KAJI ULANG SISTEM MANAJEMEN RISIKO BANK
Oleh : Z. D u n i l
Risiko yang berubah.
Risiko bisnis bank senantiasa berkembang, sesuai dengan perkembangan environment ekonomi, politik, pasar dan sebagainya (perubahan eksternal). Selain itu perubahan internal bank seperti perubahan system, perubahan sasaran bisnis memerlukan kaji ulang terhadap kebijakan, system , prosedur, penetapan limit, model pengukuran risiko dsb. Risiko yang suatu saat rendah, dapat berubah dengan cepat menjadi tinggi (hight risk). Tanpa adanya review yang teratur bank dapat terjebak masuk dalam risiko tinggi diluar risiko yang akseptabel bagi bank bersangkutan yang dapat berakhir dengan kerugian pada bank.
Sebaliknya risiko yang selama ini diperlakukan sebagai risiko tinggi dapat berubah menjadi risiko rendah. Untuk perubahan ini bank harusnya juga menyesuaikan system dan prosedur penangannya agar terbuka peluang yang lebih menguntungkan menangani bisnis yang sudah berisiko rendah yang selama ini mungkin dihindari karena berisiko tinggi.
Perubahan internal termasuk perubahan Pengendalian Intern
Perubahan yang berasal dari internal bank , seperti perubahan sistem / prosedur disatu sisi mungkin mempunyai tujuan tertentu, umpamanya menjadikan proses menjadi lebih cepat, lebih efektif atau lebih efisien atau lebih memungkinkan memenangkan persaingan. Disisi lain hal-hal yang dihasilkan mungkin saja juga membawa dampak kepada risiko (risiko operasional) , yang semula berisiko rendah menjadi berisiko tinggi. Perubahan dapat juga terjadi karena perubahan sasaran bisnis sehingga kegiatan yang selama ini kurang menguntungkan beralih menjadi bisnis yang akan mendatangkan keutungan yang lebih tinggi, namun sifat bisnis juga berubah dari bisnis yang berisiko rendah menjadi bisnis yang berisiko lebih tinggi.
Perubahan-perubahan yang dilakukan bank sebagaimana dikemukakan diatas dapat saja dilakukan dengan kesadaran bahwa risiko juga berubah. Karena itu pengendalian intern perlu disesuaikan agar bank tidak terperangkap pada akibat-akibat yang tidak diinginkan yang semula tidak kelihatan. Kalau kesadaran terlambat, maka terlambat pula melakukan antisipasi terhadap kemungkinan suatu kejadian yang merugikan. Karena itu lakukan pengendalian sebelum terjadi suatu kerugian / event.. Manajemen yang baik akan mengkaji segala aspek sebelum melakukan perubahan dan selalu harus ada pertanyaan : “ Bagaimana apabila...........” yang dalam batas-batas tertentu harus dikaji oleh suatu unit yang independent. Kajian sesuatu perubahan yang dilakukan sebelum dilaksanakan sangat penting untuk meminimalisasi kemungkinan-kemungkinan buruk yang dapat terjadi. Apakah itu sudah cukup ?. Jawabnya, “Belum cukup!!!. Dalam pelaksanaannya harus ada ‘Kaji ulang” (review) untuk menilai apakah semuanya sudah berjalan sesuai rencana dan / atau apakah terdapat hambatan atau kemungkinan terjadinya hal-hal yang merugikan atau dari sisi risiko ternyata berisiko tinggi, atau risiko tidak dapat dikendalikan. Dengan demikian kaji ulang terhadap suatu sistem manajemen risiko yang sudah berjalan mutlak diperlukan.
Tingkatan hierarki (Hierhargy level) dalam risk management
Dalam setiap institusi keuangan, terutama bank, kegiatan manajemen risiko dapat dikelompokkan dalam hierargy level ( tingkatan hirarki ) sebagai berikut
i. Strategic Level
Tingkatan strategik fungsi manajemen risiko merupakan domain dari Dewan Komisaris dan Direksi bank. Termasuk disini hal-hal dasar yang menjadi acuan bagi level dibawahnya, seperti penetapan definisi dari manajemen risiko ; penetapan risk appetite bagi bank untuk setiap line of business, penetapan strategi dan kebijakan dalam pengelolaan risiko (managing risk) serta penetapan system dan pengendalian yang cukup untuk meyakini bahwa secara keseluruhan risiko yang diambil masih dalam tingkatan yang dapat diterima
( acceptable) dan memberikan return (hasil) sesuai dengan risiko yang diambil.
Manajemen risiko disini adalah semua proses yang dicakup dalam mengindentifikasi , dalam melakukan asesmen dan dalam menilai risiko, menetapkan ‘pemilik’ risiko . mengambil tindakan untuk mitigasi atau mengantisipasinya serta memantau dan me-review perkembangannya.
Proses manajemen risiko itu sendiri merupakan pelaksanaan (aplikasi) dari kebijakan manajemen, prosedur dan praktik-praktik dalam tugas-tugas berkaitan dengan pengembangan konteks diatas.
ii. Macro level.
Meliputi manajemen risiko dalam suatu bisnis area atau antar bisnis area (line of business ) dalam organisasi bank. Dalam level ini , pada umumnya aktivitas manajemen risiko dilakukan oleh Middle Management atau satuan-satuan kerja yang mencurahkan perhatiannya pada kaji ulang manajemen risiko.
iii. Micro Level.
Pada level ini terlibat “On the line “ Risk Management dimana risiko di-create secara aktual. Disini kegiatan manajemen risiko dilakukan oleh individual yang mengambil risiko atas nama organisasi (bank) seperti front office atau fungsi pemberian kredit (loan origination function). Manajemen risiko pada level ini terikat pada prosedur operasional serta pedoman yang telah ditetapkan direksi yang harus diikuti
Dalam melaksanakan Risk Management Review (RMR), reviewer (pemeriksa) hendaknya tidak terlepas dari konteks hirarki tersebut diatas . Dengan demikian terdapat tiga tingkat dalam kaji ulang (review) pelaksanaan manajemen risiko pada bank, yang masing-masing tingkatan mengarah kepada domain yang berbeda sesuai dengan level manajemen yang berwenang melakukan koreksi atau penyempurnaan atas temuan reviewer (pemeriksa) dalam kaji ulang manajemen risiko dimaksud. Review Manajemen Risiko pada level strategik haruslah dilakukan oleh mereka yang mempunyai kemampuan melihat bank secara keseluruhan (secara utuh) dan menilai pelaksanaan manajemen risiko apakah sesuai dengan kompleksitas , ukuran (size) , core business bank yang bersangkutan serta pedoman yang diberikan oleh Bank Indonesia. Hal ini pada umumnya menjadi tugas dari Otoritas Pengawasan Bank / Banking Supervisor atau lembaga konsultan yang memahami manajemen risiko perbankan yang memperoleh penugasan Risk Management Review dari dewan komisaris bank. Reviewer yang dimaksud terakhir ini mendapat penugasan dari dewan komisaris atau komite pemantau risiko yaitu komite yang membantu dewan komisaris bank dalam tugas-tugas pengawasan khususnya menyangkut pelaksanaan manajemen risiko bank. Tugas tersebut dilaksanakan dalam rangka evaluasi pelaksanaan manajemen risiko bank secara berkala sebagai pemenuhan kewajiban dewan komisaris sesuai ketentuan otoritas atau bagi bank yang lebih peduli (aware) secara sadar mengikuti rekomendasi dari Bank for International Settlement.
Review pada level Macro adalah berupa kajian manajamen risiko pada satuan-satuan kerja atau risk taking unit maupun risk supporting unit , sedangkan review pada level micro adalah kajian aspek manajemen risiko pada tingkat pelaksana secara individual .
Kaji ulang pada level macro, jamaknya dilakukan sekaligus dengan kaji ulang pada level micro untuk melihat lebih detil substansi pelaksanaan kebijakan yang sduah ditetapkan dalam level stratejik.
Kaji ulang manajemen risiko di semua tingkatan (level) tetap perlu diketahui oleh dewan komisaris serta direksi bank yang merupakan dasar instruksi langkah perbaikan dari dewan komisaris dan direksi. Respons dewan komisaris dan direksi atas laporan kaji ulang manajemen risiko sangat perlu dalam mendorong pelaksanaan koreksi pada tingkat macro dan micro level dimaksud.
Keharusan melaksankan review (kaji ulang ) manajemen risiko telah ditetapkan baik dalam ketentuan (PBI) yang diterbitkan Bank Indonesia maupun yang diterbitkan melalui paper Bank for International Settlement berikut ini :
Peraturan Bank Indonesia
Perlunya dilakukan kaji ulang (review) terhadap pelaksanaan manajemen risiko telah ditetapkan oleh Bank Indonesia antara lain dalam Peraturan Bank Indonesia No:. 5/8/PBI/2003 Tentang ‘Penerapan Manajemen Risiko bagi Bank Umum’.
Dalam pasal-pasal berikut antara lain dikemukakan :
Pasal 13 ,
Bank wajib melaksanakan system pengendalian intern secara efektif terhadap pelaksanaan kegiatan usaha dan operasional pada seluruh jenjang organisasi Bank.
Pasal 14
(1) Pelaksanaan sistem pengendalian intern sebagaimana dimaksud dalam pasal 13 sekurang-kurangnya mampu secara tepat waktu mendeteksi kelemahan dan penyimpangan yang terjadi.
