RISIKO OPERASIONAL

Manajemen dan Implikasi

Program Magister Manajemen
STIE Perbanas Surabaya
lutfi@perbanas.ac.id (082244123912)
 MENGELOLA RISIKO YANG EFEKTIF
- Tiga Tantangan Utama -

TE
M
S

C
LI

H
A

N
B

O
LO

LO
Management
G

G
Y
Challenges for the
21 st
Century
CHANGE

2
 PENTINGNYA RISIKO OPERASIONAL
- Contoh Kasus -
Juni 1996 – Sumitomo (rugi $2.6 milyar). Seorang trader tembaga
mengakumulasi kerugian yang tak dilaporkan selama tiga tahun.
Yasuo Hamanaka, dikenal sebagai “Mr Five Percent,” setelah
sebagian pasar tembaga dia kendalikan, dikirim ke penjara karena
manipulasi dan kejahatan Reputasi bank sangat hancur
Pebruary 1995 – Barings (rugi $1.3 milyar). Nick Leeson, seorang
trader derivatif, mengakumuliasi kerugian tidak dilaporkan selama
dua tahun. Barings bankrut
September 1996 – Morgan Grenfell Asset Management (rugi $720
juta). Seorang fund manager, Peter Young, melanggar kebijakan
investasi yang menyebabkan kerugian besar. Deutche Bank,
pemilik MGAM, setuju untuk memberi kompensasi pada investor
 Sebagian besar dari kerugian tersebut disebabkan oleh trader
yang tidak jujur, atau pengendalian internal. Kegagalan ini
merupakan gabungan antara risiko pasar dan risiko operasional
(kegagalan supervisi)

3
 CONTOH KASUS RISIKO
OPERASIONAL
- Kasus Melinda Dee (Citibank) -
Kasus pembobolan dana nasbah Citibank senilai Rp40 miliar
oleh Inong Malinda alias Melinda Dee yang menjabat
Relationship Manager Citigold di bank tersebut merupakan
salah satu kasus hukum paling banyak menyita perhatian
masyarakat di tahun 2011. Guna meraih kepercayaan nasabah,
wanita 47 tahun tersebut terlebih dahulu memperlakukan
mereka secara istimewa. Perlakuan ini tidak hanya diberikannya
dalam waktu singkat, tetapi hingga puluhan tahun sampai
nasabah sangat percaya. Dari sini, Melinda secara cermat
menelisik pola transaksi nasabahnya, kemudian mengajukan
blanko kosong untuk ditanda tangani. Blanko inilah yang dia
gunakanan untuk menarik dana untuk ditransfer ke beberapa
perusahaan miliknya. Melinda juga menggunakan surat kuasa
dari nasabah, sehingga nasabah seolah-olah datang ke bank
untuk melakukan transaksi

4
 PENGERTIAN RISIKO OPERASIONAL
Risiko Operasional merupakan risiko kerugian yang
timbul dari kegagalan atau tidak memadainya:
 Proses internal
 Manusia
 Sistem, atau
 Pengendalian ekternal
 Ingat: dalam Basel risiko operasional mencakup juga
risiko hukum, namun bukan risiko reputasi, strategis,
dan bisnis
Risiko operasional merupakan risiko yang
mempengaruhi semua kegiatan usaha yang melekat
(inherent) dalam pelaksanaan suatu proses atau
aktivitas operasi

5
 KATEGORI KEJADIAN RISIKO
OPERASIONAL
Kategori kejadian risiko operasional Basel II
 Risiko proses internal
 Risiko manusia
 Risiko sistem
 Risiko eksternal
 Risiko hukum
Risiko proses internal (Lihat Contoh):
 Risiko terkait dengan kegagagaln proses atau
prosedur di bank
 Kejadian risiko proses internal meliputi:
 Dokumentasi tidak memadai - Pengendalian lemah
 Kesalahan pemasaran - pencucian uang
6
 Laporan tdkbenar/tdk lengkap - Kesalahan transaksi
 CONTOH KASUS PROSES INTERNAL
- Bank BNI -
Perkara pembobolan Bank BNI cabang Pondok Indah
senilai Rp.46,4 miliar telah menyeret lima terdakwa
pejabat dan karyawan bank tersebut. Mereka
membobol Bank BNI dengan cara mengajukan kredit
dengan agunan dokumen palsu. Dokumen yang
dipalsukan antara lain akta pendirian perusahaan,
akta pemberian hak tanggungan, dan surat kuasa
memberikan hak tangggungan.
Proses pencairan dana tersebut dinilai tidak sesuai
prosedur standar operasional (SOP) perbankan,
petunjuk pelaksanaan bisnis ritel dan prinsip kehati-
hatian perbankan

7
 KATEGORI KEJADIAN RISIKO OPERASIONAL
(Lanjutan)
Risiko manusia (Lihat Contoh):
 Risiko terkait dengan karyawan bank
 Are yang terkait dengan risiko manusia:
 Perputaran pegawai tinggi - Fraud unternal
 Sengketa pekerja - Praktek manajemen buruk
 Pelatihan karyawan tidak memadai - Ketergantung pada karyawan
kunci
 Kesehatan & keselamatan kerja - Rogue trader

Risiko sistem (Lihat Contoh):

 Risiko terkait dengan penggunaan teknologi dan sistem
 Sumber risiko sistem
 Data tidak lengkap - Kesalahan input data
 Pengendalian perubahan data tidak memadai - Gangguan
pelayanan
 Keamanan sistem (virus) - Kecocokan sistem
 Penggunaan teknologi tanpa uji coba - Kesalahan pemrogaman
8
 CONTOH KASUS MANUSIA
- UBS Warburg Bank -
Pada akhir November 2001, UBS Warburg, bank
yang berkantor pusat di Swiss, kehilangan
sekitar USD50 juta pada trading book-nya
karena kesalahan seorang karyawan. Seorang
trader UBS Warburg di Tokyo salah menjual
610.000 saham Dentsu pada harga JPY16 setiap
lembarnya, yang seharusnya 16 lembar saham
seharga JPY610,000 setiap lembarnya. Transaksi
tersebut tetap dieksekusi walaupun order
penjualan dipertanyakan oleh sistem komputer

9
 CONTOH KASUS SISTEM &
TEKNOLOGI
Pada bulan Oktober 2000 kegagalan komputer yang
hampir menyeluruh di Bank of Scotland telah
menyebabkan tidak beroperasinya seluruh mesin ATM
dan fasilitas internet banking yang dimiliki bank
tersebut. Kegagalan tersebut juga telah menyebabkan
tidak dapat digunakannya kartu debit 'Switch' untuk
transaksi berjumlah besar. Kegagalan tersebut terjadi
pada saat jam makan siang dan berlangsung selama
tiga jam. Dampak lebih lanjut adalah pemrosesan
yang biasanya dilakukan pada waktu malam hari
tidak dapat diselesaikan sehingga beberapa tagihan
nasabah tidak dapat dikliringkan pada waktunya

10
 KATEGORI KEJADIAN RISIKO OPERASIONAL
(Lanjutan)
Risiko eksternal
 Risiko terkait dengan kejadian diluar kontrol bank secara
langsung
 Umumnya merupakan kejadian low frekuensi/high impact
 Contoh kejaidn risiko eksternal:
 Pencurian dan external fraud - Kebakaran
 Bencana alam- Terorisme
 Kegagalan perjanjian outsourcing - Kerusuan dan unjuk rasa
 Tidak beroperasinya sistem transportasi - Kegagalan listrik, telp.
Risiko hukum:
 Risiko yang timbul dari adanya ketidakpastian keran tindakam
hukum atau ketidakpastian dalam penerapan dan interpretasi
perjanjian, peraturan, atau ketentuan
 Risiko hukum semakin meningkat karena:
 Penerapan KYC terkait tindakan terorisme
 Penerapan ketentuan perlindungan data karena meningkatnya
11 penggunaan IT
 CONTOH KASUS FAKTOR
EKSTERNAL
Kebakaran melanda bagian basement dari Menara Bank Mandiri
di Jakarta Pusat pada 2 Februari 2009 pukul 04.00 dini hari.
Diduga kebakaran terjadi akibat adanya konsleting listrik di lantai
dasar. Apa berhasil dipadamkan pukil 06.30. Tidak ada korban
jiwa, namun dua orang petugas keamanan terjebak di lanta tujuh
menara tersebut.
Akibat kebakaran tersebut, server data Bank Mandiri dipindahkan
sementara ke tempat lain. Akibat dari pemindahan ini, kegiatan
operasional melalui jalur online antara lain melalui Anjungan ATM
Bank Mandiri di seluruh Indonesia dihentikan sementara selama
beberapa jam. Risiko operasional akibat kebakaran ini antara lain
adalah kerugian finansial atas terbakarnya fisik bangunan,
jaringan dat dan informasi sehingga mengakibatkan
terganggunya pelayanan nasabah dan karyawan di gedung tidak
tidak dapat bekerja akibat rusaknya prasarana kerja

12
 BOUNDARY EVENT
Boundary event merupakan kejadian risiko
yang penyebab pastinya sulit ditentukan
 Penyebabnya merupakan kombinasi berbagai kejadian
Solusi terhadap permasalahan boundary event:
 Mengklasifikasi kejadian berdasarkan penyebab
utamanya
Contoh kasus boundary event:
 Kasus Baring merupaakan komobinasi kejadian risiko
pasar, bisnis atau strategis
 Namun penyebab utamanya adalah risiko
operasional, yaitu pengendalian yang tidak
efektif

13
 MANEJEMEN OPERATIONAL RISK
o Cakupan proses manajemen risiko:
 Identifikasi, Pengukuran, Monitoring, dan
Pengendalian/Mitigasi terhadap setiap faktor risiko yang
melekat pada setiap produk dan jasa yang disebakan oleh
faktor internal dan eksternal
o Tujuan pengendalian risiko operasional:
 Menekan potensi kerugian akibat risiko operasional sampai
pada level yang direncanakan bank (yang dapat
ditoleransi)
o Perangkat umum mengelola risiko operasional:
a. Risk and Control Self Assessment (RCSA): Estimasi risiko
operasional di masa datang
b. Key Risk Indicator (KRI): Mengendalikan risiko operasional
dengan menggunakan batas limit (threshold)
c. Loss Event Database (LED): Mencatat data kerugian yang
sudahterjadi
14
 Kerangka Identifikasi Risiko
Operasional
- Sebab, Kejadian & Konsekuensi -
SEBAB KEJADIAN KONSEKUENSI
Pemisahan
Pemisahan tugas
tugas tidak
tidak Kewajiban
Kewajiban legal
legal
memdai
memdai
Internal
Internal Denda
Denda regulasi,
regulasi, kepatuhan,
kepatuhan,
Kurang
Kurang Pelatihan
Pelatihan Fraud
Fraud Dan
Dan pajak
pajak

External
External Rugi
Rugi atau
atau kerusakan
kerusakan
Kurangnya
Kurangnya pengawasan
pengawasan oleh
oleh Fraud DAMPAK
Manajemen Fraud Aset
Aset fisik
fisik
Manajemen LANGSUN
Employment
Employment Practices
Practices G
Prosedur
Prosedur audit
audit tidak
tidak Pembayaran
Pembayaran kompensasi
kompensasi Kerugian
& Workplace Safety
& Workplace Safety
memadai
memadai finansial
Clients,
Clients, Products
Products
Keamanan Kehilangan
Kehilangan hak
hak
Keamanan tidak
tidak memadai
memadai &
& Business
Business Practices
Practices

Damage
Damage toto
• Physical Assets Penghapusbukuan
Penghapusbukuan aset
aset
Physical Assets
• Business
Business Disruption
Disruption
• &
& System
System Failures
Failures
Reputasi
Reputasi DAMPAK
Execution, LAIN
Execution, Delivery
Delivery &
&
Rancangan Pendapat
Rancangan sistem
sistem jelek
jelek Process Management
Process Management
an yang
Gangguan
Gangguan bisnis
bisnis lepas
Kebijakan
Kebijakan SDM
SDM jelek
jelek
15
 RISK & CONTROL SELF
ASSESSMENT (RCSA)
 Pengertian RCSA: Proses manajemen risiko
operasional untuk mengidentifikasi dan mengukur risiko
operasional yang bersifat kualitatif, dengan
menggunakan dua dimensi:
 Dampak (Impact) dan
 Kemungkinan kejadian (Likelihood)
 Perangkat Penilaian dalan RCS: menggunakan
daftar (checklist) pertanyaan untuk mengevaluasi:
1) Tingkat risiko
2) Tingkat efektivitas kontrol
 Tujuan RCSA: mengidentifikasi dan mendeteksi sumber-
sumber risiko operasional yang berpotensi menjadi
penyebab penyimpangan/ kegagalan dalam menjalankan
aktivitas fungsional
16
 PENGELOMPOKAN KEJADIAN
RISIKO OPERASIONAL
Dasar pengelompokan, yaitu 2 faktor
 Frekuensi – seberapa sering kejadian dapat terjadi
 Dampak – jumlah kerugian yang ditimbulkan
Pengelompokkan:
 Low frequency/low impact:
 Low frequency/high impat
 High frequensi/low impact
 High frequency/high impat
Fokus bank pada:
 Low frequency/high impat (LFHI)
 High frequensi/low impact (HFLI

17
 CONTOH PENGKURUAN
KEMUNGKINAN (LIKELIHOOD)

Lev Kejadian Probablitas Frekensi

el
5 Hampir Pasti ≥ 90% Lebih 9 kali per bulan
4 Kemungkinan 50% ≤ s.d. < Antara 6 – 9 kali per bulan
Besar 90%
3 Kemungkinan 10% ≤ s.d. < Antara 2 – 5 kali per bulan
Sedang 50%
2 Kemungkinan 1% ≤ s.d. < Antara 1 kali per bulan –
Kecil 10% lebih 1 kali per tahun
1 Jarang Sekali < 1% Maksimal 1 kali per tahun

18
 CONTOH PENGUKURAN DAMPAK
SCORE Kerugian Faktor yang mempengaruhi nilai pemegang saham
(Rp. Juta) Perhatian Pelanggaran Pelayanan
publik ketentuan
Sangat 1 Z < 2%X Tidak ada Pelanggaran bersifat Ketidaknyamanan
kecil dampak adm. & tidak nasabah dapat
menimbulkan kerugian diabaikan
finansial
Kecil 2 2%X < Z < Potensi Pelanggaran terhadap Ketidaknyamanan
5%X menjadi ketentuan internal nasabah langsung
sorotan publik yang tidak terkait dapat diatasi
dengan transaksi
namun menimbulkan
resiko lainnya/terkait
dengan ketentuan
internal
Sedang 3 5%X <Z< Pemberitaan Pelanggaran yang Ketidaknyamanan
10%X negatif pada terkait dengan nasabah dapat
media massa transaksi &/atau diatasi dalam 1
ketentuan internal hari kerja
Besar 4 10%X<Z<20 Ekspos utama Pelanggan yang terkait Ketidaknyamanan
19 %X (dimedia dengan transaksi nasabah dapat
massa) lebih &/atau dengan diatasi lebih dari 1
 CONTOH LAIN PENGUKURAN DAMPAK
Lev Peringk Cedera Kerugian Ganggu Reputasi Efisiensi Kinerja
. at Finansial an Operasi
Layana
n
1 Tidak Tidak ada Kurang dari Kurang 1 Tidak ada Sedikit Variasi
signifika luka Rp.1 juta, atau jam berita sekali sampai 5%
n 0,01% dari negatif dampak dari KPI
anggaran atau
operasi sasaran
2 Minor Penangan Antara Rp.1 1 jam – Ada sedikit Penundaan Variasi 5%
an obat juta – Rp.10 1 hari berita yang sampai
ringan juta, atau negatif kurang 10% dari
0,05% dari menyenang KPI atau
anggaran kan sasaran
operasi
3 Sedang Penangan Antara Rp.10 1 hari – Cukup ada Penundaan Variasi 10%
a medis juta – Rp.100 1 berita yang dlm sampai
juta, atau 1% minggu memalukan pelayanan 25% dari
dari anggaran utama KPI atau
operasi sasaran
4 Mayor Kematian Antara Rp.100 1 Cukup ada Tidak Variasi 25%
20 atau luka juta – Rp.1 minggu berita yang tercapainya sampai
sangat milyar, atau – 1 memalukan pelayanan 50% dari
 PENILAIAN RISIKO

Likelihood x Impact = Risk

Risk 1 : 10% x Rp.10.000 = Rp.1.000

Risk 2 : 1% x Rp.50.000 = Rp. 500
.
.
.
.
Risk 999 : 5% x Rp.25.000 =
Risk
Rp.1250
1000 : 20% x Rp. 6,000 =
Rp.1,200
21
 PETA RISIKO
Dampak
1. Tidak
2. Rendah 3. Sedang 4. Besar 5. Dahsyat
Signifikan
5. Hampir M M
pasti M-H H H
Keungkinan

M M
4. Besar
M-H H H

3. Sedang
M-L M-L M M-H M-H

2. Kecil
L L M-L M M
M
1. Jarang
L L M-L M

22
 5 ELEMEN PENGENDALIAN
INTERNAL
1. Pengawasan manajemen dan budaya
pengendalian
2. Pengenalan dan penilaian risiko
3. Aktifitas pengendalian dan pemisahan
tugas
4. Informasi dan komunikasi
5. Aktifitas monitoring dan perbaikan
kelemahan

23
TANGGUNG JAWAB DEWAN KOMISARIS VS.
DIREKSI
DEWAN KOMISARIS DIREKSI
1 Menyetujui dan me-review Mengimplementasikan strategi
secara periodik seluruh dan kebijakan yg disetujui
strategi bisnis dan kebijakan Dewan Komisaris
penting Bank
2 Memahami risiko utama yg Mengembangkan proses
dijalankan Bank, menetapkan identifkasi, penguykuran,
tingkat risiko yg bisa diterima pengendalian, dan pelaporan
(risk appetite & risk tolerance) risiko yg dihadapi Bank
dan memastikan bahwa
Direksi telah mengambil
langkah yg diperlukan untuk
IP3 risiko
3 Memastikan bahwa Direksi Menetapkan kebajan
memonitor efektifitas sistem Pengendalian Internal yg sesuai
Pengendalian Internal dan memonitor kecukupan dan
efektifitas sistem Pengendalian
24 Internal
4 Menyetujui struktur organisasi Memelihara struktur organisasi
 PENGENDALIAN INTERNAL
1. Top level review (Komisaris & Direksi)
o Laporan kinerja untuk mengkaji perkembangan pencapaian sasaran
bank (hasil aktual dibanding dengan anggaran)
2. Pengendalian aktivitas atas divisi/bagian
o Laporan kinerja dan penyimpangan secara harian, mingguan, atau
bulanan kepada departemen atau divisi
3. Pengendalian fisik (misalnya pembatasan akses pada asset
berwujud seperti kas dan surat-surat berharga)
o Misal: batasan fisik, dual custody, pemeriksaan fisik berkala

4. Kepatuhan dengan limit eksposure

o Misal: kepatuhan terhadap limit debitur (BPMK)

25
 PENGENDALIAN INTERNAL (Lanj)
4. Persetujuan dan otorisasi
• Persetujuan atas transaksi diatas batas
tertentu
5. Verifikasi dan rekonsiliasi
• Rekonsiliasi secara berkala

6. Pemisahan Tugas
• Pemisahan petuga back office dan front office
• Pemisahan petugas pemeriksa dokumen
kredit dan monitoring kredit

26
 WHISTLE-BLOWING
 Whistle blowing terjadi ketika pegawai
menyampaikan perhatiannya atas aktivitas
yang membahayakan atau illegal yang
ditemui dalam pekerjaanya
Whistle blowing memberikan peringatan
dini terhadap masalah-masalah seperti :
Kecurangan karyawan bank
Salah penjualan produk financial
Menarik pembayaran sebagai imbalan
pemberian kontrak

27
 AKTIVITAS MONITORING DAN
PERBAIKAN KELEMAHAN
 Dilakukan oleh fungsi audit internal (Risk
Based Audit)
 Sebagai bagian dari operational risk
framework (ORF)
 Menggunakan risk and control self-
assessment (RCSA) atau key risk
indicators (KRI)

28