Sep 21, 2012

PRINSIP MANAJEMEN RISIKO OPERSIONAL MENURUT BASSEL II


Mengembangkan Lingkungan Manajemen Risiko yang sesuai
 
Gagal memahami dan mengelola risiko operasional, seperti yang terlihat pad transaksi dan aktivitas bank, mungkin akan meningkatkan dengan tajam kekerapan beberapa risiko yang akhirnya tak disadari dan tak terkontrol. Dewan Direksi dan Manajemen Senior bertanggung jawab menciptakan budaya organisasi yang menempatkan prioritas tinggi pada manajemen risiko operasional yang efektif dan kepatuhan pada kontrol operasional yang sehat. Manajemen risiko operasional sangat efektif jika budaya bank mendorong standar tingkah laku etis yang tinggi di semua tingkatan bank. Dewan dan Manajemen senior harus mempromosikan budaya organisasi yang membangun melalui tindakan dan kata-kata harapan integritas untuk semua pegawai dalam melakukan bisnis bank.

Prinsip 1: Board of director harus sadar akan aspek utama risiko operasional bank yang harus dikelola, dan harus menyetujui dan mereview secara periodik kerangka manajemen risiko operasional bank. Kerangka harus memberi definisi risiko operasional menyeluruh pada perusahaan dan menentukan standar untuk mengidentifikasi, menilai, memonitor, dan mengendalikan (control/mitigate) risiko operasional

1.Dewan Direktur harus menyetujui implementasi kerangka kerja keseluruhan yang secara jelas mengelola risiko operasional sebagai suatu risiko tersendiri untuk kesehatan dan kekuatan bank. Dewan harus menyediakan tuntunan yang jelas bagi manajer senior dan arahan yang menyangkut prinsip-prinsip yang mendasari kerangka kerja tersebut dan menyetujui kebijakan-kebijakan yang berhubungan yang dikembangkan oleh manajer senior.

2. Kerangka kerja risiko operasional harus didasari pada definisi yang tepat tentang risiko operasional yang secara jelas menyatakan apa yang dimaksudkan dengan risiko operasional pada bank. Kerangka kerja harus mencakup selera dan toleransi risiko operasional buat bank, seperti yang dinyatakan dalam kebijakan mengenai manajemen risiko dan prioritas bank terhadap aktivitas-aktivitas manajemen risiko operasional, termasuk tingkatan, dan tindakan dimana risiko operasional dialihkan kepihak lain diluar bank. Harus juga termasuk kebijakan yang secara garis besar pendekatan bank untuk melakukan identifikasi, menilai, monitor dan kontrol/mitigasi risiko. Tingkatan kesulitan dan kecanggihan dari kerangka kerja manajemen risiko operasional bank harus selaras dengan profil risiko bank.

3. Dewan bertanggung jawab untuk menetapkan strutur manajemen yang mampu menerapkan kerangka kerja manajemen risiko operasional keseluruhan. Karena aspek yang penting dalam mengelola risiko operasional berhubungan dengan kekuatan pengendalian intern, oleh karenanya sangat penting bagi Dewan menetapkan kejelasan lini tanggung jawab manajemen, akuntabilitas, dan pelaporan. Sebagai tambahan, harus ada pemisahan tanggung jawab dan lini pelaporan antara fungsi kontrol risiko operasional, lini bisnis dan fungsi pendukung untuk menghindari benturan kepentingan. Kerangka kerja harus juga menyatakan proses kunci yang dibutuhkan perusahaan yang harus ada untuk mengelola risiko operasional.

4. Dewan harus mengkaji secara berkala kerangka kerja untuk memastikan bahwa bank sedang mengelola risiko operasional yang timbul dari perubahan pasar eksternal, dan faktor-faktor lingkungan, dan juga manajemen risiko operasional yang berhubungan dengan produk, aktivitas atau sistem baru. Proses kajian ini harus juga bertujuan menilai praktik-praktik yang terbaik dalam industri dalam mengelola risiko operasional yang sesuai dengan aktivitas, sistem dan proses bank. Jika diperlukan, Dewan harus memastikan bahwa kerangka kerja manajemen risiko operasional diperbaiki sesuai dengan analisa tersebut, sehingga risiko operasional yang nilainya material tercakup dalam kerangka kerja.

Prinsip 2: Board of directors harus memastikan bahwa ada audit reguler terhadap kerangka manajemen risiko operasional yang dilakukan oleh tim internal yang independen dan kompeten (yaitu independen dari tim risiko oparasional – biasanya fungsi internal  audit)

1. Bank harus memiliki cakupan internal audit yang memadai untuk verifikasi kebijakan dan prosedur operasi telah diimplementasikan secara efektif. Dewan (baik langsung atau tidak langsung melalui komite auditnya) harus memastikan bahwa cakupan dan krekwensi program audit telah sesuai dengan eksposur risiko. Audit harus secara berkala memvalidasi kerangka kerja manajemen risiko operasional perusahaan telah diimplementasikan secara eketif di seluruh bagian dalam perusahaan.

2. Walaupun fungsi audit terlibat dalam pengawasan kerangka kerja manajemen risiko operasional, Dewan harus memastikan independensi audit tetap terjaga. Independensi ini mungkin akan ternodai jika fungsi audit terlibat langsung dalam proses manajemen risiko operasional. Fungsi audit mungkin akan menyediakan masukan yang bernilai untuk mereka yang bertanggung jawab pada manajemen risiko operasional, tetapi tidak boleh memiliki tanggung jawab manajemen risiko operasional secara langsung. Dalam praktiknya, Komite menyadari fungsi audit pada beberapa bank (khususnya bank yang lebih kecil) mungkin akan memiliki tanggung jawab awal untuk mengembangkan program manajemen risiko operasional. Jika hal itu terjadi, bank harus menyadari bahwa tanggung jawab sehari-hari dalam mengelola risiko operasional akan dialihkan kepihak lain dalam waktu yang tepat.

Prinsip 3: Manajemen senior harus bertanggung jawab untuk implementasi kerangka manajemen risiko operasional yang disetujui oleh board of director. Manajemen senior harus bertanggung jawab untuk pengembangan kebijakan, proses dan prosedur untuk mengelola risiko operasional pada bank. 

1. Manajemen harus menerjemahkan kerangka kerja manajemen risiko operasional yang dikembangkan oleh Dewan Direksi dalam kebijakan, proses dan prosedur yang spesifik yang dapat diimplementasikan dan diverifikasi dalam unit bisnis yang berbeda. Sementara level manajemen masing-masing bertanggung jawab untuk kesesuaian dan keefektifan kebijakan, proses, prosedur dan kontrol dalam cakupannya, senior manajemen harus secara jelas memberikan otoritas, tanggung jawab dan hubungan pelaporan untuk memajukan dan memelihara akuntabilitas, dan memastikan bahwa sumber daya yang diperlukan telah tersedia untuk mengelola risiko operasional secara efektif. Lebih lagi, manajemen senior harus menilai kesesuaian proses pengawasan manajemen yang sesuai dengan risiko yang terkandung dalam kebijakan bisnis unit.

2. Manajemen senior harus memastikan bahwa aktivitas bank telah dilakukan oleh staff yang kompeten dengan pengalaman yang memadai, kemampuan teknis dan akses kepada sumber daya, dan staff tersebut bertanggung jawab untuk memonitor dan menegakkan kepatuhan pada kebijakan risiko institusi yang memiliki otoritas independen dari unit yang diawasinya. Manajemen harus memastikan bahwa kebijakan manajemen risiko operasional bank telah secara jelas dikomunikasikan kepada staff di semua tingkatan dalam unit-unit yang memiliki risiko operasional secara material.

4. Manajemen senior harus memastikan bahwa staff yang bertanggung jawab untuk mengelola risiko operasional berkomunikasi secara efektif dengan staff yang bertanggung jawab mengelola risiko kredit, pasar dan lainnya, juga dengan mereka yang dalam perusahaan bertanggung jawab untuk mengadakan layanan eksternal seperti pembelian asuransi dan perjanjian-perjanjian dengan outsourcing. Kealpaan melakukan hal itu akan mengakibatkan kesenjangan yang besar atau tumpang tindih dalam program manajemen risiko keseluruhan.

