Studi kasus yang dianalisa yaitu peristiwa kebakaran di kantor pusat Bank BTN pada tanggal 2 pebruari 2009, kebakaran di basement mengakibatkan asap dari kabel yang terbakar berdampak pada beberapa peralatan dan sistem teknologi. Kejadian tersebut mengakibatkan Bank BTN mengambil langkah-langkah antisipasi terhadap keamanan datanya dengan cara dialihkan sistem operasionalnya ke
Disaster Recovery Center (DRC) yang berada pada lokasi yang berbeda. Pada pukul 11.00 WIB hari yang sama, 58 kantor telah dapat kembali beroperasi dan pada hari kedua layanan telah dapat berjalan seperti biasanya [5].
Terkait dengan peristiwa tersebut juga Bank BTN melalui Divisi IT mengeluarkan beberapa inisiatif di tahun 2009 agar kualitas layanan TI mencapai hasil yang lebih maksimal serta menghindari risiko reputasi dan risiko operasional, antara lain dengan melakukan hal-hal sebagai berikut:
1.inisiatif implementasi DualDataCenter
Sistem Data Center & Disaster Recovery Center
(DC & DRC) sebelum peristiwa kebakaran pada 2009 ternyata tidak cukup memadai untuk mendukung ketersediaan data dan informasi yang senantiasa realtime meski kondisi force majeur
terjadi. Karena itu Bank BTN berinisiatif untuk mengembangkan sistem Data Center yang dapat senantiasa diakses secarea realtime guna menerapkan pengelolaan data yang lebih baik. Transformasi tersebut diwujudkan dengan
mengganti sistem DC & DRC ke sistem Dual Data Center. Dengan adanya sistem Dual Data Center,
DC yang berlaku sebagai DC production dapat melakukan perpindahan sewaktu-waktu tanpa harus menunggu kondisi terjadinya bencana/disaster.
2.inisiatif sewa dan kualitas ruangan data center
Lokasi dan ruangan Data Center yang diinginkan Bank BTN diharapkan dapat memenuhi standarisasi sesuai dengan best practices perbankan kelas dunia dimana umumnya kebutuhan tersebut hanya dapat disediakan oleh penyedia jasa sewa Data Center
profesional.
Oleh sebab itu, maka pada tahun 2009 operasional
Data Center telah menggunakan lokasi dan ruangan yang disewa dari pihak ketiga sebagai pengganti DC
site di kantor pusat Bank BTN.
3.inisiatif dalam penyusunan dokumen-dokumen kebijakan internal perusahaan yang berhubungan dengan IT Governance.
Untuk memenuhi kepatuhan dan IT Governance
(tata kelola TI) terhadap regulasi perbankan yaitu Peraturan Bank Indonesia (PBI) No.9/15/PBI/2007 mengenai Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum, maka Bank BTN sedang melakukan penyusunan kebijakan antara lain:
1. Rencana Strategis Sistem Informasi (RSTI) 2008- 2012
2. Tata Kelola TI
3. SOP Teknologi Informasi 4. Taksonomi Informasi
Semuanya itu dilakukan dengan maksud agar tujuan Bank BTN sebagai Bank tabungan pilihan masyarakat yang unggul dalam pembiayaan perumahan tanpa mengabaikan prinsip kehati-hatian, tata kelola perusahaan yang baik serta pelayanan nasabah yang berkualitas untuk menjadi bank kelas dunia dapat tercapai [6].
Kesiapan Bank BTN dalam menanggulangi peristiwa kebakaran dengan baik dikarena Bank BTN telah melakukan penerapan manajemen IT yang dianjurkan oleh Bank Indonesia sesuai dengan PBI Nomor: 9/15/PBI/2007 dengan melakukan langkah- langkah berikut:
1.memiliki Disaster Recovery Plan (DRP) sebagai kesiapan Bank BTN jika terjadi disaster dan untuk menjaga kontinuitas operasional teknologi informasi dan mendukung pertumbuhan bisnis Bank
2.DRP difungsikan untuk meningkatkan kapasitas data center
3.membangun dual data center yang bersifat mirroring
secara real time pada lokasi yang berbeda
4.kebijakan Business Continuity Plan (BCP) sebagai standarisasi dalam pelaksanaan jika terjadi kondisi
disaster
Sistem Manajemn Risiko
Setelah peristiwa kebakaran di kantor pusat Bank Tabungan Negara (BTN) tahun 2009, maka pihak Bank BTN melakukan pengembangan budaya manajemen risiko di kantor cabang. Beberapa
C-81 antisipasi berkaitan dengan risk management,
diantaranya [5]:
• melakukan pengelolaan risiko secara day to day risk management activities
• pada setiap cabang diangkat Branch Risk Control Officer (BRCO)
• melakukan sosialisasi Standard Operational Procedure (SOP)
• meningkatkan risk awareness dan dual control dengan melakukan kegiatan periodical checking. Tujuannya, untuk memvalidasi kebenaran transaksi atau operasional lainnya.
• melakukan operasional risk self assessment untuk mengidentifikasi operational key riskindicator, hasil dari kegiatan tersebut tujuannya meletakan potensi risiko operasional dari unit-unit kerja kantor cabang. Juga digunakan sebagai dasar pencatatan kerugian risiko operasional dalam database risiko operasional serta berguna untuk mengembangkan parameter risiko operasional pada laporan profil risiko dan persiapan untuk melakukan pengukuran risiko operasional dengan menggunakan model internal
(advanced measurement approach)
• melakukan stress testing untuk memenuhi program kerja Bank Indonesia dalam rangka Financial Self- Assessment Program (FSAP). Hal tersebut dilakukan untuk menilai ketahanan bank dalam menghadapi kejadian risiko yang bersifat ekstrim atau
catastrophy khususnya untuk risiko kredit, pasar, dan likuiditas.
Implementasi Basel II di Bank BTN
Bank BTN juga melakukan persiapan implementasi Basel II dengan mengacu pada road map
yang disusun oleh Bank Indonesia dengan membentuk
organizing committee yang bertugas merumuskan langkah-langkah sistematis dan berkesinambungan.
Organizing committee ini beranggotakan pejabat dan staf dari divisi-divisi terkait yang dikelompokkan sesuai dengan kriteria 3 pilar Basel II.
1.melakukan persiapan pengukuran risiko kredit dengan menggunakan Standardized Approach 2.menggunakan Basic Indicator Approach untuk risiko
operasional sesuai dengan SE BI No. 11/3/DPNP tanggal 27 Januari 2009 perihal Perhitungan Aset Tertimbang Menurut Risiko (ATMR)
3.risiko operasional dengan menggunakan Pendekatan Indikator Dasar (PID)
4.Standardized Model untuk risiko pasar sesuai dengan SE BI No. 9/33/DPNP tanggal 18 Desember 2007 perihal Pedoman Penggunaan Metode Standar dalam Perhitngan Kewajiban Penyediaan Minimum Bank Umum dalam Memperhitungkan Risiko Pasar Berkaitan dengan Basel II, Bank BTN membentuk [6]: 1.steering committee yang berfungsi sebagai tim
pengarah implementasi Basel II, guna merencanakan dan melaksanakan pengelolaan risiko dengan kerangka kerja basel II.
2.organizing committee yang bertugas merumuskan langkah yang sistematis dan berkesinambungan guna memastikan implementasi Basel II framework pada seluruh jajaran organisasi
Pengembangan manajemen risiko di Bank BTN berpedoman pada peraturan Bank Indonesia tentang penerapan manajemen risiko bagi Bank umum. Risiko operasional termasuk kedalam pilar 2 pada Basel II yang mewajibkan Bank menilai risiko dari aktifitas yang dilakukan, dan pengawas harus dapat mengevaluasi kecukupan penilaian yang dilakukan Bank.
Struktur Organisasi Divisi Manajemen Risiko Struktur organisasi divisi manajemen risiko di Bank BTN adalah seperti pada gambar 2 berikut ini.
Gambar 2. Struktur Organisasi Divisi ManajemenRisiko Bank BTN
Proses Gambar 2 dapat dijelaskan sebagai berikut. Petugas Periodical Checking ditunjuk oleh kepala cabang dan pelaksanaannya di monitor oleh BRCO. Apabila terjadi hal-hal yang perlu ditindak lanjuti maka BRCO akan menyampaikannya kepada kepala cabang atau melaporkan temuan atas pemeriksaan tersebut kepada kepala divisi manajemen risiko. Kepala divisi manajemen risiko dalam melaksanakan tugasnya di bantu oleh bagian manajemen risiko kredit, manajemen risiko pasar, dan manajemen risiko operasional. Dimana setiap bagian tersebut di bantu oleh kepala seksi kebijakan dan kepala seksi pengukuran. DRCO adalah pejabat pada divisi manajemen risiko yang ditempatkan di kantor pusat dengan membidangi beberapa divisi sebagai mitra kepala divisi dalam mengelola risiko. Sedangkan BRCO adalah pejabat pada divisi manajemen risiko yang ditempatkan di kantor cabang sebagai mitra kepala cabang dalam mengelola risiko.
Pada gambar 2 terlihat penetapan jalur pelaporan dan tanggung jawab pemantauan kepatuhan dalam struktur organisasi Bank BTN mendukung pengawasan dari
C-82 pihak manajemen untuk pemantauan penerapan manajemen risikonya.
Pembentukan Divisi manajemen risiko Bank BTN berdasarkan Ketetapan Direksi Nomor 20/DIR/DPP/2004 tanggal 23 Desember 2004 tentang Divisi Manajemen Risiko (DMR), DMR dipimpin oleh seorang Kepala Divisi yang bertanggung jawab langsung kepada Direktur Kepatuhan [5].
Secara rutin Bank BTN melaporkan profil risiko kepada Bank Indonesia sesuai dengan Peraturan Bank Indonesia Nomor: 5/8/2003 tentang Penerapan Manajemen Risiko bagi Bank umum. Laporan profil risiko mencakup parameter, indicator dan formula yang digunakan dalam menilai tingkat risiko dan sistem pengendalian risiko yang dilakukan oleh Bank BTN. Laporan profil risiko disusun oleh Branch Risk Control Officer (BRCO) untuk kemudian disampaikan tiap triwulan kepada Divisi manajemen risiko dan salinannya ditembuskan ke Divisi Audit Intern.
Hal-hal yang telah dipenuhi oleh Bank BTN sesuai dengan Peraturan Bank Indonesia Nomor: 9/15/PBI/2007 adalah sebagai berikut:
Tabel 1. Respon Bank BTN terhadap PBI No: 9/15/PBI/2007 No Penerapan Manajemen Risiko dalam penggunaan TI Bank BTN 1. Tersedianya kebijakan dan prosedur TI Bank BTN memiliki panduan kebijakan di bidang manajemen risiko yaitu Pedoman Kebijakan Manajemen Risiko (PKMR) yang pelaksanaannya dikawal oleh Komite Manajemen Risiko (KMR). KMR secara aktif melakukan penilaian risiko dan langkah-langkah mitigasi yang dianggap perlu. Apabila dipandang perlu, KMR dapat melakukan evaluasi dan revisi terhadap PKMR 2. Bank wajib memiliki Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan) yang mendukung rencana strategis kegiatan usaha Bank Bank BTN memiliki dokumen Rencana Strategis Teknologi Informasi (RSTI) 2008-2012 yang merupakan
blueprint Teknologi
Informasi Bank BTN untuk periode waktu 4 tahun
3. Wajib memiliki Komite Pengarah
Bank BTN memiliki
Organizing committee yang
Teknologi Informasi (Information Technology Streering Committee) bertugas merumuskan langkah-langkah sistematis dan berkesinambungan.
Organizing committee ini beranggotakan pejabat dan staf dari divisi-divisi terkait manajemen risiko dan
steering committee yang pada tahun 2010 berfungsi sebagai tim pengarah implementasi Basel II. Komite manajemen risiko bertanggung jawab dalam: - aktif memberikan pertimbangan terhadap risiko yang melekat pada kebijakan yang diterapkan oleh direksi.
