Melihat makin bertumbuhnya industri keuangan non-bank di Indonesia, tiga bulan lalu Otoritas Jasa Keuangan (OJK) mengeluarkan satu peraturan baru yaitu Peraturan OJK No. 01/POJK/2015 mengenai penerapan manajemen risiko bagi Lembaga Jasa Keuangan Non-Bank (LJKNB) yang akan segera berlaku efektif tanggal 1 Januari 2016. Tentunya dengan waktu yang tersisa, ini merupakan tantangan regulasi di industri di dalam ruang lingkup LJKNB untuk segera berbenah dan menyiapkan diri menyikapi aturan baru tersebut.
Aturan ini dikeluarkan dengan melihat pertama, bahwasanya kondisi internal dan eksternal lembaga dimaksud dapat meningkatkan kompleksitas tingkat risiko yang dihadapi; kedua bahwa semakin kompleksnya risiko perlu diimbangi dengan penerapan manajemen risiko yang meliputi identifikasi, pengukuran, pemantauan, dan pengendalian risiko.
Jauh sebelumnya, industri asuransi sebagai salah satu lembaga dimaksud, oleh Kementerian Keuangan sejak 2003 melalui Keputusan Menteri Keuangan No. 424/KMK.06/2003 tentang Kesehatan Keuangan Perusahaan Asuransi dan Perusahaan Reasuransi (“Kepmenkeu 424/2003”) diwajibkan setiap saat memenuhi tingkat solvabilitas paling sedikit 120% dari risiko kerugian yang timbul. Dari sinilah munculnya konsep risk based capital, di luar capital asuransi yang ada.
Hal senada juga diatur dalam Pasal 2 ayat (3) Peraturan Menteri Keuangan No. 53/PMK.10/2012 tentang Kesehatan Keuangan Perusahaan Asuransi dan Perusahaan Reasuransi.
Jadi, ditinjau dari segi hukum, Pemerintah telah memberikan payung hukum untuk melindungi kepentingan nasabah perusahaan asuransi dengan menetapkan risk based capital. Sehingga, diharapkan perusahaan asuransi memiliki kekuatan modal yang cukup dan menghindarkan risiko merugikan nasabahnya dalam hal terjadi masalah atau kerugian sebagai akibat dari deviasi dalam pengelolaan kekayaan dan kewajiban.
Jika kita kembali menilik aturan OJK ini, industri asuransi akan ter-ekspose paling sedikit 7 (tujuh) jenis risiko, yaitu:
Risiko Strategi;
Risiko Operasional;
Risiko Aset dan Liabilitas;
Risiko Kepengurusan;
Risiko Tata Kelola;
Risiko Dukungan Dana; dan
Risiko Asuransi.
Tentunya penerapan manajemen risiko nantinya harus disesuaikan dengan tujuan, kebijakan usaha, ukuran dan kompleksitas industrinya itu sendiri.
Penerapan Manajemen Risiko sebagaimana dimaksud paling sedikit mencakup:
Pengawasan aktif direksi, dewan komisaris, atau yang setara dari LJKNB;
Kecukupan kebijakan, prosedur, dan penetapan limit risiko;
Kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian risiko;
Sistem informasi Manajemen Risiko; dan
Sistem pengendalian intern yang menyeluruh.
Pengawasan aktif direksi, dewan komisaris merupakan hal penting untuk disebutkan sebagai yang pertama. Dalam konteks kerangka Enterprise Risk Management (ERM) atau yang dikenal juga dengan Manajemen Risiko Terintegrasi, mandat dan komitmen dari manajemen puncak merupakan prasyarat awal sebelum menyusun rencana kerja pengelolaan risiko.
Tentunya kecukupan kebijakan, prosedur dan penetapan limit menjadi hal kedua yang penting dibangun. Manajemen puncak perlu memiliki dan memahami bahasa risiko yang sama, sebab jika tidak, akan sulit untuk menetapkan risk limit atau risk appetite perusahaan. Kebijakan dan prosedur manajemen risiko yang disusunpun, dipastikan tidak berdiri sendiri, namun memiliki sinergi dengan kebijakan utama perusahaan dan kebijakan-kebijakan internal lainnya serta regulasi eksternal terkait. Oleh karena itu, kerjasama dengan unit-unit kerja di luar risk management unit merupakan hal penting juga. Karena di sini dengan membangun Enterprise Risk Management (ERM) yang merupakan keterpaduan ke- 7 jenis risiko asuransi, maka ERM akan menjadi “Everybody is a Risk Manager”.
Kecukupan proses manajemen risiko dari mulai proses identifikasi risiko hingga proses perlakuan risiko, akan menjadi tantangan besar, terutama metodologi untuk pengukuran risiko dari masing-masing risiko tidak selalu sama. Sebagai contoh, dalam mengukur risiko operasional, maka risk tools seperti Risk Control Self-Assessment (RCSA), Key Risk Indicator (KRI) dan Loss Event Database (LED) menjadi perangkat standar yang dipakai; berbeda lagi dengan risiko Asset & Liabilities, akan menggunakan misalnya gap analysis untuk mengukur perbedaan maturity masing-masing instrumen keuangan. Semua tools dalam tujuh risiko ini memerlukan disiplin ilmu yang harus dikuasai oleh para risk managers.
Kecukupan manajemen sistem informasi diperlukan guna membantu pelaku industri memiliki kecukupan data yang dapat dipakai sejak mulai mengidentifikasi risiko. Data historis risiko asuransi diperlukan paling tidak untuk tiga hal yaitu:
Sebagai pembelajaran yang baik bagi industri agar tidak terjadi lagi di masa depan;
Sebagai bagian dari risk analytics process sehingga industri asuransi dapat melakukan statistical modelling guna mensimulasi berapa besar modal yang perlu dialokasikan dalam kerangka mengcover risiko-risiko tersebut.
Lebih jauh lagi, merupakan bahan untuk stress-testing guna melihat seberapa besar daya tahan perusahaan dalam skenario bisnis yang buruk atau terburuk sekalipun.
Akhirnya, aspek pengendalian intern yang menyeluruh diperlukan dengan melibatkan three lines of defense (Tiga Lini Pertahanan), yaitu a) Business Operations itu sendiri sebagai risk owner; b) Oversight functions, yakni Finance, Human Resources, Quality dan Risk Management; dan 3) Independent Assurance dalam hal ini internal audit unit, external audit dan/atau penyedia Independent Assurance lainnya. Jika ketiga lini ini berfungsi dengan baik, maka dapat dipastikan perusahaan akan dapat mengendalikan risiko-risiko, baik itu risiko yang dihadapi, ditransfer, dikurangi ataupun diputuskan untuk mengambil strategi untuk dihindari. Penerapan Good Corporate Governance (GCG) dimana manajemen risiko merupakan salah satu pilar penting, juga bagian dari keseluruhan pengendalian perusahaan sampai di tingkat dewan komisaris dan direksi.
Mengingat banyaknya pekerjaan rumah yang harus disusun oleh industri asuransi dalam meresponi aturan OJK ini, maka tak pelak, dalam beberapa bulan ke depan, industri asuransi perlu segera menyusun strategi dan rencana untuk menyiapkan proses yang baik, sumber daya manusia yang capable, dan didukung teknologi yang mumpuni sebagai enabler dalam proses manajemen risiko.
Apakah industri kita akan mampu memenuhi tantangan regulasi ini? Kita tunggu hasilnya.
Daftar Pustaka
Peraturan OJK NO. 1/POJK.05/2015 tentang Penerapan Manajemen Risiko bagi lembaga jasa keuangan non-bank; http://www.ojk.go.id/peraturan-ojk-tentang-penerapan-manajemen-risiko-bagi-lembaga-jasa-keuangan-non-bank
Keputusan Menteri Keuangan No. 424/KMK.06/2003 tentang Kesehatan Keuangan Perusahaan Asuransi dan Perusahaan Reasuransi http://www.bapepam.go.id/perasuransian/regulasi_asuransi/kepmen_asuransi/2_KMK424.pdf
Peraturan Menteri Keuangan No. 53/PMK.10/2012 tentang Kesehatan Keuangan Perusahaan Asuransi dan Perusahaan Reasuransi http://www.bapepam.go.id/perasuransian/regulasi_asuransi/kepmen_asuransi/PMK-53-2012.pdf
https://www.theirm.org/media/886062/ISO3100_doc.pdf
https://www.kpmg.com/RU/en/IssuesAndInsights/ArticlesPublications/Audit-Committee-Journal/Documents/The-three-lines-of-defence-en.pdf
Ditulis oleh: Boy Michael Tjahyono – Risk Management Lead of Accenture Indonesia