(2) Sistem pengendalian intern sebagaimana disebutkan dalam ayat (1) wajib memastikan :
a. Kepatuhan terhadap peraturan dan perundang-undangan yang berlaku serta kebijakan atau ketentuan intern bank
b. Tersedianya informasi keuangan dan manajemen yang lengkap, akurat , tepat guna dan tepat waktu
c. Efektivitas dan efisiensi dalam kegiatan operasional , dan
d. Efektivitas budaya risiko pada organisasi bank secara keseluruhan
Pasal 15
(1) Sistem pengendalian intern dalam penerapan manajemen risiko sekurang kurangnya mencakup:
a. Kesesuaian sistem pengendalian intern dengan jenis dan tingkat risiko yang melekat pada kegiatan usaha Bank.
b. Penetapan wewenang dan tanggung jawab untuk pemantauan kepatuhan , kebijakan ,prosedur dan limit sebagaimana dimaksud dalam pasal (8) dan Pasal (9).
Catatan :
Dalam Pasal 8 ditetapkan :
Kebijakan manajemen risiko sekurang-kurangnya menetapkan :
1. penetapan risiko yang terkait dengan produk dan transaksi perbankan
2. penetapan penggunaan metode pengukuran dan sistim informasi manajemen risiko
3. penentuan limit dan penetapan toleransi risiko
4. penetapan penilaian peringkat risiko
5. penyusunan trencana darurat (contingency plan) dalam kondisi terburuk (worse scenario)
6. penetapan sistem pengendalian intern dalam penerapan manajemen risiko
Dalam Pasal 9 ditetapkan
1. Prosedur dan penetapan limit risiko wajib disesuaikan dengan tingkat risiko yang akan diambil (risk appetite) terhadap risiko bank.
2. Prosedur dan penetapan limit risiko sebagaimana dimaksud diatas , sekurang-kurangnya memuat :
a. akuntabilitas dan jenjang delegasi wewenang yang jelas
b. pelaksanaan kaji ulang terhadap prosedur dan penetapan limit secara berkala
c. dokumentasi prosedur dan penetapan limit secara memadai
3. Penetapan limit risiko sebagaimana dimaksud pada ayat 2 diatas , wajib mencakup:
a. limit secara keseluruhan
b. limit per jenis risiko
c. limit per aktivitas fungsional tertentu yang memiliki eksposur risiko
c. Penetapan jalur pelaporan dan pemisahan fungsi yang jelas dari satuan kerja operasional kepada satuan kerja yang melaksanakan fungsi pengendalian
d. Struktur organisasi yang menggambarkan secara jelas kegiatan usaha bank.
e. Pelaporan keuangan serta kegiatan operasional yang akurat dan tepat waktu
f. Kecukupan prosedur untuk memastikan kepatuhan bank terhadap ketentuan dan perundang-undangan yang berlaku.
g. Kaji ulang yang efektif , independen dan objektif terhadap prosedur dan penilaian kegiatan operasional bank.
h. Pengujian dan kaji ulang yang memadai terhadap sistem infromasi manajemen Dokumentasi secara lengkap dan memadai terhadap prosedur operasional , cakupan dan temuan audit ,serta tanggapan pengurus bank berdasarkan hasil audit
i. Verifikasi dan kaji ulang secara berkala dan kesinambiungan terhadap penanganan kelemahan-kelemahan bank yang bersifat materil dan tindakan pengurus bank untuk memperbaiki penyimpangan-penyimpangan yang terjadi.
(2) Penilaian terhadap sistem pengendalian intern terhadap penerapan manajemen risiko sebagaimana dimaksud pada ayat (1) wajib dilakukan oleh Satuan Kerja Audit Intern (SKAI).
Rekomendasi dari Bank for International Settlement.
Bank for International Settlement adalah Lembaga Keuangan Internasional tertua yang saat ini merupakan pusat utama kerjasama bank sentral secara internasional. Menurut sejarahnya BIS dibentuk dalam rangka “Young Plan“ pada tahun 1930. Secara umum BIS mengembangkan kerjasama antar Bank Sentral dalam rangka mencapai sistem moneter dan keuangan yang stabil.
Tugas pokok BIS dapat diringkas sebagai berikut:
1. Menyediakan “Forum Kerjasama“ antar Bank Sentral. Melalui pertemuan rutin Gubernur dan Pejabat Bank Sentral anggotanya, BIS menjadi forum diskusi dan pertukaran informasi dan kerjasama Bank Sentral secara Internasional.
2. Melalui Forum Kerjasama Internasional, BIS menyelanggarakan research sebagai kontribusi terhadap stabilitas moneter dan keuangan, mengumpulkan dan menyebar-luaskan data statistik keuangan internasional, dan melalui komite ahli memformulasikan rekomendasi kepada masyarakat keuangan dengan tujuan untuk memperkuat stabilitas keuangan internasional.
Contohnya Capital Accord of july 1988.
3. BIS juga melaksanakan fungsi Bank Tradisional, seperti Management Cadangan (Reserve) dan transaksi emas, untuk rekening nasabah Bank Sentral dan organisasi Internasional.
4. BIS juga menyediakan “emergency financing” untuk membantu “Internatioanal Monetary System“ apabila di perlukan. Contoh yang tergolong masih baru adalah bantuan Program stabilisasi dipimpin oleh IMF terhadap Mexico 1982 dan Brazil tahun 1998.
Sesuai tugas pokoknya pada butir 2, BIS menetapkan aturan-aturan antara lain mengenai pengaturan dan manajemen perbankan sebagai rekomendasi dan menjadi acuan bagi perbankan internasional. Dari berbagai rekomendasi BIS tersebut, dapat dicatat beberapa rekomendasi yang terkait dengan pernyataan atau prinsip-prinsip yang menyatakan perlunya dilakukan review (kaji ulang , pemeriksaan independent dsb.nya) terhadap pelaksanaan manajemen risiko pada perbankan. Prinsip-prinsip tersebut antara lain dikemukakan dalam paper BIS sebagai berikut :
Principles for the management of credit risk. (Paper BIS , diterbitkan oleh Basel Committee on banking Supervision , Basel , September 2000. )
Dalam salah satu prinsip manajemen untuk risiko kredit dikemukakan sebagai berikut :
Prinsip No. 14
Bank harus membentuk sistem asesmen yang independen, terus menerus / berkesinambungan terhadap proses manajemen risiko kredit bank , dan hasil kaji ulang dikomunikasikan langsung kepada Dewan Komisaris dan Direksi Bank.
{ Principle 14 : Banks must establish a system of independent , ongoing assessment of the bank’s credit risk management processes and the results of such reviews should be communicated directly to the board of directors and senior management. }
Karena penunjukan berbagai individu dalam bank yang mempunyai kewenangan dalam pemberian kredit , bank hendaknya mempunyai suatu sistem kaji ulang (review) dan pelaporan internal yang efisien untuk mengelola secara efektif berbagai portofolio bank. Sistem tersebut harus mnyediakan dan menyajikan informasi yang memenuhi syarat kepada dewan komisaris dan direksi untuk keperluan evaluasi kinerja account officer serta kondisi dari portofolio kredit.
Kaji ulang kredit internal (internal credit review) dilaksanakan oleh individu yang independen terhadap fungsi bisnis , menyajikan suatu asesmen yang penting atas individual kredit dan kualitas overall dari portofolio kredit. Fungsi kaji ulang kredit dimaksud dapat membantu evaluasi proses administrasi kredit overall, menentukan akurasi dari internal risk rating , dan menilai apakah account officer telah memantau individual kredit sebagaimana mestinya. Fungsi pengkajian kredit (credit review function) hendaknya memberikan laporan langsung kepada dewan komisaris , komite audit , atau direksi bank yang tidak mempunyai otoritas pemberian kredit (seperti, direkdi yang membidangi pengendalian / control. )
Sound Practices for Managing the Liquidity in Banking Organizations. (Paper BIS, diterbitkan oleh Basel Committee on Banking Organization, Pebruari, 2000. )
Dalam salah satu prinsip manajemen risiko likuiditas dikemukakan sebagai berikut :
Prinsip No. 12.
Setiap bank harus mempunyai sistem pengendalian intern yang memadai terhadap proses manajemen risiko likiditas nya. Komponen yang fundamental dari sistem pengendalian intern mencakup pemeriksaan independen secara berkala dan evaluasi terhadap efektivitas dari sistem , dan dimana perlu meyakini bahwa perbaikan yang diperlukan atau penguatan pengendalian intern telah dilaksanakan sesuai. Hasil dari kaji ulang/pemeriksaan hendaknya disampaikan kepada Otoritas Pengawasan Bank (Banking Supervisor)
( Each bank must have an adequate system of internal controls over its liquidity risk management process. A fundamental component of internal controls system involves regular independent review and evaluation of the effectiveness of the system and where necessary , ensuring that appropriate revisions or enhancements to internal controls are made. The results of such reviews should be available to supervisory authorities. )
Diuraikan lebih lanjut oleh Basel Komite dalam paper tersebut antara lain bahwa :
Bank harus mempunyai pengendalian intern yang cukup /memadai untuk meyakini integritas proses manajemen risiko likiditas mereka. Pengendalian intern hendaknya merupakan bagian integral dari sistem pengendalian intern bank secara keleluruhan. Bank harus mengembangkan operasi yang efektif dan efisien , laporan keuangan berkala yang dapat dipercaya , dan kesesuaian dengan hukum dan ketentuan yang berlaku serta kebijakan perusahaan . Suatu pengendalian intern untuk risiko likiditas yang efektif meliputi :
Suatu lingkungan pengendalian (control environment) yang kuat.
Proses untuk idendtifikasi dan evaluasi risiko likiditas yang cukup
Menetapkan aktivitas pengendalian seperti , kebijakan dan prosedur
Sistem informasi yang memadai
Kaji ulang secara berkesinambungan (continual review) terhadap ketaatan pada kebijakan dan prosedur yang ditetapkan.
Elemen penting dalam sistem pengendalian intern bank terhadap proses manajemen risiko likiditas adalah evaluasi dan kaji ulang berkala. Hal ini mencakup , meyakini bahwa pegawai mematuhi kebijakan dan prosedur yang ditetapkan , sebagaimana meyakini bahwa prosedur yang ditetapkan pada kenyataannya memang mencapai sasaran dengan baik. Kaji ulang dan evaluasi dimaksud juga ditujukan untuk perlunya perubahan yang signifikan yang berdampak pada efektifitas dari pengendalian. Manajemen harus meyakini bahwa semua evaluasi dan kaji ulang dilakukan oleh individu-individu yang independen terhadap fungsi yang dinilai/dikaji ulang. Apabila diperintahkan untuk revisi/perbaikan terhadap pengendalian intern , harus ada mekanisme untuk meyakini bahwa implementasinya dilakukan pada waktu yang tepat..
Kaji ulang secara periodik terhadap proses manajemen likiditas hendaknya juga ditujukan pada setiap perubahan dari sifat instrument yang diperoleh , limits , pengendalian intern yang dilaksanakan sejak kaji ulang yang lalu.
Fungsi internal audit hendaknya juga secara periodik melakukan kaji ulang terhadap proses manajemen likiditas untuk meng-identifikasi kelemahan atau permasalahan. Pada gilirannya , hal ini akan diarahkan oleh manajemen secara efektif dan tepat waktu.
Principles for the Management and Supervision of Interest Rate Risk . (Diterbitkan oleh Basel Committee on Banking Supervision pada July , 2004 ).
Dalam Praktek manajemen risiko suku bunga yang sehat (sound practice) pada paper tersebut diatas dikemukan sebagai berikut :
Praktek manajemen risiko suku bunga melibatkan 4 (empat) elemen dasar dari manajemen instrumen-instrumen asset, liability dan off balance sheet (OBS) :
Pengawasan yang memadai oleh Dewan Komisaris dan Direksi bank
Kecukupan kebijakan dan prosedur manajemen risiko
Pengukuran, pemantauan dan pengendalian manajemen risiko yang memadai
Pengendalian intern dan independent audit yang komprehensif.
Hal-hal spesifik yang diaplikasikan oleh suatu bank terhadap elemen elemen tersebut dalam mengelola risiko suku bunga sangat tergantung pada kompleksitas dan sifat kegiatan dan bentuk perusahaan serta tingkat exposur risiko suku bunga . Karena itu apa yang merupakan praktik manajemen risiko suku bunga yang memadai, sangat beragam diantara bank-bank. Sebagai contoh, suatu bank yang tidak terlalu kompleks, dimana direksinya terlibat dalam kegiatan operasional sehari-hari secara detil, mungkin cukup hanya mengandalkan proses manajemen risiko suku bunga yang relatif masih tergolong dasar (basic). Sedangkan organisasi bank lainnya yang lebih kompleks dan mempunyai rentang kegiatan yang luas akan memerlukan proses manajemen risiko suku bunga yang lebih formal untuk mengarahkan kegiatan keuangan mereka yang lebih luas dalam menyediakan bagi direksi informasi yang dibutuhkan direksi untuk memantau dan mangarahkan kegiatan sehari-hari. Lebih lanjut proses manajemen risiko suku bunga yang lebih kompleks yang digunakan pada bank dimaksud, memerlukan pengendalian intern yang memadai termasuk audit atau mekanisme pengawasan lainnya untuk meyakini integritas dari informasi yang digunakan pejabat bank dalam mengawasi kepatuhan terhadap kebijakan dan limit yang ditentukan. Tugas dari individu-individu yang terlibat dalam pengukuran risiko (risk measurement), pemantauan (monitoring), dan fungsi pengendalian (control function) harus dipisahkan secara cukup (sufficient) dan harus independen dari pembuat keputusan bisnis (business decision makers) dan pengambil posisi (position takers) untuk menghindari pertentangan kepentingan (conflict of interest).
Dalam salah satu prinsip manajemen risiko sukubunga dikemukakan sebagai berikut :
Prinsip No. 10 .
Bank harus mempunyai sistem pengendalian intern yang memadai terhadap proses manajemen risiko sukubunga mereka. Komponen yang mendasar dari sistem pengendalian intern melibatkan evaluasi dan kaji ulang (review) yang independen secara reguler terhadap efektivitas sistem, dan dimana perlu meyakini bahwa perbaikan untuk memperkuat pengendalian intern telah dilakukan sebagaimana mestinya. Hasil kaji ulang tersebut juga tersedia bagi Otoritas Pengawasan Bank.
(Banks must have an adequate system of internal control over their interest rate risk management process. A fundamental component of the internal control system involves regular independent reviews and evaluations of the effectiveness of the systems and, where necessary, ensuring that appropriate rvisions or enhancements to internal controls are made. The results of such review should be available to relevant supervisory authorities.)
Diuraikan lebih lanjut bahwa Bank-bank hendaknya mempunyai pengendalian intern yang memadai untuk meyakini integritas proses manajemen risiko sukubunga mereka.
Pengendalian intern dimaksud hendaknya merupakan bagian integral dari sistem pengendalian intern perusahaan secara menyeluruh. Mereka harus mengembangkan operasional perusahaan yang effektif dan effisien, laporan keuangan berkala yang dapat dipercaya (reliable), dan kepatuhan terhadap hukum dan ketentuan yang berlaku serta kebijkan perusahaan. Suatu sistem pengendalian intern risiko sukubunga mencakup :
Suatu lingkungan pengendalian yang kuat
Suatu proses yang memadai untuk meng-identifikasi mengevaluasi risiko,
Menetapkan aktivitas pengendalian seperti, kebijakan, prosedur dan methodologi,
Sistem informasi yang memadai, dan
Kaji ulang yang berkesinambungan terhadap kebijakan dan prosedur
Berkenaan dengan kebijakan dan prosedur, hendaknya diberikan perhatian kepada, proses persetujuan yang tepat, limit exposures, rekonsiliasi, kaji ulang dan mekanisme lainnya yang dirancang sebagai suatu jaminan yang ‘reasonable’ bahwa tujuan manajemen risiko sukubunga bank sudah tercapai . Banyak kelengkapan dari proses manajemen risiko yang sehat, termasuk pengukuran risiko, pemantauan dan fungsi pengendalian merupakan aspek kunci dari sistem pengendalian intern yang effektif. Bank hendaknya meyakini bahwa semua aspek dari sistem pengendalian intern adalah effektif, termasuk aspek-aspek yang bukan secara langsung merupakan bagian dari proses manajemen risiko.
Elemen penting bagi sistem pengendalian intern bank terhadap proses pengendalian risiko sukubunga adalah evaluasi dan kaji ulang secara reguler. Tercakup disini, bahwa pegawai mengikuti kebijakan dan prosedur yang telah ditetapkan., sebagaimana meyakini bahwa prosedur yang ditetapkan betul-betul mencapai tujuan yang diinginkan. Evaluasi dan kaji ulang dimaksud hendaknya juga diarahkan pada setiap perubahan yang signifikan yang dapat berakibat pada effektifitas pengendalian,seperti perubahan dalam kondisi pasar, personalia, teknologi, dan struktur kepatuhan pada limit exposure risiko sukubunga, dan hendaknya meyakini bahwa tindak lanjut yang tepat bersama direksi sudah dilakukan terhadap setiap limit yang melampaui. Direksi hendaknya meyakini bahwa semua evaluasi dan kaji ulang dimaksud dilaksanakan secara regular oleh individu-individu yang independen dari fungsi yang ditugaskan untuk melakukan kaji ulang. Jika revisi atau perkuatan pengendalian intern sudah terjamin, hendaknya ada mekanisme tetap untuk meyakini bahwa tindak lanjut telah dilakukan tepat waktru (in a timely manner).
Kaji ulang terhadap sistem pengukuran risiko sukubunga hendaknya mencakup asesmen dari asumsi, parameters dan methodologi yang digunakan.
Kaji ulang dimaksud hendaknya berusaha memahami, mengetest, mendokumentasikan proses pengukuran saat ini, meng-evaluasi ke-akuratan sistem dan merekomendsikan solusi terhadap setiap kelemahan yang di-identifikasi. Jika sistem pengukuran disatukan pada satu atau lebih sistem anak perusahaan (subsidiary) atau proses, kaji ulang hendaknya mencakup testing yang bertujuan untuk meyakini bahwa sistem dari anak perusahaan sudah di-integrasikan dengan baik dan konsisten satu sama lainnya pada semua hal-hal penting. Hasil daripada kaji ulang tersebut, bersama dengan rekomendasi untuk perebaikan, harus dilaporkan kepada direksi dan atau dewan komisaris dan segera ditindak lanjuti.
Frekwensi dan sejauh mana bank harus melakukan revaluasi terhadap methodologi manajemen risiko dan modelnya, tergantung, sebagiannya dari exposure risiko sukubunga khususnya yang diciptakan dengan menahan (hold) dan aktivitas, langkah dan sifat dari perubahan sukubunga pasar, serta langkah dan kompleksitas dari inovasi dari pengukuran dan pengelolaan risiko sukubunga.
Bank-bank, khususnya bank dengan exposure risiko yang kompleks hendaknya mempunyai sendiri fungsi pengukuran, pemantauan, pengendalian yang dikaji ulang secara reguler oleh badan /pihak yang independen (seperti, internal atau external auditor) . Dalam kasus tertentu, laporan yang disampaikan oleh external auditor atau pihak luar lainnya hendaknya juga disampaikan kepada otoritas pengawas perbankan / banking supervisor ( Catatan : Istilah yang lebih resmi untuk banking supervisor di Indonesia adalah Lembaga Pengawasan Perbankan . Sampai dengan tahun 2010 banking supervisor ada di tangan Bank Indonesia dan setelah itu akan ditangani oleh Lembaga Pengawasan Keuangan / LPK atau yang juga populer dengan istilah OJK atau Otoritas Jasa Keuangan).
Dalam hal pemeriksaan independen dilakukan oleh internal auditor, bank hendaknya mengedepankan bahwa fungsi-fungsi pengukuran, pemantauan dan pengendalian risko hendaknya di kaji ulang secara berkala oleh external auditor . Namun hal yang dilakukan oleh external auditor hendaknya bukan merupakan pengulangan / duplikasi dari proses audit yang dilakukan oleh internal auditor.
Sound Practices for the Management and Supervision of Operational Risk (Paper BIS , diterbitkan oleh Basel Committee on banking Supervision , Pebruari 2003 /final paper).
Dalam pedoman mengenai sound practices tersebut , dikemukakan salah satu prinsip sebagai berikut
Prinsip No. 6
Bank harus mempunyai kebijakan, proses dan prosedur untuk mengendalikan dan atau mengurangi risiko yang material dari risiko operasional . Bank harus secara periodik melakukan kaji ulang terhadap limit risiko mereka serta strategi pengendaliannya dan meyesuaikan profil risiko operasional dengan menggunakan strategi yang cocok, dipandang dari risk appetite dan profil risiko secara menyeluruh.
(Bank should have policies, processes and procedures to control and/or mitigate material operational risks. Bank should periodically review their risk limitation and control strategies and should adjust their operational risk profile accordingly using appropriate strategies, in light of their overall risk appetite and profile)
Lebih jauh dikemukakan uraian sebagai berikut :
Bank-bank harus mempunyai cakupan internal audit yang memadai (adequate) untuk memeriksa bahwa kebijakan dan prosedur operasional telah di-implementasikan secara efektif. Dewan komisaris ( baik secara langsung atau melalui audit komite) harus meyakini bahwa cakupan (scope) dan frekuensi dari program audit telah selaras/sesuai dengan eksposure risiko bank. Audit harus melakukan validasi secara periodik bahwa kerangka kerja manajemen risiko operasional perusahaan sudah di-implemantasikan secara efektif pada seluruh jenjang organisasi perusahaan.
Dewan komisaris harus meyakini bahwa keterlibatan fungsi audit dalam melakukan pengawasan (oversight) terhadap kerangka kerja risiko operasional , dilakukan secara independen dari independensi fungsi audit senantiasa dipertahankan. Independensi ini mungkin dapat dikompromikan jika fungsi audit secara langsung terlibat dalam proses pengelolaan risiko operasional. Fungsi audit dapat menyediakan masukan yang bernilai yang dapat dipertanggung jawabkan untuk pengelolaan risiko operasional, tetapi tidak dengan sendirinya audit langsung bertanggung jawab terhadap pengelolaan risiko operasional.
Risk Management Principles for Electronic Banking. (Paper BIS yang ditertbitkan oleh Basel Committee pada bulan May , 2001).
Dalam salah satu prinsip dikemukakan sebagai berikut :
Prinsip No.2
Dewan Komisaris dan Direksi Bank harus melakukan kaji ulang dan menyetujui aspek-aspek kunci dari proses pengendalian keamanan bank.
(The Board of Directors and senior management should review and approve the key aspects of the bank’s security control process )
Lebih lanjut diuraikan bahwa :
Dewan Komisaris dan Direksi Bank hendaknya mengawasi perkembangan dan kesinambungan pemeliharaan (maintenance) dari infrastruktur pengendalian keamanan yang serasi untuk mengamankan data sistem e-banking , baik terhadap ancaman dari luar maupun dari dalam. Hal ini mencakup penetapan wewenang otorisasi yang sesuai , pengendalian akses secara logik dan fisik, dan kecukupan pengendalian infra struktur yang memadai untuk batas-batas dan pembatasan pembatasan yang sesuai untuk kegiatan pengguna baik internal maupun eksternal.
Pengamanan dari aset bank adalah salah satu tugas yang dipercayakan kepada Dewan Komisaris Bank dan merupakan salah satu tanggung jawab yang mendasar bagi Direksi Bank. Namun demikian ini merupakan salah satu tantangan tugas dalam suatu lingkungan (environment) e-banking , karena pengamanan risiko yang komplek terkait dengan operasi menggunakan jaringan internet publik dan menggunakan teknologi yang inovatif.
Untuk meyakini kesesuaian pengendalian kegiatan e-banking , Dewan Komisaris dan Direksi bank perlu memastikan apakah bank telah mempunyai suatu proses pengamanan yang komprehensif , termasuk kebijakan dan prosedur, yang diarahkan untuk mengatasi ancaman keamanan yang potensial baik dari luar maupun dari dalam , keduanya merupakan preventif dan respons terhadap insiden/kejadian. Elemen-elemen kunci dari proses pengamanan yang efektif dari e-banking mencakup :
• Memberikan penugasan secara tersendiri kepada manajemen / staff yang bertanggung jawab untuk mengawasi penetapan dan pemeliharaan kebijakan pengamanan perusahaan.
