Kebijakan ini berlaku sejak mendapatkan The Policy is effective since obtain approval
persetujuan dari Dewan Komisaris pada bulan from the Board of Commisssioner (BoC) in
Juni 2020. June 2020.
Kebijakan ini merupakan acuan standar untuk The policy is a standardized guideline to
mengelola risiko-risiko dan peluang bisnis, serta manage its risks and opportunities, and to
menyediakan pedoman dalam mengantisipasi provide guidanc to anticipate and manage
dan mengelola risiko baik berupa risiko saat ini both the existing and potential risks, taking
maupun potensi risikodengan into consideration the changing risk profiles as
mempertimbangkan perubahan profil risiko dictated by changes in business strategies, the
yang diakibatkan oleh perubahan strategi external environments and regulatory
bisnis, faktor eksternal dan ketentuan environment. The risks are monitored
regulator. Tingkat risiko yang dihadapi dipantau periodically and the whole risk managemet
secara periodik dan secara keseluruhan proses process is conducted based on Good
manajemen risiko dijalankan berdasarkan pada Corporate Governance principles
penerapan prinsip Tata Kelola Perusahaan yang implementation. The policy applies to all units
Baik. Kebijakan Manajemen Risiko (KMR)
1
berlaku untuk seluruh unit kerja termasuk Unit including Syariah Banking and become as a
Usaha Syariah (UUS) dan dapat menjadi acuan reference on risk management
dalam pelaksanaan penerapan manajemen implementation in subsidiary and affiliated
risiko bagi Perusahaaan Anak dan Perusahaan companies in accordance with OJK regulation.
Terelasi anggota konglomerasi keuangan
sebagaimana diatur dalam Peraturan Otoritas
Jasa Keuangan.
Enterprise Wide Risk Management (EWRM) Enterprise Wide Risk Management (EWRM)
Framework Framework
EWRM mencakup manajemen risiko untuk EWRM involves the management of risks
aktivitas bisnis yang berbeda-beda dan meliputi across diversified business activities and
proses yang lebih luas atas pengambilan encompasses a much broader process of
keputusan bisnis oleh manajemen dalam hal business decision-making by management on
tingkat risiko yang diambil oleh suatu lini bisnis the extent of risks to be taken by individual
atau Lembaga Jasa Keuangan (LJK) secara business lines or financial service institution or
individu atau konglomerasi keuangan secara financial conglomeration as a whole.
keseluruhan.
Kerangka kerja EWRM akan menjadi pedoman The EWRM Framework provides guideline for
bagi seluruh stakeholder internal Bank dalam all internal stakeholders to manage its risks
mengelola risiko, serta dapat menjadi acuan and become a reference for external
bagi stakeholder eksternal dalam menilai stakeholders to assess risk management
pelaksanaan manajemen risiko di Bank, implementation in CIMB Niaga, subsidiary and
Perusahaan Anak dan Perusahaan Terelasi. affiliated companies.
Tujuan utama dari EWRM adalah mendukung The main objective of EWRM is to help the
Bank mencapai tujuan bisnisnya tanpa Bank achieve its business objectives without
mengorbankan kinerja keuangan, kepatuhan compromising financial performance,
dan/atau reputasi. EWRM menentukan compliance and/or reputation. EWRM sets out
pendekatan Bank atas kerangka kerja the Bank-wide approach to risk management
manajemen risiko dan pengendalian atas risiko- and the control framework within which risks
risiko yang dikelola. Framework manajemen are managed. This framework also refers to
risiko ini juga mengacu pada ruang lingkup the risk management scopes determined by
manajemen risiko yang ditetapkan oleh Otoritas The Financial Services Authority (OJK) which
Jasa Keuangan yang mencakup: (1) Pengawasan are (1) Active supervision of the Board of
aktif dewan Komisaris dan Direksi (termasuk Commissioners (BoC) and the Board of
Dewan Pengawas Syariah), (2) Kecukupan Directors (BoD) (including Sharia Supervisory
kebijakan, prosedur, dan penetapan limit, (3) Board), (2) Adequacy of Policies, procedures
2
Kecukupan proses identifikasi, pengukuran, and limit setting, (3) Adequacy of Risk
pemantauan dan pengendalian Risiko serta identification, measurement, monitoring and
sistem informasi Manajemen Risiko, dan (4) control as well as risk management
Sistem pengendalian intern yang menyeluruh. information system, and (4) Comprehensive
internal control system.
