Laporan Tahunan 2016 788 Semakin Berkembang Bersama peluang Baru yang Membentang RISIKO OPERASIONAL Risiko Operasional adalah risiko akibat ketidakcukupan dan atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, dan.atau adanya kejadian-kejadian eksternal yang mempengaruhi operasional bank. Risiko operasional melekat kepada seluruh aktivitas bank, oleh karena itu risiko operasional tidak dapat dihilangkan namun dapat dikendalikan melalui mitigasi risiko yang memadai. Dampak kerugian dari risiko operasional dapat berupa kerugian keuangan atau kerugian non keuangan. Bank melakukan tata kelola mengenai pengelolaan risiko operasional yang dilakukan melalui three line of defense yaitu risk taking unit sebagai lini pertahanan pertama, unit kerja Operational Risk Management sebagai lini pertahanan kedua, serta Internal Audit sebagai lini pertahanan ketiga. Lini pertahanan pertama memiliki tanggung jawab untuk memastikan bahwa seluruh proses operasional yang dilakukan telah sesuai dengan kebijakan dan prosedur yang berlaku, melakukan identifikasi risiko operasional serta melakukan mitigasi atas peristiwa kejadian risiko operasional. Lini pertahanan kedua yang berfungsi untuk mendukung dan memastikan unit kerja pada lini pertahanan pertama telah melakukan pengelolaan risiko secara efektif. Lini pertahanan ketiga memiliki peran untuk memastikan proses pengelolaan risiko operasional yang dilakukan oleh lini pertahanan pertama dan kedua telah berlangsung secara efektif dalam memitigasi kejadian risiko yang sudah terjadi maupun yang bersifat potensial agar tidak menimbulkan potensi kerugian bagi Bank. PenGaWasan aKTif DeWan KOmisaris Dan DireKsi Dewan Komisaris dan Direksi melakukan pengawasan aktif atas manajemen risiko operasional, antara lain melalui Komite Risiko baik yang berada pada level komisaris maupun direksi. Dalam pelaksanaan pengawasan aktif yang dilakukan Dewan Komisaris, dilakukan melalui Komite Pemantau Risiko. Sementara pada tingkat Direksi dilakukan melalui Komite Manajemen Risiko yang anatara lain membahas mengenai kebijakan manajemen risiko bank. Dalam rangka meminimalisir kejadian fraud, Direksi melakukan sosialisasi kepada seluruh karyawan mengenai pencegahan terkait fraud sebagai langkah untuk meningkatkan awareness karyawan mengenai kejadian fraud. Bank memiliki unit kerja independen yang melaksanakan pengelolaan manajemen risiko operasional secara bankwide yaitu Grup Risiko Operasional yang berada di bawah Divisi Manajemen Risiko. Unit ini memiliki peran dalam menetapkan standard dan OPERATIONAL RISK Operational Risk is risk due to inadequacy andor malfunction of internal process, human error, system failure, andor external incidents affecting the bank’s operations. Operational risk is attached to all bank’s activities, therefore, operational risk cannot be eliminated but can be managed with adequate risk mitigation. The impact of losses from operational risk can be in the form of financial loss or non-financial loss. Bank implements governance on operational risk management that is carried out through three lines of defense, which are risk-taking unit as the first line of defense, Operational Risk Management unit as the second line of defense, and Internal Audit as the third line of defense. The first line of defense is responsible for ensuring that all operational processes conducted are in line with the applicable policies and procedures, identifying operational risk, and mitigating incidents of operational risk. The second line of defense functions to support and ensure that the work unit in the first line of defense has managed the risks effectively. The third line of defense has the role to ensure that the operational risk management process conducted by the first and second lines of defense has been done effectively in mitigating risk incidents happened or potential so that it will not result in a potential loss for the Bank. acTiVe mOniTOrinG Of THe bOarD Of cOmmissiOners anD DirecTOrs The Board of Commissioners and Directors perform active monitoring on operational risk management, such as through the Risk Committee either on commissioner level or director’s. Active monitoring conducted by the Board of Commissioners is done through Risk Monitoring Committee. Whereas on Directors’ level, it is done through Risk Management Committee that, among others, discusses about the bank’s risk management policies. In order to minimize fraud incidents, the Directors conduct dissemination to all employees about prevention related to fraud as a step to increase the employees’ awareness on fraud incidents. The Bank has an independent work unit that performs operational risk management bank wide, which is the Operational Group Risk under the Risk Management Division. This unit has a role in determining standards and policies on PENGUNGKAPAN EKSPOSUR RISIKO DAN PENERAPAN MANAJEMEN RISIKO DisClosuRe of Risk eXPosuRe anD Risk managemenT imPlemenTaTion annual report 2016 789 Growing