Pasal 104: Definisi dan Kategori Risiko dalam Penyelenggaraan SP
Pasal 104 PBI 10/2025 menetapkan kerangka komprehensif untuk mengidentifikasi dan mengelola risiko dalam penyelenggaraan sistem pembayaran. Berbeda dengan regulasi sebelumnya yang menyebutkan risiko secara fragmentaris, PBI 10/2025 mengkonsolidasikan sembilan jenis risiko utama yang harus dikelola oleh setiap PSP dan Peserta secara sistematis.
Menurut Pasal 104 ayat 1, sembilan jenis risiko dalam penyelenggaraan SP adalah:
| KONSEP KUNCI | Risiko operasional, risiko likuiditas, risiko keuangan, risiko kredit, risiko kepatuhan, risiko hukum, risiko strategis, risiko reputasi, dan risiko lain-lain. Setiap jenis risiko memiliki sifat, mekanisme timbul, dan cara mitigasi yang berbeda. PSP tidak dapat menerapkan pendekatan one-size-fits-all dalam manajemen risiko — setiap jenis risiko memerlukan strategi pengelolaan yang spesifik dan disesuaikan dengan konteks operasional PSP. |
Pemetaan Lengkap Sembilan Jenis Risiko
Berikut adalah pemetaan detail setiap jenis risiko, definisi operasional, manifestasi spesifik dalam konteks pembayaran, dan mekanisme mitigasi dasar:
| Jenis Risiko | Definisi Pasal 104 | Contoh Konkret dalam SP | Dampak Potensial |
|---|---|---|---|
| Risiko Operasional | Risiko yang timbul dari kegagalan proses internal, SDM, sistem teknologi, atau peristiwa eksternal yang mengganggu operasional normal penyelenggaraan SP | Downtime sistem pembayaran; kesalahan input peserta/nasabah; fraud internal oleh karyawan; kecelakaan sistem atau disaster yang menghancurkan infrastruktur; gangguan dari third party vendor teknologi | Kehilangan transaksi; keterlambatan setelmen; kerugian finansial PSP; penurunan kepercayaan peserta dan nasabah; sanksi regulasi |
| Risiko Likuiditas | Risiko ketidakmampuan PSP memiliki sumber dana yang cukup untuk melakukan setelmen transaksi pembayaran pada waktu yang tepat | PSP tidak memiliki dana terpisah (segregated fund) untuk setelmen; peserta tidak menurunkan dana sesuai jadwal; terjadi penarikan dana unexpected dari peserta; gap antara kebutuhan setelmen dan ketersediaan dana | Kegagalan setelmen; kerugian peserta akibat delayed settlement; sanksi regulasi; potensi krisis likuiditas di ekosistem pembayaran |
| Risiko Keuangan | Risiko yang timbul dari perubahan kondisi finansial PSP akibat fluktuasi pasar, perubahan valuasi aset, atau kondisi ekonomi eksternal yang merugikan PSP | Volatilitas nilai aset yang dimiliki PSP; perubahan nilai tukar jika PSP memiliki eksposur mata uang asing; penurunan nilai collateral yang ditahankan; perubahan suku bunga yang memengaruhi cost of capital PSP | Penurunan modal PSP; mengurangi kemampuan PSP menjalankan operasional; potensi insolvency jika terus berlanjut; kemampuan PSP memenuhi ongoing capital berkurang |
| Risiko Kredit | Risiko kerugian PSP akibat kegagalan peserta, pengguna layanan, atau counterparty lain untuk membayar kewajiban finansial kepada PSP | Peserta gagal bayar fee kepada PSP; peserta gagal bayar settlement obligation; pengguna layanan PSP (e.g., e-wallet user) tidak membayar hutang; gagal bayar dari counterparty bank atau lembaga keuangan dalam kliring/setelmen | Kerugian finansial PSP dari unrecovered receivables; penurunan modal; dampak terhadap likuiditas PSP |