3
Komponen-komponen dari EWRM Framework: EWRM Framework components are as
follows:
Bank menerapkan manajemen risiko sebagai The Bank implement risk management as
bagian integral dari budaya perusahaan dan an integral part of corporate culture and
proses pengambilan keputusan. Filosofi decision-making processes. The risk
manajemen risiko Bank diwujudkan dalam management philosophy is embodied in
pendekatan Three Lines of Defense dimana the Three Lines of Defense approach,
risiko pada awalnya dikelola pada saat whereby risks are managed upfront at the
aktivitas pengambilan risiko. Terdapat point of risk-taking activities. There is clear
pembagian tanggung jawab yang jelas atas accountability of risk ownership across
kepemilikan risiko antar bagian di Bank. units in the Bank.
Lini 1: Risk Taking Unit (Unit Bisnis dan Unit Line 1: Risk Taking Unit (Business Unit and
Pendukung) Support Unit)
Lini pertama adalah line management, baik The first line is line management, both
dari unit bisnis dan unit pendukung. Unit- from business units and support units.
unit ini akan menghadapi risiko dalam These units deal with risks on daily
aktivitas harian, dengan demikian unit activities, hence they are in the most
tersebut berada dalam posisi yang paling appropriate position to manage risks and
tepat untuk mengelola risiko serta ensure compliance with regulations,
memastikan pemenuhan regulasi, standar, standards, policies and procedures. In the
kebijakan dan prosedur. Dalam proses risk management process, these units are
manajemen risiko, mereka merupakan lini the first line of defense in managing risks,
pertahanan pertama untuk mengelola risiko including but not limited to the process of
yang mencakup namun tidak terbatas pada identifying, measuring, monitoring,
proses identifikasi, mengukur, memonitor, controlling and reporting risks as well as
mengendalikan dan melaporkan risiko serta taking appropriate actions to mitigate risks
mengambil langkah yang dibutuhkan untuk to ensure effective control.
memitigasi risiko dengan memastikan
adanya kontrol yang efektif.
4
Lini 2: Satuan Kerja Manajemen Risiko, Line 2: Risk Management, Compliance,
Satuan Kerja Kepatuhan, Anti Money Anti Money Laundering (AML) and Anti
Laundering (AML) dan Anti Fraud Fraud Management (AFM) Unit
Management
Lini kedua bertugas melakukan fungsi The second line of defense is in charge to
pengawasan yang independen dari aktivitas perform an independent oversight function
bisnis dan pelaporan ke manajemen untuk of business activities and reporting to
memastikan bahwa Bank melakukan management in order to ensure the Bank is
aktivitas bisnis dan beroperasi sesuai dengan conducting business and operating in
appetite dan ketentuan dari regulator. Unit accordance with the appetite and
yang termasuk dalam lini kedua ini seperti regulatory requirements. The second lines
satuan kerja manajemen risiko, satuan kerja are including risk management,
kepatuhan, Anti Money Laundering (AML) compliance, anti-money laundering (AML),
dan anti fraud management. Unit-unit ini and anti-fraud management (AFM) unit.
bekerja sama dengan unit bisnis untuk These units, in conjuction with business
memastikan bahwa setiap risiko telah units, ensure that each risk has been
diidentifikasi dan dikelola dengan benar. Unit properly identified and managed. These
yang termasuk dalam lini kedua ini juga second line units also develop strategies,
menyusun strategi dan implement policies and procedures and
mengimplementasikan kebijakan dan compile information to gain holistic view of
prosedur, serta mengumpulkan informasi the Bank risks.
untuk memperoleh pandangan menyeluruh
atas risiko Bank.
Lini 3: Satuan Kerja Audit Internal (SKAI) Line 3: Internal Audit Unit
Lini ketiga adalah SKAI yang merupakan The third line of defense is Internal Audit
suatu unit independen yang bertanggung unit which is an independent unit that
jawab secara langsung kepada Presiden directly responsible to the CEO and
Direktur dan secara fungsional kepada functionally to the BoC through Audit
Dewan Komisaris melalui Komite Audit. Committee. The scope of Internal Audit
Ruang Lingkup Tugas SKAI ditetapkan untuk function is to evaluate risk management
mengevaluasi pelaksanaan manajemen implementation and control process in the
risiko dan proses pengendalian di Bank Bank such as whether the risks have been
seperti apakah risiko telah diidentifikasi dan properly identified and managed and the
dikelola secara tepat serta kualitas dan quality and continuous improvement has
perbaikan berkesinambungan telah melekat been embedded in the Bank control
di dalam proses pengendalian Bank, baik process, both on the first line and the
pada lini pertama maupun lini kedua. second line.
