43 penyedia jasa TI dengan menggunakan prosedur yang paling kurang mencakup pemantauan layanan, pelaporan permasalahan dan dokumentasi yang terkait dengan layanan pihak penyedia jasa.

3.3.12. Kebijakan Penghapusan Perangkat Keras dan Perangkat Lunak Disposal

Disposal meliputi penghapusan perangkat lunak, perangkat keras, dan data yang sudah tidak digunakan lagi atau yang masa retensinya telah habis. Source code versi lama yang sudah tidak dipakai lagi harus disimpan dengan indikasi yang jelas mengenai tanggal, waktu dan informasi lain ketika digantikan dengan source code versi terbaru. Kegiatan yang dilakukan meliputi antara lain: a. memindahkan data dari sistem produksi ke media backup dengan mekanisme sesuai prosedur, termasuk prosedur uji coba dan backup; b. menyimpan dokumentasi sistem sebagai persiapan jika diperlukan untuk meng- install ulang suatu sistem ke server produksi; c. mengelola arsip data sesuai masa retensi; d. menghancurkan data yang habis masa retensinya.

3.4. MANAJEMEN RISIKO OPERASIONAL TI

Proses manajemen risiko adalah mengidentifikasi, mengukur, mengendalikan, dan memantau risiko pada fungsi-fungsi yang terkait dengan operasional TI.

3.4.1. Identifikasi Risiko Operasional TI

Proses identifikasi dimulai dengan pemahaman yang komprehensif terhadap bagaimana Bank mengoperasikan TI demi mendukung tujuan organisasi kemudian mengidentifikasi risiko yang dihadapi Bank. Manajemen harus memperhatikan kejadian atau aktivitas yang dapat mengganggu operasional antara lain hal-hal berikut ini: a. Kesalahan investasi teknologi termasuk penerapan yang tidak benar, kegagalan dari pihak supplier, pendefinisian dari kebutuhan bisnis yang tidak tepat, ketidaksesuaian dengan sistem-sistem yang ada, atau keusangan software termasuk hilangnya dukungan vendor terhadap perangkat keras dan perangkat lunak yang digunakan oleh Bank; b. Permasalahan pengembangan sistem dan implementasi termasuk ketidak cukupan manajemen proyek, biaya dan waktu yang melebihi batas, error pada pemrograman, kegagalan untuk mengintegrasikan atau migrasi dari sistem yang ada, atau kesalahan dari sebuah sistem untuk memenuhi kebutuhan pengguna; c. Permasalahan pada kapasitas sistem seperti kekurangan pada perencanaan kapasitas, ketidakcukupan kapasitas untuk mengakomodasi fleksibilitas sistem, ketidakcukupan software untuk mengakomodasi pengembangan bisnis;