[go: up one dir, main page]
Scribd
Upload
232 views52 pages

ORM Tools & Risk Management Guide

This document provides an overview of an operational risk management training on understanding ORM tools, specifically the Risk Profile Management System (RPMS). The training aims to help participants understand the importance of quality information and data, learn how to use RPMS as a risk escalation medium, and manage operational risks. The agenda covers the benefits of RPMS and ORM tools, and how to use the Risk and Loss Event Database (RLED), Key Risk Indicators (KRI), and Risk and Control Self-Assessment (RCSA) modules within RPMS. RPMS is presented as an enhanced risk reporting and monitoring tool to support risk governance implementation and regulatory compliance. Accurate data input is emphasized as RPMS output quality depends on input

Uploaded by

Mama Faraisha
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as PDF, TXT or read online on Scribd
232 views52 pages

ORM Tools & Risk Management Guide

This document provides an overview of an operational risk management training on understanding ORM tools, specifically the Risk Profile Management System (RPMS). The training aims to help participants understand the importance of quality information and data, learn how to use RPMS as a risk escalation medium, and manage operational risks. The agenda covers the benefits of RPMS and ORM tools, and how to use the Risk and Loss Event Database (RLED), Key Risk Indicators (KRI), and Risk and Control Self-Assessment (RCSA) modules within RPMS. RPMS is presented as an enhanced risk reporting and monitoring tool to support risk governance implementation and regulatory compliance. Accurate data input is emphasized as RPMS output quality depends on input

Uploaded by

Mama Faraisha
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as PDF, TXT or read online on Scribd
You are on page 1/ 52

UNDERSTANDING

ORM Tools

OPERATIONAL RISK MANAGEMENT DIVISION


2019
GROUND RULES
✓ MATIKAN/SILENT ALAT KOMUNIKASI
✓ KONSENTRASI PADA MATERI/PRESENTER
✓ AKTIF – BERTANYALAH SETIAP SAAT
✓ KONDUSIF
✓ TERBUKA
OPERATIONAL RISK MANAGEMENT DIVISION
TUJUAN TRAINING

PENTINGNYA MEMAHAMI
MEMAHAMI MANFAAT RPMS
INFORMASI & DATA PENGGUNAAN RPMS
BERKUALITAS DALAM MENGELOLA
SEBAGAI MEDIA RISIKO
ESKALASI OPERASIONAL

OPERATIONAL RISK MANAGEMENT DIVISION


AGENDA HARI INI
1. Manfaat RPMS & ORM Tools
2. Cara penggunaan RLED, KRI & RCSA

OPERATIONAL RISK MANAGEMENT DIVISION


KENAPA ANDA HADIR HARI INI?

APA ITU RPMS?


KENAPA HARUS
INPUT RLED? KENAPA HARUS
ISI KRI & RCSA?

OPERATIONAL RISK MANAGEMENT DIVISION


ORMF OPERATIONAL RISK MANAGEMENT
(ORM) FRAMEWORK
Business Strategies and Objectives
Mission Statement Operational Risk Appetite Value Proposition

Risk Management Culture and Awareness


Risk Operational Risk Management Risk
Governance Methodologies, Process and Techniques Standards
• RCSA & KRI

Risk •
ROLE
Audit Finding
Identification • Etc.
Three Lines Policies and
of Defense Procedures
• Reputational Risk Management
• Fraud Risk Management • Risk
• Board and Risk • Loss Events/ Incidents
Senior
Risk Assessment
Reporting Management Criteria
Management • Outsourcing Risk Management
Assessment
Matrix
Reporting • Technology Risk Management (RACM)
• Data Loss Prevention • Risk Severity
Board and • New Product Approval Guidelines and
Senior • Internal Control System Industry
Management • Business Continuity Standards
Oversight Risk Risk Management
• Risk Profile • Insurance Management
Monitoring Treatment • Operational Risk Capital
Assessment
ORM Management Information Systems

OPERATIONAL RISK MANAGEMENT DIVISION


UNDERSTANDING

ORM Tools

RISK PROFILE
MANAGEMENT SYSTEM

OPERATIONAL RISK MANAGEMENT DIVISION


2019
Risk Profile Management System

HTTPS://RPMS.OCBCNISP.CO.ID

OPERATIONAL RISK MANAGEMENT DIVISION


Struktur Menu User: Input & Approval
Types of Menu

Working Area Enquiry Report

• RCSA Assessment • View RCSA / KRI


• KRI Assessment Assessment
Inputter • View RLED
• Input RLED • RLED Profile
• View Action Plan
• Update Action Plan • RCSA Submission
• KRI Submission
• KRI Trends
• N/A
• View RCSA/KRI • Process Lapse
• View RLED • Control Lapse
Approver • View Action Plan (according to
• Re-assign Action authority level)
Plan

