1.

Definisi risiko operasional

Risiko operasional adalah risiko yang timbul karena tidak berfungsinya sistem internal yang
berlaku, kesalahan manusia, kegagalan sistem dan faktor eksternal seperti bencana alam, demontrasi
besar, dll. Sumber terjadinya risiko operasional paling luas dibanding risiko lainnya yakni selain bersumber
dari aktivitas di atas juga bersumber dari kegiatan operasional dan jasa, akuntansi, sistem tekhnologi
informasi, sistem informasi manajemen atau sistem pengelolaan sumber daya manusia. Secara umum,
risiko operasional terkait dengan sejumlah masalah yang berasal dari kegagalan suatu proses atau
prosedur. Risiko operasional merupakan risiko yang mempengaruhi semua kegiatan usaha karena
merupakan suatu hal yang inherent dalam pelaksanaan suatu proses atau aktivitas operasional. Risiko
tersebut disebut juga risiko yang inherent yaitu risiko yang muncul karena perusahaan menjalankan
bisnisnya. Namun adapun upaya perusahaan untuk mengelola dan menurunkan risiko operasional misalnya
seperti memperbaiki system, memberikan training terhadap karyawan, dll.
Basel II (lembaga yang mengatur perbankan internasional) mendefinisikan risiko operasional
sebagai risiko yang timbul karena kegagalan dari proses internal, manusia, sistem, atau dari kejadian
eksternal. Nampak bahwa definisi tersebut mencakup hal yang sangat luas. Tetapi pengelompokan
semacam itu bermanfaat karena bisa memberikan pengetahuan mengenai sumber-sumber dari risiko
operasional.
1.1 Kegagalan Proses Internal
Risiko kegagalan proses internal merupakan risiko yang berkaitan dengan kegagalan proses atau
prosedur internal organisasi. Beberapa contoh risiko tersebut adalah:
• Risiko yang diakibatkan kurang lengkapnya dokumentasi, atau dokumentasi yang salah.
• Kesalahan transaksi.
• Pengawasan yang kurang memadai (lihat diskusi mengenai Baring Bank di bawah ini).
• Pelaporan yang kurang memadai sehingga kepatuhan terhadap peraturan internal dan eksternal
tidak terpenuhi.

Baring Bank merupakan contoh yang menarik sebagai ilustrasi bagaimana kegagalan mengelola
risiko operasional akan mempunyai akibat yang serius terhadap organisasi. Kisah Baring Bank tersebut
menjadi cerita klasik yang selalu dibicarakan di kelas manajemen risiko. Kesalahan Baring Bank adalah
terlalu mempercayai salah seorang trader mereka yaitu Nick Leeson. Nick Leeson bisa mengerjakan dua
fungsi sekaligus yaitu fungsi front office (sebagai trader) dan fungsi back office (melakukan pencatatan
atas transaksinya). Ketika dia memperoleh keuntungan, dia akan mencatatkan keuntungan tersebut
Tetapi ketika ia mengalami kerugian dari perdagangannya, ia tentu saja tidak akan mencatat
kerugiannya. Akibatnya kerugian dari trading-nya tidak terawasi oleh bank, sampai akhirnya kerugiannya
mencapai sekitar $1,3 miliar. Dengan kerugian sebesar itu, praktis modal bank akan habis untuk menutup
kerugian tersebut. Bank sudah bangkrut dalam situasi tersebut. Karena ia melakukan perdagangan atas
nama bank, maka bank yang harus menanggung akibatnya. Salah satu kemungkinannya adalah karena
dia 'star trader'. Pada tahun tertentu, dia bisa memberikan keuntungan dari perdagangannya mencapai
sekitar 25% dari total keuntungan Baring Bank. Dengan situasi semacam itu banyak yang menganggap
bahwa dia adalah pahlawan yang penuh keberuntungan, dan melupakan risiko atau kemungkinan
kerugian dari transaksi perdagangannya, yang mempunyai risiko yang sangat tinggi.

1.2 Risiko Kegagalan Mengelola Manusia (Karyawan)

Karyawan merupakan aset penting bagi perusahaan, tetapi juga merupakan sumber risiko
operasional bagi perusahaan. Risiko dari karyawan tersebut akan terjadi baik secara sengaja maupun
tidak sengaja. Contoh transaksi yang salah di bank , UBS Warburg merupakan contoh kesalahan yang
 tidak disengaja. Contoh kesalahan yang disengaja adalah penggelapan kas perusahaan, atau kasus
pembobolan bank yang dilakukan dengan melibatkan karyawan internal. Risiko manusia tersebut
mencakup semua elemen organisasi. Sebagai contoh, risiko kesalahan transaksi mencakup wilayah
operasional, sistem, pengawasan, lainnya. Risiko penggelapan uang perusahaan setidaknya mencakup
wilayah sistem pengawasan (departemen akuntansi), prosed ur operasional, kualifikasi karyawan yang
kurang (moral yang tidak baik).
Beberapa contoh risiko operasional yang berkaitan atau bersumber dari manusia adalah:
• Kecelakaan kerja, khususnya kecelakaan kerja karena kecerobohan atau kurang pengalaman dari
karyawan.
• Terlalu tergantung pada karyawan kunci tertentu, sehingga jika karyawan tersebut meninggal atau
berpindah kerja, perusahaan menghadapi masalah.
• Integritas karyawan yang kurang, sehingga karyawan tersebut bisa menggelapkan uang perusahaan,
atau melakukan aktivitas yang berada di luar wilayah otoritasnya.

Risiko manusia tersebut mengharuskan perusahaan untuk mempunyai karyawan yang

mempunyai kualifikasi, pengalaman, dan integritas yang diperlukan.

1.3 Risiko Sistem

Sistem teknologi bisa memberikan kontribusi yang signifikan bagi organisasi, di lain pihak,
sistem tersebut akan memunculkan risiko baru bagi organisasi. Jika perusahaan terlalu tergantung pada
sistem komputer, misal, maka risiko yang berkaitan dengan kerusakan komputer akan semakin tinggi.
Beberapa risiko yang muncul berkaitan dengan sistem adalah:
• Kerusakan data.
• Kesalahan pemrograman.
• Sistem keamanan yang kurang baik (misal, bisa dimasuki oleh hacker).
• Penggunaan teknologi yang belum teruji.
• Terlalu mengandalkan model tertentu untuk keputusan bisnis.

1.1.4 Risiko Eksternal

Risiko eksternal berkaitan dengan kejadian yang bersumber dari luar organisasi, dan di luar
pengendalian organisasi. Kejadian semacam itu biasanya jarang terjadi, tetapi mempunyai dampak yang
cukup besar (frekuensi rendah/ severity tinggi) Beberapa contoh risiko eksternal adalah perampokan,
serangan teroris, bencana alam.

2 Pengukuran Risiko Operasional

Salah satu teknik untuk mengukur risiko operasional adalah dengan menggunakan dua klasifikasi
berikut ini.
1. Frekuensi atau probabilitas terjadinya risiko
2. Tingkat keseriusan kerugian atau impact dari risiko tersebut.

