RISIKO OPERASIONAL

Manajemen dan Implikasi

Program Magister Manajemen
STIE Perbanas Surabaya
lutfi@perbanas.ac.id (082244123912)
 MENGELOLA RISIKO YANG EFEKTIF
- Tiga Tantangan Utama -

Management Challenges for the

21st Century
CHANGE

2
 PENTINGNYA RISIKO OPERASIONAL
- Contoh Kasus -
 Juni 1996 – Sumitomo (rugi $2.6 milyar). Seorang trader tembaga
mengakumulasi kerugian yang tak dilaporkan selama tiga tahun.Yasuo
Hamanaka, dikenal sebagai “Mr Five Percent,” setelah sebagian pasar
tembaga dia kendalikan, dikirim ke penjara karena manipulasi dan
kejahatan Reputasi bank sangat hancur
 Pebruary 1995 – Barings (rugi $1.3 milyar). Nick Leeson, seorang trader
derivatif, mengakumuliasi kerugian tidak dilaporkan selama dua tahun.
Barings bankrut
 September 1996 – Morgan Grenfell Asset Management (rugi $720 juta).
Seorang fund manager, Peter Young, melanggar kebijakan investasi yang
menyebabkan kerugian besar. Deutche Bank, pemilik MGAM, setuju
untuk memberi kompensasi pada investor
 Sebagian besar dari kerugian tersebut disebabkan oleh trader yang tidak
jujur, atau pengendalian internal. Kegagalan ini merupakan gabungan
antara risiko pasar dan risiko operasional (kegagalan supervisi)

3
 CONTOH KASUS RISIKO OPERASIONAL
- Kasus Melinda Dee (Citibank) -
Kasus pembobolan dana nasbah Citibank senilai Rp40 miliar oleh Inong
Malinda alias Melinda Dee yang menjabat Relationship Manager Citigold
di bank tersebut merupakan salah satu kasus hukum paling banyak
menyita perhatian masyarakat di tahun 2011. Guna meraih kepercayaan
nasabah, wanita 47 tahun tersebut terlebih dahulu memperlakukan
mereka secara istimewa. Perlakuan ini tidak hanya diberikannya dalam
waktu singkat, tetapi hingga puluhan tahun sampai nasabah sangat
percaya. Dari sini, Melinda secara cermat menelisik pola transaksi
nasabahnya, kemudian mengajukan blanko kosong untuk ditanda tangani.
Blanko inilah yang dia gunakanan untuk menarik dana untuk ditransfer ke
beberapa perusahaan miliknya. Melinda juga menggunakan surat kuasa
dari nasabah, sehingga nasabah seolah-olah datang ke bank untuk
melakukan transaksi

4
 PENGERTIAN RISIKO OPERASIONAL
 Risiko Operasional merupakan risiko kerugian yang timbul
dari kegagalan atau tidak memadainya:
 Proses internal
 Manusia
 Sistem, atau
 Pengendalian ekternal
 Ingat: dalam Basel risiko operasional mencakup juga risiko
hukum, namun bukan risiko reputasi, strategis, dan bisnis
 Risiko operasional merupakan risiko yang mempengaruhi
semua kegiatan usaha yang melekat (inherent) dalam
pelaksanaan suatu proses atau aktivitas operasi

5
 KATEGORI KEJADIAN RISIKO OPERASIONAL
 Kategori kejadian risiko operasional Basel II
 Risiko proses internal
 Risiko manusia
 Risiko sistem
 Risiko eksternal
 Risiko hukum
 Risiko proses internal (Lihat Contoh):
 Risiko terkait dengan kegagagaln proses atau prosedur di bank
 Kejadian risiko proses internal meliputi:
- Dokumentasi tidak memadai - Pengendalian lemah
- Kesalahan pemasaran - pencucian uang
- Laporan tdkbenar/tdk lengkap - Kesalahan transaksi
6
 CONTOH KASUS PROSES INTERNAL
- Bank BNI -
 Perkara pembobolan Bank BNI cabang Pondok Indah senilai
Rp.46,4 miliar telah menyeret lima terdakwa pejabat dan
karyawan bank tersebut. Mereka membobol Bank BNI dengan
cara mengajukan kredit dengan agunan dokumen palsu.
Dokumen yang dipalsukan antara lain akta pendirian perusahaan,
akta pemberian hak tanggungan, dan surat kuasa memberikan hak
tangggungan.
 Proses pencairan dana tersebut dinilai tidak sesuai prosedur
standar operasional (SOP) perbankan, petunjuk pelaksanaan
bisnis ritel dan prinsip kehati-hatian perbankan

7
 KATEGORI KEJADIAN RISIKO OPERASIONAL
(Lanjutan)
 Risiko manusia (Lihat Contoh):
 Risiko terkait dengan karyawan bank
 Are yang terkait dengan risiko manusia:
- Perputaran pegawai tinggi - Fraud unternal
- Sengketa pekerja - Praktek manajemen buruk
- Pelatihan karyawan tidak memadai - Ketergantung pada karyawan kunci
- Kesehatan & keselamatan kerja - Rogue trader
 Risiko sistem (Lihat Contoh):
 Risiko terkait dengan penggunaan teknologi dan sistem
 Sumber risiko sistem
- Data tidak lengkap - Kesalahan input data
- Pengendalian perubahan data tidak memadai - Gangguan pelayanan
- Keamanan sistem (virus) - Kecocokan sistem
- Penggunaan teknologi tanpa uji coba - Kesalahan pemrogaman
8
 CONTOH KASUS MANUSIA
- UBS Warburg Bank -
 Pada akhir November 2001, UBS Warburg, bank yang berkantor
pusat di Swiss, kehilangan sekitar USD50 juta pada trading book-
nya karena kesalahan seorang karyawan. Seorang trader UBS
Warburg di Tokyo salah menjual 610.000 saham Dentsu pada
harga JPY16 setiap lembarnya, yang seharusnya 16 lembar saham
seharga JPY610,000 setiap lembarnya. Transaksi tersebut tetap
dieksekusi walaupun order penjualan dipertanyakan oleh sistem
komputer

9
 CONTOH KASUS SISTEM & TEKNOLOGI
 Pada bulan Oktober 2000 kegagalan komputer yang hampir
menyeluruh di Bank of Scotland telah menyebabkan tidak
beroperasinya seluruh mesin ATM dan fasilitas internet banking
yang dimiliki bank tersebut. Kegagalan tersebut juga telah
menyebabkan tidak dapat digunakannya kartu debit 'Switch'
untuk transaksi berjumlah besar. Kegagalan tersebut terjadi pada
saat jam makan siang dan berlangsung selama tiga jam. Dampak
lebih lanjut adalah pemrosesan yang biasanya dilakukan pada
waktu malam hari tidak dapat diselesaikan sehingga beberapa
tagihan nasabah tidak dapat dikliringkan pada waktunya

10
 KATEGORI KEJADIAN RISIKO OPERASIONAL
(Lanjutan)
 Risiko eksternal
 Risiko terkait dengan kejadian diluar kontrol bank secara langsung
 Umumnya merupakan kejadian low frekuensi/high impact
 Contoh kejaidn risiko eksternal:
- Pencurian dan external fraud - Kebakaran
- Bencana alam - Terorisme
- Kegagalan perjanjian outsourcing - Kerusuan dan unjuk rasa
- Tidak beroperasinya sistem transportasi - Kegagalan listrik, telp.
 Risiko hukum:
 Risiko yang timbul dari adanya ketidakpastian keran tindakam hukum
atau ketidakpastian dalam penerapan dan interpretasi perjanjian,
peraturan, atau ketentuan
 Risiko hukum semakin meningkat karena:
- Penerapan KYC terkait tindakan terorisme
11 - Penerapan ketentuan perlindungan data karena meningkatnya penggunaan IT
 CONTOH KASUS FAKTOR EKSTERNAL
 Kebakaran melanda bagian basement dari Menara Bank Mandiri di
Jakarta Pusat pada 2 Februari 2009 pukul 04.00 dini hari. Diduga
kebakaran terjadi akibat adanya konsleting listrik di lantai dasar. Apa
berhasil dipadamkan pukil 06.30. Tidak ada korban jiwa, namun dua
orang petugas keamanan terjebak di lanta tujuh menara tersebut.
 Akibat kebakaran tersebut, server data Bank Mandiri dipindahkan
sementara ke tempat lain. Akibat dari pemindahan ini, kegiatan
operasional melalui jalur online antara lain melalui Anjungan ATM
Bank Mandiri di seluruh Indonesia dihentikan sementara selama
beberapa jam. Risiko operasional akibat kebakaran ini antara lain
adalah kerugian finansial atas terbakarnya fisik bangunan, jaringan dat
dan informasi sehingga mengakibatkan terganggunya pelayanan nasabah
dan karyawan di gedung tidak tidak dapat bekerja akibat rusaknya
prasarana kerja

12
 BOUNDARY EVENT
 Boundary event merupakan kejadian risiko yang
penyebab pastinya sulit ditentukan
 Penyebabnya merupakan kombinasi berbagai kejadian
 Solusi terhadap permasalahan boundary event:
 Mengklasifikasi kejadian berdasarkan penyebab utamanya
 Contoh kasus boundary event:
 Kasus Baring merupaakan komobinasi kejadian risiko pasar, bisnis
atau strategis
 Namun penyebab utamanya adalah risiko operasional, yaitu
pengendalian yang tidak efektif

13
 MANEJEMEN OPERATIONAL RISK
o Cakupan proses manajemen risiko:
 Identifikasi, Pengukuran, Monitoring, dan Pengendalian/Mitigasi
terhadap setiap faktor risiko yang melekat pada setiap produk dan
jasa yang disebakan oleh faktor internal dan eksternal
o Tujuan pengendalian risiko operasional:
 Menekan potensi kerugian akibat risiko operasional sampai pada
level yang direncanakan bank (yang dapat ditoleransi)
o Perangkat umum mengelola risiko operasional:
a. Risk and Control Self Assessment (RCSA): Estimasi risiko
operasional di masa datang
b. Key Risk Indicator (KRI): Mengendalikan risiko operasional
dengan menggunakan batas limit (threshold)
c. Loss Event Database (LED): Mencatat data kerugian yang
sudahterjadi

14
 Kerangka Identifikasi Risiko Operasional
- Sebab, Kejadian & Konsekuensi -
SEBAB KEJADIAN KONSEKUENSI
Pemisahan tugas tidak Kewajiban legal
memdai
Internal Denda regulasi, kepatuhan,
Kurang Pelatihan Fraud Dan pajak

External Rugi atau kerusakan

Kurangnya pengawasan oleh
Fraud Aset fisik DAMPAK
Manajemen
LANGSUNG
Employment Practices Kerugian
Prosedur audit tidak Pembayaran kompensasi
& Workplace Safety finansial
memadai
Clients, Products
Keamanan tidak memadai & Business Practices Kehilangan hak

Damage to
• Physical Assets Penghapusbukuan aset

• Business Disruption
& System Failures
• Reputasi DAMPAK
Execution, Delivery & LAIN
Rancangan sistem jelek Process Management Pendapatan
Gangguan bisnis yang lepas

Kebijakan SDM jelek

15
 RISK & CONTROL SELF ASSESSMENT
(RCSA)
 Pengertian RCSA: Proses manajemen risiko operasional untuk
mengidentifikasi dan mengukur risiko operasional yang bersifat
kualitatif, dengan menggunakan dua dimensi:
 Dampak (Impact) dan
 Kemungkinan kejadian (Likelihood)
 Perangkat Penilaian dalan RCS: menggunakan daftar
(checklist) pertanyaan untuk mengevaluasi:
1) Tingkat risiko
2) Tingkat efektivitas kontrol
 Tujuan RCSA: mengidentifikasi dan mendeteksi sumber-sumber
risiko operasional yang berpotensi menjadi penyebab
penyimpangan/ kegagalan dalam menjalankan aktivitas fungsional
16
 PENGELOMPOKAN KEJADIAN
RISIKO OPERASIONAL
 Dasar pengelompokan, yaitu 2 faktor
 Frekuensi – seberapa sering kejadian dapat terjadi
 Dampak – jumlah kerugian yang ditimbulkan
 Pengelompokkan:
 Low frequency/low impact:
 Low frequency/high impat
 High frequensi/low impact
 High frequency/high impat
 Fokus bank pada:
 Low frequency/high impat (LFHI)
 High frequensi/low impact (HFLI

