Manajemen Risiko

FAQ PBI No. 9/15/PBI/2007

dan

SE Eks. No. 9/30/DPNP
tentang
Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum

Manajemen

1. Q : Apakah maksud dari definisi menerapkan manajemen risiko secara efektif dalam Pasal 2 Ayat 1?

A: Efektif berarti bahwa bank menerapkan sistem dan prosedur, metode dan alat yang digunakan dalam mengelola risiko yang paling sesuai dengan kondisi Bank dan paling dapat mendukung kegiatan operasional Bank dalam mencapai tujuan bisnisnya. Hal tersebut telah dijelaskan secara implisit dalam PBI ini, yang mencakup sekurangkurangnya 4 pilar antara lain pengawasan komisaris, penyusunan kebijakan, identifikasi/pengukuran risiko,dan SPIN.

2. Q : Bagaimanakah metodologi dan alat bantu (tools) yang harus digunakan bank dalam melakukan identifikasi, pengukuran, pemantauan maupun pengendalian risiko penggunaan Teknologi Informasi?

A: Meskipun pedoman dan contoh dijelaskan dalam Lampiran SE Ekstern, namun Bank bebas menentukan sendiri akan menggunakan metodologi dan alat bantu apa sesuai dengan manajemen risiko yang diterapkan bank.

3. Q : Apa sajakah kriteria pengguna utama dari Teknologi Informasi dan jika pengguna utama lebih dari satu, apa semua harus menjadi anggota Komite Pengarah Teknologi?

A : Sesuai paradigma Risk Based Supervision, Bank mengukur sendiri risiko terkait TI yang ada di semua unit kerja pengguna TI dan menentukan unit kerja manakah yang dapat disebut pengguna utama dan harus menjadi anggota Information Technology Steering Committee (ITSC).

Operational

1. Q : Terkait Kebijakan Perencanaan Kapasitas (Bab 3), pada bagian 3.3.2 disebutkan bahwa "bank perlu memiliki kebijakan dan prosedur perencanaan kapasitas untuk dapat memastikan bahwa perangkat keras dan perangkat lunak yang digunakan Bank...". Apa yang dimaksud dengan Perencanaan Kapasitas Perangkat Lunak? (beserta contoh) Pada bagian 3.4.1 butir c mengenai Permasalahan pada Kapasitas sistem, disebutkan bahwa "...ketidakcukupan kapasitas untuk mengakomodasi fleksibilitas sistem, ketidakcukupan software untuk mengakomodasi pengembangan bisnis.". Apa yang dimaksud dengan ketidakcukupan software?

A : Perencanaan kapasitas perangkat lunak maksudnya adalah mempersiapkan perangkat lunak/software yang mempunyai kapasitas/kemampuan yang dapat mengakomodasi kepentingan bank agar tidak terjadi ketidakcukupan kapasitas dalam memproses semua kegiatan bank tersebut. Ketidakcukupan software disini maksudnya adalah software/sistem/aplikasi tidak mampu lagi atau kurang dapat mengakomodasi perkembangan kegiatan bank seperti volume transaksi, keragaman produk, teknologi dan perkembangan kegiatan bank.

Akses Sistem

1. Q : Bagaimanakah mekanisme akses yang akan dilakukan Bank Indonesia, apakah menggunakan LAN Bank ataukah dengan koneksi wireless diluar Bank. Apabila akses ini diberikan, seberapa jauh Bank Indonesia bertanggung jawab atau menjamin terkait keamanan jaringan akses yang digunakan dan kemungkinan penyalahgunaan akses untuk diluar
kepentingan pemeriksaan?

A: Bank Indonesia tidak akan mengakses sistem yang digunakan Bank dari luar lokasi Bank. Akses hanya akan digunakan untuk kepentingan pemeriksaan di Bank pada saat audit oleh Bank Indonesia. Pemeriksa dari Bank Indonesia akan menjaga kerahasiaan data yang telah diakses seseuai dengan rahasia jabatan. Apabila Bank dapat memberikan akses secara langsung “live data” kepada pemeriksa, maka Bank dapat memberikan batasan wewenang seperti misalnya hanya untuk inquiry di IP address yang ditentukan. Tentunya aktivitas inquiry ini akan tercatat dalam log yang dapat dimonitor oleh Bank. Bila Bank tidak dapat membatasi wewenang pemeriksa dalam fasilitas akses secara langsung, petugas Bank dapat memberikan pendampingan selama pemeriksa membutuhkan akses secara langsung di lokasi dimana petugas Bank mempunyai wewenang untuk mengakses. Bank tetap bertanggungjawab atas pengamanan
jaringan komunikasi apapun mekanisme akses yang diberikan oleh Bank kepada pemeriksa BI.

2. Q : Apakah Disaster Recovery Plan (DRP) sudah termasuk dalam Business Continuity Plan (BCP)?

A: BCP merupakan suatu dokumen tertulis yang memuat rangkaian kegiatan yang terencana dan terkoordinir mengenai langkah‐langkah pengurangan risiko, penanganan dampak gangguan/bencana dan proses pemulihan agar kegiatan operasional Bank dan pelayanan kepada nasabah tetap dapat berjalan. Komponen prosedur BCP yang harus dimiliki Bank paling kurang meliputi DRP dan Contingency Plan (CP). Jadi BCP pada PBI dan SE Ekstern sudah mencakup DRP.

BUSINESS CONTINUITY PLAN

1 Q : Apakah faktor penyebab gangguan yang disebutkan pada Pasal 1 ayat 7 hanya dibatasi pada hal yang disebutkan pada definisi ini saja, bagaimana dengan faktor penyebab yang lain seperti gempa bumi, banjir, tsunami, dll, apakah masuk dalam pengertian definisi pasal ini. Kemudian mohon pula dijelaskan mengenai klasifikasi teknis DRC yang harus diselenggarakan, apakah menggunakan warm backup, hot backup, atau ada ketentuan lain karena hal ini menyangkut konsekuensi biaya dan kesiapan yang harus dilakukan oleh semua Bank.

A : Penggunaan kata “antara lain” pada Pasal 1 ayat 7 dimaksudkan bahwa penyebab gangguan tidak hanya terbatas pada yang dicantumkan pada definisi ini saja. Penjelasan lebih lanjut tentang DRC terdapat pada SE Ekstern Bab Bussiness Continuity Plan. Namun demikian karena ketentuan ini adalah mengenai penerapan Manajemen Risiko, maka bank yang harus menilai risiko dan memutuskan bagaimana menindaklanjuti risiko tersebut, termasuk mengenai DRC. Dengan demikian, Bank Indonesia tidak mengatur harus menggunakan warm back up atau hot back up karena bank harus mengatur sendiri sehubungan dengan mitigasi risiko yang diputuskan bank sesuai Risk Appetite bank.

2. Q : Apakah ketentuan mengenai pengujian BCP perlu ditambah menjadi “Bank wajib melakukan pengujian atas Bussiness Continuity Plan dan Disaster Recovery Plan secara 2 (dua) arah sekurang‐kurangnya 1 tahun sekali”?

A : Secara implisit proses pengujian 2 arah sudah tercakup dalam pengujian BCP/DRP secara menyeluruh, karena dalam dokumen DRP sudah terdapat rencana pemindahan dari Data Center ke DRC dan selanjutnya kembali lagi ke Data Center.

3. Q : Prosedur tanggap darurat, pada BAB VI (Business Continuity Plan) halaman 65 mengenai Jenis Prosedur BCP pada point a berbunyi…“prosedur tanggap darurat (emergency response ‐
immediate steps) untuk mengendalikan krisis pada saat terjadi gangguan/bencana, membatasi dampak kerugian, serta menentukan perlu tidaknya mendeklarasikan keadaan disaster”. Hal‐hal apa saja yang dimaksud dalam prosedur tanggap darurat? apakah langkah‐langkah yang harus di lakukan atau peralatan yang harus disediakan bila terjadi keadaan disaster termasuk ke dalam prosedur tanggap darurat?

A : Jenis prosedur BCP yang disebutkan pada bagian 6.6.1 hal. 65, termasuk dalam hal ini mengenai prosedur tanggap darurat (emergency response‐immediate steps), telah dijelaskan komponen-komponennya pada bagian 6.6.2 hal. 65‐68. Dengan demikian bila terjadi keadaan disaster yang termasuk dalam prosedur kategori tanggap darurat, bank dapat mengacu pada setiap prosedur BCP yang sekurang‐kurangnya mencakup komponen yang disebutkan pada bagian 6.6.2 tersebut. Langkah‐langkah dan peralatan yang harus disediakan untuk keadaan
tanggap darurat disesuaikan dengan keadaan darurat yang dihadapi. Untuk antisipasi bencana kebakaran tentunya berbeda penanganan yang dilakukan dengan antisipasi terhadap bencana kebanjiran. Setiap bank harus memiliki skenario/langkah2 tanggap darurat (immediate response) baik dari sisi bisnis, IT dan peralatan pendukung lainnya terhadap risiko tinggi hasil dari risk assessment yang telah dilakukan. Misalnya, apabila dari hasil risk assessment kebakaran merupakan risiko tinggi bagi bank maka perlu disusun langkah‐langkah yang perlu dibuat, misalnya penyelamatan dokumen/data. Sebagai referensi, dapat mengacu pada website antara lain www.thebci.org atau referensi lain yang disesuaikan dengan kebutuhan bank.

ELECTRONIC BANKING

1. Q : Apakah PBI ini merupakan ‘payung’ dari produk Electronic Banking? Bagaimana sinergi dari PBI ini dengan SE BI No 6/18/DPNP tgl 20 April 2004 tentang Penerapan Management Risiko pada aktivitas Pelayanan Jasa Bank melalui internet (internet banking)?

A : PBI ini merupakan payung dari produk Electronic Banking, dimana di dalamnya diatur berbagai ketentuan terkait penerbitan, manajemen risiko, dan pelaporannya. Materi internet banking sudah tercakup dalam Bab Electronic Banking pada SE Ekstern sehingga ketentuan tentang internet banking pada SE BI No. 6/18/DPNP sudah terakomodir. Selanjutnya dengan dikeluarkannya PBI ini dan SE BI No. 9/30/DPNP tanggal 12 Desember 2007 yang mencabut SE tersebut, maka SE Internet Banking tidak berlaku lagi.

2. Q : Apakah hasil pemeriksaan dari pihak independen juga diperlukan untuk penambahan fitur baru dalam program Electronic Banking yang sudah ada?

A : Pemeriksaan pihak independen diperlukan sepanjang produk baru menambah risiko bagi Bank. Jadi dalam hal penambahan fitur baru, apabila meningkatkan risiko bagi Bank maka diperlukan pemeriksaan oleh pihak independen. Terkait dengan hal tersebut, berdasarkan hasil diskusi dengan Bank‐Bank pada awal tahun 2007 disepakati bahwa untuk penambahan fitur baru, pihak independen dapat berasal dari dalam Bank (yang tidak terlibat dalam proses penerbitan produk baru/penambahan fitur baru).

3. Q : Apakah pemeriksaan oleh pihak independen pada produk baru yang akan dikeluarkan tidak akan menyebabkan inefisiensi terkait dengan time to market produk yang akan dipasarkan oleh Bank tersebut?

A : Pemeriksaan oleh pihak independen tidak menunggu sampai produk tersebut final, sehingga dari sini sudah tercipta time efficiency. Produk tidak dapat dipasarkan bila belum ada opini dari pihak diluar yang mengembangkan produk tersebut. Dalam hal penambahan fitur baru, pihak independen dapat berasal dari dalam Bank (yang tidak terlibat dalam proses penerbitan) sehingga hanya untuk produk yang sama sekali baru bagi Bank tersebutlah yang wajib diperiksa oleh pihak independen diluar Bank. Biasanya untuk produk yang belum pernah diterbitkan oleh Bank, setiap pihak di Bank yang terkait produk tersebut akan berhati‐hati sehingga waktu yang diperlukan untuk pemeriksaan oleh pihak independen termasuk yang sudah dipertimbangkan.

4. Q : Apakah Bank tidak boleh merevisi Rencana Bisnis Bank sewaktu‐waktu terkait dengan ketentuan dalam PBI ini yang menyatakan bahwa setiap rencana penerbitan produk Electronic Banking baru harus dimuat dalam Rencana Bisnis Bank?

A : Produk Electronic Banking tidak dapat direncanakan dalam waktu singkat. Di dalam PBI No. 6/25/PBI/2004 tentang Rencana Bisnis Bank Umum telah memberikan kesempatan pada bank untuk melakukan perubahan 1 (satu) kali apabila terdapat faktor eksternal dan internal yang mempengaruhi kondisi keuangan Bank secara signifikan. Dalam perencanaan, nama produk tidak perlu disebutkan, tetapi spesifikasi harus dijelaskan, misalnya ATM yang memungkinkan
transfer antar rekening antar Bank.

5. Q : Bagaimanakah parameter kecukupan seperti disebutkan dalam Pasal 2 Ayat (2) huruf b?

A : Sesuai paradigma Manajemen Risiko, bank mengukur sendiri risiko kegiatan usahanya sesuai kompleksitas usaha serta ukuran bank dan menerapkan mitigasi risiko yang paling sesuai termasuk dengan cara menyusun dan mengimplementasikan kebijakan dan prosedur yang diperlukan.

6. Q: Apakah yang dimaksud struktur organisasi pada Pasal 23 Ayat (4) Huruf a Angka 1 ?

A : Struktur organisasi tidak diatur secara detail dalam ketentuan. Bank harus membuat sendiri organisasi untuk setiap produk e‐banking yang sesuai dengan kebijakan dan prosedur struktur organisasi Bank atas produk‐produk, karena bisa berbeda antara satu Bank dengan Bank lainnya. Misalnya pembuatan produk baru e‐banking di satu Bank digabung dengan pembuatan produk baru lainnya sedangkan di Bank lain dipisah. Penyusunan SOP e‐banking di satu Bank disentralisasi dengan penyusunan SOP lainnya. Kemudian ada juga pengawasan produk disatu Bank disentralisasi di bagian internal control yang benaung di divisi Operasional Kantor Pusat sedangkan di Bank lain dipisah berdasarkan jenis‐jenis produknya, dll.

AUDIT

1. Q : Sehubungan dengan PBI No. 9/15/PBI/2007, khususnya pasal 17 (3), kapan kaji ulang atas fungsi audit intern atas penggunaan Teknologi informasi pertama kali sudah harus
dilakukan?

A: Sesuai dengan Pasal 17 ayat (3), “Bank wajib melakukan kaji ulang atas fungsi audit intern atas penggunaan Teknologi Informasi paling kurang setiap 3 (tiga) tahun sekali” Sesuai PBI No. 1/6/PBI/1999 dalam Pedoman 9.3 Review Ekstern disebutkan bahwa untuk menilai mutu operasi SKAI, fungsi audit intern bank harus direview oleh lembaga ekstern sekurang‐kurangnya sekali dalam 3 tahun. Dengan demikian kaji ulang atas fungsi audit intern penggunaan TI periodisasinya disesuaikan dengan pelaksanaan kaji ulang yang dilaksanakan secara umum sesuai PBI No. 1/6/PBI/1999.

2. Q : Apakah yang dimaksud dengan "periodisasinya disesuaikan dengan pelaksanaan kaji ulang yang" Berarti yang pertama akan dilakukan setelah ketentuan ini pemeriksaan 3 tahunan tersebut harus ada aspek kaji ulang Fungsi audit intern oleh lembaga extern. Apakah dapat diberikan tenggat waktu 12 bulan jika review 3 tahun berikutnya jatuh dalam waktu kurang dari 12 bulan sejak berlakunya ketentuan ini?

A: Sesuai PBI No. 1/6/PBI/1999 dalam Pedoman 9.3 Review Ekstern disebutkan bahwa untuk menilai mutu operasi SKAI, fungsi audit intern bank harus direview oleh lembaga ekstern sekurang‐kurangnya Struktur organisasi tidak diatur secara detail dalam ketentuan. Bank harus membuat sendiri organisasi untuk setiap produk e‐banking yang sesuai dengan kebijakan dan prosedur struktur organisasi Bank atas produk‐produk, karena bisa berbeda antara satu Bank dengan Bank lainnya. Misalnya pembuatan produk baru e‐banking di satu Bank digabung dengan pembuatan produk baru lainnya sedangkan di Bank lain dipisah. Penyusunan SOP e‐banking di satu Bank disentralisasi dengan penyusunan SOP lainnya. Kemudian ada juga pengawasan produk disatu Bank disentralisasi di bagian internal control yang benaung di divisi Operasional Kantor Pusat sedangkan di Bank lain dipisah berdasarkan jenis‐jenis produknya, dll.