11
1.3. MANAJEMEN RISIKO TERKAIT TEKNOLOGI INFORMASI
Kemampuan Bank memitigasi risiko TI tergantung dari hasil identifikasi, pengukuran, pengendalian dan pemantauan risiko-risiko terkait TI yang berpotensi mengancam
keamanan dan operasional Bank. Proses manajemen risiko terkait TI yang harus dilakukan setiap Bank mencakup
empat hal penting yaitu: a.
merencanakan penggunaan TI; b.
menilai risiko terkait TI; c.
menetapkan proses pengukuran dan pemantauan risiko terkait penyelenggaraan dan penggunaan TI;
d. implementasi pengendalian TI.
1.3.1. Perencanaan Penggunaan TI
Sebagaimana dijelaskan di atas bahwa Bank wajib memiliki Rencana Strategis Teknologi Informasi Information Technology Strategic Plan yang
mendukung rencana strategis kegiatan usaha Bank. Selanjutnya Rencana Strategis Teknologi Informasi yang akan diimplementasikan dalam satu tahun kedepan
diungkapkan dalam Rencana Bisnis Bank yaitu dalam bagian Kebijakan dan Strategi Manajemen. Disamping itu apabila terdapat bagian dari Rencana Strategis TI tersebut
yang terkait pengembangan produk dan aktivitas baru serta perubahan jaringan kantor bank maka harus diungkapkan pula pada bagian Pengembangan Produk dan Aktivitas
Baru serta sub bab Perubahan Jaringan Kantor Bank. Setiap rencana pengeluaran terkait Rencana Strategis TI yang akan diimplementasikan pada tahun yang
bersangkutan harus dimasukkan dalam proyeksi neraca di Rencana Bisnis. Mengingat rencana strategis TI bersifat jangka panjang, maka untuk menjaga
kesesuaian dengan perkembangan usaha Bank dan perkembangan TI maka Bank sebaiknya melakukan evaluasi secara berkala yang mencakup antara lain kinerja TI
Bank serta tercapainya sasaran dan anggaran yang telah ditetapkan. Dengan demikian proyeksi neraca di Rencana Bisnis dapat lebih realistis dan berkesinambungan dari
tahun ke tahun.
1.3.2. Penilaian Risiko yang Berkesinambungan
Kebijakan pengelolaan TI pada umumnya bertujuan untuk memastikan bahwa penyelenggaraan TI dapat mendukung pencapaian rencana bisnis Bank dan memastikan
risiko yang terkait baik secara langsung maupun tidak langsung dengan penyelenggaraan TI tersebut dapat diatasi.
Dalam melakukan identifikasi dan penilaian risiko tersebut, manajemen terlebih dahulu harus memastikan adanya risk awareness di seluruh lini Bank yaitu:
12
a. risk awareness dari pejabat eksekutif dan direksi;
b. pemahaman yang jelas mengenai risk appetite dari Bank;
c. pemahaman terhadap ketentuan yang berlaku;
d. transparansi dan integrasi tanggung jawab mengenai risiko-risiko yang signifikan
dari setiap aspek terkait penyelenggaraan TI. Untuk dapat memastikan hal-hal di atas, Bank dapat menjalankan risk awareness
program bagi seluruh pegawai dan pengurus Bank atau menjalankan metode lain yang dapat meningkatkan kesadaran para pengguna TI akan risiko yang ada.
1.3.2.1. Jenis Risiko Terkait Teknologi Informasi
Bank wajib memiliki pendekatan manajemen risiko yang terpadu terintegrasi untuk dapat melakukan identifikasi, pengukuran, pemantauan
dan pengendalian risiko secara efektif. Risiko terkait teknologi wajib dikaji ulang bersamaan dengan risiko-risiko lainnya yang dimiliki Bank untuk
menentukan risk profile bank secara keseluruhan. Adapun risiko terkait penyelenggaraan TI yang utama adalah:
a. Risiko Operasional
Risiko operasional melekat di setiap produk dan layanan yang disediakan Bank. Penggunaan TI dapat menimbulkan terjadinya risiko operasional
yang disebabkan oleh antara lain ketidakcukupanketidaksesuaian desain, implementasi, pemeliharaan sistem atau komputer dan perlengkapannya,
metode pengamanan, testing dan standar internal audit serta penggunaan jasa pihak lain dalam penyelenggaraan TI.
b. Risiko Kepatuhan
Risiko kepatuhan dapat timbul bila Bank tidak memiliki sistem yang dapat memastikan kepatuhan Bank terhadap ketentuan yang berlaku bagi
Bank seperti kerahasiaan data nasabah. Risiko kepatuhan dapat berdampak buruk terhadap reputasi serta citra Bank, juga berdampak pada
kesempatan berusaha dan kemungkinan ekspansi. c.
Risiko Hukum Bank menghadapi risiko hukum yang disebabkan adanya tuntutan hukum,
ketiadaan peraturan perundangan yang mendukung atau kelemahan perikatan seperti tidak dipenuhinya syarat sah suatu kontrak.
d. Risiko Reputasi
Opini publik yang negatif dapat timbul antara lain karena kegagalan sistem yang mendukung produk, kasus yang ada pada produk Bank dan
ketidakmampuan Bank memberikan dukungan layanan nasabah pada saat terjadi kegagalan sistem downtime. Opini negatif ini dapat menurunkan
kemampuan Bank memelihara loyalitas nasabah dan keberhasilan produk dan layanan Bank.
13
e. Risiko Strategis
Risiko ini timbul karena ketidakcocokan TI yang digunakan Bank dengan tujuan strategis Bank dan rencana strategis yang dibuat untuk mencapai
tujuan tersebut. Hal ini karena kualitas implementasi maupun sumber daya yang digunakan TI kurang memadai. Sumber daya tersebut mencakup
saluran komunikasi, operating systems, delivery network, serta kapasitas dan kapabilitas pengelola TI.
1.3.2.2. Penilaian Risiko
Dalam menggunakan teknologi, manajemen Bank harus menggunakan proses analisis yang ketat, menyeluruh, hati-hati akurat, untuk
mengidentifikasi dan
mengkuantifikasi risiko
serta memastikan
pengendalian risiko diterapkan. Untuk itu penilaian risiko yang dilakukan Bank perlu dilakukan secara berkesinambungan dengan suatu siklus yang minimal
mencakup empat langkah penting sebagai berikut: a.
Pengumpulan datadokumen
atas aktivitas terkait TI yang berpotensi menimbulkan atau meningkatkan risiko baik dari kegiatan yang akan maupun
sedang berjalan termasuk namun tidak terbatas pada: 1
Aset TI yang kritikal, dalam rangka mengidentifikasi titik-titik akses dan penyimpangan terhadap informasi nasabah yang bersifat rahasia;
2 Hasil review rencana strategis bisnis, khususnya review terhadap penilaian
risiko potensial; 3
Hasil due dilligence dan pemantauan terhadap kinerja pihak penyedia jasa; 4
Hasil review atas laporan atau keluhan yang disampaikan oleh nasabah dan atau pengguna TI ke Call Center dan atau Help Desk;
5 Hasil Self Assessment yang dilakukan seluruh satuan kerja terhadap
pengendalian yang dilakukan terkait TI; 6
Temuan-temuan audit terkait penyelenggaraan dan penggunaan TI. b.
Analisis risiko berkaitan dengan dampak potensial dari tiap-tiap risiko,
misalnya dari fraud di pemrograman, virus komputer, kegagalan sistem, bencana alam, kesalahan pemilihan teknologi yang digunakan, masalah
pengembangan dan implementasi sistem, kesalahan prediksi perkembangan bisnis Bank.
c. Penetapan prioritas
pengendalian dan langkah mitigasi yang didasarkan pada hasil penilaian risiko Bank secara keseluruhan. Untuk itu Bank harus membuat
peringkat risiko berdasarkan kemungkinan kejadian dan besarnya dampak yang dapat ditimbulkan serta mitigasi risiko yang dapat dilakukan untuk menurunkan
eksposure risiko tersebut. d.
Pemantauan kegiatan pengendalian dan mitigasi yang telah dilakukan atas
risiko yang diidentifikasi dalam periode penilaian risiko sebelumnya, yang
14
antara lain mencakup rencana tindak lanjut perbaikan, kejelasan akuntabilitas dan tanggung jawab, sistem pelaporan, pengendalian kualitas termasuk
compensating control.
1.3.3. Proses Pengukuran Dan Pemantauan Risiko
Seperti telah diuraikan sebelumnya terdapat beberapa jenis risiko yang terkait dengan penggunaan TI namun yang terbesar potensinya adalah risiko operasional. Hal
ini perlu mendapat perhatian mengingat risiko operasional sulit dikuantifikasi .
Bank perlu memperhatikan signifikansi dampak risiko yang telah diidentifikasi oleh Bank
terhadap kondisi bank serta frekuensi terjadinya risiko. Metode yang dapat digunakan Bank dapat berupa kuantitatif maupun kualitatif tergantung kompleksitas usaha dan
teknologi yang digunakan. Dalam metode kualitatif, besarnya dampak dan sering tidaknya kejadian likelihood dapat dijelaskan secara naratif atau dengan pemberian
ranking. Contoh metode pengukuran yang sederhana antara lain dengan menggunakan check list atau menggunakan subjective risk rating seperti High, Medium atau Low.
Bank harus menetapkan kriteria High, Medium atau Low dalam risk rating tersebut dan menerapkannya secara konsisten. Agar dapat memberikan hasil pengukuran risiko yang
lebih sensitif, Bank dapat meningkatkan metode pemeringkatan risikonya dari 3x3 menjadi 4x4 sampai dengan 10x10. Contoh dari pemeringkatan menggunakan matriks
risiko 5x5 adalah seperti dalam tabel berikut:
IMPACT CONSEQUENCES LOSS RATE OF
OCCURENCE LIKELIHOOD
Insignificant Minor
Moderate Major
Catastrophic Almost certain
Low Medium
High Very high
Very high
Likely
Low Medium
High Very high
Very high
Possible Very low
Low Medium
High High
Unlikely Very low
Very low Low
Medium Medium
Rare
Very low Very low
Low Low
Medium
Terdapat banyak program aplikasi pengukuran risiko yang menggunakan metode kuantitatif. Dalam metode ini digunakan data statistik mengenai kejadian dan
besarnya dampak. Risiko diukur berdasarkan rata-rata tingkat kejadian rate of occurance
dan besarnya
dampak dari
kejadian the
severity of
the consequencesimpact. Beberapa bank menggunakan VAR untuk pengukuran risiko
dengan metode kuantifikasi yang menganalisa database likelihood dan dampak dari kejadian-kejadian yang telah lalu.
Apabila Bank menggunakan paket sistem informasi manajemen risiko yang mencakup aplikasi pengukuran risiko sebagai alat bantu penerapan manajemen risiko
dalam penggunaan TI, maka Bank harus memperhatikan asumsi yang digunakan dalam
15
sistem tersebut, serta pertimbangan bisnis business commonsense dan pertimbangan profesi profesional dilligence.
Agar risiko yang telah diidentifikasi dan dinilai atau diukur dapat dipantau oleh manajemen maka Bank perlu memiliki dokumentasi risiko Risk Documentation atau
yang sering disebut sebagai Risk Register. Contoh pembuatan Risk Register tersebut
dapat dilihat pada Lampiran 1.1. Contoh Penilaian Risiko. Bank dapat menetapkan
komponen Risk Register yang berbeda dengan di Lampiran 1.1. namun paling kurang mencakup hal-hal sebagai berikut:
a. penetapan aset, proses, produk, atau kejadian yang mengandung risiko;
b. pengukuran atau pemeringkatan kemungkinan kejadian dan dampak Inherent Risk
Assessment; c.
langkah-langkah penanganan terhadap risiko potensial potential risk treatment misalnya Accept, Control, Avoid atau Transfer ACAT;
d. pengukuran atau pemeringkatan kemungkinan kejadian dan dampak setelah ACAT
Residual Risk Assesment. Dalam dokumentasi potential risk treatment tersebut Bank perlu memperhatikan antara
lain risk appetite dari manajemen, fasilitas yang dapat digunakan sebagai preventive control atau corrective control, dan kesesuaian rencana mitigasi risiko dengan kondisi
keuangan Bank. Dokumentasi risiko ini perlu dikinikan secara periodik. Langkah-langkah penanganan risiko potensial yang dapat diambil Bank sesuai
butir c di atas adalah sebagai berikut: a.
Manajemen memutuskan untuk menerima risiko jika besarnya dampak dan tingkat
kecenderungan masih dalam batas toleransi organisasi Accept
Contohnya adalah dengan menetapkan Kriteria Penerimaan Risiko terkait dengan evaluasi dan
penanganan risiko misalnya Nilai Risiko Akhir “Low”.
Nilai Risiko Akhir “Medium” atau “High“, namun telah diputuskan untuk diterima oleh Manajemen dan dibuat suatu sistem prosedur untuk memantau
risiko tersebut misalnya dengan menyediakan tambahan modal sesuai besarnya potensi risiko.
5
Medium Medium
High High
High
4
Low Medium
High High
High
3
Low Medium
Medium High
High
2
Low Medium
Medium Medium High
1
Low Low
Medium Medium High
1 2
3 4
5
Dampak
K ec
en d
er u
n ga
n
16
b. Organisasi memutuskan untuk tidak melakukan suatu aktivitas atau memilih
alternatif aktivitas lain yang menghasilkan output yang sama untuk menghindari
terjadinya risiko Avoid risk.
Contohnya hak privilege administrator pada user yang menggunakan PC yang mengandung risiko akan adanya malicious code pada PC. Risiko ini dapat dihindari
dengan tidak memberikan hak privilege pada user sehingga user tidak bisa merubah konfigurasi dan meng-install software pada PC.
c. Organisasi memutuskan mengurangi dampak maupun kemungkinan terjadinya
risiko Control Mitigate.
Contohnya penggunaan PC untuk mendukung proses bisnis organisasi mengandung risiko terjadinya hacking pada PC. Pengendalian risiko dilakukan dengan
pemasangan fasilitas firewall untuk mencegah akses yang tidak terotorisasi. d.
Organisasi memutuskan untuk mengalihkan seluruh atau sebagian tanggung jawab
pelaksanaan suatu proses kepada pihak ketiga Transfer.
Contohnya Penggunaan fasilitas ruangan atau gedung mengandung risiko terjadi kebakaran. Risiko ini ditangani dengan memindahkan risiko ke perusahaan asuransi
yaitu dengan mengasuransikan fasilitas ruangan atau gedung.
1.3.4. Implementasi Pengendalian Teknologi Informasi