99 b. mengatur kewenangan persetujuan penggunaan pihak penyedia jasa TI sesuai dengan jenis risiko dan dampaknya; c. mengembangkan kebijakan dan prosedur manajemen risiko yang baik dan responsif atas penggunaan jasa pihak ketiga sesuai dengan sifat, cakupan dan kompleksitasnya; d. memastikan adanya kaji ulang atas relevansi, keamanan, kehandalan strategi dan kecukupan perjanjian secara berkala. Dalam menyerahkan penyelenggaraan TI kepada pihak lain, Pejabat Tertinggi TI bertanggung jawab untuk: a. menerapkan kebijakan dan prosedur manajemen risiko yang baik dan responsif atas penggunaan jasa pihak ketiga sesuai dengan sifat, cakupan dan kompleksitasnya; b. mengkaji ulang keefektifan kebijakan dan prosedur secara berkala; c. memastikan bahwa rencana kontinjensi telah disusun dan diuji berdasarkan skenario dengan mempertimbangkan berbagai jenis gangguan; d. memastikan adanya kaji ulang dan audit oleh pihak independen terhadap kepatuhan pada kebijakan yang telah dibuat.

10.3. KEBIJAKAN DAN PROSEDUR

10.3.1. Kebijakan Umum

Bank wajib memiliki pedoman mengenai penyelenggaraan TI kepada pihak lain yang sekurang-kurangnya mengatur hal-hal: a. standar prosedur pemilihan penyediaan jasa; b. standar isi perjanjian kontrak kerja dengan penyedia jasa; c. standar sistem pengamanan, akurasi dan integritas terhadap sistem teknologi yang harus dipenuhi oleh penyedia jasa; d. pengamanan dan kerahasiaan informasi khususnya informasi nasabah; e. evaluasi risiko dan dampak penggunaan jasa pihak lain; f. hal-hal lain yang wajib dilakukan Bank dalam penyelenggaraan TI oleh pihak lain sesuai ketentuan yang diatur dalam Peraturan Bank Indonesia tentang Penerapan Manajemen Risiko dalam Penggunaan TI.

10.3.2. Proses Pemilihan Penyedia Jasa

10.3.2.1. Pendefinisian Kebutuhan

Perumusan kebutuhan bisnis akan penggunaan jasa pihak lain wajib dilakukan sebelum Bank memutuskan akan menggunakan jasa pihak lain, diantaranya melalui: a. proses pengidentifikasian secara spesifik mengenai fungsi atau aktivitas yang akan diserahkan penyelenggaraannya kepada pihak penyedia jasa; b. proses penilaian risiko yang dapat timbul akibat penyerahan penyelenggaraan fungsi atau aktivitas tersebut; dan 100 c. penetapan dasar yang akan digunakan untuk mengidentifikasi pengukuran pengendalian yang memadai. Tahap pendefinisian kebutuhan tersebut diatas harus menghasilkan suatu dokumen yang berisi secara rinci gambaran mengenai harapan Bank terhadap jasa yang akan dikerjakan oleh penyedia jasa. Isi dari dokumen tersebut mencakup beberapa komponen berikut ini: a. cakupan dan karakteristik dari layanan, teknologi yang digunakan dan dukungan kepada nasabah; b. standar dan tingkat layanan meliputi ketersediaan dan kinerja, change management, kualitas layanan, keamanan, kelangsungan usaha; c. karakteristik minimal yang harus dipenuhi oleh penyedia jasa yang akan digunakan seperti pengalaman, arsitektur teknologi dan sistem, process control, kondisi keuangan, referensi mengenai reputasi; d. pemantauan dan pelaporan meliputi kriteria yang akan digunakan dalam pemantauan dan pelaporan baik untuk Bank maupun untuk pihak ketiga; e. persyaratan yang harus dipenuhi baik dari sisi sistem, data maupun training personil saat transisi atau migrasi ke sistem yang disediakan pihak penyedia jasa; f. jangka waktu kontrak, penghentian dan isi minimal dari kontrak; g. perlindungan kontrak terhadap kewajiban seperti pembatasan kewajiban dan ganti rugi serta asuransi. Apabila penyelenggaraan kegiatan atau fungsi yang didefinisikan tersebut dipertimbangkan untuk dilakukan oleh pihak terkait Bank maka manajemen Bank harus memastikan bahwa persiapan yang dilakukan tidak akan berbeda dari apabila akan dilakukan oleh pihak tidak terkait dengan Bank.

10.3.2.2. Permintaan Proposal dari Penyedia Jasa