OPERATIONAL RISK MANAGEMENT DIVISION


Struktur Menu User: Workflow Status
Saved as Draft Submitted for Approved/Finalized
Not Yet Worked Approval
PIC Inputter belum Inputter telah Inputter telah Inputter telah
mengerjakan mengerjakan self- selesai melakukan selesai
kegiatan self- assessment secara self-assessment melakukan self-
assessment. sebagian hanya dan telah submit assessment dan
save dan belum ke approver. melakukan
submit. approval
terhadap
pekerjaannya

Rejected
Approver tidak
menyetujui hasil
assessment dan
dikembalikan
untuk diperbaiki.

Inputter Approver
OPERATIONAL RISK MANAGEMENT DIVISION
Risk Profile Management System
Enhanced Risk Reporting Risk Monitoring & Governance Implementation

RBBR Report BOD Oversight

Dashboard Risk
1st Line: Risk
Reporting &
Managers
Analysis

Policy Grid 2nd Line: Risk


Reporting Oversight

3rd Line:
Lesson Learnt Independent
Assurance

Regulatory
Audit Findings Fines
RCSA Records KRI Records RLED Records QA Findings CHM

OPERATIONAL RISK MANAGEMENT DIVISION


Risk Profile Management System

“Garbage in Garbage Out”

Your Analysis as good as your Data


OPERATIONAL RISK MANAGEMENT DIVISION
Risk Profile Management System

PENGENALAN TERHADAP SYSTEM RPMS

OPERATIONAL RISK MANAGEMENT DIVISION


Manfaat ORM Tools

“ORM Tools adalah: Perangkat pengelolaan


Risiko Operasional untuk mengetahui tren
Risiko yang terjadi, kelemahan control yang
terdapat didalam suatu proses dan Alat untuk
eskalasi”

OPERATIONAL RISK MANAGEMENT DIVISION


Manfaat ORM Tools

OPERATIONAL RISK MANAGEMENT DIVISION


Manfaat ORM Tools

OPERATIONAL RISK MANAGEMENT DIVISION


Root Cause Analysis (ROCA)

“Adalah salah satu alat yang digunakan


dalam inisiatif problem solving; untuk
membantu tim menemukan akar
penyebab (root cause) dari masalah
yang kini sedang dihadapi”

OPERATIONAL RISK MANAGEMENT DIVISION


Root Cause Analysis (ROCA)
Langkah dalam menjalankan ROCA :
1. Definisikan Masalah
2. Kumpulkan Data
3. Identifikasi kemungkinan penyebab
4. Identifikasi akar masalah
5. Ajukan & Implementasikan Solusi (action plan)

OPERATIONAL RISK MANAGEMENT DIVISION


Deskripsikan Masalah
What

5W
When
Who
Where
OPERATIONAL RISK MANAGEMENT DIVISION
Why
Definisikan masalah

“Adalah alat bantu root cause analysis untuk


mengidentifikasi akar masalah atau
penyebab dari sebuah ketidaksesuaian pada
proses atau produk”

OPERATIONAL RISK MANAGEMENT DIVISION


Definisikan masalah
Contoh: kebocoran Data Nasabah

Why? Melalui apa data tersebut bocor?

Why? USB Connection tidak diblock?

Why? Kontrol tidak dijalankan?

OPERATIONAL RISK MANAGEMENT DIVISION


UNDERSTANDING

ORM Tools

RISK/LOSS EVENT
DATABASE
DATABASE
OPERATIONAL RISK MANAGEMENT DIVISION
2019
OPERATIONAL RISK MANAGEMENT DIVISION
Modul RPMS : Real/Loss Event
Database (RLED)
Kejadian yang dapat menimbulkan kerugian atau
potensi kerugian terhadap Bank yang disebabkan
oleh ketidakcukupan atau kegagalan proses
internal, manusia, sistem atau kejadian eksternal.