5
ii) Tata kelola & Organisasi ii) Governance & Organization
6
2. Mengevaluasi pertanggungjawaban 2. Evaluate BoD accountability on risk
Direksi atas pelaksanaan kebijakan management policy implementation at
manajemen risiko paling sedikit secara least on quarterly basis.
triwulanan. 3. Evaluate and take decision on BoD’s
3. Mengevaluasi dan memutuskan application or proposal related to
permohonan atau usulan Direksi yang transactions or business activities which
berkaitan dengan transaksi atau required BoC approval.
kegiatan usaha yang memerlukan 4. Supervise BoD accountability on risk
persetujuan dewan Komisaris. management external reporting.
4. Mengawasi pertanggungjawaban 5. Ensure integrated risk management
Direksi dalam pelaporan eksternal yang implementation as part of
terkait dengan manajemen risiko. conglomeration that includes at least
5. Memastikan penerapan manajemen point 1 and 2 above.
risiko terintegrasi sebagai bagian dari
konglomerasi yang mencakup paling
sedikit butir 1 dan 2 diatas.
Untuk membantu Dewan Komisaris dalam To assist BoC in ensuring the execution of
memastikan terlaksananya pengawasan oversight and advisory function for BoD as
dan pemberian nasehat kepada Direksi well as compliance with the internal and
serta kepatuhan terhadap peraturan external regulations, the Bank established
perundang-undangan dan peraturan Risk Oversight Committee (ROC).
internal Bank, Bank membentuk Komite
Pemantau Risiko (KIPER).
Direksi dibantu oleh komite-komite risiko BoD is assisted by risk committees and
dan fungsi kontrol dalam rangka control function in order to ensure the
memastikan efektivitas pelaksanaan EWRM effectiveness of EWRM Framework
Framework. Komite-komite secara umum implementation. The Committees
memberikan keputusan mengenai arah dan generally making decisions regarding risk
kebijakan pengelolaan risiko sesuai management directions and policies
fungsinya masing-masing meliputi Komite according to their respective functions
Manajemen Risiko (RMC), Assets and including Risk Management Committee
Liabilities Committee (ALCO), Credit Policy (RMC), Assets and Liabilities Committee
Committee (CPC), dan Operational Risk (ALCO), Credit Policy Committee (CPC),
Committee (ORC). Dalam pelaksanaan and Operational Risk Committee (ORC).
manajemen risiko terintegrasi, dibentuk The Bank also established Integrated Risk
Komite Manajemen Risiko Terintegrasi Management Committee (IRMC) in
(IRMC). regards to integrated risk management
implementation.
7
Dalam tataran operasional, selain Satuan At operational level, in addition to Risk
Kerja Manajemen Risiko (SKMR), satuan Management Unit, other units involved in
kerja lain yang terlibat dalam fungsi internal control functions are Compliance,
pengendalian internal diantaranya Satuan Anti-Money Laundering (AML), Anti- Fraud
Kerja Kepatuhan (SKK), Satuan Kerja Anti - Management (AFM), Syariah Advisory and
Money Laundering (AML), Satuan Kerja Anti- Good Corporate Governance and
Fraud Management (AFM), Syariah Sustainability. Besides, independent
Advisory, dan Satuan Kerja Good Corporate reviews are periodically conducted by
Governance and Sustainability. Selain itu, Internal Audit, Risk Model Validation and
kaji ulang independen secara berkala Credit Assurance Testing.
dilakukan oleh Satuan Kerja Audit Internal
(SKAI), Risk Model Validation, dan Credit
Assurance Testing.
Risk Appetite didefinisikan sebagai jenis dan Risk Appetite is defined as the types and
jumlah risiko yang akan diambil dan dapat amount of risks that the Bank is able and
diterima oleh manajemen Bank dalam willing to accept in pursuit of its strategic
rangka mencapai tujuan strategis dan bisnis. and business objectives. Risk Appetite is
Risk Appetite bersifat dinamis, berubah dynamic, evolving in response to changes
sesuai dengan perubahan prioritas bisnis in the Bank business priorities, risk
Bank, kemampuan manajemen risiko dan management capabilities and external
kondisi eksternal. Risk Appetite tidak hanya conditions. Risk appetite takes into
mempertimbangkan pertumbuhan, account not only growth, revenue and
pendapatan dan aspirasi bisnis tetapi juga business aspirations, but also the capital
posisi modal dan likuiditas serta and liquidity positions and risk
kemampuan dan kekuatan manajemen management capabilities and strengths,
risiko mencakup sistem, proses dan sumber including risk systems, processes and
daya manusia. people.
