PBI No. 9/15/PBI/2007 : Manajemen Risiko TI Bank Umum

BI mengeluarkan peraturan terbaru mengenai Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum, melalui PBI No. 9/15/PBI/2007. Dalam konteks Basel II, risiko TI merupakan bagian dari risiko operasional di perbankan. Semakin strategis dan kritikalnya penggunaan TI, maka risiko TI dapat dikatakan sebagai penyumbang terbesar risiko TI operasional sebuah bank.

Apa isi PBI No. 9/15/PBI/2007?

Berikut ini resume sedikit tentangnya:

  1. Lingkup Manajemen Risiko TI (Pasal 2) setidaknya mencakup hal berikut:
    • pengawasan aktif dewan Komisaris dan Direksi;
    • kecukupan kebijakan dan prosedur penggunaan Teknologi Informasi;
    • kecukupan proses identifikasi, pengukuran, pemantauan danpengendalian risiko penggunaan Teknologi Informasi; dan
    • sistem pengendalian intern atas penggunaan Teknologi Informasi.
  2. Kebijakan dan prosedur penggunaan TI setidaknya mencakup area kunci berikut:
    • Manajemen;
    • Pengembangan dan pengadaan;
    • Operasional Teknologi Informasi;
    • Jaringan komunikasi;
    • Pengamanan informasi;
    • Business Continuity Plan;
    • End user computing;
    • Electronic Banking; dan
    • Penggunaan pihak penyedia jasa Teknologi Informasi.
  3. Kewajiban untuk memiliki IT Strategic Plan
  4. Keberadaan Framework Manajemen Risiko TI yang akan digunakan sebagai tool untuk menilai, mengukur dan memonitor keberadaan risiko-risiko TI. PBI memberikan kerangkanya, jadi setiap Bank harus mengembangkan framework sesuai dengan kebutuhannya.
  5. Kewajiban melaporkan aktifitas manajemen risiko yang telah dilakukan oleh Bank ke BI secara reguler. Beberapa form pelaporan telah diberikan di peraturan ini.

Untuk memahami PBI secara tuntas, kita perlu membaca 2 dokumen berikut ini:

  1. Peraturan BI No. 9/15/PBI/2007 dan penjelasannya
  2. Surat Edaran BI No. No. 9/30/DPNP tentang manajemen risiko TI

Dan yang menarik: peraturan ini berlaku efektif 31 Maret 2008 !!

Saya coba upload semuanya di sini, biar tak perlu nyari lagi ke website BI.

  1. Peraturan BI No. 9/15/PBI/2007
  2. Peraturan BI No. 9/15/PBI/2007 – Penjelasan
  3. Surat Edaran BI No. No. 9/30/DPNP
  4. Surat Edaran BI No. No. 9/30/DPNP (penjelasan)

Posting selanjutnya semoga bisa membahas sekilas tentang bagaimana pendekatan yang dapat dilakukan sebuah bank untuk mengimplementasikan Manajemen Risiko TI tersebut: pendekatan, referensi, added-value lain yang bisa di-create.

8 Responses to PBI No. 9/15/PBI/2007 : Manajemen Risiko TI Bank Umum

  1. v3rdee says:

    Yup di tunggu post nya???
    tapi kapan pak soalnya kalo yang itu sayah dah tau…
    cuma sawa masi awam tentang manajemen risiko…
    ga pernah belajar tuh di sekolahan….

  2. edy says:

    Selamat malam pak.
    saya ingin minta tolong, tentang penjabaran Operasional tekhnologi Informasi?
    1. Penetapan kebijakan Operasional DC dan DRC
    2. Penetapan kebijakan perencanaan kapasitas HW dan SW
    3. Penetapan kebijakan pengelolaan konfigurasi HW dan SW
    4. Penetapan kebijakan fungsi library
    5. Penetapan kebijakan penghapusan HW dan SW

    Jaringan Komunikasi
    1. Pengukuran kerja dan perencanaan kapasitas jaringan
    2. Change dan Network Management
    3. Tersedianya prosedur Back up dan Recovery
    4. Tersedianya prosedur penangganan masalah

    Pengamanan Informasi
    1. Prosedur pengelolaan aset
    2. Prosedur pengelollan SDM
    3. Prosedur pengamanan logik
    4. Prosedur penangganan operasi TI

