04 (Bank CIMB Niaga) BARA - MMRO (9jun22) - 220609 - 095244
04 (Bank CIMB Niaga) BARA - MMRO (9jun22) - 220609 - 095244
Infrastruktur Basel III 02 Kerugian Risiko Operasional, Sistem Informasi Manajemen Risiko
Operasional, Assurance Process
Road Map dan Implementasi RoadMap Implementasi Checklist, Hal hal lain yang perlu diperhatikan
03 dalam MMRO, Sharing Quantitative Impact Study
3
Table of Contents
Infrastruktur Basel III 02 Kerugian Risiko Operasional, Sistem Informasi Manajemen Risiko
Operasional, Assurance Process
Road Map dan Implementasi RoadMap Implementasi Checklist, Hal hal lain yang perlu diperhatikan
03 dalam MMRO, Sharing Quantitative Impact Study
Pengenalan Basel II Framework
Untuk Risiko Operasional
Pendekatan Standar
MMRO dihitung berdasarkan Komponen
Indikator Bisnis (KIB) dan Faktor Pengali
Kerugian Internal (FPKI)
Komponen Bunga, Sewa, Min (|Pendapatan Bunga – Beban Bunga| ; 0.25% X Aset Produktif)
Dividen (KBSD)
+ Pendapatan Deviden
+ Dihitung
Komponen Jasa (KJ) Max (|Pendapatan Operasional Lainnya ; Beban Operasional Lainnya) berdasarkan
rata-rata
+ Max (Pendapatan Non Bunga ; Biaya Non Bunga) nilai 3 tahun
+
Komponen Keuangan |Laba Rugi Bersih Posisi Trading Book| +
(KK) |Laba Rugi Bersih Posisi Banking Book)
6
Pokok-Pokok Pengaturan
SE OJK.03/2020 – Perhitungan ATMR Menggunakan Pendekatan Standar
7
Pokok-Pokok Pengaturan
SE OJK.03/2020 – Perhitungan ATMR Menggunakan Pendekatan Standar
FPKI adalah pengalaman kerugian operasional Bank pada tahun-tahun sebelumnya yang mempengaruhi perhitungan MMRO
8
Pokok-Pokok Pengaturan
SE OJK.03/2020 – Perhitungan ATMR Menggunakan Pendekatan Standar
0,8
FPKI = Ln exp(1) – 1 + KKRO
KIB KKRO yang dipakai wajib
memenuhi kriteria:
1 Kriteria Umum
2 Kriteria Khusus
• Periode data 10 tahun, tahap awal dapat 5 tahun • Bank identifikasi dan menentapkan jumlah kerugian
• Data kerugian yang paling relevan: terkait langsung bruto, recovery, reference date / GL date, dan kerugian
dengan aktifitas Bank, proses teknologi, prosedur yang telah dikelompokkan
manajemen risiko • Tata cara yang jelas untuk perhitungan kerugian bruto,
• Kaji ulang independent oleh Audit Internal dan/atau recovery, dan nilai netto
Eksternal • Menggunakan tanggal akuntasi sebagai dasar
• Data Komprehensif mencakup seluruh aktifitas dan menetapkan data kerugian.
eksposur Untuk kejadian hukum, tanggal akuntasi saat tanggal
• Batasan minimum loss event Rp 300 Juta – nilai gross dilakukan pencadangan kejadian hukumyang akan
(Bucket IB 1) atau Rp 1,5 Milyar - nilai gross (Bucket IB 2 dihitung dalam laba rugi.
& 3)
• Menentukan tanggal (kejadian, penemuan, akuntasi) &
nilai recovery, penyebab loss event
9
10
Table of Contents
Infrastruktur Basel III 02 Kerugian Risiko Operasional, Sistem Informasi Manajemen Risiko
Operasional, Assurance Process
Road Map dan Implementasi RoadMap Implementasi Checklist, Hal hal lain yang perlu diperhatikan
03 dalam MMRO, Sharing Quantitative Impact Study
11
Operational Risk Management Framework
Internal
Control IT Risk
Highly Confidential
Manajemen Kejadian Kerugian Risiko Operasional 13
Definisi
“Kejadianrisikooperasionaladalahkejadianyang disebabkanolehketidakcukupanataukegagalanproses, manusia, sistem, ataukejadianeksternal”
JenisKejadian
ISTILAH DEFINISI CATATAN CONTOH
Kejadian risiko operasional yang mengakibatkan Kerugian dikarenakan keputusan strategis tidak Selisih Kas di Teller atau kompensasi yang
LOSS EVENT atau berpotensi mengakibatkan kerugian dikategorikan sebagai kejadian risiko operasional dan dibayarkan kepada nasabah atas trading
finansial baik langsung maupun tidak langsung tidak perlu dicatat. yang disebabkan oleh kesalahan yang
terhadap Bank. dilakukan oleh dealer.
NEAR MISS Kejadian risiko operasional dimana dampak Kejadian yang tergolong near miss dan tidak Upaya pembobolan Bank melalui cheque
kerugian dapat dicegah karena adanya tindakan mengakibatkan dampak negatif bagi Bank ini dapat palsu tetapi dapat dicegah;
EVENT
kontrol dan mitigasi serta tidak berdampak berupa percobaan perampokan, pencurian, cyber threat Percobaan internal fraud
negatif bagi Bank. dan fraud (terkait pembayaran).
BOUNDARY Kerugian risiko operasional atau near miss yang Boundary Event harus dicatat sebagai Loss Event dengan Pinjaman yang diberikan Bank menjadi Non
terjadi di risiko kredit atau risiko pasar, tetapi total jumlah kerugian secara keseluruhan atau parsial Performing Loan (NPL) dan setelah dianalisa
EVENT disebabkan (atau sebagian) oleh kegagalan dikarenakan kegagalan operasional. Market Risk lebih lanjut terdapat kegagalan proses atau
operasional. boundary event harus dicatat sebagai kejadian risiko kontrol internal.
operasional dengan nilai kerugian yang relevan.
ESTIMATED Kejadian risiko operasional yang telah terjadi Digunakan bilamana jumlah kerugian belum dapat Potensi denda regulator dimana kesalahan
EVENT namun nilai pasti dari kerugian tersebut belum dipastikan, atau adanya tambahan kerugian untuk belum/tidak secara formal diinformasikan
bisa ditentukan. kejadian yang sama pada masa datang. oleh regulator
Catatan:
Juga mempertimbangkan Opportunity Loss Event dan Timing Difference Event.
• Opportunity loss: Kejadian risiko operasional yang mengakibatkan kerugian pada potensi bisnis atau pendapatan finansial di masa yang akan datang.
• Time Difference event: Kejadian risiko operasional yang tidak menyebabkan actual loss namun menyebabkan revisi pada financial accounts
Dampak Kejadian Kerugian Risiko Operasional 14
Jenis Dampak
“Dampak diklasifikasikan menjadi 7 jenis dengan tingkatan mulai dari insignificant, low, medium, high, dan critical yang
digunakan untuk menentukan apakah proses eskalasi dan analisa akar penyebab dibutuhkan”
Kategori ini digunakan untuk menilai Kategori ini digunakan untuk Kategori ini digunakan untuk Kategori ini digunakan untuk
dampak terhadap: menilai dampak terhadap nasabah, menilai dampak terhadap reputasi menilai dampak karena
o Performa Finansial termasuk kegagalan sistem, Bank, khususnya untuk cakupan pelanggaran peraturan atau hukum
o Pencadangan Modal bangunan/fasilitas, dan media tradisional dan media sosial yang berlaku, termasuk insititusi
o Posisi Keuangan ketidakmampuan staff (tidak lain yang mengatur usaha bank
o ATMR
kompeten)
Kriteria ini digunakan untuk menilai Kategori ini digunakan untuk Kategori ini digunakan untuk
dampak terhadap keselamatan dan menilai dampak atas menilai dampak terhadap
kesehatan karyawan dan pihak ketidakpatuhan terhadap prinsip ketersediaan dan performa sistem.
ketiga lainnya (seperti nasabah, Syariah yang sudah ditetapkan oleh
vendor) ketika berada dalam Komite Syariah atau Institusi yang
wilayah Bank mengatur bisnis syariah
Dampak Kejadian Kerugian Risiko Operasional 15
Matriks Klasifikasi Dampak (1/3)
ESKALASI ANALISA AKAR PENYEBAB
Kejadian risiko operasional dengan dampak Critical, High & Medium Financial Pencatatan kejadian secara transparan atas suatu kelemahan atau kesalahan
dalam waktu 24 hours sejak teridentifikasi harus dieskalasikan kepada Presiden yang ada sehingga menjadi pembelajaran dengan cara menginvestigasi dan
Direktur, Direktur terkait, Direktur Risk Management, Direktur Compliance, mengidentifikasi tindakan-tindakan untuk menutup risiko yang ada.
