Tahun lalu saya ada training tentang PBI ITRM ini. Pemahaman saya, PBI tentang ITRM untuk Bank Umum ini tidak akan terlalu jauh dari bagaimana Basel II menetapkan kriteria pengelolaan risiko operasional, karena risiko terkait TI merupakan bagian dari risiko operasional. Setelah pelajari berbagai publikasi tentang Basel, saya juga menemukan sekumpulan dokumen menarik tentang IT Examination Handbook. Serangkaian dokumen ini dirisilis oleh FFIEC (Federal Financial Institution Examinations Council), sebuah lembaga di US sono yang secara umum profilnya sbb:
The Council is a formal interagency body empowered to prescribe uniform principles, standards, and report forms for the federal examination of financial institutions by the Board of Governors of the Federal Reserve System (FRB), the Federal Deposit Insurance Corporation (FDIC), the National Credit Union Administration (NCUA), the Office of the Comptroller of the Currency (OCC), and the Office of Thrift Supervision (OTS), and to make recommendations to promote uniformity in the supervision of financial institutions. In 2006, the State Liaison Committee (SLC) was added to the Council as a voting member. The SLC includes representatives from the Conference of State Bank Supervisors (CSBS), the American Council of State Savings Supervisors (ACSSS), and the National Association of State Credit Union Supervisors (NASCUS).
Jadi tugas FFIEC ini menetapkan prinsip, standar dan form-form report, serta membuat rekomendasi untuk memastikan keseragaman dalam melaksanakan supervisi institusi keuangan di US sana. FFIEC ini mempublikasikan InfoBase yang berisi IT Booklet, Resources, Presentation dan Glossary yang ditujukan untuk menyediakan Just-In-Time Training untuk regulasi baru dan topik lain yang menjadi concern para auditor/penguji di lembaga berikut:
- Federal Reserve Board
- Federal Deposit Insurance Corporation
- National Credit Union Administration
- Office of Comptroller of the currency
- Office of Thrift supervision
Berikut ini adalah link untuk infobase tersebut:
http://www.ffiec.gov/ffiecinfobase/index.html
Dan berikut ini adalah link untuk IT Booklet yang isinya merupakan IT Examination Handbook:
http://www.ffiec.gov/ffiecinfobase/html_pages/It_01.html
Nah, jika dibandingkan dengan dengan publikasi Surat Edaran BI yang menjelaskan lebih detail tentang PBI 9/15/PBI/2007 yaitu SE No. 30/DPNP maka kita akan mendapatkan kemiripan yang sangat antara IT Examination Handbook dengan SE No. 30/DPNP. SE No. 30/DPNP terdiri dari 10 bab, sedangkan IT Examination Handbook terdiri dari 10 dokumen. Yang tidak dirujuk dalam SE No. 30/DPNP hanya “Wholesale Payment System”.
Saya sudah sempat membandingkan konten masing-masing bab dalam SE No. 30/DPNP dan dokumen terkait dalam FFIEC IT Examination Handbook. TIdak persis sama, tetapi sangat mirip dan memang telah dimodifikasi.
Untuk regulasi sekelas PBI, saya membayangkan seharusnya BI juga merilis logbook yang akan menjelaskan kepada kita apa saja referensi yang digunakan, apa metodologi yang digunakan dan alasan-alasan apa saja yang digunakan untuk menyesuaikan berbagai referensi tadi dengan kebutuhan Indonesia, jika memang harus mengadopsi. Mungkin ini ada dan saya tidak tahu, tetapi ketika nyari-nyari ke website BI kok tidak ketemu ya? Mungkin ada yang tahu?
Dari beberapa seri training yang kami selenggarakan, ada banyak keluhan dari TI bank-bank khususnya bank menengah kecil tentang implementasi PBI ITRM ini. Pertanyaan paling dasar: tepatkan konstruksi regulasi ITRM untuk bank umum seperti PBI ini? Kalau kita bandingkan dengan ISO 27005 (Security Risk Management) maka kita dapat melihat perbedaan yang sangat mencolok dengan PBI ini.
ITRM menurut saya lebih ditekankan pada orientasi proses, apakah sebuah bank sudah menjalankan PROSES MANAJEMEN RISIKO TI? Karena profil risiko tiap bank bisa beda, proses manajemen risiko TI yang dijalankan bisa sama, tetapi konstruksi kontrol TI-nya bisa berbeda-beda.
PBI 9/15/PBI/2007, dengan format dokumen seperti itu, lebih cenderung membuat STANDARISASI KONTROL TI dibandingkan mendorong bank-bank umum menjalankan proses manajemen risiko TI-nya sendiri. Kalau memang ini benar terjadi, maka berbagai keluhan dari pihak perbankan sekarang ini tentang betapa berdarah-darahnya mereka yang harus mengimplementasikan PBI ITRM ini jadi masuk akal, karena lebih ke standarisasi kontrol dibandingkan dengan keberjalanan proses.