    Business Contiunity Plan
    1. Penetapan prosedur tanggap darurat
    2. Business Impact Analiys
    3. Prosedur pemulihan sistem dan bisnis
    4. Prosedur dan ruang lingkup pengujian

    End User Computing
    1. Adanya prosedur pengembangan EUC

    Electronic Banking
    1. Memperhatikan prinsip – prinsip pengamanan

    Penggunaan Pihak Penyedia Jasa Teknologi Informasi
    1. Penetapan standar prosedur pemilihan penyedia jasa
    2. Evaluasi resiko dan dampak pengunaan jasa bank lain
    3. standar sistem pengaman, akurasi, dan integritas yang harus dipenuhi oleh penyedia jasa

    Alhamdulillah

    Akhirnya pertanyaan saya selesai

    Pak saya mintya tolong dijawab dengan segera, atau saya bisa browsing ke situs mana saja? agar pertanyaan saya ini terjawab

    Terima Kasih Pak

  3. v3rdee says:

    hahah mas edy minta ya satu-satu. jadi terbengkalaikan blognya nanti

  4. Iman says:

    Selamat Pagi pak…

    Saya mau tanya :
    1. Apakah berhak seorang kepala divisi atau direksi menggunakan user security/power user ?, kalo tidak sebaiknya setingkat apa yang berwenang menggunakan power user..?
    2. Apakah pernah ada kejadian (fraud) jika power user digunakan oleh kepala divisi..?
    3. Mekanisme seperti apa dalam penetapan power user yang benar..?

    – Terima kasih –

    • abuazmar says:

      Halo Mas Iman,

      Sorry baru sempet menuliskan replynya.

      Menurut saya sih aspek paling penting yang tetap harus dipenuhi adalah adanya authorization control harus mencerminkan segregation of duties (SOD). Kita butuh authorization untuk meminimalkan risiko seperti fraud, baik yang dilakukan oleh user biasa atau pihak yang mempunyai kedudukan tinggi.

      Karena itu:

      1. Saya tidak sepakat seorang bos bisa punya authorization setingkat power user, misalnya di sebuah business application. Ini melanggar SOD. Apa gunanya anak buahnya kalau gitu? Risiko fraudnya besar.

      2. Saya pernah ngaudit sebuah implementasi SAP di satu perusahaan. Walaupun bukan level power user, tetapi kepala unit bisnis ini passwordnya disharing ke seluruh pegawainya dan disetting bisa melakukan apa pun di lingkup proses bisnis di dalamnya. Nah, ini contoh buruk, karena kalau terjadi fraud maka secara legal yg kena yg si bos tadi karena audit trail hanya memperlihatkan hanya account dia yg aktif melakukan transaksi.

      3. Sebenarnya saya tidak setuju ada authorization setingkat power user untuk sebuah business application. Kalaulah ada previlege admin, paling pol dia hanya menentukan user management, tidak boleh punya otorisasi proses bisnis yang memungkinkan dia bermain nakal. Harus dibedakan konteksnya ini dengan power user yg sering kita temui di level Operating System.

      • Dh4n4 says:

        Mengenai hal ini, pernah kejadian di tempat saya … dan memakan korban DivHead saya, eventhough penggunaan dari user itu adalah untuk merelease printer yang terhambat di seluruh cabang supaya operasional cabang tidak terganggu tetapi event itu dipakai untuk melengserkan

  5. shandi says:

    Salam pak,
    ada 3 pertanyaan nih yang bikin penasaran 🙂

    1. manajemen risiko seperti apakah yang paling tepat ketika sebuah bank melakukan outsorucing untuk hampir sebagian besar IT Systemnya baik untuk aplikasi core business maupun data centernya?.

    2.saya bingung tentang pengelolaan risikonya karena tingkat kepemilikan terhadap aset tersebut ada di pihak outsourcing dan pengelolaan it risk management telah dilakukan oleh pihak out sourcing, dan jika ingin membuat it risk management sendiri apakah ditekankan pada mitigas risikonya saja?

    3. apakah bisa bank hanya mengandalkan it risk management yang telah dimiliki pihak outsourcing?. Jika tidap mengapa?.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: