan, proses dan prosedur untuk mengendalikan dan atau mengurangi risiko yang material dari risiko operasional . Bank harus secara periodik melakukan kaji ulang terhadap limit risiko mereka serta strategi pengendaliannya dan meyesuaikan profil risiko operasional dengan menggunakan strategi yang cocok, dipandang dari risk appetite dan profil risiko secara menyeluruh
Penjelasan :
a. Kegiatan pengendalian dirancang untuk mengarahkan agar bank dapat meng-identifikasi risiko operasional. Terhadap semua risiko operasional yang material yang sudah di-identifikasi bank harus memutuskan apakah akan digunakan prosedur yang sesuai untuk mengendalikan dan atau mengurangi risiko atau dibebani (diperhitungkan ) risikonya. Terhadap risiko-risiko yang tidak dapat dikendalikan , bank harus memutuskan apakah menerima risiko tersebut, mengurangi tingkat aktivitas bisnis yang bersangkutan, atau menarik diri dari bisnis dimaksud secara total. Proses pengendalian dan prosedur-prosedur harus dibentuk dan bank harus sudah mempunyai sistem untuk meyakini kepatuhan terhadap kebijakan internal yang sudah terdokumentasi (tertulis) yang berkaitan dengan sistem manajemen risiko. Elemen-elemen pokok dapat mencakup , sebagai misal :
o Kaji ulang oleh manajemen puncak terhadap perkembangan bank dihadapkan dengan tujuan-tujuan yang sudah ditetapkan.
o Pemeriksaan kepatuhan terhadap pengendalian manajemen (management controls)
o Kebijakan, proses dan prosedur mengenai kaji ulang, perlakuan dan perbaikan terhadap masalah penyimpangan dari ‘kepatuhan’ , dan
o Suatu sistem persetujuan (approvals) dan otorisasi (authorisations) yang terdokumentasi untuk meyakini pertanggung jawaban dari suatu tingkatan manajemen yang sesuai.
b. Walaupun suatu kerangka kerja formal, kebijakan dan prosdedur tertulis sangat penting, namun perlu diperkuat melalui suatu budaya pengendalian yang kuat yang mengembangkan praktik-praktik manajemen risiko yang sehat. Baik dewan komisaris maupun direksi bertanggung jawab terhadap pengembangan budaya pengendalian intern dimana kegiatan pengendalian merupakan bagian integral dari kegiatan regular dalam suatu bank. Pengendalian yang merupakan bagian integral dalan suatu kegiatan yang regular dapat mempercepat respon terhadap perubahan kondisi dan menghindari biaya-biaya yang tidak perlu.
c. Suatu sistem pengendalian intern yang effektif juga mensyaratkan bahwa harus ada pemisahan tugas yang tepat dan bahwa pegawai tidak ditugaskan pada posisi yang menimbulkan pertentangan kepentingan (conflict of interest). Penugasan yang menimbulkan pertentangan individual atau suatu tim , dapat menimbulkan kerugian, kesalahan-kesalahan (errors) dan tindakan-tindakan yang tidak patut. Karena itu area dimana terdapat conflict of interest harus di-identifikasi, diminimalisasi dan wajib untuk dipantau dan dikaji ulang.
d. Sebagai tambahan dalam pemisahan tugas (segregation of duties), bank-bank harus meyakini bahwa praktik-praktik internal lainnya yang sesuai untuk pengendalian risiko operasional harus tersedia . Contoh-contoh berikut termasuk didalamnya :
o Pemantauan yang ketat yang ditekankan pada arah limit risiko yang ditetapkan atau pada ambang batas.
o Mempertahankan pengamanan akses, dan penggunaan aset bank dan catatan-catatannya.
o Meyakini bahwa staf mempunyai keahlian dan terlatih
o Meng-identifikasi bisnis line atau produk yang memberikan penghasilan diluar dari yang diharapkan secara wajar, (misalnya, dimana suatu risiko diperkirakan adalah rendah, kegiatan perdagangan yang diperkirakan berpenghasilan rendah menghasilkan keuntungan yang tinggi, yang dapat menjadi pertanyaan apakah penghasilan tersebut diperoleh karena suatu pelanggaran pengendalian intern ), dan
o Verifikasi dan rekonsiliasi secara berkala terhadap transaksi-transaksi serta rekening-rekening.
Kegagalan dalam meng-implementasikan praktik-praktik dimaksud telah menyebabkan kerugian operasional pada beberapa bank dalam tahun-tahun terakhir.
e. Risiko operasional dapat menjadi lebih nyata pada bank yang mempunyai aktivitas baru atau mengembangkan produk baru (umumnya karena kegiatan atau produk dimaksud tidak sejalan atau konsisten dengan strategi bisnis inti (core business) bank. Memasuki pasar yang tidak biasa dimasuki dan atau mengikatkan diri pada bisnis yang secara geografi jauh dari kantor pusat bank. Lebih lanjut, dalam banyak contoh, perusahaan tidak meyakini bahwa infra struktur pengendalian manajemen risiko sejalan dengan pertumbuhan dalam kegiatan bisnis. Sejumlah kerugian dalam volume besar serta profil kerugian yang tinggi dalam tahun-tahun terakhir terjadi karena adanya satu atau lebih kondisi tersebut diatas. Karena itu pengurus bank harus meyakini bahwa terdapat perhatian yang semestinya terhadap kegiatan-kegiatan pengendalian intern apabila terdapat kondisi seperti dimaksud diatas.
f. Beberapa risiko operasional yang penting mempunyai probability yang rendah namun mempunyai dampak keuangan yang besar. Lebih lanjut , tidak semua risiko yang terjadi dapat dikendalikan (misal, bencana alam). Peralatan peralatan untuk mitigasi risiko atau program-program dapat digunakan untuk mengurangi eksposure risiko, baik frekuensi maupun nilainya terhadap kejadian-kejadian. Misalnya penutupan asuransi, khususnya terhadap sesuatu yang harus dilakukan segera (prompt) dan sarana pembayaran tertentu, dapat digunakan untuk melepaskan kepada pihak luar risiko suatu kerugian yang frekuensinya rendah, namun jumlahnya besar, yang dapat terjadi sebagai akibat dari klaim pihak ketiga karena kesalahan (errors) dan kealpaan (omission), kehilangan fisik surat berharga, kecurangan pegawai atau pihak ketiga, serta bencana alam.
g. Namun demikian, bank harus memandang peralatan mitigasi risiko sebagai pelengkap (complementary), tidak sebagai pengganti (replacement) dari
pengendalian intern risiko operasional. Mekanisme yang siap pakai yang secara cepat mengetahui dan memperbaiki kesalahan-kesalahan risiko operasional yang berlaku dapat mengurangi eksposur risiko secara signifikan. Pertimbangan yang hati-hati juga diperlukan untuk menetapkan seberapa jauh peralatan mitigasi risiko seperti asuransi sungguh-sungguh mengurangi risiko.atau men-transfer risiko kepada sektor bisnis atau area lain, atau bahkan menciptakan risiko baru (misalnya risiko hukum dan counterparty risk).
h. Investasi dalam technology processing yang sesuai, pengamanan sistem informasi teknologi (IT security) juga penting dalam mitigasi risiko. Namun bank harus waspada bahwa peningkatan otomasi dapat merubah ‘frekuensi yang tinggi , nilai kerugian rendah ‘ menjadi ‘ frekuensi rendah , nilai kerugian tinggi’. Yang terakir tersebut dapat dianggap berkaitan dengan kerugian karena gangguan pelayanan disebabkan faktor-faktor internal atau faktor-faktor diluar pengendalian langsung bank (misal,kejadian dari luar/external events). Masalah-masalah demikian dapat menyebabkan kesulitan yang serius bagi bank dan dapat membahayakan kemampuan institusi dalam menyelenggarakan kegiatan bisnis kunci (key business). Sebagaimana dibahas dibawah dalam Prinsip No.7, bank harus membentuk rencana darurat atau rencana kesinambungan usaha yang mengarah kepada risiko ini.
i. Bank juga harus menetapkan kebijakan untuk mengelola risiko yang berkaitan dengan kegiatan outsourcing. Aktivitas yang di-outsourcing-kan dapat mengurangi profil risiko institusi dengan cara men-transfer kegiatan kepada pihak lain yang mempunyai keahlian yang lebih baik dan mempunyai kemampuan untuk mengelola risiko yang terkait dengan kegiatan-kegiatan bisnis tertentu. Namun suatu bank yang menggunakan pihak ketiga, tidak mengurangi tanggung jawab dewan komisaris dan direksi bank untuk meyakini bahwa pihak ketiga diarahkan sedemikian rupa agar aman dan sound dan mematuhi ketentuan serta hukum yang berlaku. Perjanjian-perjaniian outsourcing harus didasarkan pada kontrak yang tegas dan atau perjanjian tingkat layanan dalam meyakini suatu pembagian (alokasi) tanggung jawab yang jelas antara eksternal service provider dengan bank . Lebih lanjut, bank perlu mengelola risiko yang tidak dicakup dalam perjanjian outsourcing termasuk risiko penghentian layanan oleh outsourcing vendors.
j. Berdasarkan skala dan sifat kegiatan, bank harus memahami akibat potensial dari operasi yang mereka lakukan serta nasabah-nasabah bank terhadap kemungkinan kekurangan-kekurangan pelayanan yang dilakukan oleh vendor d maupun pihak internal dan pihak ketiga lainnya sebagai service provider, termasuk terhentinya operasi dan potensi kegagalan bisnis lainnya atau kegagalan (default) dari pihak eksternal. Dewan komisaris dan direksi bank harus meyakini bahwa ekspektasi dan kewajiban dari pihak lain harus didefinisikan dengan jelas, dipahami dan harus dapat dilaksanakan .(enforceable). Luas tanggung jawab pihak ketiga serta kemampuan keuangan mereka untuk kompensasi terhadap kesalahan (errors), kealpaan (negligence) dan kegagalan operasional lainnya yang terjadi, harus dipertimbangkan secara seksama sebagai bagian dari asesmen risiko. Hendaknya, bank melakukan due diligence test dan memantau kegiatan service provider pihak ketiga, khususnya terhadap mereka yang kurang berpengalaman dalam lingkungan industri dan regulasi perbankan dan melakukan kaji ulang (review) proses ini (termasuk melakukan penilaian ulang terhadap hasil due diligence) secara berkala. Terhadap kegiatan yang sangat penting, bank dapat mempertimbangkan rencana darurat, termasuk ketersediaan alternatif pengganti pihak ketiga serta biaya dan sumber daya yang dibutuhkan untuk men-switch pihak luar (pihak ketiga) secara mendadak.
k. Dalam keadaan tertentu, bank dapat mempertimbangkan apakah akan mempertahankan tingkat risiko operasional tertentu atau menerima risiko tersebut sebagai tanggungan sendiri (self insure). Dalam kasus demikian dan risiko dimaksud material, keputusan untuk menahan dan self insure risiko tersebut harus dilakukan secara transparan dalam organisasi dan harus dilaksanakan konsisten dengan strategi bisnis bank secara menyeluruh (overall) serta risk appetite bank
Kriteria Bank Indonesia : (Lampiran SEBI No. 5/21/2003/DPNP , rumawi III. 4.c. 1) s/d 6) dan 4.e. 1) s/d 7)).Kebijakan, Prosedur dan Penetapan Limit
1) Umum
a) Bank harus memiliki kebijakan pengelolaan risiko operasional yang
sesuai dengan misi, strategi bisnis, kecukupan permodalan dan
kecukupan sumberdaya manusia.
b) Bank harus menetapkan dan menerapkan prosedur untuk menilai risiko operasional dan memantau eksposur risiko operasional secara berkala pada beberapa aktivitas fungsional utama.
c) Bank harus melakukan evaluasi dan pengkinian kebijakan dan prosedur pengelolaan risiko operasional sesuai dengan eksposur risiko operasional, profil risiko dan budaya ris iko Bank.
d) Bank harus menetapkan limit (cadangan) risiko operasional dengan mempertimbangkan eksposur risiko dan pengalaman kerugian masa lalu yang diakibatkan oleh risiko operasional. Penetapan limit tersebut harus direview dan disesuaikan dalam hal terdapat perubahan eksposur risiko operasional secara signifikan.
e) Kebijakan, prosedur dan proses penetapan limit risiko operasional harus didokumentasikan secara tertulis dan lengkap sehingga memudahkan untuk dilakukan jejak audit (audit trail).
2) Penyelesaian Transaksi (Settlement )
a) Bank harus memiliki prosedur untuk mengukur eksposur risiko penyelesaian transaksi, khususnya apabila risiko tersebut berasal dari transaksi valuta asing dan kegiatan pembiayaan perdagangan.
b) Bank harus melakukan penilaian terhadap tahapan dalam proses
penyelesaian transaksi, khususnya mengenai batas akhir perintah pembayaran, batas akhir penerimaan dan waktu pencatatan pembayaran dana.
c) Bank harus menyusun suatu prosedur pemantauan penyelesaian
transaksi baru atau apabila terdapat transaksi yang belum diselesaikan pembayarannya.
d) Bank harus menyediakan prosedur penyelesaian transaksi yang disebabkan oleh adanya kondisi likuiditas Bank yang memburuk.
e) Bank harus melakukan konfirmasi transaksi secara tepat waktu sesuai dengan prosedur yang ditetapkan dan memantau transaksi tersebut secara konsisten.
3) Akuntansi
Bank harus memastikan bahwa penggunaan metode akuntansi adalah
sesuai dengan standar akuntansi yang berlaku serta memperhatikan hal-hal sebagai berikut:
a) melakukan review secara berkala guna memastikan ketepatan metode yang digunakan untuk menilai transaksi;
b) melakukan review secara berkala terhadap kesesuaian metode akuntansi yang digunakan dengan standar akuntansi keuangan yang berlaku;
c) melakukan rekonsiliasi data transaksi secara berkala;
d) mengidentifikasi dan menganalisa setiap ketidakwajaran transaksi yang terjadi;
e) memelihara seluruh dokumen dan arsip (file) yang berkaitan dengan rincian rekening (accounts), sub-ledgers, buku besar (general ledgers) administrasi klasifikasi aset dan dokumentasi pembentukan provisi, guna memudahkan proses jejak audit (audit trail).
4) Inventarisasi Aset dan Kustodian
a) Bank harus memelihara data akuntansi dan rincian aset pihak ketiga yang dipelihara/dititipkan (kustodian).
b) Bank harus memperoleh informasi yang memadai mengenai keaslian
penyimpanan/penitipan aset dalam rangka memastikan bahwa aset yang dititipkan tidak memiliki permasalahan hukum.
c) Bank harus melakukan pengecekan secara berkala antara data aset yang dititipkan dengan perjanjian/kontraknya.
5) Profil Nasabah dan Prinsip Mengenal Nasabah (KYC)
a) Bank harus menerapkan Prinsip Mengenal Nasabah (KYC) secara konsisten sesuai dengan eksposur risiko operasional. KYC harus didukung oleh sistem pengendalian intern yang efektif, khususnya upaya pencegahan Bank terhadap kejahatan internal (internal fraud).
b) Dalam penerapan KYC tersebut, Bank wajib memenuhi seluruh persyaratan dan pedoman sebagaimana yang diatur dalam ketentuan yang berlaku tentang Prinsip Mengenal Nasabah (KYC).
6) Profil Karyawan (Employees’ Profiles ).
Bank harus memiliki dan menerapkan kebijakan tentang tanggungjawab,
kewenangan dan akses pegawai/karyawan terhadap sistem informasi tertentu. Kebijakan tersebut didukung oleh prosedur akses terhadap sistem informasi manajemen, sistem informasi akuntansi, sistem pengelolaan risiko, pengamanan di dealing room, dan ruang pemrosesan data.
Pengendalian Risiko Operasional
1) Bank harus memiliki kebijakan, prosedur dan proses untuk mengendalikan atau memitigasi risiko operasional, sesuai dengan kompleksitas operasional Bank.
2) Dalam penerapan pengendalian risiko operasional, Bank dapat mengembangkan program untuk memitigasi risiko operasional antara lain pengamanan proses teknologi informasi, asuransi, dan outsourcing sebagian kegiatan operasional Bank.
3) Dalam hal Bank mengembangkan pengamanan proses teknologi informasi, Bank harus memastikan tingkat keamanan dari electronic data processing.
4) Pengendalian terhadap sistem informasi haru s memastikan:
a) adanya penilaian berkala terhadap pengamanan sistem informasi, yang disertai dengan tindakan korektif apabila diperlukan;
b) tersedianya prosedur back-up untuk menjamin berjalannya kegiatan operasional Bank dan mencegah terjadinya gangguan yang signifikan;
c) tersedianya prosedur back-up dan rencana darurat (contingency plan) yang diuji secara berkala;
d) adanya penyampaian informasi kepada Direksi mengenai permasalahan pada huruf a) sampai dengan c);
e) tersedianya penyimpanan informasi dan dokumen yang berkaitan dengan analisa, programming dan pelaksanaan pemrosesan data.
5) Bank harus memiliki support system, yang sekurang-kurangnya mencakup:
a) identifikasi error secara dini;
b) pemrosesan dan penyelesaian seluruh transaksi secara efisien, akurat dan tepat waktu; dan
c) kerahasiaan, kebenaran serta keamanan transaksi.
6) Tindak Lanjut Hasil Audit Intern dan Ekstern :
a) Bank harus menindaklanjuti hasil temuan audit intern maupun ekstern dan selanjutnya melakukan serangkaian tindakan korektif.
b) Temuan audit yang belum ditindaklanjuti atau hanya sebagian dilakukan perbaikan harus diinformasikan oleh SKAI kepada Direksi.. Apabila temuan tersebut signifikan, Direksi menetapkan jangka waktu perbaikan dan menugaskan SKAI untuk memantau perkembangan efektivitas pelaksanaan tindakan korektif yang diambil.
7) Bank harus melakukan kaji ulang secara berkala terhadap prosedur, dokumentasi, sistem pemrosesan data, contingency plan, dan praktik operasional lainnya guna mengurangi kemungkinan terjadinya kesalahan manusia (human error) yang menimbulkan risiko operasional.
4. Apakah bank sudah mempunyai rencana darurat dan rencana kesinambungan usaha yang siap pakai untuk meyakini bahwa banktetap dapat terus beroperasi dalam suatu batasan kerugian dan gangguan bisnis yang besar ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No.7 dari BIS)
Bank harus mempunyai rencana darurat dan rencana kesinambungan usaha yang siap pakai untuk meyakini bahwa bank tetap dapat terus beroperasi dalam suatu batasan kerugian dan gangguan bisnis yang besar.
Lebih rinci sebagai berikut :
4.1. Apakah bank sudah mempunyai rencana darurat yang siappakai ? Apakah rencana tersebut sudah memperhitungkan berbagai kemungkinan disertai dengan skenario penanggulangan ?
a.Terhadap alasan-alasan yang mungkin diluar pengendalian suatu bank, suatu kejadian tertentu mungkin dapat menyebabkan ketidak berdayaan bank untuk memenuhi kewajiban bisnisnya, khususnya apabila secara fisik telekomunikasi , atau infrastruktur Teknologi Informasi (IT) mengalami kerusakan atau tidak dapat di-akses. Pada gilirannya hal ini dapat menyebabkan kerugian finansial yang besar pada bank, sebagaimana terhentinya secara luas sistem finansial melalui kanal-kanal (channels) seperti sistem pembayaran. Potensi atas hal ini menyebabkan bank memerlukan rencana darurat dan rencana kesinambungan usaha yang mempertimbangkan berbagai tipe skenario yang mungkin dilakukan terhadap mana bank dapat menghadapi bahaya (vulnerable) secara sebanding dengan ukuran dan kompleksitas operasi bank.
4.2. Apakah bank sudah mempunyai mekanisme alternatif untuk memulai kembali operasi bisnis yang terhenti ? Apakah ada system pengamanan / back up terhadap catatan bank baik catatan elektronik maupun catatan fisik (physical records)
b. Bank harus meng-identifikasi proses bisnis yang kritikal termasuk hal-hal dimana bank sangat tergantung pada eksternal vendor atau pihak ketiga lainnya dimana kelancaran pemulaian bisnis merupakan hal yang paling penting. Terhadap proses ini bank harus meng-identifikasi mekanisme alternatif untuk melanjutkan atau memulai kembali layanan dalam hal terdapat kejadian penghentian. Harus ada perhatian khusus terhadap kemampuan untuk memperbaiki (restore) catatan-catatan elektronik (electronic records) atau catatan catatan fisik (physical records) yang diperlukan untuk melanjutkan bisnis. Apabila catatan-catatan dimaksud di-back-up diluar bank (off site facility) , atau dalam hal operasi bank harus dipindah ke lokasi baru, harus diperhatikan bahwa lokasi tersebut haruslah cukup jauh dari kemungkinan
terkena dampak operasi, untuk meminimalkan risiko agar catatan utama (primary) serta catatan back-up tidak secara bersama terkena suatu musibah.
4.3. Apakah dilakukan kaji ulang secara berkala tentang rencana darurat dan kesinambungan usaha untuk menilai kesesuaiannya dengan perkembangan bank dan apakah dilakukan test untuk meguji keandalannya ?
c. Bank harus melaksanakan kaji ulang terhadap rencana darurat serta rencana kesinambungan usaha mereka secara konsisten dengan strategi bisnis serta operasi saat ini. Lebih lanjut rencana dimaksud harus lah diuji (test) secara periodik untuk meyakini bahwa bank akan mampu melaksanakan rencana tersebut dalam hal terdapat kejadian yang tidak diinginkan atau terhentinya suatu kegiatan bisnis.
II. Peranan Keterbukaan (Role of Disclosure).
5. Apakah bank sudah melakukan keterbukaan yang cukup kepada publik untuk memungkinkan pelaku pasar melaksanakan asesmen terhadap pendekatan manajemen risiko operasional oleh bank ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No.7 dari BIS)
Bank harus melakukan keterbukaan yang cukup kepada publik untuk memungkinkan pelaku pasar melaksanakan asesmen terhadap pendekatan manajemen risiko operasional oleh bank. Penjelasan :
a. Frekuensi dan ketepatan waktu keterbukaan kepada publik terhadap informasi yang relevan oleh bank dapat mempengaruhi dan memperkuat disiplin pasar, dan dengan demikian manajemen risiko akan menjadi lebih efektif. Tingkat keterbukaan harus sesuai dengan ukuran, profil risiko, dan kompleksitas dari operasi bank.
b. Area keterbukaan pada risiko operasional belum ditetapkan oleh BIS, terutama karena bank-bank masih dalam proses pengembangan teknik-teknik asesmen risiko operasional. Namun demikian, Komite Basel (BIS) meyakini bahwa suatu bank harus mengungkapkan kerangka kerja manajemen risiko operasional nya sedemikian rupa sehingga memungkinkan investor dan partner usaha (counterparties ) menetapkan apakah suatu bank melakukan identifikasi, melakukan asesmen, mamantau dan mengendalikan / melakukan mitigasi risiko operasional secara efektif.
---------00000--------
Reference :
(1) Bank for International Settlement , Basel Committee on Banking Supervision, paper, “Sound Practices for the Management and Supervision of Operational Risk”, Februari 2003.
(2) Bank Indonesia, Surat Edaran Bank Indonesia SEBI No. 5/21/2003/DPNP
Bank Indonesia memberikan pengertian tentang Risiko Operasional sebagai berikut :
Risiko Operasional adalah risiko yang antara lain disebabkan ketidakcukupan dan atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, atau adanya problem external yang mempengaruhi operasional bank.
Risiko operasional dapat menimbulkan kerugian keuangan secara langsung maupun tidak langsung dan kerugian potensial atas hilangnya kesempatan memperoleh keuntungan
Risiko operasional dapat melekat pada setiap aktivitas fungsional Bank seperti kegiatan perkreditan (penyediaan dana), tresuri dan investasi, operasional dan jasa, pembiayaan perdagangan, pendanaan dan instrumen utang, teknologi sistem informasi dan Informasi Manajemen dan pengelolaan sumber daya manusia.
Bank for International Settlement 1 (BIS) memberikan definisi tentang ‘Risiko Operasional’sebagai berikut :
Risiko operasional adalah risiko kerugian yang dapat terjadi baik langsung maupun tidak langsung yang disebabkan oleh ketidak cukupan atau kegagalan dari proses internal, orang, system atau sebab dari luar. Tercakup dalam definisi tersebut “Legal Risk “ tetapi tidak termasuk didalamnya Strategic Risk, Reputational Risk dan Systemic Risk.
Dari pengertian yang diberikan Bank Indonesia serta definisi Bank for International Settlement diatas jelas bahwa cakupan Risiko Operasional meliputi proses (baik proses transaksi maupun proses otorisasi), sistem internal bank (sistem dan prosedur transaksi,semua kegiatan dalam rangka usaha bank, peralatan yang menunjang sistem seperti computer dsb.nya), orang (staf pelaksana dan pejabat pengambil keputusan / otorisasi) dan sebab dari luar
Risiko Operasional adalah suatu terminologi yang mempunyai pengertian beragam dalam industri perbankan, dan menurut BIS untuk keperluan intern, bank dapat mengadopsi / menggunakan definisi sendiri tentang Risiko Operasional. Apapun definisi yang digunakan, yang penting bank mempunyai pemahaman yang jelas tentang maksud dari risiko operasional terhadap pengelolaan dan pengendalian kategori risiko yang efektif. Beberapa kalangan malahan memberikan definisi secara umum bahwa “Risiko operasional adalah semua risiko selain risiko kredit dan risiko pasar”. Penting untuk dipahami bahwa definisi hendaknya mempertimbangkan full range risiko operasional yang material yang dihadapi bank dan mencakup sebagian besar sebab-sebab utama kerugian operasional. :
B. BANK PERLU MEMPERHITUNGKAN RISIKO OPERASIONAL
Berdasarkan kajian-kajian Bank for Internatiomnal Settlement dapat dipahami bahwa Risiko Operasional perlu diperhitungakan menginagat hal-hal sebagai berikut :
I. Deregulasi dan globalisasi dari jasa-jasa keuangan, berserta peningkatan kerumitan teknologi keuangan, menjadikan kegiatan dari bank serta profil risikonya (misalnya, tingkat risiko antar kegiatan suatu usaha dan atau kategori risiko) menjadi lebih kompleks. Perklembangan praktik-praktik perbankan menyarankan agar risiko-risiko selain risiko kredit , risiko suku bunga / risiko pasar dapat menjadi sangat substansial sifatnya. Contoh dari risiko-risiko baru dan sedang berkembang yang dihadapi oleh bank-bank adalah :
o Penggunaan yang semakin luas terhadap teknologi otomasi yang semakin tinggi berpotensi untuk merubah risiko dari kesalahan proses secara manual menjadi risiko kegagalan sistem , selaras dengan semakin diandalkannya penggunaan sistem yang terintergarsi secara global.
o Pertumbuhan dari e-commerce disertai dengan peningkatan potensi risikonya (misal, kecurangan internal maupun external serta isu-isu tentang sistem keamanan ) yang belum dipahami secara penuh.
o Skala akuisisi yang besar , merger-merger dan de-merger serta konsolidasi menguji kebenaran dari sistem integrasi yang baru atau yang diperbarui.
o Kemunculan bank-bank yang bertindak sebagai penyedia jasa dalam volume yang besar menciptakan kebutuhan pemeliharaan yang berkesinambungan terhadap tingkat pengendalian yang tinggi serta sistem back-up nya.
o Bank-bank dapat saja mempunyai teknik-reknik mitigasi risiko (seperti , Jaminan / Kolateral , Kredit Derivatif , Netting Arrangements, dan Sekuritisasi Aset ) untuk optimalisasi eksposur mereka terhadap risiko pasar dan risiko kredit, namun pada gilirannya dapat saja menimbulkan risiko baru seperti risiko hukum (legal risk), dan
o Pertumbuhan penggunaan perjanjian ‘outsourcing’ dan keikut sertaan dalam sistem kliring dan ‘settlement’ dapat mengurangi beberapa risiko namun dapat pula menimbulkan risiko lain yang signifikan terhadap bank.
Risiko- risiko yang dikemukakan diatas dapat dikelompokkan menjadi satu yaitu sebagai ‘Risiko Operasional’, yang di-definisikan oleh BIS sebagai “risiko kerugian yang timbul dari ketidak cukupan atau kegagalan proses internal , orang atau sistem
atau sebab dari luar’. Dalam definisi dicakup risiko hukum tetapi tidak termasuk risiko strategik dan risiko reputasi.
II. BIS / Komite Basel dengan bekerja sama dengan industri perbankan , telah melakukan identifikasi tipe-tipe kejadian yang termasuk dalam risiko operasional yang berpotensi mengakibatkan kerugian yang substansial bagi bank , yaitu :
o Internal fraud. Misalnya sengaja tidak melaporkan / kurang dalam melaporkan suatu posisi, pencurian oleh pegawai, kecurangan / pembocoran rahasia terkait dengan permainan harga saham (insider trading) untuk keuntungan pribadi dsb.nya.
o External fraud. Misalnya, perampokan, pemalsuan, Cheque kitting (gali lobang tutup lobang), dan kerugian karena “computer hacking”.
o Praktek keselamatan dan keamanan pegawai. Misalnya klaim Kompensasi pekerja, pelanggaran undang-undang tentang keselamatan dan kesehatan kerja, kegiatan buruh yang terorganisasi, klaim atas pembedaan (diskriminasi), keselamatan umum.
o Langganan, produk dan praktek bisnis. Misalnya pelanggaran penggadaian, alpa dalam menjaga informasi rahasia dari nasabah, kegiatan perdagangan yang menyimpang pada rekening bank, pencucian uang, dan penjualan produk yang melanggar hukum / illegal.
o Kerusakan asset secara fisik. Misalnya terorisme, vandalisme, gempa bumi, kebakaran dan banjir.
o Gangguan bisnis dan kegagalan sistem. Misalnya, kegagalan perangkat keras dan perangkat lunak computer, problem komunikasi dan fasilitas yang sudah ketinggalan / tua.
o Eksekusi, pemindahan dan proses manajemen. Misalnya kesalahan pemasukan data, kegagalan pengelolaan jaminan, dokumentasi hukum yang tidak lengkap, akses ke rekening nasabah yang tidak berdasarkan persetujuan nasabah, kinerja pihak ketiga (bukan nasabah) yang tidak baik, dan perselisihan dengan vendor
Kecendrungan yang dikemukakan diatas, dikombinasikan dengan kejadian-kejadian yang meningkat sebagai kerugian operasional yang besar secara luas, mengarahkan bank-bank dan otoritas pengawasan bank untuk meningkatkan pandangan terhadap pengelolaan risiko operasional sebagai suatu disiplin yang inklusif , sebagai mana telah dilakukan pada berbagai industri lainnya.
III. Pada masa lalu, bank-bank sangat mengandalkan mekanisme pengendalian intern dalam ‘business line’, yang di-support oleh fungsi internal audit untuk mengelola risiko operasional. Walaupun hal ini tetap penting, saat ini terdapat suatu kegentingan dari proses dan struktur yang spesifik yang dimaksudkan untuk mengelola risiko operasional. Dalam hubungan ini semakin banyak organisasi perbankan menyimpulkan bahwa suatu program pengelolaan risiko operasional memberikan keamanan dan kebaikan, dan karenanya memberikan kemajuan dalam
mengarahkan risiko operasional sebagai suatu risiko tersendiri sebagaimana perlakuan terhadap risiko kredit dan risiko pasar
C. PRINSIP-PRINSIP MANAJEMEN RISIKO OPERASIONAL
Bank for International Settlement (BIS) telah menyusun rekomendasi berupa Prinsip-prinsip Sound Practices dalam manajemen dan supervisi terhadap Risiko Operasional dalam final paper BIS/BCBS berjudul “Sound Practices for the Management and Supervision of Operational Risk “ yang diterbitkan oleh Basel Committee on Banking Supervision pada Pebruari 2003. Paper tersebut dapat di akses melalui website Bank for International Settlement : www. bis.org.
Berdasarkan prinsip-prinsip yang dikemukakan ( terdapat 10 prinsip ) oleh Bank for International Settlement tersebut diatas, penulis mencoba menggambarkan secara matriks kesepuluh prinsip tersebut (lihat Lampiran).
Bank for International Settlement mengelompokkan prinsip prinsip tersebut kedalam 4 kategori :
I. Pengembangan Lingkup Manajemen Risiko yang sesuai (appropriate)
II. Manajemen Risiko (Identifikasi , Asesmen, Pemantauan dan Pengendalian Risiko Operasional).
III. Peranan Otoritas Pengawasan Bank (Role of Superviso).r
IV. Peranan keterbukaan (Role of Disclosure).
Topik pada rumawi I akan dibahas dalam pembahasan tentang Strategic Risk Management Review. Sedang angka rumawi III menyangkut ‘ Role of Supervisor’ tidak dibahas dalam tulisan ini sdl karena lebih menyangkut otoritas . Dengan demikian yang dijadikan bahan review terhadap pelaksanaan manajemen risiko operasional dalam kesempatan ini hanya menyangkut topik pada rumawi II dan IV.
D. KAJI ULANG MANAJEMEN RISIKO OPERASIONAL
Dalam ‘ Strategic Management Review’ akan dibahas bagaimana melakukan review terhadap tugas dan tanggungb jawab pengurus bank (dewan komisaris dan direksi) dalam mengelola ‘Risiko Operasional’. Dalam kesempatan ini di-review bagaimana pada tingkat makro Risiko Operasional tersebut diimplementasikan oleh satuan-satuan kerja yang ada, apakah prinsip-prinsip Manajemen Risiko Operasional yang direkomendasikan oleh Bank for International Settlement serta ketentuan-ketentuan yang ditetapkan oleh Bank Indonesia sudah terlaksana dengan baik.
Program review manajemen risiko operasional akan mencari jawaban atas pertanyaan-pertanyan sebagai berikut :
I. . UU Menyangkut identifikasi, Asesmen, Pemantauan dan Pengendalian Risiko Operasional.
1. Apakah bank sudah melakukan identifikasi dan asesmen terhadap risiko operasional yang material , yang melekat pada produk , kegiatan , proses dan sistem ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No. 4 dari BIS)
Bank harus meng-identifikasi, melakukan asesmen risiko operasional yang material yang melekat pada produk-produk, kegiatan-kegiatan, proses dan sistem. Bank juga harus meyakini bahwa sebelum produk baru, kegiatan dan proses di luncurkan atau dilaksanakan, risiko operasional yang melekat harus sudah melalui prosedur asesmen yang cukup
Penjelasan atas prinsip diatas sebagai berikut :
a. Identifikasi risiko adalah puncak pengembangan berikutnya dari berbagai pemantauan risiko operasional dan sistem pengendalian. Identifikasi risiko yang efektif mempertimbangkan baik faktor-faktor internal (seperti , struktur bank , sifat kegiatan bank , kualitas dari SDM bank , perubahan dalam organisasi serta turnover pegawai) maupun faktor eksternal (seperti , perubahan dalam industri dan perkembangan teknologi) yang dapat berakibat negatif terhadap pencapaian tujuan-tujuan bank
.
b. Untuk mengidentifikasi risiko-risiko potensial yang paling merugikan, bank harus melakukan asesmen terhadap bahaya dari risiko-risiko tersebut. Asesmen risiko yang efektif memungkinkan bank untuk memperoleh pemahaman yang lebih baik terhadap profil risiko serta target manajemen risiko sumber daya yang paling efektif.
c. Diantara ‘tools’ yang digunakan bank untuk mengidentifikasi dan melakukan asesmen terhadap risiko operasional adalah :
c.1. Menilai / menghitung risiko sendiri (self-risk assessment).
Suatu bank melakukan asesmen terhadap operasi dan kegiatan terhadap suatu daftar bahaya-bahaya risiko operasional yang potensial. Proses ini secara internal didorong dan sering menggunakan check-list dan atau semacam seminar (workshops ) untuk meng-identifikasi kekuatan dan kelemahan lingkungan (environments) dari risiko operasional. Metode Scorecards, umpamanya, menyediakan suatu sarana untuk menerjemahkan asesmen yang kualitatif menjadi perhitungan-perhitungan yang kuantitatif yang menghasilkan secara relatif ranking dari berbagai tipe eksposur risiko operasional. Beberapa skor mungkin berkaitan dengan risiko yang unik terhadap suatu line bisnis, sementara yang lain dapat membuat ranking risiko yang berbeda dengan line bisnis. Skor dapat diarahkan pada risiko-
risiko yang melekat (inherent) sebagaimana pengendalian untuk mitigasi risiko tersebut. Scorecards mungkin dapat digunakan bank untuk meng-alokasikan economic capital pada line bisnis dalam hubungannya dengan kinerja dalam mengelola dan mengendalikan berbagai aspek risiko operasional.
c.2. Pemetaan risiko (risk mapping ) :
Dalam proses in, berbagai unit bisnis, fungsi-fungsi organisasi atau alur proses (process flows) dipetakan berdasarkan tipe risiko. Cara ini dapat menghasilkan area-area yang mempunyai kelemahan dan membantu menetapkan prioritas kegiatan manajemen selanjutnya
c.3. Indikator risiko (Risk indicators).
Indikator indikator risiko adalah statistik dan atau metrics, sering dalam financial , yang dapat memberikan penglihatan terhadap suatu posisi risiko suatu bank. Indikator-indikator ini perlu dikaji ulang (review) secara periodi (bulanan atau kuartalan) untuk menjaga kewaspadaan bank terhadap perubahan yang mungkin merupakan indikasi yang berkaitan dengan risiko. Indikator-indikator tersebut dapat mencakup sejumlah kegagalan dalam trading, tingkat turnover staf, frekuensi dan jumlah kesalahan (errors) serta frekuensi kehilangan.
c.4. Pengukuran (measurements).
Beberapa perusahaan mulai memperhitungkan eksposur mereka terhadap risiko operasional dengan menggunakan berbagai pendekatan. Misalnya, data kerugian bank berdasarkan pengalaman dapat menyediakan informasi yang berharga dalam melakukan asesmen terhadap eksposur bank pada risiko operasional dan mengembangkan suatu kebijakan untuk mitigasi / pengendalian risiko. Cara yang efektif untuk memanfaatkan informasi ini adalah dengan membentuk suatu kerangka kerja yang secara sistimatis melaksanakan napaktilas (tracking) dan pencatatan (recording) frekuensi, severity, dan informasi lain tentang kejadian-kejadian yang menyebabkan kerugian individual. Beberapa perusahaan bahkan mengkombinasikan data kerugian internal dengan data kerugian eksternal, membuat scenario analyses dan faktor-faktor asesmen risiko.
Kriteria Bank Indonesia : (Lampiran SEBI No. 5/21/2003/DPNP , rumawi III. 4.d. 1) s/d 2)).
Proses Identifikasi, Pengukuran, Pemantauan dan Sistem Informasi Manajemen Risiko Operasional
(1) Identifikasi Risiko Operasional
a) Bank harus melakukan identifikasi dan analisa terhadap faktor penyebab timbulnya risiko operasional yang melekat pada seluruh aktivitas fungsional, produk, proses dan sistem informasi, baik yang disebabkan oleh faktor intern maupun ekstern yang berdampak negatif terhadap pencapaian sasaran organisasi Bank.
b) Bank harus memiliki prosedur penilaian yang memadai terhadap risiko operasional yang melekat pada aktivitas dan produk baru termasuk proses dan sistemnya.
c) Hasil identifikasi tersebut selanjutnya digunakan oleh Bank untuk
mengembangkan suatu database mengenai jenis kerugian (loss events) yang ditimbulkan oleh risiko operasional.
d) Metode yang dapat digunakan Bank untuk mengidentifikasi risiko operasional, antara lain:
(1) self risk assessment berupa checklists untuk mengidentifikasi kekuatan dan kelemahan pada lingkungan risiko operasional Bank, seperti peranan Komisaris dan Direksi, struktur organisasi, sumber
daya manusia, serta arus informasi dan komunikasi pada Bank;
(2) risk mapping berupa pemetaan menurut jenis risiko terhadap aktivitas fungsional, struktur organisasi dan arus proses transaksi;
(3) key risk indicators berupa statistik atau matriks yang menyediakan data posisi risiko operasional Bank, seperti jumlah pembatalan transaksi, tingkat perputaran pegawai, dan frekuensi kesalahan (errors);
(4) scorecards yang menyediakan metode untuk mentranslasikan penilaian/kriteria kualitatif menjadi matriks kuantitatif, yang dapat digunakan untuk mengalokasikan kebutuhan modal masingmasing
aktivitas fungsional.
(2) Pengukuran Risiko Operasional
a) Setelah Bank melakukan identifikasi risiko operasional yang melekat
pada aktivitas fungsional tertentu, Bank harus menilai parameter yang mempengaruhi eksposur risiko operasional, antara lain jumlah dan frekuensi:
(1) kegagalan dan kesalahan sistem;
(2) sistem admin istrasi;
(3) kegagalan hubungan dengan nasabah;
(4) accounting error;
(5) penundaan dan kesalahan penyelesaian pembayaran;
(6) fraud;
(7) rekayasa akunting;
(8) strategic failure.
b) Pengumpulan Data Risiko Operasional
(1) Sumber utama dalam penerapan manajemen risiko operasional adalah data historis mengenai kerugian Bank yang disebabkan risiko operasional yang telah divalidasi dan diverifikasi.
(2) Data kerugian risiko operasional terdiri dari kejadian (events) yang
bersifat rutin, berfrekuensi tinggi namun berdampak rendah maupun yang berfrekuensi rendah namun berdampak tinggi terhadap rugi laba Bank.
Data kerugian tersebut bersifat:
1) dapat diprediksi (expected) seperti events yang memiliki frekuensi yang tinggi namun berdampak rendah; atau
2) sulit diprediksi (unexpected) seperti events yang memiliki frekuensi rendah namun berdampak tinggi.
c) Bank harus memiliki metodologi pengukuran risiko operasional yang tepat, sumberdaya manusia yang kompeten dan infrastruktur sistem yang memadai dalam rangka mengidentifikasi dan mengumpulkan data risiko operasional.
d) Bank harus mencatat dan menatausahakan setiap events termasuk jumlah potensi kerugian yang diakibatkan events dimaksud dalam suatu administrasi data. Pencatatan dan penatausahaan data tersebut disusun dalam suatu data stastistik yang dapat digunakan untuk memproyeksikan potensi kerugian pada suatu periode dan aktivitas fungsional tertentu.
2. Apakah bank sudah melakukan pemantauan secara berkala terhadap profil risiko operasional serta eksposur kerugian yang material ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No. 5 dari BIS)
Bank mengimplementasikan suatu proses pemantauan secara berkala tentang profil risiko operasional dan eksposur kerugian yang material . Harus ada laporan berkala mengenai informasi yang berkaitan kepada direksi bank dan dewan komisaris yang mendorong pelaksanaan manajemen risiko operasional yang proaktif Penjelasan atas prinsip tersebut sebagai berikut :
a. Proses pemantauan yang efektif diperlukan dalam pengelolaan risiko operasional yang cukup / memadai (adequate). Aktivitas pemantauan secara reguler dapat memberikan keuntungan atau mempercepat deteksi dan koreksi terhadap kekurangan-kekurangan pada kebijakan , proses dan prosedur dalam pengelolaan risiko operasional. Deteksi yang tepat waktu , yang mengarah kepada kekurangan-kekurangan dimaksud dapat secara substansi mengurangi frekuensi dan atau severity (nilai uang) dari kejadian-kejadian kerugian.
b. Dalam pemantauan kejadian-kejadian kerugian operasional, bank harus meng-identifikasi indikator-indikator yang sesuai yang menjadi peringatan dini (early warning) peningkatan suatu risiko kerugian yang akan terjadi (future). Indikator-indikator dimaksud {sering disebut sebagai ‘indikator risiko kunci’ (key risk in dicators ) atau indikator peringatan dini (earlywaring indicators)} haruslah melihat kedepan (forward l ooking) dan dapat merefleksikan sumber-sumber potensial dari risiko operasional seperti pertumbuhan yang pesat, peluncuran produk baru, turnover pegawai, pemutusan / pembatalan transaksi, system downtime dan sebagainya. Jika ambang batasnya berkaitan langsung dengan indikator-indikator ini, suatu proses pemantauan .yang efektif dapat membantu mengidentifikasi risiko-risiko kunci yang material dalam suatu cara yang transparan yang memungkinkan bank untuk bertindak terhadap risiko-risiko dimaksud secara tepat.
c. Frekuensi pemantauan harus mencerminkan risiko-risiko yang diperhitungkan serta frekuensi dan sifat perubahan dari lingkungan operasional. Pemantauan harus menjadi bagian yang integral dari kegiatan bank. Hasil pemantauan kegiatan ini harus tercakup dalam pengelolaan berkala serta laporan kepada dewan komisaris, sebagaimana kaji ulang terhadap kepatuhan yang dilakukan oleh internal audit dan atau fungsi-fungsi manajemen risiko. Laporan yang dihasilkan (dan atau untuk) Otoritas Pengawasan Bank dapat pula menginformasikan pemantauan ini dan sepertinya harus dilaporkan secara internal baik kepada direksi maupun dewan komisaris, mana yang dipandang lebih tepat.
d. Direksi bank harus menerima laporan berkala dari area yang sesuai seperti unit bisnis, fungsi-fungsi grup, satuan kerja manajemen risiko operasional, dan internal audit. Laporan-laporan risiko operasional harus berisi keuangan internal, data operasional dan kepatuhan, sebagaimana informasi pasar eksternal tentang kejadian-kejadian dan kondisi yang relevan terhadap pembuatan keputusan. Laporan harus didistribusikan kepada tingkatan manajemen yang sesuai dan untuk merefleksikan area setiap masalah yang di-identifikasi yang dapat terkena dampak. Laporan-laporan harus mencerminkan secara penuh setiap masalah yang di-identifikasi dan harus memotivasi tindalan koreksi yang tepat waktu terhadap masalah (issues) yang terbuka (outstanding). Untuk meyakini penggunaan dan keyakinan terhadap risiko-risiko operasional serta laporan audit, manajemen harus secara regular memeriksa ketepatan waktu, akurasi dan relevansi dari sistem pelaporan dan pengendalian intern secara umum. Manajemen juga dapat menggunakan laporan yang disajikan oleh sumber-sumber luar ( ekstenal auditor dan Otoritas Pengawasan Bank) untuk melaksanakan asesmen terhadap penggunaan dan dapat dipercayanya (reliability) laporan-laporan internal. Laporan-laporan harus dianalisa dengan suatu pandangan untuk perbaikan kinerja manajemen risiko yang sedang dilaksanakan, sebagaimana pengembangan kebijakan manajemen risiko baru, prosedur-prosedur dan praktik-praktik.
e. Dewan komisaris harus menerima informasi yang mencukupi (sufficient) untuk memungkinkan mereka memahami profil risiko operasional secaraoverall dan fokus terhadap implikasi-implikasi strategik yang material bagi bisnis.
Kriteria Bank Indonesia : (Lampiran SEBI No. 5/21/2003/DPNP , rumawi III. 4.d. 3) dst ).
Pemantauan Risiko Operasional
a) Bank harus melakukan pemantauan risiko operasional secara berkelanjutan terhadap seluruh eksposur risiko operasional serta kerugian (loss events) yang dapat ditimbulkan oleh aktivitas fungsional utama (major business line), antara lain dengan cara menerapkan sistem pengendalian intern dan menyediakan laporan berkala mengenai kerugian yang ditimbulkan oleh risiko operasional.
b) Bank harus melakukan review secara berkala terhadap faktor-faktor penyebab timbulnya risiko operasional serta dampak kerugiannya.
c) Satuan Kerja Manajemen Risiko harus menyusun laporan mengenai kerugian dari risiko operasional dan hasil review kepatuhan audit intern serta menyampaikan laporan tersebut kepada Komite Manajemen Risiko dan Direksi.
Sistem Informasi Manajemen Risiko Operasional
a) Bank harus memiliki sistem dan teknologi informasi yang memadai, sesuai dengan sifat dan volume transaksi.
b) Sistem informasi manajemen harus dapat menghasilkan laporan yang lengkap dan akurat yang digunakan untuk pemantauan risiko dalam rangka mendeteksi dan mengkoreksi penyimpangan secara tepat waktu guna mengurangi potensi terjadinya loss events .
c) Sistem informasi manajemen harus dapat menyediakan laporan eksposur risiko operasional secara lengkap, akurat dan tepat waktu dalam rangka proses pengambilan keputusan oleh Direksi.
3.Apakah bank mempunyai kebijakan, proses dan prosedur untuk mengendalikan dan atau mengurangi risiko yang material dari risiko operasional ?. Apakah Bank sudah secara periodik melakukan kaji ulang terhadap limit risiko mereka serta strategi pengendaliannya dan melakukan penyesuaian yang diperlukan ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No.6 dari BIS)
Bank harus mempunyai kebijakan, proses dan prosedur untuk mengendalikan dan atau mengurangi risiko yang material dari risiko operasional . Bank harus secara periodik melakukan kaji ulang terhadap limit risiko mereka serta strategi pengendaliannya dan meyesuaikan profil risiko operasional dengan menggunakan strategi yang cocok, dipandang dari risk appetite dan profil risiko secara menyeluruh
Penjelasan :
a. Kegiatan pengendalian dirancang untuk mengarahkan agar bank dapat meng-identifikasi risiko operasional. Terhadap semua risiko operasional yang material yang sudah di-identifikasi bank harus memutuskan apakah akan digunakan prosedur yang sesuai untuk mengendalikan dan atau mengurangi risiko atau dibebani (diperhitungkan ) risikonya. Terhadap risiko-risiko yang tidak dapat dikendalikan , bank harus memutuskan apakah menerima risiko tersebut, mengurangi tingkat aktivitas bisnis yang bersangkutan, atau menarik diri dari bisnis dimaksud secara total. Proses pengendalian dan prosedur-prosedur harus dibentuk dan bank harus sudah mempunyai sistem untuk meyakini kepatuhan terhadap kebijakan internal yang sudah terdokumentasi (tertulis) yang berkaitan dengan sistem manajemen risiko. Elemen-elemen pokok dapat mencakup , sebagai misal :
o Kaji ulang oleh manajemen puncak terhadap perkembangan bank dihadapkan dengan tujuan-tujuan yang sudah ditetapkan.
o Pemeriksaan kepatuhan terhadap pengendalian manajemen (management controls)
o Kebijakan, proses dan prosedur mengenai kaji ulang, perlakuan dan perbaikan terhadap masalah penyimpangan dari ‘kepatuhan’ , dan
o Suatu sistem persetujuan (approvals) dan otorisasi (authorisations) yang terdokumentasi untuk meyakini pertanggung jawaban dari suatu tingkatan manajemen yang sesuai.
b. Walaupun suatu kerangka kerja formal, kebijakan dan prosdedur tertulis sangat penting, namun perlu diperkuat melalui suatu budaya pengendalian yang kuat yang mengembangkan praktik-praktik manajemen risiko yang sehat. Baik dewan komisaris maupun direksi bertanggung jawab terhadap pengembangan budaya pengendalian intern dimana kegiatan pengendalian merupakan bagian integral dari kegiatan regular dalam suatu bank. Pengendalian yang merupakan bagian integral dalan suatu kegiatan yang regular dapat mempercepat respon terhadap perubahan kondisi dan menghindari biaya-biaya yang tidak perlu.
c. Suatu sistem pengendalian intern yang effektif juga mensyaratkan bahwa harus ada pemisahan tugas yang tepat dan bahwa pegawai tidak ditugaskan pada posisi yang menimbulkan pertentangan kepentingan (conflict of interest). Penugasan yang menimbulkan pertentangan individual atau suatu tim , dapat menimbulkan kerugian, kesalahan-kesalahan (errors) dan tindakan-tindakan yang tidak patut. Karena itu area dimana terdapat conflict of interest harus di-identifikasi, diminimalisasi dan wajib untuk dipantau dan dikaji ulang.
d. Sebagai tambahan dalam pemisahan tugas (segregation of duties), bank-bank harus meyakini bahwa praktik-praktik internal lainnya yang sesuai untuk pengendalian risiko operasional harus tersedia . Contoh-contoh berikut termasuk didalamnya :
o Pemantauan yang ketat yang ditekankan pada arah limit risiko yang ditetapkan atau pada ambang batas.
o Mempertahankan pengamanan akses, dan penggunaan aset bank dan catatan-catatannya.
o Meyakini bahwa staf mempunyai keahlian dan terlatih
o Meng-identifikasi bisnis line atau produk yang memberikan penghasilan diluar dari yang diharapkan secara wajar, (misalnya, dimana suatu risiko diperkirakan adalah rendah, kegiatan perdagangan yang diperkirakan berpenghasilan rendah menghasilkan keuntungan yang tinggi, yang dapat menjadi pertanyaan apakah penghasilan tersebut diperoleh karena suatu pelanggaran pengendalian intern ), dan
o Verifikasi dan rekonsiliasi secara berkala terhadap transaksi-transaksi serta rekening-rekening.
Kegagalan dalam meng-implementasikan praktik-praktik dimaksud telah menyebabkan kerugian operasional pada beberapa bank dalam tahun-tahun terakhir.
e. Risiko operasional dapat menjadi lebih nyata pada bank yang mempunyai aktivitas baru atau mengembangkan produk baru (umumnya karena kegiatan atau produk dimaksud tidak sejalan atau konsisten dengan strategi bisnis inti (core business) bank. Memasuki pasar yang tidak biasa dimasuki dan atau mengikatkan diri pada bisnis yang secara geografi jauh dari kantor pusat bank. Lebih lanjut, dalam banyak contoh, perusahaan tidak meyakini bahwa infra struktur pengendalian manajemen risiko sejalan dengan pertumbuhan dalam kegiatan bisnis. Sejumlah kerugian dalam volume besar serta profil kerugian yang tinggi dalam tahun-tahun terakhir terjadi karena adanya satu atau lebih kondisi tersebut diatas. Karena itu pengurus bank harus meyakini bahwa terdapat perhatian yang semestinya terhadap kegiatan-kegiatan pengendalian intern apabila terdapat kondisi seperti dimaksud diatas.
f. Beberapa risiko operasional yang penting mempunyai probability yang rendah namun mempunyai dampak keuangan yang besar. Lebih lanjut , tidak semua risiko yang terjadi dapat dikendalikan (misal, bencana alam). Peralatan peralatan untuk mitigasi risiko atau program-program dapat digunakan untuk mengurangi eksposure risiko, baik frekuensi maupun nilainya terhadap kejadian-kejadian. Misalnya penutupan asuransi, khususnya terhadap sesuatu yang harus dilakukan segera (prompt) dan sarana pembayaran tertentu, dapat digunakan untuk melepaskan kepada pihak luar risiko suatu kerugian yang frekuensinya rendah, namun jumlahnya besar, yang dapat terjadi sebagai akibat dari klaim pihak ketiga karena kesalahan (errors) dan kealpaan (omission), kehilangan fisik surat berharga, kecurangan pegawai atau pihak ketiga, serta bencana alam.
g. Namun demikian, bank harus memandang peralatan mitigasi risiko sebagai pelengkap (complementary), tidak sebagai pengganti (replacement) dari
pengendalian intern risiko operasional. Mekanisme yang siap pakai yang secara cepat mengetahui dan memperbaiki kesalahan-kesalahan risiko operasional yang berlaku dapat mengurangi eksposur risiko secara signifikan. Pertimbangan yang hati-hati juga diperlukan untuk menetapkan seberapa jauh peralatan mitigasi risiko seperti asuransi sungguh-sungguh mengurangi risiko.atau men-transfer risiko kepada sektor bisnis atau area lain, atau bahkan menciptakan risiko baru (misalnya risiko hukum dan counterparty risk).
h. Investasi dalam technology processing yang sesuai, pengamanan sistem informasi teknologi (IT security) juga penting dalam mitigasi risiko. Namun bank harus waspada bahwa peningkatan otomasi dapat merubah ‘frekuensi yang tinggi , nilai kerugian rendah ‘ menjadi ‘ frekuensi rendah , nilai kerugian tinggi’. Yang terakir tersebut dapat dianggap berkaitan dengan kerugian karena gangguan pelayanan disebabkan faktor-faktor internal atau faktor-faktor diluar pengendalian langsung bank (misal,kejadian dari luar/external events). Masalah-masalah demikian dapat menyebabkan kesulitan yang serius bagi bank dan dapat membahayakan kemampuan institusi dalam menyelenggarakan kegiatan bisnis kunci (key business). Sebagaimana dibahas dibawah dalam Prinsip No.7, bank harus membentuk rencana darurat atau rencana kesinambungan usaha yang mengarah kepada risiko ini.
i. Bank juga harus menetapkan kebijakan untuk mengelola risiko yang berkaitan dengan kegiatan outsourcing. Aktivitas yang di-outsourcing-kan dapat mengurangi profil risiko institusi dengan cara men-transfer kegiatan kepada pihak lain yang mempunyai keahlian yang lebih baik dan mempunyai kemampuan untuk mengelola risiko yang terkait dengan kegiatan-kegiatan bisnis tertentu. Namun suatu bank yang menggunakan pihak ketiga, tidak mengurangi tanggung jawab dewan komisaris dan direksi bank untuk meyakini bahwa pihak ketiga diarahkan sedemikian rupa agar aman dan sound dan mematuhi ketentuan serta hukum yang berlaku. Perjanjian-perjaniian outsourcing harus didasarkan pada kontrak yang tegas dan atau perjanjian tingkat layanan dalam meyakini suatu pembagian (alokasi) tanggung jawab yang jelas antara eksternal service provider dengan bank . Lebih lanjut, bank perlu mengelola risiko yang tidak dicakup dalam perjanjian outsourcing termasuk risiko penghentian layanan oleh outsourcing vendors.
j. Berdasarkan skala dan sifat kegiatan, bank harus memahami akibat potensial dari operasi yang mereka lakukan serta nasabah-nasabah bank terhadap kemungkinan kekurangan-kekurangan pelayanan yang dilakukan oleh vendor d maupun pihak internal dan pihak ketiga lainnya sebagai service provider, termasuk terhentinya operasi dan potensi kegagalan bisnis lainnya atau kegagalan (default) dari pihak eksternal. Dewan komisaris dan direksi bank harus meyakini bahwa ekspektasi dan kewajiban dari pihak lain harus didefinisikan dengan jelas, dipahami dan harus dapat dilaksanakan .(enforceable). Luas tanggung jawab pihak ketiga serta kemampuan keuangan mereka untuk kompensasi terhadap kesalahan (errors), kealpaan (negligence) dan kegagalan operasional lainnya yang terjadi, harus dipertimbangkan secara seksama sebagai bagian dari asesmen risiko. Hendaknya, bank melakukan due diligence test dan memantau kegiatan service provider pihak ketiga, khususnya terhadap mereka yang kurang berpengalaman dalam lingkungan industri dan regulasi perbankan dan melakukan kaji ulang (review) proses ini (termasuk melakukan penilaian ulang terhadap hasil due diligence) secara berkala. Terhadap kegiatan yang sangat penting, bank dapat mempertimbangkan rencana darurat, termasuk ketersediaan alternatif pengganti pihak ketiga serta biaya dan sumber daya yang dibutuhkan untuk men-switch pihak luar (pihak ketiga) secara mendadak.
k. Dalam keadaan tertentu, bank dapat mempertimbangkan apakah akan mempertahankan tingkat risiko operasional tertentu atau menerima risiko tersebut sebagai tanggungan sendiri (self insure). Dalam kasus demikian dan risiko dimaksud material, keputusan untuk menahan dan self insure risiko tersebut harus dilakukan secara transparan dalam organisasi dan harus dilaksanakan konsisten dengan strategi bisnis bank secara menyeluruh (overall) serta risk appetite bank
Kriteria Bank Indonesia : (Lampiran SEBI No. 5/21/2003/DPNP , rumawi III. 4.c. 1) s/d 6) dan 4.e. 1) s/d 7)).Kebijakan, Prosedur dan Penetapan Limit
1) Umum
a) Bank harus memiliki kebijakan pengelolaan risiko operasional yang
sesuai dengan misi, strategi bisnis, kecukupan permodalan dan
kecukupan sumberdaya manusia.
b) Bank harus menetapkan dan menerapkan prosedur untuk menilai risiko operasional dan memantau eksposur risiko operasional secara berkala pada beberapa aktivitas fungsional utama.
c) Bank harus melakukan evaluasi dan pengkinian kebijakan dan prosedur pengelolaan risiko operasional sesuai dengan eksposur risiko operasional, profil risiko dan budaya ris iko Bank.
d) Bank harus menetapkan limit (cadangan) risiko operasional dengan mempertimbangkan eksposur risiko dan pengalaman kerugian masa lalu yang diakibatkan oleh risiko operasional. Penetapan limit tersebut harus direview dan disesuaikan dalam hal terdapat perubahan eksposur risiko operasional secara signifikan.
e) Kebijakan, prosedur dan proses penetapan limit risiko operasional harus didokumentasikan secara tertulis dan lengkap sehingga memudahkan untuk dilakukan jejak audit (audit trail).
2) Penyelesaian Transaksi (Settlement )
a) Bank harus memiliki prosedur untuk mengukur eksposur risiko penyelesaian transaksi, khususnya apabila risiko tersebut berasal dari transaksi valuta asing dan kegiatan pembiayaan perdagangan.
b) Bank harus melakukan penilaian terhadap tahapan dalam proses
penyelesaian transaksi, khususnya mengenai batas akhir perintah pembayaran, batas akhir penerimaan dan waktu pencatatan pembayaran dana.
c) Bank harus menyusun suatu prosedur pemantauan penyelesaian
transaksi baru atau apabila terdapat transaksi yang belum diselesaikan pembayarannya.
d) Bank harus menyediakan prosedur penyelesaian transaksi yang disebabkan oleh adanya kondisi likuiditas Bank yang memburuk.
e) Bank harus melakukan konfirmasi transaksi secara tepat waktu sesuai dengan prosedur yang ditetapkan dan memantau transaksi tersebut secara konsisten.
3) Akuntansi
Bank harus memastikan bahwa penggunaan metode akuntansi adalah
sesuai dengan standar akuntansi yang berlaku serta memperhatikan hal-hal sebagai berikut:
a) melakukan review secara berkala guna memastikan ketepatan metode yang digunakan untuk menilai transaksi;
b) melakukan review secara berkala terhadap kesesuaian metode akuntansi yang digunakan dengan standar akuntansi keuangan yang berlaku;
c) melakukan rekonsiliasi data transaksi secara berkala;
d) mengidentifikasi dan menganalisa setiap ketidakwajaran transaksi yang terjadi;
e) memelihara seluruh dokumen dan arsip (file) yang berkaitan dengan rincian rekening (accounts), sub-ledgers, buku besar (general ledgers) administrasi klasifikasi aset dan dokumentasi pembentukan provisi, guna memudahkan proses jejak audit (audit trail).
4) Inventarisasi Aset dan Kustodian
a) Bank harus memelihara data akuntansi dan rincian aset pihak ketiga yang dipelihara/dititipkan (kustodian).
b) Bank harus memperoleh informasi yang memadai mengenai keaslian
penyimpanan/penitipan aset dalam rangka memastikan bahwa aset yang dititipkan tidak memiliki permasalahan hukum.
c) Bank harus melakukan pengecekan secara berkala antara data aset yang dititipkan dengan perjanjian/kontraknya.
5) Profil Nasabah dan Prinsip Mengenal Nasabah (KYC)
a) Bank harus menerapkan Prinsip Mengenal Nasabah (KYC) secara konsisten sesuai dengan eksposur risiko operasional. KYC harus didukung oleh sistem pengendalian intern yang efektif, khususnya upaya pencegahan Bank terhadap kejahatan internal (internal fraud).
b) Dalam penerapan KYC tersebut, Bank wajib memenuhi seluruh persyaratan dan pedoman sebagaimana yang diatur dalam ketentuan yang berlaku tentang Prinsip Mengenal Nasabah (KYC).
6) Profil Karyawan (Employees’ Profiles ).
Bank harus memiliki dan menerapkan kebijakan tentang tanggungjawab,
kewenangan dan akses pegawai/karyawan terhadap sistem informasi tertentu. Kebijakan tersebut didukung oleh prosedur akses terhadap sistem informasi manajemen, sistem informasi akuntansi, sistem pengelolaan risiko, pengamanan di dealing room, dan ruang pemrosesan data.
Pengendalian Risiko Operasional
1) Bank harus memiliki kebijakan, prosedur dan proses untuk mengendalikan atau memitigasi risiko operasional, sesuai dengan kompleksitas operasional Bank.
2) Dalam penerapan pengendalian risiko operasional, Bank dapat mengembangkan program untuk memitigasi risiko operasional antara lain pengamanan proses teknologi informasi, asuransi, dan outsourcing sebagian kegiatan operasional Bank.
3) Dalam hal Bank mengembangkan pengamanan proses teknologi informasi, Bank harus memastikan tingkat keamanan dari electronic data processing.
4) Pengendalian terhadap sistem informasi haru s memastikan:
a) adanya penilaian berkala terhadap pengamanan sistem informasi, yang disertai dengan tindakan korektif apabila diperlukan;
b) tersedianya prosedur back-up untuk menjamin berjalannya kegiatan operasional Bank dan mencegah terjadinya gangguan yang signifikan;
c) tersedianya prosedur back-up dan rencana darurat (contingency plan) yang diuji secara berkala;
d) adanya penyampaian informasi kepada Direksi mengenai permasalahan pada huruf a) sampai dengan c);
e) tersedianya penyimpanan informasi dan dokumen yang berkaitan dengan analisa, programming dan pelaksanaan pemrosesan data.
5) Bank harus memiliki support system, yang sekurang-kurangnya mencakup:
a) identifikasi error secara dini;
b) pemrosesan dan penyelesaian seluruh transaksi secara efisien, akurat dan tepat waktu; dan
c) kerahasiaan, kebenaran serta keamanan transaksi.
6) Tindak Lanjut Hasil Audit Intern dan Ekstern :
a) Bank harus menindaklanjuti hasil temuan audit intern maupun ekstern dan selanjutnya melakukan serangkaian tindakan korektif.
b) Temuan audit yang belum ditindaklanjuti atau hanya sebagian dilakukan perbaikan harus diinformasikan oleh SKAI kepada Direksi.. Apabila temuan tersebut signifikan, Direksi menetapkan jangka waktu perbaikan dan menugaskan SKAI untuk memantau perkembangan efektivitas pelaksanaan tindakan korektif yang diambil.
7) Bank harus melakukan kaji ulang secara berkala terhadap prosedur, dokumentasi, sistem pemrosesan data, contingency plan, dan praktik operasional lainnya guna mengurangi kemungkinan terjadinya kesalahan manusia (human error) yang menimbulkan risiko operasional.
4. Apakah bank sudah mempunyai rencana darurat dan rencana kesinambungan usaha yang siap pakai untuk meyakini bahwa banktetap dapat terus beroperasi dalam suatu batasan kerugian dan gangguan bisnis yang besar ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No.7 dari BIS)
Bank harus mempunyai rencana darurat dan rencana kesinambungan usaha yang siap pakai untuk meyakini bahwa bank tetap dapat terus beroperasi dalam suatu batasan kerugian dan gangguan bisnis yang besar.
Lebih rinci sebagai berikut :
4.1. Apakah bank sudah mempunyai rencana darurat yang siappakai ? Apakah rencana tersebut sudah memperhitungkan berbagai kemungkinan disertai dengan skenario penanggulangan ?
a.Terhadap alasan-alasan yang mungkin diluar pengendalian suatu bank, suatu kejadian tertentu mungkin dapat menyebabkan ketidak berdayaan bank untuk memenuhi kewajiban bisnisnya, khususnya apabila secara fisik telekomunikasi , atau infrastruktur Teknologi Informasi (IT) mengalami kerusakan atau tidak dapat di-akses. Pada gilirannya hal ini dapat menyebabkan kerugian finansial yang besar pada bank, sebagaimana terhentinya secara luas sistem finansial melalui kanal-kanal (channels) seperti sistem pembayaran. Potensi atas hal ini menyebabkan bank memerlukan rencana darurat dan rencana kesinambungan usaha yang mempertimbangkan berbagai tipe skenario yang mungkin dilakukan terhadap mana bank dapat menghadapi bahaya (vulnerable) secara sebanding dengan ukuran dan kompleksitas operasi bank.
4.2. Apakah bank sudah mempunyai mekanisme alternatif untuk memulai kembali operasi bisnis yang terhenti ? Apakah ada system pengamanan / back up terhadap catatan bank baik catatan elektronik maupun catatan fisik (physical records)
b. Bank harus meng-identifikasi proses bisnis yang kritikal termasuk hal-hal dimana bank sangat tergantung pada eksternal vendor atau pihak ketiga lainnya dimana kelancaran pemulaian bisnis merupakan hal yang paling penting. Terhadap proses ini bank harus meng-identifikasi mekanisme alternatif untuk melanjutkan atau memulai kembali layanan dalam hal terdapat kejadian penghentian. Harus ada perhatian khusus terhadap kemampuan untuk memperbaiki (restore) catatan-catatan elektronik (electronic records) atau catatan catatan fisik (physical records) yang diperlukan untuk melanjutkan bisnis. Apabila catatan-catatan dimaksud di-back-up diluar bank (off site facility) , atau dalam hal operasi bank harus dipindah ke lokasi baru, harus diperhatikan bahwa lokasi tersebut haruslah cukup jauh dari kemungkinan
terkena dampak operasi, untuk meminimalkan risiko agar catatan utama (primary) serta catatan back-up tidak secara bersama terkena suatu musibah.
4.3. Apakah dilakukan kaji ulang secara berkala tentang rencana darurat dan kesinambungan usaha untuk menilai kesesuaiannya dengan perkembangan bank dan apakah dilakukan test untuk meguji keandalannya ?
c. Bank harus melaksanakan kaji ulang terhadap rencana darurat serta rencana kesinambungan usaha mereka secara konsisten dengan strategi bisnis serta operasi saat ini. Lebih lanjut rencana dimaksud harus lah diuji (test) secara periodik untuk meyakini bahwa bank akan mampu melaksanakan rencana tersebut dalam hal terdapat kejadian yang tidak diinginkan atau terhentinya suatu kegiatan bisnis.
II. Peranan Keterbukaan (Role of Disclosure).
5. Apakah bank sudah melakukan keterbukaan yang cukup kepada publik untuk memungkinkan pelaku pasar melaksanakan asesmen terhadap pendekatan manajemen risiko operasional oleh bank ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No.7 dari BIS)
Bank harus melakukan keterbukaan yang cukup kepada publik untuk memungkinkan pelaku pasar melaksanakan asesmen terhadap pendekatan manajemen risiko operasional oleh bank. Penjelasan :
a. Frekuensi dan ketepatan waktu keterbukaan kepada publik terhadap informasi yang relevan oleh bank dapat mempengaruhi dan memperkuat disiplin pasar, dan dengan demikian manajemen risiko akan menjadi lebih efektif. Tingkat keterbukaan harus sesuai dengan ukuran, profil risiko, dan kompleksitas dari operasi bank.
b. Area keterbukaan pada risiko operasional belum ditetapkan oleh BIS, terutama karena bank-bank masih dalam proses pengembangan teknik-teknik asesmen risiko operasional. Namun demikian, Komite Basel (BIS) meyakini bahwa suatu bank harus mengungkapkan kerangka kerja manajemen risiko operasional nya sedemikian rupa sehingga memungkinkan investor dan partner usaha (counterparties ) menetapkan apakah suatu bank melakukan identifikasi, melakukan asesmen, mamantau dan mengendalikan / melakukan mitigasi risiko operasional secara efektif.
---------00000--------
Reference :
(1) Bank for International Settlement , Basel Committee on Banking Supervision, paper, “Sound Practices for the Management and Supervision of Operational Risk”, Februari 2003.
(2) Bank Indonesia, Surat Edaran Bank Indonesia SEBI No. 5/21/2003/DPNP
(3) www.dunilwriter.blogspot.co.id
Komentar
Posting Komentar