Evaluasi Pengelolaan Risiko Teknologi Informasi pada Bank Kesejahteraan Ekonomi Berbasis Peraturan Bank Indonesia Rudy M. Harahap (Dosen Pembimbing)
Andini Larasati Rasyid (Mahasiswi Bina Nusantara)
Felyncia Liman (Mahasiswi Bina Nusantara)
Marion Jane Ruslan (Mahasiswi Bina Nusantara)
Abstrak Bersamaan dengan perkembangan teknologi informasi yang sedemikian cepat, lahirlah berbagai macam risiko yang mengancam setiap bidang usaha pengguna teknologi informasi, salah satunya adalah bidang perbankan. Bank Indonesia, sebagai bank sentral melihat adanya ancaman tersebut, sehingga dikeluarkan suatu peraturan yang mengatur tentang penerapan manajemen risiko dalam penggunaan teknologi informasi. Hal ini wajib dilakukan oleh setiap Bank di Indonesia sebagai bentuk kepatuhan kepada Bank Indonesia. Tujuan penelitian ini ialah melakukan penilaian terhadap pelaksanaan Peraturan Bank Indonesia terkait manajemen risiko teknologi informasi di Bank Kesejahteraan Ekonomi dan apakah hasilnya sudah baik. Evaluasi ini dilakukan dengan membandingkan 49 indikator yang sudah dipilih sebagai hal yang diwajibkan oleh Bank Indonesia untuk diterapkan pada Bank dengan praktik yang dilakukan oleh Bank Kesejahteraan Ekonomi. Lalu dengan menggunakan skala interval, hasil evaluasi 49 indikator tersebut dikategorikan dalam 3 jenis penilaian dan diberi skor serta dilakukan perhitungan. Maka didapatlah suatu kesimpulan bahwa Bank Kesejahteraan Ekonomi sudah melakukan proses manajemen risiko teknologi informasi namun belum cukup baik, sehingga hasilnya pun masih minim. (A, F, M) Kata Kunci: manajemen risiko, teknologi informasi, Peraturan Bank Indonesia
Abstract Along with the quickly development of information technology, was born a various of risks that threaten each line of business which using information technology, one them is banking. Bank of Indonesia, as the central bank, saw that threat, so it issued a regulation that regulates the implementation of risk management in the use of information technology. This must be done by any bank in Indonesia as a form of obedience to Bank of Indonesia. The purpose of this study was to assess the implementation of the Bank Indonesia Regulation related to information technology risk management at Bank Kesejahteraan Ekonomi and whether the results are good. Evaluation is done by comparing the 49 indicators that have been selected as required by Bank of Indonesia to apply at the Bank with a practice that Bank Kesejahteraan Ekonomi done. Then by using interval scale, the results of the evaluation of 49 indicators categorized into three types of assessments and scored and performed calculations. So the result is a conclusion that the Bank Kesejahteraan Ekonomi has done the information technology risk management, but not good enough, so the result was still minimal. (A, F, M) Keywords: risk management, information technology, Bank of Indonesia’s Regulation
PENDAHULUAN Teknologi informasi pada saat ini merupakan bidang yang menarik untuk digeluti. Teknologi informasi ini mempengaruhi hampir di seluruh bidang, baik bidang perekonomian, bisnis, politik, kesehatan, pendidikan, komunikasi, dan lain-lain. Teknologi informasi memacu semua bidang tersebut untuk terus berkembang demi memenuhi kebutuhan manusia. Sampai pada akhirnya, kehidupan manusia kini bergantung pada teknologi informasi. Penggunaan teknologi informasi memberikan banyak keuntungan bagi manusia. Dalam bidang perbankan misalnya, setelah memasuki era teknologi informasi, nasabah bank tidak perlu repot untuk datang ke bank untuk melakukan transaksi.. Hanya saja, penggunaan teknologi informasi dapat menimbulkan masalah yang tidak sedikit. Pada perusahaan perbankan, yang notabene menggantungkan proses bisnisnya sehari-hari pada teknologi informasi, tentu saja risiko dapat menimbulkan kerugian yang tidak sedikit. Untuk mengurangi bahkan menghindari risikorisiko tersebut, diperlukan adanya suatu manajemen risiko yang baik untuk menghindari dan merencanakan penanganan-penanganan terbaik yang dapat dilakukan jika risiko tersebut terjadi. “Langkah pertama untuk dapat melakukan manajemen risiko adalah mengetahui dengan pasti definisi risiko. Tanpa mengetahui apa yang dimaksud dengan risiko, maka seseorang akan kesulitan dan mungkin tidak dapat melakukan manajemen risiko menurut Siahaan,[4]. Sesuai dengan kutipan tersebut, kita harus mendefinisikan terlebih dulu apa itu risiko. Siahaan mengatakan, menurut salah satu definisi, risiko atau risk sama dengan uncertainty atau ketidakpastian. Menurut Djohanputro [2] , risiko bisa terjadi pada setiap tahapan produksi. Manajemen risiko memiliki 4 proses penting yang harus dilaksanakan dengan baik. Empat proses tersebut adalah identifikasi, pengukuran, pemantauan dan pengendalian. Akan tetapi, melaksanakan seluruh proses manajemen risiko bukanlah hal yang mudah. Bahkan perusahaan yang sudah maju dan memiliki Sumber Daya Manusia yang berkualitas pun belum tentu melaksanakan manajemen risiko secara efektif terhadap penggunaan teknologi informasi pada perusahaan mereka. Terbukti dari pernyataan Muliaman D. Hadad selaku Deputi Gubernur Bank Indonesia yang mengatakan, “Bank Indonesia menilai manajemen risiko penggunaan teknologi Informasi belum terlaksana sebagai mana yang diharapkan. Hal ini
terlihat dari masih banyaknya temuan hasil pemeriksa Bank Indonesia terkait dengan pengelolaan risiko yang dilakukan yang masih perlu dibenahi.” Di Indonesia, banyak sekali bank yang sudah maju, salah satunya adalah Bank Kesejahteraan Ekonomi. Bank yang mulai beroperasi sejak tahun 1992 ini merupakan bank yang masih berfokus dalam memberikan pelayanan kebutuhan modal kerja kepada Koperasi Pegawai Republik Indonesia (KPRI) yang ada di seluruh Indonesia. Meskipun Bank Kesejahteraan Ekonomi belum termasuk bank berskala besar, tetapi Bank Kesejahteraan Ekonomi mampu menunjukkan kualitas kinerjanya dengan meraih beberapa penghargaan, seperti . Dengan perkembangan perusahaan yang kian cepat, kami ingin mengevaluasi apakah kinerja divisi TI dalam melaksanakan proses manajemen risiko terhadap teknologi informasi yang mendukung Bank Kesejahteraan Ekonomi sudah dilakukan dengan baik dan sesuai dengan Peraturan Bank Indonesia atau belum. Karena itu, kami mengangkat topik EVALUASI PENGELOLAAN RISIKO TEKNOLOGI INFORMASI PADA BANK KESEJAHTERAAN EKONOMI BERBASIS INDIKATOR PERATURAN BANK INDONESIA. Sehubungan dengan pernyataan Muliaman D. Hadad selaku Deputi Gubernur Bank Indonesia yang menyatakan bahwa banyaknya hasil temuan Bank Indonesia terhadap sejumlah bank di Indonesia yang belum menerapkan pengelolaan risiko dengan baik, kami akan meneliti salah satu bank di Indonesia yaitu Bank Kesejahteraan Ekonomi, apakah Bank Kesejahteraan Ekonomi termasuk salah satu bank yang dianggap belum menerapkan pengelolaan risiko yang baik menurut Bank Indonesia. Menurut Williams & Sawyer [5], Information Technology (IT) is a general term that describe any technology that help to produce, manipulate, store, communicate, and/or disseminate information (Teknologi Informasi (TI) adalah sebuah istilah umum yang menggambarkan setiap teknologi yang membantu untuk menghasilkan, memanipulasi, menyimpan, berkomunikasi, dan/atau menyebarkan informasi). Dalam penggunaan teknologi informasi, tidak melulu meningkatkan keuntungan. Penggunaan teknologi informasi juga dapat menimbulkan kerugian bagi perusahaan. Hal ini umumnya dikatakan sebagai sebuah risiko dalam penggunaan teknologi informasi. Menurut Wolingpirayat yang dikutip oleh Firmansyah [3], manajemen risiko merupakan
proses antisipasi terhadap risiko agar kerugian tidak terjadi pada organisasi. Di dalam Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum yang dikeluarkan oleh Bank Indonesia, manajemen risiko Teknologi Indonesia bank adalah kemampuan bank memitigasi (mengurangi) risiko-risiko TI tergantung dari hasil identifikasi, pengukuran, pengendalian, dan pemantauan risiko-risiko terkait TI yang berpotensi mengancam keamanan dan operasional bank. Aspek terpenting dalam penerapan manajemen risiko adalah kecukupan prosedur dan metodologi pengelolaan risiko, sehingga kegiatan usaha bank tetap dapat terkendali (manageable) pada batas yang dapat diterima serta menguntungkan bank. Manajemen risiko yang terintegrasi mengharuskan bank untuk mengelola risiko-risiko dalam satu struktur manajemen risiko yang terintegrasi, dan membangun sistem dan struktur manajemen yang memadai untuk mencapai hal tersebut. Bank Indonesia mengharapkan bahwa bank yang memiliki operasi bisnis yang sangat kompleks termasuk trading mata uang dan obligasi, kredit dalam valuta asing, dan sekuritasasi harus memiliki struktur manajemen risiko yang lebih kompleks dibandingkan bank yang secara relatif hanya memiliki bisnis tabungan dan pinjaman yang sederhana. Berdasarkan penelitian yang dilakukan, maka ditemukan beberapa metode risiko teknologi informasi di antaranya yaitu metode NIST (National Institute of Standard and Technology), OCTAVE (The Operationally Critical Threat, Asset and Vulnerability Evaluation) dan FRAP(Facilitated Risk Analysis Process). Tujuan dari penelitian ini adalah melakukan penilaian terhadap pelaksanaan proses manajemen risiko TI sesuai dengan yang tercantum pada Pedoman Penerapan Manajemen Risiko oleh Bank Umum yang ditetapkan oleh Bank Indonesia dan menganalisis apakah pelaksanaan manajemen risiko sudah memberikan hasil yang baik bagi perusahaan.
METODE PENELITIAN Bank Kesejahteraan bergerak di bidang perbankan sebagai Bank Umum Swasta NasionalNon Devisa yang ikut menjalankan fungsi intermediasi perbankan sebagai penghimpun dan penyalur dana masyarakat dengan menggunakan prinsip kehati-hatian untuk menunjang pelaksanaan pembangunan nasional dalam rangka meningkatkan pemerataan pertumbuhan ekonomi
dan stabilitas nasional ke arah peningkatan taraf hidup masyarakat. Sesuai dengan yang tertuang dalam visi dan misi perusahaan, hingga saat ini bidang usaha Bank Kesejahteraan masih berfokus dalam memberikan pelayanan kebutuhan modal kerja kepada Koperasi Pegawai Republik Indonesia (KPRI) yang ada di seluruh Indonesia untuk memenuhi kebutuhan setiap anggota koperasi dengan tetap tidak mengurangi komitmen perusahaan dalam memberikan pelayanan kepada masyarakat pada umumnya. Bank Kesejahteraan mendefinisikan budaya perusahaan dalam 6 (enam) nilai kebersamaan (shared values) yang disingkat “it for us” sebagai ikrar untuk melakukan perubahan dan perbaikan di segala bidang untuk mendukung keberhasilan penyempurnaan manajamen perusahaan. Enam nilai kebersamaan itu adalah integritas, kerjasama, fokus pada nasabah, berorientasi pada hasil, bertanggung jawab, dan melakukan perbaikan terus menerus. Metode penelitian yang digunakan dalam penyusunan skripsi ini meliputi beberapa bagian yaitu mengevaluasi, dengan cara membandingkan Peraturan yang telah ditetapkan Bank Indonesia dengan realisasinya di Bank Kesejahteraan Ekonomi.Kemudian melakukan teknik penelitian berupa observasi ke kantor pusat Bank Kesejahteraan Ekonomi dan melakukan wawancara dengan pihak divisi Risk Management, divisi TI, dan divisi kepatuhan. Terakhir menggunakan schedule sebagai alat penelitian. Dalam Peraturan Bank Indonesia, terdapat lampiran Pedoman Penerapan Manajemen Risiko Terhadap Penggunaan Teknologi Informasi oleh Bank Umum. Dari sinilah dibuat indikatorindikator untuk menilai kinerja Bank Kesejahteraan Ekonomi.
HASIL DAN BAHASAN Penggunaan teknologi informasi yang semakin canggih, bukan berarti meningkatkan keuntungan saja, tetapi juga akan menimbulkan semakin banyak risiko yang bervariasi. Karena itu, diperlukan manajemen risiko yang baik agar tidak berdampak signifikan terhadap perusahaan. Bank Kesejahteraan Ekonomi juga sudah menerapkan proses manajemen risiko, baik dari tahapan identifikasi, pengukuran, pemantauan serta pengendalian risiko. Pertama-tama, divisi TI akan mengidentifikasi, apakah masalah berasal dari pemenuhan kebutuhan user atau kebutuhan terhadap permasalahan yang sudah ada. Jika berasal dari
permasalahan yang sudah ada, divisi TI akan memilah apakah masalah tersebut menyangkut data, pemahaman user, kebijakan atau teknis. Jika menyangkut teknis, divisi TI akan melanjutkan ke tahap berikutnya. Dalam pemenuhan kebutuhan user, divisi TI akan mengukur dampak dari pemenuhan kebutuhan tersebut dan seberapa usaha serta sumber daya yang dibutuhkan. Sedangkan dalam memenuhi kebutuhan terhadap permasalahan yang sudah ada, divisi TI akan memprioritaskan masalah tersebut ke dalam kriteria pentingmendesak (harus ditangani dalam hitungan jam), penting-tidak mendesak (harus ditangani dalam 12 hari), dan tidak penting-tidak mendesak (harus ditangani paling lama 1 minggu). Dalam tahap ketiga, untuk pemenuhan kebutuhan user, divisi TI akan memantau apakah masalah dapat diselesaikan oleh pihak internal atau membutuhkan pihak eksternal. Jika divisi TI menyimpulkan bahwa BKE memiliki SDM yang cukup dan berkompetensi serta memiliki waktu dan pengalaman, maka kebutuhan user akan ditangani oleh pihak internal. Jika BKE tidak memiliki syarat tersebut, maka dibutuhkan pihak eksternal untuk menangani kebutuhan user. Untuk pemenuhan kebutuhan masalah yang sudah ada, akan dilihat apakah masalah tersebut berasal dari pihak internal atau eksternal. Jika masalah ditimbulkan dari kegagalan sistem yang dibuat oleh pihak internal, maka pihak internal yang harus membuat pengendalian. Tetapi jika berhubungan dengan pihak eksternal, maka divisi TI harus memantau apakah masalah tersebut dapat ditangani oleh pihak internal. Jika memang tidak bisa, divisi TI akan langsung memberi laporan kepada pihak eksternal untuk melakukan pengendalian. Dalam tahapan terakhir, divisi TI merencanakan dan melaksanakan tindak pengendalian yang diperlukan untuk mengurangi efek risiko yang dapat ditimbulkan. Sebagai tolak ukur dalam analisis ini, penulis menggunakan Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum yang dikeluarkan oleh Bank Indonesia. Penulis memilih 49 hal yang diwajibkan oleh Bank Indonesia dari segi manajemen dan risiko operasional yang dapat dijadikan indikator untuk menilai apakah proses manajemen risiko yang dilakukan oleh Bank Kesejahteraan Ekonomi sudah memadai atau belum. Penulis mewawancarai salah seorang dari divisi IT untuk menanyakan implementasi 49 indikator peraturan Bank Indonesia pada Bank Kesejahteraan Ekonomi.
Untuk mempermudah penilaian, kami membuat perhitungan dari hasil tabel di atas. Nilai Sangat Baik diberi bobot 3, nilai Baik diberi bobot 2, nilai Cukup diberi bobot 1. Penilaian ini akan didasarkan pada setiap segi. Lalu setelah mendapat nilai rata-rata, dapat disimpulkan bahwa: 1. Nilai rata-rata 0 – 1, proses manajemen risiko serta pendukungnya belum memadai. 2. Nilai rata-rata 1,1 – 2, proses manajemen risiko serta pendukungnya sudah sesuai dengan yang diwajibkan Bank Indonesia, namun masih perlu banyak perbaikan. 3. Nilai rata-rata 2,1 – 3, proses manajemen risiko serta pendukung nya sudah memadai dan hasil yang didapat juga baik. Hasilnya adalah pada tingkat dewan komisaris, struktur organisasi, kebijakan dan prosedur aktivitas operasional, pengamanan informasi serta sistem pengendalian intern mendapatkan nilai 2 di setiap indikator sehingga nilai rata-rata yang didapat adalah 2. Pada tingkat direksi serta kebijakan dan prosedur pengembangan dan pengadaan TI, ada 1 indikator yang mendapat nilai sangat baik sehingga nilai rata-rata yang didapat adalah 2,2 Namun pada tingkat kebijakan dan prosedur manajemen risiko ada 2 indikator yang mendapat nilai sangat baik dan 4 indikator mendapat nilai cukup. Serta pada tingkat business continuity plan semua indikator bernilai cukup sehingga nilai yang didapat adalah 1.
SIMPULAN DAN SARAN Berdasarkan hasil evaluasi yang sudah dilakukan, maka penulis mendapat kesimpulan bahwa pada tingkat Dewan Komisaris, struktur organisasi, kebijakan dan prosedur aktivitas operasional, pengamanan informasi serta sistem pengendalian intern sudah melakukan hal-hal yang diatur oleh Bank Indonesia mengenai Manajemen Risiko dalam aktivitas operasional. Namun dalam pelaksanaannya masih dalam tahap minimal yang disebabkan oleh keterbatasan Bank Kesejahteraan Ekonomi dalam pemenuhan kebijakan. Dan dari tingkat direksi dan kebijakan dan prosedur pengembangan dan pengadaan TI, sudah ada beberapa indikator yang mendapat nilai sangat baik. Namun pada tingkat kebijakan dan prosedur manajemen risiko serta business continuity plan, didapat nilai di bawah 2 yang menunjukkan bahwa ada beberapa indikator yang mendapat nilai cukup sehingga hal ini harus diperbaiki. Berdasarkan simpulan tersebut, maka saran yang dapat diberikan adalah perusahaan
meningkatkan kesadaran akan pentingnya manajemen risiko bagi kinerja perusahaan di seluruh tingkat dan juga perlu memahami bahwa melaksanakan manajemen risiko bukan hanya karena bagian dari peraturan, melainkan karena keinginan untuk meningkatkan kinerja perusahaan. Bank Kesejahteraan Ekonomi diharapkan perusahaan dapat meningkatkan kinerja pada Business Continuity Plan yang dianggap sangat penting jika perusahaan mengalami keadaan critical. Melakukan aksi tindak lanjut dari setiap peraturan yang ada, sehingga perusahaan tidak hanya sekedar menjalankan kewajibannya, tetapi juga mendapatkan hasil yang baik dari pelaksanaan tersebut serta memberdayakan divisi Manajemen Risiko untuk memberikan seminarseminar kecil tentang Manajemen Risiko untuk seluruh tingkat di Bank Kesejahteraan Ekonomi.
REFERENSI [1]Bank Indonesia. (2007, Desember 12). Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Jakarta: Bank Indonesia. [2]Djohanputro, B. (2008). Manajemen Risiko Korporat. Jakarta: PPM. [3]Firmansyah, H. S. (2010, Oktober 9). openjurnal.politekniktelkom.ac.id. Retrieved 12 1, 2012, from politekniktelkom.ac.id:http://openjurnal.politeknik telkom.ac.id/Jurnal%20Dosen/CFP%202010/CFP %202010_Politeknik%20Telkom_Hendra%20San dhi_IMPLEMENTASI%20FRAMEWORK%20M ANAJEMEN%20RISIKO%20TERHADAP%20P ENGGUNAAN%20TEKNOLOGI%20INFORM ASI%20PERBANKAN.pdf [4] Siahaan, H. (2007). Manajemen Risiko pada Perusahaan dan Birokrasi. Jakarta: PT Elex Media Komputindo. [5] Williams, B. K., & Sawyer, S. (2007). Using Information Technology: A Practical Introduction To Computers & Communications. Boston: McGraw-Hill.