Oleh Togi B. Girsang, Praktisi Manajemen Risiko, Tata Kelola, dan Kepatuhan
BAGI lembaga keuangan, khususnya perbankan, pengelolaan atau manajemen setiap risiko bersifat critical, mandatory, dan tetap flexible. Disebut critical karena seluruh aktivitas, baik operasional harian maupun bisnis utama, membutuhkan campur tangan berkelanjutan dari pimpinan, termasuk para risk owner, terutama untuk menjejakkan fondasi yang kuat, tak ada celah, dan terpantau berkelanjutan.
Lalu, mandatory; karena mengelola dana masyarakat, maka bank terikat dengan banyak regulasi, baik yang sudah diterbitkan maupun yang dalam tahap finalisasi. Sementara flexible ditunjukkan dari keleluasaan manajemen menentukan besar-kecilnya eksposur yang ingin diemban, tinggi-rendahnya risiko yang dikelola, dan rumit-sederhananya identifikasi risiko yang akan dikerjakan.
Karena itu, strategi dan tatanan yang diatur dalam RUPS haruslah melewati proses panjang yang mengedepankan prinsip kehati-hatian sekaligus mengemban target bisnis yang dapat dibanggakan.
Praktiknya, manajemen risiko membutuhkan pendekatan dan alat ukur yang sering kali penamaan dan tekniknya berbeda namun tujuan akhirnya sama. Berikut ini adalah peta dari 11 jenis risiko dan pendekatan yang dipergunakan.
Satu, risiko reputasi. Risiko ini selalu beririsan dengan risiko lain, misal kenaikan eksposur risiko kredit yang tidak terkendali cenderung membangun sentimen pasar yang negatif. Umumnya, alat ukur yang dipergunakan adalah customer feedback dansurvei, yang didukung oleh media monitoring yang bertujuan untuk memantau dan memastikan setiap liputan dan persepsi publik tetap positif.
Dua, risiko kredit; menggunakan credit scoring model. Pilihan model ini dimanfaatkan untuk menilai kelayakan debitur, termasuk sumber dan kemampuan secara finansial. Beberapa informasi yang diperlukan antara lain laporan keuangan, agunan, dan data historis lainnya. Menurut PSAK 71 (PSAK 109), patokannya tidak terlepas dari probability of default, loss given default, dan exposure at default.
Tiga, risiko pasar; menggunakan value at risk, yaitu mendasarkan perkiraan kerugian suatu portofolio dengan tingkat keyakinan tertentu selama jangka waktu tertentu. Stress testing-nya disebut sensitivity analysis.
Empat, risiko suku bunga. Ini masih berhubungan dengan, lima, risiko pasar. Pengukurannya menggunakan earnings at risk, duration analysis, dan simulation analysis.
Enam, risiko operasional; manajemen risiko berbasis data historis kerugian untuk mengidentifikasi tren dan menentukan kerangka mitigasi. Metode yang dipergunakan biasanya loss event database (LED) analysis dan key risk indicators (KRI).
Tujuh, risiko likuiditas; yang diukur dengan gap analysis untuk menilai apakah ada kesenjangan dari profil jangka waktu dan jatuh tempo aset dibandingkan dengan kewajiban. Stress testing-nya berupa simulasi skenario untuk mendeteksi dampak guncangan akibat gangguan likuiditas.
Delapan, risiko kepatuhan dan sembilan, risiko hukum, digabung karena memiliki kesamaan proses pengelolaan risikonya. Risko kepatuhan menggunakan pendekatan regulatory compliance audits (terkait kemampuan menjalankan setiap regulasi dengan sebaik-baiknya), sedangkan risiko hukum memanfaatkan legal risk assessments (terkait litigasi, kontrak, dan aspek hukum bisnis lainnya).
Sepuluh, risiko konsentrasi. Hal ini menyangkut seberapa besar satu portofolio dengan karakteristik yang sama yang dianggap memenuhi selera risiko (risk appetite). Analisis yang dipergunakan adalah portfolio diversification analysis, geographic and industry exposure analysis.
Sebelas, risiko pihak ketiga (third–party risk). Risiko ini makin tinggi sejalan dengan pengalaman kejadian-kejadian internasional dan nasional yang makin besar nilai kerugiannya, terutama aspek finansial.
Risiko ini sebenarnya cukup erat kaitannya dengan beberapa risiko di atas. Beberapa contoh pemicunya antara lain keandalan sistem (core banking), termasuk potensi kebocoran data dan gangguan operasional lainnya, kelayakan aspek finansial vendor pendukung bisnis termasuk penyedia perangkat lunak hingga dukungan sekuriti lainnya (ATM dan pengantaran dana).
Risiko ini berkaitan erat dengan cybersecurity risk. Cybersecurity risk biasanya dikelola dengan pendekatan vulnerability assessments dan incident response planning.
Hampir seluruh pendekatan tersebut telah diterapkan oleh perbankan. Akan tetapi, rentang kualitas dan efektivitas manajemen risiko sangat ditentukan oleh seberapa tajam manajemen dan risk owner terbuka dan peduli dengan segala lika-liku yang ada di dalam perusahaan.
Pelaporan kepada regulator dan pemangku kepentingan lainnya, baik harian, mingguan, bulanan, triwulanan, maupun tahunan, memang cukup membuat backbone kewalahan sehingga dimungkinkan terjadi penyampaian informasi yang bias dan belum mencerminkan fakta secara konsisten.
Secara psikologis, sulit untuk mendapatkan nilai pengelolaan/manajemen risiko yang terbaik. Salah satunya yang lazim adalah kualitas bank yang diukur menggunakan terminologi tingkat kesehatan atau peringkat komposit (PK).
PK 1 didefinisikan sebagai cerminan kondisi bank yang secara umum sangat sehat sehingga dinilai sangat mampu menghadapi pengaruh negatif yang signifikan dari perubahan kondisi bisnis dan faktor eksternal lainnya.
PK 1 adalah yang paling sehat atau yang paling tinggi nilainya. Dampaknya, peringkat ini cenderung mempertajam dua sisi mata pisau. Satu, untuk manajemen, yaitu ekspektasi stakeholders akan sangat tinggi. Dua, spesifik untuk regulator, yaitu sebagai patokan yang telah memberikan legitimasi bahwa kualitas perusahaan dalam jangka pendek maupun panjang sangat memadai.
Posisi terburuk adalah PK 5, yang didefinisikan sebagai cerminan kondisi bank yang secara umum tidak sehat sehingga dinilai tidak mampu menghadapi pengaruh negatif yang signifikan dari perubahan kondisi bisnis dan faktor eksternal lainnya. Secara eksplisit diinterpretasikan bahwa bank ini dikategorikan tidak sehat dan tidak layak berada dalam radar investor.
Ada juga PK 3 yang didefinisikan sebagai cerminan kondisi bank yang secara umum cukup sehat sehingga dinilai cukup mampu menghadapi pengaruh negatif yang signifikan dari perubahan kondisi bisnis dan faktor eksternal lainnya.
Jika disederhanakan, bank ini memenuhi syarat sebagai bank dengan risiko sedang/medium. Akan tetapi, jika ditinjau lebih mendalam, manajemen bank yang dikategorikan baik/memadai maupun yang kurang baik/memadai cenderung berada bersama-sama dalam “keranjang” PK 3.
Terkhusus manajemen bank yang kurang baik/memadai, “tameng” PK 3 dianggap mampu menutupi banyak hal, mengaburkan informasi yang negatif, dan menutup risiko-risiko dikategorikan tidak baik-baik saja.
Secara komprehensif, stakeholders dapat berkesimpulan bahwa bank dengan PK 1 merupakan bank yang berisiko rendah. Sementara, PK 5 dianggap berisiko tinggi dan membutuhkan banyak pembenahan yang bersifat critical dan fundamental.
Bagaimana dengan PK 3? Ada kemungkinan PK 3 berada terlalu jauh dari radar sehingga risiko yang sebenarnya terpapar dan dapat divisualisasikan luput dari pengawasan dan pengendalian internal (komisaris, direksi, divisi manajemen risiko, dan internal audit) maupun eksternal (regulator dan auditor eksternal).