BAB 2 LANDASAN TEORI
2.1
Teori Evaluasi Menurut World Bank yang dituliskan dalam jurnal berjudul Monitoring &
Evaluation: Some Tools, Methods & Approaches, ada beberapa metode untuk memonitor dan evaluasi, yaitu: 1. Performance indicators Adalah ukuran untuk input, proses, output, hasil dan dampak dari proyek, program atau strategi pengembangan. Dapat digunakan untuk mengatur kinerja target dan menilai kemajuan pencapaian mereka, mengidentifikasi masalah melalui sistem peringatan dini untuk memungkinkan dilakukan tindakan korektif, dan menunjukan apakah evaluasi mendalam atau tinjau ulang diperlukan. 2. The logical framework approach Membantu klarifikasi tujuan dari proyek, program atau kebijakan. Hal ini membantu dalam identifikasi hubungan sebab akibat pada rantai hasil: input, proses, output, hasil dan dampak. Dapat digunakan untuk meningkatkan kualitas desain proyek dan program, meringkas desain dari aktivitas yang kompleks,
membantuk
persiapan
dari
rencana
detail
operasional,
menyediakan dasar tujuan untuk meninjau ulang aktivitas, monitor dan evaluasi. 3. Theory-based evaluation Metode
ini
memiliki
kemiripan
dengan
metode
LogFrame
tetapi
memungkinkan pengertian yang lebih banyak tentang mengerjakan sebuah 1
program atau aktivitas. Secara khusus, metode ini tidak perlu mengasumsikan hubungan sebab akibat. Metode ini dapat digunakan untuk pemetaan disain aktivitas yang kompleks dan meningkatkan perencanaan serta manajemen. 4. Formal surveys Metode ini dapat digunakan untuk mengumpulkan informasi dari sampel orang atau rumah tangga yang sudah dipilih dengan hati-hati. Survey sering mengumpulkan informasi yang dapat dibandingkan untuk jumlah orang yang relatif besar dalam grup target tertentu. Formal surveys dapat digunakan untuk menyediakan data dasar mengenai kinerja strategi, program, atau proyek mana yang dapat dibandingkan, membandingkan grup yang berbeda pada poin yang diberikan dalam waktu yang sedikit, membandingkan kondisi aktual dengan target yang ditetapkan pada sebuah program atau disain proyek. 5. Rapid appraisal methods Merupakan cara yang cepat dan murah untuk mengumpulkan pandangan dan umpan balik dari beneficiaries dan stakeholders, dalam hal untuk merespon kebutuhan pembuat keputusan akan informasi. Metode ini dapat digunakan untuk menyediakan informasi secara cepat untuk manajemen pembuat keputusan khususnya pada level proyek atau program, menyediakan pengertian kualitatif dari perubahan sosial-ekonomi yang kompleks, serta menyediakan konteks dan interpretasi untuk kuantitatif
data yang
dikumpulkan dalam metode yang lebih formal. 6. Participatory methods Menyediakan keterlibatan aktif dalam pengambilan keputusan dalam proyek, program, atau strategi dan menghasilkan rasa kepemilikan dalam hasil dan
rekomendasi. Digunakan untuk mempelajari kondisi lokal dan perspektif serta prioritas orang untuk mendesain intervensi yang lebih bertanggung jawab dan berkelanjutan, mengidentifikasi masalah dan pemecahan masalah selama implementasi, evaluasi proyek, program atau kebijakan. 7. Public expenditure tracking surveys (PETS) Melacak aliran dana publik dan menentukan sejauh mana sumber daya mencapai target. Survey meneliti cara, kuantitas dan waktu dalam merilis sumber daya pada level pemerintah yang berbeda, terutama pada unit yang bertanggung jawab atas penyaluran pelayanan sosial seperti kesehatan dan pendidikan. PETS dapat digunakan untuk mendiagnosis masalah dalam penyaluran pelayanan secara kuantitatif, serta menyediakan bukti penundaan, “kebocoran” dan korupsi. 8. Cost-benefit and cost-effectiveness analysis Adalah suatu alat untuk menilai apakah biaya dari sebuah kegiatan dapat dibenarkan dari hasil dan dampak. Dapat digunakan untuk menginformasikan keputusan
tentang alokasi sumber daya
yang paling efisien
dan
mengidentifikasi proyek yang menawarkan tingkat pengembalian laba. 9. Impact evaluation Adalah identifikasi tersistem dari efek, baik positif maupun negatif, ditujukan atau tidak, pada individu, institusi, dan lingkungan disebabkan oleh aktivitas pengembangan seperti program atau proyek. Metode ini dapat berkisar dari survey sampel skala besar yaitu populasi proyek dan pengendalian grup yang dibandingkan sebelum dan sesudah; sampai skala kecil yaitu kajian cepat dan penilaian partisipasi di mana estimasi dari dampak diperoleh dari
menggabungkan interview pada grup, narasumber kunci, studi kasus dan ketersediaan data penunjang.
2.2
Teknologi Informasi
2.2.1 Pengertian Teknologi Informasi Pada saat sekarang ini, teknologi informasi yang semakin berkembang dimanfaatkan banyak bidang untuk menghasilkan pelayanan yang terbaik. Seperti yang kita tahu, bahwa bidang perbankan sangat mengandalkan perkembangan teknologi informasi untuk memperluas bisnisnya demi menarik nasabah memakai jasa dari mereka. Menurut Williams & Sawyer (2007), Information Technology (IT) is a general term that describe any technology that help to produce, manipulate, store, communicate, and/or disseminate information (Teknologi Informasi (TI) adalah sebuah istilah umum yang menggambarkan setiap teknologi yang membantu untuk menghasilkan, memanipulasi, menyimpan, berkomunikasi, dan/atau menyebarkan informasi). Menurut Turban, dkk (2009), information technology relates to any computer-based to that people use to work with information and to support the information processing needs of an organization (teknologi informasi berkaitan dengan segala sesuatu yang berbasis komputer yang digunakan orang-orang untuk melakukan pekerjaannya dengan informasi dan untuk mendukung proses informasi tersebut sesuai dengan kebutuhan perusahaan). Menurut Bank Indonesia, yang dimaksud oleh teknologi informasi adalah teknologi terkait sarana komputer, telekomunikasi dan sarana elektronis lainnya yang digunakan dalam pengolahan data keuangan dan atau pelayanan jasa perbankan.
2.2.2 Perkembangan Teknologi Informasi Perbankan Pada jaman dulu, teknologi informasi belum berkembang seperti sekarang. Perkembangan Teknologi informasi memiliki sejarahnya sendiri. Menurut Fheili (2011), ada 4 era dalam sejarah teknologi informasi perbankan, yaitu era mainframe (1960 – 1980), era client-server (1980 – 1995), era service (1995 – 2005), dan era mobile banking pada jaman sekarang. 1. Era mainframe Era mainframe ditandai dengan biaya tenaga kerja yang rendah, biaya komputasi yang tinggi dan biaya jaringan yang sangat tinggi. Hanya fungsi penting yang otomatis, yaitu sebagian besar proses backoffice seperti penggajian, akuntansi dan manajemen persediaan. Aplikasi sulit untuk digunakan, sulit untuk mengintegrasikan dan manfaat bagi pengguna relatif sedikit. Komputasi dan sistem jaringan sebagian besar dibatasi, dan aplikasi perangkat lunak dikembangkan secara internal, sehingga sulit bagi organisasi untuk berbagi informasi. Data disimpan dengan cara yang membuatnya sulit untuk diambil dan dimanipulasi. Departemen Teknologi Informasi terpusat dan sering tidak responsif terhadap tuntutan spesifik dari unit bisnis yang individu. 2. Era client-server Era client-server dimulai dengan lahirnya PC, yang menyediakan pengguna dengan otonomi komputasi. Biaya tenaga kerja teknologi informasi meningkat, sementara biaya komputasi dan jaringan jatuh. Era client-server melihat munculnya hardware dan software standar seperti PC dan UNIX. Organisasi mulai mengotomatisasi fungsi departemen dan customer-facing, seperti penjualan dan pemasaran. Data menjadi lebih mudah diakses dan lebih
mudah untuk dimanipulasi dengan munculnya database relasional dan Standard Query Language (SQL). Departemen teknologi informasi menjadi lebih terdesentralisasi, lebih efektif dalam menanggapi kebutuhan kelompok yang berbeda dalam organisasi. 3. Era service Kepopuleran internet dan pengembangan World Wide Web meluncurkan era service. Web browser awalnya dipandang sebagai cara sederhana untuk mendapatkan akses ke dokumen di internet, namun teknologi yang sama dengan cepat diadopsi oleh organisasi sebagai cara peningkatan fungsi komputasi client-server. Biaya komputasi terus menurun dengan cepat karena keterjangkauan microprocessors, memori dan penyimpanan. Biaya jaringan turun secara signifikan sebagai penyedia layanan dimulai dari ekspansi skala besar jaringan mereka dalam menanggapi ledakan Internet. Standarisasi dan penyederhanaan antara user interface dan web browser, dikombinasikan dengan konektivitas jaringan yang lebih luas dan lebih murah, memungkinkan untuk menyebarkan aplikasi untuk setiap karyawan di perusahaan serta mitra dan pelanggan. Hal ini memungkinkan pengembangan aplikasi self-service bagi karyawan, pelanggan dan mitra. 4. Era mobile banking Sebagai teknologi nirkabel yang terus bekerja dalam sektor jasa, dan sebagai dorongan untuk mencapai keunggulan kompetitif untuk terus menekan pemain di industri ini, hanya masalah waktu sebelum teknologi ini dimanfaatkan dengan maksimal. Era mobile banking (atau m-banking) telah menjadi hasil dari perkembangan ini: melakukan kegiatan perbankan saat terjebak dalam kemacetan lalu lintas. Persyaratan PC yang berfungsi sebagai
