100 c. penetapan dasar yang akan digunakan untuk mengidentifikasi pengukuran pengendalian yang memadai. Tahap pendefinisian kebutuhan tersebut diatas harus menghasilkan suatu dokumen yang berisi secara rinci gambaran mengenai harapan Bank terhadap jasa yang akan dikerjakan oleh penyedia jasa. Isi dari dokumen tersebut mencakup beberapa komponen berikut ini: a. cakupan dan karakteristik dari layanan, teknologi yang digunakan dan dukungan kepada nasabah; b. standar dan tingkat layanan meliputi ketersediaan dan kinerja, change management, kualitas layanan, keamanan, kelangsungan usaha; c. karakteristik minimal yang harus dipenuhi oleh penyedia jasa yang akan digunakan seperti pengalaman, arsitektur teknologi dan sistem, process control, kondisi keuangan, referensi mengenai reputasi; d. pemantauan dan pelaporan meliputi kriteria yang akan digunakan dalam pemantauan dan pelaporan baik untuk Bank maupun untuk pihak ketiga; e. persyaratan yang harus dipenuhi baik dari sisi sistem, data maupun training personil saat transisi atau migrasi ke sistem yang disediakan pihak penyedia jasa; f. jangka waktu kontrak, penghentian dan isi minimal dari kontrak; g. perlindungan kontrak terhadap kewajiban seperti pembatasan kewajiban dan ganti rugi serta asuransi. Apabila penyelenggaraan kegiatan atau fungsi yang didefinisikan tersebut dipertimbangkan untuk dilakukan oleh pihak terkait Bank maka manajemen Bank harus memastikan bahwa persiapan yang dilakukan tidak akan berbeda dari apabila akan dilakukan oleh pihak tidak terkait dengan Bank.

10.3.2.2. Permintaan Proposal dari Penyedia Jasa

Proses pemilihan penyedia jasa dimulai dengan permintaan proposal dari penyedia jasa. Proposal yang diajukan harus menjelaskan secara rinci kebutuhan Bank seperti cakupan dan jenis pekerjaan yang akan dilakukan, ekspektasi level jasa produksi, jangka waktu penyelesaian, pengukuran pekerjaan dan pengendaliannya, pengamanan dan kelangsungan bisnis. Pada saat Bank mengevaluasi proposal, terdapat kemungkinan ditemukannya ketidaksesuaian dengan permintaan Bank. Oleh karena itu Bank harus mengevaluasi perbedaan tersebut dan dampaknya terhadap sasaran dan jasa yang diharapkan Bank. Diantaranya, Bank harus dapat mengkaji kebijakan pihak penyedia jasa yang terkait dengan kepentingan audit penyelenggaraan TI Bank karena akses auditor intern, ekstern maupun Bank Indonesia tidak boleh dikurangi. Dengan demikian data dan informasi yang diperlukan dari penyelenggaraan TI tetap dapat diperoleh secara tepat waktu setiap kali dibutuhkan meskipun TI yang 101 digunakan Bank tidak diselenggarakan sendiri oleh Bank. Untuk itu surat pernyataan harus termasuk dalam proposal yang disampaikan oleh pihak penyedia jasa. Selanjutnya apabila proposal tersebut telah memenuhi kebutuhan atau sesuai definisi kebutuhan yang telah dibuat Bank maka Bank melakukan negosiasi penyelesaian dengan penyedia jasa sebelum pembuatan kontrak.

10.3.2.3. Due Diligence Penyedia Jasa

Due diligence perlu dilakukan untuk menilai kondisi keuangan, reputasi, kemampuan teknis, kemampuan operasional, strategi pengembangan di masa mendatang, kemampuan untuk mengikuti inovasi di pasar dan mempunyai reputasi yang baik dalam industri perbankan. Dengan demikian Bank mendapatkan keyakinan bahwa penyedia jasa mampu memenuhi kebutuhan Bank. Pada saat due diligence, Bank harus melakukan evaluasi dan menilai informasi-informasi yang terkait dengan penyedia jasa yaitu antara lain meliputi: a. eksistensi dan sejarah perusahaan; b. kualifikasi, latar belakang dan reputasi pemilik perusahaan; c. perusahaan lain yang menggunakan jasa yang sama dari penyedia jasa sebagai referensi; d. kondisi keuangan termasuk review atas laporan keuangan audited; e. kemampuan dan efektivitas pemberian jasa, termasuk dukungan purna jual; f. teknologi dan arsitektur sistem; g. lingkungan pengendalian intern, sejarah pengamanan dan cakupan audit; h. kepatuhan terhadap hukum dan ketentuan yang berlaku; i. kepercayaan dan keberhasilan dalam berhubungan dengan sub kontraktor; j. jaminan asuransi; k. kemampuan untuk menyediakan disaster recovery dan business continuity; l. penerapan manajemen risiko; m. laporan hasil pemeriksaan pihak independen. Due diligence yang dilakukan Bank selama proses pemilihan wajib didokumentasikan dengan baik dan dilakukan kembali secara berkala sebagai bagian dari proses pemantauan dan kontrol. Dalam melakukan due diligence secara berkala ini sebaiknya Bank memperhatikan perubahan atau perkembangan yang ada selama kurun waktu sejak due diligence terakhir dengan menggunakan informasi terkini.

10.3.2.4. Penentuan