Saat Risiko Operasional Berkurang

Pengelolaan risiko operasional tahun ini dinilai lebih baik dari tahun lalu. Beberapa upaya baik dari otoritas maupun pelaku perbankan mulai menampakkan hasil dan menekan jumlah  fraud.

Di saat pencapaian tahun ini lebih baik dari dibandingkan dari tahun kemarin, maka seseorang layak disebut sebagai pihak yang beruntung. Jika melihat kondisi perekonomian saat ini, Indonesia tampaknya masuk kategori kurang beruntung karena pertumbuhan tahun ini diperkirakan akan lebih rendah dari tahun sebelumnya.

Akan tetapi jika melihat dari kinerja perbankan, maka predikat beruntung pantas disematkan. Pun demikian dalam kaitannya dengan manajemen risiko, terutama di sisi operasional, tahun ini perbankan benar-benar beruntung.

Namun demikian predikat ‘beruntung’ itu tidak untuk menggambarkan bahwa yang diraih perbankan adalah sebuah kebetulan. Hal itu semata karena tahun ini perbankan berhasil mengelola risiko operasionalnya lebih baik dari tahun kemarin.

Semua orang, khususnya para pelaku di industri perbankan tentu masih ingat betapa di tahun 2011 banyak sekali peristiwa pembobolan dan kecurangan yang mencoreng bisnis bank. Sementara itu, meski ada tendensi berkurang, Bank Indonesia (BI) mengungkapkan, hingga Mei 2012 tercatat 1.009 kasus  fraud yang dilaporkan dengan kerugian mencapai Rp 2,37 miliar.

Salah satu pembobolan yang bernilai besar adalah peristiwa pembobolan dana nasabah Bank Mayapada Rp 19,4 miliar di Surabaya. Dana Rp 19,4  miliar yang digelapkan itu berasal dari enam nasabah prioritas. Modusnya adalah dengan menjanjikan bunga tinggi pada nasabah dan menggelapkan dana nasabah dengan memalsukan logo bank. Pelakunya adalah kepala kas di Bank Mayapada Cabang Srijaya, Surabaya. Awalnya dia menawarkan produk bank dalam bentuk deposito dengan bunga tinggi sebesar 7,2 persen kepada para kenalan dan nasabahnya.

Karena menggiurkan, beberapa nasabah pun terpikat mentransfer uang Rp 2 miliar ke Bank Mayapada untuk didepositokan. Dana itu, oleh pelaku ditarik seluruhnya, namun tidak dimasukkan ke deposito Bank Mayapada, tapi ke rekening lain. Begitu beberapa kali dia melakukannya kepada beberapa nasabah lainnya.

Akan tetapi meski peristiwa  fraud seperti itu masih terjadi, namun dari sisi frekuensi maupun kerugian, jumlahnya sudah berkurang signifikan. Kondisi ini tentu tak bisa dilepaskan dari berbagai upaya yang dilakukan semua pemangku kepentingan di industri perbankan.

Tahun lalu, setelah diterpa berbagai peristiwa pembobolan,  fraud sampai persoalan penagih piutang pihak ketiga, stake holder perbankan mulai berbenah. Yang terlihat paling sibuk berupaya memperbaiki kondisi itu adalah Bank Indonesia. Menjelang tahun 2011 berakhir, atau tepatnya pada 9 Desember, otoritas perbankan menerbitkan aturan baru yang bertujuan untuk mengikis kejahatan perbankan yang berasal dari kecurangan ( fraud).

Aturan yang dibungkus dalam Surat Edaran Bank Indonesia No.13/28/DPNP itu dikenal dengan regulasi anti fraud. Aturan itu sendiri mengacu kepada Peraturan Bank Indonesia (PBI) No.5/8/PBI/2003 tanggal 19 Mei 2003 tentang Penerapan Manajemen Risiko bagi Bank Umum.

BI rupanya gerah juga melihat nyaris hampir tiap bulan sepanjang 2011 selalu terjadi peristiwa pembobolan bank. “(Aturan) Ini mengarahkan bank dalam melakukan pengendalian  fraud melalui upaya yang tak hanya untuk pencegahan, tetapi juga untuk mendeteksi dan melakukan investigasi serta memperbaiki sistem sebagai bagian dari strategi yang bersifat integral dalam mengendalikan  fraud,” kata BI dalam siaran pers aturan tersebut.

Di dalam aturan itu BI mewajibkan bank, antara lain untuk memiliki dan menerapkan strategi anti fraud yang disesuaikan dengan lingkungan internal dan eksternal, kompleksitas kegiatan usaha, potensi, jenis, dan risiko  fraud serta didukung sumber daya yang memadai.