Dengan menggunakan dua dimensi tersebut, kita bisa membuat matriks frekuensi/ tingkat
keseriusan untuk risiko-risiko yang ada, termasuk risiko operasional. Berikut ini contoh aplikasi matriks
tersebut untuk risiko gagal bayar (default) dan kesalahan pemrosesan transaksi.
 Bagan 11.1 di bawah ini menunjukkan matriks dengan dimensi frekuensi di sumbu horisontal dan
dimensi severity pada sumbu vertikal. Risiko-risiko bisa diklasifikasikan berdasarkan dimensi-dimensi
tersebut. Sebagai contoh, risiko gagal bayar dari debitur perusahaan biasanya jarang terjadi. Karena itu risiko
tersebut diklasifikasikan sebagai risiko dengan frekuensi rendah. Tetapi jika terjadi, kerugian yang timbul bisa
sangat besar. Karena itu risiko tersebut diklasifikasikan dengan severity tinggi. Gabungan antara frekuensi
rendah dengan severity tinggi terlihat pada titik C pada bagan di atas. Sebaliknya, kesalahan pemrosesan
atau kesalahan pencatatan transaksi akan sering terjadi (apalagi jika proses pencatatan masih secara
manual). Tetapi tingkat severity dari kesalahan tersebut tidak terlalu tinggi. Karena itu risiko kesalahan
pemrosesan berada pada titik A. Dengan proses semacam itu, kita bisa memperoleh gambaran mengenai
frekuensi dan severity dari suatu risiko, yang selanjutnya mempunyai implikasi pada bagaimana mengelola
risiko tersebut. Sebagai contoh, berikut ini strategi menghadapi risiko berdasarkan matriks severity
(significance)/frekuensi (likelihood) (lihat Bagan 11.2).
Bagan 11.1.

Matriks Severity dan Frekuensi untuk Risiko Gagal Bayar dan Kesalahan Pemrosesan

Perhatikan bahwa matriks likelihood (frekuensi) dan signifikansi (severity) dikelompokkan ke dalam
empat kuadran, yaitu:
1. Signifikansi (severity) rendah dan likelihood (frekuensi) rendah
2. Signifikansi (severity) tinggi dan likelihood (frekuensi) rendah
3. Signifikansi (severity) rendah dan likelihood (frekuensi) tinggi
4. Signifikansi (severity) tinggi dan likelihood (frekuensi) tinggi

Penentuan tinggi rendah severity atau frekuensi bisa dilakukan melalui berbagai cara. Sebagai
contoh, severity atau frekuensi yang lebih besar dibandingkan median atau rata-rata dari risiko yang ada
(dalam daftar) dikelompokkan ke dalam severity atau frekuensi tinggi, dan sebaliknya. Penentuan tinggi
rendah tersebut bisa dilakukan melalui perhitungan angka absolut atau bisa melalui survei terhadap manajer-
manajer perusahaan.
Bagan 11.2.

Strategi Menghadapi Risiko Berdasarkan Matriks Severity / Frekuensi

Melalui pertanyaan-pertanyaan seperti itu teridentifikasi letak masing-masing risiko berdasarkan

dimensi signifikansi dan kemungkinan. Selanjutnya, strategi yang tepat bisa dirumuskan untuk mengelola
risiko tersebut.
1. Signifikansi (severity) rendah dan likelihood (frekuensi) rendah: low control, Perusahaan bisa
menerapkan pengawasan yang rendah terhadap risiko pada kategori ini. Pengawasan yang terlalu
berlebihan pada jenis risiko ini menimbulkan biaya yang lebih besar dibandingkan manfaatnya, sehingga
akan lebih optimal jika bank tidak perlu melakukan pengawasan yang berlebihan.
2. Signifikansi (severity) tinggi dan likeWiood (frekuensi) rendah: detect and monitor, Tipe risiko seperti ini
lebih 'menantang' untuk dihadapi. Jika risiko seperti ini muncul, perusahaan bisa mengalami kerugian
yang cukup besar, dan barangkali bisa mengakibatkan kebangkrutan. Tetapi frekuensi risiko tersebut
reiatif jarang, sehingga tidak mudah ditemui atau dikenali oleh bank. Karena itu risiko tipe ini paling sulit
dipahami karakteristiknya, dan sulit diprediksi kapan datangnya. Sebagai contoh, Baring gagal
melakukan pengawasan terhadap trading yang di luar batas oleh salah seorang trader-nya, kemudian
terjadi kerugian yang mengakibatkan kebangkrutan bank tersebut. Frekuensi risiko semacam itu relatif
jarang ditemui.
 3. Signifikansi (severity) rendah dan likelihood (frekuensi) tinggi: monitor
Tipe risiko semacam !ni sering muncul tetapi besarnya kerugian relatif kecil. Biasanya risiko semacam ini
muncul sebagai akibat perusahaan menjalankan bisnisnya. Dengan kata lain, risiko semacam ini
merupakan konsekuensi perusahaan menjalankan bisnisnya. Sebagai contoh, untuk perusahaan
supermarket, ada risiko shoplifting (pencurian oleh nasabah), pencurian oleh karyawan, barang
dagangan rusak karena busuk atau karena botol pecah. Risiko semacam itu lebih mudah dikenal, dan
perusahaan bisa menghitung risiko tersebut. Kemudian perusahaan bisa menganggapnya sebagai biaya
dari kegiatan bisnis (cost of doing business), dan perusahaan bisa memasukkannya ke dalam komponen
harga. Kebanyakan perusahaan memasukkan biaya seperti itu ke dalam struktur harga mereka.
Perusahaan bisa memonitor risiko-risiko tersebut untuk memastikan bahwa risiko tersebut masih berada
pada wilayah 'normal'. Jika risiko tersebut bergerak melebihi batas tertentu, maka perusahaan perlu
melakukan tindakan untuk menangani risiko tersebut Sebagai contoh, jika frekuensi pencurian oleh
nasabah supermarket menunjukkan kecenderungan meningkat, maka manajer perlu melakukan
perbaikan. Perbaikan-perbaikan tersebut pada intinya memperbaiki prosedur dan proses bisnis. Sebagai
contoh, dalam kasus pencurian di atas, manajer supermarket bisa meminta nasabah untuk meninggalkan
tas, memasang kamera di supermarketnya, memasang barcode pada setiap produk yang dipajang
(sehingga jika tidak dilepas dan melewati tiang seamier akan berbunyi).

4. Signifikansi (severity) tinggi dan likelihood (frekuensi) tinggi: prevent at source, Tipe risiko ini praktis tidak
relevan lagi dibicarakan, karena jika situasi semacam ini terjadi, berarti perusahaan tidak lagi bisa
mengendalikan risiko, dan bisa berakibat pada kebangkrutan. Sebagai contoh, jika suatu perusahaan
tidak bisa mengendalikan risiko penggelapan uang dalam jumlah besar oleh karyawannya (tipe risiko ini
berada dalam kuadran frekuensi rendah/ Signifikansi tinggi), maka ada kemungkinan risiko ini berubah
menuju kuadran frekuensi tinggi/Signifikansi tinggi. Jika hal tersebut terjadi, maka perusahaan praktis
akan bangkrut dalam waktu singkat. Dengan perspektif semacam itu, maka tugas manajemen risiko
adalah mencegah migrasinya risiko-risiko yang ada ke dalam kuadran frekuensi tinggi/signifikansi tinggi.

Bagan 11.3.
Strategi Menghadapi Risiko Berdasarkan Matriks Frekuensi / Severity

Strategi untuk menghadapi risiko untuk wilayah-wilayah tersebut adalah seperti berikut ini.
1. Wilayah 1.
Severity tinggi dan frekuensi tinggi: immediate action. Untuk wilayah ini, perusahaan harus melakukan
penanganan yang agresif dan segera (immediate action).
2. Wilayah 2.
Severity tinggi dan frekuensi agak tinggi: immediate attention Untuk wilayah ini, perusahaan harus segera
mengawasi risiko ini (immediate attention).
3. Wilayah 3.
Severity agak tinggi dan frekuensi agak tinggi: periodic attention Untuk wilayah ini, perusahaan bisa
melakukan pengawasan secara berkala (periodic attention).
4. Wilayah 4.
Severity rendah dan frekuensi rendah: annual evaluation
Untuk wilayah ini, perusahaan bisa lebih longgar, yaitu melakukan pengawasan dengan jangka waktu
panjang, misal tahunan.
Aspek dinamika risiko juga perlu diperhatikan. Risiko bisa berubah dari wilayah 4 ke wilayah lainnya,
misal ke wilayah 2. Sebagai contoh, risiko tuntutan hukum barangkali tidak begitu kelihatan di masa lalu.
Tetapi dengan semakin sadarnya masyarakat akan hak dan kewajibannya, risiko tersebut bisa berubah
menjadi semakin penting.