5. Manajemen senior harus memastikan bahwa kebijakan penggajian telah konsisten dengan selera risiko. Kebijakan penggajian yang justru memberi penghargaan kepada staff yang menyimpang dari kebijakan (contohnya melampaui limit yang telah ditetapkan) akan melemahkan proses manajemen risiko bank.

6. Perhatian khusus harus diberikan pada kualitas kontrol dokumentasi dan praktik penanganan transaksi. Kebijakan, proses dan prosedur yang berhubungan dengan teknologi maju yang mendukung transaksi dalam jumlah yang besar, khususnya, harus didokumentasikan dan disebarluaskan kepada orang yang relevan.

Prinsip 4 : Identifikasi dan menilai risiko operasional yang terkandung di dalam semua produk, aktivitas, proses dan sistem

1. Identifikasi risiko adalah kaki bukit dari pengembangan berkelanjutan monitor dan sistem kontrol risiko operasional yang bisa dilakukan. Identifikasi risiko yang efektif mempertimbangkan faktor internal (seperti struktur bank, karakteristik aktivitas bank, kualitas SDM bank, perubahan organisasi, perputaran staf) dan faktor eksternal (seperti perubahan dalam industri dan kemajuan teknologi) yang dapat mempengaruhi secara buruk pencapaian tujuan bank.

2. Sebagai tambahan, untuk melakukan identifikasi potensi risiko terburuk, bank harus menilai kerapuhan pada risiko-risiko ini. Penilaian risiko yang efektif membuat bank menyadari dengan lebih baik profil risikonya dan secara sangat efektif sumber daya-sumber daya tujuan manajemen risiko.

3. Berbagai perangkat yang mungkin digunakan untuk melakukan identifikasi dan penilaian risiko operasional, antara lain:
  • Self- or Risk Assessment: bank menilai operasi dan aktivitasnya terhadap serangkaian menu potensial risiko operasional yang terbuka/lemah. Proses ini digerakkan dari internal dan seringkali dalam bentuk checklist (daftar pertanyaan) dan/atau lokakarya (workshop) untuk melakukan identifikasi kekuatan dan kelemahan lingkungan risiko operasional. Scorecards, sebagai contoh, menyediakan cara menerjemahkan penilaian kualitatif menjadi metric kuantitatif yang memberikan peringkat berbagai tipe eksposur risiko operasional. Nilai tertentu mungkin berhubungan dengan risiko yang hanya ada pada lini bisnis tertentu sementara lainnya mungkin memeringkat risiko yang ada pada beberapa lini bisnis. Nilai mungkin menunjukkan risiko inheren, juga kontrol-kontrol untuk mitigasinya. Sebagai tambahan, Scorecards mungkin digunakan oleh bank untuk mengalokasikan modal ekonomis (economic capital) pada berbagai lini bisnis dalam hubungan dengan kinerja dalam pengelolaan dan kontrol berbagai aspek risiko operasional.
  • Risk Mapping: dalam proses ini, berbagai unit bisnis, fungsi organisasi atau alur proses dipetakan dalam type risiko. Latihan ini dapat mengungkapkan area-area yang lemah dan menolong membuat prioritas tindakan manajemen selanjutnya.
  • Risk Indicators: indikator risiko adalah statistik dan atau metrik, seringkali berhubungan dengan finansial, yang dapat menyediakan pengertian tentang posisi risiko bank. Indikator-indikator ini cenderung dikaji berkala (mungkin bulanan atau kuartalan) untuk mengingatkan bank pada perubahan indikasi yang menjadi perhatian risiko. Indikator-indikator ini mungkin termasuk jumlah kegagalan perdagangan, tingkat perputaran karyawan dan frekwensi dan/atau dampak kesalahan dan kelalaian.
  • Measurement: beberapa perusahaan telah memulai untuk mengkuantifikasi eksposur risiko operasional mereka menggunakan berbagai pendekatan. Contohnya, data pengalaman kerugian historis bank dapat menyediakan informasi yang berguna untuk menilai eksposur risiko operasional dan mengembangkan kebijakan untuk mitigasi/kontrol risiko tersebut. Suatu cara yang efektif untuk menggunakan dengan baik informasi ini dengan membuat kerangka kerja yang secara sistematis memantau dan mencatat frekwensi, dampak dan informasi relevant yang lain untuk setiap kejadian yang merugikan. Beberapa perusahaan mengkombinasikan data kerugian internal dengan data kerugian eksternal, analisa risiko dan faktor-faktor penilaian risiko.