• Pengendalian fisik yang cukup untuk melindungi akses secara fisik oleh pihak yang tidak berhak pada lingkungan penghitungan (computing environment ).
• Pengendalian secara logic yang cukup dan proses pemantauan untuk melindungi akses dari pihak-pihak yang tidak berwenang baik dari internal maupun ekternal pada aplikasi dan database e-banking .
• Kaji ulang secara berkala dan testing terhadap ukuran-ukuran pengendalian dan pengamanan, termasuk secara terus menerus mengikuti perkembangan pengamanan terbaru dalam industri serta instalasi peningkatan software yang sesuai, paket pelayanan dan pengukuran-pengukuran lainnya yang diperlukan.
Dalam paper bulan Mei 2001 tersebut diatas, diberikan Lampiran yang berisikan sejumlah tambahan ‘sound practices’ untuk meyakini keamanan e-banking.
Kesimpulan .
Berdasarkan uraian diatas, dapat disimpulkan hal-hal sebagai berikut :
1. Kaji ulang manajemen risiko wajib dilakukan oleh bank, baik terhadap manajemen risiko secara keseluruhan maupun terhadap setiap jenis risiko .
2. Pelaksanaan Kaji ulang manajemen risiko tersebut dilakukan sesuai tingkatan (level) yang dikaitkan pada domain level manajemen yang menjadi penaggung jawab atas pelaksanaan manajemen risiko dimaksud.
3. Bagi manajemen risikoyang bersifat trategik yang merupakan domainnya Dewan Komisaris / Direksi , pelaksanaannya harus dilakukan oleh pihak yang memahami aspek perbankan secara utuh. Reviewer yang sesuai yang melakukan tugas ini yang dianggap sebagai kewajiban adalah otoritas Pengawasan Bank . Namun apabila atas kesadaran sendiri Dewan Komisaris menganggap perlu dilakukan review atas manajemen risiko pada level stratejik ini, maka yang sesuai untuk melaksanakannya adalah pemeriksa eksternal yang memahami semua aspek bisnis bank. Manajemen risiko pada level stratejik bukan ’makanan’ internal auditor, karena disini dinilai kebijakan dan kegiatan yang dilakukan oleh Dewan Komisaris dan Direksi terkait dengan manajemen risiko. Keberadaan internal audit bukan untuk menilai kebijakan dan kegiatan Direksi dan Dewan Komisaris.
4. Untuk manajemen risiko pada level macro dan micro, kaji ulang dapat dilakukan baik oleh eksternal maupun internal auditor.
Referensi :
1. Peraturan Bank Indonesia No:. 5/8/PBI/2003 Tentang ‘Penerapan Manajemen Risiko bagi Bank Umum’.
2. Principles for the management of credit risk, BIS , Basel Committee on banking Supervision , Basel , September 2000
3. Sound Practices for Managing the Liquidity in Banking Organizations, BIS, Basel Committee on Banking Organization, Pebruari, 2000.
4. Sound Practices for the Management and Supervision of Operational Risk ,BIS , Basel Committee on banking Supervision , Pebruari 2003 /final paper
5. Risk Management Principles for Electronic Banking, BIS, Basel Committee On Banking Supervision , May , 2001
Jakarta, 27 Nopember 2009.
-------- ooo--------------
Counter
Mengenai Saya
- Z. D u n i l
- Saya kakek dari dua cucu yang cantik dan lucu.Saya suka lupa umur. tapi tentu tidak lupa kepada Yang Maha Kuasa. Sekali seminggu saya masih nyetir di pagi buta antara 30 s/d 50 km untuk bermain golf bersama teman hampir seusia. Inilah saat melupakan umur, berteriak, tertawa, berseloroh dan pulang dengan pikiran segar pada saat matahari sudah di ubun-ubun. Kegiatan lain yang membahagiakan adalah sekali sebulan pergi memancing. Kesenangan berlipat ganda apabila dua cucu yang centil itu ikut. Saya hampir 30 tahun bekerja di BDN , yaitu suatu Bank Pemerintah yang kini sudah di merger dengan 3 bank Pemerintah lainnya menjadi Bank Mandiri. Walaupun saya pernah memperoleh berbagai posisi dan jabatan dibank seperti Kepala Cabang pada beberapa cabang kecil , sedang dan cabang besar, Kepala Urusan Logistik, bahkan sebagai Direktur Utama pada anak Perusahaan BDN , namun jabatan yang paling berkesan adalah sebagai Kepala SKAI (Satuan Kerja Audit Intern)Bank,yg harus dipegang oleh seorang yang bisa dipercaya dan tidak boleh mudah percaya kepada orang lain.