OPERATIONAL RISK MANAGEMENT DIVISION


Modul RPMS : Real/Loss Event
Database (RLED)

Pelaporan High Risk Event:


H+1
OPERATIONAL RISK MANAGEMENT DIVISION
Modul RLED : Tujuan dan Manfaat

1. Sebagai lesson learnt terhadap kejadian operasional


2. Mencegah terjadinya pengulangan risiko operasional di unit-unit kerja yang lain
3. Memberi panduan mengenai tata cara pencatatan risiko operasional
4. Memiliki pemahaman yang sama dalam mengembangkan database kejadian
risiko operasional Bank
5. Meningkatkan proses pengelolaan dan administrasi laporan kejadian risiko

OPERATIONAL RISK MANAGEMENT DIVISION


Modul RLED
Do’s Dont’s

1. Isi semua field mandatory (ditandai 1. Melakukan penginputan di RPMS


dengan asterisk *) menggunakan special character (‘)
dimana hal ini dapat mengakibatkan
2. Pastikan penanggungjawab risk / loss system error.
event sesuai dengan kejadian riil.
2. Membuat Kronologis yang tidak
3. Gunakan RACM (Risk Assessment lengkap dan tanpa ROCA.
Criteria Matrix) untuk menentukan
Inherent Risk Impact & Likelihood 3. Action Plan yang dibuat normatif dan
tidak menjawab root cause.
4. Bila diperlukan, tambahkan
attachment pada laporan RLED untuk 4. Jangan membuka mozilla firefox dari
mendukung penjelasan. Citrix. Buka dari aplikasi firefox yang
sudah diinstall di komputer.
OPERATIONAL RISK MANAGEMENT DIVISION
Modul RLED : RACM

Dampak (Aktual/Potensial)

OPERATIONAL RISK MANAGEMENT DIVISION


Modul RLED : RACM
Dampak (Aktual/Potensial)

Kecenderungan (Likelihood)

OPERATIONAL RISK MANAGEMENT DIVISION


Modul RLED : RACM

% Toleransi Kegagalan Kontrol


= Jumlah exception yang ditemukan dari
hasil pengujian RCSA dibagi dengan Total
Sampel yang diambil

OPERATIONAL RISK MANAGEMENT DIVISION


Modul RLED : Contoh Kejadian Yang Perlu
Dilaporkan.
Dibawah ini adalah contoh-contoh kejadian yang perlu
dilaporkan di RLED :
1. Pelanggaran yang dilakukan oleh Unit Kerja atas
ketentuan Regulator,
2. Kejadian risiko yang dilakukan oleh Karyawan, misal:
Fraud, Human Error, dll.
3. Kejadian risiko akibat eksternal, misal: Bencana Alam,
Perusakan asset ON, dll

OPERATIONAL RISK MANAGEMENT DIVISION


Modul RLED : Simulasi

Silahkan input RLED menggunakan case


yang bisa terjadi di Unit Kerja Anda!

OPERATIONAL RISK MANAGEMENT DIVISION


Modul RLED : Keterangan Field
Department Unit Kerja yang bertanggungjawab terhadap Risk/Loss Event tersebut

Berisikan dampak pilihan Dampak Finansial / Dampak Hukum / Dampak Non-


Event Profile Finansial / Dampak Kepatuhan / Lain-Lain
Inherent Risk Impact
Pemilihan mengacu pada Risk Assessment Criteria Matrix (RACM)
& Likelihood
Pilih Proses yang terkait dengan risk/loss event. Jika tidak ada, BARULAH pilih
Sub Process lain-lain
Pilih Key Control yang terdampak/dilanggar sehingga mengakibatkan risk/loss
Key Control Event. Jika tidak ada, BARULAH pilih lain-lain

Risk Event Type Pilih Risk Event Type yang terdampak sesuai penggolongan 7 Basel Risk Event.

Adalah driver/penyebab terjadinya sebuah risk/loss event. Pilih berdasarkan


Risk Factor penggolongan yang telah ditetapkan.
Adalah list product yang dimiliki oleh OCBC NISP. Jika sebuah risk/loss event
Related Product terkait dengan product tertentu, maka pilih product yang relevan. Jika tidak,
BARULAH pilih lain-lain.

OPERATIONAL RISK MANAGEMENT DIVISION


Modul RLED : Keterangan Field
Kronologis & Action Plan
Event Date Tanggal TERJADINYA risk/loss event.
Tanggal DITEMUKANNYA risk/loss event. (tanggal ini tidak bisa lebih lama
Discovery Date dari Event Date).
Agar diisi dengan lokasi spesifik terjadinya kejadian (misal: ATM Rest Area
Place of Event
Cikarang, Area Teller Cabang X, Ruang Khasanah Cabang Y).
Agar diisi dengan judul yang dengan mudah menggambarkan keseluruhan
Event Title
risk/loss event.
Chronology of Diisi dengan 5W dan diakhiri dengan root cause analysis (ROCA) *Unlimited
Event menggunakan 5 Why. Char.

Related Policy & Isi dengan L3/L4/ L5 yang mungkin terkait dengan risk/loss event. Jika
Procedure tidak terkait dengan Policy & Procedure internal maka Not Available (N/A).
Action That Has Adalah action plan yang segera dilakukan pada saat kejadian untuk *Unlimited
Been Taken mencegah dampak yang lebih besar terjadi kepada Bank. Bersifat opsional. Char.

- Agar diisi dengan action plan yang sesuai dengan ROCA


Action Plan, PIC, - PIC by default adalah penginput RLED → bisa diubah oleh Approver.
Target Date, - Status: Open (bersifat rencana dan belum dimulai), In Progress (sedang
Status dilakukan tindakan mitigasi tapi belum selesai), Closed (Action Plan
telah selesai dilaksanakan)
OPERATIONAL RISK MANAGEMENT DIVISION
UNDERSTANDING

ORM Tools

KEY
KEY RISK
RISK INDICATOR
INDICATOR

OPERATIONAL RISK MANAGEMENT DIVISION


2019
MODUL KEY RISK INDICATOR (KRI)
Indikator-indikator finansial, operasional dan
proses bisnis yang secara terus-menerus
memberikan wawasan mengenai tingkat risiko
di suatu bisnis.
“KRI sebagai peringatan dini agar dapat dilakukan
tindakan mitigasi lebih awal untuk menghindari
kecendrungan tren meningkat”
OPERATIONAL RISK MANAGEMENT DIVISION
MODUL KRI: THRESHOLD
3 tingkat threshold:
1. Merah (High Risk): tidak dapat diterima,
memerlukan tindakan segera
2. Amber (Medium Risk): dapat ditoleransi, tetapi
perlu dimonitor secara ketat
3. Green (Low Risk): dapat diterima, dan mungkin
tidak diperlukan perubahan control yang ada
OPERATIONAL RISK MANAGEMENT DIVISION
MODUL KRI: CARA MENENTUKAN
THRESHOLD
“Penentuan Threshold tergantung dengan Risk
Appetite dari Unit Kerja tersebut serta sebagai
acuan untuk melakukan tindakan perbaikan dan
eskalasi”
Contoh: Threshold Kesalahan transaksi di Unit kerja yang
melakukan pencatatan 1000 transaksi perbulan akan berbeda
dengan Unit kerja yang melakukan pencatatan 10 transaksi
perbulan
OPERATIONAL RISK MANAGEMENT DIVISION
MODUL KRI: PENGUKURAN

Pengukuran KRI dilakukan oleh unit kerja setiap


bulan. Untuk kondisi dimana data KRI tidak dapat
diperoleh setiap bulan, maka pengukuran KRI
dapat dilakukan setiap triwulan atau semester.

OPERATIONAL RISK MANAGEMENT DIVISION


MODUL KRI: DO & DONTS
Do’s Dont’s

1. Jika Threshold mencapai Medium / 1. Jangan biarkan KRI value kosong


High, maka Action Plan WAJIB diisi. meskipun pada periode tersebut
tidak ada kejadian. Isi dengan
2. Konsultasikan dengan ORM terkait angka 0.
availability data dari KRI yang
diambil jika ada kesulitan dalam 2. Jangan mengisi action plan dengan
pengambilan data. kalimat normatif. Lakukan ROCA
dan sesuaikan action plan dengan
3. Agar field Analysis dapat diisi hasil tersebut.
dengan penjelasan mengapa terjadi
pergerakan naik/turunnya KRI Value 3. Jangan meninggalkan KRI Screen
dari periode-periode sebelumnya. sebelum melakukan Save terlebih
dahulu.

