10 dengan struktur yang baik dan telah mengakomodir kebutuhan pengguna serta sesuai dengan sistem TI yang dimiliki Bank. Tim manajemen proyek mengadministrasikan kemajuan masing-masing proyek dan membantu koordinasi antara pelaksana proyek dan calon pengguna sistemaplikasi TI di setiap proyek serta melaporkannya ke Komite Pengarah TI. Bentuk manajemen proyek dalam organisasi Bank disesuaikan dengan kompleksitas dan ukuran Bank yaitu dapat berupa suatu satuan kerja tetap atau bersifat ad hoc.

1.2.6. Sistem Informasi Manajemen SIM

Bank perlu memastikan terdapat suatu SIM yang dapat menghasilkan informasi yang diperlukan dalam rangka mendukung peran dan fungsi manajemen secara efektif. SIM harus dapat menyajikan informasi yang dibutuhkan secara lengkap, akurat, terkini, utuh, aman, benar, konsisten, tepat waktu, relevan dan dapat diaplikasikan untuk memudahkan proses perencanaan dan pengambilan keputusan yang mendukung usaha- usaha pencapaian strategis bisnis Bank. Di samping itu, SIM yang dimiliki Bank harus dapat: a. memfasilitasi pengelolaan operasional bisnis Bank termasuk pelayanan kepada nasabah; b. mencatat dan mengumpulkan informasi secara obyektif; c. mendistribusikan datainformasi ke berbagai satuan kerja sesuai jenis informasi, kualitas dan kuantitas maupun frekuensi dan waktu pengiriman laporan yang dibutuhkan; d. meningkatkan efektivitas dan efisiensi komunikasi di Bank; e. membantu Bank meningkatkan kepatuhan terhadap ketentuan perundangan; f. mendukung proses penilaian kinerja seluruh satuan kerja. Kemajuan teknologi dapat meningkatkan ketersediaan informasi sehingga satuan kerja TI memegang peranan penting dalam efektivitas SIM Bank. Satuan Kerja TI menetapkan kebijakan, prosedur dan pengendalian manajemen database dan pembuatan laporan untuk membantu memastikan keefektifan SIM.

1.2.7. Dokumentasi

Manajemen Bank harus memastikan pengendalian internal maupun audit dapat melakukan test dan validasi atas kebijakan, proses, prosedur, standar dan requirements dalam pengelolaan TI. Untuk itu Bank harus memiliki dokumentasi kebijakan pengamanan dan manajemen risiko operasional yang jelas, lengkap dan dapat diaplikasikan khususnya yang terkait dengan risiko terkait TI di masing-masing satuan kerja pengguna TI. 11

1.3. MANAJEMEN RISIKO TERKAIT TEKNOLOGI INFORMASI

Kemampuan Bank memitigasi risiko TI tergantung dari hasil identifikasi, pengukuran, pengendalian dan pemantauan risiko-risiko terkait TI yang berpotensi mengancam keamanan dan operasional Bank. Proses manajemen risiko terkait TI yang harus dilakukan setiap Bank mencakup empat hal penting yaitu: a. merencanakan penggunaan TI; b. menilai risiko terkait TI; c. menetapkan proses pengukuran dan pemantauan risiko terkait penyelenggaraan dan penggunaan TI; d. implementasi pengendalian TI.

1.3.1. Perencanaan Penggunaan TI

Sebagaimana dijelaskan di atas bahwa Bank wajib memiliki Rencana Strategis Teknologi Informasi Information Technology Strategic Plan yang mendukung rencana strategis kegiatan usaha Bank. Selanjutnya Rencana Strategis Teknologi Informasi yang akan diimplementasikan dalam satu tahun kedepan diungkapkan dalam Rencana Bisnis Bank yaitu dalam bagian Kebijakan dan Strategi Manajemen. Disamping itu apabila terdapat bagian dari Rencana Strategis TI tersebut yang terkait pengembangan produk dan aktivitas baru serta perubahan jaringan kantor bank maka harus diungkapkan pula pada bagian Pengembangan Produk dan Aktivitas Baru serta sub bab Perubahan Jaringan Kantor Bank. Setiap rencana pengeluaran terkait Rencana Strategis TI yang akan diimplementasikan pada tahun yang bersangkutan harus dimasukkan dalam proyeksi neraca di Rencana Bisnis. Mengingat rencana strategis TI bersifat jangka panjang, maka untuk menjaga kesesuaian dengan perkembangan usaha Bank dan perkembangan TI maka Bank sebaiknya melakukan evaluasi secara berkala yang mencakup antara lain kinerja TI Bank serta tercapainya sasaran dan anggaran yang telah ditetapkan. Dengan demikian proyeksi neraca di Rencana Bisnis dapat lebih realistis dan berkesinambungan dari tahun ke tahun.

1.3.2. Penilaian Risiko yang Berkesinambungan

Kebijakan pengelolaan TI pada umumnya bertujuan untuk memastikan bahwa penyelenggaraan TI dapat mendukung pencapaian rencana bisnis Bank dan memastikan risiko yang terkait baik secara langsung maupun tidak langsung dengan penyelenggaraan TI tersebut dapat diatasi. Dalam melakukan identifikasi dan penilaian risiko tersebut, manajemen terlebih dahulu harus memastikan adanya risk awareness di seluruh lini Bank yaitu: