PEDOMAN PENERAPAN MANAJEMEN RISIKO UNTUK MASING-MASING RISIKO II. I Risiko Strategi

II.II Risiko Operasional 1. Definisi

1. Risiko Operasional adalah Risiko akibat ketidakcukupan dan/atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, dan/atau adanya kejadian eksternal yang mempengaruhi operasional Perseroan.

2. Risiko Operasional dapat disebabkan antara lain dari kelemahan sumber daya manusia, kelemahan proses internal, sistem dan infrastruktur yang kurang memadai, dan kejadian eksternal yang berdampak buruk terhadap Perseroan.

3. Sumber-sumber Risiko tersebut dapat menyebabkan kejadian yang berdampak negatif pada operasional Perseroan, sehingga kemunculan dari jenis-jenis kejadian Risiko Operasional merupakan salah satu ukuran keberhasilan atau kegagalan Manajemen Risiko untuk Risiko Operasional. Adapun beberapa contoh kejadian Risiko Operasional dapat digolongkan antara lain kompleksitas organisasi dan kegiatan usaha, sumber daya manusia, sistem teknologi dan informasi, kecurangan (fraud internal dan fraud eksternal), gangguan terhadap bisnis dan organisasi, dan tingkat interaksi dan ketergantungan Perseroan.

2. Tujuan

Tujuan utama Manajemen Risiko untuk Risiko Operasional adalah untuk meminimalkan kemungkinan dampak negatif dari tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, dan/atau kejadian-kejadian yang berasal dari luar lingkungan Perseroan.

3. Penerapan Manajemen Risiko

1. Pengawasan Aktif Direksi dan Dewan Komisaris

a) Kewenangan dan Tanggung Jawab Direksi & Dewan Komisaris

1. Direksi dan Dewan Komisaris harus memastikan bahwa penerapan Manajemen Risiko untuk Risiko Operasional dilakukan secara efektif dan terintegrasi dengan penerapan Manajemen Risiko untuk lainnya yang dapat berdampak pada profil Risiko Perseroan secara keseluruhan.

2. Direksi dan Dewan Komisaris bertanggung jawab mengembangkan budaya organisasi yang sadar terhadap Risiko Operasional dan menumbuhkan komitmen dalam mengelola Risiko Operasional sesuai dengan strategi bisnis Perseroan.

3. Direksi Perseroan menciptakan kultur pengungkapan secara objektif atas Risiko Operasional pada seluruh elemen organisasi sehingga Risiko Operasional dapat diidentifikasi dengan cepat dan di mitigasi dengan tepat.

4. Direksi memastikan bahwa menetapkan kebijakan reward termasuk remunerasi dan punishment yang efektif yang terintegrasi dalam sistem penilaian kinerja dalam rangka mendukung pelaksanaan Manajemen Risiko yang optimal.

5. Direksi harus memastikan bahwa pelaksanaan wewenang dan tanggung jawab yang dialihkan kepada penyedia jasa telah dilakukan dengan baik dan bertanggung jawab.

6. Dewan Komisaris memastikan bahwa kebijakan remunerasi Perseroan sesuai dengan strategi Manajemen Risiko Perseroan.

b) Sumber Daya Manusia (SDM)

1. Perseroan harus memiliki kode etik yang diberlakukan kepada seluruh pegawai pada setiap jenjang organisasi.

2. Perseroan harus menerapkan sanksi secara konsisten kepada pegawai yang terbukti melakukan penyimpangan dan pelanggaran.

c) Organisasi Manajemen Risiko Operasional

1. Manajemen fungsi bisnis dan operasional atau fungsi pendukung merupakan risk owner yang bertanggung jawab terhadap proses Manajemen Risiko untuk Risiko Operasional sehari-hari serta melaporkan permasalahan dan Risiko Operasional secara spesifik dalam unitnya sesuai jenjang pelaporan.

2. Untuk memfasilitasi proses Manajemen Risiko untuk Risiko Operasional dalam fungsi bisnis dan operasional Perseroan atau fungsi pendukung serta memastikan konsistensi penerapan kebijakan Manajemen Risiko untuk Risiko Operasional, dapat ditunjuk dedicated operational risk officer yang memiliki jalur pelaporan ganda yaitu secara langsung kepada pimpinan fungsi bisnis dan operasional atau fungsi pendukung serta kepada fungsi Manajemen Risiko. Tanggung jawab dedicated operational risk officer meliputi pengembangan indikator Risiko spesifik fungsi bisnis atau fungsi pendukung, menentukan batasan eskalasi serta menyusun laporan Manajemen Risiko untuk Risiko Operasional.

2. Kecukupan Kebijakan dan Prosedur Manajemen Risiko serta Penetapan Limit Risiko

a) Strategi Manajemen Risiko

Strategi Manajemen Risiko untuk Risiko Operasional mengacu pada Pedoman Umum Manajemen Risiko Perseroan.

b) Tingkat Risiko yang akan Diambil (Risk Appetite) dan Toleransi Risiko Risk Appetite dan Toleransi Risiko untuk Risiko Operasional mengacu pada Pedoman Umum Manajemen Risiko Perseroan.

c) Kebijakan dan Prosedur

1. Perseroan harus menetapkan kebijakan Manajemen Risiko untuk Risiko Operasional yang harus diinternalisasikan ke dalam proses bisnis seluruh kegiatan usaha dan aktivitas pendukung Perseroan, termasuk kebijakan Risiko Operasional yang bersifat unik sesuai dengan kebutuhan lini bisnis dan aktivitas pendukung.

2. Perseroan harus memiliki prosedur yang merupakan turunan dari Kebijakan Manajemen Risiko untuk Risiko Operasional yang dapat berupa:

a) Pengendalian umum, yaitu pengendalian operasional yang bersifat umum pada seluruh kegiatan usaha dan aktivitas pendukung Perseroan, misalnya pemisahan fungsi atau keharusan mengambil cuti; dan

b) Pengendalian spesifik, yaitu pengendalian operasional yang bersifat spesifik pada masing-masing lini bisnis dan aktivitas pendukung Perseroan, misalnya rekonsiliasi transaksi pada aktivitas trading atau penatausahaan dokumen kredit debitur.

3. Perseroan harus memiliki Business Continuity Management (BCM), yaitu proses manajemen terpadu dan menyeluruh untuk memastikan kelangsungan operasional Perseroan. Beberapa kebijakan yang dapat dilakukan antara lain:

a) Business Impact Analysis (BIA);

b) Penilaian Risiko Operasional yang dapat terjadi akibat gangguan dalam operasional Perseroan;

c) Strategi pemulihan yang dijalankan Perseroan untuk setiap bentuk

d) Dokumentasi, antara lain rencana pemulihan bencana dan rencana kontinjensi ; dan

e) Pengujian secara berkala untuk meyakini bahwa pendekatan BCM yang digunakan dapat dioperasikan dengan efektif pada saat terjadi gangguan.

4. Perseroan memiliki prosedur peringatan dini untuk menangani perubahan yang terjadi secara tidak terduga dalam sistem teknologi informasi yang berdampak meningkatkan kemungkinan terjadinya Risiko Operasional.

5. Untuk memitigasi Risiko Operasional yang berasal dari kompleksitas proses internal, Perseroan harus memiliki kebijakan yang paling sedikit mencakup:

a) Pengendalian untuk mencegah terjadinya Risiko Operasional baik untuk seluruh proses internal maupun yang berhubungan dengan pihak eksternal;

b) Prosedur penyelesaian transaksi dari proses internal, antara lain untuk memastikan efektivitas proses penyelesaian transaksi;

c) Prosedur pelaksanaan akuntansi untuk memastikan pencatatan akuntansi yang akurat, antara lain berupa kesesuaian metode akuntansi yang digunakan, proses akuntansi yang dilaksanakan, dan penatausahaan dokumen pendukung;

d) Prosedur penyimpanan aset dan kustodian, antara lain dokumentasi aset dan kustodian, pengendalian yang dibutuhkan untuk keamanan fisik aset, dan pengecekan secara berkala mengenai kondisi aset;

e) Prosedur pelaksanaan kegiatan usaha dan aktivitas Perseroan lainnya, seperti sewa operasi (operating lease), kegiatan berbasis imbal jasa, dan alih daya; dan

f) prosedur pencegahan dan penyelesaian fraud.

6. Untuk mengurangi kemungkinan timbulnya Risiko Operasional yang berasal dari SDM, kebijakan Manajemen Risiko Perseroan paling sedikit memuat kebijakan tentang rekrutmen dan penempatan sesuai dengan kebutuhan organisasi, remunerasi dan struktur insentif yang kompetitif, pelatihan dan pengembangan, rotasi berkala, kebijakan perencanaan karir dan suksesi, serta penanganan isu pemutusan hubungan kerja.