| Risiko Kepatuhan | Risiko kerugian atau sanksi regulasi akibat kegagalan PSP memenuhi kewajiban yang diatur dalam PBI 10/2025, regulasi sektor keuangan lainnya, atau ketentuan perundang-undangan yang berlaku | Keterlambatan penyampaian laporan kepada BI; kegagalan menerapkan GCG sebagai per Pasal 103; melanggar persyaratan ongoing capital per Pasal 32; melanggar pembatasan kepemilikan per Pasal 116-117; tidak memenuhi TIKMI per Pasal 8-21 | Denda dari BI; pencabutan izin; reputasi negatif; hilangnya akses ke infrastruktur BI |
| Risiko Hukum | Risiko kerugian atau litigasi akibat kegagalan PSP memenuhi kewajiban hukum atau adanya sengketa litigasi yang tidak menguntungkan PSP | PSP digugat peserta atas dasar pelanggaran SLA (Service Level Agreement); sengketa dengan vendor teknologi atas kegagalan layanan; tuntutan konsumen yang merasa dirugikan; sengketa kepemilikan atau sengketa litigasi material lainnya | Biaya litigasi; kerugian finansial dari settlement atau putus hakim; distraksi manajemen; dampak reputasi |
| Risiko Strategis | Risiko kerugian akibat kegagalan strategi bisnis PSP, penetapan arah strategis yang salah, atau ketidakmampuan PSP beradaptasi dengan perubahan kondisi pasar dan teknologi | Strategi bisnis PSP tidak selaras dengan arah regulasi (misalnya fokus pada aktivitas yang akan dilarang); investasi dalam teknologi yang obsolete; gagal bersaing dengan kompetitor yang lebih agile; kesalahan dalam keputusan M&A atau partnership | Penurunan market share; kehilangan peserta; keuntungan berkurang; potensi insolvency jangka panjang |
| Risiko Reputasi | Risiko kerugian akibat merosotnya kepercayaan publik, peserta, dan pemegang kepentingan terhadap PSP akibat peristiwa negatif atau persepsi buruk | Data breach atau kebocoran informasi pribadi pengguna; pelaporan media negatif tentang insiden fraud atau keamanan pada platform PSP; kegagalan layanan yang meluas yang merugikan pengguna; persepsi bahwa PSP tidak dapat dipercaya atau tidak kompeten | Penurunan transaksi akibat peserta/nasabah beralih ke kompetitor; sulitnya akuisisi peserta baru; meningkatnya cost of capital akibat persepsi risiko; potensi run (penarikan dana sekaligus-samaan) dari peserta |
| Risiko Lain-lain | Risiko lain yang tidak masuk dalam kategori 1-8 di atas, tetapi memiliki potensi dampak material terhadap penyelenggaraan SP. Ini memberikan fleksibilitas regulasi untuk mengakomodasi jenis risiko baru yang mungkin muncul | Risiko kesehatan dan keselamatan kerja (K3); risiko lingkungan dari operasional PSP; risiko geopolitik yang mempengaruhi supply chain atau counterparty internasional; risiko cyber-physical yang melibatkan infrastruktur fisik PSP | Dampak bervariasi tergantung jenis risiko spesifik yang timbul; dapat bersifat finansial atau non-finansial |
Kategorisasi Risiko: Utama, Sekunder, dan Lain-lain
Pasal 104 ayat 2 lebih lanjut mengkategorisasi sembilan jenis risiko tersebut ke dalam tiga kelompok berdasarkan tingkat kritis dan dampaknya terhadap kelangsungan SP:
| Kategori Risiko | Jenis Risiko yang Termasuk | Karakteristik | Implikasi Manajemen Risiko |
|---|---|---|---|
| Risiko Utama (Primary Risk) | Risiko operasional, risiko likuiditas, risiko kredit | Memiliki dampak langsung dan material terhadap kelangsungan operasional SP; kegagalan pengelolaan dapat mengakibatkan disruption sistem pembayaran yang luas; bersifat krisis jika tidak dikelola dengan baik | Monitoring ketat dan real-time; kebijakan dan prosedur detail dan diperbarui berkala; dedicated resources; escalation path yang jelas; contingency plan yang teruji |
| Risiko Sekunder | Risiko keuangan, risiko kepatuhan, risiko hukum, risiko strategis, risiko reputasi | Memiliki dampak signifikan namun tidak seakut risiko utama; kegagalan pengelolaan dapat melemahkan posisi finansial atau reputasi PSP dalam jangka pendek/menengah; memerlukan pengelolaan proaktif | Monitoring berkala (quarterly/annual); kebijakan yang comprehensive; review dan updates sesuai perkembangan; integrated dengan risk management framework |
| Risiko Lain-lain | Risiko yang belum terkategori dalam risiko utama atau sekunder | Potensi dampak tergantung konteks spesifik PSP; mungkin muncul sebagai emerging risk yang perlu diidentifikasi dan dipantau | Risk identification process yang robust; monitoring emerging risks; flexibility untuk menyesuaikan strategi mitigasi sesuai perkembangan |
Kerangka Manajemen Risiko: Lima Komponen Implementasi Wajib
Pasal 104 ayat 3 menetapkan bahwa PSP dan Peserta wajib menerapkan manajemen risiko yang mencakup lima komponen berikut. Kelima komponen ini bukan pilihan — setiap PSP harus mengimplementasikan semuanya, walaupun dengan tingkat detail yang disesuaikan dengan proporsionalitas:
(a) Pengawasan Aktif oleh Direksi dan Dewan Komisaris
Direksi dan dewan komisaris (atau struktur setara untuk organisasi non-bank) harus melakukan pengawasan aktif terhadap pengelolaan risiko. Ini berarti bukan hanya menerima laporan manajemen risiko, tetapi secara aktif meninjau, mempertanyakan, dan memastikan bahwa risiko dikelola dengan memadai. Pengawasan aktif harus tercermin dalam notulen rapat dewan dan keputusan-keputusan yang diambil berdasarkan hasil review risiko.
(b) Kebijakan dan Prosedur Serta Struktur Organisasi yang Memadai
PSP wajib memiliki kebijakan risiko yang tertulis dan prosedur operasional yang jelas untuk setiap jenis risiko. Struktur organisasi harus memungkinkan pemisahan fungsi antara risk taking unit (lini bisnis), risk monitoring unit (risk management), dan risk oversight (audit dan dewan). Kebijakan harus disosialisasikan dan diinternalisasi oleh seluruh organisasi.
(c) Proses Manajemen Risiko dan Fungsi Manajemen Risiko yang Independen
PSP wajib memiliki proses manajemen risiko yang terstruktur: risk identification (identifikasi risiko), risk assessment (penilaian risiko), risk mitigation (mitigasi risiko), risk monitoring (pemantauan berkelanjutan), dan risk reporting (pelaporan risiko). Fungsi manajemen risiko harus independen dari lini bisnis agar tidak ada konflik kepentingan dalam penilaian risiko.
(d) Sumber Daya Manusia (SDM) yang Berkompeten
PSP wajib mengalokasikan SDM yang cukup dan memiliki kompetensi (pengetahuan, keterampilan, pengalaman) dalam manajemen risiko. Tim risk management harus dipimpin oleh Kepala Risk Officer atau sejenisnya yang memiliki akses langsung kepada dewan dan tidak berada di bawah subordinasi lini bisnis.
(e) Pengendalian Internal (Internal Control) yang Efektif
PSP wajib memiliki sistem pengendalian internal yang komprehensif dan efektif untuk memastikan bahwa keputusan-keputusan bisnis selaras dengan kebijakan risiko yang ditetapkan. Pengendalian internal mencakup preventive controls (untuk mencegah terjadinya risiko), detective controls (untuk mendeteksi risiko yang sudah terjadi), dan corrective controls (untuk mengatasi risiko yang terdeteksi).
| PENTING | Kelima komponen manajemen risiko bukan silos yang terpisah — mereka saling terintegrasi dalam sistem manajemen risiko yang kohesif. Direksi dan komisaris memberikan arahan (a), kebijakan dan struktur organisasi menetapkan kerangka (b), fungsi manajemen risiko melaksanakan proses (c), SDM adalah aktor pelaksana (d), dan pengendalian internal memastikan efektivitas (e). Kegagalan dalam satu komponen dapat mengurangi efektivitas keseluruhan sistem manajemen risiko. |
Proporsionalitas Penerapan Manajemen Risiko Berdasarkan Paket Bundling
Pasal 104 ayat 4 menyebutkan bahwa "penerapan manajemen risiko PSP disesuaikan dengan paket bundling aktivitas dan klasifikasi PSP". Ini berarti PSP dengan paket bundling yang lebih sederhana (misal, PSP Paket 3 yang hanya menyelenggarakan inisiasi dan otorisasi) tidak perlu menerapkan manajemen risiko dengan tingkat kompleksitas sama dengan PSP Utama Paket 1A yang menyelenggarakan semua tahap transaksi pembayaran.
Proporsionalitas dalam manajemen risiko diwujudkan melalui:
1. Ruang Lingkup Risiko yang Dikelola
PSP Paket 3 yang hanya menangani inisiasi dan otorisasi tidak perlu manajemen risiko likuiditas yang ketat (karena tidak mengelola settlement). Demikian pula, PSP yang tidak memiliki ekspansi internasional tidak perlu mengelola risiko currency dengan detail yang sama dengan PSP yang beroperasi lintas negara.
2. Kedalaman dan Frekuensi Monitoring
PSP Utama Paket 1A melakukan risk monitoring secara real-time atau harian untuk risiko operasional kritis. PSP Paket 2 atau 3 dapat melakukan monitoring mingguan atau bulanan. PSP Paket 3 dapat melakukan review kuartalan atau bahkan tahunan untuk risiko yang kurang kritis.
3. Staffing dan Struktur Organisasi
PSP Utama memiliki dedicated Chief Risk Officer dan tim risk management yang besar. PSP Standar dapat memiliki Head of Risk Management yang juga mengkurasi fungsi lain. PSP Paket 3 dapat memiliki 1 orang risk officer yang part-time atau shared dengan compliance.
| WAWASAN BITLION | Proporsionalitas bukan alasan untuk mengurangi kualitas manajemen risiko — tetapi mengakui bahwa kompleksitas dan tingkat detail yang diperlukan berbeda berdasarkan risiko inherent yang dihadapi PSP. Pendekatan proportional risk management adalah best practice internasional (diakui dalam BCBS, IOSCO, dan standar regulasi global lainnya) dan memastikan bahwa sumber daya dialokasikan dengan efisien, bukan untuk show atau compliance theater semata. |
Integrasi Manajemen Risiko dengan Penilaian TIKMI
Manajemen risiko PSP tidak berada dalam vakum regulasi — ia terintegrasi langsung dengan penilaian TIKMI (Transaksi, Interkoneksi, Kompetensi, Manajemen Risiko, dan Infrastruktur TI). Aspek "M" dalam TIKMI adalah Manajemen Risiko, yang berarti kapabilitas manajemen risiko PSP secara langsung mempengaruhi klasifikasi PSP dan paket bundling yang dapat diselenggarakan.
Implikasi praktis:
Jika manajemen risiko PSP dinilai lemah (misalnya, tidak memiliki kebijakan operasional risiko yang comprehensive, atau SDM risk management tidak cukup), maka penilaian TIKMI akan berpengaruh: PSP dapat diklasifikasikan ke paket yang lebih rendah, atau diberi syarat tambahan untuk meningkatkan kapabilitas risiko sebelum dapat beroperasi dengan paket bundling yang lebih luas.
Sebaliknya, investasi dalam manajemen risiko yang kuat dapat membuka peluang bagi PSP untuk naik paket bundling atau mendapat akses ke infrastruktur BI yang lebih komprehensif.