Strategi anti fraud merupakan bagian dari kebijakan strategis yang penerapannya diwujudkan dalam sistem pengendalian  fraud. Bank yang memiliki strategi anti fraud, tapi belum memenuhi acuan minimum, wajib menyempurnakan strategi yang telah dimiliki.

Strategi anti fraud dalam penerapannya harus memiliki empat pilar, pertama, pencegahan yang memuat perangkat dalam rangka mengurangi potensi risiko terjadinya  fraud, minimal mencakup anti  fraud awareness, identifikasi kerawanan, dan know your employee.

Kedua, deteksi, yakni menyangkut perangkat dalam rangka mengidentifikasi dan menemukan kejadian  fraud dalam kegiatan usaha bank, minimal dalam kebijakan dan mekanisme whistleblowing, surprise audit, dan surveillance system.

Ketiga, investigasi, pelaporan, dan sanksi, yakni memuat perangkat dalam rangka menggali informasi, sistem pelaporan, dan pengenaan sanksi atas kejadian  fraud dalam kegiatan usaha bank, yang paling kurang mencakup standar investigasi, mekanisme pelaporan, dan pengenaan sanksi.

Keempat, pemantauan, evaluasi, dan tindak lanjut yang memuat tindakan dalam rangka memantau dan mengevaluasi kejadian  fraud serta tindak lanjut yang diperlukan, berdasarkan hasil evaluasi, yang paling kurang mencakup pemantauan dan evaluasi atas kejadian  fraud serta mekanisme tindak lanjut.

Segala ketentuan dalam aturan tersebut harus sudah disiapkan oleh perbankan paling lambat pada Juni lalu. Setelah itu bank harus memberi laporan kepada BI penerapan strategi anti fraud itu setiap enam bulan sekali. Bahkan bank harus segera melaporkan kejadian  fraud yang diperkirakan akan berdampak negatif secara signifikan, paling lambat tiga hari kerja setelah bank mengetahui.

Upaya Perbankan

Meski demikian bukan berarti kalangan perbankan tidak berbuat apa-apa dalam upaya menekan risiko operasional di industri. Tepat pada Agustus lalu, beberapa bank sepakat untuk bahu membahu mengikis risiko yang selama ini menghantui mereka dari sisi operasional. Setelah beberapa kali mengadakan pertemuan untuk menggagas strategi meminimalkan risiko operasional, akhirnya pelaku bersama sebuah lembaga pendidikan perbankan terkemuka sepakat mendirikan sebuah konsorsium data.

Kehadiran konsorsium yang dinamakan Konsorsium Data Kerugian Eksternal (KDKE) ini diharapkan bisa menekan jumlah  fraud dan risiko operasional sekaligus. Lembaga independen tersebut berfungsi sebagai wadah untuk memberikan informasi atau data kerugian operasional yang dibutuhkan anggota.

Selama ini, untuk memitigasi kasus-kasus yang terkait risiko operasional, bank merumuskan sendiri strategi dan solusi dari masing-masing kasus. Kemudian hasilnya disimpan untuk kalangan sendiri dan mungkin akan digunakan jika bank itu menemui kasus serupa. Bank lain tentunya tidak bisa mengetahui atau mendapatkan pelajaran dari kejadian itu. Akhirnya, kejadian dengan modus serupa menimpa juga bank lain.

Padahal bank bisa menekan angka  fraud dari industri jika saja mereka mau membagi ilmu memitigasi dan informasi penanganan kasus risiko operasional itu. “Bank masih beranggapan kasus itu aib, padahal itu bisa jadi kekuatan atas power of sharing. Karena bank lainnya bisa mempelajari dan melakukan tindakan preventif atas risiko operasionalnya," kata Direktur Eksekutif Penelitian dan Pengaturan Perbankan BI, Mulya E Siregar.

Meski begitu, otoritas tentu tidak mau bank yang diambil datanya untuk dipelajari bank lain mendapatkan malu yang akhirnya membuat reputasi mereka terganggu. Untuk melindungi nama baik bank yang pernah mengalami  fraud, konsorsium ini tidak akan memberi tahu bank lain yang ingin menggunakan data terkait kasus yang dihadapinya. “(Konsorsium ini) berfungsi sebagai lesson learn bagi anggota, tapi anggota tidak bisa mengetahui kasus risiko operasional terjadi di bank apa. Nama bank-nya anonim,” ujar Mulya.

Singkat kata, sesama bank anggota konsorsium tidak akan mengetahui bank yang menginput datanya, apalagi sampai mengintip informasi lain tentang kelemahan masing-masing. Karena kerahasiaan bank menjadi hal penting yang akan dijaga konsorsium.

Selain itu ketersediaan data kerugian eksternal juga memungkinkan bank memenuhi persyaratan untuk menerapkan metode Advance Measurement Approach (AMA) dalam perhitungan rasio kecukupan modal, sesuai dengan kerangka Basel II.

Dalam aturan mainnya, tidak semua jenis data yang terkait dengan risiko operasional yang bisa dikirim atau disimpan konsorsium. Kriteria data kerugian yang layak dilaporkan kepada konsorsium minimal senilai Rp5 juta atau lebih kecil tetapi merupakan kejadian luar biasa. Data kerugian juga dilaporkan kepada konsorsium hanya setiap bulan sekali. Namun jika ada kejadian yang luar biasa, pelaporan bisa lebih dari sekali. Data akan mulai dilaporkan dan bisa diakses anggota pada Januari 2013. Agar data mudah dimengerti serta dipahami anggota, konsorsium telah membuat format yang seragam.

Mulya mengatakan bahwa data kasus yang diinput oleh bank selanjutnya dianalisis konsorsium, kemudian dirumuskan strategi mitigasinya ke depan. “Kasus yang diinput tentunya yang terkait dengan risiko operasional. Kemudian KDKE membuat database. Lalu dianalisa kenapa kejadian itu bisa terjadi, lalu gimana solusinya dan mitigasinya ke depan,” jelasnya.

Mulya juga menyampaikan risiko operasional bisa ditimbulkan oleh faktor eksternal maupun internal. Risiko operasional adalah risiko akibat ketidakcukupan atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, dan adanya kejadian eksternal yang mempengaruhi operasional bank. Sesuai definisi risiko operasional di atas, kategori penyebab risiko operasional dipicu oleh empat hal : manusia, internal proses, sistem dan kejadian eksternal. Singkatnya, risiko operasional itu adalah kejadian-kejadian yang bisa menghilangkan kesempatan bank untuk mendapat keuntungan.

Sampai saat ini, sudah 18 bank yang bergabung, diantaranya BCA, Mandiri, Bank DKI, BPD Jateng, BTPN, BPD DIY, BNI, Bank Sahabat Sampoerna, Bank Nagari, BPD Jambi, BTN, Bank Sulselbar, BPD Kalteng, Bank Mandiri, Bank Jabar Banten, Bank Permata, dan Bank Bukopin.

Meski belum semua bank yang beroperasi di Indonesia bergabung namun Lembaga Pengembangan Perbankan Indonesia (LPPI) sebagai pelaksana konsorsium berjanji akan terus melakukan pendekatan agar semua bank ikut. “Semua bank besar sudah ikut kecuali BRI. Kita akan menjangkau semua bank,” kata Direktur Lembaga Pengembangan Perbankan Indonesia (LPPI), Muljana Soekarni.

Menurut dia, pengelolaan data kerugian operasional sangat diperlukan dalam rangka memperkuat praktik manajemen risiko perbankan, sekaligus untuk menerapkan Basel II. “Pengelolaan dan ketersediaan data kerugian risiko operasional akan memungkinkan bank untuk meminimalisir terjadinya penipuan, menetapkan proses mitigasi risiko, dan memperkuat proses audit berdasarkan risiko,” kata Muljana.

Ikhtiar yang dilakukan kalangan perbankan memang patut diacungi jempol. Pasalnya menurut pengamat, budaya anti fraud di Indonesia masih rendah, baik dari nasabah maupun dari bank. Meski begitu sektor perbankan dinilai yang memiliki aturan sistematis untuk menangkal  fraud dibanding industri lain.

“Budaya anti fraud yang sudah tersistematik baru di ada di perbankan dengan PBI- nya dan di monitor Bank Indonesia. Seharusnya hal itu diimplementasikan di tempat- tempat lain,” kata Presiden Association of Certified  fraud Examiners (ACFE) Indonesia Chapter, Gatot Trihargo.

Dengan semua yang sudah dilakukan stakeholder untuk menekan risiko operasional tahun ini bolehlah kita berharap bahwa tahun depan kondisinya akan lebih baik lagi. Karena seperti kata orang bijak juga bahwa pencapaian tahun depan harus lebih baik dari tahun ini.

Selayang Pandang Risiko Operasional

Risiko operasional adalah risiko yang antara lain disebabkan ketidakcukupan dan atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, atau adanya problem eksternal yang mempengaruhi operasional Bank.

Risiko operasional dapat menimbulkan kerugian keuangan secara langsung maupun tidak langsung dan kerugian potensial atas hilangnya kesempatan memperoleh keuntungan. Risiko ini merupakan risiko yang melekat (inherent) pada setiap aktivitas fungsional Bank, seperti kegiatan perkreditan (penyediaan dana), tresuri dan investasi, operasional dan jasa, pembiayaan perdagangan, pendanaan dan instrumen utang, teknologi sistem informasi dan sistem informasi manajemen, dan pengelolaan sumber daya manusia.

Risiko operasional bukanlah hal baru walaupun disadari merupakan risiko yang paling akhir terdefinisikan dalam Basel II. Definisi risiko operasional dalam Basel II adalah termasuk risiko hukum, namun tidak mencakup risiko bisnis, strategis dan reputasi.

Terdapat empat jenis kejadian risiko operasional berdasarkan frekwensi dan dampak, yaitu  pertama jenis Low Frequency / Low Impact (LF/LI). Pada jenis ini kejadian yang menimbulkan risiko operasional  jarang terjadi dan meskipun terjadi dampaknya rendah terhadap bank. Kedua adalah jenis Low Frequency / High Impact  (LF / HI). Pada jenis ini kejadian  fraud memang jarang terjadi, tetapi jika itu terjadi maka akan berdampak sangat besar terhadap bank terutama dari sisi nilai kerugian materi dan nonmateri.

Ketiga adalah jenis High Frequency / Low Impact (HF / LI). Kejadian kecurangan dan pembobolan jenis ini kerap kali terjadi. Meski demikian dampaknya terhadap bank relatif rendah. Jenis keempat adalah High Frequency / High Impact (HF / HI). Kecurangan atau  fraud jenis ini sering terjadi dan dampaknya terhadap bank juga sangat besar.

Manajemen risiko operasional umumnya hanya terfokus kepada kejadian yang sifatnya Low Frequency / High Impact (LF/HI) dan High Frequency / Low Impact  (HF/LI).  Bank tidak terfokus kepada kejadian dengan frekuensi rendah dan dampak yang ditimbulkan juga rendah (LF/LI), akibat biaya pengelolaan dan pemantauannya mungkin lebih tinggi dari kerugian yang ditimbulkan. Sebaliknya, kejadian yang sifatnya HF/HI (atau sering terjadi dan dampaknya besar) adalah tidak relevan, mengingat kejadian ini akan mengakibatkan bank jatuh dalam waktu singkat.

Kejadian yang sifatnya high frequency / low impact (HF/LI) dikelola oleh bank untuk menciptakan efisiensi. Kejadian ini cenderung sudah diantisipasi dan dapat diperkirakan (expected loss) serta dianggap sebagai biaya pelaksanaan usaha. Misalnya, untuk mengantisipasi terjadinya  fraud karyawan dalam penyaluran kredit, sebuah bank akan menambahkan faktor ‘premi risiko’ dalam tingkat bunga yang ditawarkan kepada debitur.  fraud dan kesalahan pemrosesan dalam aktivitas bank seperti ini, umumnya dapat diatasi oleh bank dengan penerapan kebijakan dan prosedur rutin yang dilakukan sehari-hari untuk meminimumkan frekuensi maupun dampaknya.

Untuk kejadian risiko yang bersifat Low Frequency / High Impact perlu diperhatikan secara seksama mengingat kejadian ini dapat mengakibatkan kerugian yang sangat besar bahkan dapat menyebabkan kejatuhan bank.

Dalam manajemen risiko operasional, bank dipersyaratkan untuk memperhitungkan kerugian yang diperkirakan (expected loss) dan kerugian yang tidak diperkirakan (un-expected loss) dalam kebutuhan modal bagi risiko operasional.

Expected loss atau kerugian yang diperkirakan didefinisikan sebagai kerugian yang timbul akibat pelaksanaan kegiatan usaha secara normal. Jenis kerugian ini diasumsikan selalu ada sepanjang bank melaksanakan kegiatan usahanya. Olehnya bank telah mengantisipasinya dengan menawarkan harga produk yang mana didalamnya telah mengcover potensi kerugian tersebut (sebagaimana contoh pada kasus  fraud karyawan di atas).

Unexpected Loss atau kerugian yang tidak diperkirakan didefinisikan sebagai kerugian  yang timbul dari kejadian luar biasa yang menurut bank potensi kejadiannya sangat kecil dan besarnya kerugian yang ditimbulkan sangat signifikan jauh berada di atas nilai wajar yang dapat dikategorikan sebagai kerugian yang diperkirakan. Kejadian ini merupakan bukan kejadian yang timbul akibat kegiatan usaha bank.