Bandingkan dua hal ini:

Pertama, Pengelolaan risiko operasional lazimnya (ISO 31000 atau COSO ERM) sering disebut proses RCSA (Risk and Control Self-assessment) dimulai dengan penetapan sasaran kerja, penetapan strategi dan proses kerja, identifikasi risiko pada proses kerja (risk event atau peristiwa risiko), asesmen atas risiko tersebut dengan mengukur frekuensi dan dampak risiko untuk memperoleh risiko inheren. Dengan menilai efektifitas kontrol eksisting, diperoleh yang disebut dengan risiko residual. Risiko inheren dan risiko residual ini sering dipetakan pada diagram heat-map atau peta risiko dan menentukan apakah perlu dilakukan mitigasi risiko dengan kontrol tambahan. Proses ini dilakukan setiap 3 – 6 bulan.

Sebagai alat peringatan dini (EWS) untuk mencegah suatu peristiwa risiko menjadi dampak kerugian, digunakan alat ukur yang disebut KRI (key risk indicator), yang menggunakan indikator risiko untuk memprediksi tren perkembangan potensi risiko menjadi dampak kerugian. Proses KRI dilakukan dengan periode yang lebih pendek (harian, mingguan) sehingga bank dapat segera mengambil langkah2 yang diperlukan begitu melihat indikator bahaya.

Kedua, sesuai ketentuan pada POJK no 4/POJK.03/201 dan SEOJK No 14/SEOJK.03/2017 mengenai Tingkat Kesehatan Bank (TKB), Bank setiap tiga bulan melaporkan profil risiko bank yang terdiri dari risiko inheren dan KPMR (Kualitas Penerapan Manajemen Risiko) atas delapan risiko utama. Dengan menggunakan tabel pada POJK tersebut, diperoleh net risk rating (risiko komposit). Kalau dilihat cara menentukan risiko inheren sesuai lampiran 1 pada SEOJK tersebut diatas, yang digunakan adalah parameter KRI. Sebagai contoh, pada risiko kredit, konsentrasi kredit atau tingkat NPL merupakan indikator dari kredit macet (peristiwa risiko), pada risiko operasional, karakteristik dan kompleksitas bisnis merupakan indikasi risiko operasional dsb. 

Dengan menilai dua hal tersebut diatas, saya membaca bahwa risiko inheren pada profil risiko pada OJK sebenarnya merupakan Indikator KRI, yang apabila melewati threshold (untuk NPL misalnya rating 3), maka diperlukan kontrol berupa KPMR untuk memperbaiki risiko inheren yang terkait dengan indikator terkait. Risiko inheren sendiri sebenarnya tidak dapat terlihat pada proses ini. Identifikasi risiko sudah dipatok pada delapan risiko pada bank umum, dengan indikator sebagaimana pada lampiran 1 SEOJK tersebut diatas. Informasi ini cukup memadai untuk keperluan OJK menilai profil risiko bank. Namun bank perlu melakukan sendiri proses manajemen risiko operasional sesuai proses RCSA (risk and control self-assessment) sesuai pada bagian pertama diatas. Untuk keperluan intern bank, proses RCSA dapat dibuat setiap 3 – 6 bulan, namun penerapan KRI setiap tiga bulan seperti pada ketentuan POJK tersebut diatas sebenarnya terlalu lama untuk maksud mencegah risiko operasional.