Together with new expanding opportunities kebijakan pengelolaan risiko operasional, dan berhubungan serta berkoordnasi dengan seluruh unit bisnis dan supporting unit untuk memastikan langkah mitigasi yang dilakukan telah cukup dan memadai untuk mencegah potensi risiko operasional. Bank melakukan pengelolaan risiko operasional pada seluruh aktivitas, dimana seluruh karyawan wajib berperan serta dalam mengelola risiko operasional pada unit kerja masing-masing serta memperhatikan kontrol yang efektif untuk mengantisipasi kemungkinan terjadinya risiko yang dapat merugikan bank. KecUKUPan KebijaKan, PrOseDUr Dan PeneTaPan limiT Bank telah memiliki kebijakan serta pedoman manajemen risiko operasional yang secara berkala dilakukan pembaharuan dan evaluasi atas kebijakan dan pedoman manajemen risiko bank tersebut. Selain itu bank juga telah memiliki kebijakan lain terkait manajemen risiko operasional, diantaranya kebijakan anti fraud, kebijakan Business Continuity Management yang didalamnya meliputi Business Continuity Plan sebagai prosedur kelangsungan usaha Bank, Emergency Response Plan sebagai prosedur tanggap darurat bencana dalam rangka penyelamatan data dan asset serta Disaster Recovery Plan sebagai prosedur kelangsungan sistem dan infrastruktur pendukung Teknologi Informasi, Kebijakan pengelolaan Teknologi Informasi. Di samping itu terkait dengan kebijakan pengembangan produk dan aktivitas baru terlebih dahulu dilakukan analisa untuk menilai risiko yang melekat terhadap aktivitasproduk tersebut. Bank memiliki prosedur operasional untuk proses aktivitas kegiatan operasional bank yang harus dilaksanakan oleh setiap unit kerja dengan memperhatikan sistem pengendalian intern yang memadai sehingga dapat meminimalisir kemungkinan terjadinya risiko operasional pada bank. Selain itu bank memiliki kebijakan terkait limit kewenangan dalam kegiatan operasional, pemisahan tugas dan tanggung jawab pada setiap level jabatan, serta adanya approval untuk setiap eskalasi. KecUKUPan PrOses iDenTifiKasi, PenGUKUran, PemanTaUan, Dan PenGenDalian risiKO, serTa sisTem infOrmasi manajemen risiKO Dalam mendukung penerapan majemen risiko operasional untuk proses identifikasi, pengukuran, pemantauan, dan pengendalian Risiko, bank telah mengembangkan alat bantu manajemen risiko operasional yaitu : • Risk Control Self Assessment RCSA merupakan penilaian sendiri untuk mengukur eksposur risiko dari kumpulan risk register sebagai analisis potensi risiko dari kegiatan operasional bank. Penilaian RCSA operational risk management, connecting and coordinating with all business units and supporting units to ensure that the mitigation step taken is adequate and sufficient to prevent potential operational risk. The Bank performed operational risk management on all activities where all employees must participate in managing operational risk on each work unit and pay attention to an effective control to anticipate any possibilities of risk incident that might harm the Bank. aDeQUacY Of POlicies, PrOceDUres, anD limiT esTablisHmenT The Bank has operational risk management policies and guidelines that are renewed and evaluated periodically on the policies and guidelines of the bank’s risk management. Furthermore, the bank also has other policies related to operational risk management, such as anti-fraud policies, Business Continuity Management policies including Business Continuity Plan as the Bank’s business continuity procedure, Emergency Response Plan as a disaster emergency response procedure in order to save data and asset, and Disaster Recovery Plan as a continuity procedure of system and infrastructure that supports Information Technology, Policies managing Information Technology. Moreover, related to policies of product development and new activities, an analysis should be done first to assess the risk attached to the activityproduct. The Bank has operational procedure for the bank’s operational activity process that must be performed by each work unit by noticing sufficient internal control system in order to minimize the possibility of operational risk incident at the bank. Furthermore, bank has policies related limit of authorization in its operational activity, separation of duties and responsibility on each level of position, and approval for each escalation. aDeQUacY Of PrOcess Of risK iDenTificaTiOn, measUremenT, mOniTOrinG, anD manaGemenT, as Well as risK manaGemenT infOrmaTiOn sYsTem In supporting the operational risk management for process of Risk identification, measurement, monitoring, and management, the bank has developed operational risk management supporting tools, which are: • Risk Control Self Assessment RCSA is a self assessment to measure risk exposure from registered risk group as risk potential analysis in the bank’s operational activities. RCSA includes assessment for risk PENGUNGKAPAN EKSPOSUR RISIKO DAN PENERAPAN MANAJEMEN RISIKO DisClosuRe of Risk eXPosuRe anD Risk managemenT imPlemenTaTion