Private & Confidential

Risk Management & Compliance Division

1
Definisi

Risiko Operasional adalah potensi kegagalan

perusahaan dalam memenuhi kewajibannya
sebagai akibat ketidaklayakan atau kegagalan
proses internal, manusia, sistem teknologi
informasi, dan/atau adanya kejadian-kejadian
yang berasal dari luar lingkungan perusahaan.

2
Kategori Penyebab

Proses Internal
Risiko yang timbul dari ketidakcukupan atau kegagalan
proses bisnis atau alur proses transaksi.

Contoh insiden:
 Kesalahan input data aplikasi calon konsumen pada sistem
 Proses KYC calon konsumen yang kurang memadai
 SOP yang tidak lengkap
 Tidak menjalankan proses dan kontrol sesuai dengan SOP
yang ada
 Dan lainnya

3
Kategori Penyebab

Manusia
Risiko yang ditimbulkan dari kegagalan karyawan dalam
berperilaku seperti yang diharapkan atau organisasi
yang tidak efektif/ pengelolaan sumber daya manusia
yang tidak efisien.

Contoh insiden:
 Tindakan fraud oleh karyawan
 Karyawan yang tidak berpengalaman
 Masalah pemutusan hubungan kerja
 Dan lainnya

4
Kategori Penyebab

Sistem Teknologi Informasi

Risiko yang timbul dari ketidakcukupan atau kegagalan
IT dan/ atau sistem komunikasi, atau ketidaktersediaan
data atau integritas data.
Contoh insiden:
 Ketidaktersediaan sistem kritikal bagi proses bisnis dan
operasional Perusahaan
 Kerusakan hardware/ software/ telekomunikasi yang
menyebabkan proses operasional tidak dapat berjalan
 Logic coding sistem yang salah
 Dan lainnya

5
Kategori Penyebab

Kejadian Eksternal
Risiko suatu peristiwa atau tindakan diluar kendali
Perusahaan yang memiliki dampak negatif terhadap
bisnis dan operasional.
Contoh insiden:
 Bencana alam, misalnya: gempa bumi, banjir, tsunami, tanah
longsor, dan lainnya
 Ancaman bom/teroris/kerusuhan
 Fraud eksternal
 Perampokan
 Pandemi
 Dan lainnya

6
Dampak

Dampak dari kegagalan memitigasi

risiko operasional bagi
Perusahaan:
 Kerugian finansial yang dapat menggerus profit
Perusahaan
 Risiko reputasi – reputasi menjadi buruk
 Risiko legal – tuntutan hukum terhadap Perusahaan
 Sanksi/teguran/denda dari regulator
 Yang pada akhirnya akan berpengaruh pada
kelangsungan bisnis Perusahaan.

7
Tata Kelola Manajemen Risiko Operasional

Three line of defense

8
Tata Kelola Manajemen Risiko Operasional

Penerapan manajemen risiko

seyogyanya menjadi tanggung
jawab semua pihak yang
terlibat dalam sebuah
organisasi perusahaan.
Manajemen Risiko hendaknya
bukan hanya menjadi tanggung
jawab dari unit manajemen
risiko saja. Prinsip inilah yang
menjadi dasar terlaksananya
three lines of defense dalam
manajemen risiko.

9
Tata Kelola Manajemen Risiko Operasional

Pada dasarnya setiap unit kerja memang

merupakan unit yang berhadapan langsung
dengan risiko, di mana setiap unit kerja
adalah yang memiliki pengetahuan
operasional secara langsung dan karenanya
memiliki pengetahuan terhadap potensi-
potensi risiko apa saja yang dapat muncul
dan dihadapi. Selain itu, setiap unit kerja juga
memiliki sekilas gambaran terhadap solusi-
solusi apa saja yang dapat
direkomendasikan. Karenanya setiap unit
kerja harus melaksanakan tugas dan
tanggung jawabnya dengan penuh kesadaran
akan adanya potensi risiko yang dapat
muncul. Dapat dilakukan dengan mematuhi
setiap ketentuan/prosedur yang berlaku.
10
Tata Kelola Manajemen Risiko Operasional

