Pelaksanaan Program APU-PPT
j. Pelaksanaan Program APU-PPT
PPATK berupa CTR dan STR sesuai ketentuan
Kegiatan yang dilakukan selama tahun 2012, berlaku.
antara lain:
• Menindaklanjuti permintaan data dan
• Secara berkesinambungan melaksanakan
permintaan blokir dari pihak eksternal,
sosialisasi Kebijakan dan Prosedur Penerapan
yaitu Bank Indonesia, KPK RI, PPATK, BNN RI, Kepolisian dan Dirjen Pajak.
PT Bank Rakyat Indonesia (Persero) Tbk. Laporan Tahunan 2012
Laporan Manajemen Profil Perusahaan
Informasi Bagi Investor
Tinjauan Operasional
Analisis & Pembahasan
Tata Kelola Perusahaan
Tanggung Jawab Sosial Informasi Perusahaan
Manajemen
Perusahaan
USA Patriot Act
Tata Kelola TI (IT Governance)
Terkait dengan pemenuhan terhadap peraturan
IT Architecture Framework
“Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct
Arsitektur TI BRI telah disusun dan menjadi bagian Act of 2001” (the “USA PATRIOT Act”) yang ditetapkan
yang tidak terpisahkan dari IT Strategic Plan (ITSP) oleh Pemerintah Amerika Serikat untuk mencegah
2008-2013. Dalam penerapan dan pengembangan TI pencucian uang dan pendanaan para teroris melalui
BRI, mengacu kepada ketentuan Bank Indonesia terkait rekening koresponden bank-bank asing yang ada di
penerapan manajemen risiko dalam penggunaan lembaga-lembaga keuangan Amerika, maka lembaga-
teknologi informasi (MR-IT) bagi Bank Umum. Arsitektur lembaga keuangan Amerika Serikat mensyaratkan
TI BRI terdiri dari 4 (empat) bagian yaitu:
kepada semua bank asing yang telah mempunyai atau
1. Enterprise Architecture: Executive Summary
berniat untuk mempunyai rekening koresponden di
2. Assessment Phase: Business & IT Context
AS untuk mengisi formulir sertifikat yang standar.
3. Design Phase: Enterprise Architecture Definition
Dalam rangka memenuhi persyaratan USA Patriot Act,
4. Transition Plan Phase: Application, Information, BRI telah melengkapi sertifikat mengenai rekening
and Infrastructure
koresponden bank asing dan dapat dilihat pada alamat website BRI www.bri.co.id. Sertifikasi ini berlaku untuk
Kebijakan dan Prosedur TI
semua rekening-rekening yang dibuka untuk BRI oleh Beberapa kebijakan dan prosedur yang dibuat untuk “Covered Financial Institutions.”
mendukung proses tata kelola Perusahaan antara lain sebagai berikut:
Evaluasi Efektifitas Fungsi Kepatuhan
1. IT Strategic Plan (ITSP) 2008-2013
Laporan fungsi Kepatuhan sebagai salah satu media
2. Arsitektur Teknologi Informasi BRI
informasi bagi Dewan Komisaris dalam melaksanakan
3. Kebijakan Umum Sistem informasi
fungsi pengawasan Kepatuhan Bank BRI. Selama
4. Kebijakan Umum Sekuriti Teknologi Sistem tahun 2012, Dewan Komisaris telah melakukan
Informasi (KUTSI) BRI
evaluasi terhadap pelaksanaan fungsi Kepatuhan BRI
5. Kebijakan Penerapan Manajemen Risiko dalam sebanyak 4 (empat) kali.
Penggunaan Teknologi Informasi
6. Kebijakan Manajemen Kelangsungan Usaha (MKU)/
Pengembangan Pelaksanaan Fungsi
Bussiness Continuity management (BCM) BRI
Kepatuhan
7. Ketentuan Tugas dan Tanggung Jawab Manajemen Dalam Rangka Pengamanan Informasi
Untuk lebih menguatkan fungsi Kepatuhan Bank
Teknologi BRI ke depan dan budaya Kepatuhan di seluruh level
9. Kebijakan Pengkajian Perangkat Teknologi Informasi penyempurnaan dan kelengkapan sistem dan kebijakan
organisasi Bank BRI, kedepan akan tetap dilakukan
10. Prosedur Siklus Pengembangan IT BRI
terkait fungsi Kepatuhan, serta secara inten dilakukan
11. Ketentuan Tata Kelola Password
sosialisasi pentingnya budaya Kepatuhan.
12. Standar Key Management
13. Ketentuan Penggunaan Internet di Lingkungan BRI
Keikutsertaan dalam Forum Komunikasi Direktur
14. Ketentuan Security Compliance Check
Kepatuhan (FKDKP)
15. Ketentuan Penggunaan Ruang Host
Bank BRI dalam FKDP dapat menjalin komunikasi
16. Ketentuan Penggunaan Email BRI
dengan fungsi Kepatuhan Bank lain melalui beberapa
17. Ketentuan Perjanjian Kerahasiaan Informasi kegiatan antara lain seminar, workshop, dan pelatihan
Pihak Ketiga
maupun kegiatan lainnya yang dapat mendorong penguatan fungsi Kepatuhan di Bank BRI.
PT Bank Rakyat Indonesia (Persero) Tbk. Laporan Tahunan 2012
18. Ketentuan Password BIOS dan Password
SIM-Manajemen Risiko
Administrator di PC UKO
BRI menerapkan kerangka pengelolaan risiko secara
19. Ketentuan Evaluasi Kebijakan Keamanan Informasi
terpadu (enterprise-wide risk management) untuk
20. Ketentuan Penanganan Informasi
mengendalikan 8 (delapan) jenis risiko yang diantarnya
21. Ketentuan Security Hardening
adalah sistem informasi manajemen risiko.
22. Ketentuan Tata Kelola User Account
1. Pengembangan sistem informasi manajemen
23. Ketentuan Penggunaan Enkripsi
risiko diantaranya dengan mengembangkan
24. Ketentuan Manajemen Antivirus dan Security Patch
aplikasi OPRA atau Operational Risk Assesor
25. Ketentuan File Sharing
(risiko operasional), aplikasi LAS atau Loan
26. Ketentuan Pengembalian Aset TI dan Perubahan
Approval System (risiko kredit), dan aplikasi
Hak Akses Terkait Perubahan Status Pegawai
GUAVA atau Treasury and Market Risk System
27. Ketentuan Review Kapasitas Sarana Pendukung (risiko pasar).
28. Ketentuan Pengendalian Akses jaringan
2. Penetapan perangkat dan metodologi pengukuran
29. Ketentuan Backup dan Restore risiko yang terdiri dari:
30. Ketentuan Mobile Computing dan Media
a. Operational risk
Penyimpanan Data • Perangkat: 31. Risk and Control Self Assessment, Ketentuan Pengendalian Intern dan
Indikator Risiko Utama, Manajemen Insiden,
Pemantauan Audit
Forum Manajemen Risiko, dan Penilaian
32. Ketentuan Registrasi Aset TI Milik Pihak Ketiga
Tingkat Maturitas.
33. Ketentuan Registrasi Aset TI
Metodologi: Basic Indicator Approach (BIA)
34. Ketentuan Manajemen Resiko
dan secara bertahap menuju Standardized
35. Ketentuan Pemeliharaan Aset Teknologi Informasi
Approach
(SA), kemudian Advanced
36. Ketentuan IT Security Awareness
Measurement Approach (AMA).
37. Ketentuan Manajemen Insiden Keamanan Informasi
b. Credit risk
38. Standar Konfigurasi Firewall
Perangkat:
Credit Risk Rating (CRR) dan
39. Kebijakan dan Prosedur terkait Closed Circuit
Credit Risk Scoring (CRS).
Television (CCTV) dan kamera Embaded
Metodologi: Standardized Approach (SA)
40. Prosedur Penomoran dan Kode Dokumen
dan secara bertahap menuju Internal Rating
41. Prosedur Akses Firewall
Based Approach (IRBA).
42. Prosedur Manajemen Antivirus dan Security Patch
c. Market risk
Prosedur Pemeliharaan Aset Teknologi Informasi • 44. Perangkat: VaR,
43. Prosedur Manajemen Insiden Keamanan Informasi
Sensitivity Analysis, Maturity
Gap, Maximum Cash Outflow.
45. Prosedur Pengembalian Aset TI dan Perubahan • Metodologi: Hak Akses terkait perubahan status pegawai Standardized Approach (SA)
dan siap menerapkan Internal Model.
46. Prosedur Tata Kelola User Account
3. Peningkatan
efektivitas penerapan tata
Pengembangan Sistem Manajemen (TI) kelola perusahaan yang baik (Good Corporate
Governance) dan kerangka kerja manajemen Dalam implementasi GCG secara konsisten di
risiko, antara lain melalui pelaksanaan Forum Perusahaan, Bank BRI telah membangun beberapa
di setiap Unit Kerja, aplikasi pendukung yang dapat membantu Manajemen
Manajemen
Risiko
Pelaksanaan Fungsi Manajemen Risiko yang untuk memonitor dan sebagai alat bantu dalam
melekat pada pejabat yang ditunjuk di Unit Kerja pengambilan keputusan. Beberapa aplikasi yang ada di
dan Bagian Manajemen Risiko Kanwil (MRK) yang BRI antara lain:
terdapat di setiap Kantor Wilayah dan memiliki
PT Bank Rakyat Indonesia (Persero) Tbk. Laporan Tahunan 2012
Laporan Manajemen Profil Perusahaan
Informasi Bagi Investor
Tinjauan Operasional
Analisis & Pembahasan
Tata Kelola Perusahaan
Tanggung Jawab Sosial Informasi Perusahaan
Manajemen
Perusahaan
tugas melakukan pembinaan, monitoring, serta monitoring kualitas layanan dan operasional unit kerja verifikasi implementasi proses manajemen risiko
serta menjadikan data hasil monitoring terdokumentasi di Kantor Wilayah.
dengan baik. Sehingga akan memudahkan unit kerja dalam melakukan perbaikan kualitas layanan dan
Dashboard Kepatuhan
operasional unit kerja dengan cepat.
Dashboard Kepatuhan merupakan tools yang