1.4 Perubahan Karakteristik Risiko Operasional

Risiko operasional dan risiko lainnya bisa berubah karakteristiknya dari waktu ke waktu. Sebagai
contoh, di zaman dulu, pencatatan transaksi dilakukan secara manual (misal karyawan menuliskan harga dan
jumlah unit yang diperdagangkan di kertas). Cara semacam itu memunculkan risiko kesalahan pencatatan
 melalui karyawan yang kecapaian, sehingga mencatat angka yang salah. Frekuensi kesalahan tersebut
cukup sering, karena karyawan sering lelah (misal pada waktu sore hari). Tetapi kesalahan tersebut biasanya
mengakibatkan kerugian yang relatif kecil (misal, seharusnya mencatat Rp. 11.000, tetapi dicatat Rp. 10.000,
sehingga ada selisih sebesar Rp. 1.000).
Cara manual semacam itu sekarang sudah banyak diganti dengan pencatatan terkomputerisasi.
Pencatatan semacam itu akan menghilangkan kesalahan pencatatan karena kecapaian, karena sistem
komputer tidak akan mengalami kelelahan. Frekuensi kesalahan dengan demikian bisa diturunkan. Tetapi
muncul jenis risiko yang baru. Jika terjadi kegagalan atau kelemahan pada sistem komputer tersebut, maka
kerugian yang muncul akan sangat besar. Sebagai contoh, serangan virus terhadap sistem komputer, atau
pembobolan terhadap sistem komputer perusahaan mempunyai frekuensi yang relatif rendah. Tetapi jika hal
tersebut terjadi, kerugian yang timbul akan cukup besar. Ilustrasi tersebut menunjukkan bahwa karakteristik
risiko operasional berubah dari frekuensi tinggi/signifikansi rendah menjadi frekuensi rendah/signifikansi
tinggi, seperti terlihat pada bagan berikut ini.

Bagan 11.7.

Perubahan Karakteristik Risiko Operasional

Signifikansi Signifikansi
Tinggi Tinggi
Frekuensi Frekuensi
Rendah Tinggi

Signifikansi Signifikansi
Tinggi Tinggi
Frekuensi Frekuensi
Rendah Tinggi
 Beberapa faktor yang bisa menyebabkan perubahan karakteristik semacam itu adalah globalisasi,
otomatisasi, terlalu mengandalkan teknologi, yang akan dibicarakan berikut ini.

1.4.1 Globalisasi
Globalisasi keuangan di dunia didorong oleh liberalisasi ekonomi dunia. Liberalisasi berarti
penghilangan pembatasanpembatasan aliran modal. Sebagai contoh, Indonesia melakukan liberalisasi di
pasar modal sejak tahun 1989, ketika investor asing bisa membeli saham di pasar modal sampai
maksimal 49% dari jumlah saham yang beredar. Pada tahun 1997, liberalisasi tersebut dilanjutkan lebih
jauh dengan membolehkan investor asing membeli saham di Bursa Efek Jakarta sampai dengan 100%.
Efek liberalisasi seperti itu mendorong globalisasi ekonomi dan keuangan dunia. Kejadian penting di
suatu negara akan dengan cepat mempengaruhi negara lainnya. Dunia menjadi terasa semakin kecil.
Istilah dunia sebagai desa kecil (small village) muncul untuk menggambarkan kondisi semacam itu.
Kondisi semacam itu cenderung meningkatkan risiko, seperti terlihat pada semakin
meningkatnya volatilitas pergerakan harga atau nilai-nilai instrumen keuangan/komoditas. Globalisasi
juga semakin meningkatkan frekuensi dan severity (signifikansi) dari suatu risiko, karena kejadian di
suatu negara akan cepat merembet ke negara lain karena pembatasan-pembatasan sudah jauh
berkurang. Modal bisa berputar lebih cepat. Kecepatan aliran modal seperti itu juga membuat
perusahaan mempunyai waktu yang lebih sedikit untuk menyelesaikan masalah yang muncul. Terlambat
mengantisipasi risiko tersebut akan berakibat serius bagi perusahaan.