Fungsi manajemen risiko, merupakan fungsi

controlling dan monitoring risiko secara
keseluruhan atau penerapan enterprise risk
management. Fungsi controlling dan
monitoring ini termasuk diantaranya adalah
penetapan kebijakan manajemen risiko.
Selain itu fungsi controlling dan monitoring ini
juga termasuk diantaranya adalah sebagai
counterpart dari masing-masing unit kerja
untuk berkonsultasi mengenai implementasi
mitigasi dari risiko yang dihadapi oleh masing-
masing unit kerja.

11
Tata Kelola Manajemen Risiko Operasional

Audit internal yang bertujuan untuk

melakukan audit terhadap pelaksanaan
seluruh unit kerja. Dari hasil temuan audit,
ditemukan permasalahan atau adanya
indikasi terhadap penyimpangan dan
pelanggaran dari ketentuan perusahaan
ataupun peraturan yang berlaku.
Pelanggaran-pelanggaran tersebut selain
dicari upaya-upaya tindak lanjutnya, juga
akan dibuatkan data database pelanggaran
berikut dengan upaya-upaya solusi apa saja
yang dapat dilakukan. Database tersebut
akan menjadi referensi ataupun juga sebagai
yurisprudensi jika terjadi pelanggaran serupa.

12
Tata Kelola Manajemen Risiko Operasional

Operational Risk Coordinator (ORC) adalah kepanjangan tangan dari 2nd

line of defense bagi unit kerja 1st line guna dilatih secara khusus dan
berjenjang oleh Risk Management Department agar dapat memberikan advis
dan bantuan teknis dalam pelaksanaan proses manajemen risiko dan
implementasi perangkat operasional risk (ORM tools) pada unit kerja masing-
masing.

Struktur ORC:
KaDept mengusulkan satu orang bawahan kepada Direksi dengan diketahui
KaDiv dan Divisi Risk Management & Compliance untuk diangkat sebagai
Operational Risk Coordinator (ORC) bagi unit kerjanya. ORC rangkap
jabatan dengan BAU nya sehari-hari.

ORC untuk cabang berada pada level Area / FAD Area.

13
Tahapan Manajemen Risiko Operasional

Proses identifikasi risiko adalah langkah pertama dalam proses manajemen risiko. Proses
pertama ini melibatkan proses identifikasi, pemahaman dan pengkajian risiko yang melekat
pada semua produk, kegiatan dan inisiatif bisnis Perusahaan.
Menurut OJK ada 7 risiko perusahaan pembiayaan, yaitu: Risiko Strategis, Risiko
Operasional, Risiko Aset dan Liabilities, Risiko Kepengurusan, Risiko Tata Kelola, Risiko
Dukungan Dana (Permodalan), dan Risiko Pembiayaan.
Risiko emerging lainnya, yaitu Risiko IT seperti cyber crime, dan Risiko Informasi.

14
Perangkat Risiko Operasional (ORM Tools)

Risk & Control Self Assessment (RCSA) adalah proses berkesinambungan untuk
memfasilitasi penilaian risiko-risiko dan kontrol-kontrol secara terus menerus. Hasil dari
proses RCSA adalah profil risiko unit kerja yang akan dikonsolidasikan untuk membentuk
profil risiko Perusahaan secara keseluruhan. Unit kerja yang wajib menyusun RCSA
adalah unit kerja dalam tingkat lini pertahanan pertama (1st line of defense). Penilaian
RCSA akan dilakukan 2x dalam setahun, yaitu di bulan Januari dan Juli.

Key Risk Indicator (KRI) merupakan sebuah proses terstruktur untuk mengukur dan
memantau eskposur risiko yang tinggi atau ekstrim dalam operasional unit kerja dengan
cara menetapkan indicator yang berfungsi sebagai sinyal peringatan dini pada proses
utama. Frekuensi scoring KRI disesuaikan dengan kebutuhan, mis: bulanan, triwulanan.

15
Perangkat Risiko Operasional (ORM Tools)

Pelaporan Insiden Risiko Operasional

Insiden risiko operasional adalah kejadian yang terjadi berasal dari kegagalan
memitigasi risiko operasional.

Pelaporan seluruh insiden risiko operasional wajib dilakukan dengan akurat dan
dalam jangka waktu yang sudah ditentukan dengan mengirimkan informasi
kronologi/detail insiden, akar permasalahan/ penyebab, action plan/ tindakan
perbaikan, target date dan PIC ke email: insidenrisikooperasional@imfi.com

Pelaporan insiden dilakukan paling lambat 2 hari kerja setelah insiden

ditemukan/ teridentifikasi. . Pelaporan insiden dilakukan oleh unit kerja/ cabang
tempat insiden tersebut terjadi (inciden owner) atau dapat juga dilakukan oleh
Operational Risk Coordinator (ORC) unit kerjanya masing-masing.

16
ORM Tools - RCSA

Risk & Control Self Assessment (RCSA) merupakan alat (tool) untuk
mendapatkan penilaian risiko dan kontrol di seluruh Perusahaan.

Proses RCSA:

Risiko Kontrol Risiko

Inheren Residual

17
ORM Tools - RCSA

Inherent Risk
adalah risiko
bawaan/melekat
yang belum
dimitigasi
dengan kontrol.

18
ORM Tools - RCSA

19
Risk Assessment Matrix – Risiko Inheren

Penilaian
risiko inheren
ditentukan
oleh 2 faktor:
Impact &
Likelihood.

20
Risk Assessment Matrix – Risiko Inheren

21
Risk Assessment Matrix – Efektivitas Kontrol

Langkah berikutnya, melakukan assessment efektivitas kontrol yang ada. 2

faktor yang mempengaruhi adalah sifat kontrol dan jenis kontrol.

Kontrol yang bersifat otomatis dan prefentif (mencegah) memiliki tingkat

efektivitas yang lebih tinggi.

Yang diinginkan adalah kontrol dengan efektivitas tinggi sehingga dapat

memitigasi risiko inheren yang ada.

22
Risk Assessment Matrix – Risiko Residual

Risiko residual adalah risiko sisa setelah kontrol diterapkan. Dipengaruhi oleh 2
faktor, yaitu : Tingkat risiko inheren & Efektivitas kontrol.

Untuk proses dengan risiko residual yang masih berada pada level Medium dan
High, maka harus ditentukan action plan/ tindak lanjut untuk mengurangi level
risiko menjadi Low.

Action plan dapat berupa peningkatan efektivitas kontrol, mis: manual proses
dibuat menjadi otomatis, dll.

23
Risk Appetite

24
Risk Appetite - RCSA

Kesimpulan:

Seluruh upaya manajemen risiko adalah untuk menuju pada tingkat

risiko (risk appetite) Perusahaan, yaitu Low Risk.

Misalnya: suatu risiko dalam RCSA masih memiliki residual risk Medium
Risk atau High Risk, maka diperlukan action plan / tindak lanjut berupa
kontrol yang lebih efektif untuk mengarah kepada tingkat residual risk
Low Risk.

25
Pelaksanaan RCSA

RCSA akan disusun untuk tiap unit kerja / department dan cabang.

ORC akan melakukan assessment RCSA pada file excel RCSA masing-
masing unit kerja dan wajib disetujui oleh KaDept dan KaDiv
bersangkutan sebelum disampaikan kepada RM & Compliance Division
sesuai ketentuan jatuh tempo pelaporan.

26
Risiko adalah tanggung
jawab kita bersama !

27
28