97

BAB X PENGGUNAAN PIHAK PENYEDIA JASA

TEKNOLOGI INFORMASI

10.1. PENDAHULUAN

Dalam rangka meningkatkan efektivitas dan efisiensi pencapaian tujuan strategis, Bank dimungkinkan menggunakan pihak penyedia jasa TI. Yang dimaksud dengan menggunakan pihak penyedia jasa teknologi informasi adalah penggunaan jasa pihak lain dalam menyelenggarakan kegiatan Teknologi Informasi yang menyebabkan Bank memiliki ketergantungan terhadap jasa yang diberikan secara berkesinambungan dan atau dalam periode tertentu. Penggunaan pihak penyedia jasa TI dapat mempengaruhi risiko Bank antara lain risiko operasional, kepatuhan, hukum dan reputasi yang dapat timbul antara lain karena adanya kegagalan penyedia jasa dalam menyediakan jasa, pelanggaran terhadap pengamanan atau ketidakmampuan untuk mematuhi hukum dan peraturan yang berlaku. Untuk memastikan Bank menjalankan usahanya secara sehat dan aman, operasional TI yang dilakukan oleh penyedia jasa TI juga menjadi objek pengaturan dan pengawasan dari otoritas pengawas Bank. Bank Indonesia sebagai otoritas pengawas Bank memiliki kewenangan untuk mengawasi semua aktivitas dan catatan keuangan Bank baik yang dilakukan oleh Bank sendiri atau oleh pihak lain. Untuk itu pemeriksaan dan pengawasan Bank tidak boleh terhambat dengan adanya pengalihan fungsi-fungsi operasional Bank ke pihak lain.

10.2. TANGGUNG JAWAB MANAJEMEN

Manajemen Bank bertanggungjawab penuh terhadap penerapan manajemen risiko atas seluruh aktivitas yang terkait dengan penggunaan pihak penyedia jasa dalam penyelenggaraan TI Bank. Apabila Bank menyerahkan penyelenggaraan TI kepada pihak lain, tanggung jawab akhir accountability tetap berada pada Bank meskipun day-to-day responsibility telah dipindahkan kepada pihak penyedia jasa. Dengan demikian tanggung jawab manajemen tidak hilang atau menjadi berkurang dengan adanya penggunaan penyedia jasa TI. Untuk itu, manajemen Bank wajib mengelola risiko yang ditimbulkan dari kegiatan tersebut secara efektif antara lain dengan: a. memahami risiko-risiko secara menyeluruh yang dapat timbul sehubungan dengan pengunaan jasa pihak lain untuk menyelenggarakan sebagian atau keseluruhan operasional TI Bank; 98 b. penggunaan pihak penyedia jasa TI memberikan konsekuensi Bank membagi informasi sensitif kepada penyedia jasa, oleh karena itu manajemen wajib melakukan evaluasi kemampuan penyedia jasa untuk menjaga tingkat keamanan paling tidak sama atau lebih ketat dari standar pengamanan Bank. Untuk itu pengawasan dan pemantauan harus dilakukan secara memadai untuk memastikan kecukupan perlindungan terhadap keamanan informasi tersebut; c. mengevaluasi calon penyedia jasa berdasarkan cakupan dan faktor kritikal dari jasa yang dikerjakan oleh pihak penyedia jasa; d. mempertimbangkan beberapa alternatif pemilihan penyedia jasa yang lain apabila aktivitas yang akan diserahkan penyelenggaraannya kepada pihak penyedia jasa adalah penting; e. melakukan kajian dalam rangka menilai kehandalan pihak penyedia jasa baik yang menyangkut kinerja, reputasi penyedia jasa dan kelangsungan penyediaan layanan dalam rangka melakukan pemilihan alternatif-alternatif pihak penyedia jasa Bank; f. memastikan Bank memiliki cukup keahlian untuk mengawasi dan mengelola hubungan kerjasama dengan penyedia jasa termasuk menerapkan pengendalian yang efektif; g. memastikan setiap hubungan kerja sama dengan penyedia jasa dapat ditangani dengan baik oleh Bank dan dapat memenuhi kebutuhan kegiatan operasional Bank serta sejalan dengan rencana strategis Bank; h. memastikan Bank memiliki dokumentasi terkait dengan aktivitas penyediaan jasa TI antara lain prosedur, tugastanggungjawab dan mekanisme pelaporan; i. melakukan pengawasan secara berkesinambungan atas aktivitas Bank yang dilakukan oleh pihak lain untuk mengatasi risiko yang telah diidentifikasi dan untuk mengevaluasi perubahan-perubahan risiko yang terjadi pada saat pelaksanaan operasional TI dibandingkan dengan pada saat penilaian awal; j. melakukan review kontrakperjanjian secara berkala untuk mengetahui kesesuaian dengan kebutuhan dan kondisi Bank terkini; k. khusus untuk penggunaan jasa TI yang memiliki eksposure risiko tinggi berdasarkan hasil Business Impact Analysis seperti penyelenggaraan Data Center dan Disaster Recovery Center, sebaiknya Bank menggunakan konsultan hukum sejak awal proses rencana penggunaan jasa pihak lain untuk mengkaji proposal yang disampaikan pihak penyedia jasa dan membantu menyiapkan perjanjian agar Bank dapat memahami risiko hukum yang ada dan menerapkan mitigasi risiko yang diperlukan. Dalam menyerahkan penyelenggaraan TI kepada pihak lain, Direksi bertanggung jawab untuk: a. menetapkan kebijakan dan prosedur yang akan digunakan Bank dalam rangka mengevaluasi risiko dan dampak dari penggunaan jasa pihak lain yang ada maupun yang akan digunakan; 99 b. mengatur kewenangan persetujuan penggunaan pihak penyedia jasa TI sesuai dengan jenis risiko dan dampaknya; c. mengembangkan kebijakan dan prosedur manajemen risiko yang baik dan responsif atas penggunaan jasa pihak ketiga sesuai dengan sifat, cakupan dan kompleksitasnya; d. memastikan adanya kaji ulang atas relevansi, keamanan, kehandalan strategi dan kecukupan perjanjian secara berkala. Dalam menyerahkan penyelenggaraan TI kepada pihak lain, Pejabat Tertinggi TI bertanggung jawab untuk: a. menerapkan kebijakan dan prosedur manajemen risiko yang baik dan responsif atas penggunaan jasa pihak ketiga sesuai dengan sifat, cakupan dan kompleksitasnya; b. mengkaji ulang keefektifan kebijakan dan prosedur secara berkala; c. memastikan bahwa rencana kontinjensi telah disusun dan diuji berdasarkan skenario dengan mempertimbangkan berbagai jenis gangguan; d. memastikan adanya kaji ulang dan audit oleh pihak independen terhadap kepatuhan pada kebijakan yang telah dibuat.

10.3. KEBIJAKAN DAN PROSEDUR