18.7.09
Mencermati perbedaan Bank Umum Syariah dengan Bank Umum Konvensional
Mencermati Perbedaan Bank Umum Syariah
dengan
Bank Umum Konvensional.
Oleh : Z. D u n i l
Perbankan di Indonesia menganut dual banking sistem., dimana digunakan dua sistem perbankan yang berbeda, yaitu sistem perbankan konvensional dan sistem perbankan syariah . Sistem perbankan syariah adalah suatu sistem perbankan yang didasarkan pada syariah agama Islam. Kedua sistem perbankan ini berjalan bersama menopang perekonomian nasional. Dalam rangka pengembangan perbankan syariah yang munculnya di Indonesia lebih belakangan, maka otoritas perbankan mendorong perkembangannya dengan berbagai cara antara lain, bahkan bank umum konvesional dapat mempunyai unit syariah dalam sistem perbankan konvensional yang dilaksanakannya. Jadi satu bank dapat berusaha atau beroperasi dalam dua sistem perbankan yang berbeda yang masing-masing tunduk pada ketentuan yang berbeda.
Pokok perbedaan antara perbankan konvensional dengan perbankan syariah terutama terletak pada suatu ajaran dalam islam bahwa bunga atau interest itu adalah sesuatu yang haram. Karena itu bank syariah tidak memungut bunga dalam operasi nya melainkan menggunakan cara-cara yang lain yang tidak diharamkan dalam agama islam.
Dilihat dari sistem bank konvensional yang memperoleh penghasilan terutama dari bunga atau interest, ( paling tidak sebelum perbankan konvensional berkembang dengan fee base activities) sedangkan Bank Syariah tidak membebankan bunga , maka perbedaan antara kedua sistem perbankan tersebut merupakan perbedaan yang mendasar. Dalam praktik pelaksanaannya, kedua sistem ini sangat jauh berbeda baik dalam perlakuan terhadap peminjam maupun transaksi.yang dijalankan. Yang menjadi pembeda bukan hanya bunga, melainkan semua praktik pada perbankan syariah yang harus berdasarkan prinsip syariah agama islam.
Prinsip Syariah adalah prinsip hukum Islam dalam kegiatan perbankan berdasarkan fatwa yang dikeluarkan oleh lembaga yang memiliki kewenangan dalam penetapan fatwa dibidang syariah sebagaimana yang dimaksud oleh UU RI No. 21 tahun 2008 tentang Perbankan Syariah.
Keberadaan Prinsip Syariah yang dituangkan ke dalam fatwa Majelis Ulama Indonesia, merupakan salah satu aspek yang mendasari berjalannya sistem perbankan syariah;
Dalam rangka mengimplementasikan fatwa Majelis Ulama Indonesia ke dalam Peraturan Bank Indonesia, maka Bank Indonesia menganggap perlu adanya masukan dari pihak yang kompeten dalam syariah dan ekonomi / perbankan syariah agar dapat menuangkan ketentuan-ketentuan syariah agama islam yang berkaitan dengan sistem perbankan syariah kedalam Peraturan Bank Indonesia. Untuk keperluan itu maka dibentuklah suatu komite yang disebut sebagai ’Komite Perbankan Syariah’. Komite ini bertugas memberikan masukan dan melakukan penafsiran dan pemaknaan fatwa di bidang perbankan syariah. Dijelaskan oleh Bank Indonesia, bahwa Komite Perbankan Syariah, adalah forum yang beranggotakan para ahli dibidang syariah muamalah dan / atau ahli ekonomi, ahli keuangan, dan ahli perbankan, yang bertugas membantu Bank Indonesia dalam mengimplementasikan fatwa Majelis Ulama Indonesia menjadi ketentuan yang akan dituangkan ke dalam Peraturan Bank Indonesia
Lebih terinci , tugas Komite Perbankan Syariah adalah membantu Bank Indonesia dalam:
a. menafsirkan fatwa MUI yang terkait dengan perbankan syariah.
b. memberikan masukan dalam rangka implementasi fatwa ke dalam Peraturan Bank Indonesia.
c. melakukan pengembangan industri perbankan .syariah.
Hasil pelaksanaan tugas Komite disampaikan kepada Bank Indonesia dalam bentuk rekomendasi Komite. Komite bertanggung jawab kepada Bank Indonesia.
Berdasarkan hukum Islam, hubungan antara bank dan pihak lain untuk penyimpanan dana dan / atau pembiayaan kegiatan usaha, atau kegiatan lainnya haruslah sesuai dengan syariah. Beberapa diantaranya (antara lain) adalah pembiayaan berdasarkan prinsip bagi hasil (mudharabah), pembiayaan berdasarkan prinsip penyertaan modal (Musharakah), prinsip jual beli barang modal berdasarkan prinsip sewa murni tanpa pilihan (Ijarah), atau dengan adanya pilihan pemindahan kepemilikan atas barang yang disewa dari pihak bank oleh pihak lain (Ijarah wa iqtina).
Dalam melakukan transaksi keuangan termasuk investasi berdasarkan prinsip syariah Bank Syariah haruslah menjauhi hal-hal seperti :
a) Riba
b) Uang bukan komoditi, tetapi sebagai alat tukar saja
c) Gharar (ketidak pastian)
d) Maysir (tindakan berjudi atau gambling)
e) Dalam setiap hasil harus menanggung risiko terhadap hasil tersebut.
“Riba”, adalah pemastian penambahan pendapatan secara tidak sah (bathil) antara lain dalam transaksi pertukaran barang sejenis yang tidak sama kualitas, kuantitas, dan waktu penyerahan (fadhl), atau dalam transaksi pinjam-meminjam yang mempersyaratkan nasabah penerima fasilitas mengembalikan dana yang diterima melebihi pokok pinjaman karena berjalannya waktu (nasiah).
“Gharar” adalah transaksi yang objeknya tidak jelas, tidak dimiliki, tidak diketahui keberadaannya, atau tidak dapat diserahkan pada saat transaksi dilakukan kecuali diatur lain dalam syariah.
“Maysir”, yaitu transaksi yang digantungkan kepada suatu keadaan yang tidak pasti dan bersifat untung untungan;
Hal-hal diatas dijadikan dasar bagi bank syariah dalam mengelola sistem perbankan yang menundukkan diri pada ajaran Islam sebagai pedoman mutlak.
Dalam melaksanakan prinsip-prinsip syariah tersebut, perbankan syariah harus mengikuti fatwa yang diberikan oleh Dewan Syariah Nasional dari Majlis Ulama Indonesia. Dan dalam pengawasi pelaksanaan nya, apakah perbankan syariah telah melaksanakan aktivitasnya berdasarkan syariah agama Islam, maka Bank-Bank Syariah haruslah diawasi pula oleh suatu lembaga yang disebut sebagai Dewan Pengawas Syariah.
Dalam suatu PBI tentang Bank Umum Syariah , dikemukakan a.l. sebagai berikut : Penerapan prinsip syariah pada bank syariah dipandang menjadi semakin penting di mata semua stakeholder karena dalam kegiatan usahanya bank syariah menghindari transaksi keuangan yang bersifat spekulatif, mendorong transparansi, menghindari eksploitasi dan mendorong pertumbuhan sektor riil.
Kegiatan operasional perbankan syariah yang mencakup seluruh aspek kehidupan ekonomi seperti kegiatan pembiayaan berbasis bagi hasil (mudharabah dan musyarakah), jual beli (murabahah, salam dan istishna), sewa (ijarah) dan jasa lainnya (rahn, sharf dan kafalah) telah menjadikan bank syariah lebih dapat memenuhi berbagai kebutuhan masyarakat (universal banking).
Itulah yang menjadi pokok perbedaan operasional perbankan syariah dengan perbankan yang beroperasi secara konvensional.. Jadi bukan hanya operasionalnya saja yang dapat dibedakan, melainkan organisasi perbankannyapun akan berbeda. Karena itu maka praktik manajemen termasuk manajemen risiko pada Bank Umum Syariah akan berbeda dari praktik Manajemen Risiko pada Bank Umum Konvensional.
Untukmemudahkan melihat perbedaan kedua sistem tersebut, berikut suatu daftar yang menggambarkan perbedaan kedua sistem ditinjau dari berbagai aspek.
1.Undang-Undang Yang Mendasari : (BK=Bank Konvensional. BS= Bank Syariah)
BK : UU No. 7 tahun 1993, sebagaimana telah diubah dengan UU No. 10 tahun 1998 tentang Perbankan.
BS : UU No. 21 tahun 2008 tentang Perbankan Syariah.
2. Kepengurusan Bank :
BK : Pengurus Bank terdiri dari Dewan Komisaris dan Direksi.
BS : Disamping ada Dewan Komisaris dan Direksi terdapat Dewan Pengawas Syariah (DPS). DPS bertugas dan bertanggungjawab memberikan nasihat dan saran kepada Direksi serta mengawasi kegiatan Bank agar sesuai dengan Prinsip Syariah.
3.Ketentuan tentang Kecukupan Modal :
BK :
CAR : Mengikuti saran dari Bank for International Settlement yaitu Basel II yang sudah di adopsi oleh BI, a.l. CAR minimal = 8 % dari ATMR
Modal Inti Minimum: Terdiri dari :
a.Modal disetor
b.Cadangan tambahan modal
c.Modal inovatif
Modal Inti Minimum sebesar 5 % dari ATMR.
ATMR: Terdiri dari;
oATMR risiko kredit.
oATMR risiko Operasional.
oATMR risiko pasar, yang hanya wajib bagi bank tertentu a.l bank dengan asset diatas Rp.20 T
BS :
CAR diatur BI tersendiri berdasarkan PBI No.7/13/PBI/2005 tentang Kewajiban Penyediaan Modal Minimum Bank Umum berdasarkan PrinsipSyariah sebagaimana telah dirubah dengan PBI No.8/7/PBI 2006 tgl. 27/2/2006. Teknis perhitungan ATMR, persentase bobot risiko,komponen ATMR dan rumus KPMM diatur dalam SEBI. No. 7/53/DPbS tanggal. 22 Nov.2005.
CAR tetap = 8% dari ATMR. Komponen perhitungan ATMR pada Bank Umum Syariah berbeda dengan komponen ATMR Bank Konvensional.
Giro Wajib Minimum (GWM).
BK : GWM dalam Rph terdiri dari:
o GWM Utama :sebesar 5 % dari DPK Rph.
o GWM Sekunder ditetapkan 7,5 % dari DPK Rph
(PBI. No.10/25/PBI/2008 tgl.23 Okt.2008). GWM sekunder diberi jasa giro sebesar 2,5 %.
(SEBI.10/37/DPM tgl.13 Nov.2008).
o GWM valuta asing ditetapkan sebesar 1 % dari DPK valuta asing.
(PBI No10/19/PBI/2008 tgl.28 Okt.2008)
BS: GWM dalam Rupiah ditetapkan 5 % dari DPK Rph.
GWM dalam Valuta asing = 1 % dari DPK Valuta asing.
(PBI No. 10/23/PBI/ 2008 tgl.16 Okt.2008).
4.Sarana Pengendalian Moneter BI
BK : PUAB (Pasar Uang Antar Bank)
o Operasi Moneter:
o Operasi Pasar Terbuka
- FTO ( FTK & FTE).
- Penyediaan standing fasilities:
o Menggunakan SBI
o Menggunakan SBN ( yang diterbitkan Dep Keu RI)
o FASBI (Fasilitas Simpanan Bank Indonesia dalamRupiah).
BS : PUAS (Pasar Uang Antar Bank Syariah)
o Operasi Moneter Syariah:
o Operasi Pasar Terbuka Syariah (OPT Syariah).
- Penyediaan Standing fasilities syariah
o Menggunakan SBIS. (Sertifikat Bank Indonesia Syariah)
o Menggunakan SBSN (Surat Berharga Syariah Negara yang diterbitkan DepKeu RI)
o FASBIS (Fasilitas Simpanan Bank Indonesia Syariah dalam Rupiah)
5. Pelaksanakan fungsi BI sebagai lender of the last resort.
BK : Menggunakan :
o FLI (Fasilitas Likiditas Intrahari). Ada 2 macam:
1.FLI Kliring
2.FLI RTGS.
o FPJP (Fasilitas Pendanaan Jangka Pendek).
o FPD (Fasilitas Pembiayaan Darurat) bagi bank yang mempunyai masalah solvabilitas yang
berdampak sistemik.
BS : Menggunakan :
o FLIS (Fasilitas Likiditas Intrahari bagi Bank Syariah).Terdiri dari FLIS Kliring dan FLIS
RTGS.
o FPJPS (Fasilitas Pendanaan Jangka Pendek bagi Bank Syariah
6.Modal untuk pendirian Bank.
BK : Modal disetor untuk pendirian Bank sekurang-kurangnya sebesar Rp.3 T.
BS : Modal Disetor untuk pendirian Bank Syariah sekurang-kurangnya Rp. 1 T.
7.Operasional:
BK :
Pendanaan ( DPK) :
o Giro
o Deposito
o Tabungan
o Lain-lain
Semua DPK diberikan bunga. Bunga pada Giro disebut sebagai Jasa Giro. Besarnya bunga (persentase dari jumlah dana) ditetapkan di awal pembukaan rekening yang bersangkutan atau di awal periode tertentu atau pada saat keputusan perubahan tingkat bunga.
BS :
Pendanaan (DPK):
o Giro wadiah
o Giro mudharabah
o Tabungan wadiah
o Tabungan mudharabah
o Deposito mudharabah
o Bentuk lain yang diperkenankan /sesuai syariah.
Semua Dana Pihak Ketiga (DPK) tidak diberi bunga. Tetapi diberikan keuntungan yang besarnya ditentukan di akhir periode waktu (yang disepakati ) yang didasarkan hasil perhitungan bank.
Kegiatan usaha penghimpunan dana, adalah salah satu dari pelayanan jasa bank berdasarkan Prinsip Syariah yang dilakukan oleh Bank Syariah.
Dalam melaksanakan jasa perbankan melalui kegiatan penghimpunan dana, Bank wajib memenuhi Prinsip Syariah. Pemenuhan Prinsip Syariah dimaksud dilaksanakan dengan memenuhi ketentuan pokok hukum Islam antara lain prinsip keadilan dan keseimbangan (‘adl wa tawazun), kemaslahatan (maslahah), dan universalisme (alamiyah) serta tidak mengandung gharar, maysir, riba, zalim dan objek haram.
BK :
Pemberian Kredit,
o Semua bentuk pemberian kredit mengenakan bunga dan / atau provisi dan diperjanjikan di awal.
o Terdapat berbagai macam skim kredit sesuai penggunaan / tujuan pemberian kredit / menurut penerima kredit.