Direktur Human Resources, Internal Audit dan ORM
NASABAH Dampak negatif (negative Dampak negatif (negative Dampak negatif (negative Dampak negatif (negative Dampak negatif (negative
experience) terhadap nasabah experience) terhadap nasabah experience) terhadap nasabah experience) terhadap nasabah experience) terhadap nasabah
Bank segmen atau channel Bank segmen atau channel Bank segmen atau channel Bank segmen atau channel Bank segmen atau channel
tertentu dari sisi jumlah nasabah tertentu dari sisi jumlah tertentu dari sisi jumlah tertentu dari sisi jumlah nasabah tertentu dari sisi jumlah
atau transaksi sebagai berikut: nasabah atau transaksi sebagai nasabah atau transaksi sebagai atau transaksi sebagai berikut: nasabah atau transaksi
o ≥ 20.000 nasabah atau berikut: berikut: o 200 – 999 nasabah atau sebagai berikut:
o ≥ 40.000 transaksi. o 5000 – 19.999 nasabah atau o 1000 – 4999 nasabah atau o ≤ 1999 transaksi. o < 200 nasabah
o 10.000 – 39.999 transaksi. o 2000 – 9999 transaksi.
Dampak Kejadian Kerugian Risiko Operasional 16
Matriks Klasifikasi Dampak (2/3)
Rating Critical High Medium Low Insignificant
REPUTASI Adanya publikasi media yang Adanya publikasi media yang Adanya publikasi media yang Adanya tanggapan/ komentar Komentar negatif yang tidak
bersifat negatif, cakupannya luas bersifat negatif, cakupannya bersifat negatif di media yang bersifat negatif di media memenuhi kriteria/batasan
atau berulang di beberapa luas atau berulang di media nasional di suatu negara lokal atau ke unit/bagian tertentu “Low”
negara nasional di suatu negara dari Bank di satu negara
REGULATOR Pelanggaran peraturan yang Pelanggaran yang Pelanggaran peraturan yang Pelanggaran peraturan yang Pelanggaran peraturan yang
menyebabkan penangguhan menyebabkan adanya menyebabkan adanya surat menyebabkan adanya peringatan menyebabkan dampak kecil
usaha bank, penahanan peringatan berulang untuk peringatan atau denda yang atau denda yang mencapai limit atau tidak berdampak sama
karyawan, atau denda yang penangguhan usaha bank atau mencapai limit yang sudah yang sudah ditetapkan sekali
mencapai limit yang sudah denda yang mencapai limit ditetapkan
ditetapkan yang sudah ditetapkan
ORANG Cidera yang signifikan atau Cidera yang menyebabkan Cidera yang menyebabkan Tidak ada cidera atau luka kecil Tidak ada cidera terhadap
kematian terhadap karyawan karyawan atau pihak ketiga karyawan atau pihak ketiga terhadap karyawan atau pihak karyawan atau pihak ketiga
atau pihak ketiga harus menjalani rawat inap di harus menjalani rawat jalan di ketiga harus menjalani rawat jalan harus menjalani rawat jalan di
rumah sakit rumah sakit di rumah sakit rumah sakit
KETIDAKPATU- Pelanggaran yang menyebabkan Pelanggaran Yang Pelanggaran yang Pelanggaran yang menyebabkan Pelanggaran terhadap prinsip
HAN TERHADAP penangguhan bisnis syariah, menyebabkan adanya menyebabkan adanya surat adanya peringatan atau denda Syariah yang menyebabkan
PRINSIP penahanan karyawan, atau peringatan untuk penangguhan peringatan atau denda yang yang mencapai limit yang sudah dampak kecil atau tidak
SYARIAH denda yang mencapai limit yang usaha bank atau denda yang mencapai limit yang sudah ditetapkan berdampak sama sekali
sudah ditetapkan mencapai limit yang sudah ditetapkan
ditetapkan
Dampak Kejadian Kerugian Risiko Operasional 17
Matriks Klasifikasi Dampak (3/3)
Rating Critical High Medium Low Insignificant
PERFORMA Service Hours Service Hours Service atas system yang Service atas system yang tergolong NA
SISTEM Business Critical Channel atau Business Critical Channel atau tergolong Very Important Necessary dan Others degraded.
Business Critical Functions untuk Business Critical Functions degraded atau Important Service Single User issue.
External Customer Facing tidak degraded. down. Channels:
berfungsi dan tidak memenuhi SLA atau Channels: I. ≤ 30 of SST (ATM & CDM) tidak
Business dan Regulatory Very Important Service down. I. > 30 - ≤ 300 of SST berfungsi atau servis menurun
Channels: Off Service Hours (ATM&CDM) tidak berfungsi II. ≤ 5000 terminal merchant tidak
I. > 800 of SST (ATM & CDM) Business Critical Service atau Very atau servis menurun. berfungsi
tidak berfungsi atau Important Service untuk External II. ≥1 - ≤ 50 cabang tidak
nationwide outage Customer Facing system down berfungsi
II. > 100 cabang tidak berfungsi atau critical functions tidak III. > 5000 - ≤ 10.000 terminal
atau nationwide outage berfungsi. merchant tidak berfungsi
III. > 20.000 terminal merchant Channels:
tidak berfungsi atau I. > 300 - ≤ 800 atau SST
nationwide outage (ATM & CDM) tidak
berfungsi
II. > 50 - ≤ 100 cabang tidak
berfungsi
III. > 10.000 - ≤ 20.000
terminal merchant tidak
berfungsi
Membangun Clear Accountability (Tugas dan Tanggung Jawab) 18
Role Sharing
Kejadian melibatkan lebih dari 1 unit, maka
i. Setiap karyawan (baik di Business maupun iv. unit yang melakukan pelaporan adalah unit
Support Function) bertanggung jawab untuk yang memiliki kontribusi terbesar dalam
melaporkan kejadian risiko operasional segera menyebabkan terjadinya kejadian. Bila terjadi
setelah mengidentifikasi dan menemukan ketidak sepakatan, maka keputusan diambil
suatu kejadian risiko operasional. melalui diskusi yang difasilitasi oleh ORM.
All Staffs
Identifikasi kejadian risiko Kejadian risiko operasional adalah suatu kejadian yang
operasional terjadi karena ketidakcukupan atau kegagalan proses,
Informasikan ke HOD dan manusia, sistem, atau kejadian eksternal.
RCU/DCORO
Yes
Catatan :
Agar tidak mencantumkan data yang bersifat HOD = Head of Department or Director – 1
sensitive/rahasia RCU = Risk Control Unit
20
Confidential
Pelaporan Bulk Event 21
Kriteria yang Harus Diperhatikan
1 2 3 4
Kejadian yang Jika ada bulk events lainnya, Apabila terdapat nilai Bulk Events harus dicatat
dikategorikan kejadian bulk tetapi ingin dilaporkan kejadian dalam bulk ke dalam Sistem Informasi
events adalah kejadian sebagai bulk events, maka events yang memiliki Manajemen Risiko
yang bersifat frequently dapat meminta konsen ke dampak finansial Operasional dalam periode
basis – kejadian serupa ORM terkait dengan dengan Critical/High/ Medium maksimal 3 hari kerja
yang terjadi setiap bulan. jenis kejadian yang akan agar dilaporkan terpisah setelah akhir bulan yang
dimasukkan sebagai bulk untuk laporan investigasi mencakup seluruh
Misalnya Credit Card Fraud, events. lebih lanjut (root cause kejadian yang terjadi di
ATM Skimming dan Selisih analysis). bulan pelaporan terkait.
ATM dan Kas.
Analisa Akar Penyebab 22
Root Cause Analysis
1. EVENT DESCRIPTION
(i) date event occurred Tanggal kejadian
(ii) event description Uraikan peristiwa, termasuk kontrol yang ada, dan apakah kontrol tersebut dapat berfungsi secara efektif.
2. IMPACT OF THE EVENT (CRITICAL/HIGH/FINANCIAL IMPACT MEDIUM)
(i) Financial
(ii) Customer
(iii) Reputation
(iv) Regulatory
(v) People
(vi) Ketidakpatuhan Pada Prinsip Syariah
(vii) System Availability and Performance
3. CAUSE OF THE EVENT Penjelasan dari penyebab kejadian
4. ACTION TAKEN OR TO BE TAKEN:
Cantumkan daftar tindakan yang telah atau akan dilakukan untuk mencegak kejadian serupa Due Date: Tanggal action harus selesai
dimasa yang akan datang. Tambahkan kolom jika lebih dari dua tindakan.
Harap menambahkan informasi mengenai apakah tindakan perbaikan yang akan dilakukan akan
didaftarkan melalui mekanisme CIM? Bila ya, harap sertakan CIM ID. Bila tidak, agar diberikan
justifikasi atas CIM yang tidak didaftarkan.
5. APPROVALS
(i) Head of Relevant Unit (D1)/RCU Head
(ii) Operational Risk Management (D1)
Eskalasi Kejadian Risiko Operasional 23
ESCALATION REPORT – RATING: ….. (MENGACU PADA MATRIKS KLASIFIKASI DAMPAK KEJADIAN RISIKO OPERASIONAL)
Klasifikasi Kejadian Basel 2 - Event Type Kategori Penyebab Hirarki Unit Rating Dampak
Jumlah Kejadian
Nama Kejadian Terkait Syariah Boundary Event Kode GL
bulk
Nominal
Unit Tanggal Ditemukan Lini Bisnis Recovery
Pembukuan
START
Adakah kelemahakn
Apakah menyentuh Apakah ada tindakan Apakah celah control Apakah celah control
kotrol yang
threshold Amber/red? perbaikan? telah dimitigasi? telah dimitigasi?
diidentifikasi?
Yes Yes
Yes Yes
Yes
CIM
Persetujuan untuk
RCSA : Risk Control Self Assessment
pencatatan?
KRI : Key Risk Indicator
LED : Loss Event Database
CIM
NPA
: Control Issue Management
: New Product Approval
Pemantauan & ShARP
Penutupan Isu
SCAP : Significant Changes Assessment Process
ShARP : Integrated system which cover all operational risk
module
END
Membangun Struktur GL Kerugian Risiko Operasional
Tujuan
Meningkatkan kemampuan Bank dalam pengelolaan risiko operasional terutama kecukupan
modal risiko operasional
Kecukupan dana untuk menutupi kerugian (loss) yang timbul dari risiko operasional
Nama GL
Biaya Kecurangan Internal
Biaya Kejahatan Eksternal
Biaya Praktek Tenaga Kerja dan Keselamatan Tempat Kerja
Biaya Klien, Produk dan Praktek Bisnis
Biaya Kerusakan Aset Fisik
Biaya Gangguan Aktivitas Bisnis dan Kegagalan Sistem
Biaya Manajemen Eksekusi, Pengiriman dan Pemrosesan
27
Validasi dan Assurance Process – ‘High Quality Data’ 28
EFEKTIFITAS
Validasi untuk menilai efektifitas dari Unit dalam
implementasi manajemen data kejadian risiko KELENGKAPAN DATA
operasional terhadap kebijakan/prosedur. Program validasi juga mencakup pemeriksanaan atas
kelengkapan data yaitu dengan membandingkan data
Metode validasi dilakukan berdasarkan metode sampel yang ada di Sistem Informasi Manajemen Risiko
untuk menilai akurasi, ketepatan waktu, dan Operasional dengan sumber data lain seperti data denda
kelengkapan Unit tetrkait dengan penggunaan LED regulator, laporan hasil investigasi audit.
sebagai salah satu ool dalam manajemen risiko
operasional.
Nama Kejadian Risiko Operasional
Deskripsi Kejadian Risiko Operasional
Unit Penyebab Kejadian Risiko Operasional
PARAMETER Dampak dan Rating Dampak
VALIDASI Ketepatan Pelaporan
Klasifikasi Kejadian (7 kategori kejadian Basel)
Faktor Penyebab
Nominal Kerugian
Email Eskalasi
Analisa Akar Peyebab (Root Cause Analysis)
29
Table of Contents
Infrastruktur Basel III 02 Kerugian Risiko Operasional, Sistem Informasi Manajemen Risiko
Operasional, Assurance Process
Road Map dan Implementasi RoadMap Implementasi Checklist, Hal hal lain yang perlu diperhatikan
03 dalam MMRO, Sharing Quantitative Impact Study
Road Map Implementasi Basel III (Checklist) 30
Untuk Item #3, persetujuan wajib didapatkan paling lambat tanggal 31 Desember 2022
30
Format Pelaporan ke OJK (Sistem APOLO) 31
31
Format Pelaporan ke OJK (Sistem APOLO) 32
32
Format Pelaporan ke OJK (Sistem APOLO) 33
33
Sharing – Dokumentasi Perijinan Penggunaan Model SA ke OJK 34
1. Surat Pengantar ke OJK berisikan permohonan persetujuan dan asumsi model internal yang ditanda tangani
Direktur Manajemen Risiko (dan/atau Direktur lain yang terkait)
2. Dokumen Kebijakan dan Prosedur Bank terkait Manajemen Risiko Kerugian Risiko Operasional Internal
a. Kerangka Kerja Manajemen Risiko Operasional
b. Kebijakan dan Prosedur Manajemen Kejadian dan Kerugian Risiko Operasional
c. Role Sharing dan Petunjuk Teknis Penyusunan Perhitungan dan Pelaporan
4. Laporan Manajemen Risiko Operasional (Profil Risiko Kuartal I-2022 – Bank dan Konsolidasi)
6. Dokumen Pendukung Lainnya (Kertas Kerja Internal Metode dan Hasil Perhitungan MMRO SA)
34
Sharing Pengajuan Persetujuan Model SA ke OJK 35
35
Sharing Pengajuan Persetujuan Model SA ke OJK 36
36
Sharing of Bank Quantitative Impact Study 37
SE OJK.03/2020 – RWA using Standardized Approach
37
38