hambatan ketika internet pertama kali diperkenalkan ke perbankan telah dihapus dan m-banking telah memberikan pembaruan pada era service. Sebuah keuntungan yang menonjol dari era ini adalah bahwa bank-bank terhubung ke klien mereka hampir di setiap waktu. 2.2.3 Kriteria Software Perbankan Selain untuk meningkatkan pelayanan, teknologi informasi juga diperlukan untuk mendukung kebutuhan serta kinerja intern bank. Salah satunya adalah pemakaian aplikasi/ software. Menurut Utomo (2009), kriteria pemilihan software computer perbankan yang baik sesuai dengan kebutuhan bank secara umum berdasarkan pertimbangan-pertimbangan berikut: 1. Kemampuan dokumentasi atau Penyimpanan Data Jenis dan klasifikasi data bank yang relatif banyak harus bisa ditampung oleh software yang akan digunakan, termasuk pertimbangan segi keamanan datanya. Jumlah nasabah serta frekuensi dan jumlah transaksi harian yang besar memerlukan memory computer yang besar, selain memerlukan kecepatan prosesor yang tinggi juga. Sebagai contoh BPR kurang efisien jika menggunakan mesin besar, misalnya AS/400 dalm operasionalnya karena kapasitas dan cakupan geografis BPR biasanya relative kecil. 2. Keluwesan (Flexibility) Operasional bank selalu berkembang dengan kebutuhan yang berubah-ubah dan mungkin bertambah di kemudian hari walaupun informasi dasarnya tetap sama. Kondisi ini harus bisa diantisipasi oleh perangkat lunak computer sampai batas-batas tertentu. Setiap bank mempunyai system dan prosedur yang mungkin berbeda meskipun data atau informasi dasar yang diolahnya
sama. Perangkat lunak computer yang fleksibel dapat digunakan oleh dua bank yang kapasitasnya sama tetapi system dan prosedurnya berbeda. 3. Sistem Keamanan Sebagai lembaga kepercayaan masyarakat (agent of trusth), bank memerlukan system keamanan yang handal untuk menjaga kerahasiaan data atau keuangan nasabah; serta mencegah penyalahgunaan data atau keuangan oleh pihak lain yang tidak bertanggung jawab. Software computer perbankan yang baik harus menyediakan fasilitas pengendalian dan pengamanan tersebut. 4. Kemudahan penggunaan (user friendly) Pengertian mudah dioperasikan bukan berarti setiap pemakai (user) bisa mengakses ke software tersebut tetapi petugas yang memang mempunyai kewenangan mudah mengoperasikan proses yang menjadi tanggung jawabnya. Tahap input, proses, dan output yang dilakukan pada software tersebut tidak menjadi penghambat dalam kegiatan perbankan secara keseluruhan. System aplikasi computer yang baik bahkan dapat mendeteksi kesalahan pengoperasian yaitu dengan memberikan error message dan memberikan petunjuk pemecahan masalahnya. 5. Sistem Pelaporan (Reporting system) Data atau informasi yang dibutuhkan harus bisa disajikan dalam bentuk yang jelas dan mudah dimengerti. Bank memerlukan laporan-laporan yang lengkap dan jelas tersebut terutama dalam proses pemeriksaan (audit) atau penyajian laporan yang bisa dimengerti oleh pihak-pihak yang berkempentingan dengan harapan keuangan setiap bank menjadi lebih transparan dan bisa dipertanggungjawabkan.
6. Aspek Pemeliharaan Kinerja software perbankan diharapkan relative stabil selama bank beroperasi. Kondisi ini memerlukan aspek pemeliharaaan yang baik, dalam arti secara teknis tidak sulit dilakukan dan tidak membutuhkan biaya yang relative mahal. Pemeliharaan ini juga menyangkut pergantian atau perbaikan teknis peralatan dan modifikasi atau pengembangan software. 7. Source Code Software perbankan biasanya merupakan program paket yang sudah dicompile sehingga menjadi excecutable file. File program tersebut relative tidak bisa dirubah atau dimodifikasi seandainya bank menginginkan perubahan atau fasilitas tambahan dari software tersebut. Kondisi ini bisa diatasi jika pihak bank mempunyai dan memahami software tersevut dalam bentuk bahasa pemrograman aslinya atau source code. 8. Struktur informasi dan hubungan antar sub sistem aplikasi bank Hubungan antar sub sistem aplikasi pada operasional bank. Konsep front office yang lebih mendekati sisi nasabah dan konsep back office yang lebih mendekati sisi bank sebagai lembaga keungan yang harus mencatat, mendokumentasikan, dan atau mempublikasikan informasi keuangan, menyebabkan system aplikasi perbankan terdiri dari sub-sub system yang saling berkaitan sesuai dengan tahap-tahap pemrosesan dan jenis-jenis data keuangan.
2.2.4 Teknologi Informasi Perbankan Perbankan memerlukan teknologi informasi dalam melangsungkan kegiatan produk-produknya. Berikut diuraikan teknologi informasi bagi perbankan menurut Utomo (2009): 1. Internet Merupakan jaringan media informasi global untuk umum berkecepatan tinggi, yang menghubungkan setiap PC dengan PC lain melalui modem. Manajemen operasinya diatur melalui Penyedia Jasa Internet (ISP) yang terhubung dengan International Internet Gateway, sehingga setiap individu dengan PC yang dilengkapi modem dapat berkomunikasi, bertukar informasi atau hanya sebatas mencari informasi ke seluruh belahan dunia. 2. Intranet Jaringan komunikasi intuk keperluan internal, yang mampu membuat sesama karyawan dapat bertukar informasi dan bertukar pengetahuan ataupun media penyampaian informasi kebijakan perusahaan pengganti majalah, buletin di internal perusahaannya (private network). 3. Extranet Jaringan komunikasi yang dibangun dari satu perusahaan ke perusahaan lainnya untuk saling bertukar informasi, bertransaksi dari dan ke penjual, pelanggan dan pelaku bisnis lainnya. 4. World Wide Web (WWW) Entitas yang paling cepat tumbuh dalam fasilitas internet, yang menyediakan fasilitas dan kemudahan dalam membuka atau mengirim informasi melalui saluran/ link “hypertext”. Dengan entitas ini memudahkan setiap komputer yang terhubung ke website secara cepat dan mendapat akses informasi umum
dari setiap komputer lainnya di internet, walaupun jumlah informasinya banyak atau dari tempat yang jauh. 5. E-commerce Merupakan aplikasi perdagangan yang memanfaatkan fasilitas Internet, yang menjadikan setiap individu/ perusahaan dapat secara langsung tersambung secara digital ke perusahaan/ individu lainnya untuk melakukan transaksi bisnis. Pemanfaatannya saat ini dapat dikategorikan dalam: 1. Business to Business 2. Business to Customers 6. E-retail Forrester Research, November 2000 mengatakan, penjualan ritel melalui internet akan mencapai USD 92 juta pada tahun 2001. Hal ini membuktikan jalur internet telah memantapkan diri sebagai perantara penjualan dengan pertumbuhan tercepat. 7. E-government Sistem informasi pemerintahan yang berbasis web dan internet protocol untuk meningkatkan pelayanan pemerintah kepada warganya secara cepat dan murah. Contoh aplikasinya meliputi : KTP, pajak, fiskal dan SIM on-line. 8. E-resources Suatu bentuk sistem informasi manajemen pengelolaan pendapatan bagi hasil eksplorasi Sumber Daya Alam (SDA) yang saat ini masih diimplementasikan di bidang kelautan, di mana Pemerintah selaku pemegang hak pengelolaan membuat situs internet tentang seluruh kandungan kekayaan alam, kebijakan eksploitasi, pola bagi hasil dan tata cara pembayarannya. Pendapatan bagi
hasil dengan investor yang mengeksploitasi SDA tersebut dikelola secara online ke Bank. 9. LAN –sharing Merupakan teknologi pengoptimalisasian jaringan sehingga dapat digunakan bersama-sama baik dalam Bank serempak dengan LAN Nasabah, dengan pembatasan-pembatasan penggunaan fungsi akses datanya dan menjamin keamanan database masing-masing pengguna. 10. Portal Pintu gerbang bagi pengguna internet, sehingga memungkinkan untuk pencarian, bertukar informasi, memperoleh informasi tertentu secara up-todate hingga melaksanakan transasksi berbasis web (e-commerce, dsb).
2.3
Risiko Teknologi Informasi
2.3.1 Pengertian Risiko Teknologi Informasi Dalam penggunaan teknologi informasi, tidak melulu meningkatkan keuntungan. Penggunaan teknologi informasi juga dapat menimbulkan kerugian bagi perusahaan. Hal ini umumnya dikatakan sebagai sebuah risiko dalam penggunaan teknologi informasi. Risiko menurut Sunaryo (2007) adalah kerugian karena kejadian yang tidak diharapkan muncul. Menurut Kamus Besar Bahasa Indonesia, risiko adalah sebuah peluang terjadinya bencana atau kerugian. Karena itu risiko dari sudut pandang bank didefinisikan peluang dari kemungkinan terjadinya situasi yang memburuk. Definisi ini mengandung pengertian bahwa risiko hanya berkaitan dengan sebuah kondisi
dimana suatu hasil yang negatif dapat terjadi setiap saat dan kemungkinan atas terjadinya kejadian itu dapat diperkirakan. Dalam ISO/IEC Guide 73 yang dikutip oleh Siahaan (2007) dijelaskan bahwa risiko dapat didefinisikan sebagai kombinasi probabilitas suatu kejadian dengank onskuensinya atau dengan akibatnya. Potensi kejadian dapat berupa keuntungan (upside risk) atau bahaya terhadap keberhasilan (downside risk). Risiko dapat juga didefinisikan sebagi pure risk dan speculative risk. Risiko murni (pure risk) adalah kemungkinan terjadinya sesuatu yang jika terjadi pasti menyebabkan kerugian, sedangkan risiko spekulasi, juga merupakan kemungkinan terjadinya sesuatu, tetapi jika terjadi akibatnya mungkin rugi tapi mungkin juga untung. Menurut Djanggola (2010), risiko operasional telah menyelinap masuk dalam kegiatan bisnis perusahaan tanpa secara spesifik teridentifikasi. Hal itu jelas yang mengakibatkan risiko operasional berbeda dengan risiko pasar dan risiko kredit yang mudah ditemui dan dikenali. Dalam industri asuransi, perkembangan pengukuran kecukupan modal yang dicadangkan untuk risiko operasional jauh tertinggal dibandingkan dengan industri perbankan. Sedangkan bisnis utama perusahaan asuransi adalah berhubungan dengan risiko dan manajemen risiko pada kesehariannya. Risiko ini melekat pada kontrak asuransi yang diperjanjikan. Beberapa pengertian risiko operasional yang dikemukakan oleh banyak pakar, diantaranya adalah sebagai berikut : •
The European Commission mengajukan Solvency II, sebuah proyek untuk peraturan asuransi yang juga paralel dengan Basel II mengungkapkan risiko operasional adalah risiko kegagalan dalam proses manajemen, risiko keputusan bisnis yang besar, kesalahan dalam proses underwriting, dan kesalahan dalam proses penyelesaian klaim.
•
Sedangkan Basel Capital Accord (Basel II) mendefinisikan risiko operasional adalah risiko kerugian yang terjadi baik secara langsung maupun tidak langsung sebagai akibat dari kegagalan dan kurang memadainya proses internal,
karena
kelemahan
karyawan
(kurang
kompeten,
kurang
pengetahuan, kurang teliti dalam menjalankan tugasnya) atau terdapat kecurangan yang dilakukan, adanya sistem yang terpasang lemah, atau karena kejadian eksternal. Dari berbagai definisi tersebut dapat disimpulkan bahwa risiko operasional merupakan semua kemungkinan yang dapat menyebabkan gangguan pada proses operasional dan melekat pada seluruh kegiatan operasional perusahaan dapat menimbulkan arah negatif yang luas. Hal itu dapat terjadi karena berakar dari kegagalan dalam melaksanakan dan menerapkan proses serta prosedur dalam suatu kegiatan.
2.3.2 Jenis-jenis Risiko Teknologi Informasi Perbankan Menurut Ali (2006), dalam manajemen perbankan dapat diidentifikasikan beberapa jenis operational failure yang dapat menjadi akar dari operational risk, yaitu: 1. Risiko orang, berupa incompetency, fraud, dll. 2. Risiko proses, yang meliputi 3 kelompok (model risiko berupa metodologi yang error, risiko transaksi berupa risiko dokumentasi dan risiko pengendalian operasional berupa risiko keamanan). 3. Risiko sistem dan teknologi, berupa system failure, information risk, telecommunications failure.
2.4
Manajemen Risiko TI Bank
2.4.1 Pengertian Manajemen Risiko Teknologi Informasi Dengan adanya risiko-risiko di atas, perusahaan memerlukan suatu metode untuk mengelola risiko-risiko tersebut agar tidak menimbulkan efek Menurut Siahaan (2007), manajemen risiko adalah proses sistematik untuk mengelola risiko. Empat langkah dalam proses manajemen risiko meliputi identify risk, evaluate risk, select risk management techniques, dan implement and review teqhniques. Risiko juga dapat didefinisikan sebagai pure risk dan speculative risk. Menurut Firmansyah (2010), manajemen risiko merupakan proses antisipasi terhadap risiko agar kerugian tidak terjadi pada organisasi. Di dalam Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum yang dikeluarkan oleh Bank Indonesia, manajemen risiko Teknologi Indonesia bank adalah kemampuan bank memitigasi (mengurangi) risiko-risiko TI tergantung dari hasil identifikasi, pengukuran, pengendalian, dan pemantauan risiko-risiko terkait TI yang berpotensi mengancam keamanan dan operasional bank. Menurut Yulianti (2009), kajian manajemen risiko memang tengah naik daun. Oleh karena itu bank-bank tengah berselancar pada penerapan manajemen risiko yang merupakan proses berkesinambungan serta memakan banyak pikiran, tenaga, dan uang. Risiko di dalam konteks bisnis bank dan lembaga keuangan lainnya, tidaklah selalu mewakili sesuatu hal yang buruk. Kenyataannya risiko bisa mengandung di dalamnya suatu peluang yang sangat besar bagi mereka yang mampu mengelolanya dengan baik. Risiko dalam konteks perbankan merupakan suatu kejadian potensial baik yang dapat diperkirakan maupun yang tidak diperkirakan yang berdampak negatif terhadap terhadap pendapatan dan permodalan bank. Dalam
implementasi proses manajemen risiko, pada tahap awal bank harus secara tepat mengidentifikasi risiko dengan cara mengenal dan memahami seluruh risiko yang sudah ada (inherent risks) maupun yang mungkin timbul dari suatu bisnis baru bank, termasuk risiko yang bersumber dari perusahaan terkait dan afiliasi lainnya. Aspek terpenting dalam penerapan manajemen risiko adalah kecukupan prosedur dan metodologi pengelolaan risiko, sehingga kegiatan usaha bank tetap dapat terkendali (manageable) pada batas yang dapat diterima serta menguntungkan bank. Namun demikian mengingat perbedaan kondisi pasar struktur, ukuran serta kompleksitas usaha bank, tidak ada satu sistem manajemen risiko yang universal untuk seluruh bank, sehingga setiap bank harus membangun sistem manajemen risiko sesuai dengan fungsi dan organisasi manajemen risiko pada bank. Penerapan manajemen risiko tersebut, bermanfaat kepada perbankan maupun otoritas pengawasan bank. Bagi perbankan dapat meningkatkan share value, memberikan gambaran kepada pengelola bank mengenai kemungkinan kerugian bank di masa datang, meningkatkan metode dan proses pengambilan keputusan yang sistematis didasarkan atas ketersediaan informasi, digunakan sebagai dasar pengukuran yang lebih akurat mengenai kinerja bank, digunakan untuk menilai risiko yang melekat pada instrumen atau kegiatan usaha bank yang relatif kompleks serta menciptakan
infrastruktur
manajemen
risiko
yang
kokoh
dalam
rangka
meningkatkan daya saing bank. Bagi otoritas pengawasan bank, penerapan manjemen risiko akan mempermudah penilaian terhadap kemungkinan kerugian yang dihadapi bank, yang dapat mempengaruhi permodalan bank dan sebagai salah satu dasar penilaian dalam menetapkan strategi dan fokus pengawasan bank.
2.4.2 Manfaat dan Fungsi Manajemen Risiko TI pada Bank Menurut Fahmi (2010), dengan diterapkannya manajemen risiko di suatu perusahaan ada beberapa manfaat yang diperoleh, yaitu: 1. Perusahaan memiliki ukuran kuat sebagai pijakan dalam mengambil setiap keputusan, sehingga para manajer menjadi lebih berhati-hati dan selalu menempatkan ukuran-ukuran dalam berbagai keputusan. 2. Mampu memberi arah bagi suatu perusahaan dalam melihat pengaruhpengaruh yang mungkin timbul baik secara jangka pendek maupun jangka panjang. 3. Mendorong para manajer dalam mengambil keputusan untuk selalu menghindari risiko dan menghindari dari pengaruh terjadinya kerugian khususnya kerugian dari segi finansial. 4. Memungkinkan perusahaan memperoleh risiko kerugian yang minimum. 5. Dengan adanya konsep manajemen risiko (risk management concept) yang dirancang secara detail maka artinya perusahaan telah membangun arah dan mekanisme secara suistainable (berkelanjutan). Menurut Siahaan (2007), fungsi manajemen risiko dalam suatu organisasi dipercayakan pada kisaran a single risk champion, manajer risiko paruh waktu, hingga dipercayakan pada satu departemen khusus. Fungsi manajemen risiko adalah meliputi: •
Menetapkan kebijaksanaan dan strategi manajemen risiko.
•
Primary champion of risk management pada tingkat strategis dan operasional.
•
Membangun budaya sadar risiko di dalam organisasi melalui pendidikan yang memadai.
•
Menetapkan kebijaksanaan risiko internal dan struktur pada unit usaha.
•
Mendesain dan mengkaji ulang proses manajemen risiko.
•
Pengkoordinasian berbagai macam kegiatan fungsional yang memberikan nasihat tentang masalah-masalah manajemen risiko dalam organisasi.
•
Membangun proses cepat tanggap risiko, meliputi penyusunan program kontingensi dan kesinambungan bisnis.
•
Menyiapkan laporan tentang risiko kepada dewan direksi dan kepada stakeholders.
2.5
Bank dan Regulasi Bank Menurut Undang-undang Negara Republik Indonesia nomor 10 Tahun 1998
mengenai perbankan, yang dimaksud oleh bank adalah badan usaha yang menghimpun dana dari masyarakat dalam bentuk simpanan dan menyalurkannya kepada masyarakat dalam bentuk kredit dan atau bentuk-bentuk lainnya dalam rangka meningkatkan taraf hidup rakyat banyak. Menurut Ali (2006), dalam garis besarnya, terdapat beberapa target yang ingin dicapai oleh suatu regulasi perbankan yaitu: 1. Untuk memperbaiki tingkat keamanan industri perbankan, melalui penetapan capital requirement yang harus dipenuhi sejalan serta sesuai dengan risiko yang dihadapi oleh setiap bank. 2. Menciptakan permainan perbankan yang kompetitif melalui pembentukan benchmarks yang berlaku umum dalam bersaing dengan bank lainnya. 3. Untuk meningkatkan kewajaran dalam berusaha dan supervisory practices dalam perbankan. Dengan latar belakang itu, sedikitnya terdapat dua unsur yang wajib ditegakkan oleh suatu regulasi, yaitu :
1. Unsur keselamatan dalam menghadapi risiko bagi semua stakeholder. 2. Kelayakan regulasi dalam menciptakan rambu-rambu penangkal risiko tersebut.
2.5.1 Basel I (Basel Capital Accord I, 1998) Menurut Hardanto (2006), Basel I merupakan hasil usaha pertama The Basel Committee on Banking Supervision (BCBS) dalam menciptakan metodologi standar untuk menghitung besarnya risk-based capital yang harus dimiliki bank. BCBS didirikan pada tahun 1974 oleh gubernur bank sentral dari the Group of Ten (G10) untuk menfokuskan pada regulasi perbankan dan praktik supervisi. G10 mempunyai 11 negara anggota, yaitu Belgia, Kanada, Perancis, Jerman, Italia, Belanda, Swedia, Swiss, Inggris, Amerika, dan Jepang. Anggota BCBS terdiri atas perwakilan bank sentral dan supervisor dari G10 + Spanyol + Luxemburg (total ada 13 anggota). Basel I hanya mencakup risiko kredit dan keterkaitan antara risiko dan modal masih kasar (kurang sensitif). BCBS memiliki tiga tujuan utama dalam mengembangkan Basel I, yaitu: a. Memperkuat keandalan dan stabilitas dari sistem perbankan internasional. b. Menciptakan kerangka yang adil dalam mengukur kecukapan modal bank internasional. c. Mengembangkan kerangka yang dapat diimplementasikan secara konsisten dengan tujuan untuk mengurangi persaingan yang tidak seimbang di antara bank internasional. Namun demikian Basel I ini dinilai masih belum cukup mengatur manajemen risiko di perbankan karena terdapat kelemahan yang antara lain menggunakan
pendekatan “one-size-fits-all” yang sudah tidak relevan, yaitu tidak membedakan kualitas aset atau kualitas pengelolaan aset yang dimiliki oleh Bank. Selain itu pengelolaan risikonya belum mencakup seluruh risiko yang dihadapi bank (mis. risiko operasional, reputasi, strategi, likuiditas, dll.), melainkan baru risiko pasar dan risiko kredit.
2.5.2 Basel II (Basel Capital Accord II, 2004) Dengan adanya perkembangan dan telah disadarinya kelemahan-kelemahan yang ada pada Basel I, maka pada tahun 1999, BCBS mulai bekerja dengan beberapa bank besar di negara anggotanya untuk mengembangkan sebuah Capital Accord yang baru. Tujuan utamanya adalah merangkum semua risiko perbankan dalam satu comprehensive capital adequacy framework yang baru, kemudian dikenal dengan nama Basel II. Jenis-jenis risiko perbankan yang utama adalah: •
Market risk (risiko pasar)
•
Credit risk (risiko kredit)
•
Operational risk (risiko operasional)
•
Other risk (risiko lain) Risiko operasional sangat terkait dengan banyaknya masalah yang timbul
karena kelemahan proses didalam bank. Namun demikian risiko operasional tidak hanya terdapat pada bank saja, tetapi pada setiap jenis usaha. Risiko operasional merupakan risiko yang penting yang dapat mempengaruhi nasabah secara harian. Itu sebabnya mengapa bank meningkatkan fokus perhatiannya pada proses, prosedur dan pengawasan yang sejalan dengan risiko operasional. Berbagai bentuk risiko operasional, seperti penipuan, telah dikelola secara aktif oleh bank melalui teknologi, pengendalian dan sistem keamanan yang
digunakan bank.
Pada Pilar 1 Basel II Capital Accord bank dipersyaratkan untuk
mengkuantifikasi dan mengalokasikan kebutuhan modal sesuai ketentuan
untuk
mengantisipasi potensi kerugian risiko operasional. Basel II bertujuan meningkatkan keamanan dan kesehatan sistem keuangan, dengan menitikberatkan pada perhitungan permodalan yang berbasis risiko, supervisory review process, dan market discipline. Framework Basel II disusun berdasarkan forward-looking approach yang memungkinkan untuk dilakukan penyempurnaan dan penyesuaian dari waktu ke waktu. Hal ini untuk memastikan bahwa framework Basel II dapat mengikuti perubahan yang terjadi di pasar maupun perkembangan-perkembangan dalam manajemen risiko. Menurut Basel II yang dikutip oleh Djanggola (2010), risiko operasional dapat dibagi menjadi tujuh jenis loss-events yang perlu diwaspadai oleh bank, yaitu: 1. Internal fraud, kerugian yang disebabkan oleh tindakan kejahatan dengan sengaja untuk melakukan penyelewengan dengan memotong jalur peraturan yang sekurang-kurangnya melibatkan 1 (satu) orang dalam atau tindakan yang sengaja dilakukan untuk melakukan fraud, perilaku yang tidak patut atau melanggar peraturan, hukum, atau kebijakan perusahaan. Misalnya korupsi (penyalahgunaan uang perusahaan), misreporting terhadap posisi account, pencurian oleh karyawan dan insider trading bagi keuntungan employee’s own account. 2. External fraud, kerugian yang disebabkan oleh tindakan kejahatan dengan sengaja untuk melakukan penyelewengan dengan memotong jalur peraturan yang dilakukan oleh pihak ketiga (melibatkan orang luar). Misalnya perampokan, pencurian, forgery, check kitting dan kerusakan yang diderita sebagai akibat dari computer hacking.
3. Employment practices & workplace safety, kerugian yang disebabkan oleh diabaikannya ketentuan ketenagakerjaan dan keselamatan kerja yang menimbulkan tuntutan hukum. Misalnya tindakan diskriminasi karyawan, pelanggaran peraturan kesehatan dan keselamatan karyawan. 4. Clients, products & business practices, kerugian yang disebabkan oleh kegagalan memenuhi kewajiban profesional kepada nasabah karena unsur kelalaian, ketidaksengajaan, atau gagal dalam memenuhi standar hubungan dengan nasabah sesuai yang diperjanjikan (desain spesifik produk) dan ketentuan hukum lainnya. Misalnya penyalahgunaan informasi rahasia nasabah, perbedaan manfaat yang diterima oleh nasabah antara sebelum dan sesudah kontrak berjalan 5. Damage to physical assets, kerugian yang disebabkan oleh kerusakan dari asset perusahaan secara fisik karena adanya bencana alam atau peristiwa lainnya. Misalnya terorisme, banjir, gempa bumi dan kebakaran. 6. Business disruption & system failure, kerugian yang disebabkan karena adanya gangguan terhadap kegiatan operasional perusahaan atau kegagalan sistem. Misalnya hardware dan software failures, utility outages (sarana yang sudah terlalu tua), pemadaman listrik, gangguan telekomunikasi atau server down. 7. Execution, delivery & process management, kerugian yang disebabkan oleh gagalnya proses transaksi atau proses manajemen atau sebagai akibat dari hubungan dengan trade counterparties dan vendors, termasuk hubungan dengan counterparty. Misalnya data entry error, collateral management failures, incomplete legal documentation dan unapproved access to client accounts.
2.5.3 Bank Indonesia Bank Indonesia (BI) bertindak sebagai bank sentral dari sistem perbankan Indonesia. BI adalah lembaga negara yang independen dari kontrol pemerintah. Sasaran utama BI adalah menjaga stabilitas nilai tukar rupiah. Untuk mencapai sasaran utama tersebut, BI bertanggung jawab untuk: •
Merumuskan dan mengimplementasikan kebijakan moneter.
•
Memelihara dan menjaga kelancaran sistem pembayaran.
•
Mengatur dan mengawasi bank. Posisinya yang strategis dalam bidang ekonomi itu memiliki peranan yang
utama yaitu: •
Sebagai lembaga intermediasi Bank menghimpun dana dari masyrakat dan menyalurkannya kembali kepada masyrakat. Peranannya ini telah mengubah penggunaan dana masyrakat tersebut menjadi lebih produktif. Kegiatan produktif itu dapat berupa pembangunan industri, perdagangan serta investasi pada prasarana ekonomi.
•
Peranan bank sebagai lembaga penyelenggara dan penyedia layanan jasa di bidang keuangan serta lalu lintas pembayaran maupun pemberian jasa keuangan lainnya. Menurut definisi Peraturan Bank Indonesia (PBI) No.5/8/PBI/2003 tentang
Penerapan Manajemen Risiko bagi Bank Umum, risiko adalah potensi terjadinya suatu peristiwa (events) yang dapat menimbulkan kerugian bank. Risiko yang dihadapi bank dalam melakukan kegiatan bisnisnya dan struktur pengawasan yang diperlukan untuk mengelola risiko tersebut, yang meliputi: •
Identifikasi risiko,
•
Pengukuran risiko,
•
Pemantauan risiko,
•
Pengendalian risiko. Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum, paling
kurang memuat: 1. Penerapan Manajemen Risiko Secara Umum, yang mencakup mengenai pengawasan aktif Dewan Komisaris dan Direksi; kecukupan kebijakan, prosedur, dan penetapan limit; kecukupan proses identifikasi, pengukuran, pemantauan, dan pengendalian Risiko, serta sistem informasi Manajemen Risiko; dan sistem pengendalian intern yang menyeluruh. 2. Penerapan Manajemen Risiko untuk Masing-Masing Risiko, yang mencakup penerapan Manajemen Risiko untuk masing-masing Risiko yang meliputi 8 (delapan) Risiko yaitu Risiko Kredit, Risiko Pasar, Risiko Likuiditas, Risiko Operasional, Risiko Hukum, Risiko Stratejik, Risiko Kepatuhan, dan Risiko Reputasi. 3. Penilaian Profil Risiko, yang mencakup penilaian terhadap Risiko inheren dan penilaian terhadap kualitas penerapan Manajemen Risiko yang mencerminkan sistem pengendalian Risiko (risk control system), baik untuk Bank secara individual maupun untuk Bank secara konsolidasi. Penilaian tersebut dilakukan terhadap 8 (delapan) Risiko yaitu Risiko Kredit, Risiko Pasar, Risiko Likuiditas, Risiko Operasional, Risiko Hukum, Risiko Stratejik, Risiko Kepatuhan, dan Risiko Reputasi. Dalam melakukan penilaian profil Risiko, Bank wajib mengacu pada ketentuan Bank Indonesia yang mengatur mengenai penilaian tingkat kesehatan Bank Umum. Kebijakan pengelolaan TI pada umumnya bertujuan untuk memastikan bahwa penyelenggaraan TI dapat mendukung pencapaian rencana bisnis Bank dan
memastikan risiko yang terkait baik secara langsung maupun tidak langsung dengan penyelenggaraan TI tersebut dapat diatasi. Dalam melakukan identifikasi dan penilaian risiko tersebut, manajemen terlebih dahulu harus memastikan adanya risk awareness di seluruh lini Bank yaitu: a. risk awareness dari pejabat eksekutif dan direksi; b. pemahaman yang jelas mengenai risk appetite dari Bank; c. pemahaman terhadap ketentuan yang berlaku; d. transparansi dan integrasi tanggung jawab mengenai risiko-risiko yang signifikan dari setiap aspek terkait penyelenggaraan TI. Untuk dapat memastikan hal-hal di atas, Bank dapat menjalankan risk awareness program bagi seluruh pegawai dan pengurus Bank atau menjalankan metode lain yang dapat meningkatkan kesadaran para pengguna TI akan risiko yang ada. Manajemen risiko yang terintegrasi mengharuskan bank untuk: 1. Mengelola risiko-risiko dalam satu struktur manajemen risiko yang terintegrasi, dan 2. Membangun sistem dan struktur manajemen yang memadai untuk mencapai hal tersebut. Direksi setiap bank memiliki tugas untuk mengelola risiko secara efektif. Untuk itu dibutuhkan: a. Pengawasan aktif dewan komisaris, dewan direksi dan pejabat (staff) manajemen risiko terhadap risiko yang diambil oleh bank. b. Kebijakan dan prosedur untuk menetapkan limit dari risiko-risiko yang diambil bank.
c. Prosedur untuk mengidentifikasi, mengukur, memantau dan mengendalikan risiko-risiko. d. Struktur manajemen informasi yang layak untuk mendukung manajemen risiko. e. Struktur pengendalian internal untuk mengelola risiko-risiko. Bank Indonesia mengharapkan bank yang memiliki operasi bisnis yang sangat kompleks termasuk trading mata uang dan obligasi, kredit dalam valuta asing, dan sekuritasasi harus memiliki struktur manajemen risiko yang lebih kompleks dibandingkan bank yang secara relatif hanya memiliki bisnis tabungan dan pinjaman yang sederhana. Struktur manajemen risiko harus didesain untuk memastikan bahwa unit pengambil risiko (risk-taking unit) bersifat independen dari unit audit internal dan juga independen dari departemen manajemen risiko. Bank Indonesia mewajibkan seluruh bank memiliki struktur manajemen yang mencakup risiko-risiko sebagai berikut: 1. Risiko pasar 2. Risiko kredit 3. Risiko operasional 4. Risiko likuiditas yaitu risiko yang disebabkan oleh ketidakmampuan bank memenuhi kewajiban yang telah jatuh tempo. Jika bank memiliki model bisnis yang lebih kompleks, Bank Indonesia mewajibkan bank juga mengelola: 1. Risiko hukum atau legal 2. Risiko reputasi 3. Risiko strategik
4. Risiko kepatuhan yaitu risiko yang timbul karena bank tidak mematuhi atau tidak melaksanakan peraturan perundang-undangan dan ketentuan lain yang berlaku. Jika sebuah bank menderita kerugian sehubungan dengan adanya beberapa risiko yang telah dijelaskan tersebut, bank diharuskan untuk melakukan monitoring terhadap perilaku risio tersebut di masa depan. Laporan-laporan yang harus diberikan bank kepada BI adalah: 1. Laporan Profil Risiko Bank harus melaporkan profil risiko mereka kepada Bank Indonesia. Laporan tersebut harus sama dengan laporan yang dihasilkan oleh unit manajemen risiko untuk pimpinan unit (Chief Risk Officer) dan untuk komite manajemen risiko. Laporal profil risiko harus dibuat setiap tiga bulan yaitu Maret, Juni, September, dan Desember, serta disampaikan kepada Bank Indonesia dalam tujuh hari setiap akhir triwulan. 2. Laporan Produk dan Layanan Baru Bank harus melaporkan kepada Bank Indonesia produk dan layanan baru untuk nasabah. Laporan tersebut harus disampaikan kepada Bank Indonesia tujuh hari kerja setelah produk dan layanan baru tersebut efektif dilaksanakan. 3. Laporan Kerugian Finansial yang Signifikan Setiap bank yang menderita kerugian yang signifikan, harus segera melaporkan ke Bank Indonesia. 4. Laporan yang Dipublikasikan
Setiap laporan keuangan, bank harus memublikasikan informasi tentang kebijakan dan strategi manajemen risiko, dan ketaatan mereka terhadap limit risiko. Seluruh publikasi harus mendapat persetujuan dari Bank Indonesia. Bank Indonesia memiliki wewenang untuk memberikan sanksi kepada bank yang tidak mematuhi peraturan perbankan. Sanksi tersebut dapat berupa pengenaan denda, sampai yang terberat adalah pencabutan izin bank. Menurut Bank Indonesia, bank wajib memiliki pendekatan manajemen risiko yang terpadu (terintegrasi) untuk dapat melakukan identifikasi, pengukuran, pemantauan dan pengendalian risiko secara efektif. Risiko terkait teknologi wajib dikaji ulang bersamaan dengan risiko-risiko lainnya yang dimiliki Bank untuk menentukan risk profile bank secara keseluruhan. Adapun risiko terkait penyelenggaraan TI yang utama adalah: 1. Risiko Operasional Risiko operasional melekat di setiap produk dan layanan yang disediakan Bank. Penggunaan TI dapat menimbulkan terjadinya risiko operasional yang disebabkan
oleh
antara
lain
ketidakcukupan/ketidaksesuaian
desain,
implementasi, pemeliharaan sistem atau komputer dan perlengkapannya, metode pengamanan, testing dan standar internal audit serta penggunaan jasa pihak lain dalam penyelenggaraan TI. 2. Risiko Kepatuhan Risiko kepatuhan dapat timbul bila Bank tidak memiliki sistem yang dapat memastikan kepatuhan Bank terhadap ketentuan yang berlaku bagi Bank seperti kerahasiaan data nasabah. Risiko kepatuhan dapat berdampak buruk terhadap reputasi serta citra Bank, juga berdampak pada kesempatan berusaha dan kemungkinan ekspansi.
3. Risiko Hukum Bank menghadapi risiko hukum yang disebabkan adanya tuntutan hukum, ketiadaan peraturan perundangan yang mendukung atau kelemahan perikatan seperti tidak dipenuhinya syarat sah suatu kontrak. 4. Risiko Reputasi Opini publik yang negatif dapat timbul antara lain karena kegagalan sistem yang mendukung produk, kasus yang ada pada produk Bank dan ketidakmampuan Bank memberikan dukungan layanan nasabah pada saat terjadi kegagalan sistem (downtime). Opini negatif ini dapat menurunkan kemampuan Bank memelihara loyalitas nasabah dan keberhasilan produk dan layanan Bank. 5. Risiko Strategis Risiko ini timbul karena ketidakcocokan TI yang digunakan Bank dengan tujuan strategis Bank dan rencana strategis yang dibuat untuk mencapai tujuan tersebut. Hal ini karena kualitas implementasi maupun sumber daya yang digunakan TI kurang memadai. Sumber daya tersebut mencakup saluran komunikasi, operating systems, delivery network, serta kapasitas dan kapabilitas pengelola TI.
2.5.3.1 Proses Manajemen Risiko TI Bank 1. Penilaian risiko Dalam menggunakan teknologi, manajemen Bank harus menggunakan proses analisis yang ketat, menyeluruh, hati-hati & akurat, untuk mengidentifikasi dan mengkuantifikasi risiko serta memastikan pengendalian risiko diterapkan. Untuk itu penilaian risiko yang dilakukan Bank perlu dilakukan secara
berkesinambungan dengan suatu siklus yang minimal mencakup empat langkah penting sebagai berikut: a. Pengumpulan data/dokumen atas aktivitas terkait TI yang berpotensi menimbulkan atau meningkatkan risiko baik dari kegiatan yang akan maupun sedang berjalan termasuk namun tidak terbatas pada: •
Aset TI yang kritikal, dalam rangka mengidentifikasi titik-titik akses dan penyimpangan terhadap informasi nasabah yang bersifat rahasia;
•
Hasil review rencana strategis bisnis, khususnya review terhadap penilaian risiko potensial;
•
Hasil due dilligence dan pemantauan terhadap kinerja pihak penyedia jasa;
•
Hasil review atas laporan atau keluhan yang disampaikan oleh nasabah dan atau pengguna TI ke Call Center dan atau Help Desk;
•
Hasil Self Assessment yang dilakukan seluruh satuan kerja terhadap pengendalian yang dilakukan terkait TI;
•
Temuan-temuan audit terkait penyelenggaraan dan penggunaan TI.
b. Analisis risiko berkaitan dengan dampak potensial dari tiap-tiap risiko, misalnya dari fraud di pemrograman, virus komputer, kegagalan sistem,bencana alam, kesalahan pemilihan teknologi yang digunakan, masalah pengembangan dan implementasi sistem, kesalahan prediksi perkembangan bisnis Bank. c. Penetapan prioritas pengendalian dan langkah mitigasi yang didasarkan pada hasil penilaian risiko Bank secara keseluruhan. Untuk itu Bank harus membuat peringkat risiko berdasarkan kemungkinan kejadian dan
besarnya dampak yang dapat ditimbulkan serta mitigasi risiko yang dapat dilakukan untuk menurunkan eksposure risiko tersebut. d. Pemantauan kegiatan pengendalian dan mitigasi yang telah dilakukan atas risiko yang diidentifikasi dalam periode penilaian risiko sebelumnya, yang antara lain mencakup rencana tindak lanjut perbaikan, kejelasan akuntabilitas dan tanggung jawab, sistem pelaporan, pengendalian kualitas termasuk compensating control 2. Proses Pengukuran Dan Pemantauan Risiko Seperti telah diuraikan sebelumnya terdapat beberapa jenis risiko yang terkait dengan penggunaan TI namun yang terbesar potensinya adalah risiko operasional. Hal ini perlu mendapat perhatian mengingat risiko operasional sulit dikuantifikasi. Bank perlu memperhatikan signifikansi dampak risiko yang telah diidentifikasi oleh Bank terhadap kondisi bank serta frekuensi terjadinya risiko. Metode yang dapat digunakan Bank dapat berupa kuantitatif maupun kualitatif tergantung kompleksitas usaha dan teknologi yang digunakan. Dalam metode kualitatif, besarnya dampak dan sering tidaknya kejadian (likelihood) dapat dijelaskan secara naratif atau dengan pemberian ranking. Contoh metode pengukuran yang sederhana antara lain dengan menggunakan check list atau menggunakan subjective risk rating seperti High, Medium atau Low. Bank harus menetapkan kriteria High, Medium atau Low dalam risk rating tersebut dan menerapkannya secara konsisten. Terdapat banyak program aplikasi pengukuran risiko yang menggunakan metode kuantitatif. Dalam metode ini digunakan data statistik mengenai kejadian dan besarnya dampak. Risiko diukur berdasarkan rata-rata tingkat
kejadian (rate of occurance) dan besarnya dampak dari kejadian (the severity of the consequences/impact). Beberapa bank menggunakan VAR untuk pengukuran risiko dengan metode kuantifikasi yang menganalisa database likelihood dan dampak dari kejadiankejadian yang telah lalu. Apabila Bank menggunakan paket sistem informasi manajemen risiko yang mencakup aplikasi pengukuran risiko sebagai alat bantu penerapan manajemen risiko dalam penggunaan TI, maka Bank harus memperhatikan asumsi yang digunakan dalamsistem tersebut, serta pertimbangan bisnis (business commonsense) dan pertimbangan profesi (profesional dilligence). 3. Implementasi Pengendalian Teknologi Informasi Manajemen harus menerapkan praktek-praktek pengendalian yang memadai sebagai bagian dari strategi mitigasi risiko TI secara keseluruhan. Praktekpraktek pengendalian antara lain: a. penerapan kebijakan, prosedur, struktur organisasi termasuk alur kerjanya; b. pengendalian intern yang efektif yang dapat memitigasi risiko dalam proses TI. c. Cakupan dan kualitas pengendalian intern adalah kunci utama dalam proses manajemen risiko sehingga manajemen harus mengidentifikasi persyaratan spesifik pengendalian intern yang diperlukan dalam setiap kebijakan dan prosedur yang diterapkan; d. manajemen wajib menetapkan kebijakan dan prosedur serta standar (sistem pengelolaan pengamanan informasi) yang diperlukan Bank untuk melakukan
pengamanan
aset-aset
terkait
penyelenggaraan
dan
penggunaan TI termasuk di dalamnya data atau informasi. Aturan lebih lanjut mengenai Pengamanan dapat dilihat pada Bab V - Pengamanan Informasi; e. manajemen harus mengevaluasi hasil kaji ulang (review) dan pengujian atas BCP untuk setiap bagian operasional yang kritis. Aturan lebih lanjut mengenai BCP dapat dilihat pada Bab VI - Business Continuity Plan. Seperti halnya dalam pengelolaan pengamanan
informasi, BCP
merupakan suatu strategi yang menyeluruh dan dilaksanakan oleh segenap satuan kerja yang ada di Bank; f. manajemen wajib memastikan terdapat kebijakan dan prosedur mengenai penggunaan pihak penyedia jasa. direksi harus memiliki pemahaman secara menyeluruh
atas
risiko
yang
berhubungan
dengan
penggunaan jasa pihak penyedia jasa untuk sebagian atau semua operasional TI. Untuk itu satuan kerja TI harus melakukan evaluasi kemampuan penyedia jasa untuk menjaga tingkat keamanan paling tidak sama atau lebih ketat dari yang diterapkan oleh pihak intern Bank baik dari sisi kerahasiaan, integritas data dan ketersediaan informasi. Pengawasan dan pemantauan yang ketat harus dilakukan karena tanggung jawab manajemen Bank tidak hilang atau menjadi berkurang dengan melakukan outsourcing operasional TI kepada pihak penyedia jasa TI. Aturan lebih lanjut dapat dilihat pada Bab X- Outsourcing; g. selain menerapkan bentuk pengendalian tersebut di atas, asuransi dapat digunakan sebagai pelengkap upaya memitigasi potensi kerugian dalam penyelenggaraan TI. Risiko yang perlu diasuransikan adalah residual risk.