BS :
Istilah yang digunakan untuk Kredit adalah Pembiayaan. Pemberian pembiayaan menggunakan sistem Syariah:
Pembiayaan adalah penyediaan dana atau tagihan yang dipersamakan dengan itu berupa:
a. transaksi bagi hasil dalam bentuk mudharabah dan musyarakah;
b. transaksi sewa-menyewa dalam bentuk ijarah atau sewa beli dalam bentuk ijarah muntahiya bittamlik;
c. transaksi jual beli dalam bentuk piutang murabahah, salam, dan istishna’;
d. transaksi pinjam meminjam dalam bentuk piutang qardh; dan
e. transaksi sewa-menyewa jasa dalam bentuk ijarah untuk transaksi multijasa, berdasarkan persetujuan atau kesepakatan antara Bank Syariah dan/atau UUS dan pihak lain yang mewajibkan pihak yang dibiayai dan/atau diberi fasilitas dana untuk mengembalikan dana tersebut setelah jangka waktu tertentu dengan imbalan ujrah, tanpa imbalan, atau bagi hasil sebagaimana dimaksud dalam Undang-Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah.
BK :
Transaksi Valas.
Terdiri dari transaksi Spot ; Forward ; Swap dan Option. Bank Konvensional (susuai dengan izin yang diberikan) bebas melakukan transaksi untuk memperoleh keuntungan atau sesuai kebutuhan untuk menjaga likiditas dan berbagai tujuan lainnya. Kalau ada pembatasan yang ditetapkan BI sifatnya hanya insidentil dalam rangka menjaga gejolak nilai tukar dari pengaruh spekulasi.
BS;
Transaksi Valas (Al Sharf).
Transaksi yang diperkenankan pada bank Syariah hanya transaksi spot. Transaksi Forward , Swap dan Option tidak diperkenankan (haram) karena mengandung unsur maisyir.
BK :
Transaksi Import / Eksport.
Menggunakan Letter of Credit (L/C) Import / Eksport yang tunduk pada UCPDC
( Uniform Custom and Practices of Documentary Credit ).
BS;
Transaksi Import / Eksport .
Menggunakan LC Import /eksport Syariah yang diatur dengan akad Wakalah bil ujrah (dan dikombinasikan dengan Qardh, Mudharabah, Musyarakah dan Wakalah sesuai kebutuhan.
BK :
Perdagangan / investasi dalam surat berharga
o Surat berharga dapat diperdagangkan (mencari selisih harga jual dan beli untuk memperoleh keuntungan atau menghindari kerugian yang lebih besar) .
o Dianggap sebagai investasi (hold to maturity).
o Jenis surat berharga yang diperdagangkan / sarana investasi adalah segala jenis yang menghasilkan bunga (yield) dan/atau Capital Gain. Berpedoman pada rating surat berharga yang bersangkutan, minimal‘ Investment Grade”.
BS :
Investasi pada surat berharga (hold to maturity).
o Diutamakan sebagai investasi.
o Penjualan / Perdagangan dilakukan berdasarkan kebutuhan bukan untuk mencari capital gain (bebas dari unsur spekulasi).
o Jenis surat berhaga yang dijadikan sarana investasi adalah surat berharga dari perusahaan yang usahanya tidak bertentangan dengan syariah agama Islam.
8.Manajemen Risiko :
BK :
Diatur antara lain pada Peraturan Bank Indonesia No:. 5/8/PBI/2003 Tentang ‘Penerapan Manajemen Risiko bagi Bank Umum’: a.l;
Bank wajib menerapkan Manajemen Risiko secara efektif, disesuaikan dengan tujuan, kebijakan usaha, ukuran dan kompleksitas usaha serta kemampuan Bank.
Sekurangkurangnya mencakup:
a. pengawasan aktif dewan Komisaris dan Direksi;
b. kecukupan kebijakan, prosedur, dan penetapan limit;
c. kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian Risiko serta sistem informasi Manajemen Risiko; dan
d. sistem pengendalian intern yang menyeluruh.
Risiko sebagaimana dimaksud diatas mencakup:
a. Risiko Kredit;
b. Risiko Pasar;
c. Risiko Likuiditas;
d. Risiko Operasional;
e. Risiko Hukum;
f. Risiko Reputasi;
g. Risiko Strategik;
h. Risiko Kepatuhan.
Bank yang tidak memiliki ukuran dan kompleksitas usaha yang tinggi hanya wajib menerapkan Manajemen Risiko sekurang-kurangnya untuk 4 (empat) jenis Risiko dalam huruf a, huruf b, huruf c, dan huruf d.
BS :
Belum diatur secara khusus. Dengan demikian , ketentuan manajemen risiko yang diberlakukan pada bank umum konvensional, sepanjang relevan dapat pula diterapkan pada bank syariah. Dalam PBI No.11/25/PBI/2009 tanggal 1 Juli 2009, ditetapkan oleh BI bahwa Bank Umum Syariah sekurang-kurangnya menerapkan manajemen risiko pada 4 jenis risiko , yaitu
a. Risiko Kredit;
b. Risiko Pasar;
c. Risiko Likuiditas;
d. Risiko Operasional;
Masih banyak perbedaan lainnya , namun sementara itulah aspek yang pokok yang perlu dipahami. Kalau pada 2 bank sesama Bank Umum Konvesional saja kita sering menemukan perbedaan yang signifikan, apalagi antara Bank Umum Konvensional dengan Bank Umum Syariah tentu perbedaannya akan dapat ditemukan pada berbagai aspek karena yang berbeda tersebut adalah filosofi dasar pada kedua sistem yang menopangnya.
Pemahaman terhadap perbedaan tersebut sangat diperlukan dalam melakukan review atau kaji ulang terhadap manajemen risiko pada Bank Umum Syariah. Pemahaman ini akan membantu pelaksanaan tugas manajemen review pada Bank UmumSyariah. Kaji ulang manajemen risiko pada Bank Umum Syariah lebih perlu dilakukan sejak dini mengingat petunjuk khusus dari Bank Indonesia mengenai bagaimana menerapkan manajemen risiko khusus pada bank syariah merujuk kepada ketentuan manajemen risiko pada bank konvensional. Dari kenyataan ini kita akan dapat memperkirakan bahwa akan banyak praktik manajemen risiko yang berbeda atau adanya variasi antara suatu Bank Umum Syariah dengan Bank Umum Syariah yang lainnya. Walaupun pelaksanaan manajemen risiko memang tidak mungkin seragam karena sangat tergatung pada berbagai hal, antara lain ukuran dan kompleksitas usaha, namun penerapan prinsip prinsip manajemen risiko yang universal tentu perlu di usahakan agar manajemen risiko itu efektif mencapai tujuan yang diinginkan.
Sekedar catatan, dalam tulisan diatas kemungkinan terdapat istilah yang belum dipahami untuk itu disarankan viewers melihat pengertiannya pada : //istilahbank.blogspot.com.
Dalam blog tersebut disajikan Leksikon dari istilah perbankan sehingga menjadi lebih mudah memahami peristilahan yang digunakan dalam tulisan diatas.
Jakarta, 17 Juli 2008.
2.7.09
KAJI ULANG MANAJEMEN RISIKO OPERASIONAL
KAJI ULANG MANAJEMEN RISIKO OPERASIONAL
(OPERATIONAL RISK MANAGEMENT REVIEW)
Oleh : Z. D u n i l
A. Pengertian Risiko Operasional
Bank Indonesia memberikan pengertian tentang Risiko Operasional sebagai berikut :
Risiko Operasional adalah risiko yang antara lain disebabkan ketidakcukupan dan atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, atau adanya problem external yang mempengaruhi operasional bank.
Risiko operasional dapat menimbulkan kerugian keuangan secara langsung maupun tidak langsung dan kerugian potensial atas hilangnya kesempatan memperoleh keuntungan
Risiko operasional dapat melekat pada setiap aktivitas fungsional Bank seperti kegiatan perkreditan (penyediaan dana), tresuri dan investasi, operasional dan jasa, pembiayaan perdagangan, pendanaan dan instrumen utang, teknologi sistem informasi dan Informasi Manajemen dan pengelolaan sumber daya manusia.
Bank for International Setlement (BIS) memberikan definisi tentang ‘Risiko Operasional’sebagai berikut :
Risiko operasional adalah risiko kerugian yang dapat terjadi baik langsung maupun tidak langsung yang disebabkan oleh ketidak cukupan atau kegagalan dari proses internal, orang, system atau sebab dari luar. Tercakup dalam definisi tersebut “Legal Risk “ tetapi tidak termasuk didalamnya Strategic Risk, Reputational Risk dan Systemic Risk.
Dari pengertian yang diberikan Bank Indonesia serta definisi Bank for International Settlement diatas jelas bahwa cakupan Risiko Operasional meliputi proses (baik proses transaksi maupun proses otorisasi), sistem internal bank (sistem dan prosedur transaksi,semua kegiatan dalam rangka usaha bank, peralatan yang menunjang sistem seperti computer dsb.nya), orang (staf pelaksana dan pejabat pengambil keputusan / otorisasi) dan sebab dari luar
Risiko Operasional adalah suatu terminologi yang mempunyai pengertian beragam dalam industri perbankan, dan menurut BIS untuk keperluan intern, bank dapat mengadopsi / menggunakan definisi sendiri tentang Risiko Operasional. Apapun definisi yang digunakan, yang penting bank mempunyai pemahaman yang jelas tentang maksud dari risiko operasional terhadap pengelolaan dan pengendalian kategori risiko yang efektif. Beberapa kalangan malahan memberikan definisi secara umum bahwa “Risiko operasional adalah semua risiko selain risiko kredit dan risiko pasar”. Penting untuk dipahami bahwa definisi hendaknya mempertimbangkan full range risiko operasional yang material yang dihadapi bank dan mencakup sebagian besar sebab-sebab utama kerugian operasional.
B. BANK PERLU MEMPERHITUNGKAN RISIKO OPERASIONAL
Berdasarkan kajian-kajian Bank for Internatiomnal Settlement dapat dipahami bahwa Risiko Operasional perlu diperhitungakan menginagat hal-hal sebagai berikut :
I. Deregulasi dan globalisasi dari jasa-jasa keuangan, berserta peningkatan kerumitan teknologi keuangan, menjadikan kegiatan dari bank serta profil risikonya (misalnya, tingkat risiko antar kegiatan suatu usaha dan atau kategori risiko) menjadi lebih kompleks. Perklembangan praktik-praktik perbankan menyarankan agar risiko-risiko selain risiko kredit , risiko suku bunga / risiko pasar dapat menjadi sangat substansial sifatnya. Contoh dari risiko-risiko baru dan sedang berkembang yang dihadapi oleh bank-bank adalah :
o Penggunaan yang semakin luas terhadap teknologi otomasi yang semakin tinggi berpotensi untuk merubah risiko dari kesalahan proses secara manual menjadi risiko kegagalan sistem , selaras dengan semakin diandalkannya penggunaan sistem yang terintergarsi secara global.
o Pertumbuhan dari e-commerce disertai dengan peningkatan potensi risikonya (misal, kecurangan internal maupun external serta isu-isu tentang sistem keamanan ) yang belum dipahami secara penuh.
o Skala akuisisi yang besar , merger-merger dan de-merger serta konsolidasi menguji kebenaran dari sistem integrasi yang baru atau yang diperbarui.
o Kemunculan bank-bank yang bertindak sebagai penyedia jasa dalam volume yang besar menciptakan kebutuhan pemeliharaan yang berkesinambungan terhadap tingkat pengendalian yang tinggi serta sistem back-up nya.
o Bank-bank dapat saja mempunyai teknik-reknik mitigasi risiko (seperti , Jaminan / Kolateral , Kredit Derivatif , Netting Arrangements, dan Sekuritisasi Aset ) untuk optimalisasi eksposur mereka terhadap risiko pasar dan risiko kredit, namun pada gilirannya dapat saja menimbulkan risiko baru seperti risiko hukum (legal risk), dan
o Pertumbuhan penggunaan perjanjian ‘outsourcing’ dan keikut sertaan dalam sistem kliring dan ‘settlement’ dapat mengurangi beberapa risiko namun dapat pula menimbulkan risiko lain yang signifikan terhadap bank.
Risiko- risiko yang dikemukakan diatas dapat dikelompokkan menjadi satu yaitu sebagai ‘Risiko Operasional’, yang di-definisikan oleh BIS sebagai “risiko kerugian yang timbul dari ketidak cukupan atau kegagalan proses internal , orang atau sistem atau sebab dari luar’. Dalam definisi dicakup risiko hukum tetapi tidak termasuk risiko strategik dan risiko reputasi.
II. BIS / Komite Basel dengan bekerja sama dengan industri perbankan , telah melakukan identifikasi tipe-tipe kejadian yang termasuk dalam risiko operasional yang berpotensi mengakibatkan kerugian yang substansial bagi bank , yaitu :
o Internal fraud. Misalnya sengaja tidak melaporkan / kurang dalam melaporkan suatu posisi, pencurian oleh pegawai, kecurangan / pembocoran rahasia terkait dengan permainan harga saham (insider trading) untuk keuntungan pribadi dsb.nya.
o External fraud. Misalnya, perampokan, pemalsuan, Cheque kitting (gali lobang tutup lobang), dan kerugian karena “computer hacking”.
o Praktek keselamatan dan keamanan pegawai. Misalnya klaim Kompensasi pekerja, pelanggaran undang-undang tentang keselamatan dan kesehatan kerja, kegiatan buruh yang terorganisasi, klaim atas pembedaan (diskriminasi), keselamatan umum.
o Langganan, produk dan praktek bisnis. Misalnya pelanggaran penggadaian, alpa dalam menjaga informasi rahasia dari nasabah, kegiatan perdagangan yang menyimpang pada rekening bank, pencucian uang, dan penjualan produk yang melanggar hukum / illegal.
o Kerusakan asset secara fisik. Misalnya terorisme, vandalisme, gempa bumi, kebakaran dan banjir.
O Gangguan bisnis dan kegagalan sistem. Misalnya, kegagalan perangkat keras dan perangkat lunak computer, problem komunikasi dan fasilitas yang sudah ketinggalan / tua.
o Eksekusi, pemindahan dan proses manajemen. Misalnya kesalahan pemasukan data, kegagalan pengelolaan jaminan, dokumentasi hukum yang tidak lengkap, akses ke rekening nasabah yang tidak berdasarkan persetujuan nasabah, kinerja pihak ketiga (bukan nasabah) yang tidak baik, dan perselisihan dengan vendor
Kecendrungan yang dikemukakan diatas, dikombinasikan dengan kejadian-kejadian yang meningkat sebagai kerugian operasional yang besar secara luas, mengarahkan bank-bank dan otoritas pengawasan bank untuk meningkatkan pandangan terhadap pengelolaan risiko operasional sebagai suatu disiplin yang inklusif , sebagai mana telah dilakukan pada berbagai industri lainnya.
III. Pada masa lalu, bank-bank sangat mengandalkan mekanisme pengendalian intern dalam ‘business line’, yang di-support oleh fungsi internal audit untuk mengelola risiko operasional. Walaupun hal ini tetap penting, saat ini terdapat suatu kegentingan dari proses dan struktur yang spesifik yang dimaksudkan untuk mengelola risiko operasional. Dalam hubungan ini semakin banyak organisasi perbankan menyimpulkan bahwa suatu program pengelolaan risiko operasional memberikan keamanan dan kebaikan, dan karenanya memberikan kemajuan dalam mengarahkan risiko operasional sebagai suatu risiko tersendiri sebagaimana perlakuan terhadap risiko kredit dan risiko pasar.
C. PRINSIP-PRINSIP MANAJEMEN RISIKO OPERASIONAL
Bank for International Settlement (BIS) telah menyusun rekomendasi berupa Prinsip-prinsip Sound Practices dalam manajemen dan supervisi terhadap Risiko Operasional dalam final paper BIS/BCBS berjudul “Sound Practices for the Management and Supervision of Operational Risk “ yang diterbitkan oleh Basel Committee on Banking Supervision pada Pebruari 2003. Paper tersebut dapat di akses melalui website Bank for International Settlement : www. bis.org.
Berdasarkan prinsip-prinsip yang dikemukakan ( terdapat 10 prinsip ) oleh Bank for International Settlement tersebut diatas. matriks kesepuluh prinsip tersebut ).
Bank for International Settlement mengelompokkan prinsip prinsip tersebut kedalam 4 kategori :
I. Pengembangan Lingkup Manajemen Risiko yang sesuai (appropriate)
II. Manajemen Risiko (Identifikasi , Asesmen, Pemantauan dan Pengendalian Risiko Operasional).
III. Peranan Otoritas Pengawasan Bank (Role of Superviso).r
IV. Peranan keterbukaan (Role of Disclosure).
Topik pada rumawi akan dibahas dalam pembahasan tentang Strategic Risk Management Review. Sedang angka rumawi III menyangkut ‘ Role of Supervisor’ tidak dibahas dalam tulisan ini sdl karena lebih menyangkut otoritas . Dengan demikian yang dijadikan bahan review terhadap pelaksanaan manajemen risiko operasional dalam kesempatan ini hanya menyangkut topik pada rumawi II dan IV.
D. KAJI ULANG MANAJEMEN RISIKO OPERASIONAL
Dalam ‘ Strategic Management Review’ akan dibahas bagaimana melakukan review terhadap tugas dan tanggungb jawab pengurus bank (dewan komisaris dan direksi) dalam mengelola ‘Risiko Operasional’. Dalam kesempatan ini di-review bagaimana pada tingkat makro Risiko Operasional tersebut diimplementasikan oleh satuan-satuan kerja yang ada, apakah prinsip-prinsip Manajemen Risiko Operasional yang direkomendasikan oleh Bank for International Settlement serta ketentuan-ketentuan yang ditetapkan oleh Bank Indonesia sudah terlaksana dengan baik.
Program review manajemen risiko operasional akan mencari jawaban atas pertanyaan-pertanyan sebagai berikut :
I. Menyangkut identifikasi , Asesmen , Pemantauan dan Pengendalian Risiko Operasional.
1. Apakah bank sudah melakukan identifikasi dan asesmen terhadap risiko operasional yang material , yang melekat pada produk , kegiatan , proses dan sistem ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No. 4 dari BIS)
Bank harus meng-identifikasi, melakukan asesmen risiko operasional yang material yang melekat pada produk-produk, kegiatan-kegiatan, proses dan sistem. Bank juga harus meyakini bahwa sebelum produk baru, kegiatan dan proses di luncurkan atau dilaksanakan, risiko operasional yang melekat harus sudah melalui prosedur asesmen yang cukup
Penjelasan atas prinsip diatas sebagai berikut :
a. Identifikasi risiko adalah puncak pengembangan berikutnya dari berbagai pemantauan risiko operasional dan sistem pengendalian. Identifikasi risiko yang efektif mempertimbangkan baik faktor-faktor internal (seperti , struktur bank , sifat kegiatan bank , kualitas dari SDM bank , perubahan dalam organisasi serta turnover pegawai) maupun faktor eksternal (seperti , perubahan dalam industri dan perkembangan teknologi) yang dapat berakibat negatif terhadap pencapaian tujuan-tujuan bank
b. Untuk mengidentifikasi risiko-risiko potensial yang paling merugikan, bank harus melakukan asesmen terhadap bahaya dari risiko-risiko tersebut. Asesmen risiko yang efektif memungkinkan bank untuk memperoleh pemahaman yang lebih baik terhadap profil risiko serta target manajemen risiko sumber daya yang paling efektif.
c. Diantara ‘tools’ yang digunakan bank untuk mengidentifikasi dan melakukan asesmen terhadap risiko operasional adalah :
c.1. Menilai / menghitung risiko sendiri (self-risk assessment).
Suatu bank melakukan asesmen terhadap operasi dan kegiatan terhadap suatu daftar bahaya-bahaya risiko operasional yang potensial. Proses ini secara internal didorong dan sering menggunakan check-list dan atau semacam seminar (workshops ) untuk meng-identifikasi kekuatan dan kelemahan lingkungan (environments) dari risiko operasional. Metode Scorecards, umpamanya, menyediakan suatu sarana untuk menerjemahkan asesmen yang kualitatif menjadi perhitungan-perhitungan yang kuantitatif yang menghasilkan secara relatif ranking dari berbagai tipe eksposur risiko operasional. Beberapa skor mungkin berkaitan dengan risiko yang unik terhadap suatu line bisnis, sementara yang lain dapat membuat ranking risiko yang berbeda dengan line bisnis. Skor dapat diarahkan pada risiko-risiko yang melekat (inherent) sebagaimana pengendalian untuk mitigasi risiko tersebut. Scorecards mungkin dapat digunakan bank untuk meng-alokasikan economic capital pada line bisnis dalam hubungannya dengan kinerja dalam mengelola dan mengendalikan berbagai aspek risiko operasional.
c.2. Pemetaan risiko (risk mapping ) :
Dalam proses in, berbagai unit bisnis, fungsi-fungsi organisasi atau alur proses (process flows) dipetakan berdasarkan tipe risiko. Cara ini dapat menghasilkan area-area yang mempunyai kelemahan dan membantu menetapkan prioritas kegiatan manajemen selanjutnya
c.3. Indikator risiko (Risk indicators).
Indikator indikator risiko adalah statistik dan atau metrics, sering dalam financial , yang dapat memberikan penglihatan terhadap suatu posisi risiko suatu bank. Indikator-indikator ini perlu dikaji ulang (review) secara periodi (bulanan atau kuartalan) untuk menjaga kewaspadaan bank terhadap perubahan yang mungkin merupakan indikasi yang berkaitan dengan risiko. Indikator-indikator tersebut dapat mencakup sejumlah kegagalan dalam trading, tingkat turnover staf, frekuensi dan jumlah kesalahan (errors) serta frekuensi kehilangan.
c.4. Pengukuran (measurements).
Beberapa perusahaan mulai memperhitungkan eksposur mereka terhadap risiko operasional dengan menggunakan berbagai pendekatan. Misalnya, data kerugian bank berdasarkan pengalaman dapat menyediakan informasi yang berharga dalam melakukan asesmen terhadap eksposur bank pada risiko operasional dan mengembangkan suatu kebijakan untuk mitigasi / pengendalian risiko. Cara yang efektif untuk memanfaatkan informasi ini adalah dengan membentuk suatu kerangka kerja yang secara sistimatis melaksanakan napaktilas (tracking) dan pencatatan (recording) frekuensi, severity, dan informasi lain tentang kejadian-kejadian yang menyebabkan kerugian individual. Beberapa perusahaan bahkan mengkombinasikan data kerugian internal dengan data kerugian eksternal, membuat scenario analyses dan faktor-faktor asesmen risiko.
Kriteria Bank Indonesia : (Lampiran SEBI No. 5/21/2003/DPNP , rumawi III. 4.d. 1) s/d 2)).
Proses Identifikasi, Pengukuran, Pemantauan dan Sistem Informasi Manajemen Risiko Operasional
(1) Identifikasi Risiko Operasional
a) Bank harus melakukan identifikasi dan analisa terhadap faktor penyebab timbulnya risiko operasional yang melekat pada seluruh aktivitas fungsional, produk, proses dan sistem informasi, baik yang disebabkan oleh faktor intern maupun ekstern yang berdampak negatif terhadap pencapaian sasaran organisasi Bank.
b) Bank harus memiliki prosedur penilaian yang memadai terhadap risiko operasional yang melekat pada aktivitas dan produk baru termasuk proses dan sistemnya.
c) Hasil identifikasi tersebut selanjutnya digunakan oleh Bank untuk mengembangkan suatu database mengenai jenis kerugian (loss events) yang ditimbulkan oleh risiko operasional.
d) Metode yang dapat digunakan Bank untuk mengidentifikasi risiko operasional, antara lain:
(d.1) self risk assessment berupa checklists untuk mengidentifikasi kekuatan dan kelemahan pada lingkungan risiko operasional Bank, seperti peranan Komisaris dan Direksi, struktur organisasi, sumber daya manusia, serta arus informasi dan komunikasi pada Bank;
(d.2) risk mapping berupa pemetaan menurut jenis risiko terhadap aktivitas fungsional, struktur organisasi dan arus proses transaksi;
(d.3) key risk indicators berupa statistik atau matriks yang menyediakan data posisi risiko operasional Bank, seperti jumlah pembatalan transaksi, tingkat perputaran pegawai, dan frekuensi kesalahan (errors);
(d.4) penilaian/kriteria kualitatif menjadi matriks kuantitatif, yang dapat digunakan untuk mengalokasikan kebutuhan modal masingmasing aktivitas fungsional.
(2) Pengukuran Risiko Operasional
a) Setelah Bank melakukan identifikasi risiko operasional yang melekat pada aktivitas fungsional tertentu, Bank harus menilai parameter yang mempengaruhi eksposur risiko operasional, antara lain jumlah dan frekuensi:
(a.1) kegagalan dan kesalahan sistem;
(a.2) sistem admin istrasi;
(a.3) kegagalan hubungan dengan nasabah;
(a.4) accounting error;
(a.5) penundaan dan kesalahan penyelesaian pembayaran;
(a.6) fraud;
(a.7) rekayasa akunting;
(a.8) strategic failure.
b) Pengumpulan Data Risiko Operasional :
(b.1) Sumber utama dalam penerapan manajemen risiko operasional adalah data historis mengenai kerugian Bank yang disebabkan risiko operasional yang telah divalidasi dan diverifikasi.
(b.2) Data kerugian risiko operasional terdiri dari kejadian (events) yang bersifat rutin, berfrekuensi tinggi namun berdampak rendah maupun yang berfrekuensi rendah namun berdampak tinggi terhadap rugi laba Bank. Data kerugian tersebut bersifat:
b.2.1) dapat diprediksi (expected) seperti events yang memiliki frekuensi yang tinggi namun berdampak rendah; atau
b.2.2) sulit diprediksi (unexpected) seperti events yang memiliki frekuensi rendah namun berdampak tinggi.
c) Bank harus memiliki metodologi pengukuran risiko operasional yang tepat, sumberdaya manusia yang kompeten dan infrastruktur sistem yang memadai dalam rangka mengidentifikasi dan mengumpulkan data risiko operasional.
d) Bank harus mencatat dan menatausahakan setiap events termasuk jumlah potensi kerugian yang diakibatkan events dimaksud dalam suatu administrasi data. Pencatatan dan penatausahaan data tersebut disusun dalam suatu data stastistik yang dapat digunakan untuk memproyeksikan potensi kerugian pada suatu periode dan aktivitas fungsional tertentu.
2. Apakah bank sudah melakukan pemantauan secara berkala terhadap profil risiko operasional serta eksposur kerugian yang material ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No. 5 dari BIS)
Bank mengimplementasikan suatu proses pemantauan secara berkala tentang profil risiko operasional dan eksposur kerugian yang material . Harus ada laporan berkala mengenai informasi yang berkaitan kepada direksi bank dan dewan komisaris yang mendorong pelaksanaan manajemen risiko operasional yang proaktif
Penjelasan atas prinsip tersebut sebagai berikut :
a. Proses pemantauan yang efektif diperlukan dalam pengelolaan risiko operasional yang cukup / memadai (adequate). Aktivitas pemantauan secara reguler dapat memberikan keuntungan atau mempercepat deteksi dan koreksi terhadap kekurangan-kekurangan pada kebijakan , proses dan prosedur dalam pengelolaan risiko operasional. Deteksi yang tepat waktu , yang mengarah kepada kekurangan-kekurangan dimaksud dapat secara substansi mengurangi frekuensi dan atau severity (nilai uang) dari kejadian-kejadian kerugian.
b. Dalam pemantauan kejadian-kejadian kerugian operasional, bank harus meng-identifikasi indikator-indikator yang sesuai yang menjadi peringatan dini (early warning) peningkatan suatu risiko kerugian yang akan terjadi (future). Indikator-indikator dimaksud {sering disebut sebagai ‘indikator risiko kunci’ (key risk in dicators ) atau indikator peringatan dini (early waring indicators)} haruslah melihat kedepan (forward looking) dan dapat merefleksikan sumber-sumber potensial dari risiko operasional seperti pertumbuhan yang pesat, peluncuran produk baru, turnover pegawai, pemutusan / pembatalan transaksi, system downtime dan sebagainya. Jika ambang batasnya berkaitan langsung dengan indikator-indikator ini, suatu proses pemantauan .yang efektif dapat membantu mengidentifikasi risiko-risiko kunci yang material dalam suatu cara yang transparan yang memungkinkan bank untuk bertindak terhadap risiko-risiko dimaksud secara tepat.
c. Frekuensi pemantauan harus mencerminkan risiko-risiko yang diperhitungkan serta frekuensi dan sifat perubahan dari lingkungan operasional. Pemantauan harus menjadi bagian yang integral dari kegiatan bank. Hasil pemantauan kegiatan ini harus tercakup dalam pengelolaan berkala serta laporan kepada dewan komisaris, sebagaimana kaji ulang terhadap kepatuhan yang dilakukan oleh internal audit dan atau fungsi-fungsi manajemen risiko. Laporan yang dihasilkan (dan atau untuk) Otoritas Pengawasan Bank dapat pula menginformasikan pemantauan ini dan sepertinya harus dilaporkan secara internal baik kepada direksi maupun dewan komisaris, mana yang dipandang lebih tepat.
d. Direksi bank harus menerima laporan berkala dari area yang sesuai seperti unit bisnis, fungsi-fungsi grup, satuan kerja manajemen risiko operasional, dan internal audit. Laporan-laporan risiko operasional harus berisi keuangan internal, data operasional dan kepatuhan, sebagaimana informasi pasar eksternal tentang kejadian-kejadian dan kondisi yang relevan terhadap pembuatan keputusan. Laporan harus didistribusikan kepada tingkatan manajemen yang sesuai dan untuk merefleksikan area setiap masalah yang di-identifikasi yang dapat terkena dampak. Laporan-laporan harus mencerminkan secara penuh setiap masalah yang di-identifikasi dan harus memotivasi tindalan koreksi yang tepat waktu terhadap masalah (issues) yang terbuka (outstanding). Untuk meyakini penggunaan dan keyakinan terhadap risiko-risiko operasional serta laporan audit, manajemen harus secara regular memeriksa ketepatan waktu, akurasi dan relevansi dari sistem pelaporan dan pengendalian intern secara umum. Manajemen juga dapat menggunakan laporan yang disajikan oleh sumber-sumber luar ( ekstenal auditor dan Otoritas Pengawasan Bank) untuk melaksanakan asesmen terhadap penggunaan dan dapat dipercayanya (reliability) laporan-laporan internal. Laporan-laporan harus dianalisa dengan suatu pandangan untuk perbaikan kinerja manajemen risiko yang sedang dilaksanakan, sebagaimana pengembangan kebijakan manajemen risiko baru, prosedur-prosedur dan praktik-praktik.
e. Dewan komisaris harus menerima informasi yang mencukupi (sufficient) untuk memungkinkan mereka memahami profil risiko operasional secara overall dan fokus terhadap implikasi-implikasi strategik yang material bagi bisnis.
