SEJAK krisis moneter tahun 1998, semua kasus,
mulai dari fraud sampai kepada penutupan bank, selalu dikaitkan dengan tidak
efektif atau tidak berfungsinya manajemen risiko, kontrol internal, dan tata
kelola perusahaan yang baik (good corporate governance/GCG). Lalu timbul
pertanyaan, apakah dengan berfungsinya ketiga hal tersebut, khususnya manajemen
risiko, kasus pembobolan bank tidak akan terjadi? Seberapa saktikah manajemen
risiko mampu menangkal tindak perbuatan kecurangan (FRAUD)?
1. Penerapan
Kita gunakan kasus pembobolan kas Bank
Danamon di Medan sebagai contoh. Kita asumsikan dulu bahwa sejak Bank Indonesia
(BI) mengeluarkan peraturan mengenai manajemen risiko pada Mei 2003, bank-bank
di Indonesia mulai mempersiapkan dan menerapkan manajemen risiko. Kita
asumsikan juga bahwa manajemen risiko terhadap delapan risiko yang diwajibkan
oleh BI (kredit, pasar, likuiditas, operasional, hukum, reputasi, strategi, dan
kepatuhan) telah dikelola oleh bank-bank berskala besar secara terintegrasi dan
bukan berdiri sendiri-sendiri (SILO).
Akan tetapi, timbul pertanyaan, apakah
bank-bank menggunakan pendekatan top-down atau bottom-up, atau kombinasi
keduanya. Mari kita asumsikan, bank-bank umumnya menggunakan kombinasi dari
kedua pendekatan ini. Artinya, komite/satuan kerja manajemen risiko di kantor
pusat telah menyusun kebijakan, prosedur manajemen risiko dan pedoman
mengidentifikasi sampai memantau risiko, serta semua pejabat di level
operasional, seperti kepala cabang dan supervisor, yang tidak menjalankan tugas
teller dan dipercaya untuk mengawasi teller telah melakukan proses manajemen
risiko sesuai dengan kebijakan dan prosedur manajemen risiko yang ada.
Katakanlah kepala cabang dan supervisor telah
melakukan pengidentifikasian risiko dengan melakukan event identification dan
risk assessment. Likelihood dan impact dari risiko di bidang kas telah
dipahami, baik dengan menggunakan metode kualitatif maupun kuantitatif. Data
masa lalu yang dapat diobservasi menunjukkan bahwa peristiwa pembobolan uang
kas tidak pernah terjadi. Bahkan, dengan model probabilistik (operational loss
distribution) maupun non-probabilistic models (scenario analysis), tetap saja
memberikan rating low terhadap likelihhod maupun impact.
2. Kontrol
internal
Kita asumsikan bahwa bank-bank memiliki
kebijakan untuk memelihara uang kas ke tingkat yang minimal guna melayani
nasabah. Tujuannya, untuk mencegah ekses dalam non-earning assets dan
mengurangi risiko penyalahgunaan uang kas dan perampokan. Di samping itu,
sistem teller yang digunakan umumnya telah memiliki pengawasan melekat (built
in internal control) yang memadai. Misalnya, setiap akhir hari sistem akan
mengeluarkan summary teller, summary head teller, rincian pecahan uang kas
(denomination), dan rekening buku besar untuk kas sehingga pencocokan uang
secara fisik dengan semua catatan tersebut dapat dilakukan secara lebih rinci.
Bank juga memiliki kebijakan dan standar
prosedur operasional (SOP) yang mengharuskan kepala cabang dan/atau supervisor
melakukan inspeksi kas, misalnya setiap hari untuk jumlah besar dan beberapa
kali dalam sebulan untuk memeriksa uang fisik secara satu per satu (tentunya
dengan mesin penghitung uang). Bank-bank juga menerapkan dual custody untuk
pengamanan uang kas cadangan dalam ruang "khazanah" selama jam kerja
dan dual lock system untuk pengamanan seluruh uang kas di luar jam kerja.
Selain itu, semua teller maupun head teller dilarang memproses cek milik
sendiri. Mereka wajib menyelesaikan semua cek pada hari yang sama, dan tidak
memiliki akses ke sistem akuntansi.
3. Bisa
tidur tenang?
Katakanlah bank-bank telah menerapkan GCG.
Khususnya lagi pada bank swasta dengan kepemilikan asing yang mayoritas.
Kemudian, apakah dengan telah diterapkannya manajemen risiko, kontrol internal
yang memadai disertai governance yang baik, lalu manajemen bank mulai dari
komisaris, direksi, sampai ke kepala cabang bisa tidur nyenyak sebagaimana
diiklankan beberapa konsultan manajemen risiko?
Masalahnya selalu ada celah yang terbuka,
baik pada proses manajemen risiko maupun kontrol internal yang melekat
(built-in) sekali pun. Mari kita reka sebuah skenario sederhana, yaitu seorang
nasabah yang teman head teller menarik cek dengan jumlah besar, di atas
kewenangan teller untuk menerima dan masih di bawah kewenangan head teller untuk
memprosesnya. Cek asli dan penanda tangan sah. Uang dibayarkan, tetapi cek
tidak diproses oleh head teller karena saldo di rekening nasabah atau temannya
itu tidak mencukupi. Head teller telah memahami pola inspeksi kas yang
dilakukan oleh atasannya.
Skenario yang sederhana ini pun cukup untuk
membuktikan bahwa kontrol internal di-by-pass dan manajemen risiko bukan
sesuatu yang bersifat magic, sehingga keberadaannya akan secara otomatis dapat
mengatasi semua masalah. Apalagi kalau head teller memiliki kinerja memuaskan.
Kalau begitu, percuma saja bank- bank
menerapkan manajemen risiko? Tentu saja tidak. Hanya saja semua orang yang
terlibat di dalam proses manajemen risiko itu tetap harus bekerja keras. Harus
ada prinsip untuk mempercayai orang, tetapi tidak pekerjaannya. Jadi, pekerjaan
setiap orang harus selalu ada orang lain yang memeriksa hasilnya. Apalagi dari
hasil profiling para pelaku fraud yang dijadikan red flag justru menegaskan
untuk mencurigai sifat-sifat, seperti rajin, sering lembur, jarang mengambil
cuti, ringan tangan mengerjakan pekerjaan orang lain, dan pulang paling akhir,
sehingga dipercaya untuk memegang kunci dan bahkan mater key (atau password).
Dikarenakan fraud tidak akan terlepas dari
unsur manusia, pengamatan perilaku, gaya
hidup, sampai kepada persoalan pribadi atau masalah rumah tangga masing-masing
pegawai perlu dilakukan. Dan, tentunya masih banyak pekerjaan rumah (PR) lain
yang harus dilakukan oleh para manajer bank.
Menakar Kesaktian Manajemen Risiko
4/
5
Oleh
sudarno hardjo
Posts
