Sebelum menjawab pertanyaan diatas, mari kita ulas kembali gambaran umum risiko operasional di bank. Risiko operasional didefinisikan sebagai suatu risiko (potensi terjadinya kerugian akibat suatu peristiwa tertentu) akibat ketidakcukupan dan/atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, dan/atau adanya kejadian-kejadian eksternal yang mempengaruhi operasional Bank.
Dengan demikian secara sederhana sesuai teorinya, kita dapat simpulkan bahwa penyebab terjadinya suatu kejadian risiko (risk event) dalam koridor risiko operasional dapat bersumber dari:
- Ketidakcukupan dan/atau tidak berfungsinya proses internal.
- Kesalahan manusia
- Kegagalan sistem
- Kejadian-kejadian eksternal
Risiko operasional sangat tergantung kepada dampak dan frekuensi atas suatu kejadian risiko yang dapat menimbulkan kerugian bagi bank.
Dalam beberapa literatur dan buku-buku mengenai manajemen risiko, sebagian besar masih mereferensikan kesalahan manusia, khususnya fraud dan tindak pidana perbankan sebagai faktor risiko operasional yang berpotensi menimbulkan kerugian signifikan bagi bank. Dengan kata lain, faktor manusia masih merupakan konsern terbesar bagi penerapan manajemen risiko operasional di bank. Memang tidak salah, bahkan beberapa tahun lalu, masih marak kasus risiko operasional bersumber dari kesalahn manusia yang dialami oleh industri perbankan nasional, misalnya: kredit fiktif, Fraud oleh pegawai/internal bank, Penyalahgunaan wewenang, moral hazzard, dsb.
Dalam beberapa tahun belakangan ini, kebanyakan bank terus menyempurnakan pengelolaan Cyber Risk yang dihadapi. menurut survey yang dilakukan oleh Bank of England (BoE) yang dirilis akhir 2015 lalu, sebanyak 46% koresponden menyatakan Cyber Risk sebagai konsern yang harus dikelola, jumlah ini terus meningkat apabila dibandingkan dengan tahun-tahun sebelumnya.
Selain itu, berdsarkan publikasi yang diterbitkan oleh MARSH and TheCityUK, disebutkan bahwa sektor industri keuangan merupakan indsutri yang paling banyak menjumpai "Cyber incidents", dapat dilihat pada grafik dibawah:
Belum sampai setahun, ingatan kita masih segar mengenai aksi Hacker yang menyerang Bangladesh bank dengan nilai kerugian sebesar 81 juta USD (Nilai yang semula diincar oleh pelaku adalah sebesar 951 juta USD). Modus yang digunakan adalah pelaku membobol sistem komputer Bangladesh Bank dan membuat 35 transaksi fiktif senilai 951 juta USD ke rekening bank di Manila - Filipina, akan tetapi hanya 81 juta USD yang berhasil diraup. Dana tersebut kemudian "dicuci" kedalam kasino lokal di Manila. Dari sumber lain yang saya baca, memang keamanan (dalam konteks ini Penerapan Manajemen Risiko Operasional) di Bangladesh bank dapat dikatakan kurang mencukupi.
Jika dari kasus tersebut daiatas dapat dipetik poin bahwa kejadian risiko dapat terjadi akibat kelalaian bank dalam memitigasi risiko operasional. Berbeda dengan kasus Bangladesh Bank, kasus kali ini mengajarkan bahwa bank tidak hanya dituntut untuk memiliki sejumlah pengamanan terkait IT. Adalagi contoh kasus yang terjadi beberapa tahun lalu, Kapersky (sebuah perusahaan anti-virus asal Rusia) mengungkapkan hasil riset kejahatan cyber yang berhasil mencuri 1 miliar USD. Pelaku memanfaatkan kelengahan pegawai bank dan nasabah melalui modus phising (suatu metode yang di gunakan hacker untuk mencuri password dengan cara mengelabui target menggunakan fake form login pada situs palsu yang menyerupai situs aslinya) dan malware. Setelah itu, pelaku mempelajari kebiasaan dan aktivitas keuangan calon korbannya yang kemudian dapat membobol dana nasabah.
Mari kita kembali ke Indonesia ^.^
Saat ini regulasi terkait manajemen risiko operational (dalam konteks IT) di Indonesia dapat merujuk kepada POJK No 18 /POJK.03/2016 Tentang Penerapan manajemen Risiko Bagi Bank Umum dan POJK No. 38 /POJK.03/2016 Tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum. Melalui ketentuan ini, Bank dituntut untuk mengelola risiko opersional - TI dan diwajibkan membentuk Information Technology steering committe yang akan merumuskan langkah-langkah strategis terkait pengembangan dan penyempurnaan TI bank (termasuk kualitas sistem pertahanan dan keamanan TI). Bank wajib memiliki Kebijakan Penggunaan TI, yang paling sedikit meliputi aspek: manajemen; pengembangan dan pengadaan; operasional Teknologi Informasi; jaringan komunikasi; pengamanan informasi; Rencana Pemulihan Bencana; Layanan Perbankan Elektronik; penggunaan pihak penyedia jasa Teknologi Informasi; dan penyediaan jasa Teknologi Informasi oleh Bank. Selain itu, ketentuan tersebut juga menaruh konsern terhadap Business Continuity Management / Plan (BCM/P) untuk menghadapi kondisi ekstreme yang mungkin saja terjadi terkait keamanan data/TI bank. Bank juga wajib melakukan Pengendalian Intern atas seluruh aspek penggunaan TI.