Tujuan dari kerangka Risk Appetite yaitu The objective of Risk Appetite framework
untuk memastikan bahwa batasan dari is to ensure that the boundaries of
aktivitas risk taking yang dapat diterima acceptable risk-taking are aligned with the
sesuai dengan strategi dan rencana Bank’s strategy and business operating
operasional bisnis Bank serta cukup jelas plans and also sufficiently clear and
dan detail untuk menjadi pedoman detailed to guide the senior and front-line
karyawan manajemen senior dan karyawan employees in all of the business units in
front line di seluruh unit bisnis dalam their day-to-day decision-making. The risk
8
pengambilan keputusan sehari-hari. Proses appetite setting process is conducted on
penetapan Risk Appetite dilakukan secara annual basis.
berkala setiap tahun.
Risk Appetite Statements (RAS) terdiri dari 4 The Risk Appetite Statements (RAS) has 4
kategori pengukuran yang dibuat dengan measurement categories that link business
memperhitungkan target bisnis yang akan target, risk level and capital. RAS is
dicapai, tingkat risiko dan permodalan. RAS presented in quantitative and qualitative
ditampilkan dalam bentuk analisa analysis which includes: (i) Solvency and
kuantitatif dan kualitatif yang meliputi capitalization (ii) Earning diversification
kategori: (i) Solvency dan permodalan, (ii) and volatility (iii) Liquidity and (iv)
Diversifikasi dan volatilitas earning Franchise.
(pendapatan), (iii) Likuiditas, dan (iv)
Franchise.
Risk Appetite Bank merefleksikan The Bank Risk Appetite reflects risk
kemampuan dan kekuatan manajemen management capabilities and strengths,
risiko, termasuk sistem, proses dan sumber including systems, processes and people.
daya manusia. Bank akan selalu berusaha The Bank will, at at all times, aim to ensure
memastikan bahwa sistem, kemampuan that its risk systems, capabilities and
dan kontrol risiko sudah cukup memadai controls are sufficiently resourced and
dan efektif untuk mendukung risk appetite effective to underpin its desired risk
melalui identifikasi dan pengukuran risiko appetite, through accurate risk
secara akurat. identification and measurement.
Tujuan dari proses manajemen risiko yang The aim of good risk management process
baik adalah untuk mengelola risiko yang is to address the risk embeddedin the
melekat pada aktivitas Bank dengan tujuan Bank’s activities in order to add maximum
untuk memberikan nilai tambah yang sustainable value to all activities of the
berkelanjutan secara maksimal terhadap organizations. Risk management process is
seluruh aktivitas Bank. Proses manajemen employed as part of daily activities, with
risiko dilaksanakan sebagai bagian dari the goal of ensuring risks are appropriately
aktivitas sehari-hari dengan tujuan considered, evaluated and responded in a
memastikan bahwa risiko dapat timely manner.
dipertimbangkan, dievaluasi dan direspon
dengan cara dan waktu yang tepat.
9
a. Perencanaan Bisnis a. Business Planning
Manajemen risiko merupakan hal utama Risk management is central to the
dalam proses perencanaan bisnis, business planning process, including
termasuk penyusunan framework untuk setting frameworks for risk appetite,
risk appetite, risk posture dan produk risk posture establishment and new
atau aktivitas baru. Integrasi products / new business activities.
manajemen risiko terhadap proses Integration of risk management into
perencanaan bisnis dilakukan untuk business planning helps to ensure that
membantu memastikan bahwa Bank Bank operates within the approved
beroperasi sesuai dengan Risk Appetite Risk Appetite.
yang ditentukan.
Jenis-jenis risiko yang melekat pada Risk types that are inherently faced by
Bank diantaranya mengacu pada the Bank also refer to OJK’s regulation,
ketentuan OJK meliputi risiko utama which includes main risks namely,
seperti risiko kredit/pembiayaan, risiko credit/financing risk, market risk,
pasar, risiko likuiditas, risiko liquidity risk, operational risk, legal
operasional, risiko hukum, risiko risk, reputation risk, strategic risk,
reputasi, risiko stratejik, risiko compliance risk, intragroup
kepatuhan, risiko transaksi intragrup transaction and insurance risk (if any),
dan risiko asuransi (jika ada), dan khusus for UUS, it also covers 2 (two) syariah’s
untuk UUS, mencakup pula 2 (dua) jenis specific risks, namely rate of return risk
risiko spesifik syariah, yaitu risiko imbal and investment risk. In addition, the
hasil dan risiko investasi. Selain jenis- Bank also identifies other risks such as
jenis risiko sesuai dengan ketentuan business risk, sustainability risk, model
OJK, Bank juga mengidentifikasi risiko- risk and Syariah Non-Compliance (SNC)
risiko lainnya seperti business risk, risk.
10
sustainability risk, model risk dan
Syariah Non-Compliance (SNC) risk.
Bank melakukan identifikasi risiko Bank identified risks through Risk &
melalui Risk & Control Self Assessment Control Self Assessment (RCSA) and
(RCSA) dan aktivitas Risk Assessment. Risk Assessment. RCSA is a structured
RCSA merupakan suatu pendekatan approach that enables the first line of
terstruktur yang memungkinkan First defense to identify and assess the key
Line of Defense untuk melakukan risks and controls in order to plan for
identifikasi dan penilaian terhadap risiko appropriate actions to minimize the
kunci dan kontrol sehingga dapat exposure of those risks.
merencanakan tindakan perbaikan yang
tepat untuk meminimalkan eksposur
risiko yang ada.
11
atau berkembang yang sulit
dikuantifikasi dan kemungkinan
memiliki dampak yang material
terhadap Bank.
12
d. Pengelolaan dan Pengendalian Risiko d. Risk Management and Control
Pengelolaan dan mitigasi risiko Managing and mitigating risk are an
merupakan bagian yang tidak integral part of the Bank’s business,
terpisahkan dari bisnis Bank yang which aim to reduce the risk to a level
bertujuan untuk mengurangi risiko which is manageable and within risk
sampai kepada tingkat yang dapat appetite. This can be achieved through
dikelola dan dalam batasan risk utilizing various control tools to reduce
appetite. Hal ini dapat tercapai melalui the likelihood of an occurrence or the
penggunaan berbagai perangkat kontrol impact of the risk. In general, several
untuk mengurangi likelihood dari ways to manage and mitigate risks are
munculnya kejadian risiko atau dampak accept risk, treat risk, transfer risk and
dari risiko. Secara umum, beberapa cara terminate risk.
untuk mengelola dan memitigasi risiko
adalah accept risk, treat risk, transfer
risk dan terminate risk.
13
Risiko-risiko baik secara individual Risks on an individual, as well as on a
maupun portfolio basis dipantau dan portfolio basis, are regularly
dilaporkan secara berkala untuk monitored and reported to ensure
memastikan bahwa risiko-risiko they remain within the Bank’s risk
tersebut masih dalam batasan risk appetite
appetite Bank.
14
prosedur atau pedoman proses standard, and procedures enable
memungkinkan adanya suatu pandangan unified view of risk across the
yang sama diantara seluruh unit organization, including standardized
organisasi, termasuk definisi risiko yang risk definitions and common risk
terstandarisasi dan risk language yang language.
sama.
15
v) Memungkinkan pemahaman yang vi) Refine the performance and
lebih akurat atas keekonomian compensation setting in order to
transaksi (economics of transactions) give the right incentives.
terutama terkait risiko dan modal /
opportunity cost.
vi) Memperbaiki pengaturan kinerja dan
kompensasi dalam rangka
memberikan insentif yang tepat. Risk based performance measurement
concept will be continuously improved
Konsep perhitungan pengukuran risiko and enhanced, aligned with Bank’s
berbasis kinerja akan selalu capability in terms of methodology,
disempurnakan dan dikembangkan information system, infrastructuress
sejalan dengan kemampuan Bank baik and available resources.
dari segi metodologi, sistem informasi,
infrastruktur dan sumber daya yang ada. c. Data and Technology
Appropriate technology and sound data
c. Teknologi dan Data management support risk management
Teknologi dan manajemen data yang activities. To enhance the effectiveness
memadai merupakan pendukung of risk measurement process, Bank
aktivitas manajemen risiko. Dalam must have information system that
rangka meningkatkan efektivitas proses provides timely and accurate report and
pengukuran risiko, Bank harus memiliki data that support management
sistem informasi yang menyediakan decision making.
laporan dan data secara akurat dan tepat
waktu untuk mendukung pengambilan
keputusan oleh manajemen. Information system must be able to
provide report as a tool for continuous
Sistem informasi harus dapat risk monitoring in order to detect and
menghasilkan laporan yang digunakan resolve deviation towards policies and
untuk pemantauan risiko secara procedures in a timely manner to
berkelanjutan guna mendeteksi dan reduce the potential loss events.
mengkoreksi penyimpangan terhadap
kebijakan dan prosedur secara lebih
cepat agar dapat mengurangi potensi
terjadinya terjadinya loss event.
16