Manajemen Risiko (MR) merupakan hal yang wajib diterapkan oleh setiap bank. Bahkan sudah sejak sekitar 10 tahun terakhir ini, pemahaman atas MR bersifat mutlak bagi pejabat bank, yang dibuktikan dengan adanya sertifikasi MR sebagai persyaratan menduduki jabatan tertentu di sebuah bank.
Dalam hal ini terdapat lima level sertifikasi MR, dari level 1 yang terendah yang diwajibkan bagi pemimpin cabang hingga level 5 yang harus dipunyai oleh seorang direktur bank. Maka tidak perlu heran bila banyak orang bank yang fasih berbicara secara teoritis bagaimana upaya memitigasi risiko pada bisnis perbankan.
Tapi jangan pula kaget, hingga sekarang pada kenyataannya banyak bank yang dihadapkan dengan berbagai kasus, sebagai indikasi bahwa pelaksanaan MR di bank belum berjalan sebagaimana yang dipelajari secara teori.Â
Tidak saja soal kredit macet yang sudah lagu lama, berbagai kasus yang lebih canggih berupa pembobolan rekening nasabah melalui transaksi elektronik, tampaknya semakin marak.
Maka bila disebutkan bahwa MR perbankan tidak membumi, bukan hal berlebihan. Padahal dalam paradigma bisnis perbankan sekarang, fungsi MR merupakan salah satu dari tiga lini pertahanan bank, yakni sebagai pilar kedua yang melakukan penyusunan framework, kebijakan, prinsip, dan metodologi pengelolaan risiko bank.
Adapun yang menjadi pilar pertama adalah unit yang menjalankan bisnis dan pelayanan terhadap nasabah, yang merupakan pemilik risiko (risk owner atau risk taking unit).Â
Di sinilah berbagai risiko berpotensi untuk dihadapi bank yang terdiri dari 8 jenis risiko, yakni risiko kredit, risiko pasar, risiko operasional, risiko likuiditas, risiko stratejik, risiko hukum, risiko reputasi, dan risiko kepatuhan.
Sedangkan yang menjadi pilar ketiga adalah risk assurance unit, yakni Satuan Pegawasan Internal (SPI) yang melakukan audit secara independen. Bila SPI menemukan sesuatu kesalahan, sekaligus juga harus memberikan rekomendasi untuk upaya perbaikannya.Â
Jadi, jelaslah seharusnya terjadinya fraud atau hal lain yang mendatangkan kerugian bagi bank, bila konsep tiga lini pertahanan tersebut diterapkan dengan baik, bisa dihindari atau minimal bisa ditekan jumlahnya menjadi sekecil mungkin.
Pada lini pertama, katakanlah untuk sebuah transaksi, sudah harus melewati tahapan maker-checker-signer. Maksudnya setelah ada petugas yang membuat dokumen untuk transaksi, kemudian dokumen tesebut harus dicek oleh supervisor, lalu berikutnya disetujui oleh atasan dari supervisor atau yang levelnya sudah officer. Baru setelah itu transaksi bisa dibukukan.
Adapun yang menjadi pedoman dalam melakukan transaksi telah dibuat suatu buku panduan yang telah dilengkapi dengan rambu-rambu yang harus dipatuhi sesuai hasil kajian unit MR.Â
Unit MR pula sebagai pertahanan lapis kedua yang bertugas memantau pengelolaan risiko, memetakan risiko dan memberikan peringatan kepasa semua unit bisnis secara berkala, tentang risiko yang berpotensi akan muncul pada masa mendatang.Â
Artinya, sifat dari pertahanan lapis kedua ini adalah prediktif. Berbeda dengan lini ketiga yang bertugas untuk "menangkap" orang yang bersalah setelah terjadi sesuatu.Â
Jadi, antara lapis kedua dan ketiga harus saling melengkapi. Yang satu mengatakan "harus hati-hati", yang lain menangkap mereka yang masih saja melanggar meskipun sudah diperingatkan.
Nah, terhadap pentingnya suatu audit yang independen, tak perlu diragukan lagi. Namun, terhadap cara unit MR memberikan peringatan, inilah yang dirasakan sebagai terlalu teoritis dan tidak membumi. Rekomendasi yang diberikan unit MR biasanya bersifat normatif dan kurang aplikatif.
Masalahnya, banyak karyawan bank yang belum mempunyai  budaya sadar risiko yang memadai. Tugas-tugas terkait laporan MR, lebih dimaksudkan untuk memenuhi ketentuan regulasi saja, karena hal ini diatur dan dipantau oleh Otoritas Jasa Keuangan (OJK).
Dalam hal ini, setiap bank wajib menyusun risk profile banknya setiap triwulan dengan metode self assessment dengan cara memberi skor terhadap berbagai parameter.Â
Skornya berupa angka 1 sebagai risiko paling rendah hingga 5 sebagai risiko tertinggi. Sering pula skor tersebut dihiasi simbol warna, dari hijau tua (skor 1), hijau muda (skor 2), kuning (3), oranye (4), dan merah (5).
Karena profil risiko tersebut harus dilaporkan ke OJK, sering bank dengan bangga memperlihatkan rapornya yang hijau muda, dalam arti secara overall punya skor 2 (dengan risiko low to moderate).Â
Padahal bila ditelusuri dari temuan auditor, baik dari audit internal sebagai pertahanan lapis ketiga, maupun dari audit yang dilakukan oleh pihak eksternal, rapor hijau tersebut tidak sinkron.
Temuan audit tersebut tidak saja yang bersifat klasik seperti kolusi dalam pengucuran kredit yang berakibat membengkaknya kredit macet, tapi juga yang berkaitan dengan transaksi elektronik. Banyak pengaduan di mana nasabah merasa tidak bertransaksi, tapi saldo rekeningnya terdebet alias berkurang.
Jangan lupa, publik sendiri bisa mengikuti dari media massa, betapa masih sering terjadi berbagai kasus di banyak bank. Sebuah bank milik negara di kantor cabangnya di Ambon, sebagai misal, pada akhir tahun lalu dihebohkan dengan kasus pembobolan dana nasabah sejumlah lebih dari Rp 50 miliar. Ironisnya, pelakunya adalah pejabat di kantor cabang itu sendiri.
Kasus skimming atau pencurian uang nasabah lewat ATM, juga ramai diberitakan dan boleh dikatakan menimpa banyak bank, terutama bank-bank besar yang pemegang kartunya  banyak sekali dan ATM-nya gampang ditemukan di mana-mana. Dari kategorisasi manajemen risiko, kasus ini tergolong risiko operasional.
Sudah lama sebetulnya kasus skimming tersebut muncul dan sampai sekarang masih saja terjadi. Artinya, unit MR di masing-masing bank yang mengalami kasus tersebut gagal untuk belajar dari kasus terdahulu, sehingga selalu berulang kembali.Â
Padahal seperti telah disinggung sebelumnya, bahwa unit MR pasti telah memetakan risiko yang terjadi dan menyusun rekomendasi agar di masa datang tidak terulang.
Tapi bila kenyataannya kasus yang sama tetap berulang, di samping karena rekomendasi unit MR mungkin tidak aplikatif, bisa juga ada kemungkinan sebaliknya. Maksudnya rekomendasinya sudah tepat, tapi unit MR tidak punya power untuk memaksa unit bisnis melaksanakan rekomendasi itu.
Itulah kelemahan MR berikutnya, yakni eksistensinya hanya nice to have, tapi tidak punya gigi dalam arti tidak ditakuti seperti halnya pihak internal auditor. Bila temuan audit tidak ditindaklanjuti unit bisnis, bisa berujung pada tindakan indisipliner yang pada tahap berikutnya berbuah hukuman bagi pegawai yang dinilai lalai.Â
Namun kalau rekomendasi unit MR tidak ditindaklanjuti, ya tidak apa-apa, toh unit MR tidak ada kewenangan untuk menjatuhkan sanksi. Hanya saja, begitu "bom waktu" yang disimpan sekian lama meledak, bank itupun "terbakar" dan perlu biaya yang sangat besar untuk membangun kembali.
Maka tantangan terberat bagi unit MR di perbankan harus dimulai dari pembenahan sumber daya manusia (SDM) yang ditempatkan di sana. Tidak saja jumlahnya harus cukup, mutunya pun harus memadai, jangan hanya mengambil staf yang tidak laku di unit kerja lain.
Bila SDM-nya bermutu, maka rekomendasi yang dihasilkannya akan lebih berkualitas, tidak sekadar normatif yang merupakan copy paste dari materi pelatihan yang terlalu teoritis. SDM Â di unit MR harus mampu menjadi pionir dalam membangun budaya sadar risiko dan menularkannya ke seluruh unit kerja di sebuah bank.
Dengan SDM yang bermutu pula, unit MR menjadi unit yang disegani sehingga advisnya dibutuhkan oleh unit bisnis ataupun unit lain yang berkaitan dengan operasional bank.Â
Pada akhirnya fungsi MR di bank bukan semata untuk memenuhi regulasi, tapi yang terpenting justru untuk menyelamatkan bank itu sendiri beserta semua karyawan dan keluarganya yang menggantungkan hidup dari bank itu.
.