OPERATIONAL RISK MANAGEMENT DIVISION


MODUL KRI: SIMULASI

Silahkan membuka KRI pada RPMS

OPERATIONAL RISK MANAGEMENT DIVISION


UNDERSTANDING

ORM Tools

RISK AND CONTROL


SELF ASSESSMENT
OPERATIONAL RISK MANAGEMENT DIVISION
2019
MODUL RISK AND CONTROL SELF
ASSESSMENT (RCSA)
Merupakan proses terstruktur/pendekatan yang
digunakan oleh Manajemen untuk :
• Menilai tingkat risiko dan kecukupan kontrol
yang dihadapi oleh Unit kerja.
• Mengambil dan menerapkan rencana tindak
lanjut atas eksposur risiko sehingga tujuan usaha
dapat dicapai dengan risiko yang terkendali.
OPERATIONAL RISK MANAGEMENT DIVISION
MODUL RCSA: PENGUJIAN

Pengujian RCSA dilakukan oleh unit kerja


setiap semester (6 bulanan).

OPERATIONAL RISK MANAGEMENT DIVISION


MODUL RCSA: PENYUSUNAN
Penyusunan RCSA mencakup :
• Menentukan Key Proses
• Menentukan Key Risk
• Penggolongan Risk Type
• Menentukan Key Control
• Menentukan Inherent Risk Severity
• Mendeskripsikan Cara Pengujian & Sample yang
digunakan

OPERATIONAL RISK MANAGEMENT DIVISION


MODUL RCSA: PENGAMBILAN SAMPLE
1. Tentukan Jumlah Populasi

6-month data population

2. Tentukan Jumlah Sampel


a. 5% x Populasi = ≤ 5 → Ambil 5 sampel atau seluruh populasi apabila populasi < 5
b. 5% x Populasi = 5<x≤30 → Ambil sampel sesuai dengan rumus.
c. 5% x Populasi = > 30 → Ambil sampel max 30.

3. Lakukan Random Sampling

Ambil sampel dari masing-masing bulan secara merata/sesuai profil transaksi


Rule of Thumb:
a. Ambil sampel lebih banyak untuk bulan/tanggal yang secara historis memiliki jumlah transaksi lebih banyak dari bulan lainnya.
b. Jangan ambil semua sampel dari satu tanggal pada satu bulan saja.
c. Lakukan pemilihan tanggal sampling secara random.
OPERATIONAL RISK MANAGEMENT DIVISION
MODUL RCSA: DO & DONTS
Do’s Dont’s

1. Silahkan mencicil pengisian RCSA. 1. Jangan lupa mengisi Jumlah Sampel


The sooner the better. yang diambil. System akan
mengalami error karena tidak
2. Jangan lupa lihat OTHER DETAILS mengenali pembagian 0/0.
sebagai salah satu referensi
pengisian. 2. Jangan membuka mozilla firefox
dari Citrix.
3. Beri attachment jika diperlukan – 3. Jangan mengisi action plan dengan
baik untuk list sample data ataupun kalimat normatif. Lakukan ROCA
detail temuan (jika ada). dan sesuaikan action plan dengan
hasil tersebut.
4. Isi test result sebagaimana Anda
mengisi field Kronologis pada RLED. 4. Jangan lakukan pengambilan
Lakukan ROCA. sampel yang tidak sesuai ketentuan

OPERATIONAL RISK MANAGEMENT DIVISION


MODUL RCSA: PENILAIAN RISIKO &
KONTROL YANG BERKELANJUTAN
Unit kerja perlu melakukan penilaian
ulang atas risiko dan kontrolnya setiap
terjadi perubahan dalam lingkungan atau
strategi bisnis.

OPERATIONAL RISK MANAGEMENT DIVISION


ALL MODULE: REMINDER PERIOD
1. KRI Reminder

H-7 H+0 H+3 H+8 Kelipatan


Tgl 7 Tgl 10 Tgl 15 7 hari berikutnya
Tgl 1
Inputter Inputter Inputter KaDiv KaDiv
Approver Approver Approver Direktur

2. RCSA Reminder

H-15 H-3 H+0 H+15 Kelipatan


Tgl 1 Tgl 12 Tgl 15 Tgl 30 14 hari berikutnya
Inputter Inputter Inputter KaDiv KaDiv
Direktur
Approver Approver Approver

3. Action Plan Reminder

Kelipatan
H-7 H+0 H+7 H+14 14 hari berikutnya
Inputter Inputter Inputter Inputter
Approver Approver Approver Approver Inputter
Approver
MODUL RCSA: SIMULASI

Silahkan membuka RCSA pada RPMS

OPERATIONAL RISK MANAGEMENT DIVISION


OPERATIONAL RISK MANAGEMENT DIVISION
UNDERSTANDING

ORM Tools

Thank y u
OPERATIONAL RISK MANAGEMENT DIVISION
2019

You might also like