TE
M
S
C
LI
H
A
N
B
O
LO
LO
Management
G
G
Y
Challenges for the
21 st
Century
CHANGE
2
PENTINGNYA RISIKO OPERASIONAL
- Contoh Kasus -
Juni 1996 – Sumitomo (rugi $2.6 milyar). Seorang trader tembaga
mengakumulasi kerugian yang tak dilaporkan selama tiga tahun.
Yasuo Hamanaka, dikenal sebagai “Mr Five Percent,” setelah
sebagian pasar tembaga dia kendalikan, dikirim ke penjara karena
manipulasi dan kejahatan Reputasi bank sangat hancur
Pebruary 1995 – Barings (rugi $1.3 milyar). Nick Leeson, seorang
trader derivatif, mengakumuliasi kerugian tidak dilaporkan selama
dua tahun. Barings bankrut
September 1996 – Morgan Grenfell Asset Management (rugi $720
juta). Seorang fund manager, Peter Young, melanggar kebijakan
investasi yang menyebabkan kerugian besar. Deutche Bank,
pemilik MGAM, setuju untuk memberi kompensasi pada investor
Sebagian besar dari kerugian tersebut disebabkan oleh trader
yang tidak jujur, atau pengendalian internal. Kegagalan ini
merupakan gabungan antara risiko pasar dan risiko operasional
(kegagalan supervisi)
3
CONTOH KASUS RISIKO
OPERASIONAL
- Kasus Melinda Dee (Citibank) -
Kasus pembobolan dana nasbah Citibank senilai Rp40 miliar
oleh Inong Malinda alias Melinda Dee yang menjabat
Relationship Manager Citigold di bank tersebut merupakan
salah satu kasus hukum paling banyak menyita perhatian
masyarakat di tahun 2011. Guna meraih kepercayaan nasabah,
wanita 47 tahun tersebut terlebih dahulu memperlakukan
mereka secara istimewa. Perlakuan ini tidak hanya diberikannya
dalam waktu singkat, tetapi hingga puluhan tahun sampai
nasabah sangat percaya. Dari sini, Melinda secara cermat
menelisik pola transaksi nasabahnya, kemudian mengajukan
blanko kosong untuk ditanda tangani. Blanko inilah yang dia
gunakanan untuk menarik dana untuk ditransfer ke beberapa
perusahaan miliknya. Melinda juga menggunakan surat kuasa
dari nasabah, sehingga nasabah seolah-olah datang ke bank
untuk melakukan transaksi
4
PENGERTIAN RISIKO OPERASIONAL
Risiko Operasional merupakan risiko kerugian yang
timbul dari kegagalan atau tidak memadainya:
Proses internal
Manusia
Sistem, atau
Pengendalian ekternal
Ingat: dalam Basel risiko operasional mencakup juga
risiko hukum, namun bukan risiko reputasi, strategis,
dan bisnis
Risiko operasional merupakan risiko yang
mempengaruhi semua kegiatan usaha yang melekat
(inherent) dalam pelaksanaan suatu proses atau
aktivitas operasi
5
KATEGORI KEJADIAN RISIKO
OPERASIONAL
Kategori kejadian risiko operasional Basel II
Risiko proses internal
Risiko manusia
Risiko sistem
Risiko eksternal
Risiko hukum
Risiko proses internal (Lihat Contoh):
Risiko terkait dengan kegagagaln proses atau
prosedur di bank
Kejadian risiko proses internal meliputi:
Dokumentasi tidak memadai - Pengendalian lemah
Kesalahan pemasaran - pencucian uang
6
Laporan tdkbenar/tdk lengkap - Kesalahan transaksi
CONTOH KASUS PROSES INTERNAL
- Bank BNI -
Perkara pembobolan Bank BNI cabang Pondok Indah
senilai Rp.46,4 miliar telah menyeret lima terdakwa
pejabat dan karyawan bank tersebut. Mereka
membobol Bank BNI dengan cara mengajukan kredit
dengan agunan dokumen palsu. Dokumen yang
dipalsukan antara lain akta pendirian perusahaan,
akta pemberian hak tanggungan, dan surat kuasa
memberikan hak tangggungan.