17
 CONTOH PENGKURUAN KEMUNGKINAN
(LIKELIHOOD)

Level Kejadian Probablitas Frekensi

5 Hampir Pasti ≥ 90% Lebih 9 kali per bulan
4 Kemungkinan Besar 50% ≤ s.d. < 90% Antara 6 – 9 kali per bulan

3 Kemungkinan Sedang 10% ≤ s.d. < 50% Antara 2 – 5 kali per bulan
2 Kemungkinan Kecil 1% ≤ s.d. < 10% Antara 1 kali per bulan – lebih 1 kali
per tahun
1 Jarang Sekali < 1% Maksimal 1 kali per tahun

18
 CONTOH PENGUKURAN DAMPAK
SCORE Kerugian Faktor yang mempengaruhi nilai pemegang saham
(Rp. Juta) Perhatian publik Pelanggaran ketentuan Pelayanan
Sangat 1 Z < 2%X Tidak ada dampak Pelanggaran bersifat adm. & Ketidaknyamanan nasabah
kecil tidak menimbulkan kerugian dapat diabaikan
finansial
Kecil 2 2%X < Z < 5%X Potensi menjadi Pelanggaran terhadap ketentuan Ketidaknyamanan nasabah
sorotan publik internal yang tidak terkait langsung dapat diatasi
dengan transaksi namun
menimbulkan resiko
lainnya/terkait dengan
ketentuan internal
Sedang 3 5%X <Z< 10%X Pemberitaan negatif Pelanggaran yang terkait dengan Ketidaknyamanan nasabah
pada media massa transaksi &/atau ketentuan dapat diatasi dalam 1 hari
internal kerja
Besar 4 10%X<Z<20%X Ekspos utama Pelanggan yang terkait dengan Ketidaknyamanan nasabah
(dimedia massa) lebih transaksi &/atau dengan dapat diatasi lebih dari 1
dari satu hari ketentuan internal & eksternal hari kerja
Sangat 5 Z < 20%X Menjadi perhatian Pelanggaran sangat signifikan Ketidaknyamanan yg
besar sangat serius terkait dengan transaksi &/atau berarti ke seluruh
public/kehilangan dengan ketentuan internal & nasabah/
19
kepercayaan publik eksternal
 CONTOH LAIN PENGUKURAN DAMPAK
Lev. Peringkat Cedera Kerugian Gangguan Reputasi Efisiensi Kinerja
Finansial Layanan Operasi
1 Tidak Tidak ada Kurang dari Rp.1 Kurang 1 Tidak ada berita Sedikit sekali Variasi sampai
signifikan luka juta, atau 0,01% dari jam negatif dampak 5% dari KPI
anggaran operasi atau sasaran
2 Minor Penanganan Antara Rp.1 juta – 1 jam – 1 Ada sedikit Penundaan yang Variasi 5%
obat ringan Rp.10 juta, atau hari berita negatif kurang sampai 10% dari
0,05% dari anggaran menyenangkan KPI atau sasaran
operasi
3 Sedang Penangana Antara Rp.10 juta –1 hari – 1 Cukup ada Penundaan dlm Variasi 10%
medis Rp.100 juta, atau 1%
minggu berita yang pelayanan utama sampai 25% dari
dari anggaran operasi memalukan KPI atau sasaran
4 Mayor Kematian Antara Rp.100 juta –
1 minggu – Cukup ada Tidak Variasi 25%
atau luka Rp.1 milyar, atau 1 bulan berita yang tercapainya sampai 50% dari
sangat parah 2,5% dari anggaran memalukan, ada pelayanan KPI atau sasaran
operasi tuntunan pihak (penyerahan)
ketiga utama
5 Bencana Banyak Lebih dari Rp.1 Lebih dari 1 Banyak berita Tidak Variasi diatas
meninggal milyar, atau 5% dari bulan memalukan di tercapainya 50% dari KPI
atau cacat anggaran operasi media, tuntutan banyak tujuan atau sasaran
20 tetap pihak ketiga, kunci
 PENILAIAN RISIKO