Kriteria Bank Indonesia : (Lampiran SEBI No. 5/21/2003/DPNP , rumawi III. 4.d. 3) dst ).
Pemantauan Risiko Operasional.
a) Bank harus melakukan pemantauan risiko operasional secara berkelanjutan terhadap seluruh eksposur risiko operasional serta kerugian (loss events) yang dapat ditimbulkan oleh aktivitas fungsional utama (major business line), antara lain dengan cara menerapkan sistem pengendalian intern dan menyediakan laporan berkala mengenai kerugian yang ditimbulkan oleh risiko operasional.
b) Bank harus melakukan review secara berkala terhadap faktor-faktor penyebab timbulnya risiko operasional serta dampak kerugiannya.
c) Satuan Kerja Manajemen Risiko harus menyusun laporan mengenai kerugian dari risiko operasional dan hasil review kepatuhan audit intern serta menyampaikan laporan tersebut kepada Komite Manajemen Risiko dan Direksi.
Sistem Informasi Manajemen Risiko Operasional.
a) Bank harus memiliki sistem dan teknologi informasi yang memadai, sesuai dengan sifat dan volume transaksi.
b) Sistem informasi manajemen harus dapat menghasilkan laporan yang lengkap dan akurat yang digunakan untuk pemantauan risiko dalam rangka mendeteksi dan mengkoreksi penyimpangan secara tepat waktu guna mengurangi potensi terjadinya loss events .
c) Sistem informasi manajemen harus dapat menyediakan laporan eksposur risiko operasional secara lengkap, akurat dan tepat waktu dalam rangka proses pengambilan keputusan oleh Direksi.
3. Apakah bank mempunyai kebijakan, proses dan prosedur untuk mengendalikan dan atau mengurangi risiko yang material dari risiko operasional ?. Apakah Bank sudah secara periodik melakukan kaji ulang terhadap limit risiko mereka serta strategi pengendaliannya dan melakukan penyesuaian yang diperlukan ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No.6 dari BIS)
Bank harus mempunyai kebijakan, proses dan prosedur untuk mengendalikan dan atau mengurangi risiko yang material dari risiko operasional . Bank harus secara periodik melakukan kaji ulang terhadap limit risiko mereka serta strategi pengendaliannya dan meyesuaikan profil risiko operasional dengan menggunakan strategi yang cocok, dipandang dari risk appetite dan profil risiko secara menyeluruh
Penjelasan :
a. Kegiatan pengendalian dirancang untuk mengarahkan agar bank dapat meng-identifikasi risiko operasional. Terhadap semua risiko operasional yang material yang sudah di-identifikasi bank harus memutuskan apakah akan digunakan prosedur yang sesuai untuk mengendalikan dan atau mengurangi risiko atau dibebani (diperhitungkan ) risikonya. Terhadap risiko-risiko yang tidak dapat dikendalikan , bank harus memutuskan apakah menerima risiko tersebut, mengurangi tingkat aktivitas bisnis yang bersangkutan, atau menarik diri dari bisnis dimaksud secara total. Proses pengendalian dan prosedur-prosedur harus dibentuk dan bank harus sudah mempunyai sistem untuk meyakini kepatuhan terhadap kebijakan internal yang sudah terdokumentasi (tertulis) yang berkaitan dengan sistem manajemen risiko. Elemen-elemen pokok dapat mencakup , sebagai misal :
o Kaji ulang oleh manajemen puncak terhadap perkembangan bank dihadapkan dengan tujuan-tujuan yang sudah ditetapkan.
o Pemeriksaan kepatuhan terhadap pengendalian manajemen (management controls)
o Kebijakan, proses dan prosedur mengenai kaji ulang, perlakuan dan perbaikan terhadap masalah penyimpangan dari ‘kepatuhan’ , dan
o Suatu sistem persetujuan (approvals) dan otorisasi (authorisations) yang terdokumentasi untuk meyakini pertanggung jawaban dari suatu tingkatan manajemen yang sesuai.
b. Walaupun suatu kerangka kerja formal, kebijakan dan prosdedur tertulis sangat penting, namun perlu diperkuat melalui suatu budaya pengendalian yang kuat yang mengembangkan praktik-praktik manajemen risiko yang sehat. Baik dewan komisaris maupun direksi bertanggung jawab terhadap pengembangan budaya pengendalian intern dimana kegiatan pengendalian merupakan bagian integral dari kegiatan regular dalam suatu bank. Pengendalian yang merupakan bagian integral dalan suatu kegiatan yang regular dapat mempercepat respon terhadap perubahan kondisi dan menghindari biaya-biaya yang tidak perlu.
c. Suatu sistem pengendalian intern yang effektif juga mensyaratkan bahwa harus ada pemisahan tugas yang tepat dan bahwa pegawai tidak ditugaskan pada posisi yang menimbulkan pertentangan kepentingan (conflict of interest). Penugasan yang menimbulkan pertentangan individual atau suatu tim , dapat menimbulkan kerugian, kesalahan-kesalahan (errors) dan tindakan-tindakan yang tidak patut. Karena itu area dimana terdapat conflict of interest harus di-identifikasi, diminimalisasi dan wajib untuk dipantau dan dikaji ulang.
d. Sebagai tambahan dalam pemisahan tugas (segregation of duties), bank-bank harus meyakini bahwa praktik-praktik internal lainnya yang sesuai untuk pengendalian risiko operasional harus tersedia . Contoh-contoh berikut termasuk didalamnya :
o Pemantauan yang ketat yang ditekankan pada arah limit risiko yang ditetapkan atau pada ambang batas.
o Mempertahankan pengamanan akses, dan penggunaan aset bank dan catatan-catatannya.
o Meyakini bahwa staf mempunyai keahlian dan terlatih
o Meng-identifikasi bisnis line atau produk yang memberikan penghasilan diluar dari yang diharapkan secara wajar, (misalnya, dimana suatu risiko diperkirakan adalah rendah, kegiatan perdagangan yang diperkirakan berpenghasilan rendah menghasilkan keuntungan yang tinggi, yang dapat menjadi pertanyaan apakah penghasilan tersebut diperoleh karena suatu pelanggaran pengendalian intern ), dan
o Verifikasi dan rekonsiliasi secara berkala terhadap transaksi-transaksi serta rekening-rekening.
Kegagalan dalam meng-implementasikan praktik-praktik dimaksud telah menyebabkan kerugian operasional pada beberapa bank dalam tahun-tahun terakhir.
e. Risiko operasional dapat menjadi lebih nyata pada bank yang mempunyai aktivitas baru atau mengembangkan produk baru (umumnya karena kegiatan atau produk dimaksud tidak sejalan atau konsisten dengan strategi bisnis inti (core business) bank. Memasuki pasar yang tidak biasa dimasuki dan atau mengikatkan diri pada bisnis yang secara geografi jauh dari kantor pusat bank. Lebih lanjut, dalam banyak contoh, perusahaan tidak meyakini bahwa infra struktur pengendalian manajemen risiko sejalan dengan pertumbuhan dalam kegiatan bisnis. Sejumlah kerugian dalam volume besar serta profil kerugian yang tinggi dalam tahun-tahun terakhir terjadi karena adanya satu atau lebih kondisi tersebut diatas. Karena itu pengurus bank harus meyakini bahwa terdapat perhatian yang semestinya terhadap kegiatan-kegiatan pengendalian intern apabila terdapat kondisi seperti dimaksud diatas.
f. Beberapa risiko operasional yang penting mempunyai probability yang rendah namun mempunyai dampak keuangan yang besar. Lebih lanjut , tidak semua risiko yang terjadi dapat dikendalikan (misal, bencana alam). Peralatan peralatan untuk mitigasi risiko atau program-program dapat digunakan untuk mengurangi eksposure risiko, baik frekuensi maupun nilainya terhadap kejadian-kejadian. Misalnya penutupan asuransi, khususnya terhadap sesuatu yang harus dilakukan segera (prompt) dan sarana pembayaran tertentu, dapat digunakan untuk melepaskan kepada pihak luar risiko suatu kerugian yang frekuensinya rendah, namun jumlahnya besar, yang dapat terjadi sebagai akibat dari klaim pihak ketiga karena kesalahan (errors) dan kealpaan (omission), kehilangan fisik surat berharga, kecurangan pegawai atau pihak ketiga, serta bencana alam.
g. Namun demikian, bank harus memandang peralatan mitigasi risiko sebagai pelengkap (complementary), tidak sebagai pengganti (replacement) dari pengendalian intern risiko operasional. Mekanisme yang siap pakai yang secara cepat mengetahui dan memperbaiki kesalahan-kesalahan risiko operasional yang berlaku dapat mengurangi eksposur risiko secara signifikan. Pertimbangan yang hati-hati juga diperlukan untuk menetapkan seberapa jauh peralatan mitigasi risiko seperti asuransi sungguh-sungguh mengurangi risiko.atau men-transfer risiko kepada sektor bisnis atau area lain, atau bahkan menciptakan risiko baru (misalnya risiko hukum dan counterparty risk).
h. Investasi dalam technology processing yang sesuai, pengamanan sistem informasi teknologi (IT security) juga penting dalam mitigasi risiko. Namun bank harus waspada bahwa peningkatan otomasi dapat merubah ‘frekuensi yang tinggi , nilai kerugian rendah ‘ menjadi ‘ frekuensi rendah , nilai kerugian tinggi’. Yang terakir tersebut dapat dianggap berkaitan dengan kerugian karena gangguan pelayanan disebabkan faktor-faktor internal atau faktor-faktor diluar pengendalian langsung bank (misal,kejadian dari luar/external events). Masalah-masalah demikian dapat menyebabkan kesulitan yang serius bagi bank dan dapat membahayakan kemampuan institusi dalam menyelenggarakan kegiatan bisnis kunci (key business). Sebagaimana dibahas dibawah dalam Prinsip No.7, bank harus membentuk rencana darurat atau rencana kesinambungan usaha yang mengarah kepada risiko ini.
i. Bank juga harus menetapkan kebijakan untuk mengelola risiko yang berkaitan dengan kegiatan outsourcing. Aktivitas yang di-outsourcing-kan dapat mengurangi profil risiko institusi dengan cara men-transfer kegiatan kepada pihak lain yang mempunyai keahlian yang lebih baik dan mempunyai kemampuan untuk mengelola risiko yang terkait dengan kegiatan-kegiatan bisnis tertentu. Namun suatu bank yang menggunakan pihak ketiga, tidak mengurangi tanggung jawab dewan komisaris dan direksi bank untuk meyakini bahwa pihak ketiga diarahkan sedemikian rupa agar aman dan sound dan mematuhi ketentuan serta hukum yang berlaku. Perjanjian-perjaniian outsourcing harus didasarkan pada kontrak yang tegas dan atau perjanjian tingkat layanan dalam meyakini suatu pembagian (alokasi) tanggung jawab yang jelas antara eksternal service provider dengan bank . Lebih lanjut, bank perlu mengelola risiko yang tidak dicakup dalam perjanjian outsourcing termasuk risiko penghentian layanan oleh outsourcing vendors.
j. Berdasarkan skala dan sifat kegiatan, bank harus memahami akibat potensial dari operasi yang mereka lakukan serta nasabah-nasabah bank terhadap kemungkinan kekurangan-kekurangan pelayanan yang dilakukan oleh vendor d maupun pihak internal dan pihak ketiga lainnya sebagai service provider, termasuk terhentinya operasi dan potensi kegagalan bisnis lainnya atau kegagalan (default) dari pihak eksternal. Dewan komisaris dan direksi bank harus meyakini bahwa ekspektasi dan kewajiban dari pihak lain harus didefinisikan dengan jelas, dipahami dan harus dapat dilaksanakan .(enforceable). Luas tanggung jawab pihak ketiga serta kemampuan keuangan mereka untuk kompensasi terhadap kesalahan (errors), kealpaan (negligence) dan kegagalan operasional lainnya yang terjadi, harus dipertimbangkan secara seksama sebagai bagian dari asesmen risiko. Hendaknya, bank melakukan due diligence test dan memantau kegiatan service provider pihak ketiga, khususnya terhadap mereka yang kurang berpengalaman dalam lingkungan industri dan regulasi perbankan dan melakukan kaji ulang (review) proses ini (termasuk melakukan penilaian ulang terhadap hasil due diligence) secara berkala. Terhadap kegiatan yang sangat penting, bank dapat mempertimbangkan rencana darurat, termasuk ketersediaan alternatif pengganti pihak ketiga serta biaya dan sumber daya yang dibutuhkan untuk men-switch pihak luar (pihak ketiga) secara mendadak.
k. Dalam keadaan tertentu, bank dapat mempertimbangkan apakah akan mempertahankan tingkat risiko operasional tertentu atau menerima risiko tersebut sebagai tanggungan sendiri (self insure). Dalam kasus demikian dan risiko dimaksud material, keputusan untuk menahan dan self insure risiko tersebut harus dilakukan secara transparan dalam organisasi dan harus dilaksanakan konsisten dengan strategi bisnis bank secara menyeluruh (overall) serta risk appetite bank
Kriteria Bank Indonesia : (Lampiran SEBI No. 5/21/2003/DPNP , rumawi III. 4.c. 1) s/d 6) dan
4.e. 1) s/d 7)).
Kebijakan, Prosedur dan Penetapan Limit.
1) Umum
1.a) Bank harus memiliki kebijakan pengelolaan risiko operasional yang sesuai dengan misi, strategi bisnis, kecukupan permodalan dan kecukupan sumberdaya manusia.
1.b) Bank harus menetapkan dan menerapkan prosedur untuk menilai risiko operasional dan memantau eksposur risiko operasional secara berkala pada beberapa aktivitas fungsional utama.
1.c) Bank harus melakukan evaluasi dan pengkinian kebijakan dan prosedur pengelolaan risiko operasional sesuai dengan eksposur risiko operasional, profil risiko dan budaya ris iko Bank.
1.d) Bank harus menetapkan limit (cadangan) risiko operasional dengan mempertimbangkan eksposur risiko dan pengalaman kerugian masa lalu yang diakibatkan oleh risiko operasional. Penetapan limit tersebut harus direview dan disesuaikan dalam hal terdapat perubahan eksposur risiko operasional secara signifikan.
1. e) Kebijakan, prosedur dan proses penetapan limit risiko operasional harus didokumentasikan secara tertulis dan lengkap sehingga memudahkan untuk dilakukan jejak audit (audit trail).
2) Penyelesaian Transaksi (Settlement ).
2.a) Bank harus memiliki prosedur untuk mengukur eksposur risiko penyelesaian transaksi, khususnya apabila risiko tersebut berasal dari transaksi valuta asing dan kegiatan pembiayaan perdagangan.
2.b) Bank harus melakukan penilaian terhadap tahapan dalam proses penyelesaian transaksi, khususnya mengenai batas akhir perintah pembayaran, batas akhir penerimaan dan waktu pencatatan pembayaran dana.
