102 a. oleh karena penggunaan pihak penyedia jasa tidak mengurangi tanggung jawab Bank dalam menerapkan manajemen risiko maka Bank harus melakukan evaluasi atas penerapan manajemen risiko pihak penyedia jasa; b. oleh karena Bank harus mampu untuk melakukan pengawasan atas pelaksanaan kegiatan Bank yang diselenggarakan oleh pihak penyedia jasa Teknologi Informasi maka Bank harus memastikan bahwa laporan-laporan yang diperlukan untuk memantau kinerja pihak penyedia jasa telah memadai termasuk bila program pengawasan ternyata diperlukan; c. cost and benefit analysis yang dilakukan untuk setiap alternatif yang akan dipilih harus mendalam dan memenuhi jangka waktu penggunaan jasa yang direncanakan sesuai Rencana Strategis TI Rencana Bisnis; d. dalam mengkaji setiap alternatif, manajemen Bank harus memastikan satuan kerja Teknologi Informasi di Bank memberikan pendapat dan hasil analisisnya; e. pihak penyedia jasa menerapkan prinsip pengendalian TI secara memadai termasuk physical security dan logical security. Khusus untuk penyelenggaraan Data Center, DRC dan Pemrosesan Berbasis TI harus dipastikan bahwa pihak penyedia jasa dapat menyampaikan hasil audit terkini atas Teknologi Informasi yang dilakukan oleh pihak independen; f. dalam rangka memantau dan mengevaluasi kehandalan pihak penyedia jasa secara berkala, baik yang menyangkut kinerja, reputasi penyedia jasa dan kelangsungan penyediaan layanan, Bank dapat memperoleh informasi dari berbagai sumber termasuk laporan tahunan pihak penyedia jasa TI tersebut; g. Bank harus mempelajari apakah akses terhadap database dapat dilakukan oleh Bank Indonesia dapat dilakukan setiap saat baik diperlukan untuk data terkini maupun untuk data yang telah lalu; h. apabila pihak penyedia jasa TI merupakan pihak terkait dengan Bank, Bank tetap wajib melakukan proses seleksi. Dokumen penyeleksian harus dapat menunjukan bahwa pertimbangan-pertimbangan telah dilakukan dengan menganut “hubungan kerja sama secara wajar arms length principle”.

10.3.3. Perjanjian Penyediaan Jasa

Setelah memilih sebuah perusahaan penyedia jasa, manajemen membuat perjanjian tertulis dengan penyedia jasa. Isi proposal sebagaimana dipersyaratkan pada proses sebelumnya dapat dijadikan masukan dalam proses ini. Perjanjian merupakan dokumen hukum yang mendefinisikan seluruh aspek dari hubungan dengan pihak penyedia jasa dan menjadi alat kontrol utama.

10.3.3.1. Penyusunan Perjanjian Penyediaan Jasa

Hal-hal minimum yang wajib diatur dalam kontrak antara lain meliputi: a. cakupan pekerjaanjasa; 103 b. biaya dan jangka waktu perjanjian kerjasama; c. hak dan kewajiban Bank maupun pihak penyelenggara jasa; d. jaminan pengamanan dan kerahasiaan data, terutama data nasabah. Data hanya bisa diakses oleh pemilik data Bank; e. Service Level Agreement SLA, berisi mengenai standar kinerja seperti tingkat pelayanan yang diperjanjikan service levels dan target kinerja; f. harus ditetapkan bahwa SLA tetap berlaku apabila terjadi perubahan kepemilikan baik pada Bank maupun penyedia jasa; g. laporan hasil pemantauan kinerja penyedia jasa yang terkait dengan SLA; h. batasan risiko yang ditanggung oleh Bank dan penyedia jasa, diantaranya: 1 risiko perubahan ruang lingkup kontrak; 2 perubahan ruang lingkup bisnis dan organisasi perusahaan penyedia jasa; 3 perubahan aspek hukum serta regulasi; 4 aspek hukum yang meliputi hak cipta, paten dan trade mark; i. subkontraktor, apabila pihak penyedia jasa melakukan subkontrak sebagian kegiatannya maka persetujuan Bank harus secara tertulis; j. tersedianya sarana komunikasi on-line, pengamanan terhadap akses dan transmisi data, dari dan ke Data center, Disaster Recovery Center, dan Pemrosesan Transaksi Berbasis TI; k. pengaturan yang jelas mengenai backup, contingency, record protection termasuk hardware, equipment, software dan data files, untuk menjamin kelangsungan penyelenggaraan TI; l. pengaturan mengenai pengamanan dalam pengiriman source document yang diperlukan dari dan ke Data center, Disaster Recovery Center, dan Pemrosesan Transaksi Berbasis TI. Pihak yang bertanggungjawab sebaiknya menutup asuransi yang cukup; m. kesediaan diaudit baik oleh intern Bank, Bank Indonesia atau pihak ekstern yang ditunjuk oleh Bank maupun oleh Bank Indonesia dan tersedianya informasi untuk keperluan pemeriksaan, termasuk hak akses, baik secara logic maupun physical terhadap data yang dikelola oleh penyedia jasa; n. pihak penyedia jasa wajib memberikan dokumen teknis kepada Bank terkait dengan jasa yang dikerjakan oleh penyedia jasa antara lain alur proses TI dan struktur database; o. pihak penyedia jasa harus melaporkan setiap kejadian yang kritis yang dapat mengakibatkan kerugian keuangan dan atau mengganggu kelancaran operasional Bank; p. khusus untuk penyelenggaraan Data Center, DRC dan Pemrosesan Berbasis TI, pihak penyedia jasa wajib menyampaikan kepada Bank laporan keuangan terkini yang telah diaudit setiap tahun dan laporan hasil pemeriksaan pihak independen terhadap fasilitas TI yang menjadi obyek perjanjian secara berkala; 104 q. tanggung jawab penyedia jasa TI dalam menyediakan sumber daya manusia yang memiliki kualifikasi dan kompetensi sesuai jasa yang disediakan sehingga terjaminnya operasional Bank; r. rencana pelatihan sumber daya manusia, baik jumlah yang dilatih, bentuk pelatihan maupun biaya yang diperlukan. Pihak penyedia jasa wajib melakukan transfer knowledge kepada Bank, sehingga terdapat personil satuan kerja Teknologi Informasi di Bank yang memahami TI yang digunakan Bank terutama alur proses TI dan struktur database dari sistem aplikasi yang disediakan oleh pihak penyedia jasa tersebut; s. kepemilikan dan hak cipta license; t. garansi bahwa penyedia jasa masih akan mendukung jasa yang diberikan kepada Bank selama periode tertentu setelah implementasi; u. pengakhiranpemutusan kontrak termasuk dalam hal atas permintaan Bank Indonesia; v. sanksi dan penalti terhadap alasan-alasan yang tidak jelas terhadap pembatalan kontrak dan pelanggaran isi kontrak; w. kepatuhan pada hukum dan ketentuan yang berlaku di Indonesia termasuk penyelesaian jika terjadi perselisihan.

10.3.3.2. Klausula Khusus