Secara garis besar, regulasi telah menentukan kewajiban bagi bank dalam melakukan proses manajemen risiko operasional - TI, mulai dari identifikasi risiko - pengukuran risiko - pemantauan risiko hingga pengedalian / mitigasi risiko. Bank dapat menerapkan manajemen risiko sesuai dengan kebutuhan bank masing-masing selama tidak bertentangan dengan ketentuan. Kuncinya adalah bagaimana bank dapat memahami seluruh eksposur risiko opersional yang melekat dalam setiap aktivitas dan faktor risiko operasional (khususnya kegagalan sistem) dalam menerapkan manajemen risiko yang efektif. Aturan klasik dari penerapan manajemen risiko untuk risiko operasional masih berlaku, yaitu penerapan maanjemen risiko operasional tergantung sejauh mana kemampuan bank dalam mengidentifikasi root of cause suatu kemungkinan kejadian risiko (cause - event effect). Selain itu, menurut hemat saya, edukasi terhadap seluruh pemangku kepentingan (khususnya nasabah) harus selalu ditingkatkan, dilakukan secara berkala, secara terus menerus. Tujuannya adalah agar nasabah memiliki awareness terhadap kemanan informasi sensitif terkait aktivitas keuangannya pada bank. Dengan peningkatan kualitas penerapan manajemen risiko operasional oleh bank dan sekaligus dibarengi juga oleh pemahaman nasabah terkait keamanan penggunaan sarana TI maka idealnya dapat memperkecil dampak Cyber Risk.
Bahan bacaan:
POJK No 18 /POJK.03/2016 Tentang Penerapan manajemen Risiko Bagi Bank Umum | Download
POJK No. 38 /POJK.03/2016 Tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum | Download
Publikasi MARSH and TheCityUK, CYBER AND THE CITY: Making the UK financial and professional services sector more resilient to cyber attack, May 2016. | Download
Dalam beberapa literatur dan buku-buku mengenai manajemen risiko, sebagian besar masih mereferensikan kesalahan manusia, khususnya fraud dan tindak pidana perbankan sebagai faktor risiko operasional yang berpotensi menimbulkan kerugian signifikan bagi bank. Dengan kata lain, faktor manusia masih merupakan konsern terbesar bagi penerapan manajemen risiko operasional di bank. Memang tidak salah, bahkan beberapa tahun lalu, masih marak kasus risiko operasional bersumber dari kesalahn manusia yang dialami oleh industri perbankan nasional, misalnya: kredit fiktif, Fraud oleh pegawai/internal bank, Penyalahgunaan wewenang, moral hazzard, dsb.
Lalu, bagaimana menjawab pertanyaan sesuai dengan judul artikel kali ini?
What is the biggest concern of operational risk in bank nowaday?
Disadari atau tidak, sekarang kita hidup di-era digital. Semuanya serba komputerisasi, Gaya hidup masyarakat dan tuntutan persaingan serta kompleksitas layanan perbankan hampir sepenuhnya mengandalkan sektor IT, Telekomunikasi, dan digitaliasi. Peran IT dirasa sangat besar kontribusinya terhadap kesuksesan sebuah bank. Dengan semakin pesatnya perkembangan IT dalam industri perbankan menuntut bank untuk meningkatkan penerapan manajemen risiko dalam hal konteks cyber risk. Ya, Cyber Risk merupakan concern terbesar dalam pengelolaan risiko operasional dalam industri perbankan. Tantangan terbesar dari risiko operasional bukanlah apa yang "terlihat" pada era ini, melainkan pasukan cyber crime dan hambatan-hambaatan dibidang IT perbankan.Dalam beberapa tahun belakangan ini, kebanyakan bank terus menyempurnakan pengelolaan Cyber Risk yang dihadapi. menurut survey yang dilakukan oleh Bank of England (BoE) yang dirilis akhir 2015 lalu, sebanyak 46% koresponden menyatakan Cyber Risk sebagai konsern yang harus dikelola, jumlah ini terus meningkat apabila dibandingkan dengan tahun-tahun sebelumnya.
Selain itu, berdsarkan publikasi yang diterbitkan oleh MARSH and TheCityUK, disebutkan bahwa sektor industri keuangan merupakan indsutri yang paling banyak menjumpai "Cyber incidents", dapat dilihat pada grafik dibawah:
Belum sampai setahun, ingatan kita masih segar mengenai aksi Hacker yang menyerang Bangladesh bank dengan nilai kerugian sebesar 81 juta USD (Nilai yang semula diincar oleh pelaku adalah sebesar 951 juta USD). Modus yang digunakan adalah pelaku membobol sistem komputer Bangladesh Bank dan membuat 35 transaksi fiktif senilai 951 juta USD ke rekening bank di Manila - Filipina, akan tetapi hanya 81 juta USD yang berhasil diraup. Dana tersebut kemudian "dicuci" kedalam kasino lokal di Manila. Dari sumber lain yang saya baca, memang keamanan (dalam konteks ini Penerapan Manajemen Risiko Operasional) di Bangladesh bank dapat dikatakan kurang mencukupi.
Jika dari kasus tersebut daiatas dapat dipetik poin bahwa kejadian risiko dapat terjadi akibat kelalaian bank dalam memitigasi risiko operasional. Berbeda dengan kasus Bangladesh Bank, kasus kali ini mengajarkan bahwa bank tidak hanya dituntut untuk memiliki sejumlah pengamanan terkait IT. Adalagi contoh kasus yang terjadi beberapa tahun lalu, Kapersky (sebuah perusahaan anti-virus asal Rusia) mengungkapkan hasil riset kejahatan cyber yang berhasil mencuri 1 miliar USD. Pelaku memanfaatkan kelengahan pegawai bank dan nasabah melalui modus phising (suatu metode yang di gunakan hacker untuk mencuri password dengan cara mengelabui target menggunakan fake form login pada situs palsu yang menyerupai situs aslinya) dan malware. Setelah itu, pelaku mempelajari kebiasaan dan aktivitas keuangan calon korbannya yang kemudian dapat membobol dana nasabah.
Mari kita kembali ke Indonesia ^.^
Saat ini regulasi terkait manajemen risiko operational (dalam konteks IT) di Indonesia dapat merujuk kepada POJK No 18 /POJK.03/2016 Tentang Penerapan manajemen Risiko Bagi Bank Umum dan POJK No. 38 /POJK.03/2016 Tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum. Melalui ketentuan ini, Bank dituntut untuk mengelola risiko opersional - TI dan diwajibkan membentuk Information Technology steering committe yang akan merumuskan langkah-langkah strategis terkait pengembangan dan penyempurnaan TI bank (termasuk kualitas sistem pertahanan dan keamanan TI). Bank wajib memiliki Kebijakan Penggunaan TI, yang paling sedikit meliputi aspek: manajemen; pengembangan dan pengadaan; operasional Teknologi Informasi; jaringan komunikasi; pengamanan informasi; Rencana Pemulihan Bencana; Layanan Perbankan Elektronik; penggunaan pihak penyedia jasa Teknologi Informasi; dan penyediaan jasa Teknologi Informasi oleh Bank. Selain itu, ketentuan tersebut juga menaruh konsern terhadap Business Continuity Management / Plan (BCM/P) untuk menghadapi kondisi ekstreme yang mungkin saja terjadi terkait keamanan data/TI bank. Bank juga wajib melakukan Pengendalian Intern atas seluruh aspek penggunaan TI.
Secara garis besar, regulasi telah menentukan kewajiban bagi bank dalam melakukan proses manajemen risiko operasional - TI, mulai dari identifikasi risiko - pengukuran risiko - pemantauan risiko hingga pengedalian / mitigasi risiko. Bank dapat menerapkan manajemen risiko sesuai dengan kebutuhan bank masing-masing selama tidak bertentangan dengan ketentuan. Kuncinya adalah bagaimana bank dapat memahami seluruh eksposur risiko opersional yang melekat dalam setiap aktivitas dan faktor risiko operasional (khususnya kegagalan sistem) dalam menerapkan manajemen risiko yang efektif. Aturan klasik dari penerapan manajemen risiko untuk risiko operasional masih berlaku, yaitu penerapan maanjemen risiko operasional tergantung sejauh mana kemampuan bank dalam mengidentifikasi root of cause suatu kemungkinan kejadian risiko (cause - event effect). Selain itu, menurut hemat saya, edukasi terhadap seluruh pemangku kepentingan (khususnya nasabah) harus selalu ditingkatkan, dilakukan secara berkala, secara terus menerus. Tujuannya adalah agar nasabah memiliki awareness terhadap kemanan informasi sensitif terkait aktivitas keuangannya pada bank. Dengan peningkatan kualitas penerapan manajemen risiko operasional oleh bank dan sekaligus dibarengi juga oleh pemahaman nasabah terkait keamanan penggunaan sarana TI maka idealnya dapat memperkecil dampak Cyber Risk.
Bahan bacaan:
POJK No 18 /POJK.03/2016 Tentang Penerapan manajemen Risiko Bagi Bank Umum | Download
POJK No. 38 /POJK.03/2016 Tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum | Download
Publikasi MARSH and TheCityUK, CYBER AND THE CITY: Making the UK financial and professional services sector more resilient to cyber attack, May 2016. | Download