2.c) Bank harus menyusun suatu prosedur pemantauan penyelesaian transaksi baru atau apabila terdapat transaksi yang belum diselesaikan pembayarannya.
2.d) Bank harus menyediakan prosedur penyelesaian transaksi yang disebabkan oleh adanya kondisi likuiditas Bank yang memburuk.
2.e) Bank harus melakukan konfirmasi transaksi secara tepat waktu sesuai dengan prosedur yang ditetapkan dan memantau transaksi tersebut secara konsisten.
3) Akuntansi
Bank harus memastikan bahwa penggunaan metode akuntansi adalah sesuai dengan standar akuntansi yang berlaku serta memperhatikan hal-hal sebagai berikut:
3.a) melakukan review secara berkala guna memastikan ketepatan metode yang digunakan untuk menilai transaksi;
3.b) melakukan review secara berkala terhadap kesesuaian metode akuntansi yang digunakan dengan standar akuntansi keuangan yang berlaku;
3.c) melakukan rekonsiliasi data transaksi secara berkala;
3.d) mengidentifikasi dan menganalisa setiap ketidakwajaran transaksi yang terjadi;
3.e) memelihara seluruh dokumen dan arsip (file) yang berkaitan dengan rincian rekening (accounts), sub-ledgers, buku besar (general ledgers) administrasi klasifikasi aset dan dokumentasi pembentukan provisi, guna memudahkan proses jejak audit (audit trail).
4) Inventarisasi Aset dan Kustodian.
4.a) Bank harus memelihara data akuntansi dan rincian aset pihak ketiga yang dipelihara/dititipkan (kustodian).
4.b) Bank harus memperoleh informasi yang memadai mengenai keaslian
penyimpanan/penitipan aset dalam rangka memastikan bahwa aset yang dititipkan tidak memiliki permasalahan hukum.
4.c) Bank harus melakukan pengecekan secara berkala antara data aset yang dititipkan dengan perjanjian/kontraknya.
5) Profil Nasabah dan Prinsip Mengenal Nasabah (KYC).
5.a) Bank harus menerapkan Prinsip Mengenal Nasabah (KYC) secara konsisten sesuai dengan eksposur risiko operasional. KYC harus didukung oleh sistem pengendalian intern yang efektif, khususnya upaya pencegahan Bank terhadap kejahatan internal (internal fraud).
5.b) Dalam penerapan KYC tersebut, Bank wajib memenuhi seluruh persyaratan dan pedoman sebagaimana yang diatur dalam ketentuan yang berlaku tentang Prinsip Mengenal Nasabah (KYC).
6) Profil Karyawan (Employees’ Profiles ).
Bank harus memiliki dan menerapkan kebijakan tentang tanggungjawab, kewenangan dan akses pegawai/karyawan terhadap sistem informasi tertentu. Kebijakan tersebut didukung oleh prosedur akses terhadap sistem informasi manajemen, sistem informasi akuntansi, sistem pengelolaan risiko, pengamanan di dealing room, dan ruang pemrosesan data.
Pengendalian Risiko Operasional.
1) Bank harus memiliki kebijakan, prosedur dan proses untuk mengendalikan atau memitigasi risiko operasional, sesuai dengan kompleksitas operasional Bank.
2) Dalam penerapan pengendalian risiko operasional, Bank dapat mengembangkan program untuk memitigasi risiko operasional antara lain pengamanan proses teknologi informasi, asuransi, dan outsourcing sebagian kegiatan operasional Bank.
3) Dalam hal Bank mengembangkan pengamanan proses teknologi informasi, Bank harus memastikan tingkat keamanan dari electronic data processing.
4) Pengendalian terhadap sistem informasi haru s memastikan:
4.a) adanya penilaian berkala terhadap pengamanan sistem informasi, yang disertai dengan tindakan korektif apabila diperlukan;
b) tersedianya prosedur back-up untuk menjamin berjalannya kegiatan operasional Bank dan mencegah terjadinya gangguan yang signifikan;
4.c) tersedianya prosedur back-up dan rencana darurat (contingency plan) yang diuji secara berkala;
4.d) adanya penyampaian informasi kepada Direksi mengenai permasalahan pada butir 4.a) sampai dengan 4.c);
4.e) tersedianya penyimpanan informasi dan dokumen yang berkaitan dengan analisa, programming dan pelaksanaan pemrosesan data.
5) Bank harus memiliki support system, yang sekurang-kurangnya mencakup:
5.a) identifikasi error secara dini;
5.b) pemrosesan dan penyelesaian seluruh transaksi secara efisien, akurat dan tepat waktu; dan
5.c) kerahasiaan, kebenaran serta keamanan transaksi.
6) Tindak Lanjut Hasil Audit Intern dan Ekstern :
6.a) Bank harus menindaklanjuti hasil temuan audit intern maupun ekstern dan selanjutnya melakukan serangkaian tindakan korektif.
6.b) Temuan audit yang belum ditindaklanjuti atau hanya sebagian dilakukan perbaikan harus diinformasikan oleh SKAI kepada Direksi.. Apabila temuan tersebut signifikan, Direksi menetapkan jangka waktu perbaikan dan menugaskan SKAI untuk memantau perkembangan efektivitas pelaksanaan tindakan korektif yang diambil.
7) Bank harus melakukan kaji ulang secara berkala terhadap prosedur, dokumentasi, sistem pemrosesan data, contingency plan, dan praktik operasional lainnya guna mengurangi kemungkinan terjadinya kesalahan manusia (human error) yang menimbulkan risiko operasional.
4. Apakah bank sudah mempunyai rencana darurat dan rencana kesinambungan usaha yang siap pakai untuk meyakini bahwa banktetap dapat terus beroperasi dalam suatu batasan kerugian dan gangguan bisnis yang besar ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No.7 dari BIS)
Bank harus mempunyai rencana darurat dan rencana kesinambungan usaha yang siap pakai untuk meyakini bahwa bank tetap dapat terus beroperasi dalam suatu batasan kerugian dan gangguan bisnis yang besar.
Lebih rinci sebagai berikut :
4.1. Apakah bank sudah mempunyai rencana darurat yang siap pakai ? Apakah rencana tersebut sudah memperhitungkan berbagai kemungkinan disertai dengan skenario penanggulangan ?
4.1.a Terhadap alasan-alasan yang mungkin diluar pengendalian suatu bank, suatu kejadian tertentu mungkin dapat menyebabkan ketidak berdayaan bank untuk memenuhi kewajiban bisnisnya, khususnya apabila secara fisik telekomunikasi , atau infrastruktur Teknologi Informasi (IT) mengalami kerusakan atau tidak dapat di-akses. Pada gilirannya hal ini dapat menyebabkan kerugian finansial yang besar pada bank, sebagaimana terhentinya secara luas sistem finansial melalui kanal-kanal (channels) seperti sistem pembayaran. Potensi atas hal ini menyebabkan bank memerlukan rencana darurat dan rencana kesinambungan usaha yang mempertimbangkan berbagai tipe skenario yang mungkin dilakukan terhadap mana bank dapat menghadapi bahaya (vulnerable) secara sebanding dengan ukuran dan kompleksitas operasi bank.
4.2 Apakah bank sudah mempunyai mekanisme alternatif untuk memulai kembali operasi bisnis yang terhenti ? Apakah ada system pengamanan / back up terhadap catatan bank baik catatan elektronik maupun catatan fisik (physical records)
4.2.a. Bank harus meng-identifikasi proses bisnis yang kritikal termasuk hal-hal dimana bank sangat tergantung pada eksternal vendor atau pihak ketiga lainnya dimana kelancaran pemulaian bisnis merupakan hal yang paling penting. Terhadap proses ini bank harus meng-identifikasi mekanisme alternatif untuk melanjutkan atau memulai kembali layanan dalam hal terdapat kejadian penghentian. Harus ada perhatian khusus terhadap kemampuan untuk memperbaiki (restore) catatan-catatan elektronik (electronic records) atau catatan catatan fisik (physical records) yang diperlukan untuk melanjutkan bisnis. Apabila catatan-catatan dimaksud di-back-up diluar bank (off site facility) , atau dalam hal operasi bank harus dipindah ke lokasi baru, harus diperhatikan bahwa lokasi tersebut haruslah cukup jauh dari kemungkinan terkena dampak operasi, untuk meminimalkan risiko agar catatan utama (primary) serta catatan back-up tidak secara bersama terkena suatu musibah.
4.3. Apakah dilakukan kaji ulang secara berkala tentang rencana darurat dan kesinambungan usaha untuk menilai kesesuaiannya dengan perkembangan bank dan apakah dilakukan test untuk meguji keandalannya ?
4.3.a.
Bank harus melaksanakan kaji ulang terhadap rencana darurat serta rencana kesinambungan usaha mereka secara konsisten dengan strategi bisnis serta operasi saat ini. Lebih lanjut rencana dimaksud harus lah diuji (test) secara periodik untuk meyakini bahwa bank akan mampu melaksanakan rencana tersebut dalam hal terdapat kejadian yang tidak diinginkan atau terhentinya suatu kegiatan bisnis.
II. Peranan Keterbukaan (Role of Disclosure).
5. Apakah bank sudah melakukan keterbukaan yang cukup kepada publik untuk memungkinkan pelaku pasar melaksanakan asesmen terhadap pendekatan manajemen risiko operasional oleh bank ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No.7 dari BIS)
Bank harus melakukan keterbukaan yang cukup kepada publik untuk memungkinkan pelaku pasar melaksanakan asesmen terhadap pendekatan manajemen risiko operasional oleh bank.
Penjelasan :
a. Frekuensi dan ketepatan waktu keterbukaan kepada publik terhadap informasi yang relevan oleh bank dapat mempengaruhi dan memperkuat disiplin pasar, dan dengan demikian manajemen risiko akan menjadi lebih efektif. Tingkat keterbukaan harus sesuai dengan ukuran, profil risiko, dan kompleksitas dari operasi bank.
b. Area keterbukaan pada risiko operasional belum ditetapkan oleh BIS, terutama karena bank-bank masih dalam proses pengembangan teknik-teknik asesmen risiko operasional. Namun demikian, Komite Basel (BIS) meyakini bahwa suatu bank harus mengungkapkan kerangka kerja manajemen risiko operasional nya sedemikian rupa sehingga memungkinkan investor dan partner usaha (counterparties ) menetapkan apakah suatu bank melakukan identifikasi, melakukan asesmen, mamantau dan mengendalikan / melakukan mitigasi risiko operasional secara efektif.
---------00000--------
Reference :
(1)
Bank for International Settlement , Basel Committee on Banking Supervision, paper, “Sound Practices for the Management and Supervision of Operational Risk”, Februari 2003.
(2)
Bank Indonesia, Surat-Surat Edaran Bank Indonesia menyanghkut dengan Manajemen Risikoa.l. SEBI No.5/21/DPNP TGL.29 September 2003 tentang Penerapan Manajemen Risiko pada Bank Umum , serta Lampiran.
(OPERATIONAL RISK MANAGEMENT REVIEW)
Oleh : Z. D u n i l
A. Pengertian Risiko Operasional
Bank Indonesia memberikan pengertian tentang Risiko Operasional sebagai berikut :
Risiko Operasional adalah risiko yang antara lain disebabkan ketidakcukupan dan atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, atau adanya problem external yang mempengaruhi operasional bank.
Risiko operasional dapat menimbulkan kerugian keuangan secara langsung maupun tidak langsung dan kerugian potensial atas hilangnya kesempatan memperoleh keuntungan
Risiko operasional dapat melekat pada setiap aktivitas fungsional Bank seperti kegiatan perkreditan (penyediaan dana), tresuri dan investasi, operasional dan jasa, pembiayaan perdagangan, pendanaan dan instrumen utang, teknologi sistem informasi dan Informasi Manajemen dan pengelolaan sumber daya manusia.
Bank for International Setlement (BIS) memberikan definisi tentang ‘Risiko Operasional’sebagai berikut :
Risiko operasional adalah risiko kerugian yang dapat terjadi baik langsung maupun tidak langsung yang disebabkan oleh ketidak cukupan atau kegagalan dari proses internal, orang, system atau sebab dari luar. Tercakup dalam definisi tersebut “Legal Risk “ tetapi tidak termasuk didalamnya Strategic Risk, Reputational Risk dan Systemic Risk.
Dari pengertian yang diberikan Bank Indonesia serta definisi Bank for International Settlement diatas jelas bahwa cakupan Risiko Operasional meliputi proses (baik proses transaksi maupun proses otorisasi), sistem internal bank (sistem dan prosedur transaksi,semua kegiatan dalam rangka usaha bank, peralatan yang menunjang sistem seperti computer dsb.nya), orang (staf pelaksana dan pejabat pengambil keputusan / otorisasi) dan sebab dari luar
Risiko Operasional adalah suatu terminologi yang mempunyai pengertian beragam dalam industri perbankan, dan menurut BIS untuk keperluan intern, bank dapat mengadopsi / menggunakan definisi sendiri tentang Risiko Operasional. Apapun definisi yang digunakan, yang penting bank mempunyai pemahaman yang jelas tentang maksud dari risiko operasional terhadap pengelolaan dan pengendalian kategori risiko yang efektif. Beberapa kalangan malahan memberikan definisi secara umum bahwa “Risiko operasional adalah semua risiko selain risiko kredit dan risiko pasar”. Penting untuk dipahami bahwa definisi hendaknya mempertimbangkan full range risiko operasional yang material yang dihadapi bank dan mencakup sebagian besar sebab-sebab utama kerugian operasional.
B. BANK PERLU MEMPERHITUNGKAN RISIKO OPERASIONAL
Berdasarkan kajian-kajian Bank for Internatiomnal Settlement dapat dipahami bahwa Risiko Operasional perlu diperhitungakan menginagat hal-hal sebagai berikut :
I. Deregulasi dan globalisasi dari jasa-jasa keuangan, berserta peningkatan kerumitan teknologi keuangan, menjadikan kegiatan dari bank serta profil risikonya (misalnya, tingkat risiko antar kegiatan suatu usaha dan atau kategori risiko) menjadi lebih kompleks. Perklembangan praktik-praktik perbankan menyarankan agar risiko-risiko selain risiko kredit , risiko suku bunga / risiko pasar dapat menjadi sangat substansial sifatnya. Contoh dari risiko-risiko baru dan sedang berkembang yang dihadapi oleh bank-bank adalah :
o Penggunaan yang semakin luas terhadap teknologi otomasi yang semakin tinggi berpotensi untuk merubah risiko dari kesalahan proses secara manual menjadi risiko kegagalan sistem , selaras dengan semakin diandalkannya penggunaan sistem yang terintergarsi secara global.
o Pertumbuhan dari e-commerce disertai dengan peningkatan potensi risikonya (misal, kecurangan internal maupun external serta isu-isu tentang sistem keamanan ) yang belum dipahami secara penuh.
o Skala akuisisi yang besar , merger-merger dan de-merger serta konsolidasi menguji kebenaran dari sistem integrasi yang baru atau yang diperbarui.
o Kemunculan bank-bank yang bertindak sebagai penyedia jasa dalam volume yang besar menciptakan kebutuhan pemeliharaan yang berkesinambungan terhadap tingkat pengendalian yang tinggi serta sistem back-up nya.
o Bank-bank dapat saja mempunyai teknik-reknik mitigasi risiko (seperti , Jaminan / Kolateral , Kredit Derivatif , Netting Arrangements, dan Sekuritisasi Aset ) untuk optimalisasi eksposur mereka terhadap risiko pasar dan risiko kredit, namun pada gilirannya dapat saja menimbulkan risiko baru seperti risiko hukum (legal risk), dan
o Pertumbuhan penggunaan perjanjian ‘outsourcing’ dan keikut sertaan dalam sistem kliring dan ‘settlement’ dapat mengurangi beberapa risiko namun dapat pula menimbulkan risiko lain yang signifikan terhadap bank.
Risiko- risiko yang dikemukakan diatas dapat dikelompokkan menjadi satu yaitu sebagai ‘Risiko Operasional’, yang di-definisikan oleh BIS sebagai “risiko kerugian yang timbul dari ketidak cukupan atau kegagalan proses internal , orang atau sistem atau sebab dari luar’. Dalam definisi dicakup risiko hukum tetapi tidak termasuk risiko strategik dan risiko reputasi.
II. BIS / Komite Basel dengan bekerja sama dengan industri perbankan , telah melakukan identifikasi tipe-tipe kejadian yang termasuk dalam risiko operasional yang berpotensi mengakibatkan kerugian yang substansial bagi bank , yaitu :
o Internal fraud. Misalnya sengaja tidak melaporkan / kurang dalam melaporkan suatu posisi, pencurian oleh pegawai, kecurangan / pembocoran rahasia terkait dengan permainan harga saham (insider trading) untuk keuntungan pribadi dsb.nya.
o External fraud. Misalnya, perampokan, pemalsuan, Cheque kitting (gali lobang tutup lobang), dan kerugian karena “computer hacking”.
o Praktek keselamatan dan keamanan pegawai. Misalnya klaim Kompensasi pekerja, pelanggaran undang-undang tentang keselamatan dan kesehatan kerja, kegiatan buruh yang terorganisasi, klaim atas pembedaan (diskriminasi), keselamatan umum.
o Langganan, produk dan praktek bisnis. Misalnya pelanggaran penggadaian, alpa dalam menjaga informasi rahasia dari nasabah, kegiatan perdagangan yang menyimpang pada rekening bank, pencucian uang, dan penjualan produk yang melanggar hukum / illegal.
o Kerusakan asset secara fisik. Misalnya terorisme, vandalisme, gempa bumi, kebakaran dan banjir.
O Gangguan bisnis dan kegagalan sistem. Misalnya, kegagalan perangkat keras dan perangkat lunak computer, problem komunikasi dan fasilitas yang sudah ketinggalan / tua.
o Eksekusi, pemindahan dan proses manajemen. Misalnya kesalahan pemasukan data, kegagalan pengelolaan jaminan, dokumentasi hukum yang tidak lengkap, akses ke rekening nasabah yang tidak berdasarkan persetujuan nasabah, kinerja pihak ketiga (bukan nasabah) yang tidak baik, dan perselisihan dengan vendor
Kecendrungan yang dikemukakan diatas, dikombinasikan dengan kejadian-kejadian yang meningkat sebagai kerugian operasional yang besar secara luas, mengarahkan bank-bank dan otoritas pengawasan bank untuk meningkatkan pandangan terhadap pengelolaan risiko operasional sebagai suatu disiplin yang inklusif , sebagai mana telah dilakukan pada berbagai industri lainnya.
III. Pada masa lalu, bank-bank sangat mengandalkan mekanisme pengendalian intern dalam ‘business line’, yang di-support oleh fungsi internal audit untuk mengelola risiko operasional. Walaupun hal ini tetap penting, saat ini terdapat suatu kegentingan dari proses dan struktur yang spesifik yang dimaksudkan untuk mengelola risiko operasional. Dalam hubungan ini semakin banyak organisasi perbankan menyimpulkan bahwa suatu program pengelolaan risiko operasional memberikan keamanan dan kebaikan, dan karenanya memberikan kemajuan dalam mengarahkan risiko operasional sebagai suatu risiko tersendiri sebagaimana perlakuan terhadap risiko kredit dan risiko pasar.
C. PRINSIP-PRINSIP MANAJEMEN RISIKO OPERASIONAL
Bank for International Settlement (BIS) telah menyusun rekomendasi berupa Prinsip-prinsip Sound Practices dalam manajemen dan supervisi terhadap Risiko Operasional dalam final paper BIS/BCBS berjudul “Sound Practices for the Management and Supervision of Operational Risk “ yang diterbitkan oleh Basel Committee on Banking Supervision pada Pebruari 2003. Paper tersebut dapat di akses melalui website Bank for International Settlement : www. bis.org.
Berdasarkan prinsip-prinsip yang dikemukakan ( terdapat 10 prinsip ) oleh Bank for International Settlement tersebut diatas. matriks kesepuluh prinsip tersebut ).
Bank for International Settlement mengelompokkan prinsip prinsip tersebut kedalam 4 kategori :
I. Pengembangan Lingkup Manajemen Risiko yang sesuai (appropriate)
II. Manajemen Risiko (Identifikasi , Asesmen, Pemantauan dan Pengendalian Risiko Operasional).
III. Peranan Otoritas Pengawasan Bank (Role of Superviso).r
IV. Peranan keterbukaan (Role of Disclosure).
Topik pada rumawi akan dibahas dalam pembahasan tentang Strategic Risk Management Review. Sedang angka rumawi III menyangkut ‘ Role of Supervisor’ tidak dibahas dalam tulisan ini sdl karena lebih menyangkut otoritas . Dengan demikian yang dijadikan bahan review terhadap pelaksanaan manajemen risiko operasional dalam kesempatan ini hanya menyangkut topik pada rumawi II dan IV.
D. KAJI ULANG MANAJEMEN RISIKO OPERASIONAL
Dalam ‘ Strategic Management Review’ akan dibahas bagaimana melakukan review terhadap tugas dan tanggungb jawab pengurus bank (dewan komisaris dan direksi) dalam mengelola ‘Risiko Operasional’. Dalam kesempatan ini di-review bagaimana pada tingkat makro Risiko Operasional tersebut diimplementasikan oleh satuan-satuan kerja yang ada, apakah prinsip-prinsip Manajemen Risiko Operasional yang direkomendasikan oleh Bank for International Settlement serta ketentuan-ketentuan yang ditetapkan oleh Bank Indonesia sudah terlaksana dengan baik.
Program review manajemen risiko operasional akan mencari jawaban atas pertanyaan-pertanyan sebagai berikut :
I. Menyangkut identifikasi , Asesmen , Pemantauan dan Pengendalian Risiko Operasional.
1. Apakah bank sudah melakukan identifikasi dan asesmen terhadap risiko operasional yang material , yang melekat pada produk , kegiatan , proses dan sistem ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No. 4 dari BIS)
Bank harus meng-identifikasi, melakukan asesmen risiko operasional yang material yang melekat pada produk-produk, kegiatan-kegiatan, proses dan sistem. Bank juga harus meyakini bahwa sebelum produk baru, kegiatan dan proses di luncurkan atau dilaksanakan, risiko operasional yang melekat harus sudah melalui prosedur asesmen yang cukup
Penjelasan atas prinsip diatas sebagai berikut :
a. Identifikasi risiko adalah puncak pengembangan berikutnya dari berbagai pemantauan risiko operasional dan sistem pengendalian. Identifikasi risiko yang efektif mempertimbangkan baik faktor-faktor internal (seperti , struktur bank , sifat kegiatan bank , kualitas dari SDM bank , perubahan dalam organisasi serta turnover pegawai) maupun faktor eksternal (seperti , perubahan dalam industri dan perkembangan teknologi) yang dapat berakibat negatif terhadap pencapaian tujuan-tujuan bank
b. Untuk mengidentifikasi risiko-risiko potensial yang paling merugikan, bank harus melakukan asesmen terhadap bahaya dari risiko-risiko tersebut. Asesmen risiko yang efektif memungkinkan bank untuk memperoleh pemahaman yang lebih baik terhadap profil risiko serta target manajemen risiko sumber daya yang paling efektif.
c. Diantara ‘tools’ yang digunakan bank untuk mengidentifikasi dan melakukan asesmen terhadap risiko operasional adalah :
c.1. Menilai / menghitung risiko sendiri (self-risk assessment).
Suatu bank melakukan asesmen terhadap operasi dan kegiatan terhadap suatu daftar bahaya-bahaya risiko operasional yang potensial. Proses ini secara internal didorong dan sering menggunakan check-list dan atau semacam seminar (workshops ) untuk meng-identifikasi kekuatan dan kelemahan lingkungan (environments) dari risiko operasional. Metode Scorecards, umpamanya, menyediakan suatu sarana untuk menerjemahkan asesmen yang kualitatif menjadi perhitungan-perhitungan yang kuantitatif yang menghasilkan secara relatif ranking dari berbagai tipe eksposur risiko operasional. Beberapa skor mungkin berkaitan dengan risiko yang unik terhadap suatu line bisnis, sementara yang lain dapat membuat ranking risiko yang berbeda dengan line bisnis. Skor dapat diarahkan pada risiko-risiko yang melekat (inherent) sebagaimana pengendalian untuk mitigasi risiko tersebut. Scorecards mungkin dapat digunakan bank untuk meng-alokasikan economic capital pada line bisnis dalam hubungannya dengan kinerja dalam mengelola dan mengendalikan berbagai aspek risiko operasional.
c.2. Pemetaan risiko (risk mapping ) :
Dalam proses in, berbagai unit bisnis, fungsi-fungsi organisasi atau alur proses (process flows) dipetakan berdasarkan tipe risiko. Cara ini dapat menghasilkan area-area yang mempunyai kelemahan dan membantu menetapkan prioritas kegiatan manajemen selanjutnya
c.3. Indikator risiko (Risk indicators).
Indikator indikator risiko adalah statistik dan atau metrics, sering dalam financial , yang dapat memberikan penglihatan terhadap suatu posisi risiko suatu bank. Indikator-indikator ini perlu dikaji ulang (review) secara periodi (bulanan atau kuartalan) untuk menjaga kewaspadaan bank terhadap perubahan yang mungkin merupakan indikasi yang berkaitan dengan risiko. Indikator-indikator tersebut dapat mencakup sejumlah kegagalan dalam trading, tingkat turnover staf, frekuensi dan jumlah kesalahan (errors) serta frekuensi kehilangan.
c.4. Pengukuran (measurements).
Beberapa perusahaan mulai memperhitungkan eksposur mereka terhadap risiko operasional dengan menggunakan berbagai pendekatan. Misalnya, data kerugian bank berdasarkan pengalaman dapat menyediakan informasi yang berharga dalam melakukan asesmen terhadap eksposur bank pada risiko operasional dan mengembangkan suatu kebijakan untuk mitigasi / pengendalian risiko. Cara yang efektif untuk memanfaatkan informasi ini adalah dengan membentuk suatu kerangka kerja yang secara sistimatis melaksanakan napaktilas (tracking) dan pencatatan (recording) frekuensi, severity, dan informasi lain tentang kejadian-kejadian yang menyebabkan kerugian individual. Beberapa perusahaan bahkan mengkombinasikan data kerugian internal dengan data kerugian eksternal, membuat scenario analyses dan faktor-faktor asesmen risiko.
Kriteria Bank Indonesia : (Lampiran SEBI No. 5/21/2003/DPNP , rumawi III. 4.d. 1) s/d 2)).
Proses Identifikasi, Pengukuran, Pemantauan dan Sistem Informasi Manajemen Risiko Operasional
(1) Identifikasi Risiko Operasional
a) Bank harus melakukan identifikasi dan analisa terhadap faktor penyebab timbulnya risiko operasional yang melekat pada seluruh aktivitas fungsional, produk, proses dan sistem informasi, baik yang disebabkan oleh faktor intern maupun ekstern yang berdampak negatif terhadap pencapaian sasaran organisasi Bank.
b) Bank harus memiliki prosedur penilaian yang memadai terhadap risiko operasional yang melekat pada aktivitas dan produk baru termasuk proses dan sistemnya.
c) Hasil identifikasi tersebut selanjutnya digunakan oleh Bank untuk mengembangkan suatu database mengenai jenis kerugian (loss events) yang ditimbulkan oleh risiko operasional.
d) Metode yang dapat digunakan Bank untuk mengidentifikasi risiko operasional, antara lain:
(d.1) self risk assessment berupa checklists untuk mengidentifikasi kekuatan dan kelemahan pada lingkungan risiko operasional Bank, seperti peranan Komisaris dan Direksi, struktur organisasi, sumber daya manusia, serta arus informasi dan komunikasi pada Bank;
(d.2) risk mapping berupa pemetaan menurut jenis risiko terhadap aktivitas fungsional, struktur organisasi dan arus proses transaksi;
(d.3) key risk indicators berupa statistik atau matriks yang menyediakan data posisi risiko operasional Bank, seperti jumlah pembatalan transaksi, tingkat perputaran pegawai, dan frekuensi kesalahan (errors);
(d.4) penilaian/kriteria kualitatif menjadi matriks kuantitatif, yang dapat digunakan untuk mengalokasikan kebutuhan modal masingmasing aktivitas fungsional.
(2) Pengukuran Risiko Operasional
a) Setelah Bank melakukan identifikasi risiko operasional yang melekat pada aktivitas fungsional tertentu, Bank harus menilai parameter yang mempengaruhi eksposur risiko operasional, antara lain jumlah dan frekuensi:
(a.1) kegagalan dan kesalahan sistem;
(a.2) sistem admin istrasi;
(a.3) kegagalan hubungan dengan nasabah;
(a.4) accounting error;
(a.5) penundaan dan kesalahan penyelesaian pembayaran;
(a.6) fraud;
(a.7) rekayasa akunting;
(a.8) strategic failure.
b) Pengumpulan Data Risiko Operasional :
(b.1) Sumber utama dalam penerapan manajemen risiko operasional adalah data historis mengenai kerugian Bank yang disebabkan risiko operasional yang telah divalidasi dan diverifikasi.
(b.2) Data kerugian risiko operasional terdiri dari kejadian (events) yang bersifat rutin, berfrekuensi tinggi namun berdampak rendah maupun yang berfrekuensi rendah namun berdampak tinggi terhadap rugi laba Bank. Data kerugian tersebut bersifat:
b.2.1) dapat diprediksi (expected) seperti events yang memiliki frekuensi yang tinggi namun berdampak rendah; atau
b.2.2) sulit diprediksi (unexpected) seperti events yang memiliki frekuensi rendah namun berdampak tinggi.
c) Bank harus memiliki metodologi pengukuran risiko operasional yang tepat, sumberdaya manusia yang kompeten dan infrastruktur sistem yang memadai dalam rangka mengidentifikasi dan mengumpulkan data risiko operasional.
d) Bank harus mencatat dan menatausahakan setiap events termasuk jumlah potensi kerugian yang diakibatkan events dimaksud dalam suatu administrasi data. Pencatatan dan penatausahaan data tersebut disusun dalam suatu data stastistik yang dapat digunakan untuk memproyeksikan potensi kerugian pada suatu periode dan aktivitas fungsional tertentu.
2. Apakah bank sudah melakukan pemantauan secara berkala terhadap profil risiko operasional serta eksposur kerugian yang material ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No. 5 dari BIS)
Bank mengimplementasikan suatu proses pemantauan secara berkala tentang profil risiko operasional dan eksposur kerugian yang material . Harus ada laporan berkala mengenai informasi yang berkaitan kepada direksi bank dan dewan komisaris yang mendorong pelaksanaan manajemen risiko operasional yang proaktif
Penjelasan atas prinsip tersebut sebagai berikut :
a. Proses pemantauan yang efektif diperlukan dalam pengelolaan risiko operasional yang cukup / memadai (adequate). Aktivitas pemantauan secara reguler dapat memberikan keuntungan atau mempercepat deteksi dan koreksi terhadap kekurangan-kekurangan pada kebijakan , proses dan prosedur dalam pengelolaan risiko operasional. Deteksi yang tepat waktu , yang mengarah kepada kekurangan-kekurangan dimaksud dapat secara substansi mengurangi frekuensi dan atau severity (nilai uang) dari kejadian-kejadian kerugian.
b. Dalam pemantauan kejadian-kejadian kerugian operasional, bank harus meng-identifikasi indikator-indikator yang sesuai yang menjadi peringatan dini (early warning) peningkatan suatu risiko kerugian yang akan terjadi (future). Indikator-indikator dimaksud {sering disebut sebagai ‘indikator risiko kunci’ (key risk in dicators ) atau indikator peringatan dini (early waring indicators)} haruslah melihat kedepan (forward looking) dan dapat merefleksikan sumber-sumber potensial dari risiko operasional seperti pertumbuhan yang pesat, peluncuran produk baru, turnover pegawai, pemutusan / pembatalan transaksi, system downtime dan sebagainya. Jika ambang batasnya berkaitan langsung dengan indikator-indikator ini, suatu proses pemantauan .yang efektif dapat membantu mengidentifikasi risiko-risiko kunci yang material dalam suatu cara yang transparan yang memungkinkan bank untuk bertindak terhadap risiko-risiko dimaksud secara tepat.
c. Frekuensi pemantauan harus mencerminkan risiko-risiko yang diperhitungkan serta frekuensi dan sifat perubahan dari lingkungan operasional. Pemantauan harus menjadi bagian yang integral dari kegiatan bank. Hasil pemantauan kegiatan ini harus tercakup dalam pengelolaan berkala serta laporan kepada dewan komisaris, sebagaimana kaji ulang terhadap kepatuhan yang dilakukan oleh internal audit dan atau fungsi-fungsi manajemen risiko. Laporan yang dihasilkan (dan atau untuk) Otoritas Pengawasan Bank dapat pula menginformasikan pemantauan ini dan sepertinya harus dilaporkan secara internal baik kepada direksi maupun dewan komisaris, mana yang dipandang lebih tepat.
d. Direksi bank harus menerima laporan berkala dari area yang sesuai seperti unit bisnis, fungsi-fungsi grup, satuan kerja manajemen risiko operasional, dan internal audit. Laporan-laporan risiko operasional harus berisi keuangan internal, data operasional dan kepatuhan, sebagaimana informasi pasar eksternal tentang kejadian-kejadian dan kondisi yang relevan terhadap pembuatan keputusan. Laporan harus didistribusikan kepada tingkatan manajemen yang sesuai dan untuk merefleksikan area setiap masalah yang di-identifikasi yang dapat terkena dampak. Laporan-laporan harus mencerminkan secara penuh setiap masalah yang di-identifikasi dan harus memotivasi tindalan koreksi yang tepat waktu terhadap masalah (issues) yang terbuka (outstanding). Untuk meyakini penggunaan dan keyakinan terhadap risiko-risiko operasional serta laporan audit, manajemen harus secara regular memeriksa ketepatan waktu, akurasi dan relevansi dari sistem pelaporan dan pengendalian intern secara umum. Manajemen juga dapat menggunakan laporan yang disajikan oleh sumber-sumber luar ( ekstenal auditor dan Otoritas Pengawasan Bank) untuk melaksanakan asesmen terhadap penggunaan dan dapat dipercayanya (reliability) laporan-laporan internal. Laporan-laporan harus dianalisa dengan suatu pandangan untuk perbaikan kinerja manajemen risiko yang sedang dilaksanakan, sebagaimana pengembangan kebijakan manajemen risiko baru, prosedur-prosedur dan praktik-praktik.
e. Dewan komisaris harus menerima informasi yang mencukupi (sufficient) untuk memungkinkan mereka memahami profil risiko operasional secara overall dan fokus terhadap implikasi-implikasi strategik yang material bagi bisnis.
Kriteria Bank Indonesia : (Lampiran SEBI No. 5/21/2003/DPNP , rumawi III. 4.d. 3) dst ).
Pemantauan Risiko Operasional.
a) Bank harus melakukan pemantauan risiko operasional secara berkelanjutan terhadap seluruh eksposur risiko operasional serta kerugian (loss events) yang dapat ditimbulkan oleh aktivitas fungsional utama (major business line), antara lain dengan cara menerapkan sistem pengendalian intern dan menyediakan laporan berkala mengenai kerugian yang ditimbulkan oleh risiko operasional.
b) Bank harus melakukan review secara berkala terhadap faktor-faktor penyebab timbulnya risiko operasional serta dampak kerugiannya.
c) Satuan Kerja Manajemen Risiko harus menyusun laporan mengenai kerugian dari risiko operasional dan hasil review kepatuhan audit intern serta menyampaikan laporan tersebut kepada Komite Manajemen Risiko dan Direksi.
Sistem Informasi Manajemen Risiko Operasional.
a) Bank harus memiliki sistem dan teknologi informasi yang memadai, sesuai dengan sifat dan volume transaksi.
b) Sistem informasi manajemen harus dapat menghasilkan laporan yang lengkap dan akurat yang digunakan untuk pemantauan risiko dalam rangka mendeteksi dan mengkoreksi penyimpangan secara tepat waktu guna mengurangi potensi terjadinya loss events .
c) Sistem informasi manajemen harus dapat menyediakan laporan eksposur risiko operasional secara lengkap, akurat dan tepat waktu dalam rangka proses pengambilan keputusan oleh Direksi.
3. Apakah bank mempunyai kebijakan, proses dan prosedur untuk mengendalikan dan atau mengurangi risiko yang material dari risiko operasional ?. Apakah Bank sudah secara periodik melakukan kaji ulang terhadap limit risiko mereka serta strategi pengendaliannya dan melakukan penyesuaian yang diperlukan ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No.6 dari BIS)
Bank harus mempunyai kebijakan, proses dan prosedur untuk mengendalikan dan atau mengurangi risiko yang material dari risiko operasional . Bank harus secara periodik melakukan kaji ulang terhadap limit risiko mereka serta strategi pengendaliannya dan meyesuaikan profil risiko operasional dengan menggunakan strategi yang cocok, dipandang dari risk appetite dan profil risiko secara menyeluruh
Penjelasan :
a. Kegiatan pengendalian dirancang untuk mengarahkan agar bank dapat meng-identifikasi risiko operasional. Terhadap semua risiko operasional yang material yang sudah di-identifikasi bank harus memutuskan apakah akan digunakan prosedur yang sesuai untuk mengendalikan dan atau mengurangi risiko atau dibebani (diperhitungkan ) risikonya. Terhadap risiko-risiko yang tidak dapat dikendalikan , bank harus memutuskan apakah menerima risiko tersebut, mengurangi tingkat aktivitas bisnis yang bersangkutan, atau menarik diri dari bisnis dimaksud secara total. Proses pengendalian dan prosedur-prosedur harus dibentuk dan bank harus sudah mempunyai sistem untuk meyakini kepatuhan terhadap kebijakan internal yang sudah terdokumentasi (tertulis) yang berkaitan dengan sistem manajemen risiko. Elemen-elemen pokok dapat mencakup , sebagai misal :
o Kaji ulang oleh manajemen puncak terhadap perkembangan bank dihadapkan dengan tujuan-tujuan yang sudah ditetapkan.
o Pemeriksaan kepatuhan terhadap pengendalian manajemen (management controls)
o Kebijakan, proses dan prosedur mengenai kaji ulang, perlakuan dan perbaikan terhadap masalah penyimpangan dari ‘kepatuhan’ , dan
o Suatu sistem persetujuan (approvals) dan otorisasi (authorisations) yang terdokumentasi untuk meyakini pertanggung jawaban dari suatu tingkatan manajemen yang sesuai.
b. Walaupun suatu kerangka kerja formal, kebijakan dan prosdedur tertulis sangat penting, namun perlu diperkuat melalui suatu budaya pengendalian yang kuat yang mengembangkan praktik-praktik manajemen risiko yang sehat. Baik dewan komisaris maupun direksi bertanggung jawab terhadap pengembangan budaya pengendalian intern dimana kegiatan pengendalian merupakan bagian integral dari kegiatan regular dalam suatu bank. Pengendalian yang merupakan bagian integral dalan suatu kegiatan yang regular dapat mempercepat respon terhadap perubahan kondisi dan menghindari biaya-biaya yang tidak perlu.
c. Suatu sistem pengendalian intern yang effektif juga mensyaratkan bahwa harus ada pemisahan tugas yang tepat dan bahwa pegawai tidak ditugaskan pada posisi yang menimbulkan pertentangan kepentingan (conflict of interest). Penugasan yang menimbulkan pertentangan individual atau suatu tim , dapat menimbulkan kerugian, kesalahan-kesalahan (errors) dan tindakan-tindakan yang tidak patut. Karena itu area dimana terdapat conflict of interest harus di-identifikasi, diminimalisasi dan wajib untuk dipantau dan dikaji ulang.
d. Sebagai tambahan dalam pemisahan tugas (segregation of duties), bank-bank harus meyakini bahwa praktik-praktik internal lainnya yang sesuai untuk pengendalian risiko operasional harus tersedia . Contoh-contoh berikut termasuk didalamnya :
o Pemantauan yang ketat yang ditekankan pada arah limit risiko yang ditetapkan atau pada ambang batas.
o Mempertahankan pengamanan akses, dan penggunaan aset bank dan catatan-catatannya.
o Meyakini bahwa staf mempunyai keahlian dan terlatih
o Meng-identifikasi bisnis line atau produk yang memberikan penghasilan diluar dari yang diharapkan secara wajar, (misalnya, dimana suatu risiko diperkirakan adalah rendah, kegiatan perdagangan yang diperkirakan berpenghasilan rendah menghasilkan keuntungan yang tinggi, yang dapat menjadi pertanyaan apakah penghasilan tersebut diperoleh karena suatu pelanggaran pengendalian intern ), dan
o Verifikasi dan rekonsiliasi secara berkala terhadap transaksi-transaksi serta rekening-rekening.
Kegagalan dalam meng-implementasikan praktik-praktik dimaksud telah menyebabkan kerugian operasional pada beberapa bank dalam tahun-tahun terakhir.
e. Risiko operasional dapat menjadi lebih nyata pada bank yang mempunyai aktivitas baru atau mengembangkan produk baru (umumnya karena kegiatan atau produk dimaksud tidak sejalan atau konsisten dengan strategi bisnis inti (core business) bank. Memasuki pasar yang tidak biasa dimasuki dan atau mengikatkan diri pada bisnis yang secara geografi jauh dari kantor pusat bank. Lebih lanjut, dalam banyak contoh, perusahaan tidak meyakini bahwa infra struktur pengendalian manajemen risiko sejalan dengan pertumbuhan dalam kegiatan bisnis. Sejumlah kerugian dalam volume besar serta profil kerugian yang tinggi dalam tahun-tahun terakhir terjadi karena adanya satu atau lebih kondisi tersebut diatas. Karena itu pengurus bank harus meyakini bahwa terdapat perhatian yang semestinya terhadap kegiatan-kegiatan pengendalian intern apabila terdapat kondisi seperti dimaksud diatas.
f. Beberapa risiko operasional yang penting mempunyai probability yang rendah namun mempunyai dampak keuangan yang besar. Lebih lanjut , tidak semua risiko yang terjadi dapat dikendalikan (misal, bencana alam). Peralatan peralatan untuk mitigasi risiko atau program-program dapat digunakan untuk mengurangi eksposure risiko, baik frekuensi maupun nilainya terhadap kejadian-kejadian. Misalnya penutupan asuransi, khususnya terhadap sesuatu yang harus dilakukan segera (prompt) dan sarana pembayaran tertentu, dapat digunakan untuk melepaskan kepada pihak luar risiko suatu kerugian yang frekuensinya rendah, namun jumlahnya besar, yang dapat terjadi sebagai akibat dari klaim pihak ketiga karena kesalahan (errors) dan kealpaan (omission), kehilangan fisik surat berharga, kecurangan pegawai atau pihak ketiga, serta bencana alam.
g. Namun demikian, bank harus memandang peralatan mitigasi risiko sebagai pelengkap (complementary), tidak sebagai pengganti (replacement) dari pengendalian intern risiko operasional. Mekanisme yang siap pakai yang secara cepat mengetahui dan memperbaiki kesalahan-kesalahan risiko operasional yang berlaku dapat mengurangi eksposur risiko secara signifikan. Pertimbangan yang hati-hati juga diperlukan untuk menetapkan seberapa jauh peralatan mitigasi risiko seperti asuransi sungguh-sungguh mengurangi risiko.atau men-transfer risiko kepada sektor bisnis atau area lain, atau bahkan menciptakan risiko baru (misalnya risiko hukum dan counterparty risk).
h. Investasi dalam technology processing yang sesuai, pengamanan sistem informasi teknologi (IT security) juga penting dalam mitigasi risiko. Namun bank harus waspada bahwa peningkatan otomasi dapat merubah ‘frekuensi yang tinggi , nilai kerugian rendah ‘ menjadi ‘ frekuensi rendah , nilai kerugian tinggi’. Yang terakir tersebut dapat dianggap berkaitan dengan kerugian karena gangguan pelayanan disebabkan faktor-faktor internal atau faktor-faktor diluar pengendalian langsung bank (misal,kejadian dari luar/external events). Masalah-masalah demikian dapat menyebabkan kesulitan yang serius bagi bank dan dapat membahayakan kemampuan institusi dalam menyelenggarakan kegiatan bisnis kunci (key business). Sebagaimana dibahas dibawah dalam Prinsip No.7, bank harus membentuk rencana darurat atau rencana kesinambungan usaha yang mengarah kepada risiko ini.
i. Bank juga harus menetapkan kebijakan untuk mengelola risiko yang berkaitan dengan kegiatan outsourcing. Aktivitas yang di-outsourcing-kan dapat mengurangi profil risiko institusi dengan cara men-transfer kegiatan kepada pihak lain yang mempunyai keahlian yang lebih baik dan mempunyai kemampuan untuk mengelola risiko yang terkait dengan kegiatan-kegiatan bisnis tertentu. Namun suatu bank yang menggunakan pihak ketiga, tidak mengurangi tanggung jawab dewan komisaris dan direksi bank untuk meyakini bahwa pihak ketiga diarahkan sedemikian rupa agar aman dan sound dan mematuhi ketentuan serta hukum yang berlaku. Perjanjian-perjaniian outsourcing harus didasarkan pada kontrak yang tegas dan atau perjanjian tingkat layanan dalam meyakini suatu pembagian (alokasi) tanggung jawab yang jelas antara eksternal service provider dengan bank . Lebih lanjut, bank perlu mengelola risiko yang tidak dicakup dalam perjanjian outsourcing termasuk risiko penghentian layanan oleh outsourcing vendors.
