BAB 2 LANDASAN TEORI
2.1 Perbankan 2.1.1 Sejarah Perbankan Kata bank berasal dari bahasa Italia banca atau uang. Biasanya bank menghasilkan untung dari biaya transaksi atas jasa yang diberikan dan bunga dari pinjaman. Kira-kira tahun 2000 sM di Babylonia telah dikenal semacam bank. Bank ini meminjamkan emas dan perak dengan tingkat bunga 20% setiap bulan dan dikenal sebagai Temples of Babylon. Sesudah jaman Babylon, tahun 500 sM menyusul di Yunani didirikan semacam bank, dikenal sebagai Greek Temple, yang menerima simpanan dengan memungut biaya penyimpanannya serta meminjamkan kembali kepada masyarakat. Pada saat itulah muncul bankir-bankir swasta pertama, operasinya meliputi penukaran uang dan segala macam kegiatan bank. Lembaga perbankan di Yunani timbul pada tahun 560 sM. Sejarah dikenalnya perbankan dimulai dari jasa penukaran uang, sekarang dikenal dengan nama Pedagang Valuta Asing (Money Changer). Kemudian dalam perkembangan selanjutnya, kegiatan operasional perbankan berkembang lagi menjadi tempat penitipan uang atau simpanan. Berikutnya kegiatan perbankan bertambah dengan kegiatan peminjaman uang. Uang yang disimpan oleh masyarakat, oleh perbankan dipinjamkan kembali kepada masyarakat yang membutuhkannya. Jasa-jasa bank lainnya menyusul sesuai dengan perkembangan zaman dan kebutuhan masyarakat yang semakin beragam.
7
8 2.1.2 Pengertian Perbankan Perbankan adalah segala sesuatu yang berkaitan dengan bank, mencakup kelembagaan, kegiatan usaha, serta cara dan proses dalam melaksanakan kegiatan usahanya. Perbankan Indonesia dalam menjalankan fungsinya berasaskan demokrasi ekonomi dan menggunakan prinsip kehati-hatian (Rully Anthony, 2008).
2.1.3 Pengertian Bank dan Lembaga Keuangan Bank adalah badan usaha yang menghimpun dana dari masyarakat dalam bentuk simpanan dan menyalurkannya kepada masyarakat dalam bentuk kredit dan atau bentukbentuk lainnya dalam rangka meningkatkan taraf hidup rakyat banyak (PBI, 2000). Sedangkan lembaga keuangan menurut Undang-Undang Nomor 14 ialah semua badan yang melalui kegiatan-kegiatannya di bidang keuangan, menarik uang dari dan menyalurkannya ke dalam masyarakat. Dilihat dari fungsinya, berbagai macam definisi tentang bank itu dapat dikelompokkan menjadi dua, yakni: 1. Bank dilihat sebagai penerima kredit Dalam pengertian pertama ini bank menerima uang serta dana-dana lainnya dari masyarakat dalam bentuk: a. Simpanan atau tabungan biasa yang dapat diminta/diambil kembali setiap saat. b. Deposito
berjangka,
yang
merupakan
tabungan
atau
simpanan
yang
pernarikannya kembali hanya dapat dilakukan setelah jangka waktu yang ditentukan habis. c. Simpanan dalam rekening koran/giro atas nama si penyimpan giro, yang penarikannya hanya dapat dilakukan dengan menggunakan cek, bilyet giro, atau perintah tertulis kepada bank.
9 Pengertian pertama ini mencerminkan bahwa bank melaksanakan operasi perkreditan secara pasif dengan menghimpun uang dari pihak ketiga. 2. Bank dilihat sebagai pemberi kredit Ini berarti bahwa bank melaksanakan operasi perkreditan secara aktif. Jadi, fungsi bank terutama dilihat sebagai pemberi kredit, tanpa mempermasalahkan apakah kredit itu berasal dari deposito atau tabungan yang diterimanya atau bersumber ada penciptaan kredit yang dilakukan oleh bank itu sendiri. Bank dilihat sebagai pemberi kredit bagi masyarakat melalui sumber yang berasal dari modal sendiri, simpanan/tabungan masyarakat maupun melalui penciptaan uang bank.
2.1.4 Tujuan Perbankan Tujuan perbankan adalah menjadi penghimpun dan penyalur dana masyarakat serta bertujuan untuk menunjang pelaksanaan pembangunan nasional dalam rangka meningkatkan pemerataan pembangunan dan hasil-hasilnya, pertumbuhan ekonomi dan stabilitas nasional, kearah peningkatan taraf hidup rakyat banyak. Perbankan memiliki kedudukan yang strategis, yakni sebagai penunjang kelancaran sistem pembayaran, pelaksanaan kebijakan moneter dan pencapaian stabilitas sistem keuangan, sehingga diperlukan perbankan yang sehat, transparan dan dapat dipertanggungjawabkan (Djojosoedarjo, 2000).
10 2.1.5 Jenis-Jenis Bank Jenis-jenis bank (Rully Anthony,2008): A. Berdasarkan Fungsinya 1. Bank Sentral yaitu Bank Indonesia, bank yang bertugas mengatur kebijakan dalam bidang keuangan (moneter) dan pertumbuhan perekonomian di Indonesia. 2. Bank Umum, bank yang dapat memberikan jasa dalam lau lintas pembayaran Bank Perkreditan Rakyat. 3. Bank Perkreditan Rakyat, bank yang dapat menerima simpanan hanya dalam bentuk deposito berjangka, tabungan, atau bentuk yang lainnya. 4. Bank Umum, khusus untuk melaksanakan kegiatan tertentu yaitu melaksanakan kegiatan pembiayaan jangka panjang, pembiayaan untuk mengembangkan koperasi, pengembangan pengusaha golongan ekonomi lemah/pengusaha kecil, pengembangan ekspor non migas, pembangunan perumahan. B. Berdasarkan Kepemilikannya 1. Bank Umum Milik Negara, bank yang hanya dapat didirikan berdasarkan Undang Undang. 2. Bank Umum Swasta, bank yang didirikan dan menjalankan usaha oleh golongan pengusaha tertentu setelah mendapatkan izin dari Menteri Keuangan. 3. Bank Campuran, bank yang didirikan bersama-sama oleh satu atau lebih bank umum yang berkedudukan di Indonesia dan didirikan oleh WNI atau Badan Hukum Indonesia dengan satu atau lebih yang berkedudukan di Luar Negeri. 4. Bank Pembangunan Daerah, bank yang dimiliki oleh Pemerintah Daerah.
11 5. Bank yang bersifat khusus, bank yang menerapkan sistem dan operasi perbankan berdasarkan Syariah Islam. Contoh dari bank yang bersifat khusus yaitu Bank Muamalat Indonesia.
2.2 Pengertian Teknologi Informasi Menurut O’Brein (2005, p.704), Teknologi Informasi adalah hardware, software, telekomunikasi, manajemen database, dan teknologi pemrosesan informasi lainnya yang digunakan dalam sistem informasi berbasis komputer. Dapat disimpulkan bahwa Teknologi Informasi merupakan suatu alat yang dapat menerima, memproses, menyimpan dan mengeluarkan hasil digital yakni dari bagian-bagian pembangunan yang digunakan untuk membuat sistem informasi. Teknologi informasi didefinisikan sebagai suatu teknologi yang berhubungan dengan pengolahan data menjadi informasi dan proses penyaluran data atau informasi tersebut dibatasi oleh ruang dan waktu (Indrajit,p.2). Keandalan suatu sistem informasi dalam perusahaan atau organisasi terletak pada keterkaitannya antar komponen yang ada, sehingga dapat dihasilkan dan dialirkan informasi yang berguna (akurat, terpercaya, detail, cepat dan relevan).
12
Gambar 2.1 Ruang Lingkup Teknologi Informasi (Sumber: Indrajit,2002)
2.2.1 Aset Teknologi Informasi (IT Asset) i.
Pengertian Aset Teknologi Informasi Aset tekonologi informasi merupakan barang yang dinilai oleh suatu perusahaan atau organisasi yang dapat memberikan manfaat pada kegiatan operasional pada perusahaan, yang berwujud maupun yang tidak berwujud dan dijadikan sebagai modal perusahaan atau organisasi (Rully Anthony, 2008).
ii.
Jenis-jenis Aset Teknologi Informasi Jenis-jenis aset teknologi informasi dilihat dari segi manfaat (benefits) yang dirasakan, Information Technology Asset terbagi atas:
13 a. IT Asset Tangible adalah aset pada perusahaan yang bermanfaat bagi perusahaan atau user yang secara nyata dapat langsung diaplikasikan untuk keuntungan pribadi maupun bersama. Contoh dari IT Assets Tangible: hardware, database, server, komputer. b. IT Assets Intangible adalah aset pada perusahaan yang bermanfaat bagi perusahaan maupun bagi user yang secara tidak nyata dapat diperoleh manfaatnya. Contoh dari IT Assets Intangible: software aplikasi, program aplikasi, security program, license software.
2.2.2 Pengertian Hardware Menurut O’Brein (2005, p.702), Hardware adalah: 1.
Mesin dan media.
2.
Perlengkapan fisik, kebalikan dari program komputer atau metode penggunaan.
3.
Peralatan mekanis, magnetis, elektrik, elektronik, atau optikal.
Disimpulkan bahwa hardware adalah peralatan fisik yang membentuk suatu sistem komputer dan segala perlengkapan yang berhubungan dengannya.
2.2.3 Software i. Pengertian Software Menurut O’Brein (2005, p.713), Software adalah program dan prosedur komputer yang berkaitan dengan operasi sistem informasi. Disimpulkan bahwa Software merupakan sebuah kumpulan rinci intruksi-intruksi yang mengontrol sebuah komputer atau jaringan komunikasi.
14 ii. Jenis-jenis Software Software terbagi menjadi 2 yaitu: a. System Software adalah sebuah kumpulan rinci instruksi komputer yang dapat digunakan untuk membentuk tugas terkait serta memproduksi hasil yang terkait. Menurut O’Brein (2005, p.715) system software merupakan program yang mengendalikan dan mendukung berbagai operasi sistem komputer, Software sistem meliputi berbagai jenis program, seperti sistem operasi, DBMS, program layanan dan utilitas. b. Application Software adalah suatu program atau kombinasi dari beberapa program yang dibuat untuk kegunaan khusus. Macam-macam application software: 1. Commercial software, software yang sudah disahkan dan dilindungi oleh hukum, memiliki lisensi dan harus dibayar. 2. Public-domain software, software yang tidak disahkan oleh hukum dan tidak memiliki lisensi. 3. Shareware, software yang disahkan dan secara gratis tetapi menuntut sebuah upah dalam pemakaian yang berkelanjutan. 4. Freeware, software yang sudah disahkan, dan diberi serta dapat dipakai secara gratis tanpa menuntut prasyarat maupun hal lainnya. 5. Rentalware, software yang sudah disahkan, dan disewakan. 6. Pirated software, software obtained illegally. 7. Abandonware, software yang tidak dijual dalam jangka waktu yang lama atau didukung oleh yang mengiklankan (publisher).
15 2.2.4 Pengertian Sistem Menurut O’Brein (2005, p.714), sistem adalah: 1. Sekelompok elemen yang saling berhubungan dan membentuk kesatuan. 2. Sekelompok komponen yang bekerja bersama menuju tujuan yang bersama dengan menerima input serta menghasilkan output dalam proses transformasi yang teratur. 3. Perakitan metode, prosedur, atau teknik yang disatukan oleh interaksi teregulasi untuk membentuk kesatuan organisasi. 4. Sekumpulan orang, mesin, dan metode yang teratur dan yang dibutuhkan untuk menyelesaikan serangkaian fungsi tertentu.
2.2.5 Pengertian Informasi Menurut O’Brien (2006, p.703), informasi adalah data yang ditempatkan dalam konteks yang berarti dan berguna untuk pemakai akhir (end user). Adapun menurut PBI (2007, p.53), informasi adalah aset yang sangat penting bagi Bank, baik informasi yang terkait dengan nasabah, keuangan, laporan maupun informasi lainnya.
2.2.6 Pengertian Sistem Informasi Menurut Laudaon dan Laudon (2006, p.7), sistem informasi adalah sekumpulan komponen yang saling berhubungan yang bekerja sama untuk mengumpulkan, memproses, menyimpan, dan mendistribusikan informasi sehingga dapat membantu manajer mengambil keputusan dalam pengkoordinasian, pengontrolan, penganalisaan, penanggulangan masalah dalam suatu organisasi. Dari definisi tersebut, dapat disimpulkan bahwa sistem informasi merupakan suatu rangkaian komponen yang saling
16 berhubungan dimana data dikumpulkan dan diolah menjadi suatu informasi yang dapat memenuhi kebutuhan para pemakai (baik bank maupun nasabahnya).
2.2.7 Pengertian SDLC (System Developement Life Cycle) Pengembangan Sistem Life Cycle (SDLC) adalah proses logis yang digunakan oleh sistem analis untuk mengembangkan sebuah sistem informasi, termasuk persyaratan, validasi, pelatihan, dan kepemilikan (Wikipedia, 2008). Tahap-tahap siklus hidup pengembangan SDLC (Diah, 2008), fase utamanya adalah: 1. Perencanaan: (Mengapa Mengembangkan Sistem ?) a. Mengidentifikasikan Nilai Bisnis b. Analisis Kelayakan c. Membuat Rencana Kerja d. Mengatur Staf e. Mengontrol dan Mengarahkan Projek 2. Analisis: (Siapa, apa, kapan dan dimana sistem ?) a. Mencari informasi yang terkait dengan sistem b. Menentukan model proses c. Menentukan model data 3. Perancangan: (Bagaimana kerja sistem?) a. Perancangan Proses secara Fisik b. Perancangan Arsitektur Sistem c. Perancangan Interface d. Perancangan Basis Data dan Berkas e. Perancangan Program
17 4. Implementasi: (Bagaimana Sistem Dipasang/Perencanaan: /diinstal?) a. Construction b. Instalation
2.2.8 Pengertian Jaringan Menurut O’Brein (2005, p.708), Jaringan merupakan sistem yang saling terhubung dari berbagai komputer, terminal, dan saluran serta peralatan komunikasi. Network atau jaringan berdasarkan pendapat Anton et al. (2001, p.2), dalam bidang komputer dapat diartikan sebagi dua atau lebih komputer yang dihubungkan sehingga dapat berhubungan dan dapat berkomunikasi, sehingga akan menimbulkan suatu efisiensi, sentralisasi dan optimasi kerja. Pada jaringan komputer yang dikomunikasikan adalah data, satu komputer dapat berhubungan dengan komputer lain dan saling berkomunikasi (salah satunya bertukar data) tanpa harus membawa media penyimpanan (storage) ke satu komputer ke komputer lainnya seperti yang biasa kita lakukan.
2.2.9 Pengertian LAN (Local Area Nework) Local Area Network merupakan salah satu arsitektur jaringan yang paling sederhana dan dapat dikembangkan menjadi arsitektur jaringan yang lebih luas cakupannya. Layanan-layanan yang dapat diberikan LAN adalah penggunaan file bersama (file sharing) atau juga penggunaan printer bersama (printer sharing). LAN digunakan biasanya dalam perusahaan dan menggunakan satu server untuk melayani kebutuhan klienya, tetapi tidak menutup kemungkinan untuk menggunakan lebih dari satu server, tergantung kebutuhan dari klien itu sendiri (Raharja, 2001).
18 2.2.10 Pengertian WAN (Wide Area Network) Wide Area Network merupakan gabungan dari LAN, yang ruang lingkupnya dapat saja satu lokasi, misalnya gedung bertingkat, atau dapat tersebar di beberapa lokasi di seluruh dunia, jaringan jenis ini membutuhkan minimal satu server untuk setiap LAN, dan membutuhkan minimal dua server yang mempunyai lokasi yang berbeda untuk membentuknya (Wikipedia, 2008).
2.2.11 Pengertian Router Pengertian router menurut PBI (2007, p.125) adalah peralatan jaringan yang meneruskan suatu paket data/informasi dan memilih rute terbaik untuk ditempuh untuk menyampaikan data/informasi tersebut.
2.2.12 Pengertian Switch Pengertian swicth menurut PBI (2007, p.176) adalah peralatan dalam jaringan yang meneruskan paket informasi kepada address atau peralatan yang dituju.
2.2.13 Pengertian Firewall Pengertian firewall menurut PBI (2007, p.120) adalah peralatan untuk menjaga keamanan jaringan yang melakukan pengawasan dan penyeleksian atas lalu lintas data/informasi melalui jaringan serta memisahkan jaringan privat dan publik. Peralatan ini dapat digunakan untuk melindungi komputer yang telah dikoneksikan dengan jaringan dari serangan yang dapat mengkompromikan komputer internal yang dapat menyebabkan data corruption dan atau denial of service bagi pengguna yang diotorisasikan.
19 2.2.14 Pengertian Data Center Pengertian data center menurut PBI (2007, p.120) adalah fasilitas utama pemrosesan data Bank yang terdiri dari perangkat keras dan perangkat lunak untuk mendukung kegiatan operasional Bank secara berkesinambungan.
2.2.15 Pengertian Down Time Pengertian down time menurut PBI (2007, p.119) adalah lamanya sistem tidak dapat berfungsi dan digunakan oleh pengguna karena adanya gangguan hardware, software dan komunikasi.
2.2.16 Pengertian Grounding Pengertian grounding adalah pembatasan dalam menangani produk elektronik yang mudah terbakar atau sensitif terkena lantai atau air (Wikipedia, 2008).
2.2.17 Pengertian Virus Pengertian virus adalah program yang bersifat merusak dan akan aktif dengan bantuan orang (dieksekusi), dan tidak dapat mereplikasi sendiri, penyebarannya karena dilakukan oleh orang, seperti copy, biasanya melalui attachement e-mail, game, program bajakan dan lain-lain (2007, p.127).
2.2.18 Pengertian Server Pada buku yang ditulis O’Brein (2005, p.713) server diartikan sebagai komputer yang mendukung aplikasi dan telekomunikasi dalam jaringan, serta pembagian peralatan perifreal, software, dan database di antara berbagai terminal kerja dalam jaringan, dan
20 yang kedua diartikan sebagai versi software untuk pemasangan server jaringan yang didesain untuk mengendalikan dan mendukung aplikasi pada mikrokomputer klien dalam jaringan klien/server.
2.2.19 Topologi Jaringan Apabila dilihat dari jenis hubungannya, maka topologi jaringan dapat dibagi menjadi lima (Prihanto, 2003), yaitu: 1. Topologi Cincin (ring topology) Topologi jenis cincin ini menghubungkan satu komputer di dalam suatu loop tertentu. Pada topologi jenis ini data atau message berjalan mengelilingi jaringa dengan satu arah pengiriman ke komputer selanjutnya terus sehingga mencapai komputer yang dituju. Waktu yang dibutuhkan untuk mencapai terminal tujuan disebut walk time (waktu transmisi).
Gambar 2.2 Topologi Cincin (Sumber:http://www.geocities.com/richard_leigh_bowles/theory/summaries/ntf/ chap1.htm)
21 Ada dua hal yang dilakukan oleh suatu terminal ketika menerima data dari komputer sebelumnya, yaitu: a. Memeriksa alamat yang dituju dari data tersebut dan menerimanya jika terminal ini merupakan tujuan data tersebut. b. Terminal akan meneruskan data ke komputer selanjutnya dengan memberikan tanda negatif ke komputer pengirim. Apabila ada komputer yang tidak berfungsi maka hal tersebut tidak akan menganggu jalannya jaringan, tapi apabila satu kabel putus akan mengakibatkan jaringan tidak berfungsi. 2. Topologi Bus (bus topology) Topologi jaringan jenis ini menggunakan sebuah kabel pusat yang merupakan media utama dari jaringan. Terminal-terminal yang akan membangun jaringan dihubungkan dengan kabel utama yang merupakan inti jaringan dari jaringan. Data yang dikirimkan akan langsung menuju terminal yang dituju tanpa harus melewati terminal-terminal dalam jaringan, atau akan diroutingkan ke head end controller. Tidak bekerjanya sebuah komputer tidak akan menghentikan kerja dari jaringan, jaringan akan tak bekerja apabila kabel utamanya dipotong atau putus.
Gambar 2.3 Topologi Bus (Sumber:http://www.geocities.com/richard_leigh_bowles/theory/summaries/ntf/ chap1.htm)
22 Jaringan ini merupakan jaringan yang banyak digunakan karena hanya dalam beberapa meter kabel dapat dihubungkan ke banyak terminal client. Jaringan ini biasanya menggunakan kabel coaxial sebagai media transmisinya. Kabel coaxial dilihat dari bentuk fisiknya mirip dengan kabek antena. Kabel ini mempunyai kapasitas bandwith yang besar (2Mb), sehingga apabila dihubungkan dengan banyak terminal akan terlayani dengan baik. 3. Topologi Bintang (star topology) Jenis topologi ini menggunakan satu terminal sebagai terminal sentral yang menghubungkan ke semua terminal client. Terminal sentral ini yang mengarahkan setiap data yang dikirimkan ke komputer yang dituju. Jenis jaringan ini apabila ada salah satu terminal client tidak berfungsi atau media transmisi putus atau terganggu maka tidak akan mempengaruhi kerja dari jaringan, karena gangguan tersebut hanya mempengaruhi terminal yang bersangkutan.
Gambar 2.4 Topologi Bintang (Sumber:http://www.geocities.com/richard_leigh_bowles/theory/summaries/ntf/ chap1.htm) Kelemahan dari jenis topologi jaringan ini adalah ketergantungan terhadap suatu terminal sentral. Hal tersebut merupakan suatu gangguan yang sangat berarti
23 apabila terminal sentral tersebut mendapatkan gangguan, sehingga dicari suatu solusi yang dapat mengatasi masalah tersebut. Salah satu solusi yang banyak dilakukan adalah dengan menggunakan dua buah terminal sebagai server, sehingga apabila satu server dalam keadaan down dapat dialihkan ke server yang lainnya dan begitu seterusnya. 4. Topologi Mesh Topologi jenis ini menerapkan hubungan antar komputer secara penuh. Jumlah saluran harus disediakan untuk membentuk jaringan mesh adalah jumlah komputer dikurangi 1 (n-1, n = jumlah komputer). Tingkat kerumitan jaringan ini sebanding dengan meningkatnya
jumlah komputer yang terpasang. Dengan
demikian, di samping kurang ekonomis juga relatif mahal dalam pengoperasiannya.
Gambar 2.5 Topologi Mesh (Sumber: http://kardiasa.wordpress.com/2008/06/24/topologi-jaringan/) 5. Topologi Hybrid Topologi jaringan ini merupakan gabungan dari beberapa tipe topologi. Ketika jalur bus menghubungkan 2 konsentrator maka konfigurasi tersebut disebut star bus. Beberapa gedung kadang menggunakan topologi seperti ini. Topologi Hybrid adalah topologi dengan penggabungan beberapa topologi. Misalkan
24 gabungan dari topologi ring dan topologi star, atau gabungan antara topologi tree dan topologi star, atau malahan gabungan ketiga-tiga topologi tersebut adalah star, ring dan tree. Dimana sebenarnya penggabungan ini adalah hasil penggabungan fisik jaringan itu sendiri. Jalur bus digunakan untuk mengirim data antar topologi star seperti gambar dibawah.
Gambar 2.6 Topologi Hybrid (Sumber:http://www.geocities.com/richard_leigh_bowles/theory/summaries/ntf/ chap1.htm)
2.3 Pengertian Analisa Analisa (Wikipedia, 2008) adalah kajian yang dilaksanakan terhadap sebuah bahasa guna meneliti struktur bahasa tersebut secara mendalam. Sedangkan pada kegiatan laboratorium, kata analisa atau analisis dapat juga berarti kegiatan yang dilakukan di laboratorium untuk memeriksa kandungan suatu zat dalam cuplikan.
2.4 Pengertian Risiko Menurut Peltier (2001, p.21), pengertian risiko merupakan kemungkinan terjadinya beberapa ancaman yang mudah menyerang.
25 2.4.1 Jenis-Jenis Risiko Terkait TI Jenis-jenis risiko terkait TI menurut PBI adalah sebagai berikut (2007, p.15): a. Risiko Operasional Risiko operasional melekat di setiap produk dan layanan yang disediakan Bank. Penggunaan TI dapat menimbulkan terjadinya risiko operasional yang disebabkan oleh antara lain ketidakcukupan/ketidaksesuaian desain, implementasi, pemeliharaan sistem atau komputer dan perlengkapannya, metode pengamanan, testing dan standar internal audit serta penggunaan jasa pihak lain dalam penyelenggaraan TI. b. Risiko Kepatuhan Risiko kepatuhan dapat timbul bila Bank tidak memiliki sistem yang dapat memastikan kepatuhan Bank terhadap ketentuan yang berlaku bagi Bank seperti kerahasiaan data nasabah. Risiko kepatuhan dapat berdampak buruk terhadap reputasi serta citra Bank, juga berdampak pada kesempatan berusaha dan kemungkinan ekspansi. c. Risiko Hukum Bank menghadapi risiko hukum yang disebabkan adanya tuntutan hukum, ketiadaan peraturan perundangan yang mendukung atau kelemahan perikatan seperti tidak dipenuhinya syarat sah suatu kontrak. d. Risiko Reputasi Opini publik yang negatif dapat timbul antara lain karena kegagalan sistem yang mendukung produk, kasus yang ada pada produk Bank dan ketidakmampuan Bank memberikan dukungan layanan nasabah pada saat terjadi kegagalan sistem (downtime). Opini negatif ini dapat menurunkan kemampuan Bank memelihara loyalitas nasabah dan keberhasilan produk dan layanan Bank.
26 e. Risiko Strategis Risiko ini timbul karena ketidakcocokan TI yang digunakan Bank dengan tujuan strategis Bank dan rencana strategis yang dibuat untuk mencapai tujuan tersebut. Hal ini karena kualitas implementasi maupun sumber daya yang digunakan TI kurang memadai. Sumber daya tersebut mencakup saluran komunikasi, operating systems, delivery network, serta kapasitas dan kapabilitas pengelola TI. Adanya ketidakcocokan TI yang digunakan Bank dengan tujuan ada rencana strategis Bank yang dibuat untuk mencapai tujuan tersebut. f. Risiko Likuiditas Risiko likuiditas disebabkan oleh ketidakmampuan atau kegagalan Bank memenuhi kewajiban keuangan jangka pendek dan atau kewajiban keuangan lainnya pada saat jatuh waktu (Anonymous, 2008).
2.5 Pengertian Analisa Risiko Menurut Peltier (2001, p.21), pengertian analisa risiko adalah proses mengidentifikasi aset dan ancaman, serta memprioritaskan serangan ancaman dan mengidentifikasi pengamanan yang sesuai.
2.6 Pengertian Pengukuran Risiko (Risk Assesment) Pengukuran Risiko adalah rangkaian proses yang dilakukan dengan tujuan untuk memahami signifikansi dari akibat yang akan ditimbulkan suatu risiko, baik secara individual maupun portofolio, terhadap tingkat kesehatan dan kelangsungan usaha. Pemahaman yang akurat tentang signifikansi tersebut akan menjadi dasar bagi pengelolaan risiko yang terarah dan berhasil guna (Dilan S. Batuparan, 2001).
27 2.7 Pengertian Manajemen Risiko Menurut Peltier (2001, p.224), pengertian manajemen risiko adalah proses mengidentifikasi risiko, mengukur untuk mengurangi risiko. Menurut Dorfman (2004,p8), pengertian manajemen risiko adalah proses logik yang digunakan oleh perusahaan bisnis dan individual. Menurut Djojosoedarso (2005, p.2), pengertian manajemen risiko adalah pengelolaan berbagai cara penganggulangan risiko.
2.8 Manajemen Risiko Bank 2.8.1 Pengertian Manajemen Risiko TI Bank Manajemen Risiko TI Bank menurut PBI (2007, p.14) adalah kemampuan Bank memitigasi (mengurangi) risiko-risiko TI tergantung dari hasil identifikasi, pengukuran, pengendalian dan pemantauan risiko-risiko terkait TI yang berpotensi mengancam keamanan dan operasional Bank.
2.8.2
Proses Manajemen Risiko TI Bank Menurut PBI (2007, p.61), proses Manajemen risiko terkait TI yang harus
dilakukan setiap Bank mencakup dua hal penting, yaitu:
I.
Penilaian Risiko Mengingat pentingnya TI dalam mendukung tercapainya rencana strategis bisnis
Bank, maka Bank harus mengelola seluruh sumber daya TI sebagai “aset” Bank. Sumber daya TI meliputi antara lain aplikasi, informasi, infrastruktur dan sumber daya manusia. Untuk itu Bank harus melakukan evaluasi atas segala hal yang mengancam sumber daya
28 TI melalui proses identifikasi, pengukuran dan pemantauan risiko potensial baik kecenderungan atau probabilitas terjadinya maupun besarnya dampak. Terdapat berbagai pendekatan yang dapat dilakukan Bank dalam proses identifikasi seperti pendekatan proses, aset, produk, dan kejadian. Pada pendekatan berdasarkan aset, identifikasi risiko pengamanan informasi dilakukan dengan melakukan klasifikasi terhadap “aset” terkait teknologi informasi berdasarkan risiko. Selanjutnya Bank melakukan pengukuran kecenderungan atau probabilitas terjadinya risiko atas setiap aset dan besarnya dampak kerugian yang akan dialami untuk dapat mengetahui besarnya risiko potensial yang harus dihadapi atau Nilai Risiko Dasar (NRD). Contoh penilaian risiko pengamanan informasi yang menggunakan pendekatan aset dapat dilihat di Tabel 2.4. Penilaian ini dilakukan oleh setiap satuan kerja yang memiliki sumber daya TI dan atau dapat dikoordinasikan oleh satuan kerja yang membidangi TI atau manajemen risiko. Dalam menentukan aset yang kritikal maupun mengukur risiko, setiap satuan kerja harus dapat menentukan kemungkinan adanya ancaman (threats), serangan (attacks) dan kerawanan (vulnerability) dari setiap sumber daya TI yang digunakan masing-masing satuan kerja serta kemungkinan dampaknya pada integritas (integrity),
kerahasiaan
(confidentiality)
dan
ketersediaan
(availability)
dari
data/informasi yang dimiliki. Proses ini harus dilakukan Bank karena identifikasi dan pengukuran risiko dapat menunjukkan potensial kegagalan atau kelemahan proses pengamanan informasi yang dapat berpengaruh pada kesuksesan bisnis Bank sehingga Bank dapat melakukan penanganan yang tepat terhadap setiap risiko potensial.
29 Proses penilaian risiko, mencakup sebagai berikut: Identifikasi Risiko a)
Identifikasi Risiko (penentuan klasifikasi) Aset Berikut ini adalah contoh penilaian risiko pengamanan informasi yang
menggunakan pendekatan aset:
Tabel 2.1 Dokumen hasil Identifikasi dan Pengukuran Risiko (Risk Register)
Nilai Risiko Dasar
3
4
5
6
7
Nilai Risiko Akhir
Dampak
2
Dampak
Kecenderungan
1
Kecenderungan
Analisa Kerawanan
0
Knotrol yang Ada
Deskripsi Risiko
Residual
Aset
Inheren
8
9
10
Nilai Risiko yang Diharapkan
(Sumber: PBI)
No
1.
11
Kolom No.1 yaitu aset, diisi dengan nama atau jenis aset yang dihasilkan dalam menjalankan proses bisnis bank dan aset yang mendukung terlaksananya proses bisnis tersebut. Aset yang dimaksud bukan aset secara akuntansi, namun segala sesuatu yang mempunyai nilai bagi organisasi dan harus diamankan termasuk data, perangkat lunak, perangkat keras, jaringan
30 komunikasi dan data, sarana pendukung dan sumber daya manusia. Tentukan pemilik aset tersebut dan identifikasi tingkatan penting tidaknya (kritikal) aset tersebut bagi unit kerja pengguna dan unit kerja penyelenggara TI. Salah satu langkah dalam beberapa metodologi analisis risiko adalah untuk menentukan aset yang ada pada Bank. Maka dari itu, Bank perlu melindungi informasi aset yang biasanya didokumentasikan melalui kebijakan klasifikasi informasi dan metodologi analisa. Jaminan bagi tiap individu akan berbeda tergantung apakah availability (ketersediaan), integrity (kejujuran), atau confidentiality (kerahasiaan) yang dipertimbangkan. Oleh karena itu, tujuan dari program penjaga kualitas informasi perusahaan adalah untuk memelihara: 1. Availability (ketersediaan) Adalah sebuah aplikasi atau sistem dan informasi yang ada di dalamnya yang dilindungi sebagai backup. 2. Integrity (kejujuran) Informasi yang bersifat konsisten dan tidak dapat diubah tanpa adanya otorisasi atau pihak yang berwewenang. 3. Confidentiality (kerahasiaan) Informasi yang tidak dapat diungkapkan secara sengaja atau tidak sengaja tanpa otorisasi terlebih dahulu. b)
Identifikasi risiko dan evaluasi risiko yang terkait dengan aset Kolom 2 di Risk Register diisi dengan hasil identifikasi dan evaluasi pengguna dan penyelenggara TI terhadap potensial kegagalan atau kelemahan proses pengamanan yang ada/diterapkan Bank atas aset yang telah didefinisikan,
31 sehingga berpengaruh secara signifikan terhadap kinerja Bank. Satu aset dapat memiliki beberapa risiko. Contoh pencantuman di Kolom 2 (Deskripsi Risiko): Informasi bocor kepada pihak yang tidak berwenang. c)
Analisa Kerawanan Kolom 3 Risk Register diisi dengan faktor yang rawan dapat menyebabkan terjadinya kegagalan atau kelemahan pengamanan TI (risiko) yang telah diidentifikasi pada kolom 2. Tiap risiko dapat memiliki beberapa kerawanan. Contoh pencantuman di kolom 3: i.
Pengamanan terhadap lemari penyimpanan arsip kurang memadai
ii.
Informasi nasabah tidak disimpan dengan baik pada tempat yang seharusnya.
2.
Pengukuran Risiko Besarnya pengaruh risiko dapat diketahui dengan menilai kecenderungan risiko dan dampak yang dapat ditimbulkan oleh risiko tersebut terhadap proses bisnis. Kriteria pengukuran yang digunakan mengacu kepada metode risk assessment yang berlaku di Bank. Proses ini dilakukan oleh personil yang mengetahui proses bisnis dan pengamanan atas informasi di proses tersebut. Kolom 4, 5, dan 6 diisi dengan hasil pengukuran Bank atas kecenderungan dan dampak dari risiko sebelum pengendalian dilakukan terhadap aset berisiko tersebut. Sedangkan kolom 8, 9 dan 10 diisi dengan hasil pengukuran Bank atas kecenderungan dan dampak dari risiko setelah pengendalian dilakukan terhadap aset berisiko tersebut.
32 a)
Pengukuran Kecenderungan (Probability) Kolom 4 Risk Register diisi dengan Kecenderungan Inheren yang merupakan kemungkinan terjadinya risiko sebelum adanya pengendalian. Kolom 8 diisi dengan Kecenderungan Residual yang merupakan kemungkinan terjadinya risiko setelah adanya pengendalian. Kecenderungan dapat diukur dengan suatu kriteria pengukuran, yaitu nilai kuantitatif dari kecenderungan terjadinya
risiko
yang
disebutkan
pada
deskripsi
risiko.
Kuantifikasi
kecenderungan dapat berupa ukuran terjadinya risiko dalam satuan waktu seperti frekuensi kejadian setiap hari, setiap minggu, setiap bulan, atau setiap tahun. Contoh kriteria pengukuran kecenderungan:
Tabel 2.2 Tingkatan Pengukuran (Sumber: PBI) Level
Frekuensi Kejadian
Potensi Terjadi
5
Sangat sering terjadi
Potensi terjadi tinggi dalam jangka pendek
4
Lebih sering terjadi
Potensi terjadi dalam jangka panjang
3
Cukup sering terjadi
Potensi terjadi sedang
2
Jarang terjadi
Potensi terjadi kecil
1
Hampir tidak pernah terjadi
Kemungkinan terjadi sangat kecil
Contoh pencantuman hasil pengukuran Kecenderungan Inheren pada kolom 4 di form Risk Register: Level 4 Contoh pencantuman hasil pengukuran Kecenderungan Residual pada kolom 8 di form Risk Register: Level 3
33 b)
Pengukuran Dampak (impact/severity) Kolom
5
Risk
Register
diisi
dengan
Dampak
Inheren
yang
menggambarkan tingkatan kerusakan yang disebabkan oleh terjadinya risiko relatif terhadap aset sebelum ada/diterapkannya pengendalian. Kolom 9 diisi dengan Dampak Residual yang menggambarkan tingkatan kerusakan yang disebabkan oleh terjadinya risiko relatif terhadap aset setelah ada/diterapkannya pengendalian. Tabel 2.3 Klasifikasi Dampak (Sumber: PBI) Nilai
Potensi Gangguan terhadap Proses Bisnis
5
Proses Bisnis mengalami kegagalan total sehingga keseluruhan bisnis bank tidak tercapai.
4
Proses Bisnis mengalami gangguan yang menyebabkan aktivitas bisnis bank mengalami penundaan sampai Aset Pemrosesan Informasi yang terkait pulih.
3
Proses Bisnis mengalami gangguan yang menyebabkan sebagian bisnis bank mengalami penundaan sampai Aset Pemrosesan Informasi yang terkait pulih.
2
Proses Bisnis mengalami gangguan namun aktivitas tugas pokok Tim dapat dikerjakan secara normal karena aset pemrosesan informasi yang terkait dapat digantikan oleh Aset Pemrosesan Informasi lainnya.
1
c)
Tidak menyebabkan gangguan terhadap operasional proses bisnis.
Penentuan Nilai Risiko Kolom Risk Register diisi dengan Nilai Risiko Dasar (NRD) yaitu tingkatan risiko aset sebelum ada/diterapkannya pengendalian. Kolom 10 Risk Register diisi dengan Nilai Risiko Akhir (NRA) yaitu tingkatan risiko aset
34 setelah ada/diterapkannya pengendalian. Penilaian risiko pada contoh ini diukur menggunakan 3 tingkatan yang meliputi Low, Medium, dan High sebagai berikut: Tabel 2.4 Penentuan Nilai Risiko (Sumber: PBI)
Kecenderungan
5
Medium Medium
High
High
High
4
Low
Medium
High
High
High
3
Low
Low
Medium
High
High
2
Low
Low
Medium Medium
High
1
Low
Low
Medium Medium
High
1
2
3
4
5
Dampak
Contoh pencantuman hasil penentuan NRD di kolom 6: High Contoh pencantuman hasil penentuan NRA di kolom 10: Medium 3.
Identifikasi Pengendalian yang Diimplementasikan Kolom 7 Risk Register diisi dengan langkah-langkah pengendalian yang telah diimplementasikan oleh Bank untuk mengurangi risiko atas aset yang diidentifikasi, misalnya seperti: a. Kebijakan dan prosedur Bank terkait aset b. Penggunaan teknologi tertentu untuk mengendalikan risiko secara otomatis, atau tersistem seperti audit log, on line approval, parameter value di sistem. Contoh pencantuman kontrol di kolom 7 untuk aset yang berupa Informasi nasabah dalam bentuk hardcopy
35 c. Ketentuan mengenai pengelolaan arsip d. Akses ruang arsip harus menggunakan PIN e. Penggunaan CCTV. f. 4.
Nilai Risiko Yang Diharapkan Atas semua aset yang teridentifikasi sebaiknya Bank menentukan nilai risiko yang diharapkan (limit risiko). Sebagai contoh apabila diharapkan risiko kebocoran informasi rahasia nasabah harus pada level low maka pada kolom 11 diisi Low.
5.
Analisis Nilai Risiko Dengan demikian, setelah semua langkah-langkah di atas dilakukan, maka dilanjutkan dengan melakukan pengisian Form Risk Register. Berikut ini adalah contoh pengisian Form Risk Register (IT Asset: Informasi Nasabah dalam bentuk hardcopy) penilaian risiko pengamanan informasi yang menggunakan pendekatan aset, sebagai berikut:
36 Tabel 2.5 Dokumen Hasil Identifikasi dan Pengukuran Risiko (Risk Register) (Sumber: PBI) No
Aset
Deskripsi
Analisa
Risiko
Kerawanan
Inheren
Kontrol yang Ada
1
2
1.
Informasi
Informasi
nasabah
bocor pada
dalam
pihak yang
bentuk
tidak
hardcopy
berwenang
3 Pengamanan
Nilai
Kecende
Dampak
Nilai
Kecende
Dampak
Nilai
rungan
(min=1,
Risiko
rungan
(min=1,
Risiko
(min=1,
max=5)
Akhir
(min=1,
max=5)
Akhir
5
6
7
9
10
HIGH
1.Ketentuan
max=5) 0
Residual
4 Level 4
Risiko Dihara pkan
max=5)
Level 5
terhadap lemari
melalui
penyimpanan
pengelolaan
arsip kurang
arsip
memadai
2.Akses arsip
Informasi
dengan PIN
nasabah
3.CCTV
8 Level 3
Level 2
MEDI UM
diletakkan terbuka/tercecer
Setelah form Risk Register terisi Bank melakukan analisis nilai risiko atas masing-masing aset yang teridentifikasi. Perbedaan antara NRD High dengan NRA Medium menunjukkan berkurangnya kecenderungan terjadinya risiko dan dampak yang ditimbulkan bila risiko terjadi tidak akan sebesar apabila pengendalian (risk control system) tidak diterapkan. Bank harus menganalisa apakah terdapat risiko yang belum dikendalikan namun dapat diterapkan bentuk pengendalian tertentu. Perbandingan antara NRA dengan Nilai Risiko yang diharapkan dari berbagai aset yang teridentifikasi merupakan parameter dasar untuk langkah-langkah yang diperlukan dalam memitigasi risiko. Sebagai contoh apabila diharapkan risiko kebocoran informasi rahasia nasabah harus pada level Low, maka perlu dilakukan pengendalian tambahan apabila Nilai Risiko Akhirnya masih Medium Bank selanjutnya menetapkan Rencana Penanganan Risiko
11 LOW
37 atas aset tersebut. Misalnya Bank perlu memperbaiki risk control system untuk pengamanan informasi, mengkinikan kebijakan dan prosedur pengamanan.
II. Pengendalian dan Mitigasi Risiko Berdasarkan hasil identifikasi dan pengukuran risiko, Bank harus menetapkan bentuk penanganan risiko yang akan diterapkan untuk menimalisasi risiko yang dihadapi Bank. Dari bentuk-bentuk penanganan risiko (accept, control/mitigate, avoid, transfer), pengendalian dan atau mitigasi risiko memegang peranan penting karena tanpa sistem informasi yang handal dan aktivitas pengendalian TI yang efektif, Bank tidak mampu menghasilkan laporan keuangan yang akurat, terkini, utuh dan lengkap. Secara umum bentuk pengendalian antara lain: a.
kebijakan, ketentuan dan prosedur yang ada di Bank
b.
sistem pengendalian risiko yang dilakukan dengan menggunakan teknologi sehingga secara otomatis dapat memitigasi risiko yang ada seperti audit log, on line approval, parameter value di sistem yang digunakan
c.
training dan security awareness program. Tinjauan atas pengendalian dilakukan dua kali yaitu pertama pada proses
penilaian risiko (risk assessment) dimana Bank mengidentifikasi pengendalian yang telah ada sebelumnya, dan kedua setelah mendapatkan Nilai Risiko Akhir (residual risk). Dengan membandingkan Nilai Risiko Dasar (NRD) dengan Nilai Risiko Akhir (NRA), Bank dapat menganalisis kelemahan dari bentuk pengendalian yang telah diterapkan dan bentuk pengendalian pengamanan yang dapat direkomendasikan untuk diterapkan kemudian. Bentuk pengendalian dapat beragam dan tidak terbatas pada pengendalian umum (general controls) seperti pengendalian yang harus ada di
38 operasional Data Center maupun yang berupa pengendalian aplikasi (application controls) seperti rekonsiliasi dalam balancing control activities. Dengan demikian atas seluruh aset Bank baik pada level Bank, satuan kerja maupun masing-masing petugas atau pengguna TI dapat terhindar dari setiap risiko potensial.