101 digunakan Bank tidak diselenggarakan sendiri oleh Bank. Untuk itu surat pernyataan harus termasuk dalam proposal yang disampaikan oleh pihak penyedia jasa. Selanjutnya apabila proposal tersebut telah memenuhi kebutuhan atau sesuai definisi kebutuhan yang telah dibuat Bank maka Bank melakukan negosiasi penyelesaian dengan penyedia jasa sebelum pembuatan kontrak.

10.3.2.3. Due Diligence Penyedia Jasa

Due diligence perlu dilakukan untuk menilai kondisi keuangan, reputasi, kemampuan teknis, kemampuan operasional, strategi pengembangan di masa mendatang, kemampuan untuk mengikuti inovasi di pasar dan mempunyai reputasi yang baik dalam industri perbankan. Dengan demikian Bank mendapatkan keyakinan bahwa penyedia jasa mampu memenuhi kebutuhan Bank. Pada saat due diligence, Bank harus melakukan evaluasi dan menilai informasi-informasi yang terkait dengan penyedia jasa yaitu antara lain meliputi: a. eksistensi dan sejarah perusahaan; b. kualifikasi, latar belakang dan reputasi pemilik perusahaan; c. perusahaan lain yang menggunakan jasa yang sama dari penyedia jasa sebagai referensi; d. kondisi keuangan termasuk review atas laporan keuangan audited; e. kemampuan dan efektivitas pemberian jasa, termasuk dukungan purna jual; f. teknologi dan arsitektur sistem; g. lingkungan pengendalian intern, sejarah pengamanan dan cakupan audit; h. kepatuhan terhadap hukum dan ketentuan yang berlaku; i. kepercayaan dan keberhasilan dalam berhubungan dengan sub kontraktor; j. jaminan asuransi; k. kemampuan untuk menyediakan disaster recovery dan business continuity; l. penerapan manajemen risiko; m. laporan hasil pemeriksaan pihak independen. Due diligence yang dilakukan Bank selama proses pemilihan wajib didokumentasikan dengan baik dan dilakukan kembali secara berkala sebagai bagian dari proses pemantauan dan kontrol. Dalam melakukan due diligence secara berkala ini sebaiknya Bank memperhatikan perubahan atau perkembangan yang ada selama kurun waktu sejak due diligence terakhir dengan menggunakan informasi terkini.

10.3.2.4. Penentuan

Penyedia Jasa Dalam menentukan penyedia jasa yang dipilih untuk digunakan oleh Bank dalam menyelenggarakan TI Bank maka Bank harus memperhatikan hal-hal dibawah ini: 102 a. oleh karena penggunaan pihak penyedia jasa tidak mengurangi tanggung jawab Bank dalam menerapkan manajemen risiko maka Bank harus melakukan evaluasi atas penerapan manajemen risiko pihak penyedia jasa; b. oleh karena Bank harus mampu untuk melakukan pengawasan atas pelaksanaan kegiatan Bank yang diselenggarakan oleh pihak penyedia jasa Teknologi Informasi maka Bank harus memastikan bahwa laporan-laporan yang diperlukan untuk memantau kinerja pihak penyedia jasa telah memadai termasuk bila program pengawasan ternyata diperlukan; c. cost and benefit analysis yang dilakukan untuk setiap alternatif yang akan dipilih harus mendalam dan memenuhi jangka waktu penggunaan jasa yang direncanakan sesuai Rencana Strategis TI Rencana Bisnis; d. dalam mengkaji setiap alternatif, manajemen Bank harus memastikan satuan kerja Teknologi Informasi di Bank memberikan pendapat dan hasil analisisnya; e. pihak penyedia jasa menerapkan prinsip pengendalian TI secara memadai termasuk physical security dan logical security. Khusus untuk penyelenggaraan Data Center, DRC dan Pemrosesan Berbasis TI harus dipastikan bahwa pihak penyedia jasa dapat menyampaikan hasil audit terkini atas Teknologi Informasi yang dilakukan oleh pihak independen; f. dalam rangka memantau dan mengevaluasi kehandalan pihak penyedia jasa secara berkala, baik yang menyangkut kinerja, reputasi penyedia jasa dan kelangsungan penyediaan layanan, Bank dapat memperoleh informasi dari berbagai sumber termasuk laporan tahunan pihak penyedia jasa TI tersebut; g. Bank harus mempelajari apakah akses terhadap database dapat dilakukan oleh Bank Indonesia dapat dilakukan setiap saat baik diperlukan untuk data terkini maupun untuk data yang telah lalu; h. apabila pihak penyedia jasa TI merupakan pihak terkait dengan Bank, Bank tetap wajib melakukan proses seleksi. Dokumen penyeleksian harus dapat menunjukan bahwa pertimbangan-pertimbangan telah dilakukan dengan menganut “hubungan kerja sama secara wajar arms length principle”.

10.3.3. Perjanjian Penyediaan Jasa