Likelihood x Impact = Risk

Risk 1 : 10% x Rp.10.000 = Rp.1.000
Risk 2 : 1% x Rp.50.000 = Rp. 500
.
.
.
.
Risk 999 : 5% x Rp.25.000 = Rp.1250
Risk 1000 : 20% x Rp. 6,000 = Rp.1,200

21
 PETA RISIKO
Dampak
1. Tidak
2. Rendah 3. Sedang 4. Besar 5. Dahsyat
Signifikan
5. Hampir M M
pasti M-H H H
Keungkinan

M M
4. Besar
M-H H H

3. Sedang
M-L M-L M M-H M-H

2. Kecil
L L M-L M M
M
1. Jarang
L L M-L M

22
 5 ELEMEN PENGENDALIAN INTERNAL
1. Pengawasan manajemen dan budaya pengendalian
2. Pengenalan dan penilaian risiko
3. Aktifitas pengendalian dan pemisahan tugas
4. Informasi dan komunikasi
5. Aktifitas monitoring dan perbaikan kelemahan

23
 TANGGUNG JAWAB DEWAN KOMISARIS VS. DIREKSI
DEWAN KOMISARIS
1 Menyetujui dan me-review secara periodik
seluruh strategi bisnis dan kebijakan
penting Bank
2 Memahami risiko utama yg dijalankan
Bank, menetapkan tingkat risiko yg bisa
diterima (risk appetite & risk tolerance)
dan memastikan bahwa Direksi telah
mengambil langkah yg diperlukan untuk
IP3 risiko
3 Memastikan bahwa Direksi memonitor
efektifitas sistem Pengendalian Internal
4 Menyetujui struktur organisasi
24
DIREKSI
Mengimplementasikan strategi dan kebijakan
yg disetujui Dewan Komisaris
Mengembangkan proses identifkasi,
penguykuran, pengendalian, dan pelaporan
risiko yg dihadapi Bank
Menetapkan kebajan Pengendalian Internal
yg sesuai dan memonitor kecukupan dan
efektifitas sistem Pengendalian Internal
Memelihara struktur organisasi dengan
kejelasan tanggungjawab, wewenang dan
pelaporan. Memastikan tanggungjawab
didelegasikan dilaksanakan secara efektif.
 PENGENDALIAN INTERNAL
1. Top level review (Komisaris & Direksi)
o Laporan kinerja untuk mengkaji perkembangan pencapaian sasaran
bank (hasil aktual dibanding dengan anggaran)
2. Pengendalian aktivitas atas divisi/bagian
o Laporan kinerja dan penyimpangan secara harian, mingguan, atau
bulanan kepada departemen atau divisi
3. Pengendalian fisik (misalnya pembatasan akses pada asset
berwujud seperti kas dan surat-surat berharga)
o Misal: batasan fisik, dual custody, pemeriksaan fisik berkala
4. Kepatuhan dengan limit eksposure
o Misal: kepatuhan terhadap limit debitur (BPMK)

25
 PENGENDALIAN INTERNAL (Lanj)
4. Persetujuan dan otorisasi
• Persetujuan atas transaksi diatas batas tertentu
5. Verifikasi dan rekonsiliasi
• Rekonsiliasi secara berkala
6. Pemisahan Tugas
• Pemisahan petuga back office dan front office
• Pemisahan petugas pemeriksa dokumen kredit dan monitoring
kredit

26
 WHISTLE-BLOWING
 Whistle blowing terjadi ketika pegawai menyampaikan
perhatiannya atas aktivitas yang membahayakan atau illegal
yang ditemui dalam pekerjaanya
 Whistle blowing memberikan peringatan dini terhadap
masalah-masalah seperti :
 Kecurangan karyawan bank
 Salah penjualan produk financial
 Menarik pembayaran sebagai imbalan pemberian kontrak

27
 AKTIVITAS MONITORING DAN
PERBAIKAN KELEMAHAN
 Dilakukan oleh fungsi audit internal (Risk Based Audit)
 Sebagai bagian dari operational risk framework (ORF)
 Menggunakan risk and control self-assessment (RCSA)
atau key risk indicators (KRI)

28