Prinsip 5: Bank harus menerapkan proses untuk memantau dan melaporkan profil risiko operasional dan eksposure ke  kerugian secara reguler. Harus ada manajemen proaktif dari risiko operasional.

1. Proses monitoring yang efektif sangat diperlukan untuk pengelolaan risiko operasional yang memadai. Aktivitas monitoring yang berkala dapat menawarkan keuntungan deteksi dini dan memperbaiki kelemahan pada kebijakan, proses dan prosedur untuk mengelola risiko operasional. Deteksi dan arahan yang cepat pada kekurangan-kekurangan ini dapat banyak mengurangi potensi frekwensi dan/atau dampak dari kejadian yang merugikan.

2. Sebagai tambahan untuk memonitor kejadian kerugian operasional, bank harus melakukan identifikasi indikator yang sesuai yang menyediakan peringatan dini untuk risiko yang meningkat pada kerugian masa depan. Indikator tersebut (sering disebut indikator risiko utama atau indikator peringatan dini) harus memiliki pandangan ke depan dan dapat mencerminkan sumber potensial risiko operasional seperti, tingkat pertumbuhan, pengenalan produk baru, perputaran pegawai, kegagalan transaksi, system downtime, dan lain sebagainya. Saat batas dihubungkan secara langsung pada indikator-indikator ini sebuah proses monitoring dapat menolong mengidentifikasi risiko utama yang material secara transparan dan memampukan bank bertindak terhadap risiko ini dengan tepat.

3. Frekwensi monitoring harus mencerminkan risiko yang terkait dan  frekwensi dan natur perubahan pada lingkungan operasional. Monitoring harus merupakan suatu bagian yang terintegrasi pada aktivitas bank. Hasil aktivitas monitoring ini harus tertuang dalam laporan kepada manajemen dan Dewan secara berkala, dan harus dikaji kepatuhannya oleh internal audit dan/atau fungsi manajemen risiko. Laporan yang dihasilkan oleh (dan/atau kepada) otoritas supervisi dapat juga menginformasikan monitoring tersebut dan harus juga dilaporkan kepada manajemen senior dan Dewan, dimana perlu.

4. Manajemen senior harus menerima laporan berkala dari area yang sesuai, seperti lini bisnis, fungsi grup, unit kerja manajemen risiko operasional dan internal audit.  Laporan risiko operasional harus berisi data internal tentang finansial, operasional, dan kepatuhan, juga informasi pasar eksternal tentang kejadian dan kondisi yang relevant untuk pengambilan keputusan. Laporan harus didistribusikan kepada tingkatan manajemen dan area yang sesuai, dimana area yang mungkin terkena suatu dampak. Laporan harus secara penuh mencerminkan setiap area permasalahan yang teridentifikasi dan harus mendorong tindakan koreksi yang tepat waktu untuk permasalahan yang belum terselesaikan. Untuk memastikan kegunaan dan kecermatan laporan audit dan risiko ini, manajemen harus secara berkala memeriksa ketepatan waktunya, akurasinya, dan relevansinya sistem pelaporan dan kontrol internal secara umum. Manajemen mungkin menggunakan laporan yang disiapkan oleh sumber dari luar (auditor, supervisi) untuk menilai kegunaan dan ketepatan laporan internal. Laporan harus dianalisa dengan pandangan meningkatkan kinerja manajemen risiko juga menetapkan kebijakan, prosedur, dan praktik manajemen risiko yang baru.

5. Secara umum, Dewan Direksi harus menerima informasi level-tinggi secukupnya yang memampukan mereka mengerti profil risiko operasional keseluruhan bank dan fokus pada materialitas dan implikasi strategis bagi bisnis.

Prinsip 6: Bank harus memiliki kebijakan, proses dan prosedur untuk mengendalikan dan/atau memitigasi risiko operasional yang material.

