Manajemen Risiko Perbankan: Satu Alternatif

COMPLIANCE (kepatuhan) atas regulasi hanya salah satu driver dalam bisnis perbankan atau bisnis apa pun. Tapi kalau hanya compliance yang jadi driver, maka sungguh tidak menarik bisnis itu, karena dari hari ke hari kita hanya memenuhi tuntutan regulasi. Capek…. begitu kata orang. Beda dengan kalo kita punya driver untuk memanfaatkan sebuah opportunity bisnis yang lebih menantang, maka itu akan memberi motivasi lebih kuat, karena dibangkitkan dari internal diri atau perusahaan kita.

Dengan cara pandang seperti di atas, maka kalau sebuah bank memperbaiki pengelolaan risikonya hanya karena pengin mematuhi PBI No. 9/15/PBI/2007, selain capek psikologis juga tidak ada banyak nilai tambah yang akan dicapai. Sikap reaktif secara jangka panjang juga tidak akan menyehatkan kondisi manajemen TI. Pertanyaannya, kira-kira apa nilai tambah dari sebuah kepatuhan atas PBI No. 9/15/PBI/2007 dan bagaimana mencapainya?

Selain aspek kepatuhan, berikut ini adalah nilai tambah yang mungkin dapat dirasakan dengan memanfaatkan momentum PBI No. 9/15/PBI/2007:

  1. Manajemen risiko hanya satu domain dalam Tata Kelola TI (IT Governance), sehingga keberadaan tuntutan manajemen risiko TI adalah peluang untuk memperbaiki IT Governance secara keseluruhan: Strategic Alignment, Resource Management, Performance Measurement & Value Delivery.
  2. Kesempatan untuk menajamkan strategic aligment adalah kesempatan untuk menangkap kesempatan-kesempatan baru bisnis. Teknisnya, ini adalah kesempatan untuk melihat kembali Arsitektur TI kita apakah sudah mencerminkan strategi bisnis atau belum.
  3. Kesempatan untuk menajamkan value delivery juga merupakan refleksi kemungkinan untuk meningkatkan efisiensi investasi TI kita.

Menurut saya ada beberapa kriteria berikut yang bisa merefleksikan apakah strategi yang akan kita pakai bisa menciptakan nilai tambah selain kepatuhan:

  1. Apakah arsitektur TI dan rencana TI kita sesuai dengan kebutuhan bisnis?
  2. Apakah program tata kelola yang dimiliki/direncanakan mendukung realisasi dan operasional arsitektur TI dalam rangka dukungannya kepada kebutuhan bisnis?
  3. Apakah program tata kelola, terutama terkait langsung dengan IT Security, terintegrasi dengan implementasi arsitektur IT Security?

Berikut ini poin-poin strategi yang dapat dipertimbangkan untuk menciptakan nilai tambah lebih dari implementasi PBI No. 9/15/PBI/2007:

  1. Mandatory – Bank harus memiliki Framework Manajemen Risiko TI yang akan digunakan untuk melakukan assessment, menganalisa, mengukur dan memonitor risiko TI. Risk Register sebagai output akhir harus terjaga konsistensi pendekatannya, dan itulah gunanya ada framework. Keberadaan framework juga akan menjadi satu bahasa referensi antara orang TI, internal auditor, dan bahkan eksekutif.
  2. Mandatory – Bank harus memiliki program tata kelola IT Security, yang berisi kebijakan, standar dan prosedur yang memadai atas area-area security utama yang tercantum di PBI No. 9/15/PBI/2007.
  3. Mandatory – Bank harus memiliki struktur organisasi dan pembagian roles & responsbilities yang baik sehingga program tata kelola IT Security dapat dioperasionalkan secara normal, mulai level dewan komisaris, direksi, komite-komite, manajemen TI sampai dengan end-users.
  4. Suggested – Manajemen TI menyusun IT Security Architecture yang akan menjadi blueprint pengelolaan security di bank bersangkutan. Ini akan menjadi perekat dari program tata kelola IT Security, Operasional IT Security dan pengelolaan program IT Security (awareness, education, risk management, planning).
    • Satu poin spesial dalam Security Architecture adalah bagaimana kita mengelola pattern terkait dengan teknologi: infrastruktur dan aplikasi bisnis. Biasanya ini dikelompokkan dalam Technological Security Architecture.
    • Berbagai kebijakan dan standar harus terintegrasi dalam arsitektur teknologi, karena tidak mungkin mengelola security secara manual saat ini. Berbagai tool dan teknologi harus dipastikan selalu mengikuti dinamika perubahan tata kelola security. Inilah pentingnya IT Security Architecture.
  5. Suggested – Memperluas inisiatif pengembangan program tata kelola security menjadi inisiatif pengembangan Program Tata Kelola TI (IT Governance) dengan menggunakan rujukan standar atau best practice seperti ISO 20000 (ITSM), ISO 27000 (ISMS) atau COBIT. Pendekatan ini dalam jangka menengah-panjang akan membuat TI bank lebih adaptif di masa depan, selain memberikan competitive advantage dalam perspektif persaingan.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: