43
penyedia jasa TI dengan menggunakan prosedur yang paling kurang mencakup pemantauan layanan, pelaporan permasalahan dan dokumentasi yang terkait dengan
layanan pihak penyedia jasa.
3.3.12. Kebijakan Penghapusan Perangkat Keras dan Perangkat Lunak Disposal
Disposal meliputi penghapusan perangkat lunak, perangkat keras, dan data yang sudah tidak digunakan lagi atau yang masa retensinya telah habis. Source code versi lama
yang sudah tidak dipakai lagi harus disimpan dengan indikasi yang jelas mengenai tanggal, waktu dan informasi lain ketika digantikan dengan source code versi terbaru.
Kegiatan yang dilakukan meliputi antara lain: a.
memindahkan data dari sistem produksi ke media backup dengan mekanisme sesuai prosedur, termasuk prosedur uji coba dan backup;
b. menyimpan dokumentasi sistem sebagai persiapan jika diperlukan untuk meng-
install ulang suatu sistem ke server produksi; c.
mengelola arsip data sesuai masa retensi; d.
menghancurkan data yang habis masa retensinya.
3.4. MANAJEMEN RISIKO OPERASIONAL TI
Proses manajemen risiko adalah mengidentifikasi, mengukur, mengendalikan, dan memantau risiko pada fungsi-fungsi yang terkait dengan operasional TI.
3.4.1. Identifikasi Risiko Operasional TI
Proses identifikasi dimulai dengan pemahaman yang komprehensif terhadap bagaimana Bank
mengoperasikan TI
demi mendukung
tujuan organisasi
kemudian mengidentifikasi risiko yang dihadapi Bank. Manajemen harus memperhatikan
kejadian atau aktivitas yang dapat mengganggu operasional antara lain hal-hal berikut ini:
a. Kesalahan investasi teknologi termasuk penerapan yang tidak benar, kegagalan dari
pihak supplier, pendefinisian dari kebutuhan bisnis yang tidak tepat, ketidaksesuaian dengan sistem-sistem yang ada, atau keusangan software termasuk
hilangnya dukungan vendor terhadap perangkat keras dan perangkat lunak yang digunakan oleh Bank;
b. Permasalahan pengembangan sistem dan implementasi termasuk ketidak cukupan
manajemen proyek, biaya dan waktu yang melebihi batas, error pada pemrograman, kegagalan untuk mengintegrasikan atau migrasi dari sistem yang
ada, atau kesalahan dari sebuah sistem untuk memenuhi kebutuhan pengguna; c.
Permasalahan pada kapasitas sistem seperti kekurangan pada perencanaan kapasitas, ketidakcukupan kapasitas untuk mengakomodasi fleksibilitas sistem,
ketidakcukupan software untuk mengakomodasi pengembangan bisnis;
44
d. Kegagalan sistem termasuk pada jaringan, interface, perangkat keras, perangkat
lunak, atau kegagalan komunikasi internal; dan e.
Pelanggaran pada keamanan sistem termasuk pelanggaran pada keamanan eksternal dan internal, penipuan dalam pemrograman, atau virus pada komputer.
3.4.2 . Pengukuran Risiko Operasional TI
Tinggi rendahnya risiko yang diukur tergantung pada faktor-faktor yang terkait antara lain terdiri dari:
a. tingkat kepentingan bisnis;
b. perubahan pada cakupan sistem atau proses;
c. lokasi pengaksesan sistem internal atau eksternal, termasuk internet, dial-up, atau
WAN; d.
sumber aplikasi: beli paket, dikembangkan secara internal, atau kombinasi dari keduanya;
e. cakupan dan tingkat kekritisan sistem atau banyaknya unit bisnis yang terpengaruh;
f. kompleksitas tipe pemrosesan batch, real-time, clientserver, parallel distributed;
g. volume transaksi dan nilai transaksi;
h. klasifikasi dan sensitivitas data yang diproses atau digunakan;
i. dampak pada data read, download, upload, update atau alter;
j. tingkat pengalaman dan kemampuan pengelola TI;
k. kecukupan jumlah dan kemampuan staf pelaksana;
l. keragaman platform, aplikasi dan delivery channel;
m. jumlah pengguna dan nasabah;
n. perubahan regulasi;
o. adanya risiko yang baru atau sedang berkembang dari teknologi yang sedang
dikembangkan atau risiko keusangan teknologi; dan p.
adanya kelemahan audit atau kelemahan yang ditemui dalam self-assessment.
3.4.3. Pengendalian Risiko Operasional TI