Proses pencairan dana tersebut dinilai tidak sesuai
prosedur standar operasional (SOP) perbankan,
petunjuk pelaksanaan bisnis ritel dan prinsip kehati-
hatian perbankan
7
KATEGORI KEJADIAN RISIKO OPERASIONAL
(Lanjutan)
Risiko manusia (Lihat Contoh):
Risiko terkait dengan karyawan bank
Are yang terkait dengan risiko manusia:
Perputaran pegawai tinggi - Fraud unternal
Sengketa pekerja - Praktek manajemen buruk
Pelatihan karyawan tidak memadai - Ketergantung pada karyawan
kunci
Kesehatan & keselamatan kerja - Rogue trader
9
CONTOH KASUS SISTEM &
TEKNOLOGI
Pada bulan Oktober 2000 kegagalan komputer yang
hampir menyeluruh di Bank of Scotland telah
menyebabkan tidak beroperasinya seluruh mesin ATM
dan fasilitas internet banking yang dimiliki bank
tersebut. Kegagalan tersebut juga telah menyebabkan
tidak dapat digunakannya kartu debit 'Switch' untuk
transaksi berjumlah besar. Kegagalan tersebut terjadi
pada saat jam makan siang dan berlangsung selama
tiga jam. Dampak lebih lanjut adalah pemrosesan
yang biasanya dilakukan pada waktu malam hari
tidak dapat diselesaikan sehingga beberapa tagihan
nasabah tidak dapat dikliringkan pada waktunya
10
KATEGORI KEJADIAN RISIKO OPERASIONAL
(Lanjutan)
Risiko eksternal
Risiko terkait dengan kejadian diluar kontrol bank secara
langsung
Umumnya merupakan kejadian low frekuensi/high impact
Contoh kejaidn risiko eksternal:
Pencurian dan external fraud - Kebakaran
Bencana alam- Terorisme
Kegagalan perjanjian outsourcing - Kerusuan dan unjuk rasa
Tidak beroperasinya sistem transportasi - Kegagalan listrik, telp.
Risiko hukum:
Risiko yang timbul dari adanya ketidakpastian keran tindakam
hukum atau ketidakpastian dalam penerapan dan interpretasi
perjanjian, peraturan, atau ketentuan
Risiko hukum semakin meningkat karena:
Penerapan KYC terkait tindakan terorisme
Penerapan ketentuan perlindungan data karena meningkatnya
11 penggunaan IT
CONTOH KASUS FAKTOR
EKSTERNAL
Kebakaran melanda bagian basement dari Menara Bank Mandiri
di Jakarta Pusat pada 2 Februari 2009 pukul 04.00 dini hari.
Diduga kebakaran terjadi akibat adanya konsleting listrik di lantai
dasar. Apa berhasil dipadamkan pukil 06.30. Tidak ada korban
jiwa, namun dua orang petugas keamanan terjebak di lanta tujuh
menara tersebut.
Akibat kebakaran tersebut, server data Bank Mandiri dipindahkan
sementara ke tempat lain. Akibat dari pemindahan ini, kegiatan
operasional melalui jalur online antara lain melalui Anjungan ATM
Bank Mandiri di seluruh Indonesia dihentikan sementara selama
beberapa jam. Risiko operasional akibat kebakaran ini antara lain
adalah kerugian finansial atas terbakarnya fisik bangunan,
jaringan dat dan informasi sehingga mengakibatkan
terganggunya pelayanan nasabah dan karyawan di gedung tidak
tidak dapat bekerja akibat rusaknya prasarana kerja
12
BOUNDARY EVENT
Boundary event merupakan kejadian risiko
yang penyebab pastinya sulit ditentukan
Penyebabnya merupakan kombinasi berbagai kejadian
Solusi terhadap permasalahan boundary event:
Mengklasifikasi kejadian berdasarkan penyebab
utamanya
Contoh kasus boundary event:
Kasus Baring merupaakan komobinasi kejadian risiko
pasar, bisnis atau strategis
Namun penyebab utamanya adalah risiko
operasional, yaitu pengendalian yang tidak
efektif
13
MANEJEMEN OPERATIONAL RISK
o Cakupan proses manajemen risiko:
Identifikasi, Pengukuran, Monitoring, dan
Pengendalian/Mitigasi terhadap setiap faktor risiko yang
melekat pada setiap produk dan jasa yang disebakan oleh
faktor internal dan eksternal
o Tujuan pengendalian risiko operasional:
Menekan potensi kerugian akibat risiko operasional sampai
pada level yang direncanakan bank (yang dapat
ditoleransi)
o Perangkat umum mengelola risiko operasional:
a. Risk and Control Self Assessment (RCSA): Estimasi risiko
operasional di masa datang
b. Key Risk Indicator (KRI): Mengendalikan risiko operasional
dengan menggunakan batas limit (threshold)
c. Loss Event Database (LED): Mencatat data kerugian yang
sudahterjadi
14
Kerangka Identifikasi Risiko
Operasional
- Sebab, Kejadian & Konsekuensi -
SEBAB KEJADIAN KONSEKUENSI
Pemisahan
Pemisahan tugas
tugas tidak
tidak Kewajiban
Kewajiban legal
legal
memdai
memdai
Internal
Internal Denda
Denda regulasi,
regulasi, kepatuhan,
kepatuhan,
Kurang
Kurang Pelatihan
Pelatihan Fraud
Fraud Dan
Dan pajak
pajak
External
External Rugi
Rugi atau
atau kerusakan
kerusakan
Kurangnya
Kurangnya pengawasan
pengawasan oleh
oleh Fraud DAMPAK
Manajemen Fraud Aset
Aset fisik
fisik
Manajemen LANGSUN
Employment
Employment Practices
Practices G
Prosedur
Prosedur audit
audit tidak
tidak Pembayaran
Pembayaran kompensasi
kompensasi Kerugian
& Workplace Safety
& Workplace Safety
memadai
memadai finansial
Clients,
Clients, Products
Products
Keamanan Kehilangan
Kehilangan hak
hak
Keamanan tidak
tidak memadai
memadai &
& Business
Business Practices
Practices
Damage
Damage toto
• Physical Assets Penghapusbukuan
Penghapusbukuan aset
aset
Physical Assets
• Business
Business Disruption
Disruption
• &
& System
System Failures
Failures
Reputasi
Reputasi DAMPAK
Execution, LAIN
Execution, Delivery
Delivery &
&
Rancangan Pendapat
Rancangan sistem
sistem jelek
jelek Process Management
Process Management
an yang
Gangguan
Gangguan bisnis
bisnis lepas
Kebijakan
Kebijakan SDM
SDM jelek
jelek
15
RISK & CONTROL SELF
ASSESSMENT (RCSA)
Pengertian RCSA: Proses manajemen risiko
operasional untuk mengidentifikasi dan mengukur risiko
operasional yang bersifat kualitatif, dengan
menggunakan dua dimensi:
Dampak (Impact) dan
Kemungkinan kejadian (Likelihood)
Perangkat Penilaian dalan RCS: menggunakan
daftar (checklist) pertanyaan untuk mengevaluasi:
1) Tingkat risiko
2) Tingkat efektivitas kontrol
Tujuan RCSA: mengidentifikasi dan mendeteksi sumber-
sumber risiko operasional yang berpotensi menjadi
penyebab penyimpangan/ kegagalan dalam menjalankan
aktivitas fungsional
16
PENGELOMPOKAN KEJADIAN
RISIKO OPERASIONAL
Dasar pengelompokan, yaitu 2 faktor
Frekuensi – seberapa sering kejadian dapat terjadi
Dampak – jumlah kerugian yang ditimbulkan
Pengelompokkan:
Low frequency/low impact:
Low frequency/high impat
High frequensi/low impact
High frequency/high impat
Fokus bank pada:
Low frequency/high impat (LFHI)
High frequensi/low impact (HFLI
17
CONTOH PENGKURUAN
KEMUNGKINAN (LIKELIHOOD)
18
CONTOH PENGUKURAN DAMPAK
SCORE Kerugian Faktor yang mempengaruhi nilai pemegang saham
(Rp. Juta) Perhatian Pelanggaran Pelayanan
publik ketentuan
Sangat 1 Z < 2%X Tidak ada Pelanggaran bersifat Ketidaknyamanan
kecil dampak adm. & tidak nasabah dapat
menimbulkan kerugian diabaikan
finansial
Kecil 2 2%X < Z < Potensi Pelanggaran terhadap Ketidaknyamanan
5%X menjadi ketentuan internal nasabah langsung
sorotan publik yang tidak terkait dapat diatasi
dengan transaksi
namun menimbulkan
resiko lainnya/terkait
dengan ketentuan
internal
Sedang 3 5%X <Z< Pemberitaan Pelanggaran yang Ketidaknyamanan
10%X negatif pada terkait dengan nasabah dapat
media massa transaksi &/atau diatasi dalam 1
ketentuan internal hari kerja
Besar 4 10%X<Z<20 Ekspos utama Pelanggan yang terkait Ketidaknyamanan
19 %X (dimedia dengan transaksi nasabah dapat
massa) lebih &/atau dengan diatasi lebih dari 1
CONTOH LAIN PENGUKURAN DAMPAK
Lev Peringk Cedera Kerugian Ganggu Reputasi Efisiensi Kinerja
. at Finansial an Operasi
Layana
n
1 Tidak Tidak ada Kurang dari Kurang 1 Tidak ada Sedikit Variasi
signifika luka Rp.1 juta, atau jam berita sekali sampai 5%
n 0,01% dari negatif dampak dari KPI
anggaran atau
operasi sasaran
2 Minor Penangan Antara Rp.1 1 jam – Ada sedikit Penundaan Variasi 5%
an obat juta – Rp.10 1 hari berita yang sampai
ringan juta, atau negatif kurang 10% dari
0,05% dari menyenang KPI atau
anggaran kan sasaran
operasi
3 Sedang Penangan Antara Rp.10 1 hari – Cukup ada Penundaan Variasi 10%
a medis juta – Rp.100 1 berita yang dlm sampai
juta, atau 1% minggu memalukan pelayanan 25% dari
dari anggaran utama KPI atau
operasi sasaran
4 Mayor Kematian Antara Rp.100 1 Cukup ada Tidak Variasi 25%
20 atau luka juta – Rp.1 minggu berita yang tercapainya sampai
sangat milyar, atau – 1 memalukan pelayanan 50% dari
PENILAIAN RISIKO
M M
4. Besar
M-H H H
3. Sedang
M-L M-L M M-H M-H
2. Kecil
L L M-L M M
M
1. Jarang
L L M-L M
22
5 ELEMEN PENGENDALIAN
INTERNAL
1. Pengawasan manajemen dan budaya
pengendalian
2. Pengenalan dan penilaian risiko
3. Aktifitas pengendalian dan pemisahan
tugas
4. Informasi dan komunikasi
5. Aktifitas monitoring dan perbaikan
kelemahan
23
TANGGUNG JAWAB DEWAN KOMISARIS VS.
DIREKSI
DEWAN KOMISARIS DIREKSI
1 Menyetujui dan me-review Mengimplementasikan strategi
secara periodik seluruh dan kebijakan yg disetujui
strategi bisnis dan kebijakan Dewan Komisaris
penting Bank
2 Memahami risiko utama yg Mengembangkan proses
dijalankan Bank, menetapkan identifkasi, penguykuran,
tingkat risiko yg bisa diterima pengendalian, dan pelaporan
(risk appetite & risk tolerance) risiko yg dihadapi Bank
dan memastikan bahwa
Direksi telah mengambil
langkah yg diperlukan untuk
IP3 risiko
3 Memastikan bahwa Direksi Menetapkan kebajan
memonitor efektifitas sistem Pengendalian Internal yg sesuai
Pengendalian Internal dan memonitor kecukupan dan
efektifitas sistem Pengendalian
24 Internal
4 Menyetujui struktur organisasi Memelihara struktur organisasi
PENGENDALIAN INTERNAL
1. Top level review (Komisaris & Direksi)
o Laporan kinerja untuk mengkaji perkembangan pencapaian sasaran
bank (hasil aktual dibanding dengan anggaran)
2. Pengendalian aktivitas atas divisi/bagian
o Laporan kinerja dan penyimpangan secara harian, mingguan, atau
bulanan kepada departemen atau divisi
3. Pengendalian fisik (misalnya pembatasan akses pada asset
berwujud seperti kas dan surat-surat berharga)
o Misal: batasan fisik, dual custody, pemeriksaan fisik berkala
25
PENGENDALIAN INTERNAL (Lanj)
4. Persetujuan dan otorisasi
• Persetujuan atas transaksi diatas batas
tertentu
5. Verifikasi dan rekonsiliasi
• Rekonsiliasi secara berkala
6. Pemisahan Tugas
• Pemisahan petuga back office dan front office
• Pemisahan petugas pemeriksa dokumen
kredit dan monitoring kredit
26
WHISTLE-BLOWING
Whistle blowing terjadi ketika pegawai
menyampaikan perhatiannya atas aktivitas
yang membahayakan atau illegal yang
ditemui dalam pekerjaanya
Whistle blowing memberikan peringatan
dini terhadap masalah-masalah seperti :
Kecurangan karyawan bank
Salah penjualan produk financial
Menarik pembayaran sebagai imbalan
pemberian kontrak
27
AKTIVITAS MONITORING DAN
PERBAIKAN KELEMAHAN
Dilakukan oleh fungsi audit internal (Risk
Based Audit)
Sebagai bagian dari operational risk
framework (ORF)
Menggunakan risk and control self-
assessment (RCSA) atau key risk
indicators (KRI)
28