j. Berdasarkan skala dan sifat kegiatan, bank harus memahami akibat potensial dari operasi yang mereka lakukan serta nasabah-nasabah bank terhadap kemungkinan kekurangan-kekurangan pelayanan yang dilakukan oleh vendor d maupun pihak internal dan pihak ketiga lainnya sebagai service provider, termasuk terhentinya operasi dan potensi kegagalan bisnis lainnya atau kegagalan (default) dari pihak eksternal. Dewan komisaris dan direksi bank harus meyakini bahwa ekspektasi dan kewajiban dari pihak lain harus didefinisikan dengan jelas, dipahami dan harus dapat dilaksanakan .(enforceable). Luas tanggung jawab pihak ketiga serta kemampuan keuangan mereka untuk kompensasi terhadap kesalahan (errors), kealpaan (negligence) dan kegagalan operasional lainnya yang terjadi, harus dipertimbangkan secara seksama sebagai bagian dari asesmen risiko. Hendaknya, bank melakukan due diligence test dan memantau kegiatan service provider pihak ketiga, khususnya terhadap mereka yang kurang berpengalaman dalam lingkungan industri dan regulasi perbankan dan melakukan kaji ulang (review) proses ini (termasuk melakukan penilaian ulang terhadap hasil due diligence) secara berkala. Terhadap kegiatan yang sangat penting, bank dapat mempertimbangkan rencana darurat, termasuk ketersediaan alternatif pengganti pihak ketiga serta biaya dan sumber daya yang dibutuhkan untuk men-switch pihak luar (pihak ketiga) secara mendadak.
k. Dalam keadaan tertentu, bank dapat mempertimbangkan apakah akan mempertahankan tingkat risiko operasional tertentu atau menerima risiko tersebut sebagai tanggungan sendiri (self insure). Dalam kasus demikian dan risiko dimaksud material, keputusan untuk menahan dan self insure risiko tersebut harus dilakukan secara transparan dalam organisasi dan harus dilaksanakan konsisten dengan strategi bisnis bank secara menyeluruh (overall) serta risk appetite bank
Kriteria Bank Indonesia : (Lampiran SEBI No. 5/21/2003/DPNP , rumawi III. 4.c. 1) s/d 6) dan
4.e. 1) s/d 7)).
Kebijakan, Prosedur dan Penetapan Limit.
1) Umum
1.a) Bank harus memiliki kebijakan pengelolaan risiko operasional yang sesuai dengan misi, strategi bisnis, kecukupan permodalan dan kecukupan sumberdaya manusia.
1.b) Bank harus menetapkan dan menerapkan prosedur untuk menilai risiko operasional dan memantau eksposur risiko operasional secara berkala pada beberapa aktivitas fungsional utama.
1.c) Bank harus melakukan evaluasi dan pengkinian kebijakan dan prosedur pengelolaan risiko operasional sesuai dengan eksposur risiko operasional, profil risiko dan budaya ris iko Bank.
1.d) Bank harus menetapkan limit (cadangan) risiko operasional dengan mempertimbangkan eksposur risiko dan pengalaman kerugian masa lalu yang diakibatkan oleh risiko operasional. Penetapan limit tersebut harus direview dan disesuaikan dalam hal terdapat perubahan eksposur risiko operasional secara signifikan.
1. e) Kebijakan, prosedur dan proses penetapan limit risiko operasional harus didokumentasikan secara tertulis dan lengkap sehingga memudahkan untuk dilakukan jejak audit (audit trail).
2) Penyelesaian Transaksi (Settlement ).
2.a) Bank harus memiliki prosedur untuk mengukur eksposur risiko penyelesaian transaksi, khususnya apabila risiko tersebut berasal dari transaksi valuta asing dan kegiatan pembiayaan perdagangan.
2.b) Bank harus melakukan penilaian terhadap tahapan dalam proses penyelesaian transaksi, khususnya mengenai batas akhir perintah pembayaran, batas akhir penerimaan dan waktu pencatatan pembayaran dana.
2.c) Bank harus menyusun suatu prosedur pemantauan penyelesaian transaksi baru atau apabila terdapat transaksi yang belum diselesaikan pembayarannya.
2.d) Bank harus menyediakan prosedur penyelesaian transaksi yang disebabkan oleh adanya kondisi likuiditas Bank yang memburuk.
2.e) Bank harus melakukan konfirmasi transaksi secara tepat waktu sesuai dengan prosedur yang ditetapkan dan memantau transaksi tersebut secara konsisten.
3) Akuntansi
Bank harus memastikan bahwa penggunaan metode akuntansi adalah sesuai dengan standar akuntansi yang berlaku serta memperhatikan hal-hal sebagai berikut:
3.a) melakukan review secara berkala guna memastikan ketepatan metode yang digunakan untuk menilai transaksi;
3.b) melakukan review secara berkala terhadap kesesuaian metode akuntansi yang digunakan dengan standar akuntansi keuangan yang berlaku;
3.c) melakukan rekonsiliasi data transaksi secara berkala;
3.d) mengidentifikasi dan menganalisa setiap ketidakwajaran transaksi yang terjadi;
3.e) memelihara seluruh dokumen dan arsip (file) yang berkaitan dengan rincian rekening (accounts), sub-ledgers, buku besar (general ledgers) administrasi klasifikasi aset dan dokumentasi pembentukan provisi, guna memudahkan proses jejak audit (audit trail).
4) Inventarisasi Aset dan Kustodian.
4.a) Bank harus memelihara data akuntansi dan rincian aset pihak ketiga yang dipelihara/dititipkan (kustodian).
4.b) Bank harus memperoleh informasi yang memadai mengenai keaslian
penyimpanan/penitipan aset dalam rangka memastikan bahwa aset yang dititipkan tidak memiliki permasalahan hukum.
4.c) Bank harus melakukan pengecekan secara berkala antara data aset yang dititipkan dengan perjanjian/kontraknya.
5) Profil Nasabah dan Prinsip Mengenal Nasabah (KYC).
5.a) Bank harus menerapkan Prinsip Mengenal Nasabah (KYC) secara konsisten sesuai dengan eksposur risiko operasional. KYC harus didukung oleh sistem pengendalian intern yang efektif, khususnya upaya pencegahan Bank terhadap kejahatan internal (internal fraud).
5.b) Dalam penerapan KYC tersebut, Bank wajib memenuhi seluruh persyaratan dan pedoman sebagaimana yang diatur dalam ketentuan yang berlaku tentang Prinsip Mengenal Nasabah (KYC).
6) Profil Karyawan (Employees’ Profiles ).
Bank harus memiliki dan menerapkan kebijakan tentang tanggungjawab, kewenangan dan akses pegawai/karyawan terhadap sistem informasi tertentu. Kebijakan tersebut didukung oleh prosedur akses terhadap sistem informasi manajemen, sistem informasi akuntansi, sistem pengelolaan risiko, pengamanan di dealing room, dan ruang pemrosesan data.
Pengendalian Risiko Operasional.
1) Bank harus memiliki kebijakan, prosedur dan proses untuk mengendalikan atau memitigasi risiko operasional, sesuai dengan kompleksitas operasional Bank.
2) Dalam penerapan pengendalian risiko operasional, Bank dapat mengembangkan program untuk memitigasi risiko operasional antara lain pengamanan proses teknologi informasi, asuransi, dan outsourcing sebagian kegiatan operasional Bank.
3) Dalam hal Bank mengembangkan pengamanan proses teknologi informasi, Bank harus memastikan tingkat keamanan dari electronic data processing.
4) Pengendalian terhadap sistem informasi haru s memastikan:
4.a) adanya penilaian berkala terhadap pengamanan sistem informasi, yang disertai dengan tindakan korektif apabila diperlukan;
b) tersedianya prosedur back-up untuk menjamin berjalannya kegiatan operasional Bank dan mencegah terjadinya gangguan yang signifikan;
4.c) tersedianya prosedur back-up dan rencana darurat (contingency plan) yang diuji secara berkala;
4.d) adanya penyampaian informasi kepada Direksi mengenai permasalahan pada butir 4.a) sampai dengan 4.c);
4.e) tersedianya penyimpanan informasi dan dokumen yang berkaitan dengan analisa, programming dan pelaksanaan pemrosesan data.
5) Bank harus memiliki support system, yang sekurang-kurangnya mencakup:
5.a) identifikasi error secara dini;
5.b) pemrosesan dan penyelesaian seluruh transaksi secara efisien, akurat dan tepat waktu; dan
5.c) kerahasiaan, kebenaran serta keamanan transaksi.
6) Tindak Lanjut Hasil Audit Intern dan Ekstern :
6.a) Bank harus menindaklanjuti hasil temuan audit intern maupun ekstern dan selanjutnya melakukan serangkaian tindakan korektif.
6.b) Temuan audit yang belum ditindaklanjuti atau hanya sebagian dilakukan perbaikan harus diinformasikan oleh SKAI kepada Direksi.. Apabila temuan tersebut signifikan, Direksi menetapkan jangka waktu perbaikan dan menugaskan SKAI untuk memantau perkembangan efektivitas pelaksanaan tindakan korektif yang diambil.
7) Bank harus melakukan kaji ulang secara berkala terhadap prosedur, dokumentasi, sistem pemrosesan data, contingency plan, dan praktik operasional lainnya guna mengurangi kemungkinan terjadinya kesalahan manusia (human error) yang menimbulkan risiko operasional.
4. Apakah bank sudah mempunyai rencana darurat dan rencana kesinambungan usaha yang siap pakai untuk meyakini bahwa banktetap dapat terus beroperasi dalam suatu batasan kerugian dan gangguan bisnis yang besar ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No.7 dari BIS)
Bank harus mempunyai rencana darurat dan rencana kesinambungan usaha yang siap pakai untuk meyakini bahwa bank tetap dapat terus beroperasi dalam suatu batasan kerugian dan gangguan bisnis yang besar.
Lebih rinci sebagai berikut :
4.1. Apakah bank sudah mempunyai rencana darurat yang siap pakai ? Apakah rencana tersebut sudah memperhitungkan berbagai kemungkinan disertai dengan skenario penanggulangan ?
4.1.a Terhadap alasan-alasan yang mungkin diluar pengendalian suatu bank, suatu kejadian tertentu mungkin dapat menyebabkan ketidak berdayaan bank untuk memenuhi kewajiban bisnisnya, khususnya apabila secara fisik telekomunikasi , atau infrastruktur Teknologi Informasi (IT) mengalami kerusakan atau tidak dapat di-akses. Pada gilirannya hal ini dapat menyebabkan kerugian finansial yang besar pada bank, sebagaimana terhentinya secara luas sistem finansial melalui kanal-kanal (channels) seperti sistem pembayaran. Potensi atas hal ini menyebabkan bank memerlukan rencana darurat dan rencana kesinambungan usaha yang mempertimbangkan berbagai tipe skenario yang mungkin dilakukan terhadap mana bank dapat menghadapi bahaya (vulnerable) secara sebanding dengan ukuran dan kompleksitas operasi bank.
4.2 Apakah bank sudah mempunyai mekanisme alternatif untuk memulai kembali operasi bisnis yang terhenti ? Apakah ada system pengamanan / back up terhadap catatan bank baik catatan elektronik maupun catatan fisik (physical records)
4.2.a. Bank harus meng-identifikasi proses bisnis yang kritikal termasuk hal-hal dimana bank sangat tergantung pada eksternal vendor atau pihak ketiga lainnya dimana kelancaran pemulaian bisnis merupakan hal yang paling penting. Terhadap proses ini bank harus meng-identifikasi mekanisme alternatif untuk melanjutkan atau memulai kembali layanan dalam hal terdapat kejadian penghentian. Harus ada perhatian khusus terhadap kemampuan untuk memperbaiki (restore) catatan-catatan elektronik (electronic records) atau catatan catatan fisik (physical records) yang diperlukan untuk melanjutkan bisnis. Apabila catatan-catatan dimaksud di-back-up diluar bank (off site facility) , atau dalam hal operasi bank harus dipindah ke lokasi baru, harus diperhatikan bahwa lokasi tersebut haruslah cukup jauh dari kemungkinan terkena dampak operasi, untuk meminimalkan risiko agar catatan utama (primary) serta catatan back-up tidak secara bersama terkena suatu musibah.
4.3. Apakah dilakukan kaji ulang secara berkala tentang rencana darurat dan kesinambungan usaha untuk menilai kesesuaiannya dengan perkembangan bank dan apakah dilakukan test untuk meguji keandalannya ?
4.3.a.
Bank harus melaksanakan kaji ulang terhadap rencana darurat serta rencana kesinambungan usaha mereka secara konsisten dengan strategi bisnis serta operasi saat ini. Lebih lanjut rencana dimaksud harus lah diuji (test) secara periodik untuk meyakini bahwa bank akan mampu melaksanakan rencana tersebut dalam hal terdapat kejadian yang tidak diinginkan atau terhentinya suatu kegiatan bisnis.
II. Peranan Keterbukaan (Role of Disclosure).
5. Apakah bank sudah melakukan keterbukaan yang cukup kepada publik untuk memungkinkan pelaku pasar melaksanakan asesmen terhadap pendekatan manajemen risiko operasional oleh bank ?.
Kriteria : (Prinsip tentang Sound Practices Manajemen Risiko Operacional No.7 dari BIS)
Bank harus melakukan keterbukaan yang cukup kepada publik untuk memungkinkan pelaku pasar melaksanakan asesmen terhadap pendekatan manajemen risiko operasional oleh bank.
Penjelasan :
a. Frekuensi dan ketepatan waktu keterbukaan kepada publik terhadap informasi yang relevan oleh bank dapat mempengaruhi dan memperkuat disiplin pasar, dan dengan demikian manajemen risiko akan menjadi lebih efektif. Tingkat keterbukaan harus sesuai dengan ukuran, profil risiko, dan kompleksitas dari operasi bank.
b. Area keterbukaan pada risiko operasional belum ditetapkan oleh BIS, terutama karena bank-bank masih dalam proses pengembangan teknik-teknik asesmen risiko operasional. Namun demikian, Komite Basel (BIS) meyakini bahwa suatu bank harus mengungkapkan kerangka kerja manajemen risiko operasional nya sedemikian rupa sehingga memungkinkan investor dan partner usaha (counterparties ) menetapkan apakah suatu bank melakukan identifikasi, melakukan asesmen, mamantau dan mengendalikan / melakukan mitigasi risiko operasional secara efektif.
---------00000--------
Reference :
(1)
Bank for International Settlement , Basel Committee on Banking Supervision, paper, “Sound Practices for the Management and Supervision of Operational Risk”, Februari 2003.
(2)
Bank Indonesia, Surat-Surat Edaran Bank Indonesia menyanghkut dengan Manajemen Risikoa.l. SEBI No.5/21/DPNP TGL.29 September 2003 tentang Penerapan Manajemen Risiko pada Bank Umum , serta Lampiran.
Langganan:
Postingan (Atom)