- memberikan evaluasi terhadap ketentuan lama yang perlu disesuaikan dengan perkembangan terkini dan mana yang perlu dilakukan penyesuainan. - melakukan penilain risiko yang melekat pada setiap produk dan atau jasa aktifitas baru sehingga Bank dapat melakukan langkah- langkah mitigasi yang diperlukan.
- melakukan evaluasi dan revisi terhadap Pedoman Kebijakan Manajemen Risiko (PKMR)
4. Sistem
pengendalian dan Audit intern atas penyelenggaraaan TI
Dalam struktur manajemen risikonya, Bank BTN melakukan pengendalian dan audit internal yang dilakukan oleh Divisi manajemen risiko 5. Peningkatan kopentensi SDM yang terkait dengan penggunaan TI Melakukan beberapa program pengembangan SDM antara lain:
- Pendidikan dan pelatihan bagi pejabat manajemen risiko yaitu BRCO
- Melakukan internal training dan mempersiapkan
pre-test untuk mengikuti ujian sertifikasi manajemen risiko
6. Proses
manajemen risiko terkait TI
Adanya sistem informasi manajemen risiko yang
difokuskan pada
pengumpulan dan perbaikan
database untuk
diaplikasikan ke dalam sistem teknologi informasi secara bertahap agar proses
C-83 pengukuran risiko dan pemantauan risiko dapat dilakukan secara terintegrasi 7. Penyelenggaraan teknologi informasi oleh pihak penyedia jasa teknologi informasi
Pada tahun 2009 melakukan penyewaan lokasi dan ruangan untuk operasional
Data Center pada pihak ketiga sebagai pengganti
Data Center site di kantor pusat Bank BTN
Berikut ini adalah langkah yang dilakukan oleh Bank BTN berdasarkan PBI No. 5/8/PBI/2003 tentang penerapan manajemen risiko.
1. Identifikasi
Bank BTN melakukan pengelompokan sumber risiko operasional untuk kemudian dilakukan identifikasi risiko operasional melalui check list
manajemen risiko bulanan yang dilaporkan setiap bulan ke Direktur yang membidangi manajemen risiko.
2. Pengukuran
Divisi manajemen risiko telah melakukan simulasi perhitungan kebutuhan modal untuk risiko operasional dengan menggunakan:
a.pendekatan indikator dasar sesuai dengan SE BI No. 11/3/DPNP tanggal 22 januari 2009 perihal perhitungan Aset Tertimbang Menurut Risiko (ATMR)
b.untuk risiko operasional menggunakan Pendekatan Indikator Dasar (PID)
Divisi manajemen risiko bertugas menyusun laporan profil risiko yang dipergunakan untuk memantau dan melihat tingkat signifikansi risiko berdasarkan faktor-faktor penyebab timbulnya risiko.
Divisi manajemen risiko juga bertugas melakukan pengumpulan data risiko operasional dalam bentuk
database yang dapat dipergunakan untuk
memproyeksikan potensi kerugian pada suatu periode dan aktifitas fungsional tertentu
3. Pemantauan
Divisi Audit Internal melaksanakan penilain terhadap implemetasi kebijakan dan prosedur manajemen risiko pada setiap aktifitas dan Divisi manajemen risiko berfungsi memastikan proses identifikasi, pengukuran, pemantauan dan pengendalian risiko berjalan dengan efektif pada setiap aktifitas fungsional, produk atau layanan baru.
4. Pengendalian Risiko
Pengendalian dan mitigasi risiko operasional dilaksanakan oleh seluruh satuan kerja Bank BTN. Divisi manajemen risiko bertugas memastikan
bahwa Bank BTN telah memiliki kebijakan dan prosedur pengendalian dan mitigasi risiko operasional yang memadai yang wajib dipatuhi dan dilaksanakan oleh setiap satuan kerja dalam melaksanakan transaksi dan aktifitas dengan akurat, efisien dan tepat waktu.
Keempat tahapan proses tersebut harus didukung dengan sistem manajemen yang tepat waktu, laporan mengenai kondisi keuangan yang akurat dan informatif yang wajib dilaporkan secara rutin kepada Direksi, serta kinerja aktifitas fungsional dan eksposur risiko Bank.
Dampak dari diterapkannya manajemen risiko dalam penggunaan TI setelah terjadinya peristiwa kebakaran kantor pusat Bank BTN dapat terlihat pada laporan profil risiko yang dibuat oleh Divisi Manajemen Risiko pada tahun 2009 dan 2010 adalah sebagai berikut:
Tabel 2. Profil Risiko Bank BTN tahun 2009, Per 31 Desember 2009
C-84 Tabel 3. Profil Risiko Bank BTN tahun 2009, Per 31
Desember 2009
Sumber: Laporan Tahunan 2010, Bank BTN
Dari hasil tabel 2 dan tabel 3 di atas, dapat disimpulkan bahwa penanganan risiko operasional mengalami perbaikan untuk risiko bawaan (inherent risk). Dari 84,45 dan 10,56 di tahun 2009 menjadi 84,20 dan 10,53 di tahun 2010, berarti mengalami perbaikan sebesar 0,25 dan 0,03. Pada dua tahun tersebut Bank BTN berada pada level low to moderate. Hal tersebut karena didukung oleh Risk Control System
(RCS) yang memadai (acceptable) karena adanya pengawasan aktif Dewan Komisaris dan Direksi, kecukupan kebijakan, prosedur dan limit, serta efektifitas terhadap pengendalian internal.
Kesimpulan
Setelah dilakukan perbaikan manajemen risiko dalam penggunaan TI maka dapat diambil kesimpulan sebagai berikut:
1.Langkah yang diambil oleh Bank BTN terhadap data center yang di milikinya pada saat terjadinya kebakaran kantor pusat Bank BTN ternyata sesuai dengan pasal 12 pada Peraturan Bank Indonesia Nomor: 9/15/2007 bahwa Bank harus menerapkan pengendalian fisik dan lingkungan terhadap fasilitas Pusat Data (Data Center) dan Disaster Recovery Center.
2.PBI nomor: 5/8/PBI/2003 dan PBI nomor: 9/15/PBI/2007 ternyata dapat meningkatkan kinerja Bank menjadi lebih baik karena mengimplementasikan semua tahapan untuk penerapan manajemen risiko IT
3.Pengendalian intern yang di lakukan Bank BTN dengan adanya petugas periodical checking, BRCO, DRCO, dan Divisi manajemen risiko, merupakah sistem yang diterapkan oleh Bank untuk dapat mendeteksi apabila ada penyimpangan yang terjadi dan memberikan informasi kepada Bank mengenai adanya potensi risiko lebih awal dan selanjutnya dapat mengambil tindakan untuk meminimalkan dampak risiko
4.Setelah satu tahun peristiwa kebakaran kantor pusat Bank BTN dan pihak Bank aktif melakukan berbagai tindakan perbaikan manajemen risiko ternyata hasilnya pada laporan profil risiko tahun 2010 menunjukan perbaikan apabila dibandingkan dengan tahun 2009, yaitu untuk risiko bawaan (inherent risk)
sebesar 0,25 dan 0,03. Sehingga untuk risk control system berada di level low to moderate.
Daftar Pustaka
[1] Bank Indonesia (2003), Peraturan Bank Indonesia Nomor: 5/8/PBI/2003 tentang Penerapan
Manajemen Risiko bagi Bank Umum, Bank Indonesia
[2] Bank Indonesia (2007), Peraturan Bank Indonesia Nomor: 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum, Bank Indonesia [3] Bank Indonesia (2006), Implementasi Basel II di Indonesia, Direktorat Penelitian dan Pengaturan Perbankan, Bank Indonesia
[4] Bank Indonesia (----), Risk Based Capital: Dari Basel I menuju Basel II, Direktorat Penelitian dan Pengaturan Perbankan, Bank Indonesia
[5] Bank Tabungan Negara (2009), Moving Towards A Brighter Future, Laporan Tahunan 2009, Bank BTN
[6] Bank Tabungan Negara (2010), Committed to Our Focus on Sustainable Growth, Laporan Tahunan 2010, Bank BTN
C-85