7. Untuk mengurangi kemungkinan timbulnya Risiko Operasional yang berasal dari sistem dan infrastruktur, kebijakan Manajemen Risiko Peseroan paling sedikit harus didukung oleh prosedur akses antara lain terhadap sistem informasi manajemen, sistem informasi akuntansi, sistem pengelolaan Risiko, pengamanan di ruang dokumen, dan ruang pemrosesan data.

8. Untuk mengurangi kemungkinan timbulnya Risiko Operasional yang berasal dari kejadian eksternal, kebijakan Manajemen Risiko Perseroan harus didukung antara lain dengan perlindungan asuransi terhadap aset fisik Perseroan, back up system, dan jaminan keselamatan kerja untuk bidang pekerjaan tertentu yang berisiko tinggi.

9. Untuk mengurangi kemungkinan timbulnya Risiko Operasional yang berasal dari profil nasabah dan calon nasabah, dalam kebijakan Manajemen Risiko harus dimuat kewajiban Perseroan melakukan Customer Due Diligence (CDD) atau Enhanced Due Diligence (EDD) secara berkala dan konsisten sesuai dengan eksposur Risiko Operasional. Penerapan CDD atau EDD mengacu pada seluruh persyaratan dan pedoman sebagaimana yang diatur dalam peraturan perundang-undangan dan ketentuan yang mengatur mengenai penerapan program anti pencucian uang dan pencegahan pendanaan terorisme. CDD atau EDD harus didukung oleh sistem pengendalian internal yang efektif, khususnya upaya pencegahan Perseroan terhadap kejahatan internal (internal fraud).

d) Penetapan Limit

Limit Risiko untuk Risiko Operasional mengacu pada Pedoman Umum Manajemen Risiko Perseroan.

3. Kecukupan Proses Identifikasi, Pengukuran, Pengendalian, dan Pemantauan Risiko, serta Sistem Informasi Manajemen Risiko Bagi Risiko Operasional

a) Identifikasi Risiko Operasional

1. Perseroan harus melakukan identifikasi terhadap parameter yang mempengaruhi eksposur Risiko Operasional, antara lain frekuensi dan dampak dari:

a) Kegagalan dan kesalahan sistem;

b) Kelemahan sistem administrasi;

c) Kegagalan hubungan dengan debitur;

d) Kesalahan perhitungan akuntansi;

e) Penundaan dan kesalahan penyelesaian pembayaran;

f) Fraud;

g) Rekayasa akuntansi;

h) Kelemahan sistem teknologi informasi; dan i) kesalahan klasifikasi pencatatan.

2. Perseroan mengembangkan suatu basis data mengenai:

a) Jenis dan dampak kerugian, yang ditimbulkan oleh Risiko Operasional berdasarkan hasil identifikasi Risiko, berupa data kerugian yang

kemungkinan terjadinya dapat diprediksi maupun yang sulit diprediksi;

b) Pelanggaran sistem pengendalian; dan/atau

c) Isu operasional lainnya yang dapat menyebabkan kerugian pada masa yang akan datang.

3. Perseroan mempertimbangkan berbagai faktor internal dan eksternal dalam melakukan identifikasi dan pengukuran Risiko Operasional yaitu antara lain:

a) Struktur organisasi Perseroan, budaya Risiko, manajemen SDM, perubahan organisasi, dan turnover pegawai;

b) Karakteristik debitur Perseroan, serta kompleksitas kegiatan usaha Perseroan dan volume transaksi;

c) Desain dan implementasi dari sistem dan proses yang digunakan; dan d) Lingkungan eksternal, tren industri, struktur pasar termasuk kondisi

sosial dan politik.

b) Pengukuran Risiko Operasional

1. Dalam mengukur Risiko Operasional, antara lain dapat menggunakan indikator/parameter berupa karakteristik dan kompleksitas kegiatan usaha Perseroan, SDM, infrastruktur dan sistem teknologi informasi, fraud, gangguan terhadap Perseroan, dan penggunaan jasa pihak ketiga.

2. Perseroan mempertimbangkan berbagai faktor internal dan eksternal dalam melakukan pengukuran Risiko Operasional.

3. Metode yang dapat digunakan Perseroan untuk melakukan pengukuran Risiko Operasional, antara lain antara lain scorecards, risk mapping, dan matriks frekuensi.

4. Bagi Perseroan yang belum mengembangkan metode khusus untuk melakukan pengukuran Risiko Operasional, sumber informasi Risiko Operasional yang utama adalah temuan audit internal yang terkait dengan Risiko Operasional.

c) Pengendalian Risiko Operasional

1. Pengendalian Risiko dilakukan secara konsisten sesuai dengan tingkat Risiko yang akan diambil, hasil identifikasi dan pengukuran Risiko Operasional.

2. Dalam penerapan pengendalian Risiko Operasional, Perseroan dapat mengembangkan program untuk memitigasi Risiko Operasional antara lain pengamanan proses teknologi informasi dan alih daya pada sebagian kegiatan operasional Perseroan.

3. Dalam hal Perseroan mengembangkan pengamanan proses teknologi informasi, Perseroan harus memastikan tingkat keamanan dari pemrosesan data elektronik.

4. Pengendalian terhadap sistem informasi harus memastikan:

a) Adanya penilaian berkala terhadap pengamanan sistem informasi, yang disertai dengan tindakan korektif dalam hal diperlukan;

b) Tersedianya prosedur back-up dan rencana darurat untuk menjamin berjalannya kegiatan operasional Perseroan dan mencegah terjadinya gangguan yang signifikan, yang diuji secara berkala;

c) Adanya penyampaian informasi kepada Direksi mengenai permasalahan pada angka i dan ii; dan

d) Tersedianya penyimpanan informasi dan dokumen yang berkaitan dengan analisis, pemrograman, dan pelaksanaan pemrosesan data.

5. Perseroan harus memiliki sistem pendukung, yang paling sedikit mencakup:

a) Identifikasi kesalahan secara dini;

b) Pemrosesan dan penyelesaian seluruh transaksi secara efisien, akurat, dan tepat waktu; dan

c) Kerahasiaan, kebenaran, serta keamanan

6. Perseroan harus melakukan kaji ulang secara berkala terhadap prosedur, dokumentasi, sistem pemrosesan data, rencana kontinjensi, dan praktek operasional lainnya guna mengurangi kemungkinan terjadinya kesalahan manusia.

7. Perseroan harus memiliki kebijakan dan prosedur yang memadai, kegiatan administrasi Perseroan yang baik, pengelolaan sistem dan teknologi informasi yang baik, pencegahan kecurangan dan permasalahan hukum yang baik, dan pengelolaan manajemen penggunaan jasa pihak ketiga yang baik.

8. Perseroan harus memiliki manajemen SDM yang baik, antara lain

perekrutan pegawai dilakukan oleh pihak luar seperti konsultan SDM dan organisasi yang secara independen melakukan analisis kebutuhan pegawai dan melaksanakan proses perekrutan pegawai.

d) Pemantauan Risiko Operasional

1. Perseroan harus melakukan pemantauan Risiko Operasional secara berkelanjutan terhadap seluruh eksposur Risiko Operasional serta kerugian yang dapat ditimbulkan oleh aktivitas utama Perseroan, antara lain dengan cara menerapkan sistem pengendalian internal dan menyediakan laporan berkala mengenai kerugian yang ditimbulkan oleh Risiko Operasional.

2. Perseroan harus melakukan review secara berkala terhadap faktor-faktor penyebab timbulnya Risiko Operasional serta dampak kerugiannya.

e) Sistem Informasi Manajemen Risiko bagi Risiko Operasional

1. Sistem informasi manajemen harus dapat menghasilkan laporan yang lengkap dan akurat dalam rangka mendeteksi dan mengkoreksi penyimpangan secara tepat waktu.

2. Perseroan harus memiliki mekanisme pelaporan terhadap Risiko Operasional yang harus dapat memberikan informasi sesuai kebutuhan pengguna, antara lain sebagai berikut:

a) Profil Risiko Operasional dan kerugian yang disebabkan oleh Risiko Operasional;

b) Hasil dari berbagai metode pengukuran Risiko Operasional dan tren, dan/atau ringkasan dari temuan audit internal;

c) Laporan status dan efektivitas pelaksanaan rencana tindak dari operational risk issues;

d) Laporan penyimpangan prosedur;

e) Laporan kejadian fraud, misalnya dalam bentuk whistleblowing system; f) Rekomendasi fungsi Manajemen Risiko untuk Risiko Operasional atas dan

review yang dilakukan terhadap penilaian Risiko Operasional Perseroan, surat pembinaan auditor eksternal, khususnya aspek pengendalian operasional Perseroan, dan surat pembinaan Otoritas Jasa Keuangan.

f) Sistem Pengendalian Internal yang Menyeluruh

1. Sistem pengendalian intern yang menyeluruh untuk Risiko Operasional mengacu pada Pedoman Umum Manajemen Risiko Perseroan.

2. Perseroan harus memiliki sistem rotasi rutin untuk menghindari potensi self dealing, persekongkolan atau penyembunyian suatu dokumentasi atau transaksi yang tidak wajar.

II.III Risiko Kredit