Fondasi Manajemen Risiko PBI 23/2021
PBI 23/2021 memposisikan manajemen risiko sebagai fungsi strategis yang terintegrasi dengan tata kelola perusahaan PJP. Kerangka kerja ini mengharuskan setiap Penyedia Jasa Pembayaran untuk mengidentifikasi, menilai, mengatasi, dan memantau seluruh risiko material yang mungkin timbul dari operasi pembayaran mereka. Bank Indonesia mewajibkan PJP untuk mengadopsi pendekatan Enterprise Risk Management (ERM) yang mencakup seluruh tingkatan organisasi, mulai dari dewan direksi hingga staf operasional. Kerangka ini dirancang untuk melindungi stabilitas sistem pembayaran nasional, memastikan kelangsungan layanan pembayaran, dan melindungi kepentingan konsumen pembayaran di Indonesia.
Kategori Risiko untuk Penyedia Jasa Pembayaran
PBI 23/2021 mengidentifikasi enam kategori risiko utama yang harus dikelola oleh PJP: (1) risiko operasional, mencakup kegagalan proses internal, ketenagakerjaan, sistem dan teknologi; (2) risiko reputasional, yang berasal dari persepsi negatif publik terhadap integritas atau efektivitas PJP; (3) risiko likuiditas, terkait dengan kemampuan PJP untuk memenuhi kewajiban pembayaran jangka pendek; (4) risiko hukum dan kepatuhan, termasuk risiko dari perubahan regulasi atau ketidaksesuaian dengan ketentuan yang berlaku; (5) risiko informasi teknologi dan siber, mencakup kerentanan sistem, ancaman digital, dan gangguan layanan berbasis teknologi; serta (6) risiko strategis, yang berasal dari keputusan bisnis jangka panjang atau perubahan kondisi pasar. Setiap kategori memiliki implikasi berbeda terhadap stabilitas sistem pembayaran dan perlu pendekatan mitigasi yang spesifik.
| KONSEP KUNCI | Manajemen risiko bukanlah fungsi tunggal melainkan tanggung jawab bersama seluruh organisasi PJP. Dewan direksi bertanggung jawab atas penetapan strategi risiko, sedangkan manajemen senior menjalankan kerangka kerja harian, dan setiap unit bisnis mengidentifikasi risiko spesifik dalam operasi mereka. |
Identifikasi dan Penilaian Risiko
Proses identifikasi risiko harus sistematis dan berkelanjutan, menggunakan berbagai metode seperti risk workshops, analisis data historis, benchmarking industri, dan konsultasi dengan expert eksternal. PJP harus mempertahankan risk register yang komprehensif dan terdokumentasi dengan baik, mencatat setiap risiko yang teridentifikasi beserta sumbernya. Penilaian risiko dilakukan melalui analisis probabilitas dan dampak, menggunakan skala yang konsisten dan terukur. Bank Indonesia menginginkan PJP menggunakan metodologi penilaian risiko yang robust, termasuk stress testing untuk melihat bagaimana risiko berkembang dalam kondisi pasar yang ekstrem atau krisis. Penilaian harus mencakup analisis risiko individu maupun risiko gabungan (aggregate risk), karena interaksi antar risiko dapat menciptakan dampak yang lebih signifikan daripada jika dilihat secara terpisah.
| Jenis Risiko | Contoh Sumber Risiko | Dampak Potensial |
|---|---|---|
| Operasional | Kerusakan sistem pembayaran, kesalahan staf, fraud internal | Gangguan layanan, kerugian finansial, ketidakpuasan konsumen |
| Reputasional | Insiden keamanan data, keluhan konsumen masif, pemberitaan negatif | Kehilangan kepercayaan pasar, penurunan transaksi, regulator scrutiny |
| Likuiditas | Kebutuhan modal mendadak, penundaan settlement, penarikan dana besar-besaran | Ketidakmampuan memenuhi kewajiban, kebutuhan pembiayaan darurat |
| Hukum/Kepatuhan | Perubahan regulasi PBI, ketidaksesuaian dengan UU PDP, audit negatif BI | Denda regulasi, pembatasan operasi, reputasi tercemar di regulator |
| TI/Siber | Serangan ransomware, DDoS attack, data breach, malware | Downtime sistem, kehilangan data sensitif, kompromi keamanan pembayaran |
| Strategis | Perubahan teknologi pembayaran, persaingan baru, konsolidasi industri | Obsolescence bisnis, kehilangan market share, kebutuhan transformasi urgent |
Appetite dan Toleransi Risiko
Dewan direksi PJP harus menetapkan risk appetite statement yang jelas, yaitu tingkat risiko maksimal yang PJP siap terima untuk mencapai tujuan strategisnya. Pernyataan ini harus dikomunikasikan ke seluruh organisasi dan diterjemahkan menjadi batasan risiko spesifik per kategori (risk tolerance limits). Risk appetite untuk layanan pembayaran kritis, khususnya sistem real-time gross settlement atau clearinghouse, harus jauh lebih konservatif dibandingkan dengan layanan pendukung. PJP harus membuat dashboard manajemen risiko yang menampilkan posisi risiko atual terhadap established tolerance limits, dengan eskalasi otomatis ketika risiko mendekati atau melampaui batas yang ditetapkan.
Butuh Bantuan dari Strategi sampai Implementasi?
Dari pemetaan kewajiban PBI 23 hingga penguatan governance, risk, dan security controls, Bitlion membantu perusahaan bergerak lebih cepat dengan pendekatan konsultatif dan praktis.
Strategi Perlakuan Risiko (Risk Treatment)
Setelah menilai risiko, PJP harus mengambil keputusan perlakuan risiko untuk setiap risiko material. Strategi perlakuan risiko mencakup empat pilihan utama: (1) terima risiko (accept), ketika dampak dan probabilitas dinilai dapat ditoleransi dan biaya mitigasi terlalu tinggi; (2) mitigasi risiko (mitigate), dengan menerapkan kontrol atau tindakan untuk mengurangi probabilitas atau dampak; (3) transfer risiko (transfer), dengan mengalihkan risiko kepada pihak ketiga melalui asuransi atau kontrak; dan (4) hindari risiko (avoid), dengan tidak menjalankan aktivitas tertentu atau menghentikan lini bisnis yang terlalu berisiko. Setiap strategi harus terdokumentasi dengan jelas, termasuk alasan pemilihan strategi dan tindakan konkret yang akan dilaksanakan. Bank Indonesia mengharapkan PJP untuk secara aktif memantau efektivitas perlakuan risiko dan melakukan penyesuaian jika kondisi berubah.
| PENTING | Risk tolerance limits harus ditetapkan di tingkat board dan dikomunikasikan melalui risk appetite statement yang formal. Setiap unit bisnis harus memahami batas risiko yang diberikan kepada mereka dan melaporkan posisi risiko secara berkala kepada manajemen senior dan audit committee. |
Risk Register dan Dokumentasi
PJP harus mempertahankan risk register yang komprehensif dan up-to-date, mencatat semua risiko yang teridentifikasi, penilaian risiko (inherent dan residual risk), strategi perlakuan, kontrol mitigasi, owner risiko, dan timeline pelaksanaan. Risk register harus dibuat dengan format yang terstruktur dan dapat diaudit, serta diperbarui minimal setiap kuartal atau ketika ada perubahan signifikan dalam bisnis atau lingkungan operasional. Dokumentasi risiko ini berfungsi sebagai bukti bagi Bank Indonesia bahwa PJP telah menjalankan due diligence dalam identifikasi dan pengelolaan risiko. Risk register juga harus tersegmentasi berdasarkan business unit atau fungsi untuk memastikan accountability yang jelas.
Integrasi dengan Tata Kelola Perusahaan
Manajemen risiko tidak dapat berdiri sendiri; ia harus terintegrasi dengan struktur tata kelola PJP secara keseluruhan. Fungsi Risk Management harus melaporkan langsung kepada Chief Executive Officer atau Dewan Direksi, terpisah dari operasi bisnis untuk memastikan independensi. PJP harus membentuk Risk Committee atau mengintegrasikan tanggung jawab risiko ke dalam Audit Committee yang ada. Komite ini harus bertemu minimal setiap kuartal untuk meninjau posisi risiko, menyetujui perlakuan risiko baru, dan mendiskusikan emerging risks. Dewan Direksi sendiri harus menerima laporan manajemen risiko yang ringkas namun komprehensif setiap bulan atau setiap kuartal, mencakup risiko kritis, incidents, dan tren risiko.
Pelaporan Risiko kepada Bank Indonesia
PBI 23/2021 memandatkan bahwa PJP melaporkan posisi risiko material dan incidents kepada Bank Indonesia sesuai dengan timeline dan format yang ditetapkan. Laporan ini harus mencakup ringkasan risk profile, risiko kritis yang melampaui risk tolerance limits, incidents operasional yang signifikan, perkembangan strategi mitigasi risiko, dan hasil stress testing. Bank Indonesia menggunakan laporan ini untuk melakukan penilaian risikonya sendiri dan memutuskan apakah diperlukan intervensi regulasi atau pembatasan operasi. PJP yang menunjukkan tren peningkatan risiko atau kurangnya kapabilitas manajemen risiko dapat menghadapi pemeriksaan intensif, penalti, atau pembatasan izin usaha.
| Elemen Kerangka Risiko | Tanggung Jawab | Frekuensi Pelaporan |
|---|---|---|
| Penetapan Risk Appetite | Dewan Direksi | Tahunan dengan review |
| Identifikasi Risiko | Setiap unit bisnis + Risk Function | Berkelanjutan, min quarterly |
| Penilaian Risiko (Inherent & Residual) | Risk Function dengan business units | Setiap perubahan signifikan |
| Perlakuan Risiko & Kontrol | Manajemen unit + Risk Function | Ongoing dengan quarterly summary |
| Risk Register & Dokumentasi | Risk Function | Up-to-date, audit trail lengkap |
| Laporan kepada Board/BI | Chief Risk Officer + CEO | Bulanan ke Board, triwulanan ke BI |
| Stress Testing & Scenario Analysis | Risk Function + Finance | Semi-tahunan minimum |