PBI 9/15/PBI/2007 mengadopsi FFIEC IT Examination Handbook?

Tahun lalu saya ada training tentang PBI ITRM ini. Pemahaman saya, PBI tentang ITRM untuk Bank Umum ini tidak akan terlalu jauh dari bagaimana Basel II menetapkan kriteria pengelolaan risiko operasional, karena risiko terkait TI merupakan bagian dari risiko operasional. Setelah pelajari berbagai publikasi tentang Basel, saya juga menemukan sekumpulan dokumen menarik tentang IT Examination Handbook. Serangkaian dokumen ini dirisilis oleh FFIEC (Federal Financial Institution Examinations Council), sebuah lembaga di US sono yang secara umum profilnya sbb:

The Council is a formal interagency body empowered to prescribe uniform principles, standards, and report forms for the federal examination of financial institutions by the Board of Governors of the Federal Reserve System (FRB), the Federal Deposit Insurance Corporation (FDIC), the National Credit Union Administration (NCUA), the Office of the Comptroller of the Currency (OCC), and the Office of Thrift Supervision (OTS), and to make recommendations to promote uniformity in the supervision of financial institutions. In 2006, the State Liaison Committee (SLC) was added to the Council as a voting member. The SLC includes representatives from the Conference of State Bank Supervisors (CSBS), the American Council of State Savings Supervisors (ACSSS), and the National Association of State Credit Union Supervisors (NASCUS).

Jadi tugas FFIEC ini menetapkan prinsip, standar dan form-form report, serta membuat rekomendasi untuk memastikan keseragaman dalam melaksanakan supervisi institusi keuangan di US sana. FFIEC ini mempublikasikan InfoBase yang berisi IT Booklet, Resources, Presentation dan Glossary yang ditujukan untuk menyediakan Just-In-Time Training untuk regulasi baru dan topik lain yang menjadi concern para auditor/penguji di lembaga berikut:

  • Federal Reserve Board
  • Federal Deposit Insurance Corporation
  • National Credit Union Administration
  • Office of Comptroller of the currency
  • Office of Thrift supervision

Berikut ini adalah link untuk infobase tersebut:

http://www.ffiec.gov/ffiecinfobase/index.html

Dan berikut ini adalah link untuk IT Booklet yang isinya merupakan IT Examination Handbook:

http://www.ffiec.gov/ffiecinfobase/html_pages/It_01.html

Nah, jika dibandingkan dengan dengan publikasi Surat Edaran BI yang menjelaskan lebih detail tentang PBI 9/15/PBI/2007 yaitu SE No. 30/DPNP maka kita akan mendapatkan kemiripan yang sangat antara IT Examination Handbook dengan SE No. 30/DPNP. SE No. 30/DPNP terdiri dari 10 bab, sedangkan IT Examination Handbook terdiri dari 10 dokumen. Yang tidak dirujuk dalam SE No. 30/DPNP hanya “Wholesale Payment System”.

Saya sudah sempat membandingkan konten masing-masing bab dalam SE No. 30/DPNP dan dokumen terkait dalam FFIEC IT Examination Handbook. TIdak persis sama, tetapi sangat mirip dan memang telah dimodifikasi.

Untuk regulasi sekelas PBI, saya membayangkan seharusnya BI juga merilis logbook yang akan menjelaskan kepada kita apa saja referensi yang digunakan, apa metodologi yang digunakan dan alasan-alasan apa saja yang digunakan untuk menyesuaikan berbagai referensi tadi dengan kebutuhan Indonesia, jika memang harus mengadopsi. Mungkin ini ada dan saya tidak tahu, tetapi ketika nyari-nyari ke website BI kok tidak ketemu ya? Mungkin ada yang tahu?

Dari beberapa seri training yang kami selenggarakan, ada banyak keluhan dari TI bank-bank khususnya bank menengah kecil tentang implementasi PBI ITRM ini. Pertanyaan paling dasar: tepatkan konstruksi regulasi ITRM untuk bank umum seperti PBI ini? Kalau kita bandingkan dengan ISO 27005 (Security Risk Management) maka kita dapat melihat perbedaan yang sangat mencolok dengan PBI ini.

ITRM menurut saya lebih ditekankan pada orientasi proses, apakah sebuah bank sudah menjalankan PROSES MANAJEMEN RISIKO TI? Karena profil risiko tiap bank bisa beda, proses manajemen risiko TI yang dijalankan bisa sama, tetapi konstruksi kontrol TI-nya bisa berbeda-beda.

PBI 9/15/PBI/2007, dengan format dokumen seperti itu, lebih cenderung membuat STANDARISASI KONTROL TI dibandingkan mendorong bank-bank umum menjalankan proses manajemen risiko TI-nya sendiri. Kalau memang ini benar terjadi, maka berbagai keluhan dari pihak perbankan sekarang ini tentang betapa berdarah-darahnya mereka yang harus mengimplementasikan PBI ITRM ini jadi masuk akal, karena lebih ke standarisasi kontrol dibandingkan dengan keberjalanan proses.

5 Responses to PBI 9/15/PBI/2007 mengadopsi FFIEC IT Examination Handbook?

  1. fitri pramita says:

    thanx bgt bwat infony…kebetulan lg nyusun skripsi ttg PBI ini..d tunggu postingan selanjutny..

  2. shandi says:

    Salam pak,
    ada 3 pertanyaan nih yang bikin penasaran 🙂

    1. manajemen risiko seperti apakah yang paling tepat ketika sebuah bank melakukan outsorucing untuk hampir sebagian besar IT Systemnya baik untuk aplikasi core business maupun data centernya?.

    2.saya bingung tentang pengelolaan risikonya karena tingkat kepemilikan terhadap aset tersebut ada di pihak outsourcing dan pengelolaan it risk management telah dilakukan oleh pihak out sourcing, dan jika ingin membuat it risk management sendiri apakah ditekankan pada mitigas risikonya saja?

    3. apakah bisa bank hanya mengandalkan it risk management yang telah dimiliki pihak outsourcing?. Jika tidap mengapa?.

    • abuazmar says:

      Salam Pak, maaf baru sempat balas:

      Pada prinsipnya menurut saya seperti ini pak:

      1. Walaupun dioutsource, maka pengelolaan risiko tetap tanggung jawab Bank. Karena tetap menjadi tanggung jawab Bank, maka Bank harus tetap memiliki kebijakan dan standar untuk layanan dan fasilitas yang dioutsource tersebut. Kebijakan dan standar ini baiknya merujuk kepada best practice dan standar internasional yang ada. MIsalnya gini. Bank Bapak mensyaratkan Service Provider untuk comply dengan kontrol yang ada, misalnya PBI, SS 509 (Singapore Standard untuk DRC Provider), TIA 942 (Standar untuk DC). Tapi Bank Bapak harus eksplisit menjelaskan ini di dalam kebijakan dan standar perusahaan. Service Provider harus comply dengan hal ini. Setelah kebijakan dan standar ditetapkan dan diimplementasikan dalam pemilihan Vendor, maka langkah praktis kedua adalah melakukan audit secara rutin kepada Service Provider itu: apa benar mereka comply atau hanya di depan pas tender saja?

      2. Karena itu kita tidak bisa menyandarkan sepenuhnya kepada ITRM Service Provider. Secara prinsip ini tidak sepenuhnya bisa dibenarkan, karena yg punya tanggung jawab kalo risiko benar-benar terjadi adalah tetap Bank.

      Semoga membantu Pak.

  3. tia says:

    Mas… inf yang bagus…
    btw Mas punya file PBI nya? boleh minta tkg kirimin gak Mas…? kebetulkan saya sdg menyusun tugas akhir dan sedang mencari dasar untuk analisis.. terima kasih…

  4. tia says:

    Mas… inf yang bagus…
    btw Mas punya file PBI nya? boleh minta tolong kirimin gak Mas…? kebetulkan saya sdg menyusun tugas akhir dan sedang mencari dasar untuk analisis.. terima kasih…

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: