2
MENGELOLA RISIKO YANG EFEKTIF
- Tiga Tantangan Utama -
CHANGE
Management Challenges for the
21st Century
PENTINGNYA RISIKO OPERASIONAL
- Contoh Kasus - Juni 1996 – Sumitomo (rugi $2.6 milyar). Seorang trader tembaga
mengakumulasi kerugian yang tak dilaporkan selama tiga tahun. Yasuo Hamanaka, dikenal sebagai “Mr Five Percent,” setelah sebagian pasar tembaga dia kendalikan, dikirim ke penjara karena manipulasi dan kejahatan Reputasi bank sangat hancur
Pebruary 1995 – Barings (rugi $1.3 milyar). Nick Leeson, seorang trader derivatif, mengakumuliasi kerugian tidak dilaporkan selama dua tahun. Barings bankrut
September 1996 – Morgan Grenfell Asset Management (rugi $720 juta). Seorang fund manager, Peter Young, melanggar kebijakan investasi yang menyebabkan kerugian besar. Deutche Bank, pemilik MGAM, setuju untuk memberi kompensasi pada investor
Sebagian besar dari kerugian tersebut disebabkan oleh trader yang tidak jujur, atau pengendalian internal. Kegagalan ini merupakan gabungan antara risiko pasar dan risiko operasional (kegagalan supervisi)
3
CONTOH KASUS RISIKO OPERASIONAL
- Kasus Melinda Dee (Citibank) -
Kasus pembobolan dana nasbah Citibank senilai Rp40 miliar oleh Inong Malinda alias Melinda Dee yang menjabat Relationship Manager Citigold di bank tersebut merupakan salah satu kasus hukum paling banyak menyita perhatian masyarakat di tahun 2011. Guna meraih kepercayaan nasabah, wanita 47 tahun tersebut terlebih dahulu memperlakukan mereka secara istimewa. Perlakuan ini tidak hanya diberikannya dalam waktu singkat, tetapi hingga puluhan tahun sampai nasabah sangat percaya. Dari sini, Melinda secara cermat menelisik pola transaksi nasabahnya, kemudian mengajukan blanko kosong untuk ditanda tangani. Blanko inilah yang dia gunakanan untuk menarik dana untuk ditransfer ke beberapa perusahaan miliknya. Melinda juga menggunakan surat kuasa dari nasabah, sehingga nasabah seolah-olah datang ke bank untuk melakukan transaksi
4
PENGERTIAN RISIKO OPERASIONAL
Risiko Operasional merupakan risiko kerugian yang timbul dari kegagalan atau tidak memadainya:
Proses internal
Manusia
Sistem, atau
Pengendalian ekternal
Ingat: dalam Basel risiko operasional mencakup juga risiko hukum, namun bukan risiko reputasi, strategis, dan bisnis
Risiko operasional merupakan risiko yang mempengaruhi semua kegiatan usaha yang melekat (inherent) dalam pelaksanaan suatu proses atau aktivitas operasi
5
KATEGORI KEJADIAN RISIKO OPERASIONAL
Kategori kejadian risiko operasional Basel II
Risiko proses internal
Risiko manusia
Risiko sistem
Risiko eksternal
Risiko hukum
Risiko proses internal (Lihat Contoh):
Risiko terkait dengan kegagagaln proses atau prosedur di bank
Kejadian risiko proses internal meliputi:
- Dokumentasi tidak memadai - Pengendalian lemah
- Kesalahan pemasaran - pencucian uang
- Laporan tdkbenar/tdk lengkap - Kesalahan transaksi
6
CONTOH KASUS PROSES INTERNAL
- Bank BNI -
Perkara pembobolan Bank BNI cabang Pondok Indah senilai
Rp.46,4 miliar telah menyeret lima terdakwa pejabat dan
karyawan bank tersebut. Mereka membobol Bank BNI dengan
cara mengajukan kredit dengan agunan dokumen palsu.
Dokumen yang dipalsukan antara lain akta pendirian perusahaan,
akta pemberian hak tanggungan, dan surat kuasa memberikan hak
tangggungan.
Proses pencairan dana tersebut dinilai tidak sesuai prosedur
standar operasional (SOP) perbankan, petunjuk pelaksanaan
bisnis ritel dan prinsip kehati-hatian perbankan
7
KATEGORI KEJADIAN RISIKO OPERASIONAL
(Lanjutan)
Risiko manusia (Lihat Contoh): Risiko terkait dengan karyawan bank
Are yang terkait dengan risiko manusia: - Perputaran pegawai tinggi - Fraud unternal
- Sengketa pekerja - Praktek manajemen buruk
- Pelatihan karyawan tidak memadai - Ketergantung pada karyawan kunci
- Kesehatan & keselamatan kerja - Rogue trader
Risiko sistem (Lihat Contoh): Risiko terkait dengan penggunaan teknologi dan sistem
Sumber risiko sistem - Data tidak lengkap - Kesalahan input data
- Pengendalian perubahan data tidak memadai - Gangguan pelayanan
- Keamanan sistem (virus) - Kecocokan sistem
- Penggunaan teknologi tanpa uji coba - Kesalahan pemrogaman
8
CONTOH KASUS MANUSIA
- UBS Warburg Bank -
Pada akhir November 2001, UBS Warburg, bank yang berkantor
pusat di Swiss, kehilangan sekitar USD50 juta pada trading book-
nya karena kesalahan seorang karyawan. Seorang trader UBS
Warburg di Tokyo salah menjual 610.000 saham Dentsu pada
harga JPY16 setiap lembarnya, yang seharusnya 16 lembar saham
seharga JPY610,000 setiap lembarnya. Transaksi tersebut tetap
dieksekusi walaupun order penjualan dipertanyakan oleh sistem
komputer
9
CONTOH KASUS SISTEM & TEKNOLOGI
Pada bulan Oktober 2000 kegagalan komputer yang hampir
menyeluruh di Bank of Scotland telah menyebabkan tidak
beroperasinya seluruh mesin ATM dan fasilitas internet banking
yang dimiliki bank tersebut. Kegagalan tersebut juga telah
menyebabkan tidak dapat digunakannya kartu debit 'Switch'
untuk transaksi berjumlah besar. Kegagalan tersebut terjadi pada
saat jam makan siang dan berlangsung selama tiga jam. Dampak
lebih lanjut adalah pemrosesan yang biasanya dilakukan pada
waktu malam hari tidak dapat diselesaikan sehingga beberapa
tagihan nasabah tidak dapat dikliringkan pada waktunya
10
KATEGORI KEJADIAN RISIKO OPERASIONAL
(Lanjutan)
Risiko eksternal Risiko terkait dengan kejadian diluar kontrol bank secara langsung
Umumnya merupakan kejadian low frekuensi/high impact
Contoh kejaidn risiko eksternal: - Pencurian dan external fraud - Kebakaran
- Bencana alam - Terorisme
- Kegagalan perjanjian outsourcing - Kerusuan dan unjuk rasa
- Tidak beroperasinya sistem transportasi - Kegagalan listrik, telp.
Risiko hukum: Risiko yang timbul dari adanya ketidakpastian keran tindakam hukum
atau ketidakpastian dalam penerapan dan interpretasi perjanjian, peraturan, atau ketentuan
Risiko hukum semakin meningkat karena: - Penerapan KYC terkait tindakan terorisme
- Penerapan ketentuan perlindungan data karena meningkatnya penggunaan IT 11
CONTOH KASUS FAKTOR EKSTERNAL
Kebakaran melanda bagian basement dari Menara Bank Mandiri di Jakarta Pusat pada 2 Februari 2009 pukul 04.00 dini hari. Diduga kebakaran terjadi akibat adanya konsleting listrik di lantai dasar. Apa berhasil dipadamkan pukil 06.30. Tidak ada korban jiwa, namun dua orang petugas keamanan terjebak di lanta tujuh menara tersebut.
Akibat kebakaran tersebut, server data Bank Mandiri dipindahkan sementara ke tempat lain. Akibat dari pemindahan ini, kegiatan operasional melalui jalur online antara lain melalui Anjungan ATM Bank Mandiri di seluruh Indonesia dihentikan sementara selama beberapa jam. Risiko operasional akibat kebakaran ini antara lain adalah kerugian finansial atas terbakarnya fisik bangunan, jaringan dat dan informasi sehingga mengakibatkan terganggunya pelayanan nasabah dan karyawan di gedung tidak tidak dapat bekerja akibat rusaknya prasarana kerja
12
BOUNDARY EVENT
Boundary event merupakan kejadian risiko yang
penyebab pastinya sulit ditentukan
Penyebabnya merupakan kombinasi berbagai kejadian
Solusi terhadap permasalahan boundary event:
Mengklasifikasi kejadian berdasarkan penyebab utamanya
Contoh kasus boundary event:
Kasus Baring merupaakan komobinasi kejadian risiko pasar, bisnis
atau strategis
Namun penyebab utamanya adalah risiko operasional, yaitu
pengendalian yang tidak efektif
13
MANEJEMEN OPERATIONAL RISK
14
o Cakupan proses manajemen risiko: Identifikasi, Pengukuran, Monitoring, dan Pengendalian/Mitigasi
terhadap setiap faktor risiko yang melekat pada setiap produk dan jasa yang disebakan oleh faktor internal dan eksternal
o Tujuan pengendalian risiko operasional: Menekan potensi kerugian akibat risiko operasional sampai pada
level yang direncanakan bank (yang dapat ditoleransi) o Perangkat umum mengelola risiko operasional:
a. Risk and Control Self Assessment (RCSA): Estimasi risiko operasional di masa datang
b. Key Risk Indicator (KRI): Mengendalikan risiko operasional dengan menggunakan batas limit (threshold)
c. Loss Event Database (LED): Mencatat data kerugian yang sudahterjadi
Kurang Pelatihan
SEBAB KEJADIAN KONSEKUENSI
Kurangnya pengawasan oleh
Manajemen
Prosedur audit tidak
memadai
Keamanan tidak memadai
Kebijakan SDM jelek
Rancangan sistem jelek
Pemisahan tugas tidak
memdai
External
Fraud
Employment Practices
& Workplace Safety
Clients, Products
& Business Practices
Damage to
Physical Assets
Business Disruption
& System Failures
Execution, Delivery &
Process Management
Internal
Fraud Denda regulasi, kepatuhan,
Dan pajak
Pembayaran kompensasi
Kehilangan hak
Reputasi
Gangguan bisnis
DAMPAK
LANGSUNG
Kerugian
finansial
DAMPAK
LAIN
Pendapatan
yang lepas
•
•
•
Penghapusbukuan aset
Rugi atau kerusakan
Aset fisik
Kewajiban legal
Kerangka Identifikasi Risiko Operasional
- Sebab, Kejadian & Konsekuensi -
15
RISK & CONTROL SELF ASSESSMENT
(RCSA)
16
Pengertian RCSA: Proses manajemen risiko operasional untuk
mengidentifikasi dan mengukur risiko operasional yang bersifat
kualitatif, dengan menggunakan dua dimensi:
Dampak (Impact) dan
Kemungkinan kejadian (Likelihood)
Perangkat Penilaian dalan RCS: menggunakan daftar
(checklist) pertanyaan untuk mengevaluasi:
1) Tingkat risiko
2) Tingkat efektivitas kontrol
Tujuan RCSA: mengidentifikasi dan mendeteksi sumber-sumber
risiko operasional yang berpotensi menjadi penyebab
penyimpangan/ kegagalan dalam menjalankan aktivitas fungsional
PENGELOMPOKAN KEJADIAN
RISIKO OPERASIONAL
Dasar pengelompokan, yaitu 2 faktor
Frekuensi – seberapa sering kejadian dapat terjadi
Dampak – jumlah kerugian yang ditimbulkan
Pengelompokkan:
Low frequency/low impact:
Low frequency/high impat
High frequensi/low impact
High frequency/high impat
Fokus bank pada:
Low frequency/high impat (LFHI)
High frequensi/low impact (HFLI
17
CONTOH PENGKURUAN KEMUNGKINAN
(LIKELIHOOD)
18
Level Kejadian Probablitas Frekensi
5 Hampir Pasti ≥ 90% Lebih 9 kali per bulan
4 Kemungkinan Besar 50% ≤ s.d. < 90% Antara 6 – 9 kali per bulan
3 Kemungkinan Sedang 10% ≤ s.d. < 50% Antara 2 – 5 kali per bulan
2 Kemungkinan Kecil 1% ≤ s.d. < 10% Antara 1 kali per bulan – lebih 1 kali
per tahun
1 Jarang Sekali < 1% Maksimal 1 kali per tahun
CONTOH PENGUKURAN DAMPAK
19
SCORE Kerugian
(Rp. Juta)
Faktor yang mempengaruhi nilai pemegang saham
Perhatian publik Pelanggaran ketentuan Pelayanan
Sangat
kecil
1 Z < 2%X Tidak ada dampak Pelanggaran bersifat adm. &
tidak menimbulkan kerugian
finansial
Ketidaknyamanan nasabah
dapat diabaikan
Kecil 2 2%X < Z < 5%X Potensi menjadi
sorotan publik
Pelanggaran terhadap ketentuan
internal yang tidak terkait
dengan transaksi namun
menimbulkan resiko
lainnya/terkait dengan
ketentuan internal
Ketidaknyamanan nasabah
langsung dapat diatasi
Sedang 3 5%X <Z< 10%X Pemberitaan negatif
pada media massa
Pelanggaran yang terkait dengan
transaksi &/atau ketentuan
internal
Ketidaknyamanan nasabah
dapat diatasi dalam 1 hari
kerja
Besar 4 10%X<Z<20%X Ekspos utama
(dimedia massa) lebih
dari satu hari
Pelanggan yang terkait dengan
transaksi &/atau dengan
ketentuan internal & eksternal
Ketidaknyamanan nasabah
dapat diatasi lebih dari 1
hari kerja
Sangat
besar
5 Z < 20%X Menjadi perhatian
sangat serius
public/kehilangan
kepercayaan publik
Pelanggaran sangat signifikan
terkait dengan transaksi &/atau
dengan ketentuan internal &
eksternal
Ketidaknyamanan yg
berarti ke seluruh
nasabah/
CONTOH LAIN PENGUKURAN DAMPAK
20
Lev. Peringkat Cedera Kerugian
Finansial
Gangguan
Layanan
Reputasi Efisiensi
Operasi
Kinerja
1 Tidak
signifikan
Tidak ada
luka
Kurang dari Rp.1
juta, atau 0,01% dari
anggaran operasi
Kurang 1
jam
Tidak ada berita
negatif
Sedikit sekali
dampak
Variasi sampai
5% dari KPI
atau sasaran
2 Minor Penanganan
obat ringan
Antara Rp.1 juta –
Rp.10 juta, atau
0,05% dari anggaran
operasi
1 jam – 1
hari
Ada sedikit
berita negatif
Penundaan yang
kurang
menyenangkan
Variasi 5%
sampai 10% dari
KPI atau sasaran
3 Sedang Penangana
medis
Antara Rp.10 juta –
Rp.100 juta, atau 1%
dari anggaran operasi
1 hari – 1
minggu
Cukup ada
berita yang
memalukan
Penundaan dlm
pelayanan utama
Variasi 10%
sampai 25% dari
KPI atau sasaran
4 Mayor Kematian
atau luka
sangat parah
Antara Rp.100 juta –
Rp.1 milyar, atau
2,5% dari anggaran
operasi
1 minggu –
1 bulan
Cukup ada
berita yang
memalukan, ada
tuntunan pihak
ketiga
Tidak
tercapainya
pelayanan
(penyerahan)
utama
Variasi 25%
sampai 50% dari
KPI atau sasaran
5 Bencana Banyak
meninggal
atau cacat
tetap
Lebih dari Rp.1
milyar, atau 5% dari
anggaran operasi
Lebih dari 1
bulan
Banyak berita
memalukan di
media, tuntutan
pihak ketiga,
Tidak
tercapainya
banyak tujuan
kunci
Variasi diatas
50% dari KPI
atau sasaran
Likelihood x Impact = Risk
PENILAIAN RISIKO
Risk 1 : 10% x Rp.10.000 = Rp.1.000
Risk 2 : 1% x Rp.50.000 = Rp. 500
.
.
.
.
Risk 999 : 5% x Rp.25.000 = Rp.1250
Risk 1000 : 20% x Rp. 6,000 = Rp.1,200
21
1. Tidak Signifikan
2. Rendah 3. Sedang 4. Besar 5. Dahsyat
5. Hampir pasti
M M M - H
H
H
4. Besar M M
M - H
H
H
3. Sedang
M - L
M - L
M
M - H
M - H
2. Kecil L
L
M - L
M
M
1. Jarang L
L
M - L
M M
Dampak
Keungkinan
PETA RISIKO
22
5 ELEMEN PENGENDALIAN INTERNAL
1. Pengawasan manajemen dan budaya pengendalian
2. Pengenalan dan penilaian risiko
3. Aktifitas pengendalian dan pemisahan tugas
4. Informasi dan komunikasi
5. Aktifitas monitoring dan perbaikan kelemahan
23
TANGGUNG JAWAB DEWAN KOMISARIS VS. DIREKSI
DEWAN KOMISARIS DIREKSI
1 Menyetujui dan me-review secara periodik
seluruh strategi bisnis dan kebijakan
penting Bank
Mengimplementasikan strategi dan kebijakan
yg disetujui Dewan Komisaris
2 Memahami risiko utama yg dijalankan
Bank, menetapkan tingkat risiko yg bisa
diterima (risk appetite & risk tolerance)
dan memastikan bahwa Direksi telah
mengambil langkah yg diperlukan untuk
IP3 risiko
Mengembangkan proses identifkasi,
penguykuran, pengendalian, dan pelaporan
risiko yg dihadapi Bank
3 Memastikan bahwa Direksi memonitor
efektifitas sistem Pengendalian Internal
Menetapkan kebajan Pengendalian Internal
yg sesuai dan memonitor kecukupan dan
efektifitas sistem Pengendalian Internal
4 Menyetujui struktur organisasi Memelihara struktur organisasi dengan
kejelasan tanggungjawab, wewenang dan
pelaporan. Memastikan tanggungjawab
didelegasikan dilaksanakan secara efektif. 24
PENGENDALIAN INTERNAL
1. Top level review (Komisaris & Direksi)
o Laporan kinerja untuk mengkaji perkembangan pencapaian sasaran
bank (hasil aktual dibanding dengan anggaran)
2. Pengendalian aktivitas atas divisi/bagian
o Laporan kinerja dan penyimpangan secara harian, mingguan, atau
bulanan kepada departemen atau divisi
3. Pengendalian fisik (misalnya pembatasan akses pada asset
berwujud seperti kas dan surat-surat berharga)
o Misal: batasan fisik, dual custody, pemeriksaan fisik berkala
4. Kepatuhan dengan limit eksposure
o Misal: kepatuhan terhadap limit debitur (BPMK)
25
PENGENDALIAN INTERNAL (Lanj)
4. Persetujuan dan otorisasi
• Persetujuan atas transaksi diatas batas tertentu
5. Verifikasi dan rekonsiliasi
• Rekonsiliasi secara berkala
6. Pemisahan Tugas
• Pemisahan petuga back office dan front office
• Pemisahan petugas pemeriksa dokumen kredit dan monitoring
kredit
26
WHISTLE-BLOWING
Whistle blowing terjadi ketika pegawai menyampaikan
perhatiannya atas aktivitas yang membahayakan atau illegal
yang ditemui dalam pekerjaanya
Whistle blowing memberikan peringatan dini terhadap
masalah-masalah seperti :
Kecurangan karyawan bank
Salah penjualan produk financial
Menarik pembayaran sebagai imbalan pemberian kontrak
27
AKTIVITAS MONITORING DAN
PERBAIKAN KELEMAHAN
Dilakukan oleh fungsi audit internal (Risk Based Audit)
Sebagai bagian dari operational risk framework (ORF)
Menggunakan risk and control self-assessment (RCSA)
atau key risk indicators (KRI)
28