1.4.2 Otomatisasi
Dengan semakin berkembangnya teknologi komputer, perusahaan semakin lama semakin
mengandalkan teknologi komputer untuk melakukan banyak hal, termasuk mengotomatisasi transaksi.
Sebagai contoh, perusahaan menggunakan komputer untuk mencatat transaksi (tidak banyak
menggunakan tenaga manusia untuk mencatat transaksi); bank menggunakan ATM (Automatic Teller
Machine) sehingga nasabah bank bisa bertransaksi praktis 24 jam satu hari.
Otomatisasi semacam itu menurunkan risiko yang berkaitan dengan manusia (misal kesalahan
pencatatan karena kelelahan).
Tetapi otomatisasi semacam itu memunculkan risiko baru yaitu risiko kegagalan sistem dan
semacamnya. Risiko baru semacam itu cenderung lebih sulit dideteksi dan jika terjadi, kerugian yang
dialami oleh perusahaan cukup signifikan. Risiko akan cenderung terakumulasi dan baru terdeteksi jika
jumlah kerugian mencapai angka yang besar.

1.4.3 Terlalu Mengandalkan Teknologi

Kemajuan teknologi memungkinkan organisasi melakukan banyak hal, seperti membantu
membuat basis data, membantu perhitungan harga instrumen keuangan (bahkan instrumen keuangan
yang sangat kompleks). Di satu sisi, teknologi semacam itu bisa membantu proses bisnis menjadi lebih
cepat, lebih andal. Tetapi di lain pihak, situasi tersebut memunculkan risiko baru. Sebagai contoh, modal
perhitungan melalui komputer tidak selamanya tepat. Jika terjadi kesalahan perhitungan semacam itu,
kerugian yang timbul bisa sangat besar. Contoh lain, jika perusahaan menggunakan komputer untuk
memelihara basis datanya, kemudian terjadi serangan virus atau serangan bom yang menghancurkan
komputer mereka, maka kerugian yang bisa timbul akan cukup signifikan. Ilustrasi berikut ini memberikan
contoh bagaimana terlalu mengandalkan teknologi bisa mempunyai konsekuensi negatif bagi
perusahaan.
1.4.4 Outsourcing
Outsourcing merupakan tren bisnis akhir-akhir ini. Outsourcing berarti menggunakan jasa pihak
luar untuk mengerjakan sebagian dan pekerjaan perusahaan. Sebagai contoh perusahaan menggunakan
program komputer yang dibuat oleh perusahaan lain. Outsourcing dilakukan dengan pertimbangan
efisiensi (bisa menurunkan biaya). Jika melakukan pekerjaan sendiri, karena sesuatu hal (misal keahlian
yang tidak ada atau skala ekonomi yang kurang), bagi perusahaan, akan lebih menguntungkan jika
menggunakan jasa dari pihak luar untuk pekerjaan tertentu.
Tetapi outsourcing memunculkan risiko baru. Perusahaan menyerahkan kendali atas
pekerjaannya kepada pihak luar. Jika pekerjaan tersebut merupakan hal yang penting, dan pihak luar
tersebut tidak memberikan produk atau pelayanan yang sesuai dengan spesifikasi perusahaan, maka
perusahaan menghadapi risiko bahwa pelayanan atau produk yang diberikan akan berada di bawah
standar yang ditentukan.

1.4.5 Perubahan Budaya Masyarakat

Masyarakat semakin lama semakin pandai, semakin sadar akan hak dan kewajibannya.
Kesadaran semacam itu cenderung meningkatkan risiko litigasi, di mana masyarakat akan berusaha
menuntut perusahaan jika dia merasa dirugikan, jika perusahaan tidak berhati-hati, perusahaan bisa kena
gugatan semacam itu, dan jika kalah, kerugian yang dialami perusahaan bisa cukup signifikan.
Perubahan budaya masyarakat tersebut bisa meningkatkan risiko