382 Surat Edaran bank Indonesia Nomor 13/29/DPNP Tahun 2011

III. MANAJEMEN RISIKO PADA ASPEK-ASPEK TERTENTU

1.3. MANAJEMEN RISIKO TERKAIT TEKNOLOGI INFORMASI

Kemampuan Bank memitigasi risiko TI tergantung dari hasil identifikasi, pengukuran, pengendalian dan pemantauan risiko-risiko terkait TI yang berpotensi mengancam keamanan dan operasional Bank.

Proses manajemen risiko terkait TI yang harus dilakukan setiap Bank mencakup empat hal penting yaitu:

a. merencanakan penggunaan TI; b. menilai risiko terkait TI;

c. menetapkan proses pengukuran dan pemantauan risiko terkait penyelenggaraan dan penggunaan TI;

d. implementasi pengendalian TI.

1.3.1. Perencanaan Penggunaan TI

Sebagaimana dijelaskan di atas bahwa Bank wajib memiliki Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan) yang mendukung rencana strategis kegiatan usaha Bank. Selanjutnya Rencana Strategis Teknologi Informasi yang akan diimplementasikan dalam satu tahun kedepan diungkapkan dalam Rencana Bisnis Bank yaitu dalam bagian Kebijakan dan Strategi Manajemen. Disamping itu apabila terdapat bagian dari Rencana Strategis TI tersebut yang terkait pengembangan produk dan aktivitas baru serta perubahan jaringan kantor bank maka harus diungkapkan pula pada bagian Pengembangan Produk dan Aktivitas Baru serta sub bab Perubahan Jaringan Kantor Bank. Setiap rencana pengeluaran terkait Rencana Strategis TI yang akan diimplementasikan pada tahun yang bersangkutan harus dimasukkan dalam proyeksi neraca di Rencana Bisnis.

Mengingat rencana strategis TI bersifat jangka panjang, maka untuk menjaga kesesuaian dengan perkembangan usaha Bank dan perkembangan TI maka Bank sebaiknya melakukan evaluasi secara berkala yang mencakup antara lain kinerja TI Bank serta tercapainya sasaran dan anggaran yang telah ditetapkan. Dengan demikian proyeksi neraca di Rencana Bisnis dapat lebih realistis dan berkesinambungan dari tahun ke tahun.

1.3.2. Penilaian Risiko yang Berkesinambungan

Kebijakan pengelolaan TI pada umumnya bertujuan untuk memastikan bahwa penyelenggaraan TI dapat mendukung pencapaian rencana bisnis Bank dan memastikan risiko yang terkait baik secara langsung maupun tidak langsung dengan penyelenggaraan TI tersebut dapat diatasi.

Dalam melakukan identifikasi dan penilaian risiko tersebut, manajemen terlebih dahulu harus memastikan adanya risk awareness di seluruh lini Bank yaitu:

BAB I –MANAJEMEN

Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 12

a. risk awareness dari pejabat eksekutif dan direksi;

b. pemahaman yang jelas mengenai risk appetite dari Bank; c. pemahaman terhadap ketentuan yang berlaku;

d. transparansi dan integrasi tanggung jawab mengenai risiko-risiko yang signifikan dari setiap aspek terkait penyelenggaraan TI.

Untuk dapat memastikan hal-hal di atas, Bank dapat menjalankan risk awareness

program bagi seluruh pegawai dan pengurus Bank atau menjalankan metode lain yang

dapat meningkatkan kesadaran para pengguna TI akan risiko yang ada. 1.3.2.1. Jenis Risiko Terkait Teknologi Informasi

Bank wajib memiliki pendekatan manajemen risiko yang terpadu (terintegrasi) untuk dapat melakukan identifikasi, pengukuran, pemantauan dan pengendalian risiko secara efektif. Risiko terkait teknologi wajib dikaji ulang bersamaan dengan risiko-risiko lainnya yang dimiliki Bank untuk menentukan risk profile bank secara keseluruhan. Adapun risiko terkait penyelenggaraan TI yang utama adalah:

a. Risiko Operasional

Risiko operasional melekat di setiap produk dan layanan yang disediakan Bank. Penggunaan TI dapat menimbulkan terjadinya risiko operasional yang disebabkan oleh antara lain ketidakcukupan/ketidaksesuaian desain, implementasi, pemeliharaan sistem atau komputer dan perlengkapannya, metode pengamanan, testing dan standar internal audit serta penggunaan jasa pihak lain dalam penyelenggaraan TI.

b. Risiko Kepatuhan

Risiko kepatuhan dapat timbul bila Bank tidak memiliki sistem yang dapat memastikan kepatuhan Bank terhadap ketentuan yang berlaku bagi Bank seperti kerahasiaan data nasabah. Risiko kepatuhan dapat berdampak buruk terhadap reputasi serta citra Bank, juga berdampak pada kesempatan berusaha dan kemungkinan ekspansi.

c. Risiko Hukum

Bank menghadapi risiko hukum yang disebabkan adanya tuntutan hukum, ketiadaan peraturan perundangan yang mendukung atau kelemahan perikatan seperti tidak dipenuhinya syarat sah suatu kontrak.