Bank hendaknya melakukan review secara periodik atas kebutuhan, cakupan dan nilai asuransi yang ditutup. Menurut Bank Indonesia yang dituliskan pada Pedoman Penerapan Manajemen Risiko, Proses manajemen risiko adalah mengidentifikasi, mengukur, mengendalikan, dan memantau risiko pada fungsi-fungsi yang terkait dengan operasional TI. 1. Identifikasi Risiko Operasional TI Proses identifikasi dimulai dengan pemahaman yang komprehensif terhadap bagaimana Bank mengoperasikan TI demi mendukung tujuan organisasi kemudian mengidentifikasi risiko yang dihadapi Bank. Manajemen harus memperhatikan kejadian atau aktivitas yang dapat mengganggu operasional antara lain hal-hal berikut ini: a. Kesalahan investasi teknologi termasuk penerapan yang tidak benar, kegagalan dari pihak supplier, pendefinisian dari kebutuhan bisnis yang tidak tepat, ketidaksesuaian dengan sistem-sistem yang ada, atau keusangan software (termasuk hilangnya dukungan vendor terhadap perangkat keras dan perangkat lunak yang digunakan oleh Bank). b. Permasalahan pengembangan sistem dan implementasi termasuk ketidakcukupan manajemen proyek, biaya dan waktu yang melebihi batas, error pada pemrograman, kegagalan untuk mengintegrasikan atau migrasi dari sistem yang ada, atau kesalahan dari sebuah sistem untuk memenuhi kebutuhan pengguna. c. Permasalahan pada kapasitas sistem seperti kekurangan pada perencanaan
kapasitas,
ketidakcukupan
kapasitas
untuk
mengakomodasi fleksibilitas sistem, ketidakcukupan software untuk mengakomodasi pengembangan bisnis. d. Kegagalan sistem termasuk pada jaringan, interface, perangkat keras, perangkat lunak, atau kegagalan komunikasi internal. e. Pelanggaran pada keamanan sistem termasuk pelanggaran pada keamanan eksternal dan internal, penipuan dalam pemrograman, atau virus pada komputer. 2. Pengukuran Risiko Operasional TI Tinggi rendahnya risiko yang diukur tergantung pada faktor-faktor yang terkait antara lain terdiri dari: a. tingkat kepentingan bisnis; b. perubahan pada cakupan sistem atau proses; c. lokasi pengaksesan sistem (internal atau eksternal, termasuk internet, dial-up, atau WAN); d. sumber aplikasi: beli paket, dikembangkan secara internal, atau kombinasi dari keduanya; e. cakupan dan tingkat kekritisan sistem atau banyaknya unit bisnis yang terpengaruh; f. kompleksitas tipe pemrosesan (batch, real-time, client/server, parallel distributed); g. volume transaksi dan nilai transaksi; h. klasifikasi dan sensitivitas data yang diproses atau digunakan; i. dampak pada data (read, download, upload, update atau alter); j. tingkat pengalaman dan kemampuan pengelola TI; k. kecukupan jumlah dan kemampuan staf pelaksana;
l. keragaman platform, aplikasi dan delivery channel; m. jumlah pengguna dan nasabah; n. perubahan regulasi; o. adanya risiko yang baru atau sedang berkembang dari teknologi yang sedang dikembangkan atau risiko keusangan teknologi; p. adanya kelemahan audit atau kelemahan yang ditemui dalam selfassessment. 3. Pengendalian Risiko Operasional TI Atas setiap fungsi operasi TI yang ada, Bank harus memitigasi risiko yang telah diidentifikasi dan diukur dengan cara-cara pengendalian yang telah ditetapkan dalam kebijakan dan prosedur operasional TI Bank. Meskipun telah dimitigasi, Bank harus tetap memantau risiko yang dikendalikan dan risiko sisa karena setiap gangguan yang terdapat pada operasional TI pada akhirnya berdampak pada risiko operasional, stategis, transaksi, dan reputasi Bank.
2.5.4 Perbedaan Risiko Berdasarkan Basel II dan PBI Meskipun peraturan Bank Indonesia mengambil apa yang diatur dalam Basel II, namun ada sedikit perbedaan mengenai definisi risiko. Menurut Fardiansyah (2006), definisi risiko dapat dibedakan antara definisi risiko berdasarkan peraturan Bank Indonesia dengan definisi berdasarkan Basel II sebagai berikut: Jenis Risiko Risiko
Definisi PBI
Definisi Basel II
Risiko yang antara lain
Risiko yang ditimbulkan
Operasional
disebabkan adanya
dari tidak memadainya
(Operational
ketidakcukupan dan atau
atau kegagalan internal
Risk)
tidak berfungsinya proses
proses, orang, sistem atau
internal, kesalahan
dari kejadian eksternal.
manusia, kegagalan sistem atau adanya problem eksternal yang mempengaruhi operasional bank. Tabel 2.1 Perbedaan definisi risiko berdasarkan Basel II dan PBI
2.6
Metode-metode yang Biasa Digunakan Berdasarkan penelitian yang dilakukan, maka ditemukan beberapa metode
risiko teknologi informasi di antaranya yaitu metode NIST, OCTAVE dan FRAP.
2.6.1 NIST (National Institute of Standard and Technology) Menurut Peltier (2000), NIST mengeluarkan rekomendasi melalui publikasi khusus 800-30 tentang Risk Management Guide for Information Technology System di mana terdapat tiga proses pengelolaan risiko, yaitu: 1. Proses Penilaian Risiko. a. Karakteristik Sistem Dalam menilai risiko untuk sebuah sistem Teknologi Informasi, langkah pertama adalah untuk menentukan cakupan usaha. pada tahap ini, batasbatas terhadap sistem yang diidentifikasi, bersama dengan sumber daya dan informasi yang merupakan sistem. Karakteristik sebuah sistem Teknologi Informasi membentuk ruang lingkup dari risiko usaha yang menggambarkan operasional otorisasi dan akreditasi batas-batas, dan
menyediakan
informasi
(misalnya
hardware,
software,
sistem
konektivitas dan divisi yang bertanggung jawab atau dukungan personil) yang penting untuk menentukan risiko. b. Identifikasi Ancaman Identifikasi ancaman yang mungkin menyerang kelemahan sistem Teknologi Informasi. Sebuah kelemahan atau kerentanan dapat dipicu dari kesengajaan atau ketidaksengajaan, sebuah sumber ancaman tidak akan menghasilkan sebuah risiko jika tidak ada kelemahan yang dibiarkan. Dalam mempertimbangkan kemungkinan adanya ancaman, hal yang tidak boleh diabaikan, yaitu: mempertimbangkan sumber ancaman, potensi kerentanan dan kontrol yang ada. c. Identifikasi Kerentanan Analisis ancaman untuk sebuah sistem Teknologi Informasi harus disertai analisis dari kerentanan yang terkait dengan sistem lingkungan. Tujuan dari langkah ini adalah untuk mengetahui kekurangan atau kelemahan dari sistem yang dapat dieksploitasi oleh sumber ancaman. d. Analisis Pengendalian Tujuan dari langkah ini adalah menganalisa pengendalian yang telah dilaksanakan
atau
direncanakan
untuk
meminimalkan
atau
menghilangkan kemungkinan-kemungkinan ancaman dari kelemahan atau kekurangan yang ada. e. Penentuan Kemungkinan/ Kecenderungan Untuk mendapatkan keseluruhan penilaian terhadap kemungkinan atau kecenderungan yang menunjukkan adanya peluang kelemahan yang dapat
dilakukan oleh lingkungan ancaman. Berikut ini faktor-faktor yang harus dipertimbangkan: o Motivasi dan sumber ancaman o Sifat dan kerentanan o Keberadaan dan efektivitas pengendalian saat ini f. Analisis Dampak Menentukan hasil dari dampak paling buruk yang mungkin terjadi dari sebuah ancaman yang timbul. Sebelum memulai analisis dampak, diperlukan informasi sebagai: o Sistem misi (misalnya, proses yang dilakukan oleh sistem Teknologi Informasi) o Sistem dan data kritikal (misalnya, sistem nilai atau pentingnya untuk sebuah organisasi) o Sistem dan sensitivitas data g. Penentuan Risiko Tujuan dari langkah ini adalah untuk menilai tingkat risiko bagi sistem Teknologi Informasi. Penentuan tingkat risiko ini merupakan suatu fungsi, yaitu: o Kecenderungan suatu sumber ancaman menyerang kerentetan dari sistem Teknologi Informasi o Besarnya dampak yang akan terjadi jika sumber ancaman sukses menyerang kerentanan dari sistem Teknologi Informasi. o Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi dan menghilangkan risiko. h. Rekomendasi Pengendalian
Selama
proses
ini,
pengendalian
yang
dapat
mengurangi
atau
mengeliminasi risiko yang diidentifikasi. Tujuan dari rekomendasi pengendalian adalah mengurangi tingkat risiko bagi sistem Teknologi Informasi dan data ke tingkat yang dapat diterima oleh organisasi. Faktorfaktor yang harus meminimalkan atau mengeliminasi risiko diidentifikasi, yaitu: keefektifan dari pilihan yang direkomendasikan, perundangundangan dan peraturan kebijakan organisasi, dampak operasional, keselamatan atau kehandalan. i. Dokumentasi Hasil-hasil setelah pengukuran risiko selesai dilakukan (sumber ancaman dan kerentanan telah diidentifikasi, penilaian risiko dan rekomendasi pengendalian tersedia). Hasil-hasil yang ada harus didokumentasikan dalam laporan resmi. 2. Proses Pengurangan Risiko. Terdapat beberapa strategi dalam pengurangan risiko, yaitu dengan menerima risiko (risk assumption), mencegah terjadinya risiko (risk avoidance), membatasi level risiko (risk limitation), perencanaan risiko (risk plan), penelitian dan pengakuan (research and acknowledgement), mentransfer risiko (risk transference). Metodologi pengurangan risiko menggambarkan pendekatan untuk mengimplementasikan pengendalian, yang terdiri dari: o Memprioritaskan tindakan dalam mengevaluasi pengendalian yang direkomendasikan. o Melakukan cost-benefit analysist. o Memilih pengendalian. o Memberikan tanggung jawab.
o Mengembangkan
rencana
implementasi
perlindungan
serta
implementasi pengendalian yang dipilih. 3. Proses Evaluasi Risiko. Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko yang diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko kembali untuk memastikan keberadaan risiko yang teridentifikasi maupun risiko yang belum teridentifikasi.
2.6.2 OCTAVE (The Operationally Critical Threat, Asset and Vulnerability Evaluation) Menurut Supradono (2009), untuk mengelola risiko keamanan informasi adalah mengenali apakah risiko organisasi yang menerapkannya. Setelah risiko diidentifikasi, organisasi dapat membuat rencana penanggulangan dan mengurangi/ mitigasi risiko terhadap masing-masing risiko yang telah diketahui. Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) yang dikembangkan Software Engineering Institute, Carnegie Mellon University, 1999 memungkinkan organisasi melakukan hal di atas. OCTAVE adalah sebuah pendekatan terhadap evaluasi risiko keamanan informasi
yang
komprehensif,
sistematik,
terarah,
dan
dilakukan
sendiri.
Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi risiko keamanan informasi. Kriteria OCTAVE memerlukan eveluasi yang harus dilakukan oleh sebuah tim interdisipliner yang terdiri dari personil teknologi informasi dan bisnis organisasi. Anggota tim bekerjasama untuk membuat keputusan berdasarkan risiko terhadap aset informasi kritis organisasi. Pada akhirnya, kriteria OCTAVE memerlukan katalog informasi untuk mengukur praktek
organisasi, menganalisa ancaman, dan membangun strategi proteksi dan catalog ini menjadikan sumber database pengetahuan. Katalog ini meliputi: •
catalog of practices – sebuah koleksi strategi dan praktek keamanan informasi
•
generic threat profile – sebuah koleksi sumber ancaman secara umum.
•
catalog of vulnerabilities – sebuah koleksi dari kelemahan berdasarkan platform dan aplikasi.
2.6.3 FRAP (Facilitated Risk Analysis Process) FRAP menurut Peltier (2000) adalah suatu proses yang dikembangkan secara efisien dan teratur untuk memastikan keamanan informasi dari proses bisnis yang berisiko dipertimbangkan dan didokumentasikan. Dalam metode ini dapat dianalisis sistem dari perusahaan, aplikasi yang digunakan atau proses bisnis dalam perusahaan. Selama sesi FRAP, tim mengidentifikasi ancaman, kerentanan dan dampak negatif pada integritas data, kerahasiaan dan ketersediaan informasi. Dalam proses analisis risiko dengan menggunakan metode FRAP, akan dihasilkan dokumen-dokumen yang meliputi data ancaman, melakukan prioritas terhadap ancaman serta membuat daftar pengendalian. Selain itu, proses FRAP juga bersifat cost-effective yaitu hemat biaya karena FRAP tidak memakan waktu lamadalam pengerjaannya dan menggunakan sumber daya manusia dari dalam perusahaan yang bersangkutan. Proses pengukuran risiko dengan menggunakan metode FRAP dibagi menjadi 4 sesi berbeda, yaitu: 1. Pre-FRAP meeting
Merupakan sesi yang paling penting dalam proses menganalisis risiko. Sesi ini memakan waktu sekitar 1 jam dan melibatkan manajer bisnis, pimpinan proyek dan fasilitator. Terdapat tiga komponen penting yang dihasilkan pada proses ini, antara lain: o Scope statement: pemimpin proyek dan manajer bisnis perlu untuk membuat pernyataan kesempatan untuk ditinjau. o Visual model: merupakan gambaran dari proses analisis atau foil diagram yang menggambarkan proses yang akan di-review. o Establish the FRAP team: Tim FRAP biasanya terdiri dari 7-15 anggota dan memiliki perwakilan dari bagian bisnis dan daerah. 2. The FRAP session Dari beberapa organisasi, proses ini diperluaskan menjadi 3 hari, tetapi pada umumnya proses ini hanya memakan waktu 4 jam dan melibatkan sekitar 715 orang dan paling banyak 50 orang dan paling sedikit 4 orang. Dalam metode ini terdapat 3 proses, yaitu: o Risk identified: Tim FRAP sama-sama mengidentifikasi risiko-risiko yang berkemungkinan mengancam sistem informasi perusahaan. o Risk prioritized: tim FRAP membuat prioritas risiko-risiko yang akan dihadapi, mulai dari yang paling tinggi ke yang paling rendah dengan menggunakan tabel yang berhubungan dengan impact terhadap bisnis dan vulnerability-nya.
Gambar 1.2 Sample Priority Matrix o Controls identified: dari risiko-risiko yang akan dihadapi, tim FRAP membuat
kontrol
perlindungan
yang
bisa
dilakukan
untuk
menghadapi atau mengurangi risiko-risiko tersebut.
3. FRAP analysis and report generation Proses ini memakan waktu sekitar 4 sampai 6 hari. Diselesaikan oleh fasilitator dan scribe. Proses ini menggunakan beberapa metode penelitian, yaitu: o Annualized Lost Exposure (ALE) o Annualized Rate of Occurence (ARO) o Single-time Loss Expectancy (SLE) o Exposure Factor (EF) 4. Post FRAP meeting Proses ini merupakan sesi terakhir dari FRAP, yang memakan waktu sekitar satu jam dan melibatkan manajer bisnis, pimpinan proyek dan fasilitator. Post FRAP meeting dibagi menjadi dua proses, yaitu: o Cross referance sheet
Merupakan kertas kerja yang dibuat berdasarkan tabel risiko dan tabel pengendalian untuk mengidentifikasi pengendalian yang cocok dengan risiko yang telah teridentifikasi. o Action plan Merupakan kertas kerja yang dibuat untuk menentukan jenis penanggulangan risiko yang tepat sesuai dengan keadaan perusahaan, selain itu juga ditentukan oleh siapa dan kapan penanggulangan tersebut akan dilakukan. 2.6.4 Perbedaan metode OCTAVE, FRAP dan NIST Ketiga metode di atas memang sering digunakan dalam penelitian-penelitian untuk mengukur tingkat manajemen risiko pada suatu perusahaan. Berikut ini adalah perbedaan antara ketiga metode tersebut: Keterangan Metode OCTAVE Proses
Metode FRAP
Ada 3 tahap. Dari Dibagi ketiga
tahap
menjadi
ini, sesi yang berbeda.
Metode NIST 4 Memiliki
3
tahap
pemrosesan. Di dalam
dijabarkan menjadi 5
masing-masing tahap
proses yang
dibagi
terdiri
dari 16 aktivitas dan
menjadi
beberapa tahap.
30 langkah. Keunggulan
Memiliki framework Hasilnya
secara Dapat
untuk
terkait sebagai
mengukur langsung
risiko dan mencakup dengan pengukuran keseluruhan
secara bisnis. dan
biasanya digunakan di
strategi untuk
digunakan panduan menetapkan
kontrol akses yang memadai
untuk
sistem pemerintahan.
perusahaan besar. Kelemahan
Memiliki
banyak Cross-reference
worksheet
dan sheet
implementasi sehingga
hanya
memakan digunakan di Amerika
waktu cukup lama dan
memakan dan
waktu cukup lama.
Biasanya
pemerintahan
memakai negara federal.
perhitungan.
Tabel 2.3 Perbedaan metode OCTAVE, FRAP dan NIST
2.7
Penelitian Sebelumnya Pada penelitian sebelumnya yang dilakukan di Bank Kesejahteraan Ekonomi
yang berjudul Evaluasi Sistem Informasi Perkreditan pada Bank Kesejahteraan Ekonomi, dihasilkan data sebagai berikut: •
Menurut maturity process per IT Goal Sistem Informasi Perkreditan pada PT Bank Kesejahteraan Ekonomi cukup baik karena berada pada level 3.16. Pada Maturity Level per business goal Sistem Informasi Perkreditan pada Bank Kesejahteraan Ekonomi berada pada level 3.13. Berdasarkan hasil perhitungan maturity level perusahaan berada pada level 3(defined). Tetapi masih memiliki kelemahan dalam pengendalian sistem maupun sistem itu sendiri. Sistem rating perlu diperbaiki untuk mengurangi risiko yang mungkin terjadi serta melakukan evaluasi untuk pengendalian sistem.
•
Pada domain Plan dan Organization memiliki rata-rata level 2.92. Hal ini menunjukan bahwa pengendalian pada Plan dan Organization berada pada tingkatan yang cukup baik, tetapi masih memiliki kelemahan antara lain tidak adanya standar kualitas dan pendekatan formal yang berkelanjutan untuk
L12 •
mendukung kebutuhan bisnis. Perusahaan berpusat pada kebutuhan user bukan permasalahan.
•
Pada domain Acquisition dan Implement memiliki rata-rata pada level 3.35. Hal ini menunjukan bahwa dalam pengendalian sistem informasi pada Acquisition dan Implement pada tingkatan cukup, tetapi masih memiliki beberapa kekurangan, antara lain tidak adanya rencana implementasi yang bersifat baku dan tidak adanya evaluasi terhadap biaya yang dikeluarkan untuk implementasi sistem.
•
Pada domain Deliver dan Support memiliki rata-rata pada level 3.29, hal ini menunjukan bahwa dalam pengendalian sistem informasi pada Deliver amd Support pada tingkatan cukup, namun masih memiliki kekurangan antara lain tidak adanya rencana kinerja, keterbatasan investasi sehingga kinerja belum memadai, tingkat keamanan sistem belum pada level tertinggi, dan tidak dilakukan peninjauan kelayakan biaya pada informasi teknologi.
•
Pada domain Monitor dan Evaluate memiliki rata-rata pada level 3.10, hal ini menunjukan bahwa dalam pengendalian sistem informasi pada Monitor and Evaluate pada tingkatan yang baik, dan tetapi memiliki kekurangan diantaranya adalah proses pengawasan yang belum optimal, tidak adanya range pada saat dilakukan pengisian NPWP sehingga besar kemungkinan terjadinya risiko koperasi fiktif, belum mendukung tujuan seluruh organisasi, dan belum ada pendekatan yang terencana untuk pengawasan.
47