1. Home
  2. Lainnya

Perencanaan Penggunaan TI Proses Pengukuran Dan Pemantauan Risiko

11

1.3. MANAJEMEN RISIKO TERKAIT TEKNOLOGI INFORMASI

Kemampuan Bank memitigasi risiko TI tergantung dari hasil identifikasi, pengukuran, pengendalian dan pemantauan risiko-risiko terkait TI yang berpotensi mengancam keamanan dan operasional Bank. Proses manajemen risiko terkait TI yang harus dilakukan setiap Bank mencakup empat hal penting yaitu: a. merencanakan penggunaan TI; b. menilai risiko terkait TI; c. menetapkan proses pengukuran dan pemantauan risiko terkait penyelenggaraan dan penggunaan TI; d. implementasi pengendalian TI.

1.3.1. Perencanaan Penggunaan TI

Sebagaimana dijelaskan di atas bahwa Bank wajib memiliki Rencana Strategis Teknologi Informasi Information Technology Strategic Plan yang mendukung rencana strategis kegiatan usaha Bank. Selanjutnya Rencana Strategis Teknologi Informasi yang akan diimplementasikan dalam satu tahun kedepan diungkapkan dalam Rencana Bisnis Bank yaitu dalam bagian Kebijakan dan Strategi Manajemen. Disamping itu apabila terdapat bagian dari Rencana Strategis TI tersebut yang terkait pengembangan produk dan aktivitas baru serta perubahan jaringan kantor bank maka harus diungkapkan pula pada bagian Pengembangan Produk dan Aktivitas Baru serta sub bab Perubahan Jaringan Kantor Bank. Setiap rencana pengeluaran terkait Rencana Strategis TI yang akan diimplementasikan pada tahun yang bersangkutan harus dimasukkan dalam proyeksi neraca di Rencana Bisnis. Mengingat rencana strategis TI bersifat jangka panjang, maka untuk menjaga kesesuaian dengan perkembangan usaha Bank dan perkembangan TI maka Bank sebaiknya melakukan evaluasi secara berkala yang mencakup antara lain kinerja TI Bank serta tercapainya sasaran dan anggaran yang telah ditetapkan. Dengan demikian proyeksi neraca di Rencana Bisnis dapat lebih realistis dan berkesinambungan dari tahun ke tahun.

1.3.2. Penilaian Risiko yang Berkesinambungan

Kebijakan pengelolaan TI pada umumnya bertujuan untuk memastikan bahwa penyelenggaraan TI dapat mendukung pencapaian rencana bisnis Bank dan memastikan risiko yang terkait baik secara langsung maupun tidak langsung dengan penyelenggaraan TI tersebut dapat diatasi. Dalam melakukan identifikasi dan penilaian risiko tersebut, manajemen terlebih dahulu harus memastikan adanya risk awareness di seluruh lini Bank yaitu: 12 a. risk awareness dari pejabat eksekutif dan direksi; b. pemahaman yang jelas mengenai risk appetite dari Bank; c. pemahaman terhadap ketentuan yang berlaku; d. transparansi dan integrasi tanggung jawab mengenai risiko-risiko yang signifikan dari setiap aspek terkait penyelenggaraan TI. Untuk dapat memastikan hal-hal di atas, Bank dapat menjalankan risk awareness program bagi seluruh pegawai dan pengurus Bank atau menjalankan metode lain yang dapat meningkatkan kesadaran para pengguna TI akan risiko yang ada.

1.3.2.1. Jenis Risiko Terkait Teknologi Informasi

Bank wajib memiliki pendekatan manajemen risiko yang terpadu terintegrasi untuk dapat melakukan identifikasi, pengukuran, pemantauan dan pengendalian risiko secara efektif. Risiko terkait teknologi wajib dikaji ulang bersamaan dengan risiko-risiko lainnya yang dimiliki Bank untuk menentukan risk profile bank secara keseluruhan. Adapun risiko terkait penyelenggaraan TI yang utama adalah: a. Risiko Operasional Risiko operasional melekat di setiap produk dan layanan yang disediakan Bank. Penggunaan TI dapat menimbulkan terjadinya risiko operasional yang disebabkan oleh antara lain ketidakcukupanketidaksesuaian desain, implementasi, pemeliharaan sistem atau komputer dan perlengkapannya, metode pengamanan, testing dan standar internal audit serta penggunaan jasa pihak lain dalam penyelenggaraan TI. b. Risiko Kepatuhan Risiko kepatuhan dapat timbul bila Bank tidak memiliki sistem yang dapat memastikan kepatuhan Bank terhadap ketentuan yang berlaku bagi Bank seperti kerahasiaan data nasabah. Risiko kepatuhan dapat berdampak buruk terhadap reputasi serta citra Bank, juga berdampak pada kesempatan berusaha dan kemungkinan ekspansi. c. Risiko Hukum Bank menghadapi risiko hukum yang disebabkan adanya tuntutan hukum, ketiadaan peraturan perundangan yang mendukung atau kelemahan perikatan seperti tidak dipenuhinya syarat sah suatu kontrak. d. Risiko Reputasi Opini publik yang negatif dapat timbul antara lain karena kegagalan sistem yang mendukung produk, kasus yang ada pada produk Bank dan ketidakmampuan Bank memberikan dukungan layanan nasabah pada saat terjadi kegagalan sistem downtime. Opini negatif ini dapat menurunkan kemampuan Bank memelihara loyalitas nasabah dan keberhasilan produk dan layanan Bank. 13 e. Risiko Strategis Risiko ini timbul karena ketidakcocokan TI yang digunakan Bank dengan tujuan strategis Bank dan rencana strategis yang dibuat untuk mencapai tujuan tersebut. Hal ini karena kualitas implementasi maupun sumber daya yang digunakan TI kurang memadai. Sumber daya tersebut mencakup saluran komunikasi, operating systems, delivery network, serta kapasitas dan kapabilitas pengelola TI.

1.3.2.2. Penilaian Risiko

Dalam menggunakan teknologi, manajemen Bank harus menggunakan proses analisis yang ketat, menyeluruh, hati-hati akurat, untuk mengidentifikasi dan mengkuantifikasi risiko serta memastikan pengendalian risiko diterapkan. Untuk itu penilaian risiko yang dilakukan Bank perlu dilakukan secara berkesinambungan dengan suatu siklus yang minimal mencakup empat langkah penting sebagai berikut: a. Pengumpulan datadokumen atas aktivitas terkait TI yang berpotensi menimbulkan atau meningkatkan risiko baik dari kegiatan yang akan maupun sedang berjalan termasuk namun tidak terbatas pada: 1 Aset TI yang kritikal, dalam rangka mengidentifikasi titik-titik akses dan penyimpangan terhadap informasi nasabah yang bersifat rahasia; 2 Hasil review rencana strategis bisnis, khususnya review terhadap penilaian risiko potensial; 3 Hasil due dilligence dan pemantauan terhadap kinerja pihak penyedia jasa; 4 Hasil review atas laporan atau keluhan yang disampaikan oleh nasabah dan atau pengguna TI ke Call Center dan atau Help Desk; 5 Hasil Self Assessment yang dilakukan seluruh satuan kerja terhadap pengendalian yang dilakukan terkait TI; 6 Temuan-temuan audit terkait penyelenggaraan dan penggunaan TI. b. Analisis risiko berkaitan dengan dampak potensial dari tiap-tiap risiko, misalnya dari fraud di pemrograman, virus komputer, kegagalan sistem, bencana alam, kesalahan pemilihan teknologi yang digunakan, masalah pengembangan dan implementasi sistem, kesalahan prediksi perkembangan bisnis Bank. c. Penetapan prioritas pengendalian dan langkah mitigasi yang didasarkan pada hasil penilaian risiko Bank secara keseluruhan. Untuk itu Bank harus membuat peringkat risiko berdasarkan kemungkinan kejadian dan besarnya dampak yang dapat ditimbulkan serta mitigasi risiko yang dapat dilakukan untuk menurunkan eksposure risiko tersebut. d. Pemantauan kegiatan pengendalian dan mitigasi yang telah dilakukan atas risiko yang diidentifikasi dalam periode penilaian risiko sebelumnya, yang 14 antara lain mencakup rencana tindak lanjut perbaikan, kejelasan akuntabilitas dan tanggung jawab, sistem pelaporan, pengendalian kualitas termasuk compensating control.

1.3.3. Proses Pengukuran Dan Pemantauan Risiko

Seperti telah diuraikan sebelumnya terdapat beberapa jenis risiko yang terkait dengan penggunaan TI namun yang terbesar potensinya adalah risiko operasional. Hal ini perlu mendapat perhatian mengingat risiko operasional sulit dikuantifikasi . Bank perlu memperhatikan signifikansi dampak risiko yang telah diidentifikasi oleh Bank terhadap kondisi bank serta frekuensi terjadinya risiko. Metode yang dapat digunakan Bank dapat berupa kuantitatif maupun kualitatif tergantung kompleksitas usaha dan teknologi yang digunakan. Dalam metode kualitatif, besarnya dampak dan sering tidaknya kejadian likelihood dapat dijelaskan secara naratif atau dengan pemberian ranking. Contoh metode pengukuran yang sederhana antara lain dengan menggunakan check list atau menggunakan subjective risk rating seperti High, Medium atau Low. Bank harus menetapkan kriteria High, Medium atau Low dalam risk rating tersebut dan menerapkannya secara konsisten. Agar dapat memberikan hasil pengukuran risiko yang lebih sensitif, Bank dapat meningkatkan metode pemeringkatan risikonya dari 3x3 menjadi 4x4 sampai dengan 10x10. Contoh dari pemeringkatan menggunakan matriks risiko 5x5 adalah seperti dalam tabel berikut: IMPACT CONSEQUENCES LOSS RATE OF OCCURENCE LIKELIHOOD Insignificant Minor Moderate Major Catastrophic Almost certain Low Medium High Very high Very high Likely Low Medium High Very high Very high Possible Very low Low Medium High High Unlikely Very low Very low Low Medium Medium Rare Very low Very low Low Low Medium Terdapat banyak program aplikasi pengukuran risiko yang menggunakan metode kuantitatif. Dalam metode ini digunakan data statistik mengenai kejadian dan besarnya dampak. Risiko diukur berdasarkan rata-rata tingkat kejadian rate of occurance dan besarnya dampak dari kejadian the severity of the consequencesimpact. Beberapa bank menggunakan VAR untuk pengukuran risiko dengan metode kuantifikasi yang menganalisa database likelihood dan dampak dari kejadian-kejadian yang telah lalu. Apabila Bank menggunakan paket sistem informasi manajemen risiko yang mencakup aplikasi pengukuran risiko sebagai alat bantu penerapan manajemen risiko dalam penggunaan TI, maka Bank harus memperhatikan asumsi yang digunakan dalam 15 sistem tersebut, serta pertimbangan bisnis business commonsense dan pertimbangan profesi profesional dilligence. Agar risiko yang telah diidentifikasi dan dinilai atau diukur dapat dipantau oleh manajemen maka Bank perlu memiliki dokumentasi risiko Risk Documentation atau yang sering disebut sebagai Risk Register. Contoh pembuatan Risk Register tersebut dapat dilihat pada Lampiran 1.1. Contoh Penilaian Risiko. Bank dapat menetapkan komponen Risk Register yang berbeda dengan di Lampiran 1.1. namun paling kurang mencakup hal-hal sebagai berikut: a. penetapan aset, proses, produk, atau kejadian yang mengandung risiko; b. pengukuran atau pemeringkatan kemungkinan kejadian dan dampak Inherent Risk Assessment; c. langkah-langkah penanganan terhadap risiko potensial potential risk treatment misalnya Accept, Control, Avoid atau Transfer ACAT; d. pengukuran atau pemeringkatan kemungkinan kejadian dan dampak setelah ACAT Residual Risk Assesment. Dalam dokumentasi potential risk treatment tersebut Bank perlu memperhatikan antara lain risk appetite dari manajemen, fasilitas yang dapat digunakan sebagai preventive control atau corrective control, dan kesesuaian rencana mitigasi risiko dengan kondisi keuangan Bank. Dokumentasi risiko ini perlu dikinikan secara periodik. Langkah-langkah penanganan risiko potensial yang dapat diambil Bank sesuai butir c di atas adalah sebagai berikut: a. Manajemen memutuskan untuk menerima risiko jika besarnya dampak dan tingkat kecenderungan masih dalam batas toleransi organisasi Accept Contohnya adalah dengan menetapkan Kriteria Penerimaan Risiko terkait dengan evaluasi dan penanganan risiko misalnya Nilai Risiko Akhir “Low”. Nilai Risiko Akhir “Medium” atau “High“, namun telah diputuskan untuk diterima oleh Manajemen dan dibuat suatu sistem prosedur untuk memantau risiko tersebut misalnya dengan menyediakan tambahan modal sesuai besarnya potensi risiko. 5 Medium Medium High High High 4 Low Medium High High High 3 Low Medium Medium High High 2 Low Medium Medium Medium High 1 Low Low Medium Medium High 1 2 3 4 5 Dampak K ec en d er u n ga n 16 b. Organisasi memutuskan untuk tidak melakukan suatu aktivitas atau memilih alternatif aktivitas lain yang menghasilkan output yang sama untuk menghindari terjadinya risiko Avoid risk. Contohnya hak privilege administrator pada user yang menggunakan PC yang mengandung risiko akan adanya malicious code pada PC. Risiko ini dapat dihindari dengan tidak memberikan hak privilege pada user sehingga user tidak bisa merubah konfigurasi dan meng-install software pada PC. c. Organisasi memutuskan mengurangi dampak maupun kemungkinan terjadinya risiko Control Mitigate. Contohnya penggunaan PC untuk mendukung proses bisnis organisasi mengandung risiko terjadinya hacking pada PC. Pengendalian risiko dilakukan dengan pemasangan fasilitas firewall untuk mencegah akses yang tidak terotorisasi. d. Organisasi memutuskan untuk mengalihkan seluruh atau sebagian tanggung jawab pelaksanaan suatu proses kepada pihak ketiga Transfer. Contohnya Penggunaan fasilitas ruangan atau gedung mengandung risiko terjadi kebakaran. Risiko ini ditangani dengan memindahkan risiko ke perusahaan asuransi yaitu dengan mengasuransikan fasilitas ruangan atau gedung.

1.3.4. Implementasi Pengendalian Teknologi Informasi

Dokumen yang terkait

Pedoman Manajemen Risiko Berbasis GCG

0 6 91

ANALISIS PENERAPAN MANAJEMEN RISIKO KRED

0 0 5

PENERAPAN MANAJEMEN RISIKO DALAM DALAM P

0 0 5

Penerapan Manajemen Risiko Perusahaan da

0 0 14

ANALISIS PENERAPAN MANAJEMEN RISIKO DALA

0 0 5

Pedoman manajemen risiko risk peny

0 1 15

Penerapan Manajemen Risiko dan IPC

0 2 32

ANALISIS PENERAPAN MANAJEMEN RISIKO DAN

0 2 4

Penerapan Manajemen Risiko Dalam Tatanan

0 0 4

PENERAPAN MANAJEMEN RISIKO UNTUK BANK

0 0 6