d. Risiko Reputasi

Opini publik yang negatif dapat timbul antara lain karena kegagalan sistem yang mendukung produk, kasus yang ada pada produk Bank dan ketidakmampuan Bank memberikan dukungan layanan nasabah pada saat terjadi kegagalan sistem (downtime). Opini negatif ini dapat menurunkan kemampuan Bank memelihara loyalitas nasabah dan keberhasilan produk dan layanan Bank.

e. Risiko Strategis

Risiko ini timbul karena ketidakcocokan TI yang digunakan Bank dengan tujuan strategis Bank dan rencana strategis yang dibuat untuk mencapai tujuan tersebut. Hal ini karena kualitas implementasi maupun sumber daya yang digunakan TI kurang memadai. Sumber daya tersebut mencakup saluran komunikasi, operating systems, delivery network, serta kapasitas dan kapabilitas pengelola TI.

1.3.2.2. Penilaian Risiko

Dalam menggunakan teknologi, manajemen Bank harus menggunakan proses analisis yang ketat, menyeluruh, hati-hati & akurat, untuk mengidentifikasi dan mengkuantifikasi risiko serta memastikan pengendalian risiko diterapkan. Untuk itu penilaian risiko yang dilakukan Bank perlu dilakukan secara berkesinambungan dengan suatu siklus yang minimal mencakup empat langkah penting sebagai berikut:

a. Pengumpulan data/dokumen atas aktivitas terkait TI yang berpotensi menimbulkan atau meningkatkan risiko baik dari kegiatan yang akan maupun sedang berjalan termasuk namun tidak terbatas pada:

1) Aset TI yang kritikal, dalam rangka mengidentifikasi titik-titik akses dan penyimpangan terhadap informasi nasabah yang bersifat rahasia;

2) Hasil review rencana strategis bisnis, khususnya review terhadap penilaian risiko potensial;

3) Hasil due dilligence dan pemantauan terhadap kinerja pihak penyedia jasa; 4) Hasil review atas laporan atau keluhan yang disampaikan oleh nasabah dan

atau pengguna TI ke Call Center dan atau Help Desk;

5) Hasil Self Assessment yang dilakukan seluruh satuan kerja terhadap pengendalian yang dilakukan terkait TI;

6) Temuan-temuan audit terkait penyelenggaraan dan penggunaan TI.

b. Analisis risiko berkaitan dengan dampak potensial dari tiap-tiap risiko, misalnya dari fraud di pemrograman, virus komputer, kegagalan sistem, bencana alam, kesalahan pemilihan teknologi yang digunakan, masalah pengembangan dan implementasi sistem, kesalahan prediksi perkembangan bisnis Bank.

c. Penetapan prioritas pengendalian dan langkah mitigasi yang didasarkan pada hasil penilaian risiko Bank secara keseluruhan. Untuk itu Bank harus membuat peringkat risiko berdasarkan kemungkinan kejadian dan besarnya dampak yang dapat ditimbulkan serta mitigasi risiko yang dapat dilakukan untuk menurunkan eksposure risiko tersebut.

d. Pemantauan kegiatan pengendalian dan mitigasi yang telah dilakukan atas risiko yang diidentifikasi dalam periode penilaian risiko sebelumnya, yang

BAB I –MANAJEMEN

Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 14

antara lain mencakup rencana tindak lanjut perbaikan, kejelasan akuntabilitas dan tanggung jawab, sistem pelaporan, pengendalian kualitas termasuk

compensating control.

1.3.3. Proses Pengukuran Dan Pemantauan Risiko

Seperti telah diuraikan sebelumnya terdapat beberapa jenis risiko yang terkait dengan penggunaan TI namun yang terbesar potensinya adalah risiko operasional. Hal ini perlu mendapat perhatian mengingat risiko operasional sulit dikuantifikasi. Bank perlu memperhatikan signifikansi dampak risiko yang telah diidentifikasi oleh Bank terhadap kondisi bank serta frekuensi terjadinya risiko. Metode yang dapat digunakan Bank dapat berupa kuantitatif maupun kualitatif tergantung kompleksitas usaha dan teknologi yang digunakan. Dalam metode kualitatif, besarnya dampak dan sering tidaknya kejadian (likelihood) dapat dijelaskan secara naratif atau dengan pemberian ranking. Contoh metode pengukuran yang sederhana antara lain dengan menggunakan

check list atau menggunakan subjective risk rating seperti High, Medium atau Low.

Bank harus menetapkan kriteria High, Medium atau Low dalam risk rating tersebut dan menerapkannya secara konsisten. Agar dapat memberikan hasil pengukuran risiko yang lebih sensitif, Bank dapat meningkatkan metode pemeringkatan risikonya dari 3x3 menjadi 4x4 sampai dengan 10x10. Contoh dari pemeringkatan menggunakan matriks risiko 5x5 adalah seperti dalam tabel berikut:

IMPACT/ CONSEQUENCES / LOSS