99
b. mengatur kewenangan persetujuan penggunaan pihak penyedia jasa TI sesuai
dengan jenis risiko dan dampaknya; c.
mengembangkan kebijakan dan prosedur manajemen risiko yang baik dan responsif atas penggunaan jasa pihak ketiga sesuai dengan sifat, cakupan dan
kompleksitasnya; d.
memastikan adanya kaji ulang atas relevansi, keamanan, kehandalan strategi dan kecukupan perjanjian secara berkala.
Dalam menyerahkan penyelenggaraan TI kepada pihak lain, Pejabat Tertinggi TI bertanggung jawab untuk:
a. menerapkan kebijakan dan prosedur manajemen risiko yang baik dan responsif atas
penggunaan jasa pihak ketiga sesuai dengan sifat, cakupan dan kompleksitasnya; b.
mengkaji ulang keefektifan kebijakan dan prosedur secara berkala; c.
memastikan bahwa rencana kontinjensi telah disusun dan diuji berdasarkan skenario dengan mempertimbangkan berbagai jenis gangguan;
d. memastikan adanya kaji ulang dan audit oleh pihak independen terhadap kepatuhan
pada kebijakan yang telah dibuat.
10.3. KEBIJAKAN DAN PROSEDUR
10.3.1. Kebijakan Umum
Bank wajib memiliki pedoman mengenai penyelenggaraan TI kepada pihak lain yang sekurang-kurangnya mengatur hal-hal:
a. standar prosedur pemilihan penyediaan jasa;
b. standar isi perjanjian kontrak kerja dengan penyedia jasa;
c. standar sistem pengamanan, akurasi dan integritas terhadap sistem teknologi yang
harus dipenuhi oleh penyedia jasa; d.
pengamanan dan kerahasiaan informasi khususnya informasi nasabah; e.
evaluasi risiko dan dampak penggunaan jasa pihak lain; f.
hal-hal lain yang wajib dilakukan Bank dalam penyelenggaraan TI oleh pihak lain sesuai ketentuan yang diatur dalam Peraturan Bank Indonesia tentang Penerapan
Manajemen Risiko dalam Penggunaan TI.
10.3.2. Proses Pemilihan Penyedia Jasa
10.3.2.1. Pendefinisian Kebutuhan
Perumusan kebutuhan bisnis akan penggunaan jasa pihak lain wajib dilakukan sebelum Bank memutuskan akan menggunakan jasa pihak lain, diantaranya
melalui: a.
proses pengidentifikasian secara spesifik mengenai fungsi atau aktivitas yang akan diserahkan penyelenggaraannya kepada pihak penyedia jasa;
b. proses penilaian risiko yang dapat timbul akibat penyerahan penyelenggaraan
fungsi atau aktivitas tersebut; dan
100
c. penetapan dasar yang akan digunakan untuk mengidentifikasi pengukuran
pengendalian yang memadai. Tahap pendefinisian kebutuhan tersebut diatas harus menghasilkan suatu dokumen
yang berisi secara rinci gambaran mengenai harapan Bank terhadap jasa yang akan dikerjakan oleh penyedia jasa. Isi dari dokumen tersebut mencakup beberapa
komponen berikut ini: a.
cakupan dan karakteristik dari layanan, teknologi yang digunakan dan dukungan kepada nasabah;
b. standar dan tingkat layanan meliputi ketersediaan dan kinerja, change
management, kualitas layanan, keamanan, kelangsungan usaha; c.
karakteristik minimal yang harus dipenuhi oleh penyedia jasa yang akan digunakan seperti pengalaman, arsitektur teknologi dan sistem, process control,
kondisi keuangan, referensi mengenai reputasi; d.
pemantauan dan pelaporan meliputi kriteria yang akan digunakan dalam pemantauan dan pelaporan baik untuk Bank maupun untuk pihak ketiga;
e. persyaratan yang harus dipenuhi baik dari sisi sistem, data maupun training
personil saat transisi atau migrasi ke sistem yang disediakan pihak penyedia jasa;
f. jangka waktu kontrak, penghentian dan isi minimal dari kontrak;
g. perlindungan kontrak terhadap kewajiban seperti pembatasan kewajiban dan
ganti rugi serta asuransi. Apabila penyelenggaraan kegiatan atau fungsi yang didefinisikan tersebut
dipertimbangkan untuk dilakukan oleh pihak terkait Bank maka manajemen Bank harus memastikan bahwa persiapan yang dilakukan tidak akan berbeda dari apabila
akan dilakukan oleh pihak tidak terkait dengan Bank.
10.3.2.2. Permintaan Proposal dari Penyedia Jasa