Apa kriteria kepatuhan atas PBI 9/15/PBI/2007?

JIka membaca PBI 9/15/PBI/2007 dan SE No. 30/DPNP (lebih khusus di lampiran SE-nya), ada 10 area utama yang akan direview untuk memastikan kepatuhan atas PBI:

  • Manajemen
  • Pengembangan dan pengadaan
  • Aktifitas operasional TI
  • Jaringan komunikasi
  • Pengamanan informasi
  • Business continuity plan
  • End user computing
  • Electronic banking
  • Audit intern teknologi informasi
  • Penggunaan pihak penyedia jasa TI

Kalau dilihat dari Lampiran tentang laporan apa saja yang harus diserahkan oleh Bank ke BI, menurut saya dapat ditarik secara high level bahwa kriteria kepatuhan atas PBI adalah:

  • Keberadaan dan jalannya struktur & peran tata kelola dalam manajemen risiko, yaitu:
    • Dewan Komisaris
    • Dewan Direksi
    • IT Steering Committee
    • Pejabat Bidang TI
    • Organisasi TI
  • Jalannya PROSES Manajemen Risiko TI, yaitu:
    • Keberadaan framework manajemen risiko (setiap bank akan punya framework sendiri-sendiri, sesuai dengan karakteristik bisnisnya. SE eksplisit mengatakan ini). Effort di domain ini harus serius dilakukan setiap bank, karena mensintesa framework yang sesuai dengan karakter bisnis dan manajemen bukan persoalan sederhana.
    • Jalannya siklus manajemen risiko: assessment, analisa dan mitigasi. Dokumentasi sebagai bukti jalannya proses ini harus disertakan.
  • Kecukupan kontrol dalam bentuk rencana, kebijakan dan prosedur (desain dan operasional), yaitu:
    • IT Strategic Plan
    • Kebijakan prosedur terkait dg pengembangan dan pengadaan
    • Kebijakan prosedur terkait dg Aktifitas operasional TI
    • Kebijakan prosedur terkait dg Jaringan komunikasi
    • Kebijakan prosedur terkait dg Pengamanan informasi
    • Kebijakan prosedur terkait dg Business continuity plan
    • Kebijakan prosedur terkait dg End user computing
    • Kebijakan prosedur terkait dg Electronic banking
    • Kebijakan prosedur terkait dg Audit intern teknologi informasi
    • Kebijakan prosedur terkait dg Penggunaan pihak penyedia jasa TI

Cara pandang di atas sebenarnya merujuk pada kriteria kepatuhan dalam rangka sertifikasi ISO 27000 (information security management system) atau ISO 20000 (IT Service Management). Intinya ada [1] struktur yang menjalankan proses, [2] jalannya proses dan [3] kontrol yang memadai.

Karena kata akhir status kepatuhan adalah haknya BI, jadi pihak auditor eksternal yang membantu auditor internal fitting-the-gap hanya bisa berpegang pada lingkup laporan yang harus disampaikan Bank ke BI. Dari situ pinter-pinternya kita saja membuat portofolio program yg paling efisien.

Mungkin kalau ada yg punya pendapat lain bisa sharing juga.

3 Responses to Apa kriteria kepatuhan atas PBI 9/15/PBI/2007?

  1. v3rdee says:

    wah bagus ne pak,, tapi saya minta maaf dulu kalo bapak berkunjung ke blog saya jangan sampe kaget soalnya database blog sara kemaren hancur gara otak atik script..

    btw soal artikel diatas, saya suka tu sama IT Risk Management, apa bapak sudah ada pedoman pelkasanaan nya, buat nambah ilmu saya soal risiko di bidang IT

    kalo ada saya minta di forwad ke emai saya v3rdee@yahoo.com

    terimakasi sebelumnya..

  2. RA Dominica says:

    Suatu langkah yang sangat baik dikeluarkannya PBI 9/15/PBI/2007.
    Selain dapat ter kontrol , terwujud standarisasi dan panduan kerja yang terarah.
    Menurut pengamatan saya oleh karena prosedur yang di rekomendasikan dalam PBI tsb mengacu kepada beberapa metodologi / standard internasional yang antara lain Cobit, PMBOK, ISO27000, ISO2000, BaselII dll. hal tersebut mengharuskan personil yang ditugaskan membuat prosedur tersebut sebelumnya harus sudah menguasai / memahami objective/konsep/flow dari pada metodologi metodologi tersebut , lalu kemudian memetakannya dan menurunkan nya menjadi butir butir work instruction yang akhirnya menjadi suatu daftar urutan prosedur kerja. Yang secara umum sudah mengacu/mendekati kepada metodologi/strandar internasional tsb. dan disesuaikan dengan environment yang ada. Keliatannya bukan hal mudah….

  3. kakangprabu says:

    IT risk management dapat diambil di NIST

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: