Prosiding Seminar Nasional Manajemen Teknologi XXII Program Studi MMT-ITS, Surabaya 24 Januari 2015
AUDIT TATA KELOLA TI BERBASIS MANAJEMEN RISIKO DENGAN MENGGUNAKAN PBI 9/15/2007 DAN COBIT 4.1 DI BANK X Bayu Endrasasana1) dan Hari Ginardi2) 1) Program Studi Magister Manajemen Teknologi, Institut Teknologi Sepuluh Nopember email:
[email protected] 2) Departemen Teknik Informatika, Institut Teknologi Sepuluh Nopember email:
[email protected]
ABSTRAK Guna meningkatkan layanan kepada nasabahnya, Bank dituntut untuk mengembangkan strategi bisnis agar tetap kompetitif, antara lain dengan memanfaatkan kemajuan Teknologi Informasi (TI). Penggunaan TI selain dapat meningkatkan kecepatan dan keakuratan transaksi serta layanan kepada nasabah, secara langsung juga meningkatkan risiko, antara lain risiko operasional dan risiko kepatuhan. Oleh karenanya Bank diharapkan memiliki manajemen risiko yang terpadu guna memitigasi potensi risiko yang melekat, melalui tata kelola TI berbasis manajemen risiko. Audit tata kelola TI berbasis risiko pada penelitian ini menggunakan 2 (dua) framework, yaitu Peraturan Bank Indonesia (PBI) Nomor 9/15/PBI/2007selaku framework wajib bagi perbankan di Indonesia dengan kombinasi COBIT 4.1 yang merupakan salah satu best practice framework tata kelola TI. Tujuan dari penelitian ini adalah memberikan rekomendasi bagi Bank untuk dapat mencapai tata kelola TI yang diharapkan, baik dalah hal kepatuhan dan kematangannya. Keluaran penelitian berupa risk assessment dan compliance review berdasarkan PBI 9/15/2007 serta maturity level assessment berdasarkan COBIT 4.1, yang selanjutnya di kompilasi menjadi rekomendasi bagi Bank. Dari penelitian ini didapatkan 41 temuan dan rekomendasi dalam 7 area pengendalian untuk dijalankan oleh Bank guna mencapai tingkat kepatuhan dan kematangan yang diharapkan, baik berupa rekomendasi terkait pedoman TI dan non pedoman TI. Kata kunci: Tata Kelola TI, Manajemen Risiko, Risk Assessment, Compliance Review, Maturity Level Assessment.
PENDAHULUAN Perkembangan teknologi informasi (TI) di berbagai sektor, terutama perbankan, sudah menjadi suatu hal tak terpisahkan dari tujuan bisnis. Hampir setiap rencana bisnis Bank yang disusun manajemen memerlukan dukungan TI. Begitu pentingnya peran TI dewasa ini sangat mempengaruhi kredibilitas Bank di mata nasabahnya. Hal tersebut menyebabkan pentingnya penerapan tata kelola TI (IT Governance), terutama di Bank yang telah memiliki struktur TI yang kompleks. Bank Indonesia telah menerbitkan panduan untuk penerapan IT Governance berdasarkan manajemen risiko melalui Peraturan Bank Indonesia (PBI) Nomor 9/15/PBI/2007 yang dijelaskan lebih lanjut melalui Surat Edaran Bank Indonesia (SEBI) Nomor 9/30/DPNP yang dapat dijadikan acuan untuk penerapan manajemen risiko di perbankan. Penerapan IT Governance di
ISBN: 978-602-70604-1-8 C-14-1
Prosiding Seminar Nasional Manajemen Teknologi XXII Program Studi MMT-ITS, Surabaya 24 Januari 2015
perbankan juga dapat dilakukan dengan menggunakan standar internasional COBIT 4.1. Tujuan dari penggunaan COBIT 4.1 pada assessment ini adalah untuk mengukur tingkat kematangan (maturity level) TI. Tata kelola TI merupakan tanggung jawab manajemen eksekutif dan jajaran direksi, terdiri dari unsur kepemimpinan, struktur organisasi dan beberapa proses yang memastikan TI perusahaan dapat mendukung serta memperluas strategi dan tujuan organisasi [1] [2]. Tata kelola TI dibutuhkan untuk mengatur penggunaan atau aktifitas TI serta guna memastikan kesesuaian kinerja TI dengan beberapa tujuan [4], yaitu keselaranan TI dengan perusahaan dan merealisasikan keuntungan-keuntungan yang dijanjikan dari penerapan TI; penggunaan TI yang memungkinkan perusahaan memanfaatkan kesempatan yang ada dan memaksimalkan keuntungan; penggunaan sumber daya TI yang bertanggung jawab; dan penanganan manajemen risiko yang terkait TI secara tepat. Permasalahan yang timbul dalam assessment di perbankan jika hanya menggunakan PBI 9/15/2007 adalah belum adanya aturan baku terkait cara pengukuran tingkat kematangan (maturity level). PBI 9/15/2007 lebih mengedepankan bagaimana Bank dapat mengelola potensi risiko yang ada, termasuk kemungkinan perbedaan penilaian tingkat risiko antar Bank dengan alasan kompleksitas bisnis Bank. Oleh karenanya tujuan dari studi ini adalah untuk memperlihatkan assessment tata kelola TI berbasis manajemen risiko dengan menggunakan PBI 9/15/2007 dan COBIT 4.1 di Bank X. Tujuan detil assessment dimaksud antara lain untuk mendapatkan risk assessment dan compliance review menggunakan PBI 9/15/2007 serta maturity level menggunakan COBIT 4.1 yang selanjutnya dikompilasi menjadi rekomendasi bagi Bank guna mendapatkan tingkat kepatuhan dan maturity level yang diharapkan. METODE Metodologi yang digunakan dalam IT Governance assessment berbasis manajemen risiko dengan menggunakan PBI 9/15/2007 dan COBIT 4.1 dapat digambarkan sebagai berikut:
Gambar 1. Metodologi IT Governance Assessment Berbasis Manajemen Risiko
ISBN: 978-602-70604-1-8 C-14-2
Prosiding Seminar Nasional Manajemen Teknologi XXII Program Studi MMT-ITS, Surabaya 24 Januari 2015
Gain Understanding Pada tahap ini, dilakukan pendekatan melalui kajian dokumen, wawancara dan observasi. Dilakukan pemahaman atas pedoman TI yang dimiliki Bank X saat ini, pemahaman proses bisnis, dan fungsi kerja terkait. Risk Assessment Menggunakan PBI 9/15/2007 Pada tahap ini, dilakukan assessment atas inherent risk dan residual risk. Adapun penilaian risiko dan penentuan risk level mengacu pada SEBI 9/30/DPNP, yaitu diukur melalui tingkat kecenderungan (likelihood) dan dampaknya (impact). Risk Assessment ini menggunakan metode kualitatif yaitu mengacu pada seringnya kejadian (likelihood) dan besarnya dampak (impact) sehingga menghasilkan matriks tingkat risiko 5 (lima) x 5 (lima). Peringkat pengukuran risiko didasarkan pada risk appetite (kesediaan untuk mengambil atau menerima risiko) dan risk tolerance (variasi dari tujuan yang dapat diterima). Tingkatan risiko terbagi menjadi Very High, High, Medium, Low, dan Very Low Compliance Review Menggunakan PBI 9/15/2007 Compliance review didasarkan pada statement SEBI 9/30/DPNP yang merupakan ketentuan pelaksanaan dari PBI 9/15/2007, dimana terdapat 10 (sepuluh) area pembahasan meliputi Manajemen, Pengembangan dan Pengadaan, Aktivitas Operasional Teknologi Informasi, Jaringan Komunikasi, Pengamanan Informasi, Business Continuity Plan, End User Computing, Electronic Banking, Audit Intern Teknologi Informasi dan Penggunaan Pihak Penyedia Jasa Teknologi Informasi. Terdapat 152 kontrol atau kendali yang ditetapkan dalam SEBI No. 9/30/DPNP. Tingkat kepatuhan diukur berdasarkan tingkat pemenuhan kendali yang telah diterapkan oleh Bank. Maturity Level Assessment Menggunakan COBIT 4.1 Maturity level assessment dilakukan menggunakan pendekatan maturity attribute terhadap 34 proses COBIT 4.1. Setiap atribut di atas menyediakan indikator atau parameter dalam memberikan nilai maturity yang dinyatakan dalam skala 0 sampai 5, untuk selanjutnya dihitung nilai rata-ratanya guna mendapatkan nilai maturity level setiap proses. Setelah memperoleh nilai rata-rata dari setiap proses COBIT, kemudian nilai-nilai tersebut dirata-ratakan untuk membentuk nilai maturity level untuk keseluruhan TI. Maturity level assessment dilakukan dengan melihat kondisi saat ini (as is) dan membandingkannya dengan target yang akan di capai (to be). Membandingkan Hasil Assessment PBI 9/15/2007 dan COBIT 4.1 Aktivitas selanjutnya setelah melakukan assessment menggunakan PBI 9/15/2007 dan COBIT 4.1 adalah membandingkan hasil assessment dimaksud, yang mana akan didapatkan beberapa irisan dari temuan yang menghasilkan rekomendasi. Rekomendasi tersebut harus dilaksanakan oleh Bank guna mencapai tingkat kepatuhan dan maturity level yang diharapkan.
ISBN: 978-602-70604-1-8 C-14-3
Prosiding Seminar Nasional Manajemen Teknologi XXII Program Studi MMT-ITS, Surabaya 24 Januari 2015
HASIL DAN PEMBAHASAN Hasil Risk Assessment Menggunakan PBI 9/15/2007 Terdapat 176 analisis kerawanan yang berada dalam 55 inherent risk terhadap 10 area PBI MRTI, dengan hasil risk assessment sebagai berikut.
Gambar 2. Hasil Risk Assessment PBI 9/15/2007 - Inherent Risk
Gambar 3. Hasil Risk Assessment PBI 9/15/2007 - Residual Risk
Gambar 4. Hasil Risk Assessment PBI 9/15/2007 - Residual Risk Dari data di atas, nampak inherent risk didominasi oleh risk level “high” sebesar 62% dan residual risk didominasi oleh risk level “medium” sebesar 71% dengan sisanya “high” sebesar 2% dan “low” sebesar 27%. Adapun target risk yang diharapkan hanya terdapat sekitar 4% untuk risk level “medium” dan sisanya 96% untuk risk level “low”.
ISBN: 978-602-70604-1-8 C-14-4
Prosiding Seminar Nasional Manajemen Teknologi XXII Program Studi MMT-ITS, Surabaya 24 Januari 2015
Hasil Compliance Review Menggunakan PBI 9/15/2007 Dalam compliance review, dilakukan penilaian atas pemenuhan kepatuhan Bank terhadap PBI 9/15/2007. Kesenjangan antara pengendalian manajemen risiko TI yang ada saat ini dengan ketentuan yang ditetapkan dalam PBI 9/15/2007 sebagai berikut. Tabel 1. Hasil Compliance Review berdasarkan PBI 9/15/2007
Gambar 5. PBI Compliance Review: Current vs Target Pada compliance review assessment, diperoleh tingkat kesenjangan paling tinggi pada area End User Computing (EUC) sebesar 100%, lalu diikuti area Jaringan Komunikasi sebesar 78%. Sedangkan tingkat kepatuhan paling tinggi pada area Audit Intern TI sebesar 100% yang diikuti area Penggunaan Pihak Penyedia Jasa TI sebesar 67%. Kepatuhan terkait BCP juga belum memadai dengan adanya gap sebesar 56%, yaitu risiko terkait pemulihan bisnis yang cukup tinggi dan belum terdapat koordinasi yang baik secara bank-wide. Maka dari itu kekurangan BCP dan DRP Bank merupakan prioritas bagi Divisi TI untuk ditindaklanjuti. Hasil Maturity Level Assessment menggunakan COBIT 4.1 Maturity level assessment dilakukan menggunakan maturity attributes dengan berdasarkan 6 (enam) atribut [1, p.20], sebagai berikut: Awareness and Communication (AC); Policies, Plans and Procedure (P3); Tools and Automation (TA); Skills and Expertise (SE); Responsibility and Accountability (RA); dan Goal Setting and Measurement (GM). Berdasarkan maturity level assessment yang dilakukan, diperoleh nilai maturity level tata kelola TI di Bank X sebesar 2.19. Adapun target maturity level yang ditetapkan oleh manajemen Bank X sebesar 3.00 dengan beberapa pertimbangan,
ISBN: 978-602-70604-1-8 C-14-5
Prosiding Seminar Nasional Manajemen Teknologi XXII Program Studi MMT-ITS, Surabaya 24 Januari 2015
antara lain target maturity level 3.00 cukup realistis dengan melihat kondisi Bank saat ini, disamping terdapat kesiapan Bank dalam melakukan improvement terhadap domain PO dan ME serta improvement di domain AI dan DS memiliki kompleksitas yang tinggi. Tabel 2. Current dan Target Maturity Level
Gambar 6. Maturity Level dengan Asumsi 34 Proses Mempunyai Target Maturity Level 3.00
Gambar 7. Maturity Level dengan Strategi Melihat Kondisi Bank
Rekomendasi hasil assessment PBI 9/15/2007 dan COBIT 4.1 Dari hasil assessment menggunakan PBI 9/15/2007 dan COBIT 4.1 di atas, didapatkan 41 temuan dan rekomendasi yang dapat dikelompokkan dalam 7 area pengendalian untuk dijalankan oleh Bank X guna mencapai tingkat kepatuhan dan maturity level yang diharapkan, baik berupa rekomendasi terkait pedoman TI dan non pedoman TI. Rekomendasi terkait pedoman TI a. Melengkapi dan mengesahkan kebijakan dan prosedur terkait proses-proses TI, guna selanjutnya dilakukan sosialisasi, monitoring dan evaluasi (pengukuran dan penilaian) atas pelaksanaannya. b. Menentukan pihak yang bertanggung jawab menjalankan proses TI. c. Melakukan review berkala dan update terhadap kebijakan dan prosedur TI. d. Melengkapi dokumentasi teknis pada proses-proses TI (contoh: terkait pengembangan dan pengadaan TI, serta operasional TI) Rekomendasi non pedoman TI 1. Policies, Plan, and Procedures, antara lain agar Divisi TI menentukan mekanisme review, mekanisme monitoring review dokumen, jadwal dan periode waktu untuk melakukan review dokumen Pedoman TI. 2. Awareness and Communication, antara lain agar Bank, khususnya Divisi TI menentukan fungsi yang bertugas memberikan sosialisasi Pedoman TI kepada seluruh staf TI secara berkala ISBN: 978-602-70604-1-8 C-14-6
Prosiding Seminar Nasional Manajemen Teknologi XXII Program Studi MMT-ITS, Surabaya 24 Januari 2015
3. Tools and Automation, antara lain agar Bank mengoptimalkan penggunaan portal internal sebagai tempat penyebaran informasi dan knowledge 4. Skills and Expertise, antara lain agar Divisi TI memiliki struktur organisasi yang dapat menampung SDM sesuai dengan kebutuhannya dan fungsi-fungsi untuk menjalankan proses TI sehari-hari 5. Responsibility and Accountability, antara lain agar dimasukkan klausul SLA pada setiap kontrak dengan penyedia jasa TI serta mekanisme monitoringnya 6. Goal Setting and Measurement, antara lain agar Bank, khususnya Divisi TI menentukan rencana kerja dan anggaran tahun berikutnya dengan mengacu kepada RBB dan ITSP, serta melakukan monitoring dalam realisasinya 7. Risk Assessment, antara lain agar Bank melakukan update terhadap risk register-nya KESIMPULAN DAN SARAN Telah dilakukan IT Governance assessment berbasis manajemen risiko dengan menggunakan PBI 9/15/2007 dan COBIT 4.1 yang digunakan dalam studi kasus di sektor perbankan. IT Governance assessment ini menghasilkan output berupa risk assessment dan compliance review berdasarkan PBI 9/15/2007 dan maturity level assessment berdasarkan COBIT 4.1, yang selanjutnya dikompilasi menjadi rekomendasi bagi Bank guna mendapatkan tingkat kepatuhan dan maturity level yang diharapkan, yang berupa rekomendasi terkait Pedoman TI dan non Pedoman TI. Untuk melengkapi penelitian serta sebagai komparasi, maka pendekatan menggunakan framework lain dapat dilakukan pada penelitian selanjutnya. Pendekatan menggunakan PBI 9/15/2007 sebagai mandatory framework perbankan di Indonesia dengan salah satu framework lainnya, misalnya COBIT 5, ISO27001, ITIL atau kombinasi diantara framework tersebut.
DAFTAR PUSTAKA 1.
IT Governance Institute (2007), COBIT 4.1: Framework, Control Objective, Management Guidelines, Maturity Models
2.
IT Governance Institute (2003), IT Governance Implementation Guide: “How do I use COBIT to implement IT governance?
3.
COBIT Steering Committee and the IT Governance Institute (2000), COBIT (3rd Edition) Management Guidelines, IT Governance Institute
4.
COBIT Steering Committee and the IT Governance Institute (2000), COBIT (3rd Edition) Implementation Tool Set, IT Governance Institute
5.
ISACA (2014), ITAF 3rd Edition, A Professional Practices Framework for IS Audit/Assurance
6.
Bank Indonesia (2003), Peraturan Bank Indonesia Nomor: 5/8/PBI/2003 tentang Penerapan Manajemen Risiko bagi Bank Umum
7.
Bank Indonesia (2007), Peraturan Bank Indonesia Nomor: 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
ISBN: 978-602-70604-1-8 C-14-7
Prosiding Seminar Nasional Manajemen Teknologi XXII Program Studi MMT-ITS, Surabaya 24 Januari 2015
8.
Bank Indonesia (2007), Surat Edaran Bank Indonesia Nomor: 9/30/DPNP perihal Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
9.
Kridanto, Sukendro (2009), Implementasi Tata Kelola Teknologi Informasi, Penerbit INFORMATIKA, Bandung
10. PT Bank X (Maret 2014), Laporan Tahunan tahun 2013 11. Setiawan, Reza (2009), Penyusunan Metoda Pengukuran Kinerja dan Penentuan Metrik Kinerja Teknologi Informasi pada Sektor Perbankan dengan IT Balanced Scorecard dan COBIT, Tesis, Institut Teknologi Bandung 12. David, Thomas (2008), Analisa Faktor-Faktor Pendukung Tata Kelola IT dan Pengukuran Value Governance Studi Kasus pada Bank XYZ (Persero), Tbk, Tesis, Universitas Indonesia, Jakarta
ISBN: 978-602-70604-1-8 C-14-8