1. Aktivitas kontrol didesain untuk menyampaikan risiko operasional yang diidentifikasikan bank. Untuk semua risiko operasional yang material yang telah diidentifikasi, bank harus memutuskan apakah menggunakan prosedur yang sesuai untuk kontrol dan/atau mitigasi risiko, atau menanggung risiko. Untuk risiko yang tidak dapat dikontrol, bank harus memutuskan apakah menerima risiko ini, mengurangi tingkat keterlibatan aktivitas bisnis, atau menarik dari aktivitas ini seluruhnya. Proses kontrol dan prosedur harus ditetapkan dan bank harus memiliki sistem yang tersedia untuk memastikan kepatuhan pada serangkaian kebijakan internal tentang sistem manajemen risiko yang terdokumentasi. Elemen yang prinsipil termasuk, sebagai contoh:
  • Kajian tingkat atas untuk menilai kemajuan yang dicapai oleh bank dibandingkan dengan tujuan yang telah ditetapkan.
  • Pemeriksaan kepatuhan pada kontrol manajemen
  • Kebijakan, proses dan prosedur tentang kajian, perlakuan dan pernyataan ketidakpatuhan
  • Sebuah sistem persetujuan yang terdokumentasi dan otorisasi untuk memastikan akuntabilitas pada tingkatan manajemen yang sesuai.
2. Walaupun sebuah kerangka kerja dalam bentuk formal, kebijakan tertulis, dan prosedur sangat penting, tetap dibutuhkan penegakan melalui budaya kontrol yang kuat yang mendorong praktik-praktik manajemen risiko yang sehat. Baik Dewan Direktur dan Manajemen Senior bertanggung jawab membuat budaya kontrol internal yang kuat yang memungkin aktivitas kontrol sebagai bagian tak terpisahkan pada aktivitas regular bank. Kontrol yang menjadi bagian tak terpisahkan dalam aktivitas reguler bank memampukan respon yang cepat pada kondisi yang berubah dan menghindari biaya yang tidak diperlukan.

3. Suatu sistem internal kontrol yang efektif juga membutuhkan adanya pemisahan tugas yang layak dan karyawan tidak diberikan tanggung jawab yang akan menciptakan benturan kepentingan. Menugaskan karyawan atau kelompok yang menciptakan benturan kepentingan, mungkin akan memampukan mereka untuk menutupi kerugian, kesalahan atau tindakan yang tidak sesuai. Oleh karena itu, area benturan kepentingan harus diidentifikasi, diminimalkan, dan harus dimonitor dan dikaji secara hati-hati dan independen.

4. Sebagai tambahan dari pemisahan tugas, bank harus memastikan praktik-praktik internal lainnya telah ada dan sesuai dengan kontrol risiko operasional. Contoh yang termasuk:
  • Monitoring yang ketat pada kepatuhan untuk membuat limit risiko dan batasan-batasan
  • Tetap melindungi akses ke, dan penggunaan dari, aset bank dan arsip
  • Memastikan bahwa staff memiliki keahlian dan training yang sesuai
  • Identifikasi lini bisnis atau produk yang hasilnya kelihatan diluar anggaran dengan harapan yang masuk akal (contohnya aktivitas perdagangan yang seharusnya berisiko rendah, pendapatan rendah menghasilkan pendapatan yang tinggi, bisa menimbulkan pertanyaan apakah hasil tersebut didapat karena pelanggaran kontrol internal); dan
  • Verifikasi berkala dan rekonsiliasi transaksi dan rekening.
Gagal menerapkan praktik-praktik tersebut akan menghasilkan kerugian operasional yang besar untuk beberapa bank dalam beberapa tahun belakangan ini.

5. Risiko operasional dapat lebih kelihatan saat bank mengeluarkan aktivitas baru atau mengembangkan produk baru (khususnya jika produk atau aktivitas ini tidak konsisten dengan startegi bisnis inti bank), masuk pasar yang tidak dikuasai, dan/atau terlibat dalam bisnis yang secara geografis letaknya jauh dari kantor pusat. Lebih lagi, dalam banyak contoh, perusahaan tidak memastikan infrastruktur kontrol manajemen risiko sejalan dengan pertumbuhan pada aktivitas bisnis. Banyak kerugian yang jumlahnya sangat besar dan kerugian dengan profil tertinggi dalam tahun-tahun belakangan ini terjadi pada satu atau lebih kondisi-kondisi tersebut. Oleh sebab itu, bank-bank sekarang harus memastikan memberi perhatian khusus pada aktivitas internal kontrol jika kondisi-kondisi tersebut ada.

6. Beberapa risiko operasional yang signifikan memiliki kemungkinan kecil terjadi tapi dengan dampak potensi kerugian keuangan yang sangat besar. Lebih lagi, tidak semua kejadian risiko dapat dikontrol (seperti bencana alam). Perangkat atau program mitigasi risiko dapat digunakan untuk mengurangi,  frekwensi atau dampak kejadian tersebut. Contoh, polis asuransi, khususnya yang memiliki kemampuan pembayaran yang cepat dan pasti, dapat digunakan untuk mengeluarkan risiko “frekwensi rendah, dampak tinggi” kerugian yang dapat terjadi sebagai akibat kejadian seperti tuntutan pihak ketiga akibat kesalahan dan kelalaian, kehilangan fisik surat-surat berharga, fraud baik yang dilakukan oleh pegawai atau pihak ketiga, dan bencana alam.

7. Namun, bank harus memandang perangkat mitigasi risiko sebagai pelengkap dari, bukannya pengganti dari kontrol risiko operasional internal yang menyeluruh. Memiliki mekanisme untuk mengenali dengan cepat dan memperbaiki kesalahan risiko operasional yang benar dapat mengurangi dampaknya dengan sangat besar. Kebijakan yang hati-hati juga dibutuhkan untuk melihat apakah asuransi benar-benar mengurangi risiko, atau mengalihkan risiko ke bisnis atau area lain, atau malah menimbulkan risiko baru (seperti risiko hukum atau counterparty).

8. Investasi dalam teknologi proses yang sesuai dan keamanan teknologi informasi juga penting buat mitigasi risiko. Namun, bank harus sadar peningkatan otomasi dapat merubah kerugian dengan frekwensi tinggi dampak rendah menjadi kerugian frekwensi rendah, dampak tinggi. Hal ini dihubungkan dengan kerugian atau gangguan layanan berkelanjutan yang disebabkan oleh faktor internal atau oleh faktor diluar kontrol bank (seperti kejadian eksternal). Masalah tersebut dapat menimbulkan berbagai kesulitan buat bank dan dapat merusak kemampuan institusi untuk melakukan aktivitas bisnis utamanya. Seperti yang didiskusikan di bawah dalam Prinsip 7, bank harus membuat Disaster recovery dan Business continuity plans terhadap risiko tersebut.

9. Bank juga harus membuat kebijakan untuk mengelola risiko sehubungan dengan aktivitas outsourcing. Outsourcing aktivitas dapat menurunkan profil risiko institusi dengan mengalihkan aktivitas kepada pihak lain yang memiliki keahlian lebih dan kemampuan mengelola risiko yang berhubungan dengan berbagai aktivitas binis yang khusus. Namun, bank yang menggunakan pihak ketiga tidak menurunkan tanggung jawab dewan direksi dan manajemen untuk memastikan aktivitas pihak ketiga telah dilakukan dengan cara yang aman dan sehat dan patuh pada hukum yang berlaku. Perjanjian outsourcing harus didasari kontrak yang sehat dan Service Level Agreement (SLA) yang memastikan pembagian tanggung jawab yang jelas antara penyedia jasa eksternal dan bank. Labih jauh lagi, bank butuh mengelola risiko yang tersisa (residual risk) yang berhubungan dengan  perjanjian outsourcing, termasuk gangguan layanan.

10. Tergantung dari skala dan natur aktivitasnya, bank harus mengerti dampak potensial pada operasinya dan nasabahnya terhadap potensi kegagalan layanan yang disediakan oleh vendor dan pihak ketiga lainnya atau penyedia jasa yang masih satu kelompok usaha, termasuk penghentian operasi dan potensi kegagalan usaha atau wanprestasi pihak luar. Dewan dan Manajemen harus memastikan bahwa harapan dan kewajiban masing-masing pihak telah secara jelas didefinisikan, dimengerti dan ditegakkan. Tingkat kewajiban pihak ketiga dan kemampuan keuangan untuk kompensasi bank untuk kesalahan, kelalaian, dan kegagalan operasional lainnya harus secara tegas dipertimbangkan sebagai bagian dari penilaian risiko. Bank harus melaksanakan uji kelayakan dan memonitor kegiatan penyedia jasa pihak ketiga, khususnya dalam lingkungan yang tidak banyak diatur dalam industri perbankan, dan kajian proses ini (termasuk evaluasi ulang terhadap uji kelayakan) secara berkala. Untuk aktivitas yang penting, bank mungkin perlu mempertimbangkan rencana darurat, termasuk penyediaan alternatif pihak ketiga dan biaya dan sumber daya yang dibutuhkan untuk beralih pihak luar, dengan potensi pemberitahuan yang singkat/mendadak.

11. Pada beberapa contoh, bank mungkin memutuskan untuk mempertahankan tingkat tertentu risiko operasional atau menjamin diri sendiri (self insure) terhadap risiko. Jika hal ini terjadi dan risikonya material, keputusan untuk mempertahankan atau self insure risiko harus transparan di organisasi dan harus konsisten dengan strategi bisnis secara keseluruhan dan selera risiko.

Prinsip 7: Bank harus memiliki contigency and business continuity plan untuk memastikan kemampuan melanjutkan operasi dan membatasi kerugian dalam hal disrupsi bisnis yang serius.

1. Untuk alasan yang mungkin di luar kendali bank, kejadian yang parah dapat menghasilkan ketidakmampuan bank untuk memenuhi sebagian atu semua kewajiban bisnisnya, khususnya jika bangunan fisik bank, telekomunikasi atau infrastruktur teknologi informasi telah rusak atau dibuat tak dapat diakses. Hal ini bisa, dan akibatnya, menghasilkan kerugian keuangan yang signifikan, juga gangguan yang lebih luas pada sistem keuangan melalui saluran sistem pembayaran. Potensi ini membuat bank membutuhkan DRP dan BCP yang memperhitungkan berbagai tipe skenario dimana bank mungkin rentan, selaras dengan ukuran dan komleksitas operasi bank.

2. Bank harus mengidentifikasi proses bisnis yang kritikal, termasuk yang punya keterkaitan dengan vendor ekaternal atau pihak ketiga lainnya, dimana kecepatan kelanjutan layanan sangat penting. Untuk proses ini, bank harus mengidentifikasi mekanisme alternatif, untuk kelanjutan layanan pada kejadian  kerusakan/gangguan. Perhatian khusus harus diberikan kepada kemampuan mengembalikan arsip elektronik atau fisik yang dibutuhkan untuk kelanjutan bisnis. Jika arsip telah dibuat cadangannya (back up) di luar fasilitas kantor, atau operasi bank harus direlokasi ke tempat yang baru, harus memperhatikan bahwa fasilitas ini dalam jarak yang cukup jauh dari operasi yang terkena dampaknya untuk meminimalkan risiko kedua arsip dan fasilitas primer dan cadangan (back up) sama-sama tidak berfungsi.

3. Bank harus secara berkala mengkaji DRP dan BCPnya, agar dapat konsisten dengan operasi dan strategi bisnis terkini bank. Lebih lagi, rencana ini harus diuji berkala untuk memastikan bank mampu melaksanakan rencana ini pada saat gangguan bisnis yang parah terjadi.

Prinsip 8: Supervisor bank harus meminta semua bank, tanpa melihat ukuran, memiliki kerangka efektif untuk identifikasi, assess, monitor dan kontrol/mitigasi risiko operasional yang material sebagai bagian dari pendekatan menyeluruh ke manajemen risiko

1. Supervisor harus mewajibkan bank untuk mengembangkan kerangka kerja manajemen risiko operasional konsisten dengan tuntunan dalam makalah ini, yang sejalan dengan besar, kompleksitas, dan profil risiko masing-masing bank. Untuk tingkatan risiko operasional  yang dapat memunculkan ancaman pada keselamatan dan kesehatan bank, supervisor memiliki tanggung jawab untuk mendorong bank mengembangkan teknik yang lebih baik dalam mengelola risiko ini.

Prinsip 9: Supervisor harus melakukan, langsung atau tidak langsung, evaluasi independen secara reguler dari kebijakan, prosedur dan praktek risiko operasional bank. Supervisor harus memastikan ada mekanisme yang memadai agar mereka tetap sadar perkembangan di bank. 

1. Contoh-contoh evaluasi independen risiko operasional yang harus dikaji oleh supervisor termasuk hal-hal berikut:
  • Keefektifan proses manajemen risiko bank dan lingkungan kontrol keseluruhan yang mempertimbangkan risiko operasional
  • Metode yang digunakan bank untuk memonitor dan melaporkan profil risiko operasionalnya, termasuk data kerugian operasional dan indikator lainnya untuk potensial risiko operasional.
  • Prosedur bank unttuk menangani secara cepat dan efektif kejadian risiko operasional dan kerentanannya.
  • Proses internal kontrol bank, kajian dan audit untuk memastikan integritas proses manajemen risiko operasional secara keseluruhan
  • Keefektifan usaha-usaha mitigasi risiko operasional bank, seperti penggunaan asuransi;
  • Kualitas dan kelengkapan DRP dan BCP bank, dan
  • Proses bank untuk menilai kecukupan modal keseluruhan risiko operasional dalam hubungannya dengan profil risikonya, jika perlu, target modal internalnya.
2. Supervisor juga harus memastikan, jika bank merupakan bagian dari grup usaha keuangan, sudah ada prosedur yang memastikan bahwa risiko opeasional telah dikelola dengan cara yang sesuai dan terintegrasi pada seluruh grup usaha. Dalam melakukan penilaian ini, kerja sama dan pertukaran informasi dengan supervisor lainnya, untuk pelaksanaan prosedur yang telah ditetapkan, mungkin diperlukan. Beberapa supervisor mungkin memilik auditor eksternal dalam proses penilaian ini.

3. Kekurangan yang teridentifikasi selama kajian oleh supervisor mungkin diarahkan dalam berbagai tindakan. Supervisor harus menggunakan perangkat yang paling sesuai dengan keadaan bank dan lingkungan operasinya. Agar Supervisor menerima informasi terkini dalam risiko operasional, mungkin perlu dibuat mekanisme pelaporan, langsung dengan bank dan auditor eksternal (contoh, laporan risiko operasional internal bank kepada manajemen harus dibuat secara rutin tersedia bagi supervisor).

4. Seperti diketahui bahwa manajemen risiko operasional yang komprehensif sedang dikembangkan oleh banyak bank, supervisor harus mengambil peran aktif dalam mendorong usaha pengembangan secara internal dengan memonitor dan mengevaluasi perkembangan terbaru yang dicapai oleh bank dan rencana pengembangan ke depan. Usaha-usaha ini selanjutnya dapat dibandingkan dengan bank-bank lain sehingga dapat menyediakan masukan yang berguna untuk pengembangannya sendiri. Selanjutnya, pada tingkatan dimana telah dilakukan identifikasi alasan-alasan mengapa usaha pengembangan tertentu terbukti tidak efektif, informasi tersebut harus tersedia untuk membantu proses perencanaan. Sebagai tambahan, supervisor harus fokus pada tingkatan dimana bank memiliki proses manajemen risiko operasional yang terintegrasi pada seluruh organisasinya untuk memastikan keefektifan manajemen lini bisnis risiko operasional, menyediakan lini komunikasi dan tanggung jawab yang jelas, dan mendorong penilaian sediri yang aktif untuk praktik yang telah ada dan mempertimbangkan peningkatan mitigasi risiko.

Prinsip 10: Bank harus membuat paparan publik yang cukup agar peserta pasar bisa menilai pendekatan manajemen risiko operasional-nya

1. Komite ini percaya pengungkapan kepada publik secara tepat waktu dan berkala tentang informasi yang relevan akan meningkatkan disiplin pasar dan, oleh karena itu, manajemen risiko makin efektif. Tingkat pengungkapan harus selaras dengan ukuran, profil risiko dan kompleksitas dari operasi bank.

2. Area pengungkapan risiko operasional belum sangat mapan, khususnya karena bank-bank masih dalam proses pengembangan tehnik penilaian risiko operasional. Namun, Komite percaya bank harus mengungkapkan kerangka kerja manajemen risiko operasional pada cara tertentu yang memungkinkan para investor dan counterparty untuk mengetahui apakah bank telah efektif melakukan identifikasi, penilaian, monitor dan kontrol/mitigasi risiko.

Mari Berteman ^^
David Iskandar | Create Your Badge