PENGEMBANGAN DAN PENGADAAN SISTEM

2.4. MANAJEMEN RISIKO PENGEMBANGAN DAN PENGADAAN

2.4.3. Pengendalian Risiko Pada Pengadaan

Dalam hal akan digunakan sistem aplikasi yang dibeli dari pihak lain (pengadaan), maka perlu pula diperhatikan kesesuaian spesifikasi dengan kebutuhan, pengaruh terhadap sistem yang telah ada, dukungan teknis purna jual, kondisi keuangan perusahaan, kelengkapan dokumentasi, escrow agreement dan pelatihan. Sama seperti halnya mengembangkan sistem aplikasi sendiri, studi kelayakan proyek pengadaan harus mendapat persetujuan manajemen, harus terdapat pendefinisian kebutuhan pengguna, harus memiliki pengendalian pengamanan yang memadai dan terdapat pengujian dan implementasi produk. Proses yang sama juga diterapkan dalam pengadaan perangkat keras dan perangkat lunak lainnya.

Bank harus membuat kriteria pemilihan vendor dan melakukan kaji ulang kemampuan vendor antara lain terkait dengan kondisi keuangan, tingkat dukungan

(support level), dan pengendalian keamanan, sebelum menetapkan pilihan produk

atau layanan dari vendor. Bank harus memperhatikan ketentuan terkait dan pedoman Bank Indonesia tentang outsourcing, serta ketentuan intern Bank. Selain itu Bank harus melakukan kaji ulang kontrak dan perjanjian lisensi (licensing agreement) untuk memastikan hak dan tanggung jawab masing-masing pihak jelas dan wajar. Penasehat hukum Bank harus melakukan konfirmasi bahwa jaminan pelaksanaan

(performance guarantees), akses terhadap source code, masalah hak cipta, dan

keamanan perangkat lunak/data telah diatur secara jelas sebelum pihak manajemen menandatangani kontrak.

2.4.3.1. Standar Pengadaan

Standar pengadaan harus diterapkan untuk memastikan bahwa produk yang dibeli telah memenuhi kebutuhan fungsional, kriteria keamanan, dan kehandalan. Alat utama dalam mengatur proyek pengadaan adalah request for proposal (RFP) yang sekurang-kurangnya memuat kebutuhan fungsional, keamanan, dan kebutuhan operasional secara tepat, jelas dan terperinci. Dalam pengadaan sistem, manajer proyek harus melakukan antara lain:

a. meninjau ulang secara menyeluruh mengenai kesesuaian vendor, kontrak, lisensi dan produk yang diperoleh terhadap sistem yang ada.

a. harus membandingkan penawaran dengan persyaratan yang ada dalam proyek dan antar sesama penawaran.

b. mengkaji kondisi keuangan vendor dan komitmennya terhadap pelayanan.

c. meminta pendapat penasehat hukum sebelum kontrak ditandatangani oleh manajemen.

2.4.3.2. Pedoman Proyek Pengadaan

Hal-hal yang harus diperhatikan dalam proyek pengadaan antara lain:

a. proyek pengadaan dimulai dengan pengajuanrencana proyekkepada manajemen. b. prosedur harus ada untuk memfasilitasi proses permintaan dan memastikan

manajemen mereview secara sistematis terhadap seluruh permintaan. c. permintaan harus didasarkan pada kebutuhan bisnis Bank untuk :

1) mendapatkan suatu produk;

2) mengidentifikasi fitur sistem yang diinginkan; dan

3) menggambarkan kebutuhan informasi, network interface, komponen perangkat keras dan perangkat lunak.

d. Bank harus menyusun studi kelayakan untuk menentukan apakah Bank membutuhkan pengadaan perangkat lunak baik yang dapat dimodifikasi sesuai kebutuhan atau siap pakai (off-the shelf).

e. persetujuan dari seluruh pihak terkait atas studi kelayakan tersebut harus didokumentasikan untuk selanjutnya dapat menjadi dasar dibuatnya suatu definisi kebutuhan (Requirement Definition) seperti yang telah dijelaskan pada sub bagian 2.3.2.2 di atas.

f. setelah Bank menerima penawaran, Bank harus menganalisa dan membandingkan penawaran antar peserta terhadap kebutuhan yang ditetapkan Bank. Proposal

vendor harus membahas dengan jelas semua kebutuhan Bank dan

mengidentifikasi isu-isu lain yang dapat diterapkan.

g. Bank harus memiliki prosedur untuk memastikan bahwa Bank telah melakukan kaji ulang penawaran dengan benar. Proses seleksi akan menghasilkan daftar vendor potensial.

h. manajemen harus mengkaji kembali kestabilan kondisi keuangan dan komitmen pelayanan dari vendor yang terpilih.

i. Bank menentukan produk dan vendor serta menegosiasikan kontrak. Dalam hal ini penasehat hukum hendaknya meninjau ulang kontrak tersebut sebelum ditandatangani.

2.4.3.3. Escrow Agreement

Dalam hal aplikasi inti dibuat oleh pihak lain (vendor) dan source code tidak diberikan, kepentingan Bank dalam rangka menjaga kelangsungan usaha perlu dilindungi. Untuk memitigasi risiko atas terhentinya dukungan vendor maka Bank wajib mempertimbangkan perlu tidaknya memiliki perjanjian tertulis berupa escrow

agreement atas perangkat lunak yang dianggap penting oleh Bank. Hal-hal yang

dipertimbangkan dalam penggunaan escrow agreement antara lain reputasi vendor,

perangkat lunak digunakan oleh banyak pihak baik di dalam maupun luar negeri. Dalam escrow agreement terdapat pihak ketiga independen yang ditunjuk

memastikan bahwa pihak ketiga menyimpan versi terkini dari source code. Agen penyimpanan yang dipilih harus memastikan nomor dan tanggal versi source yang disimpan dan memastikan kepada vendor mengenai integritas dari source code

tersebut.

2.4.3.4. Kontrak Pengembangan dan Perjanjian Lisensi dari Perangkat Lunak

a. Lisensi Perangkat Lunak – Umum

Bank harus memastikan bahwa pada lisensi antara lain :

1) jelas tertulis apakah penggunaan perangkat lunak tersebut bersifat eksklusif atau tidak;

2) siapa dan berapa banyak personil pada Bank yang dapat menggunakan perangkat lunak termasuk penggunaan dalam jaringan;

3) apakah terdapat pembatasan lokasi penggunaan;

4) jika Bank menginginkan lisensi lokasi untuk pengguna yang tidak terbatas pada suatu lokasi, harus dipastikan bahwa di dalam kontrak hal tersebut dimungkinkan;

5) jika Bank menginginkan entitas terkait lainnya untuk menggunakan perangkat lunak tersebut, seperti subsidiary atau vendor harus terdapat dalam daftar lisensi.

Bank harus memastikan lisensi juga berlaku atas salinan back-up dari semua perangkat lunak penting yang dibutuhkan di tempat yang terpisah (remote site) dalam pelaksanaan disaster recovery atau memastikan kesinambungan kegiatan usaha Bank (business continuity plan). Bank harus memahami dengan jelas mengenai jangka waktu lisensi dan jika Bank menginginkan lisensi terus menerus untuk menggunakan perangkat lunak, harus dipastikan bahwa pada kontrak tertulis secara eksplisit mengenai hal tersebut.

b. Standar Spesifikasi Pengembangan dan Kinerja Perangkat Lunak

Dalam pengadaan suatu perangkat lunak, Bank harus membuat kontrak perjanjian dengan pihak penyedia jasa pengembangan yang memuat standar spesifikasi program yang diharapkan Bank sesuai dengan kebutuhan pengguna, antara lain: 1) kinerja yang diharapkan dan fungsional dari perangkat lunak;

2) persyaratan perangkat dan infrastruktur yang dibutuhkan untuk menjalankan perangkat;

3) identifikasi dan spesifikasi fungsional di mana perangkat lunak operasional akan bekerja dan identifikasi milestone dari fungsional yang harus dipenuhi oleh vendor selama proses pengembangan;

4) pengaturan izin modifikasi dari spesifikasi dan standar kinerja selama proses pengembangan;

5) identifikasi kebutuhan uji coba guna menentukan pemenuhan standar kinerja perangkat lunak;

6) tindakan yang harus dilakukan pihak pengembang jika perangkat lunak gagal pada saat uji coba.

c. Pemeliharaan

Bank perlu memperhatikan apakah perjanjian lisensi atau pengembangan telah memuat kesepakatan mengenai hal-hal yang diperlukan untuk pemeliharaan perangkat lunak seperti dokumentasi, modifikasi, pengkinian dan konversi. Kesepatan tersebut antara lain seperti:

1) vendor memberikan dokumentasi perangkat lunak, termasuk dokumentasi sistem aplikasi dan petunjuk teknis penggunaan;

2) pelaksanaan dan biaya dari pengkinian dan modifikasi perangkat lunak;

3) kemungkinan Bank melakukan akses ke source code bila pihak penyedia jasa tidak dapat memberikan layanan lagi atau terdapat modifikasi yang tidak dapat dilakukan oleh pihak penyedia jasa;

4) kemungkinan konversi perangkat lunak dan data ke perangkat lunak dan format data yang berbeda di masa mendatang.

Apabila diperlukan, hal-hal diatas dapat dimuat dalam suatu perjanjian pemeliharaan yang tersendiri.

d. Garansi

Penelitian perlu dilakukan Bank untuk meyakini bahwa lisensi perangkat lunak dari pihak vendor menjamin bahwa perangkat lunak:

1) tidak melanggar hak kekayaan intelektual dari pihak lainnya di seluruh dunia 2) tidak mengandung kode rahasia/ terbatas yang tidak diungkapkan atau

pembatasan secara otomatis pada perjanjian

3) akan bekerja sesuai spesifikasi dan harus dinyatakan tanggung jawab vendor jika terjadi permasalahan

4) dijamin pemeliharaannya oleh vendor selama yang diperjanjikan

5) perjanjian lisensi tetap berlaku apabila terjadi merger, pengadaan atau perubahan pemilikan baik pada Bank atau vendor.

e. Penyelesaian Perselisihan

Bank harus memasukkan klausula penyelesaian perselisihan pada kontrak dan perjanjian lisensi. Pemahaman mengenai klausula tersebut akan meningkatkan kemampuan Bank untuk menyelesaikan permasalahan dengan cara terbaik dan memungkinkan untuk meneruskan pengembangan perangkat lunak selama periode penyelesaian perselisihan.

f. Perubahan Perjanjian

Bank harus memastikan bahwa pada lisensi perangkat lunak secara jelas menyatakan bahwa vendor tidak dapat memodifikasi perjanjian tanpa adanya persetujuan dari kedua belah pihak.

g. Keamanan

Bank harus menetapkan kriteria pengendalian keamanan (security control) atas sistem Teknologi Informasi yang akan menjadi standar kinerja dari fitur keamanan dalam perjanjian lisensi dan perjanjian pengembangan perangkat lunak. Standar tersebut harus memastikan bahwa perangkat lunak yang dikembangkan konsisten dengan keseluruhan program keamanan yang ada di Bank. Perjanjian lisensi dan pengembangan tersebut antara lain harus membahas:

1) tanggung jawab terus menerus dari pihak vendor untuk melindungi keamanan dan kerahasiaan sumber daya dan data Bank.

2) larangan bagi vendor untuk menggunakan atau mengungkapkan informasi yang dimiliki Bank tanpa persetujuan Bank.

3) garansi dari vendor bahwa perangkat lunak tidak mengandung back door yang memungkinkan akses oleh pihak yang tidak berwenang ke dalam sistem aplikasi dan data Bank.

4) secara eksplisit menyatakan bahwa vendor tidak akan menggunakan fitur perangkat lunak yang dapat mengakibatkan perangkat lunak tersebut tidak berfungsi dengan baik.

h. Sub Kontrak Kepada Vendor Lain

Bank harus menetapkan klausula dalam perjanjian pengembangan yang melarang penugasan kontrak oleh vendor kepada pihak ketiga tanpa persetujuan Bank. Apabila memang terdapat kondisi dimana sebagian dari pengembangan perangkat harus di subkontrakkan maka harus terdapat persetujuan tertulis dari Bank. Dalam memberikan persetujuan sub kontrak tersebut, Bank harus mempertimbangkan tingkat kesulitan dan ketersediaan ahli dalam pengembangan perangkat lunak tersebut serta keamanan data Bank. Disamping itu Bank harus memastikan bahwa terdapat klausula bahwa vendor bertanggung jawab terhadap perangkat lunak meskipun dirancang atau dikembangkan oleh pihak lain.