Add to collection(s) Add to saved
  1. Bisnis
  2. Keuangan

Manajemen - Bank Indonesia

advertisement 
Kodifikasi Peraturan Bank Indonesia
Manajemen
Manajemen Risiko
DISCLAIMER
Isi kodifikasi ini adalah himpunan peraturan Bank Indonesia yang disusun secara sistematis
berdasarkan kelompok dan topik tertentu untuk memudahkan pembaca memahami peraturan
dan menelusuri rekam jejak keberlakuan suatu peraturan Bank Indonesia. Penyusunan kodifikasi
ini telah melalui proses pemeriksaan dan editing terkait keakuratan dan kelengkapan peraturan
yang dikodifikasikan. Namun demikian mengingat bahwa peraturan Bank Indonesia dapat
berubah dari waktu ke waktu, maka setiap akses dan penggunaan atas kodifikasi ini agar
dilakukan secara bijaksana dengan memperhatikan tanggal unggah dan sumber orisinal dari
masing-masing peraturan Bank Indonesia yang dirujuk.1
1
Peraturan Bank Indonesia dapat diakses pada situs resmi Bank Indonesia http://www.bi.go.id/ atau melalui fasilitas
pencarian peraturan pada situs resmi Bank Indonesia (http://www.bi.go.id/web/id/Peraturan/Search/).
Kodifikasi Peraturan Bank Indonesia Manajemen Manajemen Risiko Tim Penyusun Ramlan Ginting Chandra Murniadi Dudy Iskandar Gantiah Wuryandani Siti Astiyah Wahyu Yuwana Hidayat Komala Dewi Wirza Ayu Novriana Anggayasti Hayu Anindita Tresna Kholilah Pusat Riset dan Edukasi Bank Sentral (PRES) Bank Indonesia Telp: 021‐ 29817321 Fax.: 021‐ 2311580 email: [email protected] Hak Cipta © 2013, Bank Indonesia 2013 Manajemen Manajemen Risiko DAFTAR ISI Paragraf Daftar Isi Rekam Jejak Regulasi Manajemen Risiko Dasar Hukum Regulasi Terkait Regulasi Bank Indonesia Hal. i – x
Hal. xi
Hal. xii Hal. xii – xiii Hal. xiv
Penerapan Manajemen Risiko bagi Bank Umum
Par. 1 Par. 2 – 4 Par. 5 – 7 Ketentuan Umum Ruang Lingkup Manajamen Risiko Pengawasan Aktif Dewan Komisaris dan Direksi Par. 5 Par. 6 Par. 7 Umum Kewenangan dan Tanggungjawab Dewan Komisaris Kewenangan dan Tanggungjawab Direksi Kebijakan, Prosedur dan Penetapan Limit Par. 8 – 9 Par. 8 Par. 9 Kebijakan Manajemen Risiko Prosedur dan Penetapan Limit Risiko Proses Identifikasi, Pengukuran, Pemantauan, Pengendalian dan Sistem Informasi Manajemen Risiko Par. 10 – 12 Par. 10 Par. 11 Par. 12 Umum Proses Identifikasi, Pengukuran, Pemantauan dan Pengendalian Risiko Sistem Informasi Manajemen Risiko Sistem Pengendalian Intern Umum Sistem Pengendalian Intern dalam Penerapan Manajemen Risiko Organisasi dan Fungsi Manajemen RIsiko Rencana Kegiatan (Action Plan) Penerapan Manajemen Risiko Laporan Profil Risiko serta Laporan Produk dan Aktivitas Baru Laporan Lain Batas Waktu Penyampaian Laporan Format Laporan dan Alamat Penyampaian Lain‐Lain Penilaian Penerapan Manajemen Risiko Aspek Pengungkapan Kinerja dan Kebijakan Manajemen Risiko Hal. 6 Hal. 6 Hal. 6 – 7 Hal. 7 – 9
Hal. 7 – 8 Hal. 8 – 9 Hal. 9 – 11
Hal. 9
Hal. 9 – 11
Hal. 11
Hal. 11 – 13
Par. 13 – 14 Par. 15 Hal. 11 – 12
Hal. 13
Par. 16 – 19 Hal. 13 – 16
Par. 18 Par. 19 Pengelolaan Risiko Produk dan Aktivitas Baru Pelaporan Hal. 1 – 2
Hal. 2 – 5
Hal. 6 – 7
Par. 13 – 15 Par. 16 Par. 17 Umum Komite Manajemen Risiko Satuan Kerja Manajemen Risiko Hubungan Satuan Kerja Operasional dengan Satuan Kerja Manajemen Risiko Sanksi Halaman
Hal. 13
Hal. 14
Hal. 14 – 16
Hal. 16
Par. 20 – 22 Par. 23 – 30 Hal. 16 – 18
Hal. 18 – 24
Par. 23 – 24 Par. 25 – 26 Hal. 18 – 19 Hal. 19 – 21 Par. 27 Par. 28 Par. 29 – 30 Hal. 21 – 23 Hal. 23 Hal. 23 – 24 Par. 31 – 33 Hal. 24 Par. 31 – 32 Hal. 24 Par. 33 Hal. 24 Par. 34 – 35 Hal. 24 – 25 i Manajemen Manajemen Risiko Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking)
Umum Pedoman Manajemen Risiko Pelaporan Lain‐Lain Sanksi Par. 36 Par. 37 – 39 Par. 40 – 44 Par. 45 – 46 Par. 47 – 48 Hal. 26
Hal. 26 – 27 Hal. 27 – 28 Hal. 28 Hal. 28
Penerapan Manajemen Risiko untuk Risiko Likuiditas
Umum Pedoman Manajemen Risiko Pengawasan Aktif Dewan Komisaris dan Direksi Kebijakan, Prosedur, dan Penetapan Limit Proses Identifikasi, Pengukuran, Pemantauan, dan Pengendalian Risiko serta Sistem Informasi Manajemen Risiko Identifikasi Pengukuran Pemantauan Pengendalian Strategi Pendanaan Pengelolaan Posisi Likuiditas dan Risiko Likuditas Harian Pengelolaan Posisi Likuiditas dan Risiko Likuditas Intragroup Pengelolaan Aset Likluiditas Berkualitas Tinggi Rencana Pendanaan Darurat/ Contigency Funding Plan (CFP) Sistem Informasi Manajemen Risiko Sistem Pengendalian Intern Pelaporan Sanksi Par. 49 Par. 50 – 93 Hal. 28 – 29 Hal. 29 – 43
Par. 50 – 53 Hal. 29 – 30
Par. 54 – 67 Par. 68 – 89 Par. 68 Par. 69 – 73 Par. 74 – 78 Par. 79 Hal. 31 – 33
Hal. 33 – 42
Hal. 33
Hal. 33 – 38
Hal. 38 Hal. 38
Par. 80 Par. 81 Par. 82 Par.83 Par. 84 Hal. 38 – 39
Hal. 39 – 40 Hal. 40 Hal. 40 Hal. 41 – 42
Par. 85 – 89 Par. 90 – 93 Hal. 42 – 43
Hal. 43
Par. 94 – 101 Par. 102 Hal. 43 – 45 Hal. 45
Par. 103 Par. 104 – 108 Hal. 45 – 46 Hal. 46 – 50
Penerapan Manajemen Risiko Pada Bank yang Melakukan Aktivitas Berkaitan dengan Reksa Dana
Umum Penerapan Manajemen Risiko Penerapan Manajemen Risiko secara Umum Penerapan Manajemen Risiko untuk masing‐masing Aktivitas Bank sebagai Investor Reksa Dana Bank sebagai Agen Penjual Efek Reksa Dana Bank sebagai Bank Kustodian Rencana dan Pelaporan Bank yang pertama kali akan melaksanakan aktivitas sebagai Agen Penjual Efek Reksa Dana atau Bank Kustodian Bank yang sudah pernah melaksanakan aktivitas dan terdaftar atau memperoleh izin sebagai Agen Penjual Efek Reksa Dana atau Bank Kustodian Laporan Realisasi Pelaksanaan Aktivitas Bank sebagai Agen Penjual Efek Reksa Dana atau Bank Kustodian Laporan Berkala terkait Pelaksanaan Aktivitas sebagai Agen Penjual Par. 104 – 105 Par. 106 – 108 Hal. 46
Hal. 46 – 50
Par. 106 Par. 107 Par. 108 Hal. 46 – 47 Hal. 47 – 49
Hal. 49 – 50
Par. 109 – 113 Hal. 50 – 55
Par. 109 Hal. 50 – 53 Par. 110 Hal. 53 – 54 Par. 111 Hal. 54 Par. 112 Hal. 54
ii Manajemen Manajemen Risiko Efek Reksa Dana dan/atau Bank Kustodian
Alamat Penyampaian Laporan Lain‐Lain Sanksi Par. 113 Hal. 55 Par. 114 Par. 115 – 116 Hal. 55 Hal. 56 Par. 117 Par. 118 – 125 Hal. 56 – 58 Hal. 59 – 65
Par. 118 Par. 119 – 122 Hal. 59
Hal. 59 – 62 Par. 119 Par. 120 Par. 121 Par. 122 Par. 122 – 125 Hal. 59 Hal. 59 – 60 Hal. 60
Hal. 61 – 62 Hal. 62 – 65
Manajemen Risiko pada Bank yang Melakukan Aktivitas Kerjasama dengan Perusahaan Asuransi (Bancassurance)
Umum Penerapan Manajemen Risiko dalam Rangka Bancassurance Umum Penerapan Manajemen Risiko dalam Beberapa Aspek Utama pada Bancassurance Penetapan Perusahaan Asuransi yang Menjadi Mitra Bank Penyusunan Perjanjian Kerjasama Penggunaan Data Nasabah Penerapan Prinsip Perlindungan Nasabah Penerapan Manajemen Risiko pada Setiap Model Bisnis Bancassurance Referensi Kerjasama Distribusi Integrasi Produk Pelaporan Laporan Aktivitas Baru Bancassurance Laporan Berkala Bancassurance Penyampaian Laporan Tata Cara Pengenaan Sanksi Par. 123 Hal. 62 Par. 124 Par. 125 Hal. 63 – 64 Hal. 64 – 65 Par. 126 – 138 Hal. 65 – 68
Par. 132 – 132 Par. 133 – 135 Hal. 65 – 67 Hal. 67 Par. 136 – 138 Hal. 67 – 68 Par. 139 – 140 Hal. 68
Penerapan strategi Anti Fraud bagi bank Umum
Umum Penerapan Manajemen Risiko Strategi Anti Fraud Pelaporan dan Sanksi Par. 141 Par. 142 Par. 143 Par. 144 – 145 Hal. 68 – 69 Hal. 69 – 70 Hal. 70 Hal. 70 – 71 Par. 146 Par. 147 Par. 148 Par. 149 – 150 Hal. 71 – 72
Hal. 72 – 73
Hal. 74 Hal. 75
Par. 151 – 154 Par. 155 Par. 156 – 157 Par. 158 Par. 159 – 160 Hal. 75 – 78 Hal. 78 – 79
Hal. 79 – 84
Hal. 84 – 85
Hal. 85 – 86 Penerapan Manajemen Risiko pada Bank Umum yang Melakukan Layanan Nasabah Prima
Umum Penerapan Manajemen Risiko Lain‐Lain Sanksi Penerapan Manajemen Risiko Secara Konsolidasi Bagi Bank yang Melakukan Pengendalian Terhadap Perusahaan Anak Ketentuan Umum Sistem dan Informasi Pelaporan Perhitungan KPMM Penilaian Kualitas Aktiva Perhitungan BMPK iii Manajemen Manajemen Risiko Par. 161 Par. 162 – 163 Par. 164 – 165 Par. 166 Par. 167 Par. 168 Hal. 86 – 87
Hal. 87
Hal. 88 Hal. 88 – 90 Hal. 90 – 91 Hal. 91
Ketentuan Umum Ruang Lingkup Manajemen Risiko Teknologi Informasi Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi Par. 169 Par. 170 – 171 Par. 172 – 185 Hal. 92 – 93 Hal. 93 – 94 Hal. 94 – 100 Pengawasan Aktif Dewan Komisaris dan Direksi Kecukupan Kebijakan dan Prosedur Penggunaan Teknologi Informasi di Bank Proses Manajemen Risiko Terkait Teknologi Informasi Sistem Pengendalian dan Audit Intern atas Penyelanggaraan Teknologi Informasi Par. 172 – 175 Hal. 94 – 95
Par. 176 – 177 Hal. 95 – 97
Par. 178 – 182 Par. 183 – 185 Hal. 97 – 99
Hal. 99 –100
Penyelenggaraan Teknologi Informasi oleh Pihak Penyedia Jasa Teknologi Informasi Par. 186 – 189 Hal. 100 – 108
Umum Penyelenggaraan Pusat Data (Data Center) dan/atau Disaster Recovery Center Par. 186 Par. 187 Pengelolaan Perusahaan Anak Penilaian Tingkat Kesehatan dan Profil Risiko Bank Tindak Lanjut Pengawasan dan Penetepan Status Bank Pelaporan Sanksi Ketentuan Lain‐Lain Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum Penyelenggaraan Pemrosesan Transaksi oleh Pihak Penyedia Jasa Electronic Banking Pelaporan Laporan Penggunaan Teknologi Informasi Laporan Perubahan Mendasar Laporan Lain Format dan Alamat Penyampaian Laporan Lain‐lain Sanksi Prinsip Kehati‐hatian bagi Bank Umum yang Melakukan Sebagian Pelaksanaan Pekerjaan kepada Pihak Lain Ketentuan Umum Alih Daya Penerapan Prinsip Kehati‐Hatian dan Manajemen Risiko Pemilihan Perusahaan Penyedia Jasa Perjanjian Alih Daya Penerapan Manajemen Risiko Pelaporan Sanksi Ketentuan Peralihan Lain‐Lain Hal. 100 – 104
Hal. 104 – 105 Par. 188 – 189 Hal. 106 – 108
Par. 190 – 191 Par. 192 – 196 Hal. 108 – 109 Hal. 109 – 112
Par. 192 Par. 193 Par. 194 Hal. 109 – 110
Hal. 110 – 111
Hal. 111 – 112 Par. 195 – 196 Hal. 112 Par. 197 Par. 198 – 200 Hal. 112
Hal. 112 – 113 Par. 201 – 202 Par. 203 – 206 Par. 207 – 216 Hal. 113 – 115
Hal. 115 – 120
Hal. 121 – 129 Par. 207 – 209 Par. 210 Hal. 121 – 122
Hal. 122 – 124
Par. 211 – 216 Hal. 124 – 129
Par. 217 – 218 Par. 219 – 220 Par. 221 – 222 Par. 223 – 224 Hal. 129 – 133
Hal. 133 – 134
Hal. 134 – 135
Hal. 135
iv Manajemen Manajemen Risiko Penerapan Manajemen Risiko bagi Bank Umum Syariah dan Unit Usaha Syariah Ketentuan Umum Ruang Lingkup Manajemen Risiko Pengawasan Aktif Dewan Komisaris, Direksi dan Dewan Pengawas Syariah Umum Wewenang dan Tanggung Jawab Dewan Komisaris Wewenang dan Tanggung Jawab Direksi Wewenang dan Tanggung Jawab Dewan Pengawas Syariah Kebijakan, Prosedur dan Penetapan Limit Kebijakan Manajemen Risiko Prosedur dan Penetapan Limit Risiko Par. 225 Par. 226 – 229 Par. 230 – 233 Hal. 135 – 137
Hal. 137 – 139
Hal. 139 – 142 Par. 230 Par. 231 Hal. 139
Hal. 140 Par. 232 Par. 233 Hal. 140 – 141
Hal. 141 – 142 Par. 234 – 235 Hal. 142 – 143 Par. 234 Par. 235 Hal. 142 Hal. 143 Proses Identifikasi, Pengukuran, Pemantauan, Pengendalian dan Sistem Informasi Manajemen Risiko Par. 236 – 238 Hal. 143 – 145
Umum Proses Identifikasi, Pengukuran, Pemantauan, dan Pengendalian Risiko Par. 236 Par. 237 Hal. 143 – 144 Hal. 144 – 145
Sistem Informasi Manajemen Risiko Par. 238 Hal. 145
Par. 239 – 241 Hal. 145 – 147
Par. 239 – 240 Par. 241 Hal. 145 – 146
Hal. 146 – 147 Par. 242 – 245 Hal. 147 – 150
Par. 242 Hal. 147 Par. 243 Par. 244 Par. 245 Hal. 147 – 148
Hal. 149 – 150
Hal. 150
Par. 246 – 249 Hal. 151 – 152
Par. 246 – 247 Par. 248 Hal. 151 – 152
Hal. 152
Par. 249 Hal. 152
Par. 250 – 252 Hal. 152 – 153 Par. 250 – 251 Par. 252 Hal. 152 – 153 Hal. 153
Par. 253 – 254 Hal. 153 – 154
Par. 255 Par. 256 Par. 257 Hal. 154 – 155
Hal. 155 – 156
Hal. 156 – 157
Sistem Pengendalian Intern Umum Sistem Pengendalian Intern dalam Penerapan Manajemen Risiko Organisasi dan Fungsi Manajemen Risiko Umum Komite Manajemen Risiko Satuan Kerja Manajemen Risiko Hubungan Satuan Kerja Operasional dengan Satuan Kerja Manajemen Risiko Pelaporan Laporan Profil Risiko Laporan Lain Alamat Penyampaian Lain‐Lain Penilaian Penerapan Manajemen Risiko Aspek Pengungkapan Kinerja dan Kebijakan Manajemen Risiko Sanksi Penerapan Manajemen Risiko pada Bank yang Melakukan Pemberian Kredit atau Pembiayaan Pemilikan Properti, Kredit atau Pembiayaan Konsumsi Beragun Properti, dan Kredit atau Pembiayaan Kendaraan Bermotor Ketentuan Umum Cakupan Pengaturan Penerapan Manajemen Risiko dan Prinsip Kehati‐Hatian Dalam Pemberian Kredit atau Pembiayaan Pemilikan Properti, Kredit atau Pembiayaan Konsumsi Beragun Properti, dan Kredit atau Pembiayaan Kendaraan Bermotor v Manajemen Manajemen Risiko Pengaturan LTV atau FTV Pada Kredit atau Pembiayaan Pemilikan Properti dan Kredit atau Pembiayaan Konsumsi Beragun Properti Pengaturan Down Payment Pada Kredit atau Pembiayaan Kendaraan Bermotor Tata Cara Pengenaan Sanksi Ketentuan Lain‐Lain Ketentuan Peralihan Par. 258 Hal. 157 – 162
Par. 259 Hal. 162 Par. 260 Par. 261 Par. 262 Hal. 162 – 164
Hal. 164
Hal. 164 Lampiran Lampiran 1 : Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum Pedoman Penerapan Manajemen Risiko Secara Umum Pengawasan Aktif Dewan Komisaris dan Direksi Kewenangan dan Tanggung Jawab Dewan Komisaris dan Direksi Sumber Daya Manusia (SDM) Organisasi Manajemen Risiko Kebijakan, Prosedur, dan Penetapan Limit Strategi Manajemen Risiko Tingkat Risiko yang Akan Diambil (Risk Appetite) dan Toleransi Risiko (Risk Appetite) Kebijakan dan Prosedur Limit Proses Identifikasi, Pengukuran, Pemantauan, dan Pengendalian Risiko serta Sistem Informasi Manajemen Risiko Identifikasi Risiko Pengukuran Risiko Pemantauan Risiko Pengendalian Risiko Sistem Informasi Manajemen Risiko Sistem Pengendalian Intern Pedoman Penerapan Manajemen Risiko untuk Masing‐Masing Risiko Risiko Kredit Risiko Pasar Risiko Likuiditas Risiko Operasional Risiko Hukum Risiko Stratejik Risiko Kepatuhan Risiko Reputasi Pedoman Penilaian Profil Risiko Lampiran 2 : Struktur Organisasi Manajemen Risiko Pedoman Umum Struktur Organisasi Manajemen Risiko Format 1 Format 2 Format 3 Hal. 165 – 630
Hal. 166 – 275
Hal. 166 – 191 Hal. 166 – 175
Hal. 167 – 169
Hal. 169 – 170
Hal. 170 – 175
Hal. 175 – 181
Hal. 175 – 176
Hal. 177
Hal. 177 – 180
Hal. 180 – 181
Hal. 181 – 188
Hal. 182
Hal. 182 – 185
Hal. 185 – 186
Hal. 186
Hal. 186 – 188
Hal. 188 – 191
Hal. 191 – 274
Hal. 191 – 206
Hal. 207 – 218
Hal. 218 – 236
Hal. 236 – 247
Hal. 247 – 252
Hal. 253 – 261
Hal. 261 – 268
Hal. 268 – 274
Hal. 275
Hal. 276 – 280 Hal. 277
Hal. 277 – 280
Hal. 277
Hal. 278
Hal. 279
vi Manajemen Manajemen Risiko Format 4 Lampiran 3 : Laporan Rencana Kegiatan (Action Plan) Uraian Umum Rencana Kegiatan Uraian Rinci Kegiatan Petunjuk Penyusunan Laporan Rencana Kegiatan Lampiran 4 : Laporan Realisasi Kegiatan (Progress Report) Informasi Umum Uraian Status dan TIndak Lanjut yang DIlakukan Uraian RInci Mengenai Status dan Tindak Lanjut yang Dilakukan Lampiran 5 : Laporan Profil Risiko Lampiran 6 : Analisis Risiko Lampiran 7 : Laporan Profil Maturitas Rupiah Valuta Asing Pedoman Pengisian Laporan Profil Maturitas Lampiran 8 : Pedoman Standar Sistem Pengendalian Intern bagi Bank Umum Latar Belakang Ruang Lingkup Sistem Pengendalian Intern Bank Pengertian dan Tujuan Sistem Pengendalian Intern Bank Pihak‐Pihak yang Berkepentingan dengan Sistem Pengendalian Intern Bank Faktor Pertimbangan dalam Penyusunan Sistem Pengendalian Intern Bank Lingkungan Pengendalian Elemen Utama Sistem Pengendalian Intern Bank Pengawasan oleh Manajemen dan Budaya Pengendalian Identifikasi dan Penilaian Risiko Kegiatan Pengendalian dan Pemisahan Fungsi Sistem Akuntansi, Informasi dan Komunikasi Kegiatan Pemantauan dan Tindakan Koreksi Penyimpangan Lain‐Lain Lampiran 9 : Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank melalui Internet (Internet Banking) Pendahuluan Pokok‐Pokok Penerapan Manajemen Risiko Internet Banking Pengawasan Aktif Komisaris dan Direksi Bank Pengendalian Pengamanan Manajemen Risiko Hukum dan Risiko Reputasi Lampiran 10 : Laporan Aktivitas Baru yang Berupa Agen Penjual Efek Reksa Dana atau Bank Kustodian
Lampiran 11 : Laporan Rencana Menjadi Agen Penjual Efek Reksa Dana Lampiran 12 : Laporan Rencana Penjualan Efek Reksa Dana Lampiran 13 : Laporan Reksadana (Bank sebagai Agen Penjual Efek Reksadana) Hal. 280
Hal. 277 – 285
Hal. 282
Hal. 283
Hal. 284 – 285
Hal. 286 – 291
Hal. 287
Hal. 288
Hal. 289 – 291 Hal. 292 – 294 Hal. 295 – 297
Hal. 298 – 314 Hal. 299 – 301
Hal. 301 – 304
Hal. 305 – 314
Hal. 315 – 336
Hal. 316 – 320
Hal. 317 – 318
Hal. 317 – 318
Hal. 318 – 319
Hal. 319 – 320
Hal. 320
Hal. 320 – 336
Hal. 321 – 324
Hal. 324 – 325
Hal. 325 – 329
Hal. 329 – 333
Hal. 333 – 335
Hal. 335 – 336
Hal. 337 – 353 Hal. 338 – 339
Hal. 312 – 326
Hal. 339 – 342
Hal. 342 – 346
Hal. 346 – 353
Hal. 354 – 355
Hal. 356 – 357
Hal. 358 – 359
Hal. 360 – 361 vii Manajemen Manajemen Risiko Lampiran 14 : Laporan Aktivitas Baru yang Berupa Bancassurance
Lampiran 15 : Laporan Rencana Pelaksanaan Aktivitas Baru berupa Bancassurance
Lampiran 16 : Laporan Berkala Bancassurance
Lampiran 17 : Pedoman Penerapan Strategi Anti Fraud bagi Bank Umum Latar Belakang Pedoman Umum Penerapan Strategi Anti Fraud Penerapan Manajemen Risiko Strategi Anti Fraud Lampiran 18 : Laporan Penerapan Strategi Anti Fraud Lampiran 19 : Pedoman Penerapan Manajemen Risiko pada Bank Umum yang Melakukan Layanan Nasabah Prima Latar Belakang Kebijakan Layanan Nasabah Prima Manajemen Risiko pada Aspek‐Aspek Tertentu Lampiran 20 : Laporan Keuangan Konsolidasi (Neraca) Lampiran 21 : Laporan Keuangan Konsolidasi (Laporan Laba Rugi) Lampiran 22 : Laporan Keuangan Konsolidasi (Komitmen dan Kontinjensi) Lampiran 23 : Laporan Perhitungan KPMM Secara Konsolidasi Lampiran 24 : Laporan Rincian ATMR Secara Konsolidasi Lampiran 25 : Laporan Kualitas Aktiva dan Pembentukan PPA Secara Konsolidasi Lampiran 26 : Laporan Penyediaan Dana kepada Pihak Terkait Bank Secara Konsolidasi Lampiran 27.a : Laporan Pelampauan BMPK Secara Konsolidasi untuk Pihak Tidak Terkait Lampiran 27.b : Laporan Pelampauan BMPK Secara Konsolidasi untuk Pihak Tidak Terkait Lampiran 28 : Pedoman Penerapan Manajemen Risiko dalam Penggunaan Tekonologi Informasi oleh Bank Umum Kata Pengantar Manajemen Pengembangan dan Pengadaan Aktivitas Operasional Teknologi Informasi Jaringan Komunikasi Pengamanan Informasi Business Continuity Plan End User Computing Electronic Banking Audit Intern Teknologi Informasi Penggunaan Pihak Penyediaan Jasa Teknologi Informasi Glossary Lampiran 28.1 : Contoh Penilaian Risiko Lampiran 28.2 : Kategori User pada End User Computing Hal. 362 – 363
Hal. 364 – 365
Hal. 366 – 371
Hal. 372 – 384
Hal. 373 – 374
Hal. 374 – 375
Hal. 375 – 378
Hal. 378 – 384
Hal. 385 – 387 Hal. 388 – 407
Hal. 389
Hal. 389 – 394
Hal. 394 – 407
Hal. 408 – 410
Hal. 411 – 412 Hal. 413 – 414
Hal. 415 – 416
Hal. 417 – 418 Hal. 419 – 420 Hal. 421 – 422
Hal. 423 – 424 Hal. 425 – 426
Hal. 427 – 562 Hal. 429
Hal. 430 – 446
Hal. 448 – 463
Hal. 464 – 473
Hal. 474 – 478
Hal. 479 – 489 Hal. 490 – 498
Hal 499 – 503
Hal. 504 – 519
Hal. 520 – 525
Hal. 526 – 540
Hal. 541 – 554
Hal. 555 – 559
Hal. 562
viii Manajemen Manajemen Risiko Lampiran 29 : Formulir Pelaporan dan Permohonan Persetujuan Penggunaan Teknologi Informasi Penjelasan Cara Pengisian Laporan Lampiran 29.1 : Laporan Penggunaan Tekonologi Informasi Lampiran 29.1.1 : Manajemen Lampiran 29.1.2 : Aplikasi dan Pengembangan
Lampiran 29.1.3 : Operasional Teknologi Informasi Lampiran 29.1.4 : Jaringan Komunikasi Lampiran 29.1.5 : Pengamanan Informasi Lampiran 29.1.6 : Business Continuity Plan Lampiran 29.1.7 : End User Computing Lampiran 29.1.8 : Electronic Banking Lampiran 29.1.9 : Audit Teknologi Informasi (Audit TI) Lampiran 29.1.10 : Penyelenggaraan TI oleh Pihak Lain Lampiran 29.2 : Rencana Perubahan Mendasar Dalam Penggunaan Teknologi Informasi
Lampiran 29.2.1 : Rencana Penerbitan Electronic Banking Transaksional Lampiran 29.2.2 : Rencana Penyelenggaraan Data Center dan atau Disaster Recovery Center oleh Pihak Lain di Dalam Negeri Lampiran 29.2.3 : Rencana Penyelenggaraan Data Center dan atau Disaster Recovery Center oleh Pihak Lain di Luar Negeri Lampiran 29.2.4 : Rencana Penyelenggaraan Pemrosesan Transaksi Berbasis Teknologi Informasi oleh Pihak Lain di Dalam Negeri Lampiran 29.2.5 : Rencana Penyelenggaraan Pemrosesan Transaksi Berbasis Teknologi Informasi oleh Pihak Lain di Luar Negeri Lampiran 29.3 : Laporan Realisasi Perubahan Mendasar Dalam Penggunaan Teknologi Informasi
Lampiran 29.3.1 : Realisasi Penerbitan Electronic Banking Transaksional Lampiran 29.3.2 : Realisasi Penyelenggaraan Data Center dan atau Disaster Recovery Center oleh Pihak Lain di Dalam Negeri Lampiran 29.3.3 : Realisasi Penyelenggaraan Data Center dan Disaster Recovery Center oleh Pihak Lain di Luar Negeri Lampiran 29.3.4 : Realisasi Penyelenggaraan Pemrosesan Transaksi Berbasis Teknologi Informasi oleh Pihak Lain di Dalam Negeri Lampiran 29.3.5 : Realisasi Penyelenggaraan Pemrosesan Transaksi Berbasis Teknologi Informasi oleh Pihak Lain di Luar Negeri Hal. 573 – 606 Hal. 566 – 567
Hal. 568
Hal. 569
Hal. 570
Hal. 571
Hal. 572
Hal. 573 – 574
Hal. 575
Hal. 576
Hal. 577 – 578
Hal. 579
Hal. 580
Hal. 581
Hal. 582
Hal. 583 – 584
Hal. 585 – 586
Hal. 587 – 588
Hal 589 – 590
Hal. 591
Hal. 592
Hal. 593
Hal. 594
Hal. 595
Hal. 596
Lampiran 29.4 : Laporan Tahunan Penggunaan Teknologi Informasi Lampiran 29. 5 : Laporan Kejadian Kritis, Penyalahgunaan dan/atau Kejahatan dalam Penyelenggaraan Teknologi Informasi (TI) Lampiran 29.6 : Permohonan Persetujuan Ulang Penyelenggaraan Data Center Dan Atau Disaster Recovery Center oleh Pihak Lain di Luar Negeri bagi Kantor Cabang Bank Asing Hal. 597 – 600
Lampiran 30 : Contoh Pekerjaan Pokok dan Penjelasannya Lampiran 31 : Contoh Pekerjaan Penunjang dan Penjelasannya Lampiran 32 : Laporan Rencana Alih Daya, Perubahan Dan/ Atau Penambahan Rencana Alih Daya Lampiran 33 : Laporan Alih Daya yang Bermasalah Lampiran 34 : Penetapan LTV atau FTV untuk Kredit atau Pembiayaan Pemilikan Properti Hal. 603 – 605
Hal. 606 – 610
Hal. 611
Hal. 601
Hal. 602
Hal. 612
Hal. 613 – 615
ix Manajemen Manajemen Risiko Lampiran 35 : Penetapan LTV atau FTV untuk Kredit atau Pembiayaan Konsumsi Properti Lampiran 36 : Penetapan LTV atau FTV untuk Perjanjian Kredit atau Pembiayaan yang Mengikat Lebih dari 1 (satu) Properti pada Saat Bersamaan dan/atau Beberapa Perjanjian Kredit atau Pembiayaan Terhadap Beberapa Properti di Tanggal yang Sama Lampiran 37 : Penetapan LTV atau FTV Berdasarkan Nilai Properti yang Menjadi Agunan dengan Baki Debet dari Fasilitas Kredit atau Pembiayaan Sebelumnya dengan Menggunakan Agunan yang Sama Hal. 616 – 618
Hal. 619 – 626 Hal. 627 – 630
x Manajemen Manajemen Risiko Rekam Jejak Regulasi Penerapan Manajemen Risiko SE 15/40/DKMP 2013 Penerapan Manajemen Risiko pada Bank yang Melakukan Pemberian Kredit atau Pembiayaan Pemilikan Properti, Kredit atau Pembiayaan Konsumsi Beragun Properti dan Kredit atau Pembiayaan Kendaraan Bermotor
SE 15/6/DPNP 2013 Kegiatan Usaha Bank Umum Berdasarkan Modal Inti
SE 14/10/DPNP 2012
Penerapan Manajemen Risiko pada Bank yang Melakukan Pemberian KPR dan KKB
SE 13/29/DPNP 2011
Penerapan Manajemen Risiko pada Bank yang Melakukan Layanan Nasabah Prima
SE 14/33/DPBs 2012
Penerapan KPPPR dan pembiayaan KKB BUS dan UUS
13/23/PBI/2011
Penerapan Manajemen Risiko bagi Bank Umum Syariah dan Unit Usaha Syariah
‐ 13/19/PBI/2011 Perubahan 8/12/
PBI/2006 tentang Laporan Berkala Bank Umum
‐ 11/28/PBI/2009 Program Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme
‐ 10/3/PBI/2008 Laporan Kantor Pusat Bank Umum
‐ 7/50/PBI/2005 Perubahan 3/22/PBI/
2001 tentang Transparansi Kondisi Keuangan Bank
Angka 3, 4 dan 9, Lampiran 1, 5, 6, dan 7
Tidak berlaku bagi BUS dan UUS
Angka IV, VI, dan VIA
SE 12/35/DPNP 2010
Penerapan Manajemen Risiko pada Bank yang Melakukan Aktivitas Kerjasama Pemasaran dengan Perusahaan Asuransi (Banassuance)
SE 11/36/DPNP 2009 Perubahan 7/19/DPNP 2005 tentang Penerapan Manajemen Risiko pada Bank yang melakukan Aktivitas Berkaitan dengan Reksadana
SE 11/35/DPNP 2009
Pelaporan Produk dan Aktivitas Baru
Pasal 1, 2, 4, 8, 20, 20A, 21, 24, 25, 26, 29, 33, 34, 35, 35A
Prinsip Kehati‐hatian bagi Bank Umum yang Melaksanakan Penyerahan Sebagian Pelaksanaan Pekerjaan Kpd Pihak Lain SE 13/23/DPNP 2011
Perubahan atas SE 5/21/DPNP 2003 perihal Manajemen Risiko bagi Bank Umum
11/25/PBI/2009
Perubahan PBI No.5/8/PBI/2003 Tentang Penerapan Manajemen Risiko Bank Umum ‐ Undang‐Undang Nomor 13 tahun 2003 tentang Ketenagakerjaan
‐ 14/15/PBI/2012 Penilaian Kualitas Aset Bank Umum
‐ 14/2/PBI/2012 Perubahan atas 11/11/PBI/2009 tentang Penyelenggaraan Kegiatan APMK
‐ 11/25/PBI/2009 Perubahan atas 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum
‐ 9/15/PBI/2007 Penetapan Manajemen RIsiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum
‐ 8/14/PBI/2006 tentang Perubahan atas 8/4/PBI/2006 tentang Pelaksanaan Good Corporate Governance bagi Bank Umum
‐ 7/6/PBI/2005 tentang Transparansi Informasi Produk Bank dan Penggunaan Data Pribadi Nasabah
Angka 10 Lampiran 1 Bab IV, angka 4 dan 5 Lampiran 7
‐ 11/28/PBI/2009 Program Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme
‐ 7/6/PBI/2005 Transaparansi Informasi Produk Bank dan Penggunaan Data Pribadi Nasabah
‐ 10/17/PBI/2008 Produk Bank Syariah dan Unit Usaha Syariah
‐ SE 13/6DPNP/2011 Pedoman Perhitungan Aset Tertimbang Menurut Risiko untuk Risiko Kredit dengan Menggunakan Pendekatan Standar
‐ SE 12/38/DPNP/2010 Pedoman Penyusunan Standard Operating Procedure Administrasi Kredit Pemilikan Rumah dalam Rangka Sekuritisasi
‐ 27/162/KEP/DIR/1995 Kewajiban Penyusunan dan Pelaksanaan Kebijaksanaan Perkreditan Bank Bagi Bank Umum
SE 9/30/DPNP 2007
Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
9/15/PBI/2007
Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi oleh Bank Umum
Lampiran III.3
11/28/PBI/2009 Program Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme
SE 7/19/DPNP 2005
Penerapan Manajemen Risiko pada Bank yang melakukan Aktivitas Berkaitan dengan Reksadana
‐ 13/19/PBI/2011 Perubahan 8/12/
PBI/2006 tentang Laporan Berkala Bank Umum
‐ 13/1/PBI/2011 Penilaian Tingkat Kesehatan Bank Umum
‐ 11/28/PBI/2009 Program Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme
‐ 10/3/PBI/2008 Laporan Kantor Pusat Bank Umum
‐ 7/50/PBI/2005 Perubahan 3/22/PBI/
2001 tentang Transparansi Kondisi Keuangan Bank
‐ 7/6/PBI/2005 Transaparansi Informasi Produk Bank dan Penggunaan Data Pribadi Nasabah
13/25/PBI/2011
SE 13/28/DPNP 2011
Penerapan Strategi Anti Fraud bagi Bank Umum
Tidak berlaku bagi BUS dan UUS
SE 11/16/DPNP 2009 Penerapan Manajemen Risiko untuk Risiko Likuiditas
‐ 11/28/PBI/2009 Program Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme
‐ 10/3/PBI/2008 Laporan Kantor Pusat Bank Umum
‐ 8/13/PBI/2006 Perubahan atas 7/3/
PBI/2005 tentang Batas Maksimum Pemberian Kredit Bank Umum
‐ 7/6/PBI/2005 Transaparansi Informasi Produk Bank dan Penggunaan Data Pribadi Nasabah
SE 14/20/DPNP 2012
SE 6/18/DPNP 2004
Penerapan Manajemen Risiko pada Aktivitas Pelayananan jasa Bank Melalui Internet (Internet Banking)
SE 6/43/DPNP 2004
Penerapan Manajemen Risiko pada Bank yang Melakukan Aktivitas Kerjasama Pemasaran dengan Perusahaan Asuransi (Banassuance)
‐ 14/2/PBI/2012 Perubahan atas 11/11/PBI/2009 tentang Penyelenggaraan Kegiatan APMK
‐ 7/6/PBI/2005 Transparansi Informasi Produk Bank dan Data Pribadi Nasabah Tidak berlaku bagi Bank Umum
SE 8/27/DPNP 2006
Prinsip Kehati‐hatian dan Laporan dalam rangka Penerapan Manajemen Risiko secara Konsolidasi bagi Bank yang Melakukan Pengendalian terhadap Perusahaan Anak
8/6/PBI/2006
Penerapan Manajemen Risiko Secara Konsolidasi Bagi Bank yang Melakukan Pengendalian Terhadap Perusahaan Anak
8/4/PBI/2006
Pelaksanaan Good Corporate Governance Bagi Bank Umum
5/8/PBI/2003
Penerapan Manajemen Risiko bagi Bank Umum
‐ 11/28/PBI/2009 Penerapan Program Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme bagi Bank Umum
‐ 11/2/PBI/2009 Penilaian Kualitas Aktiva
‐ 10/15/PBI/2008 Kewajiban Penyediaan Modal Minimum Bank Umum
‐ 10/3/PBI/2008 Laporan Kantor Pusat Bank Umum
‐ 8/13/PBI/2006 Perubahan atas 7/3/
PBI/2005 tentang Batas Maksimum Pemberian Kredit Bank Umum
‐ 7/6/PBI/2005 Transaparansi Informasi Produk dan Penggunaan Data Pribadi Nasabah
‐ 5/10/PBI/2003 Prinsip Kehati‐hatian dalam Kegiatan Penyertaan Modal
‐ 14/8/DPNP/2012 Perubahan kedua atas SE 8/15/DPNP/2005 perihal Laporan Berkala Bank Umum
‐ 13/3/PBI/2011 Penetapan Status dan Tindak Lanjut Pengawasan Bank
‐ 13/1/PBI/2011 Penilaian Tingkat Kesehatan Bank Umum
‐ 11/2/PBI/2009 Perubahan Ketiga 7/2/
PBI/2005 tentang Penilaian Kualitas Aktiva
‐ 10/15/PBI/2008 Kewajiban Penyediaan Modal Minimum Bank Umum
‐ 8/13/PBI/2006 Perubahan atas 7/3/
PBI/2005 tentang Batas Maksimum Pemberian Kredit Bank Umum
‐ 7/50/PBI/2005 Perubahan atas Peraturan Bank Indonesia Nomor 3/22/
PBI/2001 tentang Transparansi Kondisi Keuangan Bank
‐ 5/10/PBI/2003 Prinsip Kehati‐hatian dalam Kegiatan Penyertaan Modal
‐ SE 14/5/DSM/2012 Perubahan kedua atas SE 11/2DSM/2009 perihal Laporan Bulanan Bank Umum
Keterangan :
SE 5/22/DPNP 2003
Pedoman Standar Sistem Pengendalian Intern bagi Bank Umum
SE 5/21/DPNP 2003
Penerapan Manajemen Risiko bagi Bank Umum
‐ 13/19/PBI/2011 Perubahan 8/12/PBI/
2006 tentang Laporan Berkala Bank Umum ‐ 10/3/PBI/2008 Laporan Kantor Pusat Bank Umum
Diubah
Dicabut
Pasal 6 huruf c
Terkait
PBI/ KEP DIR Masih Berlaku
SE 31/18/UPPB 1998
31/179/KEP/DIR
Pemantauan Likuiditas Bank Umum
PBI/ KEP DIR Tidak Berlaku
SE Masih Berlaku
SE Tidak Berlaku
Regulasi Terkait
xi Manajemen Manajemen Risiko Dasar Hukum : ‐ Undang‐Undang Nomor 6 Tahun 2009 tentang Penetapan Perubahan Kedua atas Peraturan Pemerintah Pengganti Undang‐Undang Nomor 2 Tahun 2008 tentang Perubahan Undang‐Undang Nomor 23 Tahun 1999 tentang Bank Indonesia ‐ Undang‐Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah ‐ Peraturan Pemerintah Pengganti Undang‐Undang Nomor 2 Tahun 2008 tentang Perubahan atas Undang‐Undang Nomor 23 Tahun 1999 tentang Bank Indonesia ‐ Undang‐Undang Nomor 23 Tahun 1999 tentang Bank Indonesia sebagaimana telah diubah terakhir dengan Undang‐Undang Nomor 6 Tahun 2009 ‐ Undang‐Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang‐ Undang Nomor 10 Tahun 1998 Regulasi Terkait : ‐ Undang‐Undang Nomor 40 Tahun 2007 tentang Perseroan Terbatas ‐ Undang‐Undang Nomor 5 Tahun 1962 tentang Perusahaan Daerah ‐ Undang‐Undang Nomor 25 Tahun 1992 tentang Perkoperasian ‐ Undang‐undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen ‐ Peraturan Bank Indonesia Nomor 14/2/PBI/2012 Perubahan atas Peraturan Bank Indonesia Nomor 11/11/PBI/2009 tentang Penyelenggaraan Kegiatan Alat Pembayaran dengan Menggunakan Kartu ‐ Peraturan Bank Indonesia Nomor 13/19/PBI/2011 Perubahan atas Peraturan Bank Indonesia Nomor 8/12/PBI/2006 tentang Laporan Berkala Bank Umum ‐ Peraturan Bank Indonesia Nomor 13/3/PBI/2011 tentang Penetapan Status dan Tindak Lanjut Pengawasan Bank ‐ Peraturan Bank Indonesia Nomor 13/1/PBI/2011 tentang Penilaian Tingkat Kesehatan Bank Umum ‐ Peraturan Bank Indonesia Nomor 12/2/PBI/2010 Perubahan Kedua atas Peraturan Bank Indonesia Nomor 10/40/PBI/2008 tentang Laporan Bulanan Bank Umum ‐ Peraturan Bank Indonesia Nomor 11/28/PBI/2009 tentang Penerapan Program Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme bagi Bank Umum ‐ Peraturan Bank Indonesia Nomor 11/2/PBI/2009 Perubahan Ketiga atas Peraturan Bank Indonesia Nomor 7/2/PBI/2005 tentang Penilaian Kualitas Aktiva Bank Umum ‐ Peraturan Bank Indonesia Nomor 10/17/PBI/2008 tentang Produk Bank Syariah dan Unit Usaha Syariah ‐ Peraturan Bank Indonesia Nomor 10/15/PBI/2008 tentang Kewajiban Penyediaan Modal Minimum Bank Umum ‐ Peraturan Bank Indonesia Nomor 10/3/PBI/2008 tentang Laporan Kantor Pusat Bank Umum ‐ Peraturan Bank Indonesia Nomor 8/13/PBI/2006 Perubahan atas Peraturan Bank Indonesia Nomor 7/3/PBI/2005 tentang Batas Maksimum Pemberian Kredit Bank Umum ‐ Peraturan Bank Indonesia Nomor 7/50/PBI/2005 tentang Perubahan atas Peraturan Bank Indonesia Nomor 3/22/PBI/2001 tentang Transparansi Kondisi Keuangan Bank ‐ Peraturan Bank Indonesia Nomor 7/6/PBI/2005 tentang Transparansi Informasi Produk Bank dan Penggunaan Data Pribadi Nasabah ‐ Peraturan Bank Indonesia Nomor 5/10/PBI/2003 tentang Prinsip Kehati‐hatian dalam Kegiatan Penyertaan Modal ‐ Surat Edaran Bank Indonesia Nomor 14/21/DPNP 2012 Perubahan atas Surat Edaran Bank Indonesia Nomor 9/33/DPNP 2007 perihal Pedoman Penggunaan Metode Standar dalam Perhitungan Kewajiban Penyediaan Modal Minimum Bank Umum dengan Memperhitungkan Risiko Pasar ‐ Surat Edaran Bank Indonesia Nomor 14/8/DPNP 2012 Perubahan Kedua atas Surat Edaran Bank Indonesia Nomor 8/15/DPNP 2006 perihal Laporan Berkala Bank Umum ‐ Surat Edaran Bank Indonesia Nomor 14/5/DSM 2012 Perubahan Kedua atas Surat Edaran Bank Indonesia Nomor 11/2/DSM 2009 perihal Laporan Bulanan Bank Umum ‐ Surat Edaran Bank Indonesia Nomor 13/31/DPNP 2011 perihal Lembaga Pemeringkat dan Peringkat yang Diakui Bank Indonesia xii Manajemen ‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
‐
Manajemen Risiko Surat Edaran Bank Indonesia Nomor 13/30/DPNP 2011 Perubahan Ketiga atas Surat Edaran Bank Indonesia Nomor 3/30/DPNP 2001 perihal Laporan Keuangan Publikasi Triwulanan dan Bulanan Bank Umum serta Laporan Tertentu yang Disampaikan kepada Bank Indonesia Surat Edaran Bank Indonesia Nomor 13/24/DPNP 2011 perihal Penilaian Tingkat Kesehatan Bank Umum Surat Edaran Bank Indonesia Nomor 13/6/DPNP 2011 perihal Pedoman Perhitungan Aset Tertimbang Menurut Risiko untuk Risiko Kredit dengan Menggunakan Pendekatan Standar Surat Edaran Bank Indonesia Nomor 13/5/DPNP 2011 perihal Transparansi Informasi Suku Bunga Dasar Kredit Surat Edaran Bank Indonesia Nomor 13/2/DPbS 2011 perihal Tindak lanjut Penanganan terhadap Bank Pembiayaan Syariah dalam Status Pengawasan Khusus Surat Edaran Bank Indonesia Nomor 12/38/DPNP 2010 perihal Pedoman Penyusunan Standard Operating Procedure Administrasi Kredit Pemilikan Rumah dalam Rangka Sekuritisasi Surat Edaran Bank Indonesia Nomor 12/11/DPNP 2010 Perubahan Kedua atas Surat Edaran Bank Indonesia Nomor 3/30/DPNP 2001 perihal Laporan Keuangan Publikasi Triwulanan dan Bulanan Bank Umum serta Laporan Tertentu yang Disampaikan kepada Bank Indonesia Surat Edaran Bank Indonesia Nomor 11/31/DPNP 2009 perihal Pedoman Standar Penerapan Program Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme bagi Bank Umum Surat Edaran Bank Indonesia Nomor 11/10/DASP 2009 perihal Penyelenggaraan Kegiatan Alat Pembayaran dengan Menggunakan Kartu Surat Edaran Bank Indonesia Nomor 11/3/DPNP 2009 perihal Perhitungan Aset Tertimbang Menurut Risiko (ATMR) untuk Risiko Operasional dengan Menggunakan Pendekatan Indikator Dasar (PID) Surat Edaran Bank Indonesia Nomor 10/31/DPbS 2008 perihal Produk Bank Syariah dan Unit Usaha Syariah Surat Edaran Bank Indonesia Nomor 10/3/UKMI 2008 perihal Laporan Kantor Pusat Bank Umum Surat Edaran Bank Indonesia Nomor 9/33/DPNP 2007 perihal Pedoman Penggunaan Metode Standar dalam perhitungan Kewajiban Penyediaan Modal Minimum Bank Umum dengan Memperhitungkan Risiko Pasar Surat Edaran Bank Indonesia Nomor 9/31/DPNP 2007 perihal Pedoman Penggunaan Model internal dalam perhitungan Kewajiban Penyediaan Modal Minimum Bank Umum dengan Memperhitungkan Risiko Pasar Surat Edaran Bank Indonesia Nomor 8/16/DPbS 2006 perihal Laporan Berkala Bank Umum Surat Edaran Bank Indonesia Nomor 8/15/DPNP 2006 perihal Laporan Berkala Bank Umum Surat Edaran Bank Indonesia Nomor 7/57/DPbS 2005 perihal Hubungan Antara Bank yang Melaksanakan Kegiatan Usaha Berdasarkan Prinsip Syariah, Kantor Akuntan Publik, Akuntan Publik, Dewan Pengawas Syariah dan Bank Indonesia Surat Edaran Bank Indonesia Nomor 7/56/DPbS 2005 perihal Laporan Tahunan, Laporan Keuangan Publikasi Triwulanan dan Bulanan Serta Laporan Tertentu dari Bank yang Disampaikan Kepada Bank Indonesia Surat Edaran Bank Indonesia Nomor 7/48/DPNP 2005 perihal Jumlah Modal Inti Minimum Bank Umum Surat Edaran Bank Indonesia Nomor 7/25/DPNP 2005 perihal Transparansi Informasi Produk Bank dan Penggunaan Data Pribadi Nasabah Surat Edaran Bank Indonesia Nomor 7/14/DPNP 2005 perihal Batas Maksimum Pemberian Kredit Bank Umum Surat Edaran Bank Indonesia Nomor 7/3/DPNP 2005 perihal Penilaian Kualitas Aktiva Bank Umum Surat Edaran Bank Indonesia Nomor 5/26/BPS 2003 perihal Pelaksanaan Pedoman Akutansi Perbankan Syariah Indonesia Surat Edaran Bank Indonesia Nomor 3/30/DPNP 2001 perihal Laporan Keuangan Publikasi Triwulanan dan Bulanan Bank Umum serta Laporan Tertentu yang Disampaikan kepada Bank Indonesia Surat Keputusan Direksi Bank Indonesia No.27/164/KEP/DIR/1995 tentang Penggunaan Teknologi Sistem Informasi oleh Bank xiii Manajemen ‐
Manajemen Risiko Surat Keputusan Direksi Bank Indonesia Nomor 27/162/KEP/DIR/1995 tentang Kewajiban Penyusunan dan Pelaksanaan Kebijaksanaan Perkreditan Bank bagi Bank Umum Regulasi Bank Indonesia : ‐ Peraturan Bank Indonesia Nomor 13/25/PBI/2011 tentang Prinsip Kehati‐hatian bagi Bank Umum yang Melakukan Sebagian Pelaksanaan Pekerjaan Kepada Pihak Lain ‐ Peraturan Bank Indonesia Nomor 13/23/PBI/2011 tentang Penerapan Manajemen Risiko bagi bank Umum Syariah dan Unit Usaha Syariah ‐ Peraturan Bank Indonesia Nomor 11/25/PBI/2009 Perubahan atas Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum ‐ Peraturan Bank Indonesia Nomor 9/15/PBI/2007 tentang Penerapan Manajemen RIsiko dalam Penggunaan Teknologi Informasi oleh Bank Umum ‐ Peraturan Bank Indonesia Nomor 8/6/PBI/2006 tentang Penerapan Manajemen Risiko Secara Konsolidasi bagi bank yang Melakukan Pengendalian terhadap Perusahaan Anak ‐ Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bank Umum ‐ Surat Edaran Bank Indonesia Nomor 15/40/DKMP 2013 perihal Penerapan Manajemen RIsiko pada Bank yang Melakukan Pemberian Kredit atau Pembiayaan Pemilikan Properti, Kredit atau Pembiayaan Konsumsi Beragun Properti, dan Kredit atau Pembiayaan Kendaraan Bermotor ‐ Surat Edaran Bank Indonesia Nomor 14/20/DPNP 2012 perihal Prinsip Kehati‐hatian bagi Bank Umum yang Melakukan Sebagian Pelaksanaan Pekerjaan Kepada Pihak Lain ‐ Surat Edaran Bank Indonesia Nomor 13/29/DPNP 2011 perihal Penerapan Manajemen Risiko pada Bank Umum yang Melakukan Layanan Nasabah Prima ‐ Surat Edaran Bank Indonesia Nomor 13/28/DPNP 2011 perihal Penerapan Strategi Anti Fraud bagi Bank Umum ‐ Surat Edaran Bank Indonesia Nomor 13/23/DPNP 2011 Perubahan atas Surat Edaran Bank Indonesia Nomor 5/21/DPNP 2003 perihal Penerapan Manajemen Risiko bagi Bank Umum ‐ Surat Edaran Bank Indonesia Nomor 12/35/DPNP 2010 perihal Penerapan Manajemen Risiko pada Bank yang Melakukan Aktivitas Kerjasama Penawaran dengan Perusahaan Asuransi (Bancassurance) ‐ Surat Edaran Bank Indonesia Nomor 11/36/DPNP 2009 Perubahan atas Surat Edaran Bank Indonesia Nomor 7/19/DPNP 2005 perihal Penerapan Manajemen Risiko pada Bank yang Melakukan Aktivitas Berkaitan dengan Reksa Dana ‐ Surat Edaran Bank Indonesia Nomor 11/16/DPNP 2009 perihal Penerapan Manajemen Risiko untuk Risiko Likuiditas ‐ Surat Edaran Bank Indonesia Nomor 9/30/DPNP 2007 perihal Penerapan Manajemen RIsiko dalam Penggunaan Teknologi Informasi oleh Bank Umum ‐ Surat Edaran Bank Indonesia Nomor 8/27/DPNP 2006 perihal Prinsip Kehati‐hatian dan laporan dalam rangka Penerapan Manajemen Risiko secara Konsolidasi bagi Bank yang Melakukan Pengendalian terhadap Perusahaan Anak ‐ Surat Edaran Bank Indonesia Nomor 7/19/DPNP 2005 perihal Penerapan Manajemen Risiko pada Bank yang Melakukan Aktivitas Berkaitan dengan Reksa Dana ‐ Surat Edaran Bank Indonesia Nomor 6/18/DPNP 2004 perihal Penerapan Manajemen RIsiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking) ‐ Surat Edaran Bank Indonesia Nomor 5/22/DPNP 2003 perihal Pedoman Standar Sistem Pengendalian Intern bagi Bank Umum ‐ Surat Edaran Bank Indonesia Nomor 5/21/DPNP 2003 perihal Penerapan Manajemen Risiko bagi bank Umum xiv Manajemen Paragraf Sumber Regulasi BAB I Pasal 1 11/25/PBI/2009 Angka 1 1 Manajemen Risiko Ketentuan
Perbankan
Manajemen
Manajemen Risiko
Penerapan Manajemen Risiko bagi Bank Umum Ketentuan Umum
1. Bank adalah Bank Umum sebagaimana dimaksud dalam Undang‐
Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang‐Undang Nomor 10 Tahun 1998, termasuk kantor cabang bank asing, dan Bank Umum Syariah sebagaimana dimaksud dalam Undang‐Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah. 2. Bank Umum Konvensional adalah Bank Umum Konvensional sebagaimana dimaksud dalam Undang‐Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah. 3. Bank Umum Syariah adalah Bank Umum Syariah sebagaimana dimaksud dalam Undang‐Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah. 4. Risiko adalah potensi kerugian akibat terjadinya suatu peristiwa (events) tertentu. 5. Manajemen Risiko adalah serangkaian metodologi dan prosedur yang digunakan untuk mengidentifikasi, mengukur, memantau, dan mengendalikan Risiko yang timbul dari seluruh kegiatan usaha Bank. 6. Risiko Kredit adalah Risiko akibat kegagalan debitur dan/atau pihak lain dalam memenuhi kewajiban kepada Bank. 7. Risiko Pasar adalah Risiko pada posisi neraca dan rekening administratif termasuk transaksi derivatif, akibat perubahan secara keseluruhan dari kondisi pasar, termasuk Risiko perubahan harga option. 8. Risiko Likuiditas adalah Risiko akibat ketidakmampuan Bank untuk memenuhi kewajiban yang jatuh tempo dari sumber pendanaan arus kas dan/atau dari aset likuid berkualitas tinggi yang dapat diagunkan, tanpa mengganggu aktivitas dan kondisi keuangan Bank. 9. Risiko Operasional adalah Risiko akibat ketidakcukupan dan/atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, dan/atau adanya kejadian‐kejadian eksternal yang mempengaruhi operasional Bank. 10. Risiko Kepatuhan adalah Risiko akibat Bank tidak mematuhi dan/atau tidak melaksanakan peraturan perundang‐undangan dan ketentuan yang berlaku. 11. Risiko Hukum adalah Risiko akibat tuntutan hukum dan/atau kelemahan aspek yuridis. 12. Risiko Reputasi adalah Risiko akibat menurunnya tingkat kepercayaan stakeholder yang bersumber dari persepsi negatif terhadap Bank. 13. Risiko Stratejik adalah Risiko akibat ketidaktepatan dalam pengambilan dan/atau pelaksanaan suatu keputusan stratejik serta kegagalan dalam mengantisipasi perubahan lingkungan bisnis. 14. Direksi: a) bagi Bank berbentuk badan hukum Perseroan Terbatas adalah direksi sebagaimana dimaksud dalam Undang‐Undang tentang Perseroan Terbatas; 1 Manajemen Paragraf Sumber Regulasi 2 BAB II Pasal 2 11/25/PBI/2009 Manajemen Risiko Ketentuan
b) bagi Bank berbentuk badan hukum Perusahaan Daerah adalah direksi sebagaimana dimaksud dalam Undang‐Undang tentang Perusahaan Daerah; c) bagi Bank berbentuk badan hukum Koperasi adalah pengurus sebagaimana dimaksud dalam Undang‐Undang tentang Perkoperasian; d) bagi kantor cabang bank asing adalah pimpinan kantor cabang bank asing 15. Dewan Komisaris: a. bagi Bank berbentuk Perseroan Terbatas adalah dewan komisaris sebagaimana dimaksud dalam Undang‐Undang tentang Perseroan Terbatas; b. bagi Bank berbentuk hukum Perusahaan Daerah adalah pengawas sebagaimana dimaksud dalam Undang‐Undang tentang Perusahaan Daerah; c. bagi Bank berbentuk hukum Koperasi adalah pengawas sebagaimana dimaksud dalam Undang‐Undang tentang Perkoperasian. 16. Perusahaan Anak adalah badan hukum atau perusahaan yang dimiliki dan/atau dikendalikan oleh Bank secara langsung maupun tidak langsung, baik di dalam maupun di luar negeri yang melakukan kegiatan usaha di bidang keuangan, yang terdiri dari: a. Perusahaan Subsidiari (subsidiary company) yaitu Perusahaan Anak dengan kepemilikan Bank lebih dari 50% (lima puluh perseratus); b. Perusahaan Partisipasi (participation company) adalah Perusahaan Anak dengan kepemilikan Bank 50% (lima puluh perseratus) atau kurang, namun Bank memiliki Pengendalian terhadap perusahaan; c. Perusahaan dengan kepemilikan Bank lebih dari 20% (dua puluh perseratus) sampai dengan 50% (lima puluh perseratus) yang memenuhi persyaratan yaitu: i. kepemilikan Bank dan para pihak lainnya pada Perusahaan Anak adalah masing‐masing sama besar; dan ii. masing‐masing pemilik melakukan Pengendalian secara bersama terhadap Perusahaan Anak; d. Entitas lain yang berdasarkan Standar Akuntansi Keuangan yang berlaku wajib dikonsolidasikan. Ruang Lingkup Manajemen Risiko
(1) Bank wajib menerapkan Manajemen Risiko secara efektif, baik untuk Bank secara individual maupun untuk Bank secara konsolidasi dengan Perusahaan Anak. Termasuk dalam cakupan penerapan Manajemen Risiko adalah penerapan program Anti Pencucian Uang dan Pencegahan Pendanaan Teroris yang sebelumnya dikenal dengan prinsip mengenal nasabah (Know Your Customer/KYC). (2) Penerapan Manajemen Risiko sebagaimana dimaksud pada ayat (1) paling kurang mencakup: a. pengawasan aktif Dewan Komisaris dan Direksi; 2 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
b. kecukupan kebijakan, prosedur, dan penetapan limit manajemen risiko; c. kecukupan proses identifikasi, pengukuran, pemantauan, dan pengendalian Risiko, serta sistem informasi Manajemen Risiko; dan d. sistem pengendalian intern yang menyeluruh. SE 5/21/DPNP (3) Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum 2003 merupakan acuan standar penerapan manajemen risiko yang wajib Butir 1 ‐ 2 dipenuhi oleh Bank sehingga Bank dapat memperluas dan memperdalam sesuai dengan kebutuhan Bank. (4) Bank yang telah memiliki kebijakan, prosedur, dan atau pedoman penerapan manajemen risiko namun belum memenuhi standar penerapan manajemen risiko, wajib menyesuaikan dan menyempurnakan dengan berpedoman pada Lampiran 1 Surat Edaran Bank Indonesia ini (Lampiran 1 dalam kodifikasi ini). SE 13/23/DPNP (5) Penyempurnaan pedoman penerapan manajemen risiko sebagaimana 2011 dimaksud pada ayat 4 dilakukan paling lambat tanggal 30 November Butir 1.3 2011 dan disampaikan kepada Bank Indonesia paling lama 30 (tiga puluh) hari sejak diselesaikannya penyempurnaan pedoman tersebut. SE 13/23/DPNP (6) Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum, 2011 paling kurang memuat: Butir 2.4 a. Penerapan Manajemen Risiko Secara Umum, yang mencakup mengenai pengawasan aktif Dewan Komisaris dan Direksi; kecukupan kebijakan, prosedur, dan penetapan limit; kecukupan proses identifikasi, pengukuran, pemantauan, dan pengendalian Risiko, serta sistem informasi Manajemen Risiko; dan sistem pengendalian intern yang menyeluruh. b. Penerapan Manajemen Risiko untuk Masing‐Masing Risiko, yang mencakup penerapan Manajemen Risiko untuk masing‐masing Risiko yang meliputi 8 (delapan) Risiko yaitu Risiko Kredit, Risiko Pasar, Risiko Likuiditas, Risiko Operasional, Risiko Hukum, Risiko Stratejik, Risiko Kepatuhan, dan Risiko Reputasi. c. Penilaian Profil Risiko, yang mencakup penilaian terhadap Risiko inheren dan penilaian terhadap kualitas penerapan Manajemen Risiko yang mencerminkan sistem pengendalian Risiko (risk control system), baik untuk Bank secara individual maupun untuk Bank secara konsolidasi. Penilaian tersebut dilakukan terhadap 8 (delapan) Risiko yaitu Risiko Kredit, Risiko Pasar, Risiko Likuiditas, Risiko Operasional, Risiko Hukum, Risiko Stratejik, Risiko Kepatuhan, dan Risiko Reputasi. Dalam melakukan penilaian profil Risiko, Bank wajib mengacu pada ketentuan Bank Indonesia yang mengatur mengenai penilaian tingkat kesehatan Bank Umum. SE 5/21/DPNP (7) Bank wajib melakukan langkah‐langkah persiapan, pengembangan dan 2003 atau penyempurnaan yang diperlukan dalam rangka penerapan Butir 8 manajemen risiko yang efektif, antara lain: a. melaksanakan diagnosa dan analisis mengenai: organisasi, kebijakan, prosedur, dan pedoman serta pengembangan sistem yang terkait dengan penerapan manajemen risiko. Selanjutnya Bank menilai dan menyusun rencana penyempurnaan sesuai dengan acuan dalam Pedoman Standar Penerapan Manajemen 3 Manajemen Paragraf Sumber Regulasi 3 Pasal 3 5/8/PBI/2003 SE 5/21/DPNP 2003 Butir 11 4 Pasal 4 11/25/PBI/2009 Manajemen Risiko Ketentuan
Risiko Bagi Bank Umum.
b. menugaskan pejabat atau staf atau project team yang bertanggungjawab untuk proses penyusunan analisis dan pemantauan kemajuan rencana kegiatan (action plan). c. melakukan sosialisasi pedoman penerapan manajemen risiko kepada pegawai agar memahami praktek manajemen risiko, dan mengembangkan budaya risiko (risk culture) kepada seluruh pegawai pada setiap tingkatan organisasi Bank. d. menyusun laporan rencana kegiatan (action plan) dan laporan realisasi kegiatan (progress report) sesuai dengan Lampiran 3 dan Lampiran 4 sebagaimana tercantum dalam Surat Edaran Bank Indonesia ini (Lampiran 3 dan Lampiran 4 dalam kodifikasi ini). e. memastikan bahwa Satuan Kerja Audit Intern (SKAI) ikut serta memantau dalam proses penyusunan rencana kegiatan (action plan) dan realisasi rencana kegiatan dimaksud, serta penyusunan laporan profil risiko triwulanan. (1) Penerapan Manajemen Risiko sebagaimana dimaksud dalam Pasal 2 (Paragraf 2 dalam kodifikasi ini) wajib disesuaikan dengan tujuan, kebijakan usaha, ukuran dan kompleksitas usaha serta kemampuan Bank. Kompleksitas usaha antara lain keragaman dalam jenis transaksi/produk/jasa dan jaringan usaha. Kemampuan Bank antara lain kemampuan keuangan, infrastruktur pendukung dan kemampuan sumberdaya manusia. (2) Bank wajib menerapkan manajemen risiko sesuai dengan tujuan, kebijakan usaha, ukuran dan kompleksitas usaha serta kemampuan Bank. Bank yang melakukan kegiatan usaha berdasarkan Prinsip Syariah wajib menerapkan Proses manajemen risiko sesuai dengan karakteristik usaha Bank dimaksud dan Prinsip Syariah. (1) Risiko sebagaimana dimaksud dalam Pasal 2 (Paragraf 2 dalam kodifikasi ini) mencakup: a.
Risiko Kredit; Termasuk dalam kelompok Risiko Kredit adalah Risiko konsentrasi kredit. Risiko konsentrasi kredit merupakan Risiko yang timbul akibat terkonsentrasinya penyediaan dana kepada 1 (satu) pihak atau sekelompok pihak, industri, sektor, dan/atau area geografis tertentu yang berpotensi menimbulkan kerugian cukup besar yang dapat mengancam kelangsungan usaha Bank. b.
Risiko Pasar; Risiko Pasar meliputi antara lain Risiko suku bunga, Risiko nilai tukar, Risiko komoditas, dan Risiko ekuitas. Risiko suku bunga adalah Risiko akibat perubahan harga instrumen 4 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
keuangan dari posisi Trading book atau akibat perubahan nilai ekonomis dari posisi Banking Book, yang disebabkan oleh perubahan suku bunga. Dalam kategori Risiko suku bunga termasuk pula Risiko suku bunga dari posisi Banking Book yang antara lain meliputi repricing risk, yield curve risk, basis risk, dan optionality risk. Risiko Nilai Tukar adalah risiko akibat perubahan nilai posisi Trading Book dan Banking Book yang disebabkan oleh perubahan nilai tukar valuta asing atau perubahan harga emas. Risiko Komoditas adalah Risiko akibat perubahan harga instrumen keuangan dari posisi Trading Book dan Banking Book yang disebabkan oleh perubahan harga komoditas. Risiko Ekuitas adalah Risiko akibat perubahan harga instrumen keuangan dari posisi Trading Book yang disebabkan oleh perubahan harga saham. c.
Risiko Likuiditas; d.
Risiko Operasional; e.
Risiko Hukum; Risiko ini timbul antara lain karena ketiadaan peraturan perundang‐
undangan yang mendukung atau kelemahan perikatan, seperti tidak dipenuhinya syarat sahnya kontrak atau pengikatan agunan yang tidak sempurna. f.
Risiko Reputasi; Risiko ini timbul antara lain karena adanya pemberitaan media dan/atau rumor mengenai bank yang bersifat negatif, serta adanya strategi komunikasi bank yang kurang efektif. g.
Risiko Stratejik; dan Risiko ini timbul antara lain karena bank menetapkan strategi yang kurang sejalan dengan visi dan misi bank, melakukan analisis lingkungan stratejik yang tidak komprehensif, dan/atau terdapat ketidaksesuaian rencana stratejik (strategic plan) antar level stratejik. Selain itu Risiko Stratejik juga timbul karena kegagalan dalam mengantisipasi perubahan lingkungan bisnis mencakup kegagalan dalam mengantisipasi perubahan teknologi, perubahan kondisi ekonomi makro, dinamika kompetisi di pasar, dan perubahan kebijakan otoritas terkait. h.
Risiko Kepatuhan (2) Bank Umum Konvensional wajib menerapkan Manajemen Risiko untuk seluruh Risiko sebagaimana dimaksud pada ayat (1). 5 Manajemen Paragraf Sumber Regulasi BAB III Bagian Pertama 5 6 7 Manajemen Risiko Ketentuan
Pengawasan Aktif Dewan Komisaris dan Direksi Umum
Pasal 5 5/8/PBI/2003 Bank wajib menetapkan wewenang dan tanggung jawab yang jelas pada setiap jenjang jabatan yang terkait dengan penerapan Manajemen Risiko sebagaimana dimaksud dalam Pasal 2 (Paragraf 2 dalam kodifikasi ini). Bagian Kedua Pasal 6 5/8/PBI/2003 Kewenangan dan Tanggungjawab Dewan Komisaris Bagian Ketiga Pasal 7 5/8/PBI/2003 Wewenang dan tanggung jawab sebagaimana dimaksud dalam Pasal 5 (Paragraf 5 dalam kodifikasi ini) bagi dewan Komisaris sekurang‐kurangnya: a. menyetujui dan mengevaluasi kebijakan Manajemen Risiko; Evaluasi kebijakan Manajemen Risiko dilakukan oleh Dewan Komisaris sekurang‐kurangnya satu kali dalam satu tahun atau frekuensi yang lebih tinggi dalam hal terdapat perubahan faktor‐faktor yang mempengaruhi kegiatan usaha Bank secara signifikan. b. mengevaluasi pertanggungjawaban Direksi atas pelaksanaan kebijakan Manajemen Risiko sebagaimana dimaksud dalam huruf a; Evaluasi pertanggungjawaban Direksi atas pelaksanaan kebijakan Manajemen Risiko dilakukan oleh dewan Komisaris sekurang‐kurangnya secara triwulanan. Kewenangan dan Tanggungjawab Direksi
(1)
Wewenang dan tanggung jawab sebagaimana dimaksud dalam Pasal 5 (Paragraf 5 dalam kodifikasi ini) bagi Direksi sekurang‐kurangnya: a. menyusun kebijakan dan strategi Manajemen Risiko secara tertulis dan komprehensif; termasuk dalam kebijakan dan strategi Manajemen Risiko adalah penetapan dan persetujuan limit Risiko baik RIsiko secara keseluruhan (composite), per jenis Risiko, maupun per aktivitas fungsional. Kebijakan dan strategi Manajemen Risiko disusun sekurang‐
kurangnya satu kali dalam satu tahun atau frekuensi yang lebih tinggi dalam hal terdapat perubahan faktor‐faktor yang mempengaruhi kegiatan usaha Bank secara signifikan. b. bertanggung jawab atas pelaksanaan kebijakan Manajemen Risiko dan eksposur Risiko yang diambil oleh Bank secara keseluruhan; Termasuk tanggung jawab atas pelaksanaan kebijakan Manajemen Risiko adalah: 1. mengevaluasi dan memberikan arahan berdasarkan laporan yang disampaikan oleh satuan kerja manajemen risiko; 2. penyampaian laporan pertanggungjawaban kepada dewan Komisaris secara triwulanan. 6 Manajemen Paragraf Sumber Regulasi (2)
BAB IV Bagian Pertama Pasal 8 11/25/PBI/2009 8 Manajemen Risiko Ketentuan
c. mengevaluasi dan memutuskan transaksi yang memerlukan persetujuan Direksi; Transaksi yang memerlukan persetujuan Direksi antara lain transaksi yang telah melampaui kewenangan pejabat Bank satu tingkat di bawah Direksi, sesuai dengan kebijakan dan prosedur intern yang berlaku. d. mengembangkan budaya Manajemen Risiko pada seluruh jenjang organisasi; Pengembangan budaya Manajemen Risiko antara lain meliputi komunikasi yang memadai kepada seluruh jenjang organisasi tentang pentingnya pengendalian intern yang efektif. e. memastikan peningkatan kompetensi sumberdaya manusia yang terkait dengan Manajemen Risiko; Peningkatan kompetensi sumberdaya manusia antara lain melalui program pendidikan dan pelatihan secara berkesinambungan mengenai penerapan Manajemen Risiko. f. memastikan bahwa fungsi Manajemen Risiko telah beroperasi secara independen; Yang dimaksud dengan pengertian independen antara lain adanya pemisahan fungsi antara satuan kerja Manajemen Risiko yang melakukan identifikasi, pengukuran dan pemantauan Risiko dengan satuan kerja yang melakukan dan menyelesaikan transaksi. g. melaksanakan kaji ulang secara berkala untuk memastikan: Kaji ulang secara berkala antara lain dimaksudkan untuk mengantisipasi apabila terjadi perubahan faktor eksternal dan faktor internal. 1. keakuratan metodologi penilaian Risiko; 2. kecukupan implementasi sistem informasi manajemen; dan 3. ketepatan kebijakan, prosedur dan penetapan limit Risiko. Dalam rangka melaksanakan wewenang dan tanggung jawab sebagaimana dimaksud dalam ayat (1), Direksi harus memiliki pemahaman yang memadai mengenai Risiko yang melekat pada seluruh aktivitas fungsional Bank dan mampu mengambil tindakan yang diperlukan sesuai dengan profil Risiko Bank. Kebijakan, Prosedur dan Penetapan Limit Kebijakan Manajemen Risiko
Kebijakan Manajemen Risiko sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf b (Paragraf 2 ayat (2) huruf b dalam kodifikasi ini) sekurang‐
7 Manajemen Paragraf Sumber Regulasi 9 Bagian Kedua Pasal 9 5/8/PBI/2003 Manajemen Risiko Ketentuan
kurangnya memuat:
Kebijakan Manajemen Risiko ditetapkan antara lain dengan cara menyusun strategi manajemen risiko untuk memastikan bahwa: 1. Bank tetap mempertahankan eksposur Risiko sesuai dengan kebijakan dan prosedur intern Bank dan peraturan perundang‐undangan serta ketentuan lain yang berlaku; dan 2. Bank dikelola oleh sumber daya manusia yang memiliki pengetahuan, pengalaman dan keahlian di bidang Manajemen Risiko sesuai dengan kompleksitas usaha Bank. Penyusunan strategi Manajemen Risiko dilakukan dengan mempertimbangkan kondisi keuangan Bank, organisasi Bank, dan Risiko yang timbul sebagai akibat perubahan faktor eksternal dan faktor internal. a. penetapan Risiko yang terkait dengan produk dan transaksi perbankan; b. penetapan penggunaan metode pengukuran dan sistem informasi Manajemen Risiko; c. penentuan limit dan penetapan toleransi Risiko; Toleransi Risiko merupakan potensi kerugian yang dapat diserap oleh permodalan Bank. d. penetapan penilaian peringkat Risiko; Penetapan penilaian peringkat Risiko merupakan dasar bagi Bank untuk mengkategorikan peringkat Risiko Bank. Peringkat Risiko bagi Bank Umum Konvensional dikategorikan menjadi 5 (lima) peringkat, yaitu 1 (Low), 2 (Low to Moderate), 3 (Moderate), 4 (Moderate to High), dan 5 (High). e. penyusunan rencana darurat (contingency plan) dalam kondisi terburuk (worst case scenario); f. penetapan sistem pengendalian intern dalam penerapan Manajemen Risiko. Prosedur dan Penetapan Limit Risiko (1) Prosedur dan penetapan limit Risiko sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf b (Paragraf 2 ayat (2) huruf b dalam kodifikasi ini) wajib disesuaikan dengan tingkat Risiko yang akan diambil (risk appetite) terhadap Risiko Bank. Tingkat Risiko yang akan diambil (risk appetite) memperhatikan pengalaman yang dimiliki Bank dalam mengelola Risiko. (2) Prosedur dan penetapan limit Risiko sebagaimana dimaksud dalam ayat (1) sekurang‐kurangnya memuat: a. akuntabilitas dan jenjang delegasi wewenang yang jelas; b. pelaksanaan kaji ulang terhadap prosedur dan penetapan limit secara berkala; 8 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Pengertian secara berkala sekurang‐kurangnya satu kali dalam satu tahun atau frekuensi yang lebih tinggi, sesuai dengan jenis Risiko, kebutuhan dan perkembangan Bank. c. dokumentasi prosedur dan penetapan limit secara memadai. Pengertian dokumentasi yang memadai adalah dokumentasi yang tertulis, lengkap dan memudahkan untuk dilakukan jejak audit (audit trail) untuk keperluan tujuan pengendalian intern Bank. d. Penetapan limit Risiko sebagaimana dimaksud dalam ayat (2) wajib mencakup: a. limit secara keseluruhan; b. limit per jenis Risiko; dan c. limit per aktivitas fungsional tertentu yang memiliki eksposur Risiko. BAB V 10 Bagian Pertama Pasal 10 5/8/PBI/2003 Bagian Kedua 11 Pasal 11 5/8/PBI/2003 Proses Identifikasi, Pengukuran, Pemantauan, Pengendalian dan Sistem Informasi Manajemen Risiko Umum
(1) Bank wajib melakukan proses identifikasi, pengukuran, pemantauan dan pengendalian Risiko sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf c (Paragraf 2 ayat (2) huruf c dalam kodifikasi ini) terhadap seluruh faktor‐faktor Risiko (risk factors) yang bersifat material. Faktor‐faktor Risiko adalah berbagai parameter yang mempengaruhi eksposur Risiko. Faktor‐faktor Risiko yang bersifat material adalah faktor‐faktor Risiko baik kuantitatif maupun kualitatif yang berpengaruh secara signifikan terhadap kondisi keuangan Bank. (2) Pelaksanaan proses identifikasi, pengukuran, pemantauan dan pengendalian Risiko sebagaimana dimaksud dalam ayat (1) wajib didukung oleh: a. sistem informasi manajemen yang tepat waktu; dan b. laporan yang akurat dan informatif mengenai kondisi keuangan Bank, kinerja aktivitas fungsional dan eksposur Risiko Bank. Proses Identifikasi, Pengukuran, Pemantauan dan Pengendalian Risiko (1) Pelaksanaan proses identifikasi Risiko sekurang‐kurangnya dilakukan dengan melakukan analisis terhadap: Proses identifikasi Risiko antara lain dapat didasarkan pada pengalaman kerugian Bank yang pernah terjadi. a. karakteristik Risiko yang melekat pada Bank; dan b. Risiko dari produk dan kegiatan usaha Bank, 9 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
(2) Dalam rangka melaksanakan pengukuran Risiko, Bank wajib sekurang‐
kurangnya melakukan: Untuk memperkirakan Risiko, Bank dapat menggunakan berbagai pendekatan, baik kualitatif maupun kuantitatif, disesuaikan dengan tujuan usaha, kompleksitas usaha, dan kemampuan Bank. a. evaluasi secara berkala terhadap kesesuaian asumsi, sumber data dan prosedur yang digunakan untuk mengukur Risiko; Pengertian secara berkala sekurang‐kurangnya secara triwulanan atau frekuensi yang lebih tinggi, sesuai dengan perkembangan usaha Bank dan kondisi eksternal yang langsung mempengaruhi kondisi Bank. b. penyempurnaan terhadap sistem pengukuran Risiko apabila terdapat perubahan kegiatan usaha Bank, produk, transaksi dan faktor Risiko, yang bersifat material. Perubahan yang bersifat material adalah perubahan kegiatan usaha Bank, produk, transaksi dan faktor Risiko, yang dapat mempengaruhi kondisi keuangan Bank. c. dalam rangka proses penerapan manajemen risiko, Bank dapat menggunakan berbagai pendekatan pengukuran risiko, baik dengan metode standar seperti yang direkomendasikan oleh Basle Committee on Banking Supervision pada Bank for International Settlements maupun dengan metode pengukuran yang advanced (internal model). Pengukuran dengan menggunakan internal model tersebut dimaksudkan untuk antisipasi perkembangan operasi perbankan yang semakin kompleks maupun antisipasi kebijakan perbankan di masa mendatang. Penerapan internal model memerlukan berbagai persyaratan minimum baik kuantitatif maupun kualitatif agar hasil penilaian risiko dapat lebih mencerminkan kondisi Bank yang sebenarnya. Untuk kepentingan perhitungan risiko pasar yang terkait dengan perhitungan Capital Adequacy Ratio (CAR), Bank diwajibkan untuk mengacu pada ketentuan yang berlaku. (3) Dalam rangka melaksanakan pemantauan Risiko, Bank wajib sekurang‐
kurangnya melakukan: a. evaluasi terhadap eksposur Risiko; Evaluasi terhadap eksposur risiko dilakukan dengan cara pemantauan dan pelaporan Risiko yang bersifat material atau yang berdampak kepada kondisi permodalan Bank, yang antara lain didasarkan atas penilaian potensi Risiko dengan menggunakan historical trend. b. penyempurnaan proses pelaporan apabila terdapat perubahan kegiatan usaha Bank, produk, transaksi, faktor Risiko, teknologi informasi dan sistem informasi Manajemen Risiko yang bersifat material. 10 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
(4) Pelaksanaan proses pengendalian Risiko wajib digunakan Bank untuk mengelola Risiko tertentu yang dapat membahayakan kelangsungan usaha Bank. Pengendalian Risiko dapat dilakukan antara lain dengan cara lindung nilai, metode mitigasi risiko dan penambahan modal untuk menyerap potensi kerugian. (5) Dalam melaksanakan fungsi pengendalian Risiko suku bunga, Risiko nilai tukar, dan Risiko likuiditas sebagaimana dimaksud dalam Pasal 4 ayat (1) huruf b dan huruf c (Paragraf 4 ayat (1) huruf b dan huruf c dalam kodifikasi ini), Bank sekurang‐kurangnya menerapkan assets and liabilities management (ALMA). Sistem Informasi Manajemen Risiko
12 Bagian Ketiga Pasal 12 5/8/PBI/2003 (1) Sistem informasi Manajemen Risiko sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf c (Paragraf 2 ayat (2) huruf c dalam kodifikasi ini), sekurang‐kurangnya mencakup laporan atau informasi mengenai: a. eksposur Risiko; Laporan atau informasi eksposur Risiko mencakup eksposur kuantitatif dan kualitatif, secara keseluruhan (composite) maupun rincian per jenis Risiko dan per jenis aktivitas fungsional. b. kepatuhan terhadap kebijakan dan prosedur serta penetapan limit sebagaimana dimaksud dalam Pasal 8 dan Pasal 9 (Paragraf 8 dan Paragraf 9 dalam kodifikasi ini); c. realisasi pelaksanaan Manajemen Risiko dibandingkan dengan target yang ditetapkan (2) Laporan atau informasi yang dihasilkan dari sistem informasi Manajemen Risiko sebagaimana dimaksud dalam ayat (1) wajib disampaikan secara rutin kepada Direksi. Laporan atau informasi yang disampaikan kepada Direksi dapat ditingkatkan frekuensinya sesuai dengan kebutuhan Bank. BAB VI Bagian Pertama Pasal 13 5/8/PBI/2003 SE 5/22/DPNP 2003 Butir 1 – 5 13 Sistem Pengendalian Intern
Umum
(1) Bank wajib melaksanakan sistem pengendalian intern secara efektif terhadap pelaksanaan kegiatan usaha dan operasional pada seluruh jenjang organisasi Bank. (2) Pedoman Standar Sistem Pengendalian Intern bagi Bank Umum merupakan acuan standar Sistem Pengendalian Intern yang wajib dipenuhi oleh Bank sehingga Bank dapat memperluas dan memperdalam sesuai dengan kebutuhan Bank. (3) Bank yang telah memiliki Sistem Pengendalian Intern namun belum memenuhi acuan Pedoman Standar Sistem Pengendalian Intern bagi Bank Umum, wajib menyesuaikan dan menyempurnakannya dengan 11 Manajemen Paragraf Sumber Regulasi (4)
(5)
(6)
14 Pasal 14 5/8/PBI/2003 (1)
(2)
Manajemen Risiko Ketentuan
berpedoman pada Lampiran Surat Edaran Bank Indonesa ini (Lampiran
8 dalam kodifikasi ini). Pedoman Standar Sistem Pengendalian Intern sebagaimana dimaksud pada ayat 3, disampaikan kepada Bank Indonesia selambat‐lambatnya 30 (tiga puluh) hari sejak ditetapkannya pedoman yang disempurnakan. Penyempurnaan pedoman tersebut dilakukan sesuai dengan jadwal yang dimuat dalam action plan atau selambat‐lambatnya tanggal 31 Desember 2004. Dalam penyusunan Sistem Pengendalian Intern, Bank wajib mempertimbangkan total aset, produk dan jasa yang ditawarkan, termasuk produk dan jasa baru, kompleksitas operasional, jaringan kantor, profil risiko dari setiap kegiatan usaha, metode yang digunakan untuk pengolahan data dan pengukuran risiko, serta ketentuan terkait yang berlaku. Pedoman Standar Sistem Pengendalian Intern bagi Bank Umum sekurang‐kurangnya mencakup 5 (lima) elemen pokok, yaitu. a. pengawasan oleh manajemen dan budaya pengendalian; b. identifikasi dan penilaian risiko; c. kegiatan pengendalian dan pemisahan fungsi; d. sistem akuntansi, informasi dan komunikasi; dan e. kegiatan pemantauan dan tindakan koreksi penyimpangan Pelaksanaan sistem pengendalian intern sebagaimana dimaksud dalam Pasal 13 (Paragraf 13 dalam kodifikasi ini) sekurang‐kurangnya mampu secara tepat waktu mendeteksi kelemahan dan penyimpangan yang terjadi. Sistem pengendalian intern sebagaimana dimaksud dalam ayat (1) wajib memastikan: a. kepatuhan terhadap peraturan dan perundang‐undangan yang berlaku serta kebijakan atau ketentuan intern Bank; b. tersedianya informasi keuangan dan manajemen yang lengkap, akurat, tepat guna, dan tepat waktu; Informasi keuangan dan manajemen yang lengkap, akurat, tepat guna, dan tepat waktu diperlukan dalam rangka pengambilan keputusan yang tepat dan dapat dipertanggungjawabkan, serta dikomunikasikan kepada pihak yang berkepentingan. c. efektivitas dan efisiensi dalam kegiatan operasional; dan Efektivitas dan efisiensi dalam kegiatan operasional antara lain diperlukan untuk melindungi aset dan sumberdaya Bank lainnya dari Risiko terkait. d. efektivitas budaya Risiko (risk culture) pada organisasi Bank secara menyeluruh. Efektivitas budaya Risiko dimaksudkan untuk mengidentifikasi kelemahan dan penyimpangan secara lebih dini dan menilai kembali kewajaran kebijakan dan prosedur yang ada pada Bank secara berkesinambungan. 12 Manajemen Paragraf Sumber Regulasi Bagian Kedua 15 16 Manajemen Risiko Ketentuan
Sistem Pengendalian Intern dalam Penerapan Manajemen Risiko Pasal 15 5/8/PBI/2003 (1) Sistem pengendalian intern dalam penerapan Manajemen Risiko sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf d (Paragraf 2 ayat (2) huruf d dalam kodifikasi ini) sekurang‐kurangnya mencakup: a. kesesuaian sistem pengendalian intern dengan jenis dan tingkat Risiko yang melekat pada kegiatan usaha Bank; b. penetapan wewenang dan tanggung jawab untuk pemantauan kepatuhan kebijakan, prosedur dan limit sebagaimana dimaksud dalam Pasal 8 dan Pasal 9 (Paragraf 8 dan Paragraf 9 dalam kodifikasi ini); c. penetapan jalur pelaporan dan pemisahan fungsi yang jelas dari satuan kerja operasional kepada satuan kerja yang melaksanakan fungsi pengendalian; d. struktur organisasi yang menggambarkan secara jelas kegiatan usaha Bank; e. pelaporan keuangan dan kegiatan operasional yang akurat dan tepat waktu; f. kecukupan prosedur untuk memastikan kepatuhan Bank terhadap ketentuan dan perundang‐undangan yang berlaku; g. kaji ulang yang efektif, independen dan obyektif terhadap prosedur penilaian kegiatan operasional Bank; h. pengujian dan kaji ulang yang memadai terhadap sistem informasi manajemen; i. dokumentasi secara lengkap dan memadai terhadap prosedur operasional, cakupan dan temuan audit, serta tanggapan pengurus Bank berdasarkan hasil audit; j. verifikasi dan kaji ulang secara berkala dan berkesinambungan terhadap penanganan kelemahan‐kelemahan Bank yang bersifat material dan tindakan pengurus Bank untuk memperbaiki penyimpangan‐penyimpangan yang terjadi. (2) Penilaian terhadap sistem pengendalian intern dalam penerapan Manajemen Risiko sebagaimana dimaksud dalam ayat (1) wajib dilakukan oleh satuan kerja audit intern (SKAI). BAB VII Organisasi dan Fungsi Manajemen RIsiko Umum
Bagian Pertama Pasal 16 5/8/PBI/2003 (1) Dalam rangka pelaksanaan proses dan sistem Manajemen Risiko yang efektif sebagaimana dimaksud dalam Pasal 2 (Paragraf 2 dalam kodifikasi ini), Bank wajib membentuk: a. komite Manajemen Risiko; dan Komite Manajemen Risiko harus bersifat non struktural. b. satuan kerja Manajemen Risiko. Satuan kerja Manajemen Risiko harus bersifat struktural. SE 5/21/DPNP 2003 Butir 5 (2) Dalam rangka menerapkan manajemen risiko, Bank wajib membentuk Komite Manajemen Risiko dan Satuan Kerja Manajemen Risiko, sesuai dengan ukuran dan kompleksitas usaha Bank. Struktur Organisasi Manajemen Risiko pada Bank Umum dapat mengacu pada Lampiran 2 Surat Edaran Bank Indonesia ini (Lampiran 2 dalam kodifikasi ini). 13 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
Bagian Kedua Komite Manajemen Risiko
17 Pasal 17 (1) Komite Manajemen Risiko sebagaimana dimaksud dalam Pasal 16 huruf 5/8/PBI/2003 a (Paragraf 16 huruf a dalam kodifikasi ini) sekurang‐kurangnya terdiri dari: Keanggotaan Komite Manajemen Risiko dapat berupa keanggotaan tetap dan tidak tetap, sesuai dengan kebutuhan Bank. a. mayoritas Direksi; dan Salah satu anggota dari mayoritas Direksi dalam komite Manajemen Risiko adalah Direktur Kepatuhan. b. pejabat eksekutif terkait. Pejabat eksekutif adalah pejabat Bank satu tingkat di bawah Direksi yang memimpin satuan kerja operasional dan satuan kerja Manajemen Risiko. Keanggotaan pejabat eksekutif dalam Komite Manajemen Risiko disesuaikan dengan permasalahan dan kebutuhan Bank. (2) Wewenang dan tanggung jawab komite Manajemen Risiko sebagaimana dimaksud dalam ayat (1) adalah memberikan rekomendasi kepada Direktur Utama, yang sekurang‐kurangnya meliputi: a. penyusunan kebijakan, strategi dan pedoman penerapan Manajemen Risiko; b. perbaikan atau penyempurnaan pelaksanaan Manajemen Risiko berdasarkan hasil evaluasi pelaksanaan dimaksud; c. penetapan (justification) hal‐hal yang terkait dengan keputusan bisnis yang menyimpang dari prosedur normal (irregularities). Termasuk dalam keputusan bisnis yang menyimpang dari prosedur normal antara lain pelampauan ekspansi usaha yang signifikan dibandingkan rencana bisnis Bank dan pengambilan posisi/eksposur Risiko yang menyimpang dari limit yang telah ditetapkan. 18 Satuan Kerja Manajemen Risiko
Bagian Ketiga Pasal 18 5/8/PBI/2003 (1) Struktur organisasi satuan kerja Manajemen Risiko Bank sebagaimana dimaksud dalam Pasal 16 huruf b (Paragraf 16 huruf b dalam kodifikasi ini) disesuaikan dengan ukuran dan kompleksitas usaha Bank serta Risiko yang melekat pada Bank. Pengaturan ini dimaksudkan agar Bank dapat menentukan struktur organisasi yang tepat dan sesuai dengan kondisi Bank, termasuk kemampuan keuangan dan sumberdaya manusia. (2) Satuan kerja Manajemen Risiko sebagaimana dimaksud dalam ayat (1) harus independen terhadap satuan kerja operasional (risk‐taking unit) dan terhadap satuan kerja yang melaksanakan fungsi pengendalian intern. 14 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Pengertian independen antara lain tercermin dari adanya: 1. pemisahan fungsi/tugas antara satuan kerja Manajemen Risiko dengan satuan kerja operasional (risk‐taking unit) dan satuan kerja yang melaksanakan fungsi pengendalian intern; 2. proses pengambilan keputusan yang tidak memihak atau menguntungkan satuan kerja operasional tertentu atau mengabaikan satuan kerja operasional lainnya. (3) Satuan kerja Manajemen Risiko sebagaimana dimaksud dalam ayat (2) bertanggung jawab langsung kepada Direktur Utama atau kepada Direktur yang ditugaskan secara khusus. Mengingat ukuran dan kompleksitas usaha Bank yang berbeda maka satuan kerja Manajemen Risiko dapat bertanggung jawab langsung kepada Direktur yang ditugaskan secara khusus oleh Bank seperti Direktur Kepatuhan atau Direktur Manajemen Risiko. Istilah Direktur Utama dapat dipersamakan dengan Presiden Direktur. (4) Wewenang dan tanggung jawab satuan kerja Manajemen Risiko meliputi: Kewenangan dan tanggung jawab satuan kerja Manajemen Risiko disesuaikan dengan tujuan usaha, kompleksitas usaha, dan kemampuan Bank. a. pemantauan pelaksanaan strategi Manajemen Risiko yang telah disetujui oleh Direksi; b. pemantauan posisi Risiko secara keseluruhan (composite), per jenis Risiko dan per jenis aktivitas fungsional serta melakukan stress testing; Stress testing dilakukan guna mengetahui dampak dari implementasi kebijakan dan strategi Manajemen Risiko terhadap kinerja dan pendapatan masing‐masing satuan kerja operasional atau aktivitas fungsional Bank. c. kaji ulang secara berkala terhadap proses Manajemen Risiko; Kaji ulang antara lain dilakukan berdasarkan temuan audit intern dan atau perkembangan praktek‐praktek Manajemen Risiko yang berlaku secara internasional. d. pengkajian usulan aktivitas dan atau produk baru; Termasuk dalam pengkajian adalah penilaian kemampuan Bank untuk melakukan aktivitas dan atau produk baru dan kajian usulan perubahan sistem dan prosedur. e. evaluasi terhadap akurasi model dan validitas data yang digunakan untuk mengukur Risiko, bagi Bank yang menggunakan model untuk keperluan intern (internal model); 15 Manajemen Paragraf Sumber Regulasi f.
Manajemen Risiko Ketentuan
memberikan rekomendasi kepada satuan kerja operasional (risk taking unit) dan atau kepada komite Manajemen Risiko, sesuai kewenangan yang dimiliki; Rekomendasi antara lain memuat rekomendasi yang terkait dengan besaran atau maksimum eksposur Risiko yang wajib dipelihara oleh Bank. g. menyusun dan menyampaikan laporan profil/komposisi Risiko kepada direktur utama atau direktur yang ditugaskan secara khusus dan komite Manajemen Risiko secara berkala. Profil Risiko merupakan gambaran secara menyeluruh atas besarnya potensi Risiko yang melekat pada seluruh portofolio atau eksposur Bank. Frekuensi penyampaian laporan wajib ditingkatkan apabila kondisi pasar berubah dengan cepat. Untuk eksposur Risiko yang berubah relatif lama, seperti Risiko Kredit maka penyampaian laporan disampaikan selambat‐lambatnya satu kali dalam satu bulan. Bagian Keempat 19 20 Pasal 19 5/8/PBI/2003 BAB VIII Pasal 20 11/25/PBI/2009 Hubungan Satuan Kerja Operasional dengan Satuan Kerja Manajemen Risiko Satuan kerja operasional (risk taking unit) sebagaimana dimaksud dalam Pasal 18 ayat (2) (Paragraf 18 ayat (2) dalam kodifikasi ini) wajib menginformasikan eksposur Risiko yang melekat pada satuan kerja yang bersangkutan kepada satuan kerja Manajemen Risiko secara berkala. Frekuensi penyampaian informasi eksposur Risiko disesuaikan dengan karakteristik jenis Risiko. Termasuk dalam definisi satuan kerja operasional (risk taking unit) antara lain satuan kerja perkreditan, treasuri, dan pendanaan. Pengelolaan Risiko Produk dan Aktivitas Baru (1) Bank wajib memiliki kebijakan dan prosedur secara tertulis untuk mengelola risiko yang melekat pada produk atau aktivitas baru Bank. Yang dimaksud dengan produk Bank adalah instrument keuangan yang diterbitkan oleh Bank. Yang dimaksud dengan aktivitas Bank adalah jasa yang disediakan oleh Bank kepada nasabah, antara lain jasa keagenan dan/atau kustodian. (2) Kebijakan dan prosedur sebagaimana dimaksud pada ayat (1) paling kurang mencakup: a. sistem dan prosedur (standard operating procedures) dan kewenangan dalam pengelolaan produk atau aktivitas baru; b. identifikasi seluruh Risiko yang melekat pada produk atau aktivitas baru baik yang terkait dengan Bank maupun nasabah; ‐ c. masa uji coba metode pengukuran dan pemantauan Risiko terhadap produk atau aktivitas baru; 16 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Masa uji coba dimaksudkan untuk memastikan bahwa metode pengukuran dan pemantauan Risiko telah teruji. d. sistem informasi akuntansi untuk produk atau aktivitas baru; Sistem informasi akuntansi paling kurang menggambarkan profil Risiko, tingkat keuntungan maupun kerugian untuk produk atau aktivitas baru secara akurat. e. analisa aspek hukum untuk produk atau aktivitas baru; dan Analisa aspek hukum mencakup kemungkinan adanya Risiko hukum yang akan ditimbulkan oleh produk dan aktivitas baru serta kesesuaian dengan ketentuan dan perundang‐undangan yang berlaku. f.
transparansi informasi kepada nasabah. Dalam menerapkan transparansi informasi kepada nasabah, aspek‐
aspek yang perlu diperhatikan oleh Bank paling kurang adalah: 1. informasi yang disampaikan lengkap, benar, dan tidak menyesatkan nasabah; 2. informasi yang berimbang antara potensi manfaat yang mungkin diperoleh dengan Risiko yang mungkin timbul bagi nasabah; dan 3. informasi yang disampaikan tidak menyamarkan, mengurangi, atau menutupi hal‐hal yang penting terkait dengan Risiko yang mungkin timbul. (3) Produk atau aktivitas Bank merupakan suatu produk baru atau aktivitas baru apabila memenuhi kriteria sebagai berikut: a. tidak pernah diterbitkan atau dilakukan sebelumnya oleh Bank; atau Termasuk dalam kriteria tidak pernah diterbitkan atau dilakukan sebelumnya adalah produk atau aktivitas yang telah diterbitkan atau dilakukan oleh Bank lain, namun belum pernah diterbitkan atau dilakukan oleh Bank yang bersangkutan. b. telah diterbitkan atau dilaksanakan sebelumnya oleh Bank namun dilakukan pengembangan yang mengubah atau meningkatkan eksposur Risiko tertentu pada Bank. Perubahan eksposur Risiko dalam pengaturan ini tidak mencakup perubahan eksposur Risiko yang terkait produk atau aktivitas konvensional seperti giro, tabungan, deposito, kredit, produk derivatif yang bersifat plain vanilla, dan aktivitas kustodian. 21 Pasal 20 A
11/25/PBI/2009 Bank dilarang menugaskan atau menyetujui pengurus dan/atau pegawai Bank untuk memasarkan produk atau melaksanakan aktivitas yang bukan merupakan produk atau aktivitas Bank dengan menggunakan sarana atau fasilitas Bank. 17 Manajemen Paragraf Sumber Regulasi 22 Pasal 21 11/25/PBI/2009 BAB IX Bagian Pertama Pasal 22 5/8/PBI/2003 23 24 Pasal 23 5/8/PBI/2003 Manajemen Risiko Ketentuan
Termasuk dalam kategori tindakan menyetujui adalah mengetahui namun tidak melarang atau membiarkan terjadinya pemasaran produk atau aktivitas yang bukan merupakan produk atau aktivitas Bank dengan menggunakan sarana atau fasilitas Bank oleh pengurus dan/atau pegawai. Bank wajib menerapkan transparansi informasi produk atau aktivitas Bank kepada nasabah sebagaimana dimaksud dalam Pasal 20 ayat (2) huruf f (Paragraf 20 ayat (2) huruf f dalam kodifikasi ini), baik secara tertulis maupun lisan. Cakupan transparansi informasi yang perlu diungkapkan kepada nasabah mengacu pada ketentuan Bank Indonesia mengenai transparansi informasi produk bank, termasuk prosedur, skim, dan materi yang perlu diungkapkan, seperti karakteristik produk atau aktivitas, Risiko, serta hak dan kewajiban nasabah. Pelaporan
Rencana Kegiatan (Action Plan) Penerapan Manajemen Risiko
(1) Penerapan Manajemen Risiko sebagaimana dimaksud dalam Pasal 2 (Paragraf 2 dalam kodifikasi ini) dapat dilaksanakan dengan atau tanpa tahapan. (2) Dalam rangka penerapan Manajemen Risiko sebagaimana dimaksud dalam ayat (1), Bank wajib menyampaikan laporan action plan kepada Bank Indonesia. Action plan disusun untuk memenuhi persyaratan minimum penerapan Manajemen Risiko yang diatur dalam Peraturan Bank Indonesia ini dan ketentuan pelaksanaan terkait lainnya. (3) Bank Indonesia dapat meminta Bank untuk melakukan penyesuaian terhadap laporan action plan sebagaimana dimaksud dalam ayat (1) apabila action plan dinilai belum sepenuhnya memenuhi persyaratan minimum yang diatur dalam Peraturan Bank Indonesia ini dan ketentuan pelaksanaan terkait lainnya. (4) Jangka waktu penyelesaian action plan sebagaimana dimaksud dalam ayat (2) ditetapkan selambat‐lambatnya 9 (sembilan) bulan sejak laporan action plan diterima oleh Bank Indonesia. Perhitungan jangka waktu 9 (sembilan) bulan termasuk penyesuaian terhadap action plan yang dinilai Bank Indonesia belum sepenuhnya memenuhi persyaratan minimum yang diatur dalam Peraturan Bank Indonesia ini dan ketentuan pelaksanaan terkait lainnya. (5) Penerapan manajemen risiko secara efektif dan menyeluruh wajib dilaksanakan sesuai dengan jadwal yang dimuat dalam laporan action plan atau selambat‐lambatnya tanggal 31 Desember 2004. (1) Bank wajib menyampaikan laporan realisasi action plan penerapan Manajemen Risiko kepada Bank Indonesia. 18 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Laporan realisasi action plan disusun dan digunakan untuk memantau tingkat pencapaian penerapan Manajemen Risiko. (2) Laporan realisasi action plan sebagaimana dimaksud dalam ayat (1) disampaikan selambat‐lambatnya 7 (tujuh) hari kerja setelah tahapan realisasi action plan. 25 26 Bagian Kedua Pasal 24 11/25/PBI/2009 SE 13/23/DPNP 2011 Butir 4.9.a Pasal 25 11/25/PBI/2009 Laporan Profil Risiko serta Laporan Produk dan Aktivitas Baru
(1) Bank wajib menyampaikan laporan profil Risiko kepada Bank Indonesia.
Laporan profil Risiko memuat antara lain informasi tentang tingkat dan trend seluruh eksposur Risiko. (2) Laporan profil Risiko sebagaimana dimaksud pada ayat (1) yang disampaikan oleh satuan kerja Manajemen Risiko, wajib memuat substansi yang sama dengan laporan profil Risiko yang disampaikan oleh satuan kerja Manajemen Risiko kepada Direktur Utama dan Komite Manajemen Risiko. (3) Laporan profil Risiko sebagaimana dimaksud pada ayat (1) disampaikan secara triwulanan untuk posisi bulan Maret, Juni, September, dan Desember. Laporan profil Risiko disajikan secara komparatif dengan posisi triwulan sebelumnya. (4) Laporan profil Risiko sebagaimana dimaksud pada ayat (1) disampaikan paling lambat 15 (lima belas) hari kerja setelah akhir bulan laporan. (5) Dalam hal diperlukan, Bank Indonesia dapat meminta Bank menyampaikan laporan profil Risiko sebagaimana dimaksud pada ayat (1) diluar jangka waktu yang ditetapkan. (6) Bank wajib menyampaikan laporan profil Risiko baik secara individual maupun secara konsolidasi kepada Bank Indonesia secara triwulanan untuk posisi bulan Maret, Juni, September, dan Desember, yang disajikan secara komparatif dengan posisi triwulan sebelumnya paling lama 15 (lima belas) hari kerja setelah akhir bulan laporan. (7) Format dan isi laporan profil Risiko berpedoman pada Lampiran 5 dan Lampiran 6 Surat Edaran Bank Indonesia ini (Lampiran 5 dan Lampiran 6 dalam kodifikasi ini). (8) Laporan profil Risiko yang disampaikan oleh Bank kepada Bank Indonesia wajib memuat substansi yang sama dengan laporan profil Risiko yang disampaikan oleh satuan kerja Manajemen Risiko kepada Direktur Utama dan Komite Manajemen Risiko (9) Mekanisme penilaian profil Risiko, penetapan tingkat Risiko dan penetapan peringkat profil Risiko mengacu pada ketentuan Bank Indonesia yang mengatur mengenai penilaian tingkat kesehatan Bank Umum. (1) Bank wajib menyampaikan laporan produk atau aktivitas baru kepada Bank Indonesia, yang terdiri dari: a. Laporan rencana penerbitan produk atau pelaksanaan aktivitas 19 Manajemen Paragraf Sumber Regulasi (2)
(3)
(4)
(5)
(6)
Manajemen Risiko Ketentuan
baru; dan b. Laporan realisasi penerbitan produk atau pelaksanaan aktivitas baru. Laporan rencana sebagaimana dimaksud pada ayat (1) huruf a wajib disampaikan paling lambat 60 (enam puluh) hari sebelum penerbitan atau pelaksanaan produk atau aktivitas baru. Produk atau aktivitas baru yang wajib dilaporkan mencakup seluruh produk atau aktivitas baru sebagaimana dimaksud dalam Pasal 20 ayat (3) (Paragraf 20 ayat (3) dalam kodifikasi ini). Laporan realisasi sebagaimana dimaksud pada ayat (1) huruf b wajib disampaikan paling lambat 7 (tujuh) hari kerja setelah produk atau aktivitas baru dilakukan. Selain memenuhi ketentuan pelaporan sebagaimana dimaksud pada ayat (1), rencana penerbitan produk atau pelaksanaan aktivitas baru yang memenuhi kriteria dalam Pasal 20 ayat (3) huruf a (Paragraf 20 ayat (3) huruf a dalam kodifikasi ini) wajib dicantumkan dalam Rencana Bisnis Bank. Rencana penerbitan produk atau pelaksanaan aktivitas baru dicantumkan dalam Rencana Bisnis Bank untuk tahun yang sama dengan rencana penerbitan produk atau pelaksanaan aktivitas baru. Berdasarkan hasil evaluasi terhadap laporan sebagaimana dimaksud pada ayat (1) huruf a, Bank Indonesia dapat melarang Bank untuk menerbitkan produk atau melaksanakan aktivitas baru yang direncanakan. Evaluasi Bank Indonesia mencakup antara lain aspek kesiapan Bank, penerapan Manajemen Risiko, transparansi informasi produk, dan perlindungan nasabah. Dalam hal di kemudian hari berdasarkan evaluasi Bank Indonesia, produk yang diterbitkan atau aktivitas yang dilaksanakan memenuhi kondisi sebagai berikut: a. tidak sesuai dengan rencana penerbitan produk atau aktivitas baru yang dilaporkan kepada Bank Indonesia; Ketidaksesuaian tersebut meliputi antara lain prosedur, skim, karakteristik produk atau aktivitas, Risiko, serta hak dan kewajiban nasabah. b. berpotensi menimbulkan kerugian yang signifikan terhadap kondisi keuangan Bank; dan/atau Kondisi yang berpotensi menimbulkan kerugian yang signifikan terhadap kondisi keuangan Bank antara lain dapat disebabkan oleh Risiko Reputasi dan Risiko Pasar dari penerbitan produk atau pelaksanaan aktivitas Bank. 20 Manajemen Paragraf Sumber Regulasi SE 13/23/DPNP 2011 Butir 4.9.b 27 Bagian Ketiga Pasal 26 11/25/PBI/2009 SE 13/23/DPNP 2011 Butir 4.9.c SE 13/23/DPNP 2011 Butir 4.9.d Manajemen Risiko Ketentuan
c. tidak sesuai dengan ketentuan yang berlaku, Bank Indonesia dapat memerintahkan Bank untuk menghentikan penerbitan produk atau pelaksanaan aktivitas dimaksud. (7) Laporan rencana dan realisasi atas penerbitan produk atau pelaksanaan aktivitas tertentu dapat diatur secara tersendiri dalam ketentuan Bank Indonesia. Cakupan, format, dan cara penyampaian laporan produk dan aktivitas baru mengacu pada ketentuan Bank Indonesia yang mengatur mengenai pelaporan produk atau aktivitas baru. Laporan Lain
(1) Bank wajib menyampaikan laporan lain kepada Bank Indonesia selain sebagaimana dimaksud dalam Pasal 24 (Paragraf 25 dalam kodifikasi ini), dalam hal terdapat kondisi yang berpotensi menimbulkan kerugian yang signifikan terhadap kondisi keuangan Bank. (2) Bank wajib menyampaikan kepada Bank Indonesia laporan lain yang terkait dengan penerapan Manajemen Risiko dan/atau terkait dengan penerbitan produk atau pelaksanaan aktivitas tertentu secara berkala atau sewaktu‐waktu apabila diperlukan. Laporan terkait penerapan Manajemen Risiko meliputi antara lain Laporan Proyeksi Arus Kas dan Laporan Profil Maturitas dalam rangka Penerapan Manajemen Risiko untuk Risiko Likuiditas. Laporan terkait aktivitas tertentu meliputi antara lain laporan pelaksanaan keagenan reksadana dan/atau laporan pelaksanaan kegiatan bancassurance. (3) Format dan tata cara pelaporan sebagaimana dimaksud pada ayat (2) diatur tersendiri dalam ketentuan Bank Indonesia. (4) Laporan lain dalam hal terdapat kondisi yang berpotensi menimbulkan kerugian yang signifikan terhadap kondisi keuangan Bank. Dalam hal ini, kondisi Bank tersebut antara lain dapat berupa: 1) Bank telah ditetapkan oleh Bank Indonesia dalam status Bank dalam pengawasan intensif atau Bank dalam pengawasan khusus; 2) Bank memiliki eksposur Risiko Pasar dan Risiko Likuiditas yang sangat signifikan; dan/atau 3) kondisi eksternal (pasar) mengalami fluktuasi yang sangat tajam dan cenderung tidak mampu dikendalikan oleh Bank. Laporan ini bersifat insidentil yang disampaikan kepada Bank Indonesia berdasarkan kondisi terkini Bank yang memiliki eksposur tertentu dan hasil penilaian Bank Indonesia terhadap Bank tersebut. (5) Laporan lain terkait penerapan Manajemen Risiko, antara lain laporan Manajemen Risiko untuk Risiko Likuiditas 1) Dalam rangka pemantauan likuiditas, Bank wajib menyampaikan laporan Manajemen Risiko untuk Risiko Likuiditas kepada Bank 21 Manajemen Paragraf Sumber Regulasi 2)
3)
4)
5)
6)
Manajemen Risiko Ketentuan
Indonesia, yang terdiri dari:
a) Laporan Proyeksi Arus Kas dalam rangka pengelolaan posisi likuiditas dan Risiko Likuiditas harian sebagaimana dimaksud dalam butir II.C.3.c.4).c).(2) Pedoman Standar Penerapan Manajemen Risiko yang merupakan Lampiran 1 Surat Edaran Bank Indonesia ini (Lampiran 1 dalam kodifikasi ini); dan b) Laporan Profil Maturitas dalam rangka mengukur Risiko Likuiditas sebagaimana dimaksud dalam butir II.C.3.c.2).d).(2) Pedoman Standar Penerapan Manajemen Risiko yang merupakan Lampiran 1 Surat Edaran Bank Indonesia ini (Lampiran 1 dalam kodifikasi ini), baik dalam rupiah maupun valuta asing. Laporan Proyeksi Arus Kas sebagaimana dimaksud dalam butir 1).a) mencakup data proyeksi arus kas selama 1 (satu) minggu berikutnya yang dipetakan secara harian. Laporan tersebut disampaikan secara mingguan yaitu setiap hari Jumat sesuai dengan format internal Bank. Contoh: Bank wajib menyampaikan Laporan Proyeksi Arus Kas pada hari Jumat tanggal 7 Oktober 2011 yang mencakup proyeksi arus kas hari Senin tanggal 10 Oktober 2011 sampai dengan hari Jumat tanggal 14 Oktober 2011. Dalam hal hari Jumat jatuh pada hari libur, maka laporan disampaikan pada hari kerja sebelumnya. Format Laporan Proyeksi Arus Kas sebagaimana dimaksud pada angka 2) mencakup paling kurang pos‐pos neraca dan pos‐pos rekening administratif yang memiliki transaksi yang signifikan sesuai dengan karakteristik, kegiatan usaha, dan kompleksitas Bank serta harus dilakukan secara konsisten. Bank Indonesia dapat meminta Bank untuk menyesuaikan format Laporan Proyeksi Arus Kas yang disampaikan kepada Bank Indonesia. Dalam hal Bank mengubah format Laporan Proyeksi Arus Kas yang disampaikan kepada Bank Indonesia, Bank wajib menginformasikan alasan perubahan tersebut kepada Bank Indonesia. Laporan Profil Maturitas sebagaimana dimaksud dalam butir 1).b) disampaikan kepada Bank Indonesia secara bulanan dengan cakupan dan format sesuai Lampiran 7 Surat Edaran Bank indonesia ini (Lampiran 7 dalam kodifikasi ini). Tata cara penyampaian laporan Profil Maturitas kepada Bank Indonesia dilakukan sesuai dengan ketentuan Bank Indonesia yang mengatur mengenai laporan berkala Bank Umum. Selama format Laporan Profil Maturitas dalam laporan Berkala Bank Umum (LBBU) belum sesuai dengan format pada Lampiran 7 Surat Edaran Bank indonesia ini (Lampiran 7 dalam kodifikasi ini), Bank tetap wajib menyampaikan Laporan Profil Maturitas sesuai dengan format dalam ketentuan Bank Indonesia yang mengatur mengenai laporan berkala Bank Umum yang berlaku. Laporan Proyeksi Arus Kas dan Laporan Profil Maturitas disampaikan kepada Bank Indonesia secara on‐line yaitu: a) Laporan Proyeksi Arus Kas melalui Laporan Kantor Pusat Bank 22 Manajemen Paragraf Sumber Regulasi 28 Bagian Keempat Pasal 27 5/8/PBI/2003 29 Bagian Kelima Pasal 28 5/8/PBI/2003 30 Pasal 29 11/25/PBI/2009 Manajemen Risiko Ketentuan
Umum (LKPBU);
b) Laporan Profil Maturitas melalui LBBU. 7) Selama Laporan Proyeksi Arus Kas belum dapat disampaikan secara on‐line melalui LKPBU, laporan tersebut wajib disampaikan secara offline oleh Bank kepada Bank Indonesia dengan alamat sebagai berikut: a) Direktorat Pengawasan Bank, Jl. M.H. Thamrin No. 2, Jakarta 10350, bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat Bank Indonesia; atau b) Kantor Bank Indonesia, bagi Bank yang berkantor pusat di luar wilayah kerja Kantor Pusat Bank Indonesia. 8) Selain penyampaian laporan yang diwajibkan sebagaimana dimaksud pada angka 1), Bank Indonesia dalam kondisi tertentu dapat mewajibkan Bank untuk menyampaikan laporan yang terkait dengan penerapan Manajemen Risiko untuk Risiko Likuiditas diluar waktu yang ditetapkan dan/atau laporan lain selain yang wajib disampaikan secara berkala. Contoh laporan lain selain yang wajib disampaikan secara berkala adalah laporan proyeksi arus kas dalam rangka pengukuran Risiko sebagaimana dimaksud dalam butir II.C.3.c.2).d).(3) Pedoman Standar Penerapan Manajemen Risiko dan laporan stress testing sebagaimana dimaksud dalam butir II. C. 3.c.2).d).(4) Pedoman Standar Penerapan Manajemen Risiko yang merupakan Lampiran 1 Surat Edaran Bank Indonesia ini (Lampiran 1 dalam kodifikasi ini). (6) Laporan lain terkait dengan penerbitan produk atau pelaksanaan aktivitas tertentu, antara lain laporan pelaksanaan aktivitas berkaitan dengan reksadana, laporan pelaksanaan kerjasama pemasaran dengan perusahaan asuransi (bancassurance). Cakupan, format, dan cara penyampaian mengacu pada ketentuan Bank Indonesia yang berlaku. Batas Waktu Penyampaian Laporan
Bank dianggap terlambat menyampaikan laporan sebagaimana dimaksud dalam Pasal 22, Pasal 23, Pasal 24 dan Pasal 25 (Paragraf 23, Paragraf 24, Paragraf 25, dan Paragraf 26 dalam kodifikasi ini) apabila laporan disampaikan melampaui batas waktu penyampaian. Format Laporan dan Alamat Penyampaian Format dan petunjuk penyusunan laporan sebagaimana dimaksud dalam Pasal 22, Pasal 23, Pasal 24 dan Pasal 25 (Paragraf 23, Paragraf 24, Paragraf 25, dan Paragraf 26 dalam kodifikasi ini) ditetapkan dalam ketentuan Bank Indonesia. Laporan sebagaimana dimaksud dalam Pasal 22, Pasal 23, Pasal 24, Pasal 25 dan Pasal 26 (Paragraf 23, Paragraf 24, Paragraf 25, Paragraf 26, dan Paragraf 27) wajib disampaikan kepada Bank Indonesia dengan alamat: a. Direktorat Pengawasan Bank terkait, Jl. M.H. Thamrin No.2 Jakarta 10350 bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat Bank Indonesia. 23 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
b. Kantor Bank Indonesia setempat, bagi Bank yang berkantor pusat di luar wilayah kerja Kantor Pusat Bank Indonesia. BAB X Bagian Pertama Pasal 30 5/8/PBI/2003 Lain‐Lain
Penilaian Penerapan Manajemen Risiko
31 Bank Indonesia dapat melakukan penilaian terhadap penerapan Manajemen Risiko pada Bank. Penilaian terhadap Manajemen Risiko Bank termasuk penilaian Risiko yang melekat (inherent risk) dan kecukupan sistim pengendalian Risiko (risk control system). 32 33 Pasal 31 5/8/PBI/2003 Bank wajib menyediakan data dan informasi yang berkaitan dengan penerapan Manajemen Risiko kepada Bank Indonesia. Bagian Kedua Pasal 32 5/8/PBI/2003 Aspek Pengungkapan Kinerja dan Kebijakan Manajemen Risiko
(1)
Pengungkapan Manajemen Risiko dalam laporan tahunan Bank sebagaimana diatur dalam Peraturan Bank Indonesia mengenai Transparansi Kondisi Keuangan Bank wajib disesuaikan dengan Peraturan Bank Indonesia ini. Pengungkapan sebagaimana dimaksud dalam ayat (1) sekurang‐
kurangnya mencakup kinerja Manajemen Risiko dan arah kebijakan Manajemen Risiko. Kinerja Manajemen Risiko merupakan hasil penerapan Manajemen Risiko untuk periode awal tahun (Januari) sampai dengan akhir tahun (Desember) termasuk profil Risiko, sedangkan arah kebijakan Manajemen Risiko merupakan arah dan strategi Manajemen Risiko periode satu tahun kedepan. (2)
(3)
34 BAB IX Pasal 33 11/25/PBI/2009 Penyesuaian pengungkapan Manajemen Risiko sebagaimana dimaksud dalam ayat (1) untuk pertama kali dilakukan untuk laporan tahunan posisi akhir Desember 2004. Sanksi
(1)
Bank yang terlambat menyampaikan laporan sebagaimana dimaksud dalam Pasal 22, Pasal 23, Pasal 24, Pasal 25 ayat (1) huruf b dan ayat (7) dan Pasal 26 ayat (2) (Paragraf 23, Paragraf 24, Paragraf 25, Paragraf 26 ayat (1) huruf b dan ayat (7), dan Paragraf 27 ayat (2) dalam kodifikasi ini) dikenakan sanksi kewajiban membayar sebesar Rp1.000.000,00 (satu juta rupiah) per hari keterlambatan per laporan. Yang dimaksud dengan hari adalah hari kerja (2) Bank yang belum menyampaikan laporan sebagaimana dimaksud dalam Pasal 22, Pasal 23, Pasal 24, Pasal 25 ayat (1) huruf b dan ayat (7), dan Pasal 26 ayat (2) (Paragraf 23, Paragraf 24, Paragraf 25, Paragraf 26 ayat (1) huruf b dan ayat (7), dan Paragraf 27 ayat (2) dalam kodifikasi ini) setelah 1 (satu) bulan sejak batas akhir waktu 24 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
penyampaian laporan dikenakan sanksi kewajiban membayar sebesar Rp50.000.000,00 (lima puluh juta rupiah) per laporan. Bank yang telah dikenakan sanksi kewajiban membayar dalam ayat ini tidak dikenakan sanksi keterlambatan sebagaimana dimaksud dalam ayat (1). (3) Bank yang belum menyampaikan laporan sebagaimana dimaksud dalam Pasal 22, Pasal 23, Pasal 24, Pasal 25 ayat (1) huruf b dan ayat (7), dan Pasal 26 ayat (2) (Paragraf 23, Paragraf 24, Paragraf 25, Paragraf 26 ayat (1) huruf b dan ayat (7), dan Paragraf 27 ayat (2) dalam kodifikasi ini) dan telah dikenakan sanksi kewajiban membayar sebagaimana dimaksud pada ayat (2), tetap wajib menyampaikan laporan kepada Bank Indonesia. (4) Bank yang tidak menyampaikan laporan rencana sebagaimana dimaksud dalam Pasal 25 ayat (1) huruf a (Paragraf 26 ayat (1) huruf a dalam kodifikasi ini) dikenakan sanksi kewajiban membayar sebesar Rp100.000.000,00 (seratus juta rupiah). (5) Bank yang menyampaikan laporan sebagaimana dimaksud dalam Pasal 22, Pasal 23, Pasal 24, Pasal 25 ayat (1) huruf b dan ayat (7), dan Pasal 26 ayat (2) (Paragraf 23, Paragraf 24, Paragraf 25, Paragraf 26 ayat (1) huruf b dan ayat (7), dan Paragraf 27 ayat (2) dalam kodifikasi ini) namun dinilai tidak lengkap secara signifikan atau tidak dilampiri dengan dokumen dan informasi yang material sesuai dengan format yang ditentukan, dikenakan sanksi kewajiban membayar sebesar Rp50.000.000,00 (lima puluh juta rupiah) setelah Bank diberikan 2 (dua) kali surat teguran oleh Bank Indonesia dengan tenggang waktu 7 (tujuh) hari kerja untuk setiap teguran dan Bank tidak memperbaiki laporan dalam jangka waktu 7 (tujuh) hari kerja setelah surat teguran terakhir. 35 Pasal 34 11/25/PBI/2009 Bank yang telah dikenakan sanksi kewajiban membayar dalam ayat ini tidak dikenakan sanksi keterlambatan sebagaimana dimaksud dalam ayat (1). Bank yang tidak melaksanakan ketentuan sebagaimana ditetapkan dalam Peraturan Bank Indonesia ini dan ketentuan pelaksanaan terkait lainnya dapat dikenakan sanksi administratif sebagaimana dimaksud dalam Pasal 52 Undang‐undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang‐undang Nomor 10 Tahun 1998 dan Pasal 58 Undang‐Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah, antara lain berupa: a. teguran tertulis; b. penurunan tingkat kesehatan Bank; c. pembekuan kegiatan usaha tertentu; d. pencantuman anggota pengurus, pegawai Bank, dan/atau pemegang saham dalam daftar pihak‐pihak yang mendapat predikat tidak lulus dalam penilaian kemampuan dan kepatutan atau dalam catatan administrasi Bank Indonesia sebagaimana diatur dalam ketentuan Bank Indonesia yang berlaku; dan/atau e. pemberhentian pengurus Bank. 25 Manajemen Paragraf Sumber Regulasi 36 Manajemen Risiko Ketentuan
Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking) Umum
SE 6/18/DPNP 2004 Romawi I 1. Internet Banking adalah salah satu pelayanan jasa Bank yang memungkinkan nasabah untuk memperoleh informasi, melakukan komunikasi dan melakukan transaksi perbankan melalui jaringan internet, dan bukan merupakan Bank yang hanya menyelenggarakan layanan perbankan melalui internet, sehingga pendirian dan kegiatan Internet Only Bank tidak diperkenankan. 2. Internet Banking dapat berupa Informational Internet Banking, Communicative Internet Banking dan Transactional Internet Banking. Informational Internet Banking adalah pelayanan jasa Bank kepada nasabah dalam bentuk informasi melalui jaringan internet dan tidak melakukan eksekusi transaksi (execution of transaction). Communicative Internet Banking adalah pelayanan jasa Bank kepada nasabah dalam bentuk komunikasi atau melakukan interaksi dengan Bank penyedia layanan internet banking secara terbatas dan tidak melakukan eksekusi transaksi (execution of transaction). Transactional Internet Banking adalah pelayanan jasa Bank kepada nasabah untuk melakukan interaksi dengan Bank penyedia layanan internet banking dan melakukan eksekusi transaksi (execution of transaction). 3. Mengingat aktivitas internet banking yang mengandung risiko tinggi adalah transactional internet banking, maka kewajiban penerapan manajemen risiko sebagaimana diatur dalam Surat Edaran ini hanya diberlakukan bagi penyelenggaraan transactional internet banking. 4. Ketentuan dan peraturan perundang‐undangan lainnya, yaitu antara lain Undang‐undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen, dan ketentuan Bank Indonesia tentang Penerapan Prinsip Mengenal Nasabah (Know Your Customer) juga berlaku dalam hubungannya dengan penyelenggaraan internet banking. Pedoman Manajemen Risiko
37 SE 6/18/DPNP 2004 Romawi II.1 38 SE 6/18/DPNP 2004 Romawi II.2 39 SE 6/18/DPNP 2004 Romawi II.3 Bank yang menyelenggarakan internet banking wajib menerapkan manajemen risiko pada aktivitas internet banking secara efektif, yang meliputi: a. pengawasan aktif Dewan Komisaris dan Direksi; b. sistem pengamanan (security control); c. manajemen risiko, khususnya risiko hukum dan risiko reputasi. Penerapan manajemen risiko sebagaimana dimaksud dalam angka 1 (Paragraf 37 dalam kodifikasi ini) wajib dituangkan dalam suatu kebijakan, prosedur dan pedoman tertulis, dengan mengacu pada Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking). Bank yang telah melaksanakan aktivitas internet banking dan telah memiliki kebijakan, prosedur dan atau pedoman tertulis penerapan manajemen risiko pada aktivitas internet banking wajib menyesuaikan dan 26 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
menyempurnakan dengan berpedoman pada Lampiran Surat Edaran ini (Lampiran 9 dalam kodifikasi ini). Pelaporan
40 41 42 43 44 SE 6/18/DPNP 2004 Romawi III.1 Bank wajib menyampaikan laporan rencana perubahan Sistem Teknologi Informasi (TSI) yang menyangkut perubahan konfigurasi dan prosedur pengoperasian komputer yang terkait dengan rencana penyelenggaraan internet banking selambat‐lambatnya 60 (enam puluh) hari kalender sebelum pelaksanaan. Format laporan mengacu kepada Format laporan mengacu kepada Formulir Isian TSI yang merupakan lampiran dari Surat Edaran Nomor 27/9/UPPB tanggal 31 Maret 1995. SE 6/18/DPNP Bank yang menyelenggarakan aktivitas baru internet banking, wajib 2004 melaporkan secara tertulis kepada Bank Indonesia selambat‐lambatnya 7 Romawi III.2 (tujuh) hari kerja sejak aktivitas tersebut efektif dilaksanakan. Format laporan mengacu kepada Surat Edaran Bank Indonesia Nomor 5/21/DPNP tanggal 29 September 2003 (Lampiran 1 sampai dengan 7 dalam kodifikasi ini) yang memuat : a. Uraian singkat atau penjelasan dan bentuk flow chart dari Prosedur Pelaksanaan (standar operating procedures/SOP) internet banking; b. Bagan Organisasi dan kewenangan satuan kerja tertentu yang melaksanakan internet banking; c. Hasil analisis dan identifikasi satuan kerja manajemen risiko pada Bank terhadap risiko yang melekat pada internet banking; d. Hasil uji coba metode pengukuran dan pemantauan risiko yang melekat pada internet banking yang dilaksanakan oleh satuan kerja manajemen risiko pada Bank; e. Uraian singkat mengenai Sistem Informasi Akuntansi untuk transaksi yang dilakukan melalui internet banking, termasuk penjelasan singkat mengenai keterkaitan sistem informasi akuntansi tersebut dengan sistem informasi akuntansi Bank secara menyeluruh; dan f. Hasil analisis aspek hukum untuk internet banking. SE 6/18/DPNP Pelaksanaan kewajiban pelaporan sebagaimana dimaksud pada angka 2 2004 (Paragraf 41 dalam kodifikasi ini) dikecualikan dalam hal penyelenggaraan Romawi III.3 aktivitas baru internet banking tersebut telah efektif dilaksanakan oleh Bank sebelum Bank menyelesaikan action plan sebagaimana dimaksud dalam ketentuan penerapan manajemen risiko. SE 6/18/DPNP Bagi Bank yang dikecualikan untuk menyampaikan laporan sebagaimana 2004 dimaksud pada angka 3 (Paragraf 42 dalam kodifikasi ini), kewajiban untuk Romawi III.4 menyampaikan laporan realisasi rencana perubahan TSI yang menyangkut internet banking selambat‐lambatnya 30 (tiga puluh) hari kalender setelah rencana dimaksud dilaksanakan. SE 6/18/DPNP Bagi Bank yang dikecualikan untuk menyampaikan laporan sebagaimana 2004 angka 4 (Paragraf 43 dalam kodifikasi ini), kewajiban untuk menyampaikan Romawi III.4 – 5 laporan realisasi rencana perubahan TSI yang menyangkut internet banking selambat‐lambatnya 30 (tiga puluh) hari kalender setelah rencana dimaksud dilaksanakan sebagaimana diatur dalam dalam Surat Keputusan Direksi 27 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Bank Indonesia Nomor 27/164/KEP/DIR tanggal 31 Maret 1995 tentang Penggunaa Teknologi Sistem Informasi oleh Bank tetap berlaku Laporan sebagaimana tersebut di atas disampaikan kepada Bank Indonesia dengan alamat: a. Direktorat Pengawasan Bank terkait, Jl. M.H. Thamrin No.2, Jakarta 10110, bagi Bank yang berkantor pusat di wilayah Jabotabek; atau b. Kantor Cabang Bank Indonesia setempat, bagi Bank yang berkantor pusat di luar wilayah Jabotabek. Lain‐Lain
45 SE 6/18/DPNP 2004 Romawi IV.1 Guna meningkatkan efektivitas penerapan manajemen risiko, Bank wajib melakukan evaluasi dan audit secara berkala terhadap aktivitas internet banking dengan menggunakan auditor internal (Satuan Kerja Audit Intern/SKAI) atau auditor eksternal. 46 SE 6/18/DPNP 2004 Romawi IV.2 Apabila diperlukan, Bank Indonesia dapat melakukan pemeriksaan terhadap efektivitas dan kecukupan penerapan manajemen risiko khususnya yang berkaitan dengan aktivitas internet banking pada Bank. Sanksi
47 SE 6/18/DPNP 2004 Romawi V.1 48 SE 6/18/DPNP 2004 Romawi V.2 Pelanggaran atas kewajiban pelaporan sebagaimana dimaksud pada angka III.1 dan angka III.4 (Paragraf 40 dan Paragraf 43 dalam kodifikasi ini) dikenakan sanksi administratif tentang Penggunaan Teknologi Sistem Informasi oleh Bank. Pelanggaran atas kewajiban pelaporan sebagaimana dimaksud dalam angka angka III. 2 (Paragraf 41 dalam kodifikasi ini) dikenakan sanksi tentang Penerapan Manajemen Risiko Bagi Bank Umum. 49 SE 11/16/DPNP 2009 Romawi I Penerapan Manajemen Risiko untuk Risiko Likuiditas
Umum
1. Salah satu Risiko yang dihadapi Bank dalam kegiatan usahanya adalah Risiko Likuiditas. Risiko Likuiditas merupakan Risiko akibat ketidakmampuan Bank untuk memenuhi kewajiban yang jatuh tempo dari sumber pendanaan arus kas dan/atau dari aset likuid berkualitas tinggi yang dapat diagunkan, tanpa mengganggu aktivitas dan kondisi keuangan Bank. 2. Ketidakmampuan memperoleh sumber pendanaan arus kas sehingga menimbulkan Risiko Likuiditas dapat disebabkan: (1) ketidakmampuan menghasilkan arus kas yang berasal dari aset produktif maupun yang berasal dari penjualan aset termasuk aset likuid; dan/atau (2) ketidakmampuan menghasilkan arus kas yang berasal dari penghimpunan dana, transaksi antar Bank, dan pinjaman yang diterima. 3. Ketidakmampuan Bank memperoleh pendanaan untuk memenuhi kewajiban yang jatuh tempo akan menurunkan tingkat kepercayaan masyarakat sehingga semakin meningkatkan Risiko Likuiditas, dan selanjutnya dapat mempengaruhi aspek‐aspek keuangan lainnya yang dapat mengancam kelangsungan usaha Bank. 28 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
4. Mengingat permasalahan likuiditas sebagaimana dimaksud pada ayat 3 dapat memberikan dampak yang signifikan, maka Bank wajib menerapkan Manajemen Risiko untuk Risiko Likuiditas secara efektif baik secara individual maupun secara konsolidasi dengan Perusahaan Anak. 5. Tujuan utama dari penerapan Manajemen Risiko untuk Risiko Likuiditas adalah untuk memastikan kecukupan dana secara harian baik pada saat kondisi normal maupun kondisi krisis dalam pemenuhan kewajiban secara tepat waktu dari berbagai sumber dana yang tersedia, termasuk memastikan ketersediaan aset likuid berkualitas tinggi. 6. Penerapan Manajemen Risiko untuk Risiko Likuiditas secara efektif paling kurang mencakup: (1) pengawasan aktif Dewan Komisaris dan Direksi; (2) kecukupan kebijakan, prosedur, dan penetapan limit Manajemen Risiko; (3) kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian Risiko serta sistem informasi Manajemen Risiko; (4) sistem pengendalian intern yang menyeluruh. 7. Penerapan Manajemen Risiko untuk Risiko Likuiditas harus terintegrasi dengan penerapan Manajemen Risiko secara keseluruhan sesuai ketentuan Bank Indonesia mengenai penerapan Manajemen Risiko bagi Bank umum. 8. Dalam penerapan Manajemen Risiko untuk Risiko Likuiditas, Bank perlu melakukan evaluasi profil Risiko Likuiditas yang dihadapi dikaitkan dengan kecukupan modal. 9. Penerapan Manajemen Risiko untuk Risiko Likuiditas perlu diterapkan pula dalam penetapan harga internal (internal pricing) dan pengukuran kinerja masing‐masing unit bisnis sehingga insentif masing‐masing unit bisnis dapat ditetapkan sejalan dengan eksposur Risiko Likuiditasnya. 10. Penerapan Manajemen Risiko untuk Risiko Likuiditas yang efektif dapat meminimalkan Risiko Likuiditas yang terjadi pada satu Bank dan juga meningkatkan stabilitas sistem perbankan secara keseluruhan. Penerapan Manajemen Risiko Likuiditas Pengawasan Aktif Dewan Komisaris dan Direksi 50 SE 11/16/DPNP 2009 Romawi II.A.1 51 SE 11/16/DPNP 2009 Romawi II.A.2 52 SE 11/16/DPNP 2009 Romawi II.A.3 Dalam rangka pelaksanaan pengawasan aktif, Dewan Komisaris dan Direksi harus memahami Risiko Likuiditas dan menyadari pentingnya penerapan Manajemen Risiko untuk Risiko Likuiditas. Dewan Komisaris dan Direksi bertanggung jawab atas efektifitas penerapan Manajemen Risiko untuk Risiko Likuiditas. Dewan Komisaris paling kurang berwenang dan bertanggung jawab terhadap hal‐hal berikut: a. melakukan persetujuan dan evaluasi berkala mengenai kebijakan dan strategi yang terkait dengan Manajemen Risiko untuk Risiko Likuiditas termasuk rencana pendanaan darurat (Contingency Funding Plan). Evaluasi berkala dilakukan paling kurang 1 (satu) kali dalam 1 (satu) 29 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
tahun atau dalam frekuensi yang lebih tinggi dalam hal terdapat perubahan faktor‐faktor yang mempengaruhi kegiatan usaha Bank secara signifikan; b. melakukan evaluasi untuk memastikan bahwa Direksi telah menerapkan Manajemen Risiko untuk Risiko Likuiditas sesuai dengan kebijakan dan strategi Bank. 53 SE 11/16/DPNP 2009 Romawi II.A.4 Direksi paling kurang berwenang dan bertanggung jawab terhadap hal‐hal berikut: a. menyusun kebijakan, strategi, dan prosedur yang komprehensif terkait penerapan Manajemen Risiko untuk Risiko Likuiditas dengan mempertimbangkan toleransi Risiko dan memperhatikan dampaknya terhadap permodalan; b. menjabarkan dan mengkomunikasikan kebijakan, strategi, dan prosedur Manajemen Risiko untuk Risiko Likuiditas kepada seluruh satuan kerja terkait; c. memastikan dan mengevaluasi penerapan Manajemen Risiko untuk Risiko Likuiditas; d. mengevaluasi kebijakan, strategi, dan prosedur terkait penerapan Manajemen Risiko secara berkala; e. melakukan evaluasi terhadap kondisi likuiditas Bank paling kurang 1 (satu) bulan sekali; f. melakukan evaluasi segera terhadap kondisi likuiditas dan profil Risiko Bank apabila terjadi perubahan yang signifikan antara lain atas kondisi‐
kondisi berikut: 1) peningkatan biaya penghimpunan dana; 2) peningkatan konsentrasi aset atau kewajiban; 3) peningkatan liquidity gap; 4) keterbatasan alternatif sumber pendanaan; 5) pelampauan yang material terhadap limit; 6) penurunan signifikan pada portofolio aset likuid berkualitas tinggi; dan/atau 7) perubahan kondisi pasar yang dapat menyebabkan permasalahan di masa datang; g. melakukan penyesuaian kebijakan dan strategi Manajemen Risiko untuk Risiko Likuiditas yang diperlukan berdasarkan hasil evaluasi sebagaimana dimaksud pada huruf e dan f; h. menyampaikan laporan kepada Dewan Komisaris yang paling kurang mencakup: 1) hasil evaluasi secara berkala terhadap kondisi likuiditas sebagaimana dimaksud pada huruf e; 2) hasil evaluasi terhadap kondisi likuiditas sebagaimana dimaksud pada huruf f; dan 3) penyesuaian kebijakan dan strategi sebagaimana dimaksud pada huruf g. 30 Manajemen Paragraf Sumber Regulasi 54 SE 11/16/DPNP 2009 Romawi II.B.1 55 SE 11/16/DPNP 2009 Romawi II.B.2 56 SE 11/16/DPNP 2009 Romawi II.B.3 57 SE 11/16/DPNP 2009 Romawi II.B.4 Manajemen Risiko Ketentuan
Kebijakan, Prosedur, dan Penetapan Limit Dalam menetapkan kebijakan mengenai Manajemen Risiko untuk Risiko Likuiditas, termasuk penetapan strategi dan limit Manajemen Risiko, Bank wajib menyesuaikan kebijakan tersebut dengan visi, misi, strategi bisnis, tingkat Risiko yang akan diambil (risk appetite), kecukupan permodalan, kemampuan sumber daya manusia, dan kapasitas pendanaan Bank secara keseluruhan. Kebijakan sebagaimana dimaksud pada angka 1 (Paragraf 54 dalam kodifikasi ini) dan prosedur Manajemen Risiko harus dikomunikasikan kepada seluruh satuan kerja Bank yang aktivitasnya berdampak pada likuiditas, agar dapat diterapkan dalam melakukan kegiatan operasional. Kebijakan dan prosedur tersebut paling kurang meliputi hal‐hal sebagai berikut: a. kewenangan dan tanggung jawab manajemen likuiditas, antara lain alur yang jelas mengenai kewenangan, tanggung jawab, dan pelaporan terkait dengan Manajemen Risiko untuk Risiko Likuiditas termasuk menugaskan dan memberikan kewenangan kepada satuan kerja tertentu untuk menentukan pasar, instrumen, serta transaksi dengan pihak lawan yang memenuhi kriteria (eligible counterparty); b. komposisi aset dan kewajiban; c. diversifikasi dan kestabilan sumber pendanaan; d. penetapan jenis dan alokasi aset yang diklasifikasikan sebagai aset likuid berkualitas tinggi; e. manajemen likuiditas pada berbagai jenis valuta, berbagai wilayah, dan lini bisnis; f. manajemen likuiditas harian termasuk intrahari; g. manajemen likuiditas intragroup (kelompok usaha); h. penetapan indikator yang merupakan indikator peringatan dini (early warning indicator) untuk Risiko Likuiditas; i. penetapan limit; j. penerapan stress testing; k. sistem informasi Manajemen Risiko dan sistem lain yang secara memadai diperlukan untuk identifikasi, pengukuran, pemantauan, dan pengendalian Risiko Likuiditas termasuk pelaporan likuiditas; l. rencana pendanaan darurat (contingency funding plan), antara lain yang menjelaskan mengenai pendekatan dan strategi dalam menghadapi kondisi krisis yang berdampak pada likuiditas. Kebijakan manajemen likuiditas intragroup antara lain meliputi pengaturan atas likuiditas intragroup, termasuk penentuan pendekatan yang digunakan (sentralisasi atau desentralisasi), ketergantungan likuiditas intragroup, mekanisme, jenis, dan limit penyediaan dana intragroup (misalnya pemberian committed dan uncommitted line). Termasuk sebagai intragroup adalah perusahaan‐perusahaan lain yang berada dalam satu kelompok usaha dengan Bank baik Bank sebagai perusahaan induk, perusahaan anak, maupun Bank sebagai perusahaan dalam kelompok usaha. 31 Manajemen Paragraf Sumber Regulasi 58 SE 11/16/DPNP 2009 Romawi II.B.5 59 SE 11/16/DPNP 2009 Romawi II.B.6 60 SE 11/16/DPNP 2009 Romawi II.B.7 61 SE 11/16/DPNP 2009 Romawi II.B.8 62 SE 11/16/DPNP 2009 Romawi II.B.9 63 SE 11/16/DPNP 2009 Romawi II.B.10 64 SE 11/16/DPNP 2009 Romawi II.B.11 65 SE 11/16/DPNP 2009 Romawi II.B.12 66 SE 11/16/DPNP 2009 Romawi II.B.13 Manajemen Risiko Ketentuan
Penetapan indikator peringatan dini sebagaimana dimaksud pada angka 3 huruf h (Paragraf 56 huruf h dalam kodifikasi ini) antara lain bertujuan untuk mengidentifikasi dan sebagai dasar menentukan tindak lanjut untuk memitigasi eksposur Risiko Likuiditas. Indikator peringatan dini meliputi indikator internal dan indikator eksternal. Indikator internal antara lain meliputi kualitas aset yang memburuk, peningkatan konsentrasi pada beberapa aset dan sumber pendanaan tertentu, peningkatan currency mismatches, pengulangan terjadinya pelampauan limit, peningkatan biaya dana secara keseluruhan, dan/atau posisi arus kas yang semakin buruk sebagai akibat maturity mismatch yang besar terutama pada skala waktu jangka pendek. Indikator eksternal antara lain meliputi informasi publik yang negatif terhadap Bank, penurunan hasil peringkat oleh lembaga pemeringkat, penurunan harga saham Bank secara terus menerus, penurunan fasilitas credit line yang diberikan oleh bank koresponden, peningkatan penarikan deposito sebelum jatuh tempo, dan/atau keterbatasan akses untuk memperoleh pendanaan jangka panjang. Penetapan limit sebagaimana dimaksud pada angka 3 huruf I (Paragraf 56 huruf i dalam kodifikasi ini) harus diimplementasikan secara konsisten guna mengendalikan eksposur dan konsentrasi Risiko Likuiditas. Limit yang ditetapkan harus konsisten dan relevan dengan bisnis Bank, kompleksitas aktivitas, toleransi Risiko, karakteristik produk, valuta, pasar di mana Bank tersebut aktif melakukan transaksi, data historis, tingkat profitabilitas, dan modal yang tersedia. Limit dimaksud juga harus sesuai dengan rencana pendanaan darurat (contingency funding plan) untuk memastikan bahwa rencana pendanaan darurat tersebut diterapkan secara efektif. Penetapan limit dapat meliputi antara lain limit mismatch arus kas baik dalam jangka pendek maupun jangka panjang termasuk arus kas yang berasal dari posisi rekening administratif, limit konsentrasi pada aset dan kewajiban, pinjaman overnight, dan rasio‐rasio likuiditas lainnya. Penetapan limit tidak hanya digunakan untuk mengelola likuiditas harian pada kondisi normal namun juga harus meliputi limit agar Bank dapat terus beroperasi pada periode krisis baik krisis pasar secara umum maupun krisis yang spesifik bagi Bank atau kombinasi keduanya. Kebijakan, prosedur, dan proses penetapan limit harus didokumentasikan secara tertulis dan lengkap sehingga memudahkan untuk dilakukan jejak audit (audit trail). 32 Manajemen Paragraf Sumber Regulasi 67 SE 11/16/DPNP 2000 Romawi II.B.14 68 69 Manajemen Risiko Ketentuan
Kebijakan dan prosedur serta limit harus dievaluasi dan dikinikan secara berkala atau sewaktu‐waktu dalam hal terjadi perubahan kondisi yang signifikan. Proses Identifikasi, Pengukuran, Pemantauan, dan Pengendalian Risiko serta Sistem Informasi Manajemen Risiko Identifikasi
SE 11/16/DPNP 2009 Romawi II.C.1 Bank wajib melakukan identifikasi Risiko Likuiditas, baik eksposur Risiko saat ini maupun yang akan timbul di masa datang. Identifikasi Risiko Likuiditas merupakan proses yang berkelanjutan dan harus dilakukan secara berkala. 1. Dalam rangka melakukan identifikasi Risiko Likuiditas, Bank harus melakukan analisis terhadap seluruh sumber Risiko Likuiditas. Sumber Risiko Likuiditas meliputi: 1) Produk dan aktivitas perbankan yang dapat mempengaruhi sumber dan penggunaan dana baik pada posisi aset dan kewajiban maupun rekening administratif; dan 2) Risiko‐Risiko lain yang dapat meningkatkan Risiko Likuiditas, misalnya Risiko Kredit, Risiko Pasar dan Risiko Operasional. 2. Analisis terhadap seluruh sumber Risiko Likuiditas dilakukan untuk mengetahui jumlah dan tren kebutuhan likuiditas, serta sumber pendanaan yang tersedia untuk memenuhi kebutuhan tersebut. Pengukuran
SE 11/16/DPNP 1. Bank wajib memiliki alat pengukuran yang dapat mengkuantifikasi 2009 Risiko Likuiditas secara tepat waktu dan komprehensif. Romawi II.C.2.a – 2. Alat pengukuran tersebut paling kurang meliputi: d 1) Proyeksi arus kas, yaitu proyeksi seluruh arus kas masuk dan arus kas keluar termasuk kebutuhan pendanaan untuk memenuhi komitmen dan kontinjensi pada transaksi rekening administratif; 2) Rasio likuiditas, yaitu rasio keuangan yang menggambarkan indikator likuiditas dan/atau mengukur kemampuan Bank untuk memenuhi kewajiban jangka pendek; 3) Profil maturitas, yaitu pemetaan posisi aset, kewajiban, dan rekening administratif ke dalam skala waktu tertentu (maturity buckets) berdasarkan sisa jangka waktu sampai dengan jatuh tempo (remaining maturity); dan 4) Stress testing, yaitu pengujian yang dilakukan dengan menggunakan skenario tertentu terhadap posisi likuiditas Bank dalam kondisi krisis. 3. Pendekatan pada setiap alat pengukuran Risiko Likuiditas yang digunakan Bank, harus disesuaikan dengan kompleksitas aktivitas bisnis dan profil Risiko Bank. Dalam hal Bank melakukan kegiatan usaha yang lebih kompleks, maka Bank harus menggunakan pendekatan pengukuran yang bersifat simulasi dan lebih dinamis yang didasarkan pada berbagai asumsi. Bank dapat dikatakan melakukan kegiatan usaha yang kompleks jika Bank antara lain melakukan transaksi treasuri secara aktif termasuk transaksi derivatif, memiliki atau menawarkan produk terstruktur (structured product). 33 Manajemen Paragraf Sumber Regulasi 70 SE 11/16/DPNP 2009 Romawi II.C.2.e Manajemen Risiko Ketentuan
4. Pengukuran Risiko Likuiditas Bank harus didokumentasikan dan dievaluasi secara berkala atau sewaktu‐waktu apabila diperlukan, untuk memastikan kewajaran, akurasi, dan integritas data. Pengukuran dengan menggunakan proyeksi arus kas sebagaimana dimaksud pada huruf b angka 1) (Paragraf 69 ayat 2 angka 1) dalam kodifikasi ini) dilakukan dengan ketentuan sebagai berikut: 1) Proyeksi arus kas menyajikan arus kas yang berasal dari aset, kewajiban, dan rekening adminisitratif serta kegiatan usaha lainnya dan dipetakan ke dalam skala waktu berdasarkan asumsi yang digunakan. Asumsi juga digunakan untuk menghitung arus kas dari posisi likuiditas yang memiliki jatuh tempo secara kontraktual. 2) Proyeksi arus kas harus disusun paling kurang setiap bulan dengan periode proyeksi sesuai kebutuhan Bank dengan memperhatikan struktur aset, kewajiban, dan rekening administratif, yang paling kurang meliputi periode 1 (satu) bulan. Pembagian periode proyeksi arus kas ke dalam skala waktu disesuaikan dengan Laporan Profil Maturitas. 3) Cakupan pos aset, kewajiban, dan rekening administratif dalam proyeksi arus kas disesuaikan dengan struktur aset, kewajiban, dan rekening administratif masing‐masing Bank. Dalam hal Bank memiliki posisi likuiditas dalam valuta asing, maka Bank harus menyusun proyeksi arus kas dalam valuta asing. 4) Faktor‐faktor yang dipertimbangkan dalam menentukan asumsi antara lain karakteristik produk, perilaku pihak lawan (counterparty) dan/atau nasabah, dan kondisi pasar serta pengalaman historis. 5) Penetapan asumsi harus dilakukan secara realistis, yang antara lain terkait dengan hal‐hal berikut: a) perpanjangan jangka waktu aset dan kewajiban; b) persetujuan kredit baru dan perolehan dana nasabah; c) perilaku aset dan kewajiban (asset and liability behaviour) yang tidak memiliki jatuh tempo, misalnya pola transaksi giro atau tabungan yang tidak memiliki jatuh tempo; d) perilaku aset (asset behaviour) yang memiliki fitur tertentu seperti opsi pelunasan dini (prepayment option); e) pembelian dan/atau penjualan aset termasuk aset likuid; f) perkiraan penarikan dan penerimaan dari rekening administratif, antara lain komitmen kredit, L/C, dan bank garansi; g) akses pada sumber‐sumber pendanaan, antara lain pinjaman antar Bank, pendanaan antar perusahaan dalam kelompok usaha Bank (intragroup), dan fasilitas pinjaman siaga (standby facility); h) asumsi lainnya yang relevan, antara lain diskon (haircut) pada penjualan aset. 6)
Asumsi yang digunakan dalam penyusunan proyeksi arus kas harus disetujui oleh pihak yang memiliki kewenangan sesuai kebijakan internal Bank, didokumentasikan, dan dievaluasi secara berkala atau sewaktu‐waktu apabila diperlukan. Evaluasi dilakukan dengan mempertimbangkan antara lain perubahan kondisi pasar, faktor persaingan antar Bank, dan perubahan perilaku pihak lawan dan/atau nasabah Bank. 34 Manajemen Paragraf Sumber Regulasi 71 SE 11/16/DPNP 2009 Romawi II.C.2.f Manajemen Risiko Ketentuan
Pengukuran dengan menggunakan rasio likuiditas sebagaimana dimaksud pada huruf b angka 2) (Paragraf 69 ayat 2 angka 2) dalam kodifikasi ini) dilakukan dengan ketentuan sebagai berikut: 1) Penetapan rasio likuiditas yang digunakan untuk mengukur RIsiko Likuiditas harus disesuaikan dengan strategi bisnis, toleransi Risiko, dan kinerja masa lalu. 2) Untuk memperoleh gambaran mengenai kondisi actual likuiditas Bank, hasil pengukuran dengan menggunakan rasio perlu dianalisis dengan memperhatikan informasi kualitatif yang relevan. Informasi kualitatif antara lain informasi mengenai kemungkinan terjadi peningkatan penarikan deposito sebelum jatuh tempo, penurunan fasilitas kredit, dan perubahan volume transaksi. 72 SE 11/16/DPNP 2009 Romawi II.C.2.g Pengukuran dengan menggunakan profil maturitas sebagaimana dimkasud pada huruf b angka 3) (Paragraf 69 ayat 2 angka 3) dalam kodifikasi ini) dilakukan dengan ketentuan sebagai berikut: 1) Profil maturitas menyajikan pos‐pos asset, kewajiban, dan rekening administratif yang dipetakan ke dalam skala waktu berdasarkan sisa waktu sampai dengan jatuh tempo sesuai kontrak dan/atau berdasarkan asumsi khususnya untuk pos neraca dan rekening administratif yang tidak memiliki jatuh tempo kontraktual (non maturity items). Penyusunan profil maturitas bertujuan untuk mengidentifikasi terjadinya gap likuiditas dalam skala waktu tertentu. 2) Profil maturitas harus disusun paling kurang setiap bulan baik dalam rupiah maupun valuta asing. Apabila Bank memiliki posisi likuiditas dalam berbagai valuta asing dengan jumlah yang signifikan, dalam hal diperlukan untuk keperluan internal, Bank dapat menyusun profil maturitas dalam masing‐masing valuta asing dimaksud. 3) Faktor‐faktor yang dipertimbangkan dalam menentukan asumsi untuk mengestimasi pos neraca dan rekening administratif yang tidak memiliki jatuh tempo kontraktual antara lain karakteristik produk, perilaku pihak lawan dan/atau nasabah, dan kondisi pasar serta pengalaman historis. 4) Asumsi yang digunakan dalam penyusunan profil maturitas harus disetujui oleh pihak yang memiliki kewenangan sesuai kebijakan internal Bank, didokumentasikan, dan dievaluasi secara berkala atau sewaktu‐waktu apabila diperlukan. Evaluasi dilakukan dengan mempertimbangkan antara lain perubahan kondisi pasar, faktor persaingan antar Bank, dan perubahan perilaku pihak lawan dan/atau nasabah Bank. 73 SE 11/16/DPNP 2009 Romawi II.C.2h Pengukuran dengan menggunakan stress test sebagaimana dimaksud pada Pragraf 69 ayat 2 angka 4) dilakukan dengan ketentuan sebagai berikut: 1) Stress test harus dapat menggambarkan kemampuan Bank untuk memenuhi kebutuhan likuiditas dalam kondisi krisis, yang didasarkan pada berbagai skenario. 2) Penetapan cakupan dan frekuensi stress test harus sesuai dengan skala dan kompleksitas usaha, serta eksposur Risiko Likuiditas Bank, dengan ketentuan sebagai berikut: a) Stress test harus dilakukan dengan menggunakan skenario stress secara spesifik pada Bank (bank‐specific stress scenario) maupun 35 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
stress pada pasar (general market stress scenario) dengan mempertimbangkan berbagai faktor yang antara lain meliputi berbagai jenis peristiwa yang telah atau berpotensi menyebabkan kondisi krisis likuiditas, durasi peristiwa tersebut, dan kedalaman (severity) permasalahan yang ditimbulkan peristiwa tersebut. b) Dalam menetapkan skenario untuk stress test, Bank menggunakan skenario yang bersifat historis (historical scenario) dan/atau hipotesis (hyphotetical scenario) dengan mempertimbangkan aktivitas bisnis dan kerentanan Bank. c) Stress test juga dapat dilakukan dengan menggunakan skenario: (1) krisis yang melanda suatu negara tertentu (country‐specific crisis) yang dapat berdampak pada Bank, antara lain karena Bank memiliki jaringan operasi yang signifikan di negara tersebut; atau (2) krisis yang terjadi atas suatu instrumen keuangan atau produk tertentu yang dapat berdampak pada Bank yang memiliki eksposur pada suatu instrumen keuangan atau produk tertentu, misalnya produk terstruktur (structured product). d) Stress test harus memperhitungkan implikasi skenario pada berbagai jangka waktu yang berbeda, termasuk secara harian. e) Stress test dengan menggunakan skenario stress secara spesifik pada Bank (bank‐specific stress scenario) paling kurang dilakukan 1 (satu) kali dalam 3 (tiga) bulan, atau dalam rentang waktu yang lebih pendek jika Bank mengalami potensi peningkatan Risiko Likuiditas yang signifikan dan/atau atas permintaan Bank Indonesia. f) Stress test dengan menggunakan skenario stress pada pasar (general market stress scenario) paling kurang dilakukan 1 (satu) kali dalam 1 (satu) tahun, atau dalam rentang waktu yang lebih pendek jika Bank menganggap bahwa kondisi krisis yang terjadi dapat menyebabkan Bank terekspos pada Risiko Likuiditas yang tidak dapat ditolerir dan/atau atas permintaan Bank Indonesia. 3) Skenario stress secara spesifik pada Bank (bank‐specific stress scenario), yang dapat digunakan antara lain: a) penurunan peringkat Bank oleh lembaga pemeringkat; b) penarikan dana besar‐besaran; c) peningkatan kredit bermasalah; d) hambatan dalam memperoleh pendanaan dengan atau tanpa jaminan (secured atau unsecured); e) keterbatasan dalam melakukan transaksi pertukaran (konversi) valuta tertentu; f) gangguan/kegagalan sistem yang mendukung operasional Bank. 4) Skenario stress pada pasar (general market stress scenario) yang dapat digunakan antara lain: a) perubahan indikator ekonomi, misalnya tingkat inflasi, perubahan suku bunga, dan/atau depresiasi/apresiasi valuta; b) perubahan kondisi pasar, baik lokal maupun global, misalnya mengeringnya likuiditas pasar, penurunan harga saham, dan/atau pelebaran rentang antara kuotasi beli dan jual (bid and ask spread). 5) Dalam melakukan stress test, Bank harus mempertimbangkan faktor‐
faktor berikut: 36 Manajemen Paragraf Sumber Regulasi 6)
7)
8)
9)
10)
Manajemen Risiko Ketentuan
a) kemungkinan perubahan perilaku pihak lawan dan/atau nasabah yang dapat mempengaruhi arus kas; b) kemungkinan perubahan perilaku dari pelaku pasar lainnya sebagai respon dari kondisi krisis di pasar. Berdasarkan jenis skenario sebagaimana dimaksud pada angka 2) huruf a) dan kedalaman permasalahan dalam skenario serta faktor‐faktor sebagaimana dimaksud pada angka 5), Bank harus mengembangkan asumsi‐asumsi stress test secara konservatif dan mempertimbangkan kesesuaian dari asumsi‐asumsi tersebut, yang antara lain meliputi: a) likuiditas pasar dari aset Bank dan tingkat diskon (haircut) yang mempengaruhi penurunan nilai aset likuid; b) penurunan sumber pendanaan baik dari sisi jumlah maupun jenis; c) jumlah pendanaan dari pasar dengan atau tanpa agunan (secured atau unsecured); d) penambahan margin call dan/atau agunan; e) jumlah klaim kontijensi dan penarikan fasilitas komitmen oleh pihak lawan dan/atau nasabah; f) kebutuhan likuiditas yang terkait dengan produk/transaksi yang kompleks; g) besarnya tingkat penurunan peringkat Bank; h) jumlah pendanaan intragroup; i) ketersediaan jaminan untuk memperoleh fasilitas likuiditas dari pihak lain; j) pertumbuhan neraca di masa yang akan datang. Dalam mengidentifikasi dan menganalisis faktor‐faktor yang dapat berdampak secara signifikan terhadap posisi likuiditas, Bank dapat melakukan analisis senstivitas atas hasil stress test untuk asumsi‐asumsi tertentu sehingga dapat diperoleh informasi tambahan mengenai tingkat kerentanan Bank terhadap faktor‐faktor tertentu. Bank harus mendokumentasikan seluruh skenario, asumsi, dan hasil stress test, serta melakukan evaluasi untuk memastikan kesesuaian dengan kondisi Bank, dengan memperhatikan antara lain hal‐hal berikut: a) Perubahan jenis, skala, dan kompleksitas usaha Bank; b) Perubahan kondisi pasar; c) Pengalaman Bank dalam kondisi krisis. Dalam melakukan stress test untuk Risiko Likuiditas, Bank harus mempertimbangkan hasil penilaian yang dilakukan terhadap jenis Risiko lainnya (antara lain Risiko Pasar, Risiko Kredit, Risiko Reputasi) dan menganalisis kemungkinan interaksi dengan berbagai jenis Risiko tersebut. Terhadap hasil stress test, Bank harus mempertimbangkan hal‐hal berikut: a) menyesuaikan kebijakan dan strategi Manajemen Risiko untuk Risiko Likuiditas, serta posisi likuiditas sejalan dengan hasil stress test; b) mengembangkan atau menyempurnakan rencana pendanaan darurat (contingency funding plan) yang efektif dengan berdasarkan hasil stress test; 37 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
c) menggunakan hasil stress test secara eksplisit dalam penetapan limit. 11) Hasil stress test dan tindak lanjut atas stress test tersebut harus dilaporkan kepada dan dievaluasi oleh Direksi. Pemantauan
74 SE 11/16/DPNP 2009 Romawi II.C.3.a 75 SE 11/16/DPNP 2009 Romawi II.C.3.b 76 SE 11/16/DPNP 2009 Romawi II.C.3.c SE 11/16/DPNP 2009 Romawi II.C.3.d Bank harus memantau posisi likuiditas dan Risiko Likuiditas antara lain melalui hasil pengukuran Risiko Likuiditas termasuk kepatuhan terhadap limit yang ditetapkan. Pemantauan sebagaimana dimaksud pada huruf a (Paragraf 74 dalam kodifikasi ini) harus memperhatikan indikator peringatan dini untuk mengetahui potensi peningkatan Risiko Likuiditas. Pemantauan harus dilakukan oleh pegawai atau unit yang tidak terkait dengan pegawai atau unit yang menangani pendanaan. 77 78 79 80 SE 11/16/DPNP 2009 Romawi II.C.3.e Hasil pemantauan digunakan sebagai dasar penentuan tindak lanjut bagi Bank untuk memitigasi eksposur Risiko Likuiditas dan melakukan penyesuaian yang diperlukan secara tepat waktu terhadap strategi manajemen likuiditas Bank. Hasil pemantauan disajikan dalam laporan berkala yang disampaikan kepada pihak yang berkepentingan sebagaimana diatur dalam kebijakan internal Bank. Pengendalian
SE 11/16/DPNP 2009 Romawi II.C.4 Pengendalian Risiko Likuiditas dilakukan melalui strategi pendanaan, pengelolaan posisi likuiditas dan Risiko Likuiditas harian, pengelolaan posisi likuiditas dan Risiko Likuiditas intragroup, pengelolaan aset likuid berkualitas tinggi, dan rencana pendanaan darurat. Strategi Pendanaan 1) Strategi pendanaan mencakup strategi diversifikasi sumber dan jangka waktu pendanaan yang dikaitkan dengan karakteristik dan rencana bisnis Bank. 2) Diversifikasi dilakukan berdasarkan counterparty, dana dengan atau tanpa jaminan (secured dan unsecured), jenis instrumen, jenis valuta, dan lokasi geografis pasar sumber pendanaan. 3) Bank harus mengidentifikasi dan memantau faktor‐faktor utama yang mempengaruhi kemampuannya untuk memperoleh dana, termasuk mengidentifikasi dan memantau alternatif sumber pendanaan yang dapat memperkuat kapasitasnya untuk bertahan pada kondisi krisis. Alternatif sumber pendanaan tersebut, antara lain: a) penerbitan instrumen hutang jangka pendek dan jangka panjang; b) transfer intragroup; c) penambahan modal baru; SE 11/16/DPNP 2009 Romawi II.C.4.a 38 Manajemen Paragraf Sumber Regulasi 4)
5)
6)
7)
81 Manajemen Risiko Ketentuan
d) penjualan perusahaan anak/bisnis tertentu; e) sekuritisasi aset; f) repo aset likuid atau penjualan aset; g) penarikan fasilitas siaga (standby facility); h) fasilitas likuiditas lainnya. Bank harus melakukan evaluasi terhadap strategi pendanaan secara berkala dengan memperhatikan perubahan internal maupun eksternal. Untuk memastikan Manajemen Risiko untuk Risiko Likuiditas yang efektif, Bank harus memelihara akses pasar, termasuk sumber likuiditas pada masing‐masing valuta asing bagi Bank yang aktif melakukan transaksi pada berbagai valuta asing. Pemeliharaan akses pasar sebagaimana dimaksud pada angka 5) dapat meliputi: a) memperluas pasar untuk penjualan aset atau meningkatkan jumlah fasilitas siaga dengan atau tanpa agunan (secured atau unsecured); b) berpartisipasi aktif pada pasar yang relevan dengan strategi pendanaan Bank; c) memelihara hubungan yang baik dengan penyedia dana sehingga dapat melakukan diversifikasi sumber dana dengan baik. Bank harus memiliki analisis mengenai dampak gangguan pasar pada kondisi krisis, dan mempertimbangkannya dalam strategi pendanaan. Pengelolaan Posisi Likuiditas dan Risiko Likuiditas Harian
SE 11/16/DPNP 2009 Romawi II.C.4.b 1) Pengelolaan secara aktif atas posisi likuiditas dan Risiko Likuiditas harian bertujuan untuk memenuhi kewajiban setiap saat sepanjang hari (intrahari) secara tepat waktu baik pada kondisi normal maupun kondisi krisis dengan memprioritaskan kewajiban yang kritikal. 2) Dalam memenuhi tujuan tersebut, Bank harus menganalisis perubahan posisi likuiditas yang terjadi akibat pembayaran dan/atau penerimaan dana sepanjang hari. 3) Dalam mengelola posisi likuiditas dan Risiko Likuiditas harian, Bank paling kurang harus memiliki kemampuan untuk melakukan hal‐hal berikut: a) mengestimasi arus kas masuk dan keluar pada setiap waktu sepanjang hari dan memprediksi kebutuhan pendanaan yang mungkin terjadi pada setiap waktu sepanjang hari. Dalam melakukan estimasi tersebut, Bank harus: (1) memahami mekanisme sistem pembayaran dan sistem setelmen; (2) mengidentifikasi pihak lawan utama termasuk bank koresponden dan kustodian yang terkait dengan sumber arus kas masuk atau keluar; (3) mengidentifikasi waktu dan kondisi dimana arus kas dan/atau kebutuhan pendanaan meningkat; dan (4) memahami bisnis yang mendasari arus kas dan/atau kebutuhan pendanaaan dari setiap unit bisnis maupun nasabah utama Bank. b) memantau posisi likuiditas intrahari sehingga dapat membantu Bank mengalokasikan likuiditas secara efisien di antara kebutuhan Bank dan kebutuhan nasabah Bank. 39 Manajemen Paragraf Sumber Regulasi 82 Manajemen Risiko Ketentuan
c) mengupayakan pendanaan intrahari yang memadai untuk memenuhi kebutuhan intrahari. d) melakukan pengelolaan aset berkualitas tinggi yang dapat dijadikan agunan untuk memperoleh dana intrahari. 4) Dalam mengelola posisi likuiditas dan Risiko Likuiditas harian, Bank harus menyusun proyeksi arus kas setiap hari baik dalam rupiah maupun valuta asing yang paling kurang mencakup proyeksi untuk jangka waktu satu minggu yang akan datang dan disajikan secara harian. Penyusunan proyeksi arus kas tersebut disusun oleh unit yang melakukan kegiatan treasuri. Pengelolaan Posisi Likuiditas dan Risiko Likuiditas Intragroup
SE 11/16/DPNP 2009 Romawi II.C.4.c 1) Dalam pengelolaan posisi likuiditas dan Risiko Likuiditas intragroup, Bank harus memperhitungkan dan menganalisis: a) kebutuhan pendanaan perusahaan dalam kelompok usaha Bank yang dapat mempengaruhi kondisi likuiditas Bank; dan b) kendala/hambatan untuk mengakses likuiditas intragroup. 2) Dalam hal Bank menyediakan dukungan likuiditas kepada perusahaan dalam kelompok usaha Bank, misalnya dalam bentuk garansi atau fasilitas pinjaman yang dapat ditarik sewaktu‐waktu jika diperlukan, Bank harus memastikan bahwa dukungan likuiditas tersebut diperhitungkan dalam pengukuran Risiko Likuiditas. Pengelolaan Aset Likuid Berkualitas Tinggi SE 11/16/DPNP 2009 Romawi II.C.4.d 1) Bank harus memiliki aset likuid berkualitas tinggi dengan jumlah yang cukup dan komposisi yang disesuaikan dengan karakterisitik bisnis dan profil Risiko Likuiditas. 2) Bank harus mengelola aset sebagaimana dimaksud pada angka 1) untuk memenuhi kebutuhan likuiditas intrahari, jangka pendek, dan jangka panjang. 3) Bank harus melakukan evaluasi terhadap seluruh posisi aset sebagaimana dimaksud pada angka 1), termasuk aset yang telah diikat sebagai agunan dan aset yang tersedia untuk dijadikan agunan. 4) Bank harus memantau aset dan komposisi aset sebagaimana dimaksud pada angka 1), termasuk ketersediaan pasar aktif dan kemudahan penjualan/pengagunan serta waktu yang dibutuhkan untuk proses pengagunan. 5) Bank harus memiliki prosedur operasional untuk mengagunkan atau menyerahkan agunan kepada pihak lawan, bank koresponden, bank kustodian, dan/atau Bank Indonesia. 6) Dalam hal Bank telah mengagunkan aset likuid berkualitas tinggi yang dimiliki, Bank harus memantau level agunan yang telah diagunkan dan memahami prosedur dan waktu yang dibutuhkan untuk memperoleh kembali agunan tersebut. 7) Bank harus mempertimbangkan potensi gangguan pada operasional dan likuiditas yang dapat meningkatkan kebutuhan tambahan agunan. 8) Bank yang melakukan transaksi derivatif harus mempertimbangkan potensi kebutuhan deposit/collateral tambahan sebagai dampak perubahan posisi pasar atau perubahan pada credit rating atau posisi keuangan Bank. 83 40 Manajemen Paragraf Sumber Regulasi 84 SE 11/16/DPNP 2009 Romawi II.C.4.e Manajemen Risiko Ketentuan
Rencana Pendanaan Darurat /Contingency Funding Plan (CFP)
1) Bank harus memiliki rencana pendanaan darurat / contingency funding plan (CFP) untuk menangani permasalahan likuiditas dalam berbagai kondisi krisis. 2) Rencana pendanaan darurat harus disesuaikan dengan tingkat profil Risiko, hasil stress test, kompleksitas usaha, cakupan bisnis dan struktur organisasi, serta peran Bank dalam sistem keuangan. 3) Rencana pendanaan darurat meliputi kebijakan, strategi, prosedur, dan 4) rencana tindak (action plan) untuk memastikan kemampuan Bank memperoleh sumber pendanaan yang diperlukan secara tepat waktu dan dengan biaya yang wajar. 5) Rencana pendanaan darurat sebagaimana dimaksud pada angka 3) paling kurang mencakup: a) penetapan indikator dan/atau peristiwa yang digunakan untuk mengidentifikasi terjadinya kondisi krisis; b) mekanisme pemantauan dan pelaporan internal Bank mengenai indikator sebagaimana dimaksud pada huruf a) secara berkala; c) strategi dalam menghadapi berbagai kondisi krisis dan prosedur pengambilan keputusan untuk melakukan tindakan atas perubahan perilaku dan pola arus kas yang menyebabkan defisit arus kas; d) strategi untuk memperoleh dukungan pendanaan (back‐up liquidity) dalam kondisi krisis dengan mempertimbangkan biaya serta dampaknya terhadap modal serta berbagai aspek penting lainnya yang antara lain mencakup: (1) sumber pendanaan utama, jumlah yang tersedia atau dapat diperoleh, dan waktu yang diperlukan untuk memperoleh dana tersebut; (2) kemungkinan ketersediaan back‐up liquidity dan prakondisi penggunaan dana tersebut; (3) alternatif pendanaan lainnya pada saat back‐up liquidity yang dimiliki tidak dapat digunakan. (4) dampak kondisi krisis di pasar pada kemampuan Bank untuk menjual, mengagunkan, dan/atau melakukan sekuritisasi aset; (5) kemampuan Bank untuk memperoleh fasilitas likuiditas lainnya; e) koordinasi manajerial (line of command) yang paling kurang mencakup: (1) penetapan pihak yang berwenang dan bertanggung jawab untuk melakukan identifikasi terjadinya kondisi krisis; (2) pembentukan tim khusus (contingency crisis team) dan/atau penunjukan pihak yang bertanggung jawab sebagai koordinator dan pelaksana dalam pelaksanaan rencana pendanaan darurat; (3) penetapan dan pembagian wewenang dan tanggung jawab yang jelas dalam pelaksanaan rencana pendanaan darurat sehingga setiap anggota memahami perannya dalam kondisi krisis; dan (4) penetapan strategi dan prosedur komunikasi baik kepada pihak internal yang meliputi komunikasi antar satuan kerja, maupun eksternal Bank termasuk pihak media dan nasabah dalam hal terdapat pemberitaan atau publikasi negatif; 41 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
f) prosedur pelaporan internal untuk memastikan ketersediaan berbagai informasi yang diperlukan secara tepat waktu dalam rangka pengambilan keputusan oleh manajemen; dan g) prosedur untuk menetapkan prioritas hubungan dengan nasabah termasuk debitur, kreditur, dan pihak‐pihak lawan dalam transaksi rekening administratif untuk mengatasi permasalahan likuiditas dalam kondisi krisis; 6) Rencana pendanaan darurat harus didokumentasikan, dievaluasi, dikinikan, dan diuji secara berkala untuk memastikan tingkat keandalan;
7) Pengujian rencana pendanaan darurat dilakukan untuk mengetahui tingkat kemampuan Bank memperoleh dana dari pihak lawan yang ada atau dari pasar, dengan berbagai skenario. Pengujian rencana pendanaan darurat dapat dilakukan dengan berbagai pendekatan antara lain: a) menguji kemampuan Bank untuk memperoleh likuiditas dalam jumlah yang memadai, tepat waktu dan dengan biaya yang wajar antara lain melalui penggunaan credit line secara berkala, menjual aset keuangan dan/atau melakukan transaksi repo atas aset keuangan tertentu, memperoleh pinjaman tanpa agunan dan/atau jaminan, dan memperoleh pinjaman yang bukan overnight. b) melakukan simulasi terhadap efektivitas jalur komunikasi, baik dilingkup internal maupun eksternal; c) menguji kemampuan untuk memperoleh informasi yang diperlukan manajemen secara tepat waktu. Sistem Informasi Manajemen Risiko
85 SE 11/16/DPNP 2009 Romawi II.C.5.a 86 SE 11/16/DPNP 2009 Romawi II.C.5.b 87 SE 11/16/DPNP 2009 Romawi II.C.5.c Bank harus memiliki sistem informasi Manajemen Risiko yang memadai dan andal untuk mendukung pelaksanaan proses identifikasi, pengukuran, pemantauan, dan pengendalian, serta pelaporan Risiko Likuiditas dalam kondisi normal dan kondisi krisis secara lengkap, akurat, kini, dan utuh. Sistem informasi Manajemen Risiko harus dapat menyediakan informasi terkini dan tepat waktu mengenai Risiko Likuiditas kepada Dewan Komisaris, Direksi, dan satuan kerja yang terkait dalam penerapan Manajemen Risiko untuk Risiko Likuiditas. Sistem informasi Manajemen Risiko harus dapat menyediakan informasi paling kurang mengenai: 1) arus kas dan profil maturitas dari aset, kewajiban, dan rekening administratif; 2) kepatuhan terhadap kebijakan, strategi, dan prosedur Manajemen Risiko untuk Risiko Likuiditas termasuk limit dan rasio likuditas; 3) laporan profil Risiko dan trend likuiditas untuk kepentingan manajemen secara tepat waktu; dan 4) informasi yang dapat digunakan untuk keperluan stress testing. Sistem informasi Manajemen Risiko dan informasi yang dihasilkan dapat disesuaikan dengan karakteristik, kegiatan usaha, dan kompleksitas bisnis Bank. 42 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
88 SE 11/16/DPNP Informasi yang dihasilkan oleh sistem informasi Manajemen Risiko meliputi 2009 antara lain: Romawi II.C.5d 1) posisi dan valuasi portofolio aset likuid berkualitas tinggi; 2) konsentrasi sumber pendanaan; 3) aset dan kewajiban serta tagihan dan kewajiban off balance sheet, yang bersifat tidak stabil (volatile); 4) proyeksi arus kas dan profil maturitas; 5) analisa arus kas dan ketersediaan akses pendanaan; 6) kepatuhan terhadap strategi dan limit yang telah ditetapkan; 7) kemampuan untuk meminjam atau melakukan penjualan aset pada berbagai pasar; 8) kapasitas penyedia standby facilities untuk memenuhi komitmen; 9) dampak dari penurunan kualitas aset, gangguan operasional, atau gangguan di pasar terhadap arus kas di masa datang dan kepercayaan pasar. 89 SE 11/16/DPNP 2009 Romawi II.C.5.e Sistem informasi Manajemen Risiko harus mendukung pelaksanaan pelaporan kepada Bank Indonesia. Sistem Pengendalian Intern
90 SE 11/16/DPNP 2009 Romawi II.D.1 Bank harus memiliki sistem pengendalian intern yang memadai untuk memastikan integritas, efektifitas, dan kewajaran dari proses Manajemen Risiko untuk Risiko Likuiditas. 91 SE 11/16/DPNP 2009 Romawi II.D.2 Bank harus melakukan evaluasi atas penerapan Manajemen Risiko untuk Risiko Likuiditas. Evaluasi dimaksud meliputi: a. kepatuhan pada kebijakan dan prosedur pengelolaan likuiditas; b. kecukupan sistem dan prosedur untuk melakukan identifikasi, pengukuran, pemantauan, dan pengendalian Risiko Likuiditas; c. efektivitas proses pelaksanaan identifikasi, pengukuran, pemantauan, dan pengendalian Risiko Likuiditas secara berkala; d. integritas laporan sistem informasi Manajemen Risiko. 92 SE 11/16/DPNP 2009 Romawi II.D.3 Kelemahan dan permasalahan yang teridentifikasi dalam evaluasi sebagaimana dimaksud pada angka 2 (Paragraf 91 dalam kodifikasi ini) harus dilaporkan kepada pihak yang bertanggung jawab dan ditindaklanjuti. 93 SE 11/16/DPNP 2009 Romawi II.D.4 Bank harus memastikan bahwa pihak yang melakukan evaluasi sebagaimana dimaksud pada angka 2 (Paragraf 91 dalam kodifikasi ini) adalah pihak intern yang independen dan memiliki kompetensi yang memadai. 94 Pelaporan
SE 11/16/DPNP 2009 Romawi IV.A Dalam rangka pemantauan likuiditas, Bank wajib menyampaikan kepada Bank Indonesia: 1. Laporan Proyeksi Arus Kas dalam rangka pengelolaan posisi likuiditas dan Risiko Likuiditas harian sebagaimana dimaksud pada butir II.C.4.b.4 (Paragraf 81 ayat 4 dalam kodifikasi ini); dan 2. Laporan Profil Maturitas, baik dalam rupiah maupun valuta asing. 43 Manajemen Paragraf Sumber Regulasi 95 SE 11/16/DPNP 2009 Romawi IV.B Manajemen Risiko Ketentuan
Laporan Proyeksi Arus Kas sebagaimana dimaksud pada huruf A angka 1
(Paragraf 94 angka 1 dalam kodifikasi ini) mencakup data proyeksi arus kas selama 1 (satu) minggu berikutnya yang dipetakan secara harian. Laporan tersebut disampaikan secara mingguan yaitu setiap hari Jumat sesuai dengan format internal Bank. Contoh: Bank wajib menyampaikan Laporan Proyeksi Arus Kas pada hari Jumat tanggal 3 Juli 2009 yang mencakup proyeksi arus kas hari Senin tanggal 6 Juli 2009 sampai dengan hari Jumat tanggal 10 Juli 2009. Dalam hal hari Jumat jatuh pada hari libur, maka laporan disampaikan pada hari kerja sebelumnya. 96 SE 11/16/DPNP 2009 Romawi IV.C 97 SE 11/16/DPNP 2009 Huruf D Angka Romawi IV.D 98 SE 11/16/DPNP 2009 Romawi IV.E 99 SE 11/16/DPNP 2009 Romawi IV.F 100 SE 11/16/DPNP 2009 Romawi IV.G Format Laporan Proyeksi Arus Kas sebagaimana dimaksud pada huruf B (Paragraf 95 dalam kodifikasi ini) mencakup paling kurang pos‐pos neraca dan pos‐pos rekening administratif yang memiliki transaksi yang signifikan sesuai dengan karakteristik, kegiatan usaha, dan kompleksitas Bank serta harus dilakukan secara konsisten. Bank Indonesia dapat meminta Bank untuk menyesuaikan format Laporan Proyeksi Arus Kas yang disampaikan kepada Bank Indonesia. Dalam hal Bank mengubah format Laporan Proyeksi Arus Kas yang disampaikan kepada Bank Indonesia, Bank wajib menginformasikan alasan perubahan tersebut kepada Bank Indonesia. Laporan Profil Maturitas sebagaimana dimaksud pada huruf A angka 2 (Paragraf 94 angka 2 dalam kodifikasi ini) disampaikan kepada Bank Indonesia secara bulanan dengan cakupan dan format sesuai Lampiran 1 Surat Edaran Bank Indonesia ini (Lampiran 7 dalam kodifikasi ini). Laporan tersebut disampaikan sesuai dengan ketentuan Bank Indonesia yang mengatur mengenai Laporan Berkala Bank Umum. Laporan Proyeksi Arus Kas dan Laporan Profil Maturitas disampaikan kepada Bank Indonesia secara on‐line yaitu: 1. Laporan Proyeksi Arus Kas melalui Laporan Kantor Pusat Bank Umum (LKPBU); 2. Laporan Profil Maturitas melalui Laporan Berkala Bank Umum (LBBU). Selama Laporan Proyeksi Arus Kas belum dapat disampaikan secara on‐line melalui LKPBU, laporan tersebut wajib disampaikan secara off‐line oleh Bank kepada Bank Indonesia dengan alamat sebagai berikut: 1. Direktorat Pengawasan Bank, Jl. M.H. Thamrin No. 2, Jakarta 10350, bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat Bank Indonesia; atau 2. Kantor Bank Indonesia, bagi Bank yang berkantor pusat di luar wilayah kerja Kantor Pusat Bank Indonesia. Selama format Laporan Profil Maturitas dalam LBBU belum sesuai dengan format pada Lampiran 1 Surat Edaran Bank Indonesia ini (Lampiran 7 dalam kodiifkasi ini), Bank tetap wajib menyampaikan Laporan Profil Maturitas sesuai dengan ketentuan Bank Indonesia yang mengatur mengenai Laporan Berkala Bank Umum yang berlaku. 44 Manajemen Paragraf Sumber Regulasi 101 SE 11/16/DPNP 2009 Romawi IV.H 102 103 Manajemen Risiko Ketentuan
Selain penyampaian laporan yang diwajibkan sebagaimana dimaksud pada huruf A (Paragraf 94 dalam kodifikasi ini), Bank Indonesia dalam kondisi tertentu dapat mewajibkan Bank untuk menyampaikan laporan yang terkait dengan penerapan Manajemen Risiko untuk Risiko Likuiditas diluar waktu yang ditetapkan dan/atau laporan lain selain yang wajib disampaikan secara berkala. Contoh laporan lain selain yang wajib disampaikan secara berkala adalah laporan proyeksi arus kas dalam rangka pengukuran Risiko sebagaimana dimaksud pada butir II.C.2.b.1 (Paragraf 69 ayat 2 angka 1 dalam kodifikasi ini) dan laporan stress testing sebagaimana dimaksud pada butir II.C.2.b.4 (Paragraf 69 ayat 2 angka 4 dalam kodifikasi ini). Sanksi
SE 11/16/DPNP 2009 Romawi V 1. Pelanggaran terhadap dalam Surat Keputusan Direksi Bank Indonesia Nomor 27/164/KEP/DIR tanggal 31 Maret 1995 tentang Penggunaan Teknologi Sistem Informasi oleh Bank tetap berlaku.dikenakan sanksi sesuai Peraturan tentang Penerapan Manajemen Risiko bagi Bank Umum. 2. Pelanggaran terhadap pemenuhan kewajiban penyampaian laporan, selain dikenakan sanksi sesuai ayat 1, juga dikenakan sanksi sesuai ketentuan Bank Indonesia yang mengatur mengenai Laporan Kantor Pusat Bank Umum dan Laporan Berkala Bank Umum yang berlaku. Penerapan Manajemen Risiko pada Bank yang Melakukan Aktivitas Berkaitan dengan Reksa Dana Umum
SE 7/19/DPNP 2005 Romawi I 1. Dengan semakin meningkatnya keterlibatan Bank dalam aktivitas yang berkaitan dengan Reksa Dana maka disadari bahwa aktivitas tersebut selain memberikan manfaat juga berpotensi menimbulkan berbagai risiko bagi Bank diantaranya risiko pasar, risiko kredit, risiko likuiditas, risiko hukum dan risiko reputasi. Sehubungan dengan itu, Bank perlu meningkatkan penerapan manajemen risiko secara efektif dengan melakukan prinsip kehati‐hatian dan melindungi kepentingan nasabah. 2. Aktivitas Bank yang berkaitan dengan Reksa Dana meliputi Bank sebagai investor, Bank sebagai Agen Penjual Efek Reksa Dana dan Bank sebagai Bank Kustodian. Aktivitas Bank sebagai investor merupakan aktivitas investasi Bank dalam Reksa Dana termasuk dalam hal Bank sebagai sponsor. Yang dimaksud dengan sponsor adalah aktivitas investasi Bank dalam Reksa Dana sebagai penempatan dana awal dengan jumlah dan jangka waktu sesuai ketentuan otoritas pasar modal. Aktivitas Bank sebagai Agen Penjual Efek Reksa Dana adalah aktivitas Bank dalam rangka mewakili perusahaan efek sebagai Manajer Investasi untuk menjual efek Reksa Dana yang dilaksanakan oleh pegawai Bank yang memiliki izin Wakil Agen Penjual Reksa Dana untuk menjual efek Reksa Dana. Aktivitas Bank sebagai Bank Kustodian Reksa Dana merupakan aktivitas Bank dalam melaksanakan penitipan kolektif, menyimpan dan 45 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
mengadministrasikan kekayaan Reksa Dana, mengadministrasikan/ mencatat mutasi unit penyertaan serta jasa lain termasuk menghitung Nilai Aktiva Bersih, menyelesaikan transaksi, menerima dividen, bunga dan hak‐hak lain. 3. Bank yang melakukan aktivitas yang berkaitan dengan Reksa Dana wajib mematuhi ketentuan yang berlaku di bidang perbankan dan pasar modal. 4. Dalam rangka melindungi kepentingan nasabah, Bank yang bertindak sebagai Agen Penjual Efek Reksa Dana wajib menerapkan transparansi informasi produk dengan menyediakan informasi baik secara tertulis maupun lisan. Penerapan Manajemen Risiko
Penerapan Manajemen Risiko secara Umum 104 SE 7/19/DPNP 2005 Romawi II.A.1 105 SE 7/19/DPNP 2005 Romawi II.A.2 106 SE 7/19/DPNP 2005 Romawi II.B.1 Dalam rangka mendukung penerapan manajemen risiko yang efektif, hal‐
hal utama yang wajib dilakukan Bank adalah: 1. memastikan bahwa Manajer Investasi yang menjadi mitra dalam aktivitas yang berkaitan dengan Reksa Dana telah terdaftar dan memperoleh izin dari otoritas pasar modal sesuai ketentuan yang berlaku; 2. memastikan bahwa Reksa Dana yang bersangkutan telah memperoleh pernyataan efektif dari otoritas pasar modal sesuai ketentuan yang berlaku; 3. mengidentifikasi, mengukur, memantau dan mengendalikan risiko yang timbul atas aktivitas yang berkaitan dengan Reksa Dana. Dalam rangka melaksanakan prinsip kehati‐hatian, Bank dilarang melakukan tindakan baik secara langsung maupun tidak langsung yang mengakibatkan Reksa Dana memiliki karakteristik seperti produk Bank misalnya tabungan atau deposito. Tindakan–tindakan yang dilarang tersebut antara lain meliputi: 1. memberikan jaminan atas: 1) pelunasan (redemption) Reksa Dana; 2) kepastian besarnya imbal hasil Reksa Dana termasuk nilai aktiva bersih, baik secara langsung maupun tidak langsung; 2. membuat komitmen untuk membeli sewaktu‐waktu (stand by buyer) aset yang mendasari Reksa Dana baik secara langsung maupun tidak langsung; 3. melakukan intervensi pengelolaan portofolio efek Reksa Dana yang dilakukan oleh Manajer Investasi. Penerapan Manajemen Risiko untuk masing‐masing Aktivitas
Bank sebagai Investor Reksa Dana
1. Sesuai Peraturan tentang Penilaian Kualitas Aktiva Bank Umum, Bank dilarang memiliki Aktiva Produktif dalam bentuk saham dan atau Surat Berharga yang dihubungkan atau dijamin dengan aset tertentu yang mendasari (underlying reference asset) yang berbentuk saham. Dengan 46 Manajemen Paragraf Sumber Regulasi 107 Manajemen Risiko Ketentuan
demikian maka Bank dilarang melakukan investasi pada Reksa Dana dengan aset yang mendasari berbentuk saham. 2. Dalam melakukan investasi dalam Reksa Dana, Bank wajib memastikan bahwa investasi tersebut memenuhi ketentuan kehati‐hatian yang berlaku antara lain: 1) memperhatikan kemampuan dan kondisi keuangan Bank serta kebijakan, strategi, dan pedoman investasi internal Bank; 2) pada saat pembelian, Reksa Dana yang bersangkutan memenuhi kriteria lancar sesuai ketentuan yang berlaku tentang Penilaian Kualitas Aktiva Bank Umum; 3) tidak melanggar Batas Maksimum Pemberian Kredit sesuai dengan ketentuan yang berlaku; 4) diperhitungkan dalam kewajiban penyediaan modal minimum dengan memperhitungkan risiko pasar. 3. Dalam rangka memastikan kualitas Reksa Dana digolongkan lancar sebagaimana dimaksud dalam ayat 2 angka 2),sebelum melakukan aktivitas sebagai investor, Bank wajib melakukan analisis yang memadai terhadap Reksa Dana dan Manajer Investasi yang meliputi: 1) kualitas (peringkat) Reksa Dana atau kualitas (peringkat) aset yang mendasari Reksa Dana; 2) kualitas Manajer Investasi dengan penekanan antara lain terhadap: a) kinerja, likuiditas dan reputasi Manajer Investasi; dan b) diversifikasi portofolio yang dimiliki Manajer Investasi. 4. Bank wajib memantau eksposur risiko dari aktivitas Bank yang berkaitan dengan Reksa Dana secara berkala yakni dengan memantau perkembangan dan pengelolaan Reksa Dana maupun melakukan penilaian terhadap Manajer Investasi sebagai berikut: 1) pemantauan terhadap perkembangan dan pengelolaan Reksa Dana yang dilakukan oleh Manajer Investasi antara lain meliputi: a) konsistensi kebijakan portofolio Reksa Dana dengan prospektus;
b) kualitas (peringkat) Reksa Dana atau kualitas (peringkat) aset yang mendasari Reksa Dana; c) pengelolaan likuiditas; d) prinsip keterbukaan kepada publik; e) penerapan prinsip kehati‐hatian sesuai ketentuan otoritas pasar modal. 2) penilaian terhadap Manajer Investasi dilakukan dengan penekanan antara lain hal‐hal sebagai berikut: a) kinerja, likuiditas dan reputasi Manajer Investasi; dan b) diversifikasi portofolio yang dimiliki Manajer Investasi. Bank sebagai Agen Penjual Efek Reksa Dana SE 7/19/DPNP 2005 Romawi II.B.2 1. Bank hanya dapat melakukan aktivitas sebagai Agen Penjual Efek Reksa Dana melalui pegawai Bank yang telah memperoleh izin sebagai Wakil Agen Penjual Efek Reksa Dana sesuai ketentuan yang berlaku. Pegawai Bank yang menjadi Wakil Agen Penjual Efek Reksa Dana tersebut harus 47 Manajemen Paragraf Sumber Regulasi 2.
3.
4.
5.
6.
Manajemen Risiko Ketentuan
mendapat penugasan secara khusus dari Bank yang bertindak untuk dan atas nama Bank. Bank maupun pegawai Bank yang telah memperoleh izin sebagai Wakil Agen Penjual Efek Reksa Dana dilarang bertindak sebagai Sub Agen Penjual Efek Reksa Dana atau mengalihkan fungsi Agen Penjual Efek Reksa Dana kepada pihak lain. Reksa Dana yang dapat dijual oleh Bank sebagai Agen Penjual Efek Reksa Dana adalah Reksa Dana yang sesuai dengan definisi dan kriteria yang diatur dalam ketentuan yang berlaku tentang Pasar Modal di Indonesia. Aktivitas sebagai Agen Penjual Efek Reksa Dana wajib didasarkan pada suatu perjanjian tertulis yang menyatakan secara jelas fungsi, wewenang dan tanggung jawab Bank sebagai Agen Penjual Efek Reksa Dana. Dalam menyusun perjanjian kerjasama tertulis, Bank wajib memperhatikan antara lain hal‐hal sebagai berikut: 1) kejelasan hak dan kewajiban masing – masing pihak; 2) penetapan secara jelas jangka waktu perjanjian kerjasama; 3) penetapan klausula yang memuat kondisi batalnya perjanjian kerjasama termasuk klausula yang memungkinkan Bank menghentikan kerjasama sebelum berakhirnya jangka waktu perjanjian; 4) kejelasan penyelesaian hak dan kewajiban masing‐masing pihak apabila perjanjian kerjasama berakhir; 5) dalam rangka memenuhi kewajiban Bank Kustodian memberikan konfirmasi atas investasi nasabah, perlu ditetapkan klausula mengenai kewajiban Agen Penjual Efek Reksa Dana untuk memberikan informasi data nasabah kepada Manajer Investasi maupun Bank Kustodian serta klausula bahwa seluruh data nasabah hanya dapat digunakan untuk kepentingan aktivitas yang berkaitan dengan Reksa Dana yang bersangkutan. Bank wajib melakukan pemantauan terhadap perkembangan dan pengelolaan Reksa Dana maupun melakukan penilaian terhadap Manajer Investasi sebagai berikut: 1) pemantauan terhadap perkembangan dan pengelolaan Reksa Dana yang dilakukan oleh Manajer Investasi antara lain meliputi: a) konsistensi kebijakan portofolio Reksa Dana dengan prospektus; b) pengelolaan likuiditas. 2) penilaian terhadap Manajer Investasi dilakukan dengan penekanan antara lain hal‐hal sebagai berikut: a) kinerja, likuiditas dan reputasi Manajer Investasi; dan b) diversifikasi portofolio yang dimiliki Manajer Investasi. Dalam rangka melindungi kepentingan nasabah, Bank wajib: 1) melakukan analisis dalam memilih Reksa Dana yang akan ditawarkan antara lain dengan mempertimbangkan kinerja, reputasi dan keahlian Manajer Investasi serta karakteristik Reksa Dana seperti reputasi pihak yang bertindak sebagai sponsor Reksa Dana, kebijakan investasi, komposisi, diversifikasi dan kualitas (peringkat) Reksa Dana atau kualitas (peringkat) aset yang mendasari Reksa Dana; 48 Manajemen Paragraf Sumber Regulasi 7.
8.
9.
10.
108 Manajemen Risiko Ketentuan
2) memberikan informasi yang transparan kepada nasabah sesuai ketentuan yang berlaku mengenai Transparansi Informasi Produk Bank dan Penggunaan Data Pribadi Nasabah. Dalam memberikan informasi yang transparan kepada nasabah sebagaimana dimaksud dalam ayat 6 angka 2), Bank wajib menyediakan informasi tertulis dalam bahasa Indonesia secara lengkap dan jelas serta menyampaikannya kepada nasabah secara tertulis dan atau lisan, antara lain: 1) Reksa Dana merupakan produk pasar modal dan bukan produk Bank serta Bank tidak bertanggung jawab atas segala tuntutan dan risiko atas pengelolaan portofolio Reksa Dana; 2) investasi pada Reksa Dana bukan merupakan bagian dari simpanan pihak ketiga pada Bank dan tidak termasuk dalam cakupan obyek program penjaminan Pemerintah atau penjaminan simpanan; 3) informasi mengenai Manajer Investasi yang mengelola Reksa Dana; 4) informasi mengenai Bank Kustodian serta penjelasan bahwa konfirmasi atas investasi nasabah akan diterbitkan oleh Bank Kustodian tersebut; 5) jenis Reksa Dana dan risiko yang melekat pada produk Reksa Dana termasuk kemungkinan kerugian nilai investasi yang akan diderita oleh nasabah akibat berfluktuasinya Nilai Aktiva Bersih sesuai kondisi pasar dan kualitas aset yang mendasari; 6) kebijakan investasi serta komposisi portofolio; 7) biaya‐biaya yang timbul berkaitan dengan investasi pada Reksa Dana. Pada setiap dokumen terkait dengan Reksa Dana yang dibuat oleh Bank, wajib dicantumkan secara jelas dan mudah dibaca kalimat: 1) “Bank sebagai Agen Penjual Efek Reksa Dana”; 2) “Reksa Dana adalah produk pasar modal dan bukan merupakan produk Bank sehingga tidak dijamin oleh Bank serta tidak termasuk dalam cakupan obyek program penjaminan Pemerintah atau penjaminan simpanan”. Bank sebagai Agen Penjual Efek Reksa Dana dilarang menerbitkan konfirmasi atas investasi yang dilakukan oleh nasabah. Dalam aktivitas sebagai Agen Penjual Efek Reksa Dana, Bank wajib menerapkan prinsip mengenal nasabah (know your customer principles) sebagaimana diatur dalam ketentuan yang berlaku. Dalam hal ini Bank wajib menetapkan kebijakan dan prosedur penerapan prinsip mengenal nasabah bagi nasabah pembeli Reksa Dana yang mencakup: 1) penerimaan nasabah termasuk verifikasi yang lebih ketat (enhanced due diligence) untuk high risk customer; 2) identifikasi nasabah; 3) pemantauan transaksi nasabah; 4) identifikasi dan pelaporan transaksi keuangan yang mencurigakan. Bank sebagai Bank Kustodian
SE 7/19/DPNP 2005 Romawi II.B.3 1. Aktivitas sebagai Bank Kustodian wajib didasarkan pada suatu perjanjian tertulis. Dalam menyusun perjanjian kerjasama tertulis, Bank wajib memperhatikan antara lain hal‐hal sebagai berikut: 49 Manajemen Paragraf Sumber Regulasi 2.
3.
4.
5.
6.
Manajemen Risiko Ketentuan
1) kejelasan hak dan kewajiban masing–masing pihak; 2) kejelasan penyelesaian hak dan kewajiban masing‐masing pihak apabila perjanjian kerjasama berakhir; 3) dalam rangka memenuhi kewajiban Bank Kustodian memberikan konfirmasi atas investasi nasabah, perlu ditetapkan klausula mengenai hak Bank Kustodian untuk memperoleh data nasabah dari Manajer Investasi maupun Agen Penjual Efek Reksa Dana serta klausula bahwa seluruh data nasabah hanya dapat digunakan untuk kepentingan aktivitas yang berkaitan dengan Reksa Dana yang bersangkutan. Sesuai ketentuan otoritas pasar modal, Bank Kustodian dilarang terafiliasi dengan Manajer Investasi. Bank wajib mengadministrasikan dan mencatat efek yang dititipkan secara tersendiri dan terpisah dari aset dan kewajiban Bank. Dalam menerbitkan konfirmasi atas investasi nasabah, Bank sebagai Bank Kustodian dilarang mendelegasikan kewajibannya kepada pihak lain termasuk kepada Agen Penjual Efek Reksa Dana. Dalam melakukan aktivitas sebagai Bank Kustodian, Bank wajib menerapkan prinsip mengenal nasabah sebagaimana diatur dalam ketentuan yang berlaku. Dalam hal Bank yang melakukan aktivitas sebagai Bank Kustodian juga melakukan aktivitas sebagai Agen Penjual Efek Reksa Dana, maka Bank wajib memastikan antara lain hal‐hal sebagai berikut: 1) mempunyai dan menerapkan sistem pengendalian intern secara efektif, termasuk adanya prinsip pemisahan fungsi (segregation of duties) antara lain pejabat dan pegawai Bank yang berfungsi sebagai Bank Kustodian berada pada unit kerja yang terpisah dari unit kerja yang berfungsi sebagai Agen Penjual Efek Reksa Dana; 2) memastikan adanya verifikasi dan kaji ulang secara berkala dan berkesinambungan terhadap penanganan kelemahan‐kelemahan yang bersifat material pada aktivitas sebagai Bank Kustodian dan Agen Penjual Efek Reksa Dana serta terdapat tindakan untuk memperbaiki penyimpangan‐penyimpangan yang terjadi; 3) menghindari pemberian wewenang dan tanggung jawab yang dapat menimbulkan berbagai benturan kepentingan (conflict of interest); 4) pihak yang menandatangani atau mengesahkan konfirmasi atas investasi nasabah adalah hanya dari unit kerja Bank Kustodian. Dalam hal ini Bank wajib menunjuk dan menetapkan pejabat dan atau pegawai yang berwenang melakukan hal tersebut. 109 SE 11/36/DPNP 2009 Romawi IV.A Rencana dan Pelaporan
Bank yang pertama kali akan melaksanakan aktivitas sebagai Agen Penjual Efek Reksa Dana atau Bank Kustodian 1. Bank wajib mencantumkan rencana pelaksanaan aktivitas baru sebagai Agen Penjual Efek Reksa Dana atau Bank Kustodian dalam Rencana Bisnis Bank untuk tahun yang sama dengan rencana pelaksanaan aktivitas tersebut. Kewajiban menyusun Rencana Bisnis Bank mengacu pada ketentuan Bank Indonesia yang berlaku mengenai rencana bisnis Bank Umum. Format pencantuman rencana pelaksanaan aktivitas baru 50 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
sebagai Agen Penjual Efek Reksa Dana atau Bank Kustodian dalam Rencana Bisnis Bank mengacu pada Lampiran 1 Surat Edaran Bank Indonesia ini (Lampiran 10 dalam kodifikasi ini). 2. Bank yang telah memenuhi ketentuan pada ayat 1, wajib menyampaikan laporan pelaksanaan aktivitas baru kepada Bank Indonesia yang terdiri dari: a. Laporan rencana pelaksanaan aktivitas baru sebagai Agen Penjual Efek Reksa Dana atau Bank Kustodian; dan b. Laporan realisasi pelaksanaan aktivitas baru sebagai Agen Penjual Efek Reksa Dana atau Bank Kustodian. 3. Penyampaian laporan rencana pelaksanaan aktivitas baru sebagai Agen Penjual Efek Reksa Dana atau Bank Kustodian, sebagaimana dimaksud pada ayat 2 huruf a dilakukan sebagai berikut: a. Untuk aktivitas sebagai Agen Penjual Efek Reksa Dana terdiri dari 2 (dua) laporan, yaitu: 1) Laporan Rencana Menjadi Agen Penjual Efek Reksa Dana a) Laporan wajib disampaikan paling lambat 60 (enam puluh) hari sebelum pelaksanaan aktivitas sebagai Agen Penjual Efek Reksa Dana. b) Laporan sebagaimana dimaksud pada huruf a), paling kurang memuat hal‐hal terkait dengan aktivitas sebagai Agen Penjual Efek Reksa Dana sebagai berikut: (1) informasi umum yang antara lain memuat tujuan, gambaran potensial nasabah, analisa kekuatan, kelemahan, peluang, dan ancaman (Strengths, Weaknesses, Opportunities, Threats/SWOT); (2) analisa manfaat dan biaya (cost and benefits analysis); (3) prosedur pelaksanaan (standard operating procedure/SOP), organisasi dan kewenangan pelaksanaan dengan memperhatikan pengaturan penerapan Manajemen Risiko pada butir II.B.2 (Paragraf 107 dalam kodifikasi ini). (4) kesiapan sumber daya manusia paling kurang mengacu pada persyaratan pada butir II.B.2.a (Paragraf 107 ayat 1 dalam kodifikasi ini); (5) kesiapan Bank terkait sistem informasi; (6) rencana kebijakan dan prosedur terkait dengan penerapan program Anti Pencucian Uang dan Pencegahan Pendanaan Teroris (APU dan PPT) dengan mengacu pada pengaturan butir II.B.2.j (Paragraf 107 ayat 10 dalam kodifikasi ini); (7) hasil analisa aspek hukum dan aspek kepatuhan; (8) penilaian Bank atas kesiapan sebagai Agen Penjual Efek Reksa Dana; dan (9) Surat Tanda Terdaftar sebagai Agen Penjual Efek Reksa Dana yang dikeluarkan oleh Badan Pengawas Pasar Modal dan Lembaga Keuangan (BAPEPAM‐LK). Dalam hal Surat Tanda Terdaftar belum diterbitkan, maka Bank dapat menyampaikan kepada Bank 51 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Indonesia fotokopi bukti permohonan pendaftaran sebagai Agen Penjual Efek Reksa Dana kepada BAPEPAM‐LK. Selanjutnya, setelah BAPEPAM‐LK menerbitkan Surat Tanda Terdaftar sebagai Agen Penjual Efek Reksa Dana, maka Bank wajib menyampaikannya kepada Bank Indonesia sebagai kelengkapan dokumen. c) Format Laporan Rencana Menjadi Agen Penjual Efek Reksa Dana mengacu pada Lampiran 2 Surat Edaran Bank Indonesia ini (Lampiran 11 dalam kodifikasi ini). d) Bank Indonesia menyampaikan surat penegasan terhadap rencana menjadi Agen Penjual Efek Reksa Dana setelah seluruh persyaratan dipenuhi dan dokumen pelaporan diterima secara lengkap oleh Bank Indonesia. 2) Laporan Rencana Penjualan Efek Reksa Dana a) Laporan wajib disampaikan paling lambat 45 (empat puluh lima) hari sebelum pelaksanaan penjualan efek Reksa Dana. b) Laporan sebagaimana dimaksud pada huruf a), paling kurang memuat hal‐hal terkait dengan rencana penjualan efek Reksa Dana sebagai berikut: (1) informasi umum terkait efek Reksa Dana paling kurang meliputi: jenis, bentuk Reksa Dana, dan komposisi underlying asset, serta prospektus; (2) penilaian terhadap manajer investasi mengacu pada butir II.A.1.a dan butir II.B.2.e.2) (Paragraf 104 ayat 1 dan Paragraf 107 ayat 5 angka 2 dalam kodifikasi ini); (3) dokumen dalam rangka transparansi kepada nasabah yang meliputi antara lain: brosur, leaflet, dan/atau formulir aplikasi dengan mengacu pada butir II.B.2.f.2), butir II.B.2.g, dan butir II.B.2.h (Paragraf 107 ayat 6 angka 2), ayat 7, dan ayat 8 dalam kodifikasi ini); (4) Manajemen Risiko yang meliputi identifikasi, pengukuran, pemantauan, dan pengendalian terhadap Risiko yang melekat atas aktivitas sebagai Agen Penjual Efek Reksa Dana; (5) dokumen yang terkait dengan aktivitas sebagai Agen Penjual Efek Reksa Dana antara lain draft final perjanjian antara Bank dengan pihak‐pihak yang terkait dengan penjualan efek Reksa Dana dengan mengacu pada butir II.B.2.d (Paragraf 107 ayat 4 dalam kodifikasi ini); (6) Surat Efektif Pernyataan Pendaftaran Reksa Dana yang dikeluarkan oleh BAPEPAM‐LK. Dalam hal Surat Efektif Pernyataan Pendaftaran Reksa Dana belum diterbitkan, maka Bank dapat menyampaikan kepada Bank Indonesia fotokopi bukti permohonan Pernyataan Pendaftaran Reksa Dana kepada BAPEPAM‐LK. Selanjutnya, setelah BAPEPAM‐
LK menerbitkan Surat Efektif Pernyataan Pendaftaran 52 Manajemen Paragraf Sumber Regulasi 110 Manajemen Risiko Ketentuan
Reksa Dana, maka Bank wajib menyampaikannya kepada Bank Indonesia sebagai kelengkapan dokumen. c) Format Laporan Rencana Penjualan Efek Reksa Dana mengacu pada Lampiran 3 Surat Edaran Bank Indonesia ini (Lampiran 12 dalam kodifikasi ini). d) Bank Indonesia menyampaikan surat penegasan terhadap rencana penjualan efek Reksa Dana setelah seluruh persyaratan dipenuhi dan dokumen pelaporan diterima secara lengkap oleh Bank Indonesia. Surat penegasan Bank Indonesia tersebut merupakan penegasan bahwa dari aspek Manajemen Risiko, Bank dinilai mampu untuk menerapkan Manajemen Risiko yang memadai atas aktivitas penjualan efek Reksa Dana. e) Setelah mendapat surat penegasan dari Bank Indonesia terhadap rencana menjadi Agen Penjual Efek Reksa Dana sebagaimana dimaksud dalam butir IV.A.3.a.1).d) Paragraf 109 ayat 3 huruf a.1).d) dalam kodifikasi ini) dan mendapat surat penegasan dari Bank Indonesia terhadap rencana penjualan efek Reksa Dana sebagaimana dimaksud dalam butir IV.A.3.a.2).d) (Paragraf 109 ayat 3 huruf a.2).d) dalam kodifikasi ini), Bank dapat melakukan aktivitas sebagai Agen Penjual Efek Reksa Dana. b. Untuk aktivitas sebagai Bank Kustodian, penyampaian laporan rencana pelaksanaan aktivitas baru sebagai Bank Kustodian dilakukan sebagai berikut: (1) Laporan wajib disampaikan paling lambat 60 (enam puluh) hari sebelum pelaksanaan aktivitas. (2) Laporan sebagaimana dimaksud pada angka 1), paling kurang memuat informasi dan penjelasan dalam rangka pelaporan produk atau aktivitas baru sesuai peraturan mengenai pelaporan produk atau aktivitas baru. Bank yang sudah pernah melaksanakan aktivitas dan terdaftar atau memperoleh izin sebagai Agen Penjual Efek Reksa Dana atau Bank Kustodian SE 11/36/DPNP 2009 Romawi IV.B Untuk aktivitas sebagai Agen Penjual Efek Reksa Dana a. Bank wajib memenuhi ketentuan yang terkait dengan Laporan Rencana Penjualan Efek Reksa Dana apabila penerbitan Reksa Dana memerlukan Pernyataan Pendaftaran Reksa Dana dari Badan Pengawas Pasar Modal dan Lembaga Keuangan. b. Penyampaian laporan sebagaimana dimaksud pada huruf a berupa Laporan Rencana Penjualan Efek Reksa Dana dilakukan sebagai berikut: 1) Laporan wajib disampaikan paling lambat 45 (empat puluh lima) hari sebelum pelaksanaan penjualan efek Reksa Dana 2) Laporan sebagaimana dimaksud pada angka 1), paling kurang memuat hal‐hal terkait dengan rencana penjualan efek Reksa Dana sebagaimana dimaksud dalam butir IV.A.3.a.a.2).b) (Paragraf 109 ayat 3 huruf a.2).b) dalam kodifikasi ini). 53 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
3) Format Laporan Rencana Penjualan Efek Reksa Dana mengacu pada Lampiran 3 Surat Edaran Bank Indonesia ini (Lampiran 12 dalam kodifikasi ini). c. Persyaratan pelaksanaan aktivitas sebagai Agen Penjual Efek Reksa Dana mengacu pada pengaturan sebagaimana dimaksud pada butir IV.A.3.a.2).d) dan butir IV.A.3.a.2).e) Paragraf 109 ayat 3 huruf a.2).d) dan huruf a.2).e) dalam kodifikasi ini). Untuk aktivitas sebagai Bank Kustodian Perubahan atau pengembangan terhadap aktivitas Bank sebagai kustodian tidak termasuk dalam kriteria aktivitas baru, sehingga pengembangan aktivitas sebagai Bank Kustodian oleh Bank yang sudah pernah melakukan aktivitas tersebut tidak terkena kewajiban pelaporan rencana pelaksanaan aktivitas baru. Laporan Realisasi Pelaksanaan Aktivitas Bank sebagai Agen Penjual Efek Reksa Dana atau Bank Kustodian SE 11/36/DPNP 2009 Romawi IV.C 1. Laporan wajib disampaikan paling lambat 7 (tujuh) hari kerja setelah aktivitas baru tersebut direalisasikan pelaksanaannya. 2. Yang dimaksud dengan tanggal realisasi adalah tanggal sejak aktivitas tersebut mulai ditawarkan oleh Bank dan sudah dapat dibeli atau dimanfaatkan oleh nasabah. 3. Laporan realisasi pelaksanaan aktivitas baru paling kurang memuat informasi dan penjelasan sebagai berikut: a) jenis dan tanggal realisasi aktivitas baru oleh Bank; dan b) kesesuaian realisasi aktivitas baru dengan laporan rencana pelaksanaan aktivitas baru yang telah disampaikan. Laporan Berkala terkait Pelaksanaan Aktivitas sebagai Agen Penjual Efek Reksa Dana dan/atau Bank Kustodian SE 11/36/DPNP 2009 Romawi IV.D 1. Bank yang telah melaksanakan aktivitas sebagai Agen Penjual Efek Reksa Dana dan/atau Bank Kustodian wajib menyusun laporan berkala terkait pelaksanaan aktivitas sebagai Agen Penjual Efek Reksa Dana secara bulanan. 2. Laporan berkala terkait pelaksanaan aktivitas sebagai Agen Penjual Efek Reksa Dana sebagaimana dimaksud pada angka 1 disampaikan kepada Bank Indonesia secara berkala setiap triwulan yang meliputi posisi setiap akhir bulan untuk periode 3 (tiga) bulan berturut‐turut dengan menggunakan format Lampiran 4 (Lampiran 13 dalam kodifikasi ini) paling lambat tanggal 15 (lima belas) setelah akhir bulan ke 3 (tiga) dari triwulan yang bersangkutan. Untuk pertama kali laporan tersebut disampaikan untuk posisi akhir bulan Maret 2010. Dalam hal tanggal 15 (lima belas) adalah hari libur maka laporan disampaikan paling lambat pada 1 (satu) hari kerja berikutnya setelah hari libur dimaksud. 3. Laporan berkala terkait pelaksanaan aktivitas sebagai Bank Kustodian mengacu pada ketentuan yang berlaku mengenai Laporan Kantor Pusat Bank Umum. 111 112 54 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
Alamat Penyampaian Laporan 113 SE 11/36/DPNP 1. Laporan rencana pelaksanaan aktivitas baru sebagaimana dimaksud 2009 dalam butir IV.A dan butir IV.B (Paragraf 109, Paragraf 110 dalam Romawi IV.E kodifikasi ini), serta laporan realisasi pelaksanaan aktivitas baru sebagaimana dimaksud dalam butir IV.C (Paragraf 111 dalam kodifikasi ini) disampaikan kepada Bank Indonesia dengan alamat: a. Direktorat Pengawasan Bank terkait, Jl. M.H. Thamrin No.2, Jakarta 10350, bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat Bank Indonesia; atau b. Kantor Bank Indonesia setempat, bagi Bank yang berkantor pusat di luar wilayah kerja Kantor Pusat Bank Indonesia. 2. Laporan Berkala terkait Pelaksanaan Aktivitas sebagai Agen Penjual Efek Reksa Dana a. Laporan berkala terkait pelaksanaan aktivitas sebagai Agen Penjual Efek Reksa Dana sebagaimana dimaksud pada butir IV.D (Paragraf 112 dalam kodifikasi ini) disampaikan secara on‐line melalui Laporan Kantor Pusat Bank Umum (LKPBU). b. Selama format Laporan sebagaimana dimaksud pada huruf a belum dapat disampaikan secara on‐line melalui LKPBU, laporan tersebut wajib disampaikan secara off‐line oleh Bank kepada Bank Indonesia dengan alamat sebagai berikut: 1) Direktorat Pengawasan Bank, Jl. M.H. Thamrin No. 2, Jakarta 10350, bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat Bank Indonesia; atau 2) Kantor Bank Indonesia setempat, bagi Bank yang berkantor pusat di luar wilayah kerja Kantor Pusat Bank Indonesia, dengan tembusan kepada Direktorat Penelitian dan Pengaturan Perbankan c.q. Biro Stabilitas Sistem Keuangan, Jl. M.H. Thamrin No. 2, Jakarta 10350. Lain‐Lain
1.
SE 7/19/DPNP 2005 Romawi V 2.
3.
114 Dalam rangka meningkatkan efektivitas penerapan manajemen risiko, maka Bank yang telah melakukan aktivitas yang berkaitan dengan Reksa Dana wajib melakukan evaluasi dan audit terhadap aktivitas tersebut atas pemenuhan penerapan manajemen risiko sebagaimana dimaksud pada angka II (Paragraf 104, Paragraf 105, Paragraf 106, Paragraf 107 dan Paragraf 108 dalam kodifikasi ini). Apabila diperlukan, Bank Indonesia dapat melakukan pemeriksaan terhadap efektifitas dan kesesuaian penerapan manajemen risiko khususnya untuk aktivitas yang berkaitan dengan Reksa Dana yang dilakukan Bank. Dalam hal Bank memasarkan Reksa Dana yang diterbitkan oleh Manajer Investasi yang merupakan anak perusahaan, Bank wajib pula menerapkan manajemen risiko secara efektif dengan mengacu kepada ketentuan tentang Prinsip Kehati‐hatian dalam Kegiatan Penyertaan Modal. 55 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Sanksi
115 SE 11/36/DPNP 2009 Romawi VI.1 Pelanggaran atas penerapan Manajemen Risiko sebagaimana dimaksud dalam angka II (Paragraf 104, Paragraf 105, Paragraf 106, Paragraf 107 dan Paragraf 108 dalam kodifikasi ini) dapat dikenakan sanksi administratif antara lain berupa: a. teguran tertulis; b. penurunan tingkat kesehatan Bank; c. pembekuan kegiatan usaha tertentu; d. pencantuman anggota pengurus, pegawai Bank, dan/atau pemegang saham dalam daftar pihak‐pihak yang mendapat predikat tidak lulus dalam penilaian kemampuan dan kepatutan atau dalam catatan administrasi Bank Indonesia sebagaimana diatur dalam ketentuan Bank Indonesia yang berlaku; dan/atau e. pemberhentian pengurus Bank. 116 SE 11/36/DPNP 2009 Romawi VI.2 Pelanggaran atas kewajiban pelaporan sebagaimana dimaksud dalam
butir IV.A.3, butir IV.B.1.b, butir IV.C.1 dan butir IV.E.2.b (Paragraf 109 ayat 3, Paragraf 110 huruf b, Paragraf 111 ayat 1 dan Paragraf 113 ayat 2 huruf b dalam kodifikasi ini) dikenakan sanksi sebagaimana dalam Peraturan tentang Penerapan Manajemen Risiko bagi Bank Umum. 117 SE 12/35/DPNP 2010 Romawi I Manajemen Risiko pada Bank yang Melakukan Aktivitas Kerjasama dengan Perusahaan Asuransi (Bancassurance) Umum
1. Yang dimaksud dengan aktivitas kerjasama pemasaran antara Bank dengan perusahaan asuransi yang selanjutnya disebut bancassurance dalam Surat Edaran Bank Indonesia ini adalah aktivitas kerjasama antara Bank dengan perusahaan asuransi dalam rangka memasarkan produk asuransi melalui Bank. Aktivitas kerjasama ini diklasifikasikan dalam 3 (tiga) model bisnis sebagai berikut: a.
Referensi Referensi merupakan suatu aktivitas kerjasama pemasaran produk asuransi, dengan Bank berperan hanya mereferensikan atau merekomendasikan suatu produk asuransi kepada nasabah. Peran Bank dalam melakukan pemasaran terbatas sebagai perantara dalam meneruskan informasi produk asuransi dari perusahaan asuransi mitra Bank kepada nasabah atau menyediakan akses kepada perusahaan asuransi untuk menawarkan produk asuransi kepada nasabah. Aktivitas ini dapat dibedakan sebagai berikut: 1) Referensi dalam Rangka Produk Bank Bank mereferensikan atau merekomendasikan produk asuransi yang menjadi persyaratan untuk memperoleh suatu produk perbankan kepada nasabah. Persyaratan keberadaan produk asuransi tersebut dimaksudkan untuk kepentingan dan perlindungan kepada Bank atas Risiko terkait dengan produk yang diterbitkan atau jasa yang dilaksanakan oleh Bank kepada nasabah. Dalam hal ini, pada hakikatnya produk asuransi juga untuk melindungi debitur sebagai pihak tertanggung meskipun dalam polis dicantumkan banker’s clause karena Bank sebagai 56 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
penerima manfaat.
Contoh produk Bank yang mempersyaratkan keberadaan asuransi adalah: a) Kredit pemilikan rumah yang disertai kewajiban asuransi kebakaran terhadap rumah atau bangunan yang dibiayai oleh Bank serta asuransi jiwa terhadap nasabah peminjam (debitur). b) Kredit kendaraan bermotor yang disertai kewajiban asuransi kerugian terhadap kendaraan bermotor yang dibiayai oleh Bank. c) Kredit kepada pegawai/pensiunan yang disertai kewajiban asuransi jiwa terhadap nasabah peminjam (debitur). 2) Referensi Tidak dalam Rangka Produk Bank Bank mereferensikan produk asuransi yang tidak menjadi persyaratan untuk memperoleh suatu produk perbankan kepada nasabah. Aktivitas kerjasama pemasaran ini dapat dilakukan melalui: a) Bank meneruskan brosur, leaflet, dan/atau hal‐hal sejenis yang memuat penawaran, informasi, dan/atau penjelasan dari perusahaan asuransi mitra Bank atas suatu produk asuransi kepada nasabah Bank, baik secara tatap muka maupun melalui surat dan media elektronik, termasuk menggunakan website Bank. Dalam hal nasabah memerlukan informasi lebih lanjut atau bermaksud membeli produk asuransi yang direferensikan melalui pemasaran tersebut, maka Bank harus mengarahkan nasabah ke perusahaan asuransi mitra Bank yang bersangkutan. b) Bank menyediakan ruangan di dalam lingkungan kantor Bank yang dapat digunakan oleh perusahaan asuransi mitra Bank dalam rangka pemasaran produk asuransi (in‐branch sales) kepada nasabah. c) Bank menyediakan data nasabah yang dapat digunakan oleh perusahaan asuransi mitra Bank dalam rangka pemasaran produk asuransi dengan mematuhi prinsip‐
prinsip sebagaimana dimaksud dalam butir II.B.3 (Paragraf 121 dalam kodifikasi ini). b. Kerjasama Distribusi Kerjasama distribusi merupakan suatu aktivitas kerjasama pemasaran produk asuransi, dengan Bank berperan memasarkan produk asuransi dengan cara memberikan penjelasan mengenai produk asuransi tersebut secara langsung kepada nasabah. Penjelasan dari Bank dapat dilakukan melalui tatap muka dengan nasabah dan/atau dengan menggunakan sarana komunikasi (telemarketing), termasuk melalui surat, media elektronik, dan website Bank. Peran Bank tidak hanya sebagai perantara dalam meneruskan informasi produk asuransi dari perusahaan asuransi mitra Bank kepada nasabah, tetapi Bank juga memberikan penjelasan secara langsung yang terkait dengan produk asuransi seperti karakteristik, 57 Manajemen Paragraf Sumber Regulasi 2.
3.
4.
5.
118 Manajemen Risiko Ketentuan
manfaat, dan Risiko dari produk yang dipasarkan dan meneruskan minat atau permintaan pembelian produk asuransi dari nasabah kepada perusahaan asuransi mitra Bank. c. Integrasi Produk Integrasi produk merupakan suatu aktivitas kerjasama pemasaran produk asuransi, dengan Bank berperan memasarkan produk asuransi kepada nasabah dengan cara melakukan modifikasi dan/atau menggabungkan produk asuransi dengan produk Bank. Aktivitas kerjasama pemasaran ini dilakukan oleh Bank dengan cara menawarkan atau menjual bundled product kepada nasabah melalui tatap muka dan/atau dengan menggunakan sarana komunikasi (telemarketing), termasuk melalui surat, media elektronik, dan website Bank. Dengan demikian, peran Bank tidak hanya meneruskan dan memberikan penjelasan yang terkait dengan produk asuransi kepada nasabah, tetapi juga menindaklanjuti aplikasi nasabah atas bundled product, termasuk yang terkait dengan produk asuransi kepada perusahaan asuransi mitra Bank. Bank yang melakukan bancassurance harus mematuhi ketentuan terkait yang berlaku di bidang perbankan dan perasuransian, antara lain ketentuan Bank Indonesia yang terkait dengan manajemen risiko, rahasia bank, transparansi informasi produk, dan ketentuan otoritas pengawas perasuransian terutama yang terkait dengan bancassurance. Dalam melakukan bancassurance, Bank dilarang menanggung atau turut menanggung Risiko yang timbul dari produk asuransi yang ditawarkan. Segala Risiko dari produk asuransi tersebut menjadi tanggungan perusahaan asuransi mitra Bank. Bank yang melakukan bancassurance hanya dibolehkan memasarkan produk asuransi yang dinyatakan dalam perjanjian kerjasama antara Bank dengan perusahaan asuransi mitra Bank. Produk asuransi yang dinyatakan dalam perjanjian kerjasama adalah produk yang telah tercatat di Bapepam dan LK, serta telah memperoleh persetujuan dari Menteri Keuangan untuk dipasarkan melalui bancassurance. Penerapan Manajemen Risiko dalam Rangka Bancassurance
Umum
SE 12/35/DPNP 2010 Romawi II.A 1. Bank yang melakukan bancassurance wajib menerapkan Manajemen Risiko sesuai dengan ketentuan yang berlaku, mengingat Bank menghadapi berbagai Risiko yang melekat pada aktivitas tersebut, terutama Risiko Hukum dan Risiko Reputasi. 2. Bank wajib menyusun kebijakan dan prosedur secara tertulis mengenai bancassurance dengan berpedoman pada ketentuan Penerapan Manajemen Risiko Bagi Bank Umum. 58 Manajemen Paragraf Sumber Regulasi 119 Manajemen Risiko Ketentuan
Penerapan Manajemen Risiko dalam Beberapa Aspek Utama pada Bancassurance Penetapan Perusahaan Asuransi yang Menjadi Mitra Bank SE 12/35/DPNP 2010 Romawi II.B.1 Bank wajib melakukan penilaian terhadap perusahaan asuransi yang menjadi mitra Bank dalam bancassurance dengan memenuhi paling kurang hal‐hal sebagai berikut: 1. Perusahaan asuransi yang dapat dijadikan mitra Bank adalah perusahaan asuransi yang memiliki tingkat solvabilitas paling kurang sesuai dengan ketentuan yang berlaku berdasarkan data terkini dari Bapepam dan LK. 2. Bank wajib memastikan bahwa perusahaan asuransi mitra Bank telah memperoleh surat persetujuan dari Menteri Keuangan untuk melakukan bancassurance. 3. Bank wajib memantau, menganalisa, dan mengevaluasi kinerja dan/atau reputasi perusahaan asuransi mitra Bank secara berkala paling kurang sekali dalam 1 (satu) tahun atau sewaktu‐waktu apabila terjadi perubahan kondisi kinerja dan/atau reputasi perusahaan asuransi mitra Bank yang diketahui melalui berbagai sumber informasi. 4. Bank wajib mengakhiri kerjasama sebelum berakhirnya perjanjian atau tidak memperpanjang kerjasama apabila: 1) perusahaan asuransi mitra Bank tidak lagi memenuhi persyaratan sebagaimana dimaksud pada ayat 1; dan/atau 2) menurunnya reputasi perusahaan asuransi mitra Bank yang secara signifikan akan mempengaruhi profil Risiko Bank. 5. Dalam hal Bank mengakhiri kerjasama sebagaimana dimaksud pada ayat 4, Bank wajib: 1) menghentikan pemasaran produk asuransi yang dimuat dalam perjanjian kerjasama dimaksud; dan 2) menginformasikan kelanjutan penyelesaian hak dan kewajiban nasabah sehubungan dengan produk asuransi yang telah dipasarkan. 6. Dalam hal produk asuransi yang dipasarkan terkait dengan unit link, Bank wajib memastikan bahwa perusahaan asuransi mitra Bank memenuhi persyaratan sebagai berikut: 1) telah memenuhi persyaratan terkait unit link sebagaimana diatur dalam Peraturan Menteri Keuangan yang mengatur mengenai penyelenggaraan usaha perusahaan asuransi dan perusahaan reasuransi; 2) mencatat dan mengelola secara khusus kekayaan dan kewajiban perusahaan asuransi mitra Bank yang bersumber dari investasi produk unit link; dan 3) melaksanakan hal‐hal lain yang diperlukan agar dana investasi yang dipercayakan oleh nasabah dikelola secara optimal, profesional, dan independen. Penyusunan Perjanjian Kerjasama
SE 12/35/DPNP 2010 Romawi II.B.2 Perjanjian kerjasama dalam rangka bancassurance antara Bank dengan perusahaan asuransi mitra Bank, wajib disusun dengan menggunakan Bahasa Indonesia dan paling kurang memuat hal‐hal sebagai berikut: 1. Kejelasan hak dan kewajiban masing‐masing pihak (Bank dan 120 59 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
perusahaan asuransi mitra Bank), terutama adanya klausula yang menyatakan tanggung jawab masing‐masing pihak dalam melakukan bancassurance, antara lain sebagai berikut: 1) Untuk model bisnis Referensi dan/atau Kerjasama Distribusi, Bank tidak menanggung Risiko atas produk asuransi yang dijual. 2) Untuk model bisnis Integrasi Produk, Bank hanya bertanggung jawab sebatas Risiko dari produk Bank. Klausula khusus terkait dengan model bisnis dan/atau fitur khusus produk asuransi untuk model bisnis Kerjasama Distribusi terkait produk unit link, yaitu antara lain perusahaan asuransi mitra Bank harus mencatat dan mengelola secara khusus kekayaan dan kewajiban perusahaan asuransi yang bersumber dari investasi produk unit link. Setiap perjanjian bancassurance hanya dapat memuat secara spesifik 1 (satu) model bisnis untuk 1 (satu) produk asuransi atau 1 (satu) bundled product yang dipasarkan. Jangka waktu perjanjian. Kejelasan tanggung jawab masing‐masing pihak yaitu Bank atau perusahaan asuransi mitra Bank dalam melaksanakan kewajiban customer due diligence (CDD) atau know your customer (KYC). Penetapan klausula yang memuat kondisi yang menyebabkan berakhirnya perjanjian kerjasama, termasuk klausula yang memungkinkan Bank menghentikan kerjasama sebelum berakhirnya jangka waktu perjanjian sebagaimana dimaksud dalam butir II.B.1.d (Paragraf 119 ayat 4 dalam kodifikasi ini) atau atas perintah Bank Indonesia sebagaimana dimaksud dalam butir II.B.4.g (Paragraf 122 ayat 7 dalam kodifikasi ini). Kejelasan penyelesaian hak dan kewajiban masing‐masing pihak (Bank atau perusahaan asuransi mitra Bank), termasuk kewajiban kepada pihak tertanggung dan/atau pihak penerima manfaat, apabila perjanjian kerjasama berakhir, baik karena berakhirnya jangka waktu perjanjian kerjasama maupun karena dihentikan sebagaimana dimaksud pada ayat 6. Kejelasan batas tanggung jawab Bank dan perusahaan asuransi mitra Bank pada setiap produk yang dipasarkan apabila terjadi perselisihan dengan nasabah. Kewajiban para pihak untuk menjaga kerahasiaan data nasabah. 2.
3.
4.
5.
6.
7.
8.
9.
121 Penggunaan Data Nasabah SE 12/35/DPNP 2010 Romawi II.B.3 1. Dalam menggunakan data nasabah, Bank harus memenuhi ketentuan: 1) mengenai persyaratan dan tata cara pemberian perintah atau izin tertulis membuka rahasia bank. 2) Peraturan Bank Indonesia yang mengatur mengenai transparansi produk bank dan penggunaan data pribadi nasabah. Berdasarkan ketentuan di atas, dalam bancassurance, Bank hanya dapat memberikan data pribadi nasabah kepada perusahaan asuransi mitra Bank sepanjang telah terdapat persetujuan tertulis dari nasabah. 2. Dalam melakukan bancasssurance, Bank dan perusahaan asuransi mitra Bank wajib menerapkan customer due dilligence atau know your customer principle sesuai ketentuan yang berlaku. 60 Manajemen Paragraf Sumber Regulasi 122 SE 12/35/DPNP 2010 Romawi II.B.4 Manajemen Risiko Ketentuan
Penerapan Prinsip Perlindungan Nasabah 1. Dalam melakukan bancassurance, Bank wajib menerapkan prinsip‐
prinsip transparansi dengan menjelaskan secara lisan dan tertulis kepada nasabah antara lain sebagai berikut: 1) Asuransi yang dipasarkan bukan merupakan produk dan tanggung jawab Bank serta tidak termasuk dalam cakupan program penjaminan sebagaimana dimaksud dalam ketentuan perundang‐
undangan mengenai lembaga penjamin simpanan, meskipun terdapat logo dan/atau atribut Bank dalam brosur atau dokumen pemasaran (marketing) lainnya yang digunakan dalam model bisnis Kerjasama Distribusi dan Integrasi Produk. 2) Penggunaan logo dan/atau atribut Bank lainnya dalam brosur atau dokumen pemasaran (marketing) lainnya yang digunakan dalam model bisnis Kerjasama Distribusi dan Integrasi Produk sebagaimana dimaksud pada angka 1) hanya bertujuan untuk menunjukkan adanya kerjasama antara Bank dengan perusahaan asuransi mitra Bank. 3) Karakteristik asuransi mencakup antara lain fitur, Risiko, manfaat, biaya‐biaya asuransi, persyaratan kepesertaan, dan prosedur klaim oleh nasabah. 2. Bank harus memastikan bahwa logo dan atribut Bank tidak dicantumkan dalam polis asuransi. 3. Untuk asuransi yang bersifat kolektif, setiap nasabah harus memperoleh tanda kepesertaan. Dalam hal Bank yang menerbitkan tanda kepesertaan, maka tanda kepesertaan tersebut harus menyatakan secara jelas bahwa Risiko asuransi menjadi tanggung jawab perusahaan asuransi. 4. Bank harus transparan kepada nasabah mengenai biaya‐biaya yang harus dibayar, termasuk apabila dalam premi asuransi yang harus dibayar terdapat perhitungan komponen biaya lain seperti biaya provisi, biaya administrasi, dan/atau komisi yang diberikan perusahaan asuransi mitra Bank kepada Bank dalam rangka bancassurance. 5. Khusus untuk bancassurance melalui model bisnis Kerjasama Distribusi dan Integrasi Produk:
1) Bank harus memastikan bahwa nasabah telah memahami penjelasan mengenai manfaat dan Risiko produk baik yang dilakukan secara lisan maupun tertulis sebagaimana tercantum dalam dokumen pemasaran/ penawaran. 2) Pernyataan nasabah bahwa nasabah telah memahami manfaat dan Risiko produk sebagaimana dimaksud pada angka 1) harus dituangkan dalam dokumen tertulis yang terpisah, dibuat dalam bahasa Indonesia, dan ditandatangani oleh nasabah dengan menggunakan tanda tangan basah. 3) Bank harus memastikan bahwa pihak nasabah yang menandatangani dokumen tertulis merupakan pihak yang berwenang menandatangani. 6. Bank harus memastikan bahwa produk asuransi yang dipasarkan telah memenuhi peraturan perundang‐undangan yang berlaku di bidang perasuransian antara lain: 1) kriteria produk dan/atau persyaratan produk; dan 61 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
2) kewajiban pelaporan produk. 7. Bank Indonesia dapat memerintahkan Bank untuk menghentikan bancassurance dalam hal berdasarkan evaluasi Bank Indonesia, bancassurance yang dilaksanakan: 1) tidak sesuai dengan rencana pelaksanaan aktivitas baru berupa bancassurance yang dilaporkan kepada Bank Indonesia dan/atau persetujuan bancassurance dari Menteri Keuangan dan/atau pencatatan produk asuransi dari Bapepam dan LK; 2) berpotensi berdampak negatif terhadap kinerja Bank; dan/atau 3) tidak sesuai dengan ketentuan yang berlaku. 8. Sejak Bank diperintahkan menghentikan bancassurance sebagaimana dimaksud pada ayat 7, maka Bank: 1) dilarang melanjutkan pemasaran atas produk bancassurance dimaksud; dan 2) bertanggung jawab kepada nasabah sebatas kewajiban Bank sesuai perjanjian antara Bank dengan perusahaan asuransi mitra Bank. Penerapan Manajemen Risiko pada Setiap Model Bisnis Bancassurance Referensi 123 SE 12/35/DPNP 2010 Romawi II.C.1 Selain penerapan Manajemen Risiko dalam beberapa aspek utama bancassurance sebagaimana dimaksud dalam butir II.B (Paragraf 119 sampai dengan 122 dalam kodifikasi ini), Bank harus memenuhi beberapa persyaratan tertentu pada model bisnis Referensi sebagai berikut: 1. Dalam melakukan model bisnis berupa Referensi dalam Rangka Produk Bank sebagaimana dimaksud dalam butir I.1.a.1) (Paragraf 117 ayat 1 huruf a angka 1) dalam kodifikasi ini): 1) Untuk mengakomodasi kebebasan nasabah Bank dalam memilih produk asuransi yang diwajibkan, Bank harus menawarkan pilihan produk asuransi dimaksud paling kurang dari 3 (tiga) perusahaan asuransi mitra Bank yang 1 (satu) diantaranya dapat merupakan Pihak Terkait Bank. Definisi Pihak Terkait mengacu pada ketentuan Bank Indonesia mengenai Batas Maksimum Pemberian Kredit. 2) Produk asuransi yang direferensikan terbatas hanya merupakan produk asuransi yang bersifat proteksi/perlindungan dan produk asuransi tersebut merupakan persyaratan untuk memperoleh suatu produk perbankan bagi nasabah. 2. Dalam melakukan model bisnis berupa Referensi Tidak dalam Rangka Produk Bank sebagaimana dimaksud dalam butir I.1.a.2) (Paragraf 117 ayat 1 huruf a angka 2) dalam kodifikasi ini) yang dilakukan antara lain melalui in‐branch sales sebagaimana dimaksud dalam butir I.1.a.2)b) (Paragraf 117 ayat 1 huruf a angka 2)b) dalam kodifikasi ini), perusahaan asuransi mitra Bank yang menggunakan ruangan/counter/meja yang disediakan Bank harus tetap menunjukkan nama perusahaan asuransi mitra Bank secara jelas pada ruangan/counter/meja yang digunakan. Selain itu, pegawai asuransi yang melakukan pemasaran pada ruangan/counter/meja tersebut harus tetap menggunakan identitas pegawai perusahaan asuransi mitra Bank dan tidak diperkenankan memakai seragam yang sama dengan pegawai Bank. 62 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
Kerjasama Distribusi 124 SE 12/35/DPNP Selain penerapan Manajemen Risiko dalam beberapa aspek utama 2010 bancassurance sebagaimana dimaksud dalam butir II.B (Paragraf 119 Romawi II.C.2 sampai dengan 122 dalam kodifikasi ini), Bank harus memenuhi beberapa persyaratan tertentu pada model bisnis Kerjasama Distribusi sebagai berikut: 1. Bank harus memiliki unit kerja khusus bancassurance atau pejabat yang ditunjuk khusus untuk bertanggungjawab atas bancassurance di Bank, dengan cakupan tugas melakukan pengembangan, pemasaran, dan pengelolaan bancassurance. 2. Pegawai Bank yang menangani bancassurance wajib memenuhi kualifikasi sesuai ketentuan yang berlaku antara lain: 1) memiliki sertifikasi keagenan yang dikeluarkan oleh asosiasi terkait; dan 2) telah memperoleh pelatihan mengenai produk asuransi yang akan dipasarkan. 3. Pegawai marketing atau customer service Bank dapat melakukan penawaran awal produk asuransi dalam bancassurance namun penjelasan lengkap atas produk asuransi tersebut dan tindak lanjut penawaran harus dilakukan oleh Pegawai Bank yang memenuhi persyaratan sebagaimana dimaksud pada ayat 2. 4. Bank bertanggung jawab hanya sampai dengan penawaran produk asuransi, sedangkan proses underwriting, penerbitan polis, perubahan polis, klaim, dan perbuatan lain yang terkait dengan produk asuransi tetap harus dilaksanakan dan merupakan tanggung jawab dari perusahaan asuransi mitra Bank. 5. Bank hanya diperkenankan melakukan Kerjasama Distribusi terkait dengan: 1) produk asuransi yang bersifat proteksi/perlindungan; dan/atau 2) produk unit link. 6. Bank yang melakukan Kerjasama Distribusi produk unit link sebagaimana dimaksud dalam ayat 5 angka 2) wajib memenuhi persyaratan sebagai berikut: 1) memiliki unit kerja khusus bancassurance; 2) mencantumkan klausula dalam perjanjian kerjasama yang menyatakan bahwa perusahaan asuransi mitra Bank bertanggung jawab secara penuh atas pengelolaan dana investasi produk unit link tersebut; 3) menyatakan secara jelas bahwa pengelolaan dana investasi produk unit link dilakukan dan merupakan tanggung jawab perusahaan asuransi dalam dokumen yang memberikan penjelasan manfaat dan Risiko produk unit link sebagaimana dimaksud dalam butir II.B.4.e.1) (Paragraf 123 ayat 5 angka 1) dalam kodifikasi ini); 4) Produk yang dipasarkan terbatas pada produk unit link yang memiliki strategi investasi pasar uang dan/atau strategi investasi pendapatan tetap sesuai ketentuan mengenai produk unit link yang diatur oleh otoritas pengawas perasuransian. 5) Selain memiliki kualifikasi sebagaimana dimaksud dalam ayat 2, pegawai Bank yang menangani produk unit link wajib memiliki keahlian dan sertifikasi keagenan khusus produk unit link. 63 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
6) Kegiatan pemasaran produk unit link harus dilakukan oleh pegawai Bank. 7. Bank wajib menjaga kecukupan jumlah pegawai yang memiliki sertifikasi keagenan di setiap kantor yang melakukan bancassurance. Integrasi Produk 125 SE 12/35/DPNP 2010 Romawi II.C.3 Selain penerapan Manajemen Risiko dalam beberapa aspek utama bancassurance sebagaimana dimaksud dalam butir II.B (Paragraf 119 sampai dengan 122 dalam kodifikasi ini), Bank harus memenuhi beberapa persyaratan tertentu pada model bisnis Integrasi Produk sebagai berikut: 1. Budled Product yang dipasarkan tetap harus dapat dipisahkan atas bagian produk yang menjadi Risiko Bank dan bagian produk yang menjadi Risiko perusahaan asuransi mitra Bank sehingga Risiko masing‐
masing dapat diidentifikasi, diukur, dipantau dan dikendalikan. 2. Bank hanya diperkenankan melakukan Integrasi Produk terkait dengan produk asuransi yang bersifat proteksi/perlindngan. 3. Dalam hal pemasaran dilakukan menggunakan sarana komunikasi seperti melalui surat, media elektronik, dan website Bank, maka sara tersebut hanya sebagai media pengenalan awal mengenai bundled product dan proses selanjutnya tetap harus melalui tatap muka dengan nasabah untuk penjelasan lebih lanjut sebagaimana dimaksud pada ayat 4. 4. Bank wajib menjelaskan kepada nasabah secara lisan dan tertulis atas bagian produk yang menjadi Risiko Bank dan bagian yang menjadi Risiko perusahaan asuransi mitra Bank, serta hak dan kewajiban Bank, perusahaan asuransi mitra Bank, dan nasabah. 5. Nasabah secara individual harus mendapatkan polis asuransi atau tanda bukti kepesertaan dalam hal nasabah diikutsertakan dalam produk asuransi kolektif sebagaimana dimaksud dalam butir II.B.4.c (Paragraf 122 ayat 3 dalam kodifikasi ini). 6. Bank wajib membentuk unit kerja khusus bancassurance dengan tugas melakukan pengembangan, pemasaran, dan pengelolaan bundled product. Dalam hal Bank melakukan bancassurance dengan model bisnis lainnya, maka unit kerja ini juga sekaligus menangani bancassurance dalam bentuk model bisnis lainnya tersebut. 7. Pejabat dan/atau pegawai yang tergabung dalam unit kerja khusus bancassurance wajib memenuhi kualifikasi sesuai ketentuan yang berlaku antara lain: 1) memiliki sertifikasi keagenan yang dikeluarkan oleh asosiasi terkait; dan 2) telah memperoleh pelatihan mengenai asuransi yang akan dipasarkan. 8. Bank hanya diperkenankan mulai melakukan pemasaran, apabila perusahaan asuransi mitra Bank telah memperoleh persetujuan bancassurance dengan model bisnis Integrasi Produk dari Menteri Keuangan dan/atau pencatatan bundled product dari Bapepam dan LK. 9. Masa pertanggungan asuransi paling kurang harus sama dengan jangka waktu produk yang dibeli oleh nasabah. 10. Bank wajib menjaga kecukupan jumlah pegawai yang memiliki sertifikasi keagenan di setiap kantor yang melakukan bancassurance. 64 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
11. Nama produk yang merupakan bundled product harus mencerminkan bahwa produk tersebut merupakan gabungan produk Bank dan produk asuransi. Pelaporan
Laporan Aktivitas Baru Bancassurance
126 SE 12/35/DPNP 2010 Romawi III.A.1 Bank yang pertama kali melakukan bancassurance wajib mencantumkan rencana bancassurance sebagai aktivitas baru dalam Rencana Bisnis Bank tahun yang sama dengan tahun rencana pelaksanaan aktivitas. Kewajiban menyusun Rencana Bisnis Bank mengacu pada ketentuan Bank Indonesia yang berlaku mengenai rencana bisnis bank umum. Format pencantuman laporan aktivitas baru berupa bancassurance dalam Rencana Bisnis Bank mengacu pada Lampiran 1 Surat Edaran Bank Indonesia ini (Lampiran 14 dalam kodifikasi ini). 127 SE 12/35/DPNP 2010 Romawi III.A.2 Bank yang telah memenuhi persyaratan sebagaimana dimaksud pada angka 1 (Paragraf 126 dalam kodifikasi ini) atau sebelumnya telah melakukan bancassurance, wajib menyampaikan laporan untuk setiap pelaksanaan bancassurance yang telah memenuhi kriteria aktivitas baru kepada Bank Indonesia yang terdiri dari: 1. Laporan Rencana Pelaksanaan Aktivitas Baru berupa Bancassurance; dan 2. Laporan Realisasi Pelaksanaan Aktivitas Baru berupa Bancassurance. 128 SE 12/35/DPNP 2010 Romawi III.A.3 Aktivitas berupa bancassurance ditetapkan sebagai aktivitas baru apabila memenuhi kriteria sebagai berikut: 1. Bank sebelumnya tidak pernah melakukan bancassurance; atau 2. Bank sebelumnya telah melakukan bancassurance namun dilakukan pengembangan yang mengubah atau meningkatkan Risiko tertentu bagi Bank terkait dengan bancassurance yang dilakukan, antara lain: perubahan model bisnis, perubahan perusahaan asuransi mitra, perubahan premi, perubahan manfaat, perubahan jangka waktu, perubahan nama produk, perubahan syarat, dan perubahan lainnya, yang memerlukan persetujuan dari Menteri Keuangan dan/atau pelaporan kepada Bapepam dan LK terkait dengan produk asuransi yang ditawarkan. 129 SE 12/35/DPNP 2010 Romawi III.A.4 Penyampaian Laporan Rencana Pelaksanaan Aktivitas Baru berupa bancassurance sebagaimana dimaksud pada angka 2 huruf a (Paragraf 127 angka 1 dalam kodifikasi ini) dilakukan sebagai berikut: 1. Laporan wajib disampaikan paling lambat 60 (enam puluh) hari sebelum pelaksanaan aktivitas baru berupa bancassurance. 2. Laporan sebagaimana dimaksud pada angka 1 dengan format pada Lampiran 2 Surat Edaran Bank Indonesia ini (Lampiran 15 dalam kodifikasi ini), paling kurang memuat informasi dan penjelasan sebagai berikut: 1) informasi umum yang antara lain memuat tujuan, gambaran potensial nasabah, analisa kekuatan, kelemahan, peluang, dan ancaman (Strengths, Weaknesses, Opportunities, Threats/ SWOT) bancassurance, produk asuransi yang dipasarkan serta model bisnis yang akan dilaksanakan; 65 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
penilaian dan analisa solvabilitas serta perizinan perusahaan asuransi mitra Bank; 3) analisa manfaat dan biaya (cost and benefit analysis); 4) Manajemen Risiko yang meliputi identifikasi, pengukuran, pemantauan, dan pengendalian terhadap Risiko yang melekat atas aktivitas berupa bancassurance; 5) prosedur pelaksanaan (standard operating procedure/SOP), organisasi dan kewenangan pelaksanaan bancassurance dengan memperhatikan pengaturan mengenai penerapan manajemen risiko; 6) kesiapan unit kerja khusus bancassurance dan/atau pejabat yang bertanggung jawab atas bancassurance serta kesiapan sumber daya manusia pemasaran bancassurance; 7) hasil analisa aspek hukum dan aspek kepatuhan mengenai bancassurance; 8) kesiapan sistem informasi Bank terkait bancassurance; 9) kebijakan dan prosedur terkait dengan penerapan program Anti Pencucian Uang dan Pencegahan Pendanaan Teroris (APU dan PPT); 10) dokumen yang terkait dengan aktivitas berupa bancassurance antara lain konsep perjanjian kerjasama dengan perusahaan asuransi mitra Bank; 11) dokumen dalam rangka transparansi kepada nasabah yang meliputi antara lain brosur, leaflet, dan/atau formulir aplikasi; dan 12) surat persetujuan kerjasama bancassurance dari Menteri Keuangan dan surat pernyataan pencatatan produk asuransi dari Bapepam dan LK. Dalam hal surat persetujuan dari Menteri Keuangan dan/atau surat pernyataan pencatatan dari Bapepam dan LK belum diterbitkan, Bank dapat menyampaikan kepada Bank Indonesia bukti permohonan persetujuan dan pencatatan tersebut. Setelah surat persetujuan kerjasama bancassurance dan surat pernyataan pencatatan produk asuransi telah diterbitkan, Bank wajib menyampaikannya kepada Bank Indonesia. 3. Bank dapat melaksanakan bancassurance 1 (satu) hari setelah menerima penegasan dari Bank Indonesia. Penegasan dari bank Indonesia diberikan paling lambat 60 (enam puluh) hari setelah seluruh persyaratan dipenuhi dan dokumen pelaporan diterima secara lengkap oleh Bank Indonesia termasuk surat persetujuan dan surat pencatatan yang sudah diterbitkan sebagaimana dimaksud pada ayat 2 angka 12). 2)
130 SE 12/35/DPNP 2010 Romawi III.A.5 Dalam hal Bank belum melakukan aktivitas baru berupa bancassurance setelah melampaui jangka waktu 6 (enam) bulan sejak tanggal surat penegasan dari Bank Indonesia maka surat penegasan dimaksud dinyatakan tidak berlaku dan Bank harus menyampaikan kembali Laporan Rencana Pelaksanaan Aktivitas Baru berupa Bancassurance sesuai ketentuan berlaku. 66 Manajemen Paragraf Sumber Regulasi 131 SE 12/35/DPNP 2010 Romawi III.A.6 Manajemen Risiko Ketentuan
Laporan Realisasi Pelaksanaan Aktivitas Baru berupa Bancassurance sebagaimana dimaksud pada angka 2 huruf b (Paragraf 127 angka 2 dalam kodifikasi ini) wajib disampaikan paling lambat 7 (tujuh) hari kerja setelah pelaksanaan aktivitas baru berupa bancassurance. Laporan Realisasi Pelaksanaan Aktivitas Baru berupa Bancassurance paling kurang memuat informasi dan penjelasan sebagai berikut: a. Nama dan jenis produk serta model bisnis yang dilakukan; b. tanggal pelaksanaan aktivitas baru yaitu tanggal produk asuransi pertama kali mulai dipasarkan dan dapat dimanfaatkan oleh nasabah; c. kesesuaian aktivitas baru berupa bancassurance yang dilaksanakan dengan Laporan Rencana Pelaksanaan Aktivitas Baru berupa Bancassurance yang telah disampaikan. 132 133 134 SE12/35/DPNP 2010 Romawi III.A.7 Bank dinyatakan telah merealisasikan aktivitas baru berupa bancassurance pada saat Bank sudah memasarkan produk asuransi dan fungsi Bank dalam bancassurance sudah dapat dimanfaatkan oleh nasabah. Laporan Berkala Bancassurance
SE 12/35/DPNP 2010 Romawi III.B.1 SE 12/35/DPNP 2010 Romawi III.B.2 Bank yang melakukan bancassurance wajib menyusun Laporan Berkala Bancassurance secara bulanan. Laporan Berkala Bancassurance sebagaimana dimaksud pada angka 1 (Paragraf 133 dalam kodifikasi ini) disampaikan kepada Bank Indonesia setiap 3 (tiga) bulan atau triwulanan yang meliputi posisi setiap akhir bulan untuk periode 3 (tiga) bulan berturut‐turut dengan menggunakan format sesuai Lampiran 3 Surat Edaran Bank Indonesia ini (Lampiran 16 dalam kodifikasi ini). 135 136 SE 12/35/DPNP 2010 Romawi III.B.3 Penyampaian Laporan Berkala Bancassurance sebagaimana dimaksud pada angka 2 (Paragraf 134 dalam kodifikasi ini) dilakukan paling lambat 15 (lima belas) hari setelah akhir bulan ke‐3 (tiga) dari triwulan yang bersangkutan. Yang dimaksud akhir triwulan adalah akhir bulan Maret, Juni, September, dan Desember. Dalam hal tanggal 15 (lima belas) adalah hari libur maka laporan disampaikan paling lambat pada 1 (satu) hari kerja berikutnya setelah hari libur dimaksud. Penyampaian Laporan SE 12/35/DPNP 2010 Romawi III.C.1 Laporan Rencana Pelaksanaan Aktivitas Baru berupa Bancassurance sebagaimana dimaksud dalam butir III.A.2.a (Paragraf 127 angka 1 dalam kodifikasi ini) dan Laporan Realisasi Pelaksanaan Aktivitas Baru berupa Bancassurance sebagaimana dimaksud dalam butir III.A.2.b (Paragraf 127 angka 2 dalam kodifikasi ini) disampaikan kepada Bank Indonesia dengan alamat: a. Direktorat Pengawasan Bank terkait, Jl. M.H. Thamrin No. 2, Jakarta 10350, bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat Bank Indonesia; atau b. Kantor Bank Indonesia setempat, bagi Bank yang berkantor pusat di luar wilayah kerja Kantor Pusat Bank Indonesia. 67 Manajemen Paragraf Sumber Regulasi 137 SE 12/35/DPNP 2010 Romawi III.C.2 Manajemen Risiko Ketentuan
Laporan Berkala Bancassurance sebagaimana dimaksud dalam butir III.B.1
(Paragraf 133 dalam kodifikasi ini) disampaikan secara on‐line melalui Laporan Kantor Pusat Bank Umum (LKPBU) kepada Bank Indonesia dengan mengacu pada ketentuan Bank Indonesia mengenai Laporan Kantor Pusat Bank Umum. 138 SE 12/35/DPNP 2010 Romawi III.C.3 Selama Laporan Berkala Bancassurance belum dapat disampaikan secara on‐line melalui LKPBU, laporan tersebut wajib disampaikan secara off‐line kepada Bank Indonesia dengan alamat sebagai berikut: a. Direktorat Pengawasan Bank terkait, Jl. M.H. Thamrin No.2, Jakarta 10350, bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat Bank Indoesia; atau b. Kantor Bank Indonesia setempat, bagi Bank yang berkantor pusat di luar wilayah kerja Kantor Pusat Bank Indonesia, dengan tembusan kepada Direktorat Penelitian dan Pengaturan Perbankan c.q. Biro Stabilitas Sistem Keuangan, JL. M.H. Thamrin No.2, Jakarta 10350. Tata Cara Pengenaan Sanksi
Pelanggaran atas penerapan Manajemen Risiko sebagai dimaksud dalam angka II (Paragraf 118 sampai dengan 125 dalam kodifikasi ini) dikenakan sanksi administratif sebagaimana ketentuan Penerapan Manajemen Risiko bagi Bank Umum, antara lain berupa: a. teguran tertulis; b. penurunan tingkat kesehatan Bank; c. pembekuan kegiatan usaha tertentu; d. pencantuman anggota pengurus, pegawai Bank, dan/atau pemegang saham dalam daftar pihak‐pihak yang mendapat predikat tidak lulus dalam penilaian kemampuan dan kepatutan atau dalam catatan administrasi Bank Indonesia sebagaimana diatur dalam ketentuan Bank Indonesia yang berlaku; dan/atau e. pemberhentian pengurus Bank.
139 SE 12/35/DPNP 2010 Romawi IV.1 140 SE 12/35/DPNP 2010 Romawi IV.2 Pelanggaran atas kewajiban pelaporan sebagaimana dimaksud dalam butir III.A.4 dan butir III.A.6 (Paragraf 129 dan Paragraf 131 dalam kodifikasi ini) dikenakan sanksi sebagaimana dimaksud dalam Pasal 33 (Paragraf 34 dalam kodifikasi ini) tentang Penerapan Manajemen Risiko Bagi Bank Umum. Penerapan Strategi Anti Fraud bagi bank Umum Umum
141 SE 13/28/DPNP 2011 Romawi I 1. Yang dimaksud dengan Bank Umum, yang selanjutnya disebut Bank, adalah Bank Umum yang melaksanakan kegiatan usaha secara konvensional dan/atau Bank Umum yang melaksanakan kegiatan berdasarkan prinsip syariah. 2. Yang dimaksud dengan Fraud dalam ketentuan ini adalah tindakan penyimpangan atau pembiaran yang sengaja dilakukan untuk mengelabui, menipu, atau memanipulasi Bank, nasabah, atau pihak lain, yang terjadi di lingkungan Bank dan/atau menggunakan sarana Bank sehingga mengakibatkan Bank, nasabah, atau pihak lain menderita kerugian dan/atau pelaku Fraud memperoleh keuntungan keuangan baik secara langsung maupun tidak langsung. 68 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
3. Dalam rangka memperkuat sistem pengendalian intern, khususnya untuk mengendalikan Fraud, Bank wajib memiliki dan menerapkan strategi anti Fraud yang efektif, yang paling kurang memenuhi acuan minimum dalam pedoman sebagaimana dimaksud dalam Lampiran 1 (Lampiran 17 dalam kodifikasi ini). 4. Strategi anti Fraud merupakan bagian dari kebijakan strategis yang penerapannya diwujudkan dalam sistem pengendalian Fraud (Fraud control system). 5. Dalam menyusun dan menerapkan strategi anti Fraud yang efektif, Bank wajib memperhatikan paling kurang hal‐hal sebagai berikut: a. kondisi lingkungan internal dan eksternal; b. kompleksitas kegiatan usaha; c. potensi, jenis, dan risiko Fraud; dan d. kecukupan sumber daya yang dibutuhkan. 6. Bank yang telah memiliki strategi anti Fraud, namun belum memenuhi acuan minimum dalam pedoman sebagaimana dimaksud dalam Lampiran 1 (Lampiran 17 dalam kodifikasi ini), wajib menyesuaikan dan menyempurnakan strategi anti Fraud yang telah dimiliki. 142 Penerapan Manajemen Risiko
SE 13/28/DPNP 2011 Romawi II Dalam rangka mengendalikan risiko terjadinya Fraud, Bank wajib menerapkan Manajemen Risiko sebagaimana diatur dalam ketentuan mengenai penerapan Manajemen Risiko bagi Bank Umum dengan penguatan pada beberapa aspek, antara lain sebagai berikut: 1. Pengawasan Aktif Manajemen Dalam melakukan penerapan Manajemen Risiko secara umum, kewenangan, tugas, dan tanggung jawab Dewan Komisaris dan Direksi mencakup pula hal‐hal yang terkait dengan pengendalian Fraud. Keberhasilan penerapan strategi anti Fraud secara menyeluruh sangat tergantung pada arah dan semangat dari Dewan Komisaris dan Direksi Bank. Dalam hal ini Dewan Komisaris dan Direksi Bank wajib menumbuhkan budaya dan kepedulian anti Fraud pada seluruh jajaran organisasi Bank. 2. Struktur Organisasi dan Pertanggungjawaban Dalam meningkatkan efektifitas penerapan strategi anti Fraud, Bank wajib membentuk unit atau fungsi yang bertugas menangani penerapan strategi anti Fraud dalam organisasi Bank. Pembentukan unit atau fungsi ini harus disertai dengan wewenang dan tanggung jawab yang jelas. Unit atau fungsi tersebut bertanggung jawab langsung kepada Direktur Utama serta memiliki hubungan komunikasi dan pelaporan secara langsung kepada Dewan Komisaris. 3. Pengendalian dan Pemantauan Pengendalian dan pemantauan Fraud merupakan salah satu aspek penting sistem pengendalian intern Bank dalam mendukung efektivitas penerapan strategi anti Fraud. Pemantauan Fraud perlu dilengkapi dengan sistem informasi yang memadai sesuai dengan kompleksitas dan tingkat risiko terjadinya Fraud pada Bank. Penjelasan lebih lanjut mengenai penerapan Manajemen Risiko terkait Fraud adalah sebagaimana dimaksud dalam Lampiran 1 (Lampiran 17 69 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
dalam kodifikasi ini).
143 Strategi Anti Fraud
SE 13/28/DPNP 2011 Romawi III Strategi anti Fraud yang dalam penerapannya berupa sistem pengendalian Fraud, memiliki 4 (empat) pilar sebagai berikut: 1. Pencegahan Pilar pencegahan merupakan bagian dari sistem pengendalian Fraud yang memuat langkah‐langkah dalam rangka mengurangi potensi risiko terjadinya Fraud, yang paling kurang mencakup anti Fraud awareness, identifikasi kerawanan, dan know your employee. 2. Deteksi Pilar deteksi merupakan bagian dari sistem pengendalian Fraud yang memuat langkah‐langkah dalam rangka mengidentifikasi dan menemukan Fraud dalam kegiatan usaha Bank, yang mencakup paling kurang kebijakan dan mekanisme whistleblowing, surprise audit, dan surveillance system. 3. Investigasi, Pelaporan, dan Sanksi Pilar investigasi, pelaporan, dan sanksi merupakan bagian dari sistem pengendalian Fraud yang paling kurang memuat langkah‐langkah dalam rangka menggali informasi (investigasi), sistem pelaporan, dan pengenaan sanksi atas Fraud dalam kegiatan usaha Bank. 4. Pemantauan, Evaluasi, dan Tindak Lanjut Pilar pemantauan, evaluasi, dan tindak Lanjut merupakan bagian dari sistem pengendalian Fraud yang paling kurang memuat langkah‐
langkah dalam rangka memantau dan mengevaluasi Fraud, serta mekanisme tindak lanjut. Penjelasan lebih lanjut mengenai 4 (empat) pilar penerapan strategi anti Fraud adalah sebagaimana dimaksud dalam Lampiran 1 (Lampiran 17 dalam kodifikasi ini). 144 Pelaporan dan Sanksi
SE 13/28/DPNP 1. Dalam rangka memantau penerapan strategi anti Fraud, Bank wajib menyampaikan kepada Bank Indonesia, hal‐hal sebagai berikut: 2011 a. Strategi anti Fraud sebagaimana dimaksud pada angka III (Paragraf Romawi IV.1 dan 143 dalam kodifikasi ini), paling lambat tanggal 9 Juni 2012. 2 b. Laporan penerapan strategi anti Fraud, setiap semester untuk posisi akhir bulan Juni dan Desember, paling lambat 10 (sepuluh) hari kerja setelah akhir bulan laporan, dengan format dan cakupan sebagaimana dimaksud dalam Lampiran 2 (Lampiran 18 dalam kodifikasi ini). Laporan ini harus disampaikan terhitung sejak laporan posisi akhir bulan Juni 2012. c. Setiap Fraud yang diperkirakan berdampak negatif secara signifikan perhatian publik, paling lambat 3 (tiga) hari kerja setelah Bank mengetahui terjadinya Fraud. Laporan dimaksud paling kurang memuat nama pelaku, bentuk penyimpangan/jenis Fraud, tempat kejadian, informasi singkat mengenai modus, dan indikasi kerugian. Pelaporan tersebut tidak mengurangi kewajiban Bank untuk melakukan langkah‐langkah sesuai dengan strategi anti Fraud yang dimiliki. 70 Manajemen Paragraf Sumber Regulasi 145 SE 13/28/DPNP 2011 Romawi IV.3 146 SE 13/29/DPNP 2011 Romawi I Manajemen Risiko Ketentuan
2. Strategi anti Fraud dan Laporan sebagaimana dimaksud pada ayat 1, disampaikan kepada Bank Indonesia dengan alamat: a. Direktorat Pengawasan Bank terkait, Jl. MH Thamrin No. 2, Jakarta 10350, bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat Bank Indonesia, atau b. Kantor Bank Indonesia setempat, bagi Bank yang berkantor pusat di luar wilayah kerja Kantor Pusat Bank Indonesia. Pelanggaran terhadap ketentuan ini dikenakan sanksi administratif sesuai Peraturan tentang Penerapan Manajemen Risiko bagi Bank Umum, yaitu: a. sanksi administratif sesuai Pasal 34 (Paragraf 35 dalam kodifikasi ini), dan b. untuk pelanggaran penyampaian strategi dan laporan sebagaimana dimaksud pada angka 1 (Paragraf 145 dalam kodifikasi ini), dikenakan pula sanksi kewajiban membayar sesuai Pasal 33 (Paragraf 34 dalam kodifikasi ini). Penerapan Manajemen Risiko pada Bank Umum yang Melakukan Layanan Nasabah Prima (LNP) Umum
1. Yang dimaksud dengan Bank Umum, yang selanjutnya disebut Bank, adalah Bank Umum yang melaksanakan kegiatan usaha secara konvensional dan/atau Bank Umum yang melaksanakan kegiatan usaha berdasarkan prinsip syariah. 2. Yang dimaksud dengan Layanan Nasabah Prima, yang selanjutnya disebut LNP, adalah bagian dari kegiatan usaha Bank dalam menyediakan layanan terkait produk dan/atau aktivitas dengan keistimewaan tertentu bagi Nasabah Prima. 3. Yang dimaksud dengan Nasabah Prima adalah perseorangan yang memenuhi kriteria atau persyaratan tertentu yang ditetapkan Bank untuk dapat memperoleh layanan atau menggunakan fasilitas Bank dengan keistimewaan tertentu dibandingkan dengan nasabah lain pada umumnya. 4. Dalam melakukan aktivitas LNP, Bank mengacu pada peraturan‐
peraturan antara lain sebagai berikut: a. Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum sebagaimana telah diubah dengan Peraturan Bank Indonesia Nomor 11/25/PBI/2009; b. Peraturan Bank Indonesia Nomor 7/6/PBI/2005 tentang Transparansi Informasi Produk Bank dan Penggunaan Data Pribadi Nasabah; c. Peraturan Bank Indonesia Nomor 10/17/PBI/2008 tentang Produk Bank Syariah dan Unit Usaha Syariah; d. Peraturan Bank Indonesia Nomor 11/28/PBI/2009 tentang Penerapan Program Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme bagi Bank Umum; e. Peraturan Bank Indonesia Nomor 13/23/PBI/2011 tentang Penerapan Manajemen Risiko Bagi Bank Umum Syariah dan Unit Usaha Syariah; dan 71 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Peraturan perundang‐undangan lain yang mengatur mengenai produk dan/atau aktivitas yang ditawarkan oleh Bank. 5. Bank yang melakukan LNP wajib memiliki kebijakan tertulis sebagai acuan dalam melakukan LNP yang paling kurang mencakup hal‐hal sebagai berikut: a. Persyaratan Nasabah Prima Bank menetapkan kriteria atau persyaratan tertentu yang harus dipenuhi oleh nasabah untuk dapat diperlakukan sebagai Nasabah Prima. b. Ruang lingkup produk dan/atau aktivitas Bank Bank menetapkan ruang lingkup produk dan/atau aktivitas yang dapat ditawarkan dalam LNP dengan memperhatikan ketentuan Bank Indonesia dan peraturan perundang undangan lain yang mengatur mengenai produk dan/atau aktivitas Bank. c. Cakupan keistimewaan LNP Bank menetapkan cakupan keistimewaan layanan yang dapat diberikan kepada Nasabah Prima baik berupa layanan keuangan maupun non keuangan dengan tetap memperhatikan kepatuhan terhadap ketentuan Bank Indonesia dan peraturan perundang‐undangan lain yang terkait. d. Nama layanan dan pengelompokan Nasabah Prima Dalam melakukan LNP, Bank harus menetapkan nama layanan (brand name) tertentu. Dalam hal Bank melakukan pengelompokan Nasabah Prima, maka Bank harus menetapkan secara jelas perbedaan keistimewaan layanan untuk setiap kelompok Nasabah Prima. f.
147 Penerapan Manajemen Risiko
SE 13/29/DPNP 2011 Romawi II Dalam melakukan LNP, selain menerapkan manajemen risiko secara umum sebagaimana diatur dalam ketentuan Bank Indonesia yang mengatur mengenai manajemen risiko, Bank harus menerapkan manajemen risiko pada aspek‐aspek tertentu sebagai berikut: 1. Aspek pendukung keistimewaan layanan Dalam melakukan LNP, Bank harus menerapkan manajemen risiko pada aspek pendukung keistimewaan layanan yang paling kurang mencakup : a. Sumber daya manusia Bank harus memastikan tersedianya sumber daya manusia yang memadai dari sisi kualitas dan kuantitas sesuai dengan karakteristik dan kompleksitas LNP. Hal tersebut perlu didukung dengan antara lain adanya penetapan persyaratan dan kualifikasi untuk jabatan tertentu dalam melakukan LNP, penetapan wewenang dan tanggung jawab yang jelas, penerapan prinsip know your employee, sistem remunerasi yang jelas dan transparan, dan kebijakan pengendalian risiko yang terkait dengan manajemen sumber daya manusia antara lain rekrutmen, promosi, rotasi, mutasi, dan cuti. b. Operasional LNP Dalam rangka melaksanakan kebijakan yang telah ditetapkan sebagaimana dimaksud dalam butir I.5 (Paragraf 146 ayat 5 dalam kodifikasi ini), Bank wajib memiliki prosedur tertulis untuk kegiatan 72 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
operasional LNP yang mencakup setiap produk dan/atau aktivitas yang ditawarkan kepada Nasabah Prima. Penetapan prosedur khusus pada LNP harus memenuhi ketentuan yang mengatur mengenai penerapan manajemen risiko terutama pada aspek pengendalian intern dan ketentuan yang mengatur mengenai anti pencucian uang dan pencegahan pendanaan terorisme (APU dan PPT). c. Penawaran produk dan/atau aktivitas Dalam menetapkan jenis produk dan/atau aktivitas yang akan ditawarkan dalam LNP kepada masing‐masing Nasabah Prima, Bank wajib mempertimbangkan kesesuaian spesifikasi, karakteristik, dan risiko dari produk dan/atau aktivitas yang ditawarkan dengan karakteristik dan profil Nasabah Prima. d. Teknologi informasi Dalam pengoperasian LNP, selain memiliki sumber daya manusia yang memadai, Bank perlu memiliki infrastruktur lain yang memadai antara lain berupa teknologi informasi. Dari sisi penerapan manajemen risiko dalam penggunaan teknologi informasi, Bank paling kurang harus dapat menghasilkan laporan yang akurat dan komprehensif dalam melakukan LNP baik untuk kepentingan Bank maupun Nasabah Prima serta memastikan keamanan data dan informasi yang ada. 2. Aspek transparansi, edukasi, dan perlindungan nasabah Dalam melaksanakan LNP, selain mengacu pada ketentuan Bank Indonesia yang mengatur mengenai transparansi informasi produk bank, edukasi, dan perlindungan nasabah, Bank juga wajib melaksanakan paling kurang hal‐hal sebagai berikut: a. Menjelaskan mengenai spesifikasi LNP Bank wajib menjelaskan nama LNP, masing‐masing kelompok Nasabah Prima dalam LNP dan kriterianya beserta cakupan layanan keistimewaan yang diberikan, serta karakteristik termasuk risiko dari produk dan/atau aktivitas yang ditawarkan kepada Nasabah Prima. b. Memastikan kejelasan hubungan antara Bank dan Nasabah Prima Hubungan antara bank dan Nasabah Prima dalam LNP harus didasarkan pada kesepakatan tertulis yang paling kurang memuat hak dan kewajiban masing‐masing pihak, serta tata cara penyelesaian apabila terjadi perselisihan. c. Memastikan kejelasan kewenangan pelaku transaksi Bank wajib memiliki suatu mekanisme yang bertujuan untuk memastikan bahwa transaksi dilakukan oleh Nasabah Prima yang bersangkutan atau kuasa yang mewakili Nasabah Prima tersebut sesuai kesepakatan tertulis dengan Nasabah Prima. d. Menyampaikan informasi secara berkala Bank wajib menginformasikan secara berkala posisi atau eksposur masing masing Nasabah Prima berdasarkan kesepakatan tertulis dengan Nasabah Prima. 73 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
Lain‐Lain
148 SE 13/29/DPNP 1. Dalam rangka pengelolaan dan pemantauan risiko terkait kegiatan 2011 LNP, Bank wajib menatausahakan data, dokumen atau warkat terkait Romawi III transaksi keuangan dan aktivitas Nasabah Prima dalam LNP antara lain berdasarkan peraturan perundang‐undangan yang mengatur mengenai dokumen perusahaan, ketentuan Bank Indonesia yang mengatur mengenai APU dan PPT, dan kebijakan dan prosedur intern Bank. Mengenai data yang wajib ditatausahakan antara lain meliputi jumlah nasabah, volume produk yang dijual, kantor yang memberikan layanan, dan informasi terkait lainnya yang selalu dikinikan secara berkala. 2. Penyusunan kebijakan LNP sebagaimana dimaksud dalam butir I.5 (Paragraf 146 ayat 5 dalam kodifikasi ini) dan penerapan manajemen risiko dalam kegiatan LNP sebagaimana dimaksud dalam angka II (Paragraf 147 dalam kodifikasi ini) paling kurang mengacu pada Pedoman Penerapan Manajemen Risiko pada Bank yang Melakukan LNP, yang merupakan lampiran dan bagian yang tidak terpisahkan dari Surat Edaran Bank Indonesia ini (lampiran 19 dalam kodifikasi ini). 3. Bank yang akan melakukan LNP yang memenuhi kriteria sebagai aktivitas baru, harus menyampaikan laporan rencana pelaksanaan aktivitas baru yang diatur sebagai berikut: a. bagi bank umum konvensional, mengacu pada ketentuan tentang Pelaporan Produk atau Aktivitas Baru; b. bagi bank umum syariah, mengacu pada ketentuan Bank Indonesia yang mengatur mengenai pelaporan produk atau aktivitas baru. 4. Bank yang telah melakukan LNP sebelum Surat Edaran Bank Indonesia ini berlaku wajib: a. melakukan gap analysis untuk pemenuhan ketentuan terhadap: 1) kebijakan LNP; dan 2) penerapan manajemen risiko pada aspek tertentu; b. menyusun action plan untuk menyempurnakan kebijakan LNP dan penerapan manajemen risiko yang memiliki gap; c. menyampaikan laporan kepada Bank Indonesia yang meliputi: 1) hasil pelaksanaan gap analysis dan action plan sebagaimana dimaksud pada huruf a dan huruf b paling lama 3 (tiga) bulan setelah Surat Edaran Bank Indonesia ini berlaku; dan 2) realisasi action plan paling lambat akhir Juni 2012. 5. Dalam hal terdapat gap atas prosedur LNP tertentu, maka Bank wajib segera melakukan mitigasi risiko atas gap tersebut dalam melakukan LNP, tanpa menunggu realisasi action plan sebagaimana dimaksud pada ayat 4 huruf c.2). 6. Laporan sebagaimana ayat 4 huruf c disampaikan kepada: a. Direktorat yang melakukan pengawasan Bank, Bank Indonesia, Menara Radius Prawiro, Jl. M.H. Thamrin Nomor 2, Jakarta, 10350, bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat Bank Indonesia; atau b. Kantor Bank Indonesia setempat, bagi Bank yang berkantor pusat di luar wilayah sebagaimana dimaksud pada huruf a. 74 Manajemen Paragraf Sumber Regulasi 149 SE 13/29/DPNP 2011 Romawi IV.1 150 SE 13/29/DPNP 2011 Romawi IV.2 BAB I 151 Manajemen Risiko Ketentuan
Sanksi
Bank yang melanggar ketentuan yang terkait dengan manajemen risiko, APU dan PPT, atau transparansi produk sebagaimana diatur dalam Surat Edaran ini masing‐masing dikenakan sanksi administratif sebagaimana diatur dalam: 1. Pasal 34 Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum sebagaimana telah diubah dengan Peraturan Bank Indonesia Nomor 11/25/PBI/2009, bagi Bank Umum Konvensional (Paragraf 35 dalam kodifikasi ini); 2. Pasal 30 Peraturan Bank Indonesia Nomor 13/23/PBI/2011 tentang Penerapan Manajemen Risiko Bagi Bank Umum Syariah dan Unit Usaha Syariah, bagi Bank Umum Syariah (Paragraf 241 dalam kodifikasi ini); 3. Pasal 50 ayat (4) Peraturan Bank Indonesia Nomor 11/28/PBI/2009 tentang Penerapan Program Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme bagi Bank Umum; atau 4. Pasal 12 Peraturan Bank Indonesia Nomor 7/6/PBI/2005 tentang Transparansi Informasi Produk Bank dan Penggunaan Data Pribadi Nasabah. Selain dikenakan sanksi administratif sebagaimana dimaksud pada angka 1 (Paragraf 149 dalam kodifikasi ini), Bank yang melanggar kewajiban pelaporan dalam Surat Edaran Bank Indonesia ini diatur sebagai berikut: 1. bagi Bank Umum Konvensional yang melanggar kewajiban pelaporan sebagaimana dimaksud pada butir III.3 (Paragraf 148 ayat 3 dalam kodifikasi ini) dan butir III.4.c (Paragraf 148 ayat 4 huruf c dalam kodifikasi ini) dikenakan sanksi sebagaimana dimaksud pada Paragraf 34; atau 2. bagi Bank Umum Syariah yang melanggar kewajiban pelaporan sebagaimana dimaksud pada butir III.3 (Paragraf 148 ayat 3 dalam kodifikasi ini) dikenakan sanksi sebagaimana dimaksud pada Pasal 10 ayat (1) Peraturan Bank Indonesia Nomor 10/17/PBI/2008 tentang Produk Bank Syariah dan Unit Usaha Syariah. Penerapan Manajemen Risiko Secara Konsolidasi Bagi Bank yang Melakukan Pengendalian Terhadap Perusahaan Anak Ketentuan Umum
Pasal 1 8/6/PBI/2006 1.
2.
3.
4.
Bank adalah Bank Umum sebagaimana dimaksud dalam Undang‐
Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang‐Undang Nomor 10 Tahun 1998, termasuk kantor cabang bank asing. Perusahaan Anak adalah badan hukum atau perusahaan yang dimiliki dan atau dikendalikan oleh Bank secara langsung maupun tidak langsung, baik di dalam maupun di luar negeri, yang memenuhi kriteria sebagaimana diatur dalam Peraturan Bank Indonesia ini. Pengendalian adalah Pengendalian sebagaimana diatur dalam ketentuan Bank Indonesia yang berlaku tentang Transparansi Kondisi Keuangan Bank. Kewajiban Penyediaan Modal Minimum yang untuk selanjutnya disebut KPMM adalah KPMM sebagaimana diatur dalam ketentuan 75 Manajemen Paragraf Sumber Regulasi 152 Pasal 2 8/6/PBI/2006 153 Pasal 3 8/6/PBI/2006 Manajemen Risiko Ketentuan
Bank Indonesia yang berlaku tentang Kewajiban Penyediaan Modal Minimum Bank Umum dan Kewajiban Penyediaan Modal Minimum Bank Umum Berdasarkan Prinsip Syariah. 5. Batas Maksimum Pemberian Kredit yang untuk selanjutnya disebut BMPK adalah BMPK sebagaimana diatur dalam ketentuan Bank Indonesia yang berlaku tentang Batas Maksimum Pemberian Kredit Bank Umum. (1) Bank yang memiliki dan atau melakukan Pengendalian terhadap Perusahaan Anak wajib melakukan penerapan manajemen risiko secara konsolidasi. Penerapan manajemen risiko secara konsolidasi dilakukan dengan mengacu pada ketentuan Bank Indonesia yang berlaku tentang Penerapan Manajemen Risiko bagi Bank Umum, yang mencakup: a. pengawasan aktif Dewan Komisaris dan Direksi; b. kecukupan kebijakan, prosedur dan penetapan limit; c. kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian risiko serta sistem informasi manajemen risiko; dan d. sistem pengendalian intern yang menyeluruh. (2) Penerapan manajemen risiko secara konsolidasi sebagaimana dimaksud pada ayat (1) tidak berlaku bagi Perusahaan Anak yang dimiliki dan atau dikendalikan oleh Bank karena adanya penyertaan modal sementara dalam rangka restrukturisasi kredit. Perusahaan Anak sebagaimana dimaksud dalam Pasal 2 ayat (1) (Paragraf 152 ayat (1) dalam kodifikasi ini) adalah perusahaan yang melakukan kegiatan usaha di bidang keuangan, yang terdiri dari: Termasuk dalam kegiatan usaha di bidang keuangan antara lain jasa perbankan, sewa guna usaha, modal ventura, perusahaan efek, asuransi, perusahaan pembiayaan serta lembaga kliring penyelesaian dan penyimpanan. a. Perusahaan Subsidiari (subsidiary company) yaitu Perusahaan Anak dengan kepemilikan Bank lebih dari 50% (lima puluh perseratus); b. Perusahaan Partisipasi (participation company) adalah Perusahaan Anak dengan kepemilikan Bank 50% (lima puluh perseratus) atau kurang, namun Bank memiliki Pengendalian terhadap perusahaan; c. Perusahaan dengan kepemilikan Bank lebih dari 20% (dua puluh perseratus) sampai dengan 50% (lima puluh perseratus) yang memenuhi persyaratan yaitu: i. kepemilikan Bank dan para pihak lainnya pada Perusahaan Anak adalah masing‐masing sama besar; dan ii. masing‐masing pemilik melakukan Pengendalian secara bersama terhadap Perusahaan Anak; 76 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Yang dimaksud dengan Pengendalian secara bersama adalah pengendalian bersama oleh para pemilik atas Perusahaan Anak yang didasarkan pada perjanjian kontraktual. Pengendalian bersama harus dibuktikan dengan adanya kesepakatan atau komitmen secara tertulis dari para pemilik untuk memberikan dukungan baik finansial maupun non finansial sesuai kepemilikannya masing‐masing. d. Entitas lain yang berdasarkan Standar Akuntansi Keuangan yang berlaku wajib dikonsolidasikan. 154 Pasal 4 8/6/PBI/2006 SE 8/27/DPNP 2006 Romawi IV (1) Dalam hal Bank memiliki dan atau mengendalikan Perusahaan Anak yang melakukan kegiatan usaha asuransi, maka: Asuransi memiliki karakteristik risiko yang sangat berbeda dengan Bank sehingga tidak diterapkan penilaian manajemen risiko secara konsolidasi terutama untuk hal‐hal yang bersifat kuantitatif. a. penerapan manajemen risiko secara konsolidasi sebagaimana dimaksud dalam Pasal 2 ayat (1) (Paragraf 153 ayat (1) dalam kodifikasi ini) dilakukan melalui penilaian dan penyampaian laporan penerapan manajemen risiko pada perusahaan asuransi secara tersendiri; Penilaian dilakukan dengan mengacu pada ketentuan dari otoritas yang berwenang. b. ketentuan sebagaimana diatur dalam Pasal 6, Pasal 7, Pasal 8, Pasal 9, Pasal 10, Pasal 12, Pasal 13, Pasal 16 dan Pasal 18 (Paragraf 156, Paragraf 157, Paragraf 158, Paragraf 159, Paragraf 160, Paragraf 162, Paragraf 163, Paragraf 166 dan Paragraf 168 dalam kodifikasi ini) tidak diterapkan. (2) Penerapan manajemen risiko secara konsolidasi bagi Bank dan Perusahaan Anak, juga diterapkan pada Perusahaan Anak yang melakukan kegiatan usaha asuransi. Penerapan manajemen risiko secara konsolidasi bagi Bank yang memiliki dan/atau mengendalikan Perusahaan Anak yang melakukan kegiatan usaha asuransi dilakukan antara lain dengan cara: a. memantau pemenuhan tingkat rasio solvabilitas minimum (RBC minimum) dan pemenuhan prinsip kehati‐hatian lainnya yang diatur oleh otoritas pengawas yang berwenang; dan b. memperhitungkan penyertaan pada perusahaan anak yang melakukan kegiatan usaha asuransi sebagai faktor pengurang dalam perhitungan modal Bank secara konsolidasi. (3) Dalam perhitungan KPMM secara konsolidasi bagi Bank yang memiliki Perusahaan Anak yang melakukan kegiatan usaha asuransi, maka perhitungan modal Bank secara konsolidasi dilakukan sebagai berikut: a. Penyertaan Bank pada Perusahaan Anak yang melakukan kegiatan usaha asuransi tidak diperhitungkan dalam ATMR Bank secara konsolidasi. 77 Manajemen Paragraf Sumber Regulasi 155 Manajemen Risiko Ketentuan
b. Dalam hal Perusahaan Anak yang melakukan kegiatan usaha asuransi tidak memenuhi ketentuan RBC minimum yang ditetapkan oleh otoritas pengawas yang berwenang, maka: 1) Penyertaan Bank kepada Perusahaan Anak yang melakukan kegiatan usaha asuransi diperhitungkan sebagai faktor pengurang modal yaitu sebesar jumlah penyertaan Bank kepada Perusahaan Anak yang melakukan kegiatan usaha asuransi setelah dikurangi cadangan khusus penyisihan penghapusan aktiva; dan 2) Kekurangan modal (shortfall) Perusahaan Anak yang melakukan kegiatan usaha asuransi dari RBC minimum diperhitungkan sebagai faktor pengurang modal inti sebesar 100% (seratus perseratus), apabila Perusahaan Anak yang melakukan kegiatan usaha asuransi tidak dapat memenuhi RBC minimum sampai dengan jangka waktu yang ditetapkan oleh otoritas pengawas yang berwenang. c. Dalam hal Perusahaan Anak yang melakukan kegiatan usaha asuransi memenuhi ketentuan RBC minimum yang ditetapkan oleh otoritas pengawas yang berwenang, maka penyertaan Bank kepada Perusahaan Anak yang melakukan kegiatan usaha asuransi diperhitungkan sebagai faktor pengurang modal konsolidasi yaitu sebesar jumlah penyertaan Bank kepada Perusahaan Anak yang melakukan kegiatan usaha asuransi setelah dikurangi cadangan khusus penyisihan penghapusan aktiva. BAB II Sistem dan Informasi Pelaporan
Pasal 5 8/6/PBI/2006 SE 8/27/DPNP 2006 Romawi II (1) Bank wajib memiliki sistem yang dapat mengidentifikasi, mengukur, memantau dan mengendalikan risiko usaha dari Bank dan Perusahaan Anak agar dapat menerapkan manajemen risiko secara konsolidasi dengan efektif. (2) Sistem yang wajib dimiliki Bank sebagaimana dimaksud pada ayat (1), paling kurang mencakup: a. Sistem informasi akuntansi; dan Sistem informasi akuntansi antara lain meliputi sistem yang dapat menghasilkan laporan keuangan, perhitungan KPMM, penilaian kualitas aktiva dan pembentukan penyisihan penghapusan aktiva, perhitungan BMPK yang menghitung seluruh eksposur bank dan eksposur Perusahaan Anak secara konsolidasi serta penilaian tingkat kesehatan secara konsolidasi. Penyusunan laporan keuangan konsolidasi mengacu pada Standar Akuntansi Keuangan yang berlaku. Sistem informasi akuntansi yang wajib dimiliki Bank paling kurang harus mampu menghasilkan laporan keuangan secara konsolidasi dan laporan lain dalam rangka pelaksanaan prinsip kehati‐hatian. Dalam menyusun laporan keuangan secara konsolidasi serta menetapkan metode dan teknik konsolidasi yang digunakan, Bank wajib mengacu pada standar akuntansi keuangan yang berlaku. Sementara itu, prinsip kehati‐hatian yang wajib dilaksanakan oleh 78 Manajemen Paragraf Sumber Regulasi SE 8/27/DPNP 2006 Romawi II 156 Manajemen Risiko Ketentuan
Bank antara lain mencakup perhitungan Kewajiban Penyediaan Modal Minimum (KPMM) secara konsolidasi, penilaian kualitas aktiva dan pembentukan penyisihan penghapusan aktiva (PPA) untuk Bank dan Perusahaan Anak, perhitungan Batas Maksimum Pemberian Kredit (BMPK) yang menghitung seluruh eksposur Bank dan eksposur Perusahaan Anak secara konsolidasi serta penilaian tingkat kesehatan secara konsolidasi. b. Sistem informasi manajemen risiko. Sistem informasi manajemen risiko mengacu pada ketentuan Bank Indonesia yang berlaku tentang Penerapan Manajemen Risiko bagi Bank Umum. Dalam rangka penerapan manajemen risiko secara konsolidasi, sistem informasi manajemen risiko merupakan bagian dari sistem informasi manajemen yang harus dimiliki dan dikembangkan sesuai dengan kebutuhan Bank, yang mengacu pada ketentuan Bank Indonesia yang berlaku mengenai Penerapan Manajemen Risiko bagi Bank Umum. Sebagai bagian dari penerapan manajemen risiko secara konsolidasi, Bank wajib memiliki sistem informasi manajemen risiko yang dapat memastikan: a) terukurnya eksposur risiko secara akurat, informatif, dan tepat waktu, baik eksposur risiko secara keseluruhan/komposit maupun eksposur per jenis risiko yang melekat pada kegiatan usaha Bank dan Perusahaan Anak, maupun eksposur risiko per jenis aktivitas fungsional Bank dan Perusahaan Anak; b) dipatuhinya penerapan manajemen risiko terhadap kebijakan, prosedur, dan penetapan limit risiko; c) tersedianya hasil (realisasi) penerapan manajemen risiko dibandingkan dengan target yang ditetapkan secara konsolidasi oleh Bank sesuai dengan kebijakan dan strategi penerapan manajemen risiko. BAB III Perhitungan KPMM
Pasal 6 8/6/PBI/2006 (1) Bank wajib memenuhi ketentuan KPMM baik untuk Bank secara individual maupun untuk Bank dan Perusahaan Anak secara konsolidasi. Perhitungan KPMM secara konsolidasi dilakukan dengan menghitung modal dan aktiva tertimbang menurut risiko dari laporan keuangan konsolidasi. Berdasarkan ketentuan dalam ayat ini, maka persentase KPMM untuk Bank sebagaimana diatur dalam ketentuan Bank Indonesia yang berlaku tentang KPMM Bank Umum dan KPMM Bank Umum Berdasarkan Prinsip Syariah, juga diberlakukan secara konsolidasi. Penyertaan pada perusahaan yang tidak diwajibkan untuk memenuhi ketentuan KPMM secara konsolidasi, tetap diperhitungkan sebagai faktor pengurang modal dalam perhitungan KPMM secara konsolidasi. 79 Manajemen Paragraf Sumber Regulasi SE 8/27/DPNP 2006 Romawi III.A Manajemen Risiko Ketentuan
Untuk perhitungan KPMM Bank secara individual, penyertaan pada Perusahaan Anak yang dikonsolidasikan tetap diperhitungkan sebagai faktor pengurang modal sebagaimana diatur dalam ketentuan Bank Indonesia yang berlaku tentang KPMM Bank Umum dan KPMM Bank Umum Berdasarkan Prinsip Syariah. (2) Dalam rangka penerapan manajemen risiko secara konsolidasi, perhitungan KPMM secara konsolidasi antara Bank dan Perusahaan Anak selain Perusahaan Anak yang melakukan kegiatan usaha di bidang asuransi sebagaimana dimaksud pada Pasal 4 ayat (2) dan ayat (3) (Paragraf 154 ayat (2) dan ayat (3) dalam kodifikasi ini), dilakukan dengan memperhatikan hal‐hal berikut: 1. Perhitungan KPMM secara konsolidasi dilakukan dengan cara membandingkan modal secara konsolidasi dengan aktiva tertimbang menurut risiko (ATMR) secara konsolidasi. 2. Kewajiban perhitungan dan pemenuhan persentase KPMM secara konsolidasi tidak menghilangkan kewajiban Bank untuk melakukan perhitungan dan pemenuhan persentase KPMM secara individual sesuai ketentuan yang berlaku mengenai KPMM. 3. Perhitungan dan pemenuhan persentase KPMM secara konsolidasi sebagaimana dimaksud pada angka 1 dilakukan dengan memperhitungkan risiko kredit dan risiko pasar. 4. Perhitungan KPMM secara konsolidasi dengan memperhitungkan risiko pasar diberlakukan bagi: a. Bank yang secara individual sesuai dengan ketentuan yang berlaku telah diwajibkan untuk memperhitungkan risiko pasar dalam perhitungan KPMM; atau b. Bank yang secara konsolidasi memiliki posisi surat berharga termasuk posisi saham dan/atau posisi transaksi derivatif dalam trading book sama atau lebih besar dengan kriteria posisi surat berharga dan/atau posisi transaksi derivatif dalam trading book bagi Bank yang wajib memperhitungkan risiko pasar dalam perhitungan KPMM sesuai ketentuan Bank Indonesia yang berlaku. (3) Cara menghitung KPMM secara konsolidasi sebagaimana dimaksud pada angka 1 dilakukan sebagai berikut: Aspek Permodalan 1) Modal secara konsolidasi meliputi modal inti secara konsolidasi ditambah dengan modal pelengkap secara konsolidasi. 2) Komponen‐komponen yang dapat diperhitungkan sebagai modal inti dan modal pelengkap dalam perhitungan modal Bank secara konsolidasi, termasuk Perusahaan Anak, mengacu kepada ketentuan Bank Indonesia yang berlaku mengenai KPMM. 3) Modal inti secara konsolidasi wajib telah memperhitungkan kekurangan modal (shortfall) dari pemenuhan tingkat rasio solvabilitas minimum (Risk Based Capital/RBC minimum) sebagaimana dimaksud dalam Pasal 4 ayat (3) huruf b.2) (Paragraf 154 ayat (3) huruf b.2) dalam kodifikasi ini). 80 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
4) Modal pelengkap konsolidasi hanya dapat diperhitungkan paling tinggi 100% (seratus perseratus) dari modal inti secara konsolidasi. 5) Kepentingan minoritas (minority interest) diperhitungkan sebagai modal inti, kecuali terdapat bagian dari kepentingan minoritas yang tidak sesuai dengan komponen modal inti sebagaimana dimaksud dalam ketentuan mengenai KPMM Bank Umum yang berlaku. 6) Jumlah kepentingan minoritas yang diperhitungkan sebagai modal inti sebagaimana dimaksud dalam angka 5) dapat tidak diperhitungkan dalam modal secara konsolidasi oleh Bank Indonesia berdasarkan beberapa pertimbangan antara lain: a) kepemilikan Bank pada Perusahaan Anak 50% (lima puluh perseratus) atau kurang; dan b) tidak terdapat keterkaitan/afiliasi antara pemegang saham lain (minority interest) dengan Bank; atau c) tidak terdapat kesediaan dari pemegang saham lain (minority interest) untuk mendukung modal kelompok usaha Bank yang dibuktikan dengan surat pernyataan atau keputusan rapat umum pemegang saham (RUPS) Perusahaan Anak. 7) Pinjaman subordinasi Perusahaan Anak dapat dijadikan modal pelengkap untuk perhitungan KPMM Bank secara konsolidasi sepanjang memenuhi persyaratan (terms and condition) untuk diperhitungkan sebagai modal sesuai ketentuan Bank Indonesia yang berlaku mengenai KPMM. Untuk dapat diperhitungkan sebagai modal pelengkap, Bank wajib menyampaikan data pendukung yang menunjukkan bahwa seluruh persyaratan (terms and condition) pinjaman subordinasi tersebut telah terpenuhi sesuai dengan ketentuan Bank Indonesia yang berlaku. 8) Dalam hal Bank wajib memperhitungkan risiko pasar secara konsolidasi sebagaimana dimaksud dalam ayat (2) angka 4, maka modal secara konsolidasi dapat ditambahkan dengan modal pelengkap tambahan. Perhitungan modal pelengkap tambahan secara konsolidasi wajib memenuhi kriteria dan persyaratan modal pelengkap tambahan sebagaimana diatur dalam ketentuan Bank Indonesia yang berlaku mengenai KPMM dengan memperhitungkan risiko pasar bagi Bank secara individual. 9) Perhitungan modal secara konsolidasi juga wajib memperhitungkan faktor pengurang berupa penyertaan Bank pada perusahaan yang tidak wajib dilakukan penerapan manajemen risiko secara konsolidasi setelah dikurangi cadangan khusus penyisihan penghapusan aktiva, kecuali penyertaan modal sementara dalam rangka restrukturisasi kredit. 81 Manajemen Paragraf Sumber Regulasi 157 Pasal 7 8/6/PBI/2006 SE 8/27/DPNP 2006 Romawi III.B Manajemen Risiko Ketentuan
Bank wajib melakukan perhitungan aktiva tertimbang menurut risiko untuk eksposur risiko Perusahaan Anak sesuai dengan ketentuan Bank Indonesia yang berlaku. Sebagai contoh, bagi Bank yang telah diwajibkan untuk menghitung risiko pasar dan memiliki Perusahaan Anak berupa perusahaan efek, maka perhitungan aktiva tertimbang menurut risiko secara konsolidasi untuk risiko pasar juga mencakup perhitungan risiko ekuitas (equity risk) dari perusahaan efek tersebut. Aktiva Tertimbang Menurut Risiko (ATMR) ATMR secara konsolidasi terdiri dari ATMR untuk risiko kredit secara konsolidasi dan ATMR untuk risiko pasar secara konsolidasi. 1) ATMR untuk risiko kredit secara konsolidasi a) Perhitungan ATMR untuk risiko kredit secara konsolidasi mengacu kepada ketentuan yang berlaku mengenai KPMM bagi Bank secara individual. b) Dalam menghitung ATMR untuk risiko kredit secara konsolidasi, masing‐masing pos aktiva secara konsolidasi termasuk pos kewajiban komitmen dan kontinjensi, dihitung berdasarkan bobot risiko sesuai kadar risiko yang melekat pada aktiva tersebut. c) Pedoman perhitungan ATMR untuk risiko kredit secara konsolidasi mengacu pada rincian Lampiran 5 Formulir 1 Surat Edaran Bank Indonesia ini (Lampiran 24 Formulir I dalam kodifikasi ini). 2) ATMR untuk risiko pasar secara konsolidasi a) Perhitungan ATMR untuk risiko pasar secara konsolidasi meliputi risiko suku bunga, risiko nilai tukar, dan risiko ekuitas yang dilakukan dengan cara melakukan pembebanan modal. Dalam hal Bank atau Perusahaan Anak melakukan kegiatan usaha berdasarkan prinsip Syariah, maka perhitungan ATMR untuk risiko pasar hanya meliputi risiko nilai tukar. b) Risiko ekuitas merupakan risiko kerugian akibat perubahan harga dari posisi ekuitas yang dimiliki. Posisi ekuitas mencakup posisi yang timbul dari transaksi saham seperti transaksi saham biasa (common stocks) baik dengan atau tanpa hak suara (voting rights), surat berharga yang dapat dikonversi (convertible securities) yang memiliki karakteristik seperti saham, dan komitmen termasuk opsi untuk membeli dan menjual saham, namun tidak termasuk saham preferen yang tidak dapat dikonversi (non‐convertible preference shares). c) Perhitungan ATMR untuk risiko pasar secara konsolidasi diperoleh dengan cara melakukan perkalian antara jumlah beban modal secara konsolidasi untuk seluruh jenis risiko pasar dengan angka 12,5 (dua belas koma lima). d) Perhitungan risiko suku bunga dan risiko nilai tukar pada ATMR untuk risiko pasar secara konsolidasi serta persyaratannya mengacu pada ketentuan yang berlaku mengenai KPMM dengan memperhitungkan risiko pasar. e) Perhitungan risiko ekuitas pada ATMR untuk risiko pasar secara konsolidasi wajib dilakukan oleh Bank yang melakukan 82 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
pengendalian terhadap Perusahaan Anak yang memiliki eksposur risiko ekuitas. Perhitungan risiko ekuitas meliputi risiko spesifik (specific risk) dan risiko umum (general market risk) pada trading book. f) Beban modal untuk risiko ekuitas dihitung dengan melakukan penjumlahan beban modal untuk risiko spesifik dan risiko umum. g) Posisi ekuitas yang diperhitungkan dalam risiko ekuitas adalah posisi long dan posisi short yang termasuk trading book. Posisi long dan posisi short harus dihitung secara terpisah untuk setiap pasar keuangan dimana Bank melakukan transaksi saham. h) Posisi long dan posisi short ekuitas dapat saling hapus apabila kedua posisi tersebut identik. Yang dimaksud dengan posisi identik adalah posisi ekuitas yang berasal dari emiten yang sama dan diperdagangkan di pasar keuangan yang sama. Sebagai contoh: Perusahaan Anak membeli saham PT. X di Bursa Efek Jakarta dan Perusahaan Anak menjual kontrak berjangka (Forward) saham PT. X di Bursa Efek Jakarta dapat saling hapus karena memenuhi syarat identik i) Perhitungan beban modal untuk risiko ekuitas dilakukan secara terpisah yaitu: i. perhitungan risiko spesifik sebesar 8% (delapan perseratus) dari gross equity position; dan ii. perhitungan risiko umum sebesar 8% (delapan perseratus) dari overall net position. Contoh: (a) Proses offsetting posisi long dan posisi short pada perusahaan A = (10.000 x Rp.100) ‐ (2.000 x Rp.100) =Rp. 800.000 (Long) (b) Jumlah posisi long = Rp. 800.000 + Rp. 4.000.000 = Rp. 4.800.000 (c) Jumlah posisi short = Rp. 3.000.000 + Rp. 2.000.000 +Rp. 1.000.000 = Rp.6.000.000 (d) Risiko spesifik = (Rp. 4.800.000 + Rp. 6.000.000) x 8% = Rp. 864.000 (e) Risiko umum = (Rp. 4.800.000 – Rp. 6.000.000) x 8% = Rp. 96.000 (f) Risiko ekuitas = Rp. 864.000 + Rp. 96.000 = Rp.960.000 Dari perhitungan tersebut, maka beban modal atas risiko ekuitas secara konsolidasi adalah sebesar Rp960.000,00 (sembilan ratus enam puluh ribu 83 Manajemen Paragraf Sumber Regulasi 158 Manajemen Risiko Ketentuan
rupiah). Beban modal tersebut digabung dengan beban modal atas risiko pasar lainnya seperti beban modal atas risiko suku bunga dan risiko nilai tukar. Jumlah dari beban modal atas risiko pasar tersebut dikalikan dengan angka 12,5 (dua belas koma lima) untuk mendapatkan ATMR risiko pasar secara konsolidasi. BAB IV Penilaian Kualitas Aktiva
Pasal 8 8/6/PBI/2006 SE 8/27/DPNP 2006 Romawi V (1) Untuk kepentingan penyusunan laporan keuangan konsolidasi dan perhitungan KPMM, Bank wajib melakukan penilaian kualitas aktiva dan membentuk penyisihan penghapusan aktiva untuk seluruh aktiva Perusahaan Anak paling kurang sesuai dengan ketentuan Bank Indonesia yang berlaku. Ketentuan dalam ayat ini dimaksudkan agar laporan keuangan konsolidasi dan perhitungan KPMM dapat dilakukan secara lebih tepat, sesuai dengan risiko yang telah dapat diperkirakan (expected risk). (2) Bank wajib melakukan penilaian kualitas aktiva terhadap aktiva Bank dan Perusahaan Anak dalam rangka membentuk penyisihan penghapusan aktiva. Pembentukan penyisihan penghapusan aktiva dimaksudkan agar laporan keuangan Bank dan Perusahaan Anak dapat dikonsolidasikan secara wajar, dan perhitungan KPMM secara konsolidasi dapat dilakukan dengan lebih akurat. Penilaian kualitas aktiva secara konsolidasi dilakukan terhadap aktiva produktif dan aktiva non produktif Bank serta aktiva produktif Perusahaan Anak sesuai dengan ketentuan Bank Indonesia yang berlaku mengenai Penilaian Kualitas Aktiva Bank Umum dan Penilaian Kualitas Aktiva Bagi Bank Syariah. A. Penilaian Kualitas Aktiva Produktif 1. Dalam hal Perusahaan Anak memiliki aktiva yang dapat disetarakan dengan kredit/pembiayaan pada Bank, penilaian kualitas aktiva oleh Bank atas aktiva produktif Perusahaan Anak paling kurang dilakukan berdasarkan ketepatan pembayaran pokok dan/atau bunga/margin/fee/bagi hasil. 2. Berdasarkan penilaian pada angka 1, kualitas kredit/pembiayaan ditetapkan menjadi Lancar, Dalam Perhatian Khusus, Kurang lancar, Diragukan, dan Macet sesuai ketentuan Bank Indonesia yang berlaku mengenai Penilaian Kualitas Aktiva Bank Umum dan Kualitas Aktiva Bagi Bank Syariah. 3. Dalam hal Perusahaan Anak memiliki aktiva yang dapat disetarakan dengan surat berharga pada Bank, maka penilaian kualitas surat berharga oleh Bank mengikuti ketentuan Bank Indonesia yang berlaku mengenai Penilaian Kualitas Aktiva Bank Umum dan Kualitas Aktiva Bagi Bank Syariah. 4. Dalam hal Perusahaan Anak memiliki surat berharga berupa saham maka penetapan kualitas saham oleh Bank dilakukan sebagai berikut: a. lancar, sepanjang saham dimaksud aktif diperdagangkan di bursa efek di Indonesia dan terdapat informasi nilai pasar secara transparan. 84 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
b. apabila saham tidak memenuhi kriteria sebagaimana dimaksud pada huruf a, maka penilaian kualitas mengacu pada ketentuan penilaian kualitas untuk penyertaan dengan metode biaya (cost method). 5. Untuk aktiva produktif di Perusahaan Anak yang merupakan perusahaan pembiayaan, penilaian kualitas aktiva produktif oleh Bank dilakukan berdasarkan ketentuan yang berlaku mengenai penilaian dan penggolongan kualitas aktiva produktif yang ditetapkan oleh otoritas yang berwenang terhadap Perusahaan Anak. B. Penilaian Kualitas Aktiva Produktif Lainnya Penilaian kualitas untuk aktiva produktif Perusahaan Anak selain yang disetarakan dengan kredit dan surat berharga, dilakukan oleh Bank sesuai ketentuan Bank Indonesia yang berlaku. C. Penyisihan Penghapusan Aktiva 1. Atas dasar penilaian kualitas aktiva produktif sebagaimana dimaksud pada huruf A dan B, Bank wajib membentuk penyisihan penghapusan aktiva untuk aktiva Bank maupun aktiva produktif Perusahaan Anak sesuai ketentuan Bank Indonesia yang berlaku. 2. Dalam hal besarnya penyisihan penghapusan aktiva yang wajib dibentuk secara konsolidasi masih belum memenuhi ketentuan, maka kekurangan penyisihan penghapusan aktiva tersebut akan menjadi faktor pengurang modal inti secara konsolidasi. 159 BAB V Perhitungan BMPK
Pasal 9 8/6/PBI/2006 SE 8/27/DPNP 2006 Romawi VI (1) Bank wajib memenuhi ketentuan BMPK baik untuk penyediaan dana Bank secara individual maupun untuk penyediaan dana Bank dan Perusahaan Anak secara konsolidasi. Berdasarkan ketentuan dalam ayat ini, maka persentase BMPK untuk Bank secara individual sebagaimana diatur dalam ketentuan yang berlaku tentang Batas Maksimum Pemberian Kredit Bank Umum juga diberlakukan secara konsolidasi. (2) Dalam perhitungan BMPK untuk penyediaan dana Bank dan Perusahaan Anak secara konsolidasi, maka: a. penyediaan dana dari Perusahaan Anak kepada debitur Bank wajib diperhitungkan sebagai satu kesatuan dengan penyediaan dana Bank; b. komponen modal menggunakan modal secara konsolidasi. (3) Bank wajib melakukan pemantauan terhadap konsentrasi penyediaan dana dengan memperhatikan pemenuhan BMPK, baik untuk penyediaan dana dari Bank secara individual maupun penyediaan dana dari Bank dan Perusahaan Anak secara konsolidasi. BMPK secara konsolidasi adalah persentase maksimum total penyediaan dana Bank dan Perusahaan Anak yang diperkenankan terhadap modal Bank secara konsolidasi. A. Batasan (Limit) Penyediaan Dana Sebagaimana diatur dalam ketentuan yang berlaku tentang Batas 85 Manajemen Paragraf Sumber Regulasi 160 161 Pasal 10 8/6/PBI/2006 Manajemen Risiko Ketentuan
Maksimum Pemberian Kredit Bank Umum, seluruh portofolio Penyediaan Dana kepada Pihak Terkait dengan Bank ditetapkan paling tinggi 10% (sepuluh perseratus) dari Modal Bank. Dalam hal perhitungan BMPK secara konsolidasi, penetapan batasan penyediaan dana kepada pihak terkait tersebut juga mencakup seluruh penyediaan dana Bank dan penyediaan dana Perusahaan Anak dibandingkan dengan modal konsolidasi. Hal yang sama berlaku pula untuk penyediaan dana kepada peminjam yang bukan merupakan pihak terkait. BMPK secara konsolidasi untuk penyediaan dana kepada peminjam yang bukan merupakan pihak terkait Bank ditetapkan sesuai dengan ketentuan Bank Indonesia yang berlaku mengenai BMPK Bank Umum, antara lain sebagai berikut: 1. 1 (satu) Peminjam secara individu ditetapkan paling tinggi 20% (dua puluh perseratus) dari Modal Bank secara konsolidasi; dan 2. 1 (satu) kelompok Peminjam ditetapkan paling tinggi 25% (dua puluh lima perseratus) dari Modal Bank secara konsolidasi. Dalam hal terdapat pelanggaran atau pelampauan BMPK secara konsolidasi, maka Bank akan dikenakan sanksi administratif dengan mengacu pada ketentuan Bank Indonesia yang berlaku mengenai BMPK. B. Modal Dalam menghitung BMPK secara konsolidasi, modal yang digunakan adalah modal bank secara konsolidasi. Modal Bank secara konsolidasi merupakan penjumlahan antara modal inti konsolidasi dengan modal pelengkap konsolidasi. Perhitungan modal inti konsolidasi dan modal pelengkap konsolidasi mengacu pada perhitungan KPMM Bank secara konsolidasi. Modal Bank secara konsolidasi untuk perhitungan BMPK tersebut tidak termasuk modal pelengkap tambahan dan tidak dikurangi penyertaan. Penyertaan Bank pada Perusahaan Anak dimana Bank melakukan penerapan manajemen risiko secara konsolidasi, tidak diperhitungkan sebagai penyediaan dana dalam perhitungan BMPK. BAB VI Pengelolaan Perusahaan Anak
Pasal 11 8/6/PBI/2006 Ayat (1) – (3) (1) Bank wajib memastikan pengurus yang mengelola Perusahaan Anak memiliki integritas yang baik. Integritas yang baik antara lain dibuktikan dengan pengurus Perusahaan Anak tidak berasal dari pihak‐pihak yang terdapat dalam Daftar Tidak Lulus Bank Indonesia atau Daftar Kredit Macet. Yang dimaksud dengan pengurus yang mengelola Perusahaan Anak adalah komisaris dan direksi bagi badan hukum Perseroan Terbatas atau jabatan lain yang setara pada badan hukum lainnya. (2) Kewajiban sebagaimana dimaksud pada ayat (1) tidak berlaku untuk pengurus yang mengelola Perusahaan Anak sebagaimana dimaksud dalam Pasal 3 huruf c (Paragraf 153 huruf c dalam kodifikasi ini). 86 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
(3) Dalam rangka memenuhi ketentuan sebagaimana dimaksud pada ayat (1), Bank wajib menyampaikan daftar calon pengurus yang mengelola Perusahaan Anak yang diusulkan dalam Rapat Umum Pemegang Saham (RUPS) kepada Bank Indonesia. SE 8/27/DPNP Laporan daftar calon pengurus yang mengelola Perusahaan Anak wajib 2006 disampaikan paling lambat 10 (sepuluh) hari kerja sebelum pelaksanaan Romawi VII.2 RUPS. Laporan daftar calon pengurus dimaksud wajib disampaikan Bank kepada Bank Indonesia dengan alamat : a. Direktorat Pengawasan Bank terkait, Jl. M.H. Thamrin No.2 Jakarta 10350, bagi Bank yang berkantor pusat di wilayah kerja kantor pusat Bank Indonesia; atau b. Kantor Bank Indonesia, bagi Bank yang berkantor pusat diluar wilayah kerja Kantor Pusat Bank Indonesia. Pasal 11 (4) Laporan sebagaimana dimaksud pada ayat (3) wajib disampaikan paling 8/6/PBI/2006 lambat 10 (sepuluh) hari kerja sebelum pelaksanaan RUPS. Ayat (4) BAB VII 162 Penilaian Tingkat Kesehatan dan Profil Risiko Bank Pasal 12 8/6/PBI/2006 (1) Bank wajib melakukan penilaian tingkat kesehatan baik secara individual maupun secara konsolidasi. Penilaian tingkat kesehatan secara konsolidasi mengacu pada ketentuan Bank Indonesia yang berlaku tentang Penilaian Tingkat Kesehatan Bank Umum. Penilaian tingkat kesehatan meliputi penilaian kuantitatif dan kualitatif. Penilaian kuantitatif adalah penilaian terhadap posisi, perkembangan dan proyeksi rasio‐rasio keuangan. Penilaian kualitatif adalah penilaian terhadap faktor‐faktor yang mendukung hasil penilaian kuantitatif, penerapan manajemen risiko, dan kepatuhan. (2) Dalam hal terdapat perbedaan karakteristik usaha Perusahaan Anak dengan Bank, maka komponen‐komponen tertentu dalam penilaian tingkat kesehatan Bank dapat disesuaikan untuk penilaian tingkat kesehatan secara konsolidasi. 163 Pasal 13 8/6/PBI/2006 (1) Bank wajib menyusun dan menyampaikan laporan profil risiko baik secara individual maupun secara konsolidasi. Penyusunan laporan profil risiko secara konsolidasi mengacu pada ketentuan Bank Indonesia yang berlaku tentang Penerapan Manajemen Risiko bagi Bank Umum. (2) Dalam hal terdapat perbedaan karakteristik usaha Perusahaan Anak dengan Bank maka parameter‐parameter pengukuran risiko tertentu dalam penyusunan profil risiko Bank dapat disesuaikan untuk penyusunan profil risiko secara konsolidasi. 87 Manajemen Paragraf Sumber Regulasi BAB VIII 164 Pasal 14 8/6/PBI/2006 165 Pasal 15 8/6/PBI/2006 166 Manajemen Risiko Ketentuan
Tindak Lanjut Pengawasan dan Penetepan Status Bank
Ketentuan Bank Indonesia yang berlaku tentang Tindak Lanjut Pengawasan dan Penetapan Status Bank yang diterapkan bagi Bank secara individual diterapkan juga bagi Bank secara konsolidasi Parameter yang digunakan dalam ketentuan Bank Indonesia yang berlaku tentang Tindak Lanjut Pengawasan dan Penetapan Status Bank antara lain rasio KPMM dan rasio kredit bermasalah adalah yang dihitung secara konsolidasi. Dalam penerapan ketentuan sebagaimana dimaksud dalam Pasal 14 (Paragraf 164 dalam kodifikasi ini), bagi Bank yang secara konsolidasi telah memenuhi kriteria untuk dapat dicabut izin usahanya maka dalam pelaksanaannya Bank Indonesia akan berkoordinasi dengan otoritas pengawas terkait. BAB IX Pelaporan
Pasal 16 8/6/PBI/2006 Ayat (1) s.d (3) (1) Bank wajib menyampaikan laporan keuangan Perusahaan Anak secara online sesuai format dan ketentuan yang ditetapkan oleh Bank Indonesia. (2) Pelaporan sebagaimana dimaksud pada ayat (1) mengacu pada ketentuan Bank Indonesia yang berlaku tentang Laporan Bulanan Bank Umum atau Laporan Berkala Bank Umum. (3) Selama belum dimungkinkan pelaporan secara online sebagaimana dimaksud pada ayat (1) dan ayat (2) maka Bank wajib menyampaikan laporan secara offline setiap triwulan untuk periode bulan Maret, Juni, September dan Desember yang mencakup: a. Laporan keuangan setiap Perusahaan Anak. SE 8/27/DPNP 2006 Romawi VIII.A SE 8/27/DPNP 2006 Romawi VIII.B Laporan keuangan Perusahaan Anak yang disampaikan telah memenuhi ketentuan sebagaimana dimaksud dalam Pasal 8 (Paragraf 158 dalam kodifikasi ini). Dalam hal laporan keuangan Perusahaan Anak belum dapat disampaikan secara online oleh Bank melalui LBU dan LBBU, maka Laporan keuangan Perusahaan Anak yang disampaikan oleh Bank mengacu pada format sesuai ketentuan yang ditetapkan oleh masing‐masing otoritas pengawas yang berwenang. Dalam hal Perusahaan Anak merupakan perusahaan yang melakukan kegiatan usaha Asuransi, maka penyampaian laporan keuangan dimaksud termasuk pula Laporan Perhitungan Tingkat Solvabilitas (RBC). b. Laporan keuangan konsolidasi Penyajian dan format laporan keuangan konsolidasi mengacu pada: 1. Lampiran 1 (Lampiran 20 dalam kodifikasi ini) : Laporan Neraca Konsolidasi 2. Lampiran 2 (Lampiran 21 dalam kodifikasi ini) : Laporan Laba Rugi Konsolidasi 88 Manajemen Paragraf Sumber Regulasi SE 8/27/DPNP 2006 Romawi VIII.C SE 8/27/DPNP 2006 Romawi VIII.D Pasal 16 8/6/PBI/2006 Ayat (4) – (8) Manajemen Risiko Ketentuan
3. Lampiran 3 (Lampiran 22 dalam kodiifkasi ini) : Laporan Komitmen dan Kontinjensi Konsolidasi c. Laporan perhitungan KPMM dan rincian aktiva tertimbang menurut risiko secara konsolidasi. Penyajian dan format laporan perhitungan KPMM dan Rincian ATMR secara konsolidasi mengacu pada : 1. Lampiran 4 (Lampiran 23 dalam kodifikasi ini) : Laporan Perhitungan KPMM secara Konsolidasi 2. Lampiran 5 (Lampiran 24 dalam kodifikasi ini) : Laporan Rincian ATMR secara Konslidasi Perhitungan ATMR untuk risiko kredit dilakukan sesuai format perhitungan pada Formulir I, sedangkan perhitungan ATMR untuk risiko pasar mengacu pada Formulir II.a dan II.b, Formulir III, Formulir IV, Formulir V serta Formulir VI pada rincian Lampiran 5 (Lampiran 24 dalam kodifikasi ini). Perhitungan Bank sesuai formulir‐formulir dimaksud didokumentasikan Bank dan apabila diperlukan Bank Indonesia dapat meminta hasil perhitungan ATMR yang dilakukan Bank. 3. Lampiran 6 (Lampiran 25 dalam kodifikasi ini) Laporan Penilaian Kualitas Aktiva secara Konsolidasi. d. Laporan perhitungan BMPK secara konsolidasi. Penyajian dan format laporan perhitungan BMPK secara konsolidasi mengacu pada : 1. Lampiran 7 (Lampiran 26 dalam kodifikasi ini) : Laporan penyediaan dana kepada Pihak Terkait Bank secara konsolidasi. 2. Lampiran 8 (Lampiran 27 dalam kodifikasi ini) : Laporan Pelampauan/ Pelanggaran BMPK secara Konsolidasi untuk Pihak Tidak Terkait. Laporan‐laporan sebagaimana dimaksud di atas wajib disampaikan paling lambat pada tanggal 15 (lima belas) bulan kedua setelah berakhirnya bulan laporan yang bersangkutan. Bagi bank yang melakukan kegiatan usaha berdasarkan prinsip syariah, laporan‐laporan sebagaimana dimaksud di atas dilakukan sesuai dengan karakteristik usaha Bank dimaksud dan prinsip syariah. (4) Pelaporan sebagaimana dimaksud pada ayat (3) disampaikan paling lambat pada tanggal 15 (lima belas) bulan kedua setelah berakhirnya bulan laporan yang bersangkutan. (5) Dalam hal tanggal 15 (lima belas) jatuh pada hari Sabtu/Minggu/Libur, maka laporan disampaikan pada hari kerja sebelumnya. (6) Laporan profil risiko secara konsolidasi sebagaimana dimaksud dalam Pasal 13 (Paragraf 163 dalam kodifikasi ini) dan laporan penilaian terhadap penerapan manajemen risiko pada perusahaan asuransi sebagaimana dimaksud dalam Pasal 4 (Paragraf 154 dalam kodifikasi ini) wajib disampaikan secara triwulanan untuk posisi bulan Maret, Juni, September dan Desember. 89 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
Penyampaian laporan profil risiko Bank secara individual tetap mengacu pada ketentuan Bank Indonesia yang berlaku tentang Penerapan Manajemen Risiko bagi Bank Umum. (7) Laporan sebagaimana dimaksud pada ayat (6) wajib disampaikan paling lambat 30 (tiga puluh) hari setelah akhir bulan laporan. (8) Laporan sebagaimana dimaksud pada ayat (3) dan ayat (6) wajib disampaikan oleh Bank kepada Bank Indonesia dengan alamat: a. Direktorat Pengawasan Bank terkait, Jl. M.H. Thamrin No.2 Jakarta 10110, bagi Bank yang berkantor pusat di wilayah kerja kantor pusat Bank Indonesia; atau b. Kantor Bank Indonesia, bagi Bank yang berkantor pusat di luar wilayah kerja kantor pusat Bank Indonesia. BAB X Sanksi
Pasal 17 8/6/PBI/2006 (1) Bank yang tidak memenuhi kewajiban sebagaimana dimaksud dalam Pasal 2, Pasal 5, Pasal 6, Pasal 7, Pasal 8, Pasal 9, Pasal 11, Pasal 12, dan Pasal 13 (Paragraf 152, Paragraf 155, Paragraf 156, Paragraf 157, Paragraf 158, Paragraf 159, Paragraf 161, Paragraf 162, dan Paragraf 163 dalam kodifikasi ini) dikenakan sanksi sesuai ketentuan terkait yang berlaku dan dapat dikenakan sanksi administratif, antara lain berupa: a. teguran tertulis; b. pembekuan kegiatan usaha tertentu; c. pencantuman pengurus dan atau pemegang saham Bank dalam daftar orang yang terlarang menjadi pemegang saham dan pengurus Bank, sebagaimana dimaksud dalam Pasal 52 Undang‐Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang‐
Undang Nomor 10 Tahun 1998. (2) Bank yang menyampaikan laporan setelah batas akhir waktu penyampaian sebagaimana dimaksud dalam Pasal 16 ayat (4) dan ayat (7) (Paragraf 166 ayat (4) dan ayat (7) dalam kodifikasi ini), sampai dengan 14 (empat belas) hari kerja setelah batas akhir waktu tersebut, dikenakan sanksi kewajiban membayar sebesar Rp1.000.000,00 (satu juta rupiah) per hari kerja keterlambatan. (3) Bank yang belum menyampaikan atau menyampaikan laporan setelah batas akhir waktu penyampaian sebagaimana dimaksud pada ayat (2), dikenakan sanksi kewajiban membayar sebesar Rp50.000.000,00 (lima puluh juta rupiah). Bank yang telah dikenakan sanksi kewajiban membayar dalam ayat ini tidak dikenakan sanksi sebagaimana dimaksud pada ayat (2). (4) Bank yang belum menyampaikan laporan setelah batas akhir waktu penyampaian sebagaimana dimaksud pada ayat (2), tetap diwajibkan menyampaikan laporan sebagaimana dimaksud dalam Pasal 16 (Paragraf 166 dalam kodifikasi ini). 167 90 Manajemen Paragraf Sumber Regulasi SE 8/27/DPNP 2006 Romawi IX 168 Manajemen Risiko Ketentuan
Contoh perhitungan sanksi dalam hal Bank belum dapat menyampaikan laporan: Bank wajib menyampaikan laporan keuangan Perusahaan Anak, laporan keuangan konsolidasi (lampiran 1 sampai dengan lampiran 3) (lampiran 20 sampai dengan lampiran 22 dalam kodifikasi ini), laporan perhitungan KPMM dan rincian ATMR secara konsolidasi (lampiran 4 sampai dengan lampiran 6) (lampiran 23 sampai dengan lampiran 25 dalam kodifikasi ini), serta laporan perhitungan BMPK secara konsolidasi (lampiran 7 sampai dengan lampiran 8) (lampiran 26 sampai dengan lampiran 27 dalam kodifikasi ini) untuk posisi akhir Maret 2007. a) Bank X menyampaikan laporan tersebut diatas secara lengkap pada tanggal 14 Mei 2007, maka Bank X tidak terlambat menyampaikan laporan karena batas akhir waktu penyampaian laporan adalah paling lambat tanggal 15 Mei 2007. b) Bank Y menyampaikan laporan keuangan Perusahaan Anak, laporan keuangan konsolidasi, laporan perhitungan KPMM dan rincian ATMR secara konsolidasi, dan laporan perhitungan BMPK secara konsolidasi pada tanggal 16 Mei 2007, maka Bank Y dinyatakan terlambat menyampaikan laporan selama 1 hari kerja sehingga dikenakan sanksi kewajiban membayar sebesar Rp1.000.000,00 (satu juta rupiah). c) Bank Z menyampaikan laporan keuangan Perusahaan Anak dan laporan keuangan konsolidasi pada tanggal 14 Mei 2007. Namun Bank Z menyampaikan laporan perhitungan KPMM dan rincian ATMR secara konsolidasi serta laporan perhitungan BMPK secara konsolidasi pada tanggal 18 Mei 2007. Dengan demikian, Bank Z dinyatakan terlambat menyampaikan laporan karena laporan yang disampaikan tidak lengkap secara signifikan, selama 3 hari kerja sehingga dikenakan sanksi kewajiban membayar sebesar Rp3.000.000,00 (tiga juta rupiah). d) Bank A menyampaikan laporan keuangan perusahaan anak, laporan keuangan konsolidasi, laporan perhitungan KPMM dan rincian ATMR secara konsolidasi, dan laporan perhitungan BMPK secara konsolidasi pada tanggal 8 Juni 2007, maka Bank A dikenakan sanksi kewajiban membayar sebesar Rp50.000.000,00 (lima puluh juta rupiah) karena Bank A dianggap belum menyampaikan laporan atau menyampaikan laporan setelah batas akhir tanggal 15 Mei 2007 dan melewati 14 (empat belas) hari kerja setelah batas akhir tanggal 15 Mei 2007, yaitu tanggal 4 Juni 2007. BAB XI Ketentuan Lain‐Lain
Pasal 18 8/6/PBI/2006 Peningkatan penyertaan Bank karena akumulasi laba Perusahaan Anak dimana Bank melakukan penerapan manajemen risiko secara konsolidasi, tidak diperhitungkan dalam batasan portofolio penyertaan Bank. Batasan portofolio penyertaan Bank mengacu pada ketentuan Bank Indonesia yang berlaku tentang Prinsip Kehati‐hatian dalam Kegiatan Penyertaan Modal. Akumulasi laba Perusahaan Anak yang tidak diperhitungkan dalam batasan portofolio penyertaan Bank tidak dibatasi jangka waktunya. 91 Manajemen Paragraf Sumber Regulasi BAB I 169 Pasal 1 9/15/PBI/2007 Manajemen Risiko Ketentuan
Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum Ketentuan Umum
1. Bank adalah Bank Umum sebagaimana dimaksud dalam Undang‐Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang‐Undang Nomor 10 Tahun 1998, termasuk kantor cabang bank asing. 2. Teknologi Informasi adalah teknologi terkait sarana komputer, telekomunikasi dan sarana elektronis lainnya yang digunakan dalam pengolahan data keuangan dan atau pelayanan jasa perbankan. 3. Layanan Perbankan Melalui Media Elektronik atau selanjutnya disebut Electronic Banking adalah layanan yang memungkinkan nasabah Bank untuk memperoleh informasi, melakukan komunikasi, dan melakukan transaksi perbankan melalui media elektronik antara lain ATM, phone banking, electronic fund transfer, internet banking, mobile phone. 4. Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan) adalah dokumen yang menggambarkan visi dan misi Teknologi Informasi Bank, strategi yang mendukung visi dan misi tersebut dan prinsip‐prinsip utama yang menjadi acuan dalam penggunaan Teknologi Informasi untuk memenuhi kebutuhan bisnis dan mendukung rencana strategis jangka panjang. 5. Pusat Data (Data Center) adalah fasilitas utama pemrosesan data Bank yang terdiri dari perangkat keras dan perangkat lunak untuk mendukung kegiatan operasional Bank secara berkesinambungan. 6. Database adalah sekumpulan data komprehensif dan disusun secara sistematis, dapat diakses oleh pengguna sesuai wewenang masing‐
masing, dan dikelola oleh database administrator. 7. Disaster Recovery Center (DRC) adalah fasilitas pengganti pada saat Pusat Data (Data Center) mengalami gangguan atau tidak dapat berfungsi antara lain karena tidak adanya aliran listrik ke ruang komputer, kebakaran, ledakan atau kerusakan pada komputer, yang digunakan sementara waktu selama dilakukannya pemulihan Pusat Data Bank untuk menjaga kelangsungan kegiatan usaha (business continuity). 8. Business Continuity Plan (BCP) adalah kebijakan dan prosedur yang memuat rangkaian kegiatan yang terencana dan terkoordinir mengenai langkah‐langkah pengurangan risiko, penanganan dampak gangguan/bencana dan proses pemulihan agar kegiatan operasional Bank dan pelayanan kepada nasabah tetap dapat berjalan. 9. Pemrosesan Transaksi Berbasis Teknologi adalah kegiatan berupa penambahan, perubahan, penghapusan, dan/atau otorisasi data yang dilakukan pada sistem aplikasi yang digunakan untuk memproses transaksi. 10. Komisaris : a. bagi Bank berbentuk hukum perseroan terbatas adalah dewan komisaris sebagaimana dimaksud dalam Pasal 1 angka 6 Undang‐
Undang Nomor 40 Tahun 2007 tentang Perseroan Terbatas; b. bagi Bank berbentuk hukum perusahaan daerah adalah pengawas sebagaimana dimaksud dalam Pasal 19 Undang‐Undang Nomor 5 Tahun 1962 tentang Perusahaan Daerah; c. bagi Bank berbentuk hukum koperasi adalah pengawas 92 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
sebagaimana dimaksud dalam Pasal 38 Undang‐Undang Nomor 25 Tahun 1992 tentang Perkoperasian; d. bagi kantor cabang bank asing adalah pejabat yang ditunjuk kantor pusat bank asing untuk melakukan fungsi pengawasan. 11. Direksi: a. bagi Bank berbentuk hukum perseroan terbatas adalah direksi sebagaimana dimaksud dalam Pasal 1 angka 5 Undang‐Undang Nomor 40 Tahun 2007 tentang Perseroan Terbatas; b. bagi Bank berbentuk hukum perusahaan daerah adalah direksi sebagaimana dimaksud dalam Pasal 11 Undang Nomor 5 Tahun 1962 tentang Perusahaan Daerah; c. bagi Bank berbentuk hukum koperasi adalah pengurus sebagaimana dimaksud dalam Pasal 29 Undang‐Undang Nomor 25 Tahun 1992 tentang Perkoperasian; d. bagi kantor cabang bank asing adalah pimpinan kantor cabang bank asing. BAB II Ruang Lingkup Manajemen Risiko Teknologi Informasi
170 Pasal 2 8/6/PBI/2006 SE 9/30/DPNP 2007 Romawi I. 2, 3 171 Pasal 3 9/15/PBI/2007 (1) Bank wajib menerapkan manajemen risiko secara efektif dalam penggunaan Teknologi Informasi. (2) Penerapan manajemen risiko sebagaimana dimaksud pada ayat (1) paling kurang mencakup: a. pengawasan aktif dewan Komisaris dan Direksi; b. kecukupan kebijakan dan prosedur penggunaan Teknologi Informasi; c. kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian risiko penggunaan Teknologi Informasi; dan d. sistem pengendalian intern atas penggunaan Teknologi Informasi. (3) Penerapan manajemen risiko harus dilakukan secara terintegrasi dalam setiap tahapan penggunaan Teknologi Informasi sejak proses perencanaan, pengadaan, pengembangan, operasional, pemeliharaan hingga penghentian dan penghapusan sumber daya Teknologi Informasi. Sumber daya Teknologi Informasi mencakup antara lain perangkat keras, perangkat lunak, jaringan, sumber daya manusia dan data/informasi. (4) Dalam hal Bank tidak dapat menyelenggarakan sendiri Teknologi Informasi tersebut, Bank dimungkinkan untuk menggunakan pihak penyedia jasa Teknologi Informasi. (5) Mengingat penggunaan Teknologi Informasi dapat meningkatkan risiko yang dihadapi Bank, maka Bank wajib menerapkan manajemen risiko secara efektif. Penerapan manajemen risiko dalam penggunaan Teknologi Informasi oleh Bank sebagaimana dimaksud dalam Pasal 2 (Paragraf 170 dalam kodifikasi ini) wajib disesuaikan dengan tujuan, kebijakan usaha, ukuran dan kompleksitas usaha Bank. 93 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
Kompleksitas usaha meliputi antara lain keragaman dalam jenis transaksi/produk/jasa dan jaringan kantor serta teknologi pendukung yang digunakan. Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi Pengawasan Aktif Dewan Komisaris dan Direksi BAB III Bagian Pertama 172 Pasal 4 9/15/PBI/2007 173 Pasal 5 9/15/PBI/2007 174 Pasal 6 9/15/PBI/2007 Bank wajib menetapkan wewenang dan tanggung jawab yang jelas pada setiap jenjang jabatan yang terkait dengan penggunaan Teknologi Informasi. Dalam menetapkan wewenang dan tanggung jawab tersebut perlu memperhatikan antara lain prinsip pemisahan tugas dan tanggung jawab (segregation of duties), misalnya pihak yang melakukan input data berbeda dari pihak yang melakukan validasi data. Wewenang dan tanggung jawab sebagaimana dimaksud dalam Pasal 4 (Paragraf 172 dalam kodifikasi ini) bagi dewan Komisaris paling kurang mencakup: a. mengarahkan, memantau dan mengevaluasi Rencana Strategis Teknologi Informasi dan kebijakan Bank terkait penggunaan Teknologi Informasi; b. mengevaluasi pertanggungjawaban Direksi atas penerapan manajemen risiko dalam penggunaan Teknologi Informasi. Wewenang dan tanggung jawab sebagaimana dimaksud dalam PAsal 4 (Paragraf 172 dalm kodifikasi ini) bagi Direksi paling kurang mencakup: a. menetapkan Rencana Strategis Teknologi Informasi dan kebijakan Bank terkait penggunaan Teknologi Informasi; b. memastikan bahwa : 1. Teknologi Informasi yang digunakan Bank dapat mendukung perkembangan usaha, pencapaian tujuan bisnis Bank dan kelangsungan pelayanan kepada nasabah; 2. terdapat upaya peningkatan kompetensi sumber daya manusia yang terkait dengan penggunaan Teknologi Informasi; Upaya peningkatan kompetensi sumber daya manusia dilakukan antara lain melalui penyelenggaraan pendidikan atau pelatihan. 3. penerapan proses manajemen risiko dalam penggunaan Teknologi Informasi dilaksanakan secara memadai dan efektif; 4. tersedianya kebijakan dan prosedur Teknologi Informasi yang memadai dan dikomunikasikan serta diterapkan secara efektif baik pada satuan kerja penyelenggara maupun pengguna Teknologi Informasi; 5. terdapat sistem pengukuran kinerja proses penyelenggaraan Teknologi Informasi yang paling kurang dapat: a) mendukung proses pemantauan terhadap implementasi strategi; b) mendukung penyelesaian proyek; 94 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
c) mengoptimalkan pendayagunaan sumber daya manusia dan investasi pada infrastruktur; d) meningkatkan kinerja proses penyelenggaraan Teknologi Informasi dan kualitas layanan penyampaian hasil proses kepada pengguna. 175 Pasal 7 9/15/PBI/2007 (1) Bank wajib memiliki Komite Pengarah Teknologi Informasi (Information Technology Steering Committe). (2) Komite Pengarah Teknologi Informasi sebagaimana dimaksud pada ayat (1) bertanggung jawab memberikan rekomendasi kepada Direksi yang paling kurang terkait dengan: a. Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan) yang searah dengan rencana strategis kegiatan usaha Bank; b. kesesuaian proyek‐proyek Teknologi Informasi yang disetujui dengan Rencana Strategis Teknologi Informasi; c. kesesuaian antara pelaksanaan proyek‐proyek Teknologi Informasi dengan rencana proyek yang disepakati (project charter); d. kesesuaian Teknologi Informasi dengan kebutuhan sistem informasi manajemen dan kebutuhan kegiatan usaha Bank; e. efektivitas langkah‐langkah meminimalkan risiko atas investasi Bank pada sektor Teknologi Informasi agar investasi tersebut memberikan kontribusi terhadap tercapainya tujuan bisnis Bank; f. pemantauan atas kinerja Teknologi Informasi dan upaya peningkatannya; g. upaya penyelesaian berbagai masalah terkait Teknologi Informasi, yang tidak dapat diselesaikan oleh satuan kerja pengguna dan penyelenggara, secara efektif, efisien dan tepat waktu. (3) Komite Pengarah Teknologi Informasi sebagaimana dimaksud pada ayat (1) paling kurang beranggotakan: Struktur komite dapat disesuaikan dengan ukuran dan kompleksitas kegiatan Bank serta struktur kepemilikan/legal entity Bank. a. direktur yang membawahi satuan kerja Teknologi Informasi; b. direktur yang membawahi satuan kerja Manajemen Risiko; c. pejabat tertinggi yang membawahi satuan kerja penyelenggara Teknologi Informasi; d. pejabat tertinggi yang membawahi satuan kerja pengguna utama Teknologi Informasi. Bagian Kedua 176 Pasal 8 9/15/PBI/2007 Ayat (1) dan (2) Kecukupan Kebijakan dan Prosedur Penggunaan Teknologi Informasi di Bank (1) Bank wajib memiliki kebijakan dan prosedur penggunaan Teknologi Informasi sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf b (Paragraf 170 ayat (2) huruf b dalam kodifikasi ini). (2) Kebijakan dan prosedur penggunaan Teknologi Informasi paling kurang meliputi aspek‐aspek sebagai berikut : Kedalaman kebijakan dan prosedur selain disesuaikan dengan tujuan, kebijakan usaha, ukuran dan kompleksitas usaha Bank, juga memperhatikan profil risiko Bank. 95 Manajemen Paragraf Sumber Regulasi SE 9/30/DPNP 2007 Romawi II.4.g
Pasal 8 9/15/PBI/2007 Ayat (3) Manajemen Risiko Ketentuan
a. Manajemen; b. Pengembangan dan pengadaan; c. Operasional Teknologi Informasi; d. Jaringan komunikasi; e. Pengamanan informasi; f. Business Continuity Plan; g. End user computing; h. Audit i. Electronic Banking; dan j. Penggunaan pihak penyedia jasa Teknologi Informasi. (3) Bank wajib menetapkan limit risiko yang dapat ditoleransi untuk dapat memastikan aspek‐aspek terkait Teknologi Informasi sebagaimana dimaksud pada ayat (2) dapat berjalan dengan optimal. SE 9/30/DPNP (4)
2007 Romawi II. 1 – 3 , 5, 6 (5)
(6)
(7)
(8)
Limit risiko merupakan tingkat kesalahan yang masih bisa ditoleransi oleh sistem (risk tolerance) atau standar pengamanan yang ditetapkan atau disetujui untuk tidak dilampaui. Standar pengamanan ini disesuaikan dengan risk appetite yang dimiliki Bank. Dalam penggunaan Teknologi Informasi baik yang diselenggarakan sendiri maupun yang diselenggarakan oleh pihak penyedia jasa, Bank wajib menerapkan manajemen risiko secara efektif. Dalam rangka menerapkan manajemen risiko penggunaan Teknologi Informasi tersebut, Bank wajib memiliki kebijakan dan prosedur yang digunakan Bank dalam mengelola sumber daya Teknologi Informasi dalam rangka mendukung kelangsungan bisnis Bank terutama pelayanan kepada nasabah. Sumber daya ini mencakup antara lain perangkat keras, perangkat lunak, jaringan, sumber daya manusia serta data/ ifnormasi. Kebijakan dan prosedur penggunaan Teknologi Informasi serta pedoman manajemen risiko penggunaan Teknologi Informasi mengacu pada Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum yang merupakan Lampiran 1 Surat Edaran Bank Indonesia ini (Lampiran 28 dalam kodifikasi ini) dan Pedoman Standar Penerapan Manajemen Risiko Bank. Pedoman dalam Lampiran 1 Surat Edaran Bank Indonesia (Lampiran 28 dalam kodifikasi ini) merupakan pokok‐pokok penerapan manajemen risiko dalam penggunaan Teknologi Informasi yang harus diterapkan oleh Bank untuk memitigasi risiko yang berhubungan dengan penyelenggaraan Teknologi Informasi. Bank dengan ukuran dan kompleksitas usaha besar menggunakan parameter yang lebih ketat sebagai tambahan dari hal‐hal yang dikemukakan dalam pedoman sebagaimana dimaksud dalam Lampiran 1 Surat Edaran Bank Indonesia ini (Lampiran 28 dalam kodifikasi ini). Sementara itu Bank dengan ukuran dan kompleksitas usaha yang relatif kecil dapat menggunakan parameter yang lebih ringan dari hal‐hal yang dikemukakan dalam pedoman sebagaimana dimaksud dalam Lampiran 1 Surat Edaran Bank Indonesia (Lampiran 28 dalam kodifikasi ini), sepanjang Bank telah mempertimbangkan hasil penilaian terhadap risiko dalam aktivitas bisnis Bank, profil keamanan Teknologi Informasi serta cost and benefit. 96 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
177 Pasal 9 (1) Bank wajib memiliki Rencana Strategis Teknologi Informasi (Information 9/15/PBI/2007 Technology Strategic Plan) yang mendukung rencana strategis kegiatan usaha Bank. (2) Rencana Strategis Teknologi Informasi sebagaimana dimaksud pada ayat (1) dijabarkan dalam Rencana Bisnis bank 178 Bagian Ketiga Proses Manajemen Risiko Terkait Teknologi Informasi Pasal 10 9/15/PBI/2007 (1) Bank wajib melakukan proses manajemen risiko yang mencakup identifikasi, pengukuran, pemantauan dan pengendalian atas risiko terkait penggunaan Teknologi Informasi. (2) Proses manajemen risiko dilakukan terhadap aspek‐aspek terkait Teknologi Informasi yang paling kurang mencakup pengembangan dan pengadaan Teknologi Informasi, operasional Teknologi Informasi, jaringan komunkasi, pengamanan informasi, Business Continuity Plan, end user computing, Electronic Banking, dan penggunaan pihak penyedia jasa Teknologi Informasi. (3) Dalam hal Bank menggunakan jasa pihak lain untuk menyelenggarakan Teknologi Informasi, Bank wajib memastikan bahwa pihak penyedia jasa Teknologi Informasi menerapkan juga manajemen risiko yang paling kurang sesuai dengan Peraturan Bank Indonesia ini. 179 Pasal 11 9/15/PBI/2007 Dalam melakukan pengembangan dan pengadaan Teknologi Informasi Bank wajib melakukan langkah‐langkah pengendalian untuk menghasilkan sistem dan data yang terjaga kerahasiaan dan integritasnya serta mendukung pencapaian tujuan Bank, antara lain mencakup: a. menetapkan dan menerapkan prosedur dan metodologi pengembangan dan pengadaan Teknologi Informasi secara konsisten; b. menerapkan manajemen proyek dalam pengembangan sistem; c. melakukan testing yang memadai pada saat pengembangan dan pengadaan suatu sistem, termasuk uji coba bersama satuan kerja pengguna, untuk memastikan keakuratan dan berfungsinya sistem sesuai kebutuhan pengguna serta kesesuaian satu sistem dengan sistem yang lain; d. melakukan dokumentasi sistem yang dikembangkan dan pemeliharaannya; e. memiliki manajemen perubahan sistem aplikasi. 180 Pasal 12 9/15/PBI/2007 (1) Bank wajib mengidentifikasi dan memantau serta mengendalikan risiko yang terdapat pada aktivitas operasional Teknologi Informasi, pada jaringan komunikasi serta pada end user computing untuk memastikan efektifitas, efisiensi dan keamanan aktivitas tersebut antara lain dengan: Aktivitas operasional Teknologi Informasi mencakup aktivitas pada Pusat Data (Data Center), Disaster Recovery Center maupun pada pengguna Teknologi Informasi. a.
b.
menerapkan pengendalian fisik dan lingkungan terhadap fasilitas Pusat Data (Data Center) dan Disaster Recovery Center; menerapkan pengendalian hak akses secara memadai sesuai kewenangan yang ditetapkan; 97 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
menerapkan pengendalian pada saat input, proses, dan output dari informasi; d. memperhatikan risiko yang mungkin timbul dari ketergantungan Bank terhadap penggunaan jaringan komunikasi; e. memastikan aspek desain dan pengoperasian dalam implementasi jaringan komunikasi sesuai dengan kebutuhan; f. melakukan pemantauan kegiatan operasional Teknologi Informasi termasuk adanya audit trail; g. melakukan pemantauan penggunaan aplikasi yang dikembangkan atau diadakan oleh satuan kerja di luar satuan kerja Teknologi Informasi. (2) Bagi Bank yang memiliki unit usaha yang melaksanakan kegiatan usaha berdasarkan prinsip syariah, wajib memiliki sistem yang dapat menghasilkan laporan yang terpisah bagi kegiatan usaha Bank berdasarkan prinsip syariah. c.
Yang dimaksud memiliki sistem yang dapat menghasilkan laporan yang terpisah adalah yang dapat mengidentifikasikan input dan proses serta output dari transaksi berdasarkan prinsip syariah. 181 Pasal 13 9/15/PBI/2007 182 Pasal 14 9/15/PBI/2007 (1) Bank wajib memastikan Business Continuity Plan dan Disaster Recovery Plan dapat dilaksanakan secara efektif agar kegiatan usaha Bank tetap berjalan saat terjadi gangguan yang signifikan pada sarana Teknologi Informasi yang digunakan Bank. Business Continuity Plan dan Disaster Recovery Plan disusun selain mencakup rencana pemulihan pada situasi total disaster juga pada berbagai tingkat gangguan dan bencana misalnya minor (berdampak kecil dan tidak memerlukan biaya besar serta dapat diselesaikan dalam jangka waktu pendek), major ( berdampak besar dan dapat menjadi lebih parah apabila tidak diatasi segera) dan catastrophic (berdampak terjadi kerusakan yang bersifat permanen sehingga memerlukan relokasi/penggantian dengan biaya yang besar). Yang dimaksud dengan dapat dilaksanakan secara efektif adalah operasional Teknologi Informasi dapat berjalan kembali segera setelah gangguan terjadi sehingga tidak mengganggu pelayanan kepada nasabah. (2) Bank wajib melakukan uji coba atas Business Continuity Plan dan Disaster Recovery Plan terhadap seluruh sistem/aplikasi dan infrastruktur yang kritikal sesuai hasil Business Impact Analysis, paling kurang sekali dalam 1 (satu) tahun dengan melibatkan end user (end to end). (3) Bank wajib melakukan pengkinian Business Continuity Plan dan Disaster Recovery Plan. Bank wajib memastikan pengamanan informasi dilaksanakan secara efektif dengan memperhatikan paling kurang hal‐hal sebagai berikut: a. pengamanan informasi ditujukan agar informasi yang dikelola terjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaannya (availability) secara efektif dan efisien dengan memperhatikan kepatuhan terhadap ketentuan yang berlaku; 98 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
b. pengamanan informasi dilakukan terhadap aspek teknologi, sumber daya manusia dan proses dalam penggunaan Teknologi Informasi; c. pengamanan informasi mencakup pengelolaan aset bank yang terkait dengan informasi, kebijakan sumber daya manusia, pengamanan fisik, pengamanan akses, pengamanan operasional, dan aspek penggunaan Teknologi Informasi lainnya; d. adanya manajemen penanganan insiden dalam pengamanan informasi; dan e. pengamanan informasi diterapkan berdasarkan hasil penilaian terhadap risiko (risk assessment) pada informasi yang dimiliki Bank. Sistem Pengendalian dan Audit Intern atas Penyelanggaraan Teknologi Informasi Bagian Keempat 183 Pasal 15 9/15/PBI/2007 (1) Bank wajib melaksanakan sistem pengendalian intern secara efektif terhadap semua aspek penggunaan Teknologi Informasi. Dalam melaksanakan sistem pengendalian intern Teknologi Informasi Bank mengacu pada prinsip‐prinsip umum sebagaimana diatur dalam ketentuan mengenai pedoman standar sistem pengendalian intern. (2) Sistem pengendalian intern sebagaimana dimaksud pada ayat (1) paling kurang mencakup: a. pengawasan oleh manajemen dan adanya budaya pengendalian; b. identifikasi dan penilaian risiko; c. kegiatan pengendalian dan pemisahan fungsi; d. sistem informasi, sistem akuntansi dan sistem komunikasi; e. kegiatan pemantauan dan koreksi penyimpangan, yang dilakukan oleh satuan kerja operasional, satuan kerja audit intern maupun pihak lainnya. (3) Sistem informasi, sistem akuntansi dan sistem komunikasi sebagaimana dimaksud pada ayat (2) huruf d harus didukung oleh teknologi, sumber daya manusia dan struktur organisasi Bank yang memadai. Yang dimaksud dengan memadai antara lain teknologi yang sesuai dengan kegiatan operasional Bank, sumber daya manusia yang kompeten dan struktur organisasi yang tidak memberikan peluang kepada siapapun untuk melakukan dan menyembunyikan kesalahan atau penyimpangan dalam pelaksanaan tugasnya. (4) Kegiatan pemantauan dan tindakan koreksi penyimpangan sebagaimana dimaksud pada ayat (2) huruf e paling kurang meliputi: a. kegiatan pemantauan secara terus menerus; b. pelaksanaan fungsi audit intern yang efektif dan menyeluruh; c. perbaikan terhadap penyimpangan baik yang diidentifikasi oleh satuan kerja operasional, satuan kerja audit intern maupun pihak lainnya. 99 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
184 Pasal 16 (1) Pelaksanaan fungsi audit intern Teknologi Informasi sebagaimana 9/15/PBI/2007 dimaksud dalam Pasal 15 ayat (4) huruf b (Paragraf 183 ayat (4) huruf b dalam kodifikasi ini) memperhatikan kepatuhan terhadap ketentuan yang berlaku. Ketentuan yang berlaku antara lain ketentuan mengenai standar pelaksanaan fungsi audit intern. (2) Dalam hal terdapat keterbatasan kemampuan satuan kerja audit intern Teknologi Informasi maka pelaksanaan fungsi audit intern sebagaimana dimaksud pada ayat (1) dapat dilakukan oleh auditor ekstern. Penggunaan auditor ekstern untuk melaksanakan fungsi audit intern atas Teknologi Informasi tidak mengurangi tanggung jawab pimpinan Satuan Kerja Audit Intern Bank. Selain itu penggunaan auditor ekstern harus telah mempertimbangkan ukuran dan kompleksitas usaha Bank. (3) Pelaksanaan audit intern wajib dilakukan secara berkala. 185 Pasal 17 9/15/PBI/2007 (1) Pedoman audit intern yang dimiliki Bank wajib mencakup audit intern terhadap penggunaan Teknologi Informasi baik yang diselenggarakan sendiri atau oleh pihak penyedia jasa Teknologi Informasi. (2) Bank wajib menyampaikan hasil audit intern terhadap Teknologi Informasi sebagai bagian dari laporan pelaksanaan dan pokok‐pokok hasil audit intern sebagaimana diatur dalam ketentuan mengenai penerapan standar pelaksanaan fungsi audit intern. (3) Bank wajib melakukan kaji ulang atas fungsi audit intern atas penggunaan Teknologi Informasi paling kurang setiap 3 (tiga) tahun sekali. (4) Kaji ulang sebagaimana dimaksud pada ayat (3) wajib menggunakan jasa pihak ekstern yang independen. (5) Hasil kaji ulang disertai saran perbaikan dilaporkan kepada Bank Indonesia sebagai bagian dari laporan kaji ulang sebagaimana diatur dalam ketentuan mengenai penerapan standar pelaksanaan fungsi audit intern. BAB IV 186 Bagian Pertama Pasal 18 9/15/PBI/2007 Penyelenggaraan Teknologi Informasi oleh Pihak Penyedia Jasa Teknologi Informasi Umum
(1) Bank dapat menyelenggarakan Teknologi Informasi sendiri dan/atau menggunakan pihak penyedia jasa Teknologi Informasi. Yang dimaksud dengan menggunakan pihak penyedia jasa Teknologi Informasi adalah penggunaan jasa pihak lain dalam penyelenggaraan Teknologi Informasi Bank secara berkesinambungan dan/atau dalam periode tertentu. Yang dimaksud dengan pihak lain bagi kantor cabang bank asing termasuk kantor pusat dan kantor bank lainnya di luar negeri maupun kelompok usaha Bank. Yang dimaksud pihak lain bagi bank yang dimiliki pihak asing termasuk kantor induk dan kelompok usaha Bank. 100 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
(2) Penggunaan pihak penyedia jasa Teknologi Informasi sebagaimana dimaksud pada ayat (1) hanya dapat dilakukan sepanjang Bank dan pihak penyedia jasa Teknologi Informasi memenuhi persyaratan sebagai berikut: a. bagi Bank: 1) Bank tetap bertanggung jawab atas penerapan manajemen risiko; Yang dimaksud tanggung jawab Bank dalam menerapkan manajemen risiko antara lain dengan memastikan bahwa penyedia jasa menerapkan manajemen risiko secara memadai pada kegiatan Bank yang diselenggarakan oleh pihak penyedia jasa Teknologi Informasi sesuai yang dipersyaratkan dalam Peraturan Bank Indonesia ini. 2) Bank mampu untuk melakukan pengawasan atas pelaksanaan kegiatan Bank yang diselenggarakan oleh pihak penyedia jasa Teknologi Informasi; 3) pemilihan pihak penyedia jasa Teknologi Informasi dilakukan oleh Bank berdasarkan cost and benefit analysis dan melibatkan satuan kerja penyelenggara Teknologi Informasi Bank; 4) Bank wajib memantau dan mengevaluasi kehandalan pihak penyedia jasa secara berkala baik yang menyangkut kinerja, reputasi penyedia jasa dan kelangsungan penyediaan layanan; 5) Bank tetap memberikan akses kepada auditor intern, ekstern dan Bank Indonesia untuk memperoleh data dan informasi setiap kali dibutuhkan; Akses untuk memperoleh data dan informasi dimaksudkan agar pemeriksaan dapat dilaksanakan secara efektif. 6) Bank memberikan akses kepada Bank Indonesia terhadap database secara tepat waktu baik untuk data terkini maupun untuk data yang telah lalu. Akses terhadap database tersebut meliputi namun tidak terbatas pada penyediaan terminal, user id untuk melakukan query, dan download data. b. bagi pihak penyedia jasa Teknologi Informasi: 1) pihak penyedia jasa harus menerapkan prinsip pengendalian Teknologi Informasi (IT control) secara memadai yang dibuktikan dengan hasil audit yang dilakukan pihak independen; Syarat ini dimaksudkan untuk meyakini bahwa Pusat Data (Data Center), Disaster Recovery Center dan/atau Pemrosesan Transaksi Berbasis Teknologi yang digunakan oleh Bank memiliki pengendalian Teknologi Informasi yang memadai paling kurang mencakup physical security dan logical security. 101 Manajemen Paragraf Sumber Regulasi 2)
Manajemen Risiko Ketentuan
pihak penyedia jasa harus menyediakan akses bagi auditor intern Bank, auditor ekstern yang ditunjuk oleh Bank, dan auditor Bank Indonesia untuk memperoleh data dan informasi yang diperlukan secara tepat waktu setiap kali dibutuhkan; Akses tersebut diperlukan untuk memperoleh data dan informasi yang diperlukan dalam rangka audit baik audit Teknologi Informasi maupun audit lainnya. 3)
pihak penyedia jasa harus menyatakan tidak berkeberatan bila Bank Indonesia hendak melakukan pemeriksaan terhadap kegiatan penyediaan jasa tersebut; Pernyataan tersebut dibuktikan dengan dokumen berupa “Surat Pernyataan” yang harus dibuat oleh pihak penyedia jasa yang menyelenggarakan Pusat Data (Data Center), Disaster Recovery Center, dan/atau Pemrosesan Transaksi Berbasis Teknologi. 4)
sebagai pihak terafiliasi, pihak penyedia jasa harus menjamin keamanan seluruh informasi termasuk rahasia Bank dan data pribadi nasabah; Yang dimaksud keamanan seluruh informasi adalah terpenuhinya prinsip kerahasiaan (confidentiality), integritas (integrity), dan keaslian (authentication). 5)
6)
7)
pihak penyedia jasa hanya dapat melakukan subkontrak sebagian kegiatannya berdasarkan persetujuan Bank yang dibuktikan dengan dokumen tertulis; pihak penyedia jasa harus melaporkan kepada Bank setiap kejadian kritis yang dapat mengakibatkan kerugian keuangan yang signifikan dan/atau mengganggu kelancaran operasional Bank; pihak penyedia jasa harus menyampaikan secara berkala hasil audit Teknologi Informasi yang dilakukan auditor independen terhadap penyelenggaraan Pusat Data (Data Center), Disaster Recovery Center dan/atau Pemrosesan Transaksi Berbasis Teknologi, kepada Bank Indonesia melalui Bank yang bersangkutan; Cakupan audit yang dilakukan oleh auditor independen termasuk sistem aplikasi yang digunakan untuk memproses data Bank. 8)
9)
pihak penyedia jasa harus menyediakan Disaster Recovery Plan yang teruji dan memadai; dan pihak penyedia jasa harus bersedia untuk kemungkinan penghentian perjanjian sebelum berakhirnya jangka waktu perjanjian (early termination). 102 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
(3) Penggunaan pihak penyedia jasa Teknologi Informasi oleh Bank sebagaimana dimaksud pada ayat (1) harus didasarkan pada perjanjian tertulis yang paling kurang memuat kesediaan pihak penyedia jasa Teknologi Informasi untuk menyelenggarakan dan atau melakukan hal‐
hal sebagaimana dimaksud dalam ayat (2) huruf b. (4) Dalam hal pihak penyedia jasa Teknologi Informasi merupakan pihak terkait dengan Bank, Bank tetap wajib melakukan proses seleksi dan transaksi dengan pihak penyedia jasa dengan memperhatikan prinsip kehati‐hatian, manajemen risiko dan didasarkan pada hubungan kerja sama secara wajar (arm’s length principle). Yang dimaksud dengan pihak terkait dengan Bank adalah pihak terkait sebagaimana diatur dalam ketentuan Bank Indonesia mengenai Batas Maksimum Pemberian Kredit Bank Umum. Yang dimaksud dengan hubungan kerja sama secara wajar (arm's length principle) adalah kondisi dimana transaksi antar pihak bersifat independen sebagaimana pihak yang tidak terkait, antara lain memiliki kesetaraan dan didasarkan pada harga pasar yang wajar sehingga meminimalisasi terjadinya konflik kepentingan (conflict of interest). (5) Dalam hal terdapat kondisi sebagai berikut: a. memburuknya kinerja penyelenggaraan Teknologi Informasi oleh pihak penyedia jasa Teknologi Informasi yang dapat berdampak signifikan pada kegiatan usaha Bank; b. pihak penyedia jasa Teknologi Informasi menjadi tidak solvabel, atau dalam proses menuju likuidasi, atau dipailitkan oleh pengadilan; c. terdapat pelanggaran oleh pihak penyedia jasa terhadap ketentuan rahasia Bank dan kewajiban merahasiakan data pribadi nasabah; dan/atau d. terdapat kondisi yang menyebabkan Bank tidak dapat menyediakan data yang diperlukan dalam rangka pengawasan oleh Bank Indonesia; maka Bank wajib melakukan hal‐hal sebagai berikut: a. melaporkan kepada Bank Indonesia paling lambat 3 (tiga) hari kerja setelah kondisi tersebut diatas diketahui oleh Bank; b. memutuskan tindak lanjut yang akan diambil untuk mengatasi permasalahan termasuk penghentian penggunaan jasa apabila diperlukan; c. melaporka kepada Bank Indonesia segera setelah Bank menghentikan penggunaan jasa sebelum berakhirnya jangka waktu perjanjian. (6) Dalam hal penggunaan penyedia jasa atau rencana penggunaan penyedia jasa menyebabkan atau diindikasikan akan menyebabkan kesulitan pengawasan yang dilakukan Bank Indonesia maka Bank Indonesia dapat: a. memerintahkan Bank untuk menghentikan penggunaan jasa Teknologi Informasi sebelum berakhirnya jangka waktu perjanjian; atau. 103 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
b. menolak rencana penggunaan pihak penyedia jasa yang diajukan oleh Bank. Indikasi kesulitan pengawasan antara lain: a. kesulitan otoritas pengawas dalam akses terhadap data dan informasi; b. kesulitan dalam pelaksanaan pemeriksaan terhadap pihak penyedia jasa; c. pihak penyedia jasa digunakan sebagai media untuk melakukan rekayasa data Bank dan atau rekayasa keuangan Bank. 187 Bagian Kedua Penyelenggaraan Pusat Data (Data Center) dan/atau Disaster Recovery Center Pasal 19 9/15/PBI/2007 Ayat (1) dan (2) SE 9/30/DPNP 2007 Romawi IV Pasal 19 9/15/PBI/2007 Ayat (3) (1) Pusat Data (Data Center) dan/atau Disaster Recovery Center diselenggarakan di dalam negeri. (2) Dalam hal Bank akan menyelenggarakan Pusat Data (Data Center) dan/atau Disaster Recovery Center di luar negeri, Bank harus mendapat persetujuan terlebih dahulu dari Bank Indonesia dengan memenuhi persyaratan tertentu. Penyelenggaraan Pusat Data (Data Center) dan/atau Disaster Recovery Center di luar negeri yang harus mendapat persetujuan dari Bank Indonesia terlebih dahulu, termasuk penyelenggaraan pada kantor Bank, kantor induk maupun kelompok usaha Bank di luar negeri. Penyelenggaraan Pusat Data (Data Center) dan/atau Disaster Recovery Center oleh kantor cabang dari Bank yang kantor pusatnya berkedudukan di Indonesia yang beroperasi di luar negeri pada kantor cabang tersebut tidak termasuk dalam ketentuan pada ayat (2). Bank hanya dapat menyelenggarakan Pusat Data (Data Center), Disaster Recovery Center dan atau Pemrosesan Transaksi Berbasis Teknologi di luar negeri setelah memperoleh persetujuan atas rencana tersebut dari Bank Indonesia. Untuk memperoleh persetujuan dimaksud Bank wajib mengajukan permohonan yang didukung dengan dokumen‐dokumen sebagaimana tercantum dalam Lampiran 2.2.3 dan Lampiran 2.2.5 (Lampiran 29.2.3 dan Lampiran 29.2.5 dalam kodifikasi ini). (3) Persetujuan sebagaimana dimaksud pada ayat (2) dapat diberikan apabila Bank memenuhi persyaratan sebagaimana tercantum pada Pasal 18 ayat (2) sampai dengan ayat (4) (Paragraf 186 ayat (2) sampai dengan ayat (4) dalam kodifikasi ini) serta persyaratan tambahan sebagai berikut: a. Bank menyampaikan hasil analisis country risk; b. Bank memastikan penyelenggaraan Pusat Data (Data Center) dan/atau Disaster Recovery Center di luar negeri tidak mengurangi efektifitas pengawasan Bank Indonesia; Yang dimaksud dengan “tidak mengurangi efektifitas pengawasan Bank Indonesia” adalah tidak menimbulkan kesulitan pengawas dalam memperoleh data dan informasi yang diperlukan seperti 104 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
adanya akses terhadap database dan memiliki struktur database dari setiap aplikasi yang digunakan. c. Bank memastikan bahwa informasi mengenai rahasia Bank hanya dapat diungkapkan sepanjang memenuhi ketentuan perundang‐
undangan yang berlaku di Indonesia; Ketentuan perundang‐undangan yang berlaku di Indonesia antara lain ketentuan Bank Indonesia tentang tata cara pemberian perintah atau izin tertulis membuka rahasia Bank. d. Bank memastikan bahwa perjanjian tertulis dengan penyedia jasa juga memuat klausula choice of law; e. Apabila Bank merupakan kantor cabang bank asing atau Bank yang dimiliki lembaga keuangan asing maka Bank wajib menyampaikan: 1) Surat Pernyataan dari otoritas pengawas lembaga keuangan di luar negeri bahwa pihak penyedia jasa merupakan cakupan pengawasannya; 2) Surat Pernyataan tidak keberatan dari otoritas pengawas lembaga keuangan di luar negeri bahwa Bank Indonesia dapat melakukan pemeriksaan terhadap pihak penyedia jasa; 3) Surat Pernyataan bahwa Bank akan menyampaikan secara berkala hasil penilaian yang dilakukan kantor bank di luar negeri atas penerapan manajemen risiko pada pihak penyedia jasa. Yang dimaksud dengan kantor bank di luar negeri bagi kantor cabang bank asing adalah kantor pusat atau kantor lainnya. Sedangkan bagi Bank yang dimiliki lembaga keuangan asing yang dimaksud dengan kantor bank di luar negeri adalah kantor induk Bank tersebut. f.
Permohonan persetujuan yang diajukan Bank harus memuat pula hal‐hal sebagai berikut: 1) Manfaat bagi Bank lebih besar daripada beban yang ditanggung oleh Bank; Manfaat yang diharapkan antara lain peningkatan kualitas layanan kepada nasabah. 2) Rencana Bank untuk meningkatkan kemampuan sumber daya manusia Bank baik yang berkaitan dengan penyelenggaraan Teknologi Informasi maupun transaksi bisnis atau produk yang ditawarkan. 105 Manajemen Paragraf Sumber Regulasi Bagian Ketiga 188 Pasal 20 9/15/PBI/2007 Manajemen Risiko Ketentuan
Penyelenggaraan Pemrosesan Transaksi oleh Pihak Penyedia Jasa (1) Penyelenggaraan pemrosesan transaksi oleh pihak penyedia jasa hanya dapat dilakukan sepanjang memenuhi prinsip kehati‐hatian. Yang dimaksud dengan prinsip kehati‐hatian dalam ayat ini antara lain mengenai pengelolaan risiko atas produk dan aktivitas baru sebagaimana diatur dalam ketentuan mengenai manajemen risiko. Yang dimaksud dengan produk dan aktivitas baru antara lain produk dan aktivitas yang menambah atau meningkatkan risiko pada Bank termasuk pengembangan pelayanan seperti pemasaran kredit. (2) Penyelenggaraan Pemrosesan Transaksi Berbasis Teknologi Informasi oleh pihak penyedia jasa di dalam negeri hanya dapat dilakukan sepanjang memenuhi persyaratan pada Pasal 18 ayat (2) sampai dengan ayat (4) (Paragraf 186 ayat (2) sampai dengan ayat (4) dalam kodifikasi ini); (3) Penyelenggaraan Pemrosesan Transaksi Berbasis Teknologi Informasi oleh pihak penyedia jasa di luar negeri hanya dapat dilakukan sepanjang memperoleh persetujuan dari Bank Indonesia. Penyelenggaraan Pemrosesan Transaksi Berbasis Teknologi Informasi di luar negeri dalam ayat ini termasuk yang dilakukan pada kantor pusat atau kantor lainnya bagi kantor cabang bank asing atau kantor induk bagi bank yang dimiliki lembaga keuangan asing. (4) Persetujuan sebagaimana dimaksud pada ayat (3) dapat diberikan apabila bank memenuhi persyaratan sebagaimana dimaksud pada Pasal 18 ayat (2) sampai dengan ayat (4) dan pada Pasal 19 ayat (3) (Paragraf 186 ayat (2) sampai dengan ayat (4) dan pada Paragraf 187 ayat (3) dalam kodifikasi ini) serta persyaratan tambahan sebagai berikut: a. Memperhatikan aspek perlindungan kepada nasabah; Hubungan Bank dengan nasabah didasarkan atas perjanjian yang jelas dan memperhatikan ketentuan mengenai transparansi informasi produk dan penggunaan data pribadi nasabah serta ketentuan mengenai penyelesaian pengaduan nasabah. Bank tetap bertanggungjawab atas setiap transaksi yang pemrosesannya diserahkan kepada pihak penyedia jasa. b. Aktivitas yang pemrosesannya diserahkan kepada pihak penyedia jasa di luar negeri tidak merupakan aktivitas inherent banking functions; Yang dimaksud dengan “aktivitas inherent banking functions” adalah aktivitas yang terkait dengan tabungan, giro, deposito berjangka, dan kredit kecuali kartu kredit. Yang termasuk aktifitas terkait antara lain aktifitas pemeliharaan master file data pribadi nasabah. 106 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
c. Dokumen pendukung administrasi keuangan atas transaksi yang dilakukan di kantor Bank di Indonesia wajib dipelihara di kantor Bank di Indonesia. Yang dimaksud dengan dokumen pendukung administrasi keuangan adalah data yang merupakan bukti adanya hak dan kewajiban serta kegiatan usaha suatu perusahaan dan digunakan sebagai pendukung penyusunan laporan keuangan. Contoh: akad kredit dan dokumen pencairan kredit, deal slip dan deal confirmation transaksi treasury serta dokumen perintah transfer dana melalui SWIFT. d. Rencana Bisnis Bank menunjukkan adanya upaya untuk meningkatkan peran Bank bagi perkembangan perekonomian Indonesia. Upaya untuk meningkatkan peran Bank bagi perkembangan perekonomian Indonesia antara lain tercermin pada rencana peningkatan pemberian kredit, peningkatan pembiayaan ekspor impor. 189 Pasal 21 9/15/PBI/2007 (1) Rencana penggunaan pihak penyedia jasa dalam penyelenggaraan Pusat Data (Data Center), Disaster Recovery Center dan/atau Pemrosesan Transaksi Berbasis Teknologi wajib telah dimuat dalam Rencana Strategis Teknologi Informasi dan Rencana Bisnis Bank. (2) Bank wajib melaporkan rencana penggunaan pihak penyedia jasa dalam penyelenggaraan Pusat Data (Data Center), Disaster Recovery Center dan/atau Pemrosesan Transaksi Berbasis Teknologi di dalam negeri kepada Bank Indonesia paling lambat 2 (dua ) bulan sebelum penyelenggaraan kegiatan oleh pihak penyedia jasa tersebut efektif dioperasikan. (3) Dalam hal terdapat rencana menyerahkan penyelenggaraan Pusat Data (Data Center), Disaster Recovery Center dan/atau Pemrosesan Transaksi Berbasis Teknologi kepada pihak penyedia jasa di luar negeri, Bank wajib menyampaikan permohonan persetujuan paling lambat 4 (empat) bulan sebelum penyelenggaraan kegiatan oleh pihak penyedia jasa tersebut efektif dioperasikan. (4) Realisasi rencana penyelenggaraan Pusat Data (Data Center), Disaster Recovery Center dan/atau Pemrosesan Transaksi Berbasis Teknologi oleh pihak penyedia jasa wajib dilaporkan paling lambat 1 (satu) bulan sejak kegiatan tersebut efektif dioperasikan. Laporan tesebut mencakup kajian paska implementasi (post implemention review). (5) Penyampaian rencana dan realisasi rencana sebagaimana dimaksud pada ayat (2), ayat (3) dan ayat (4) dilaksanakan dengan menggunakan format Laporan Perubahan Mendasar. (6) Persetujuan atau penolakan atas permohonan sebagaimana dimaksud pada ayat (3) diberikan selambat‐lambatnya 3 (tiga) bulan setelah dokumen permohonan diterima secara lengkap. 107 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Yang dimaksud dokumen permohonan diterima secara lengkap adalah diterimanya dokumen yang dipersyaratkan dalam ketentuan ini serta diterimanya data tambahan apabila diperlukan. BAB V Electronic Banking
190 Pasal 22 9/15/PBI/2007 191 Pasal 23 9/15/PBI/2007 (1) Bank yang menyelenggarakan kegiatan Electronic Banking wajib memenuhi ketentuan Bank Indonesia yang berlaku. Ketentuan Bank Indonesia yang berlaku meliputi ketentuan yang mengatur mengenai produk, seperti ketentuan tentang Penyelenggaraan Kegiatan Alat Pembayaran dengan Menggunakan Kartu dan ketentuan lainnya seperti ketentuan tentang Penerapan Prinsip Mengenal Nasabah (Know Your Customer) dan ketentuan tentang Penerapan Manajemen Risiko serta ketentuan‐ketentuan lain yang mengatur prinsip kehati‐hatian dalam kegiatan usaha Bank. (2) Bank harus memberikan edukasi kepada nasabah mengenai produk Electronic Banking dan pengamanannya secara berkesinambungan. Edukasi yang diberikan oleh Bank kepada nasabah dimaksudkan sebagai upaya meningkatkan pemahaman nasabah atas karakteristik produk Electronic Banking, baik dari aspek manfaat, risiko, pengamanan dan kemungkinan penyalahgunaan oleh pihak lain yang mengakibatkan kerugian nasabah. (1) Setiap rencana penerbitan produk Electronic Banking baru harus dimuat dalam Rencana Bisnis Bank. (2) Setiap rencana penerbitan produk Electronic Banking yang bersifat transaksional wajib dilaporkan kepada Bank Indonesia paling lambat 2 (dua) bulan sebelum produk tersebut diterbitkan. Yang dimaksud dengan “produk Electronic Banking” adalah produk baru yang karakteristiknya berbeda dengan produk yang telah ada di Bank dan/atau menambah atau meningkatkan eksposur risiko tertentu pada Bank. (3) Pelaporan rencana produk Electronic Banking sebagaimana dimaksud pada ayat (2) tidak berlaku bagi produk Electronic Banking sepanjang terdapat ketentuan Bank Indonesia yang secara khusus mengatur persyaratan persetujuan produk tersebut. (4) Laporan rencana penerbitan produk sebagaimana dimaksud pada ayat (2) wajib dilengkapi dengan hal‐hal sebagai berikut: a. bukti‐bukti kesiapan untuk menyelenggarakan Electronic Banking yang paling kurang memuat: 1) struktur organisasi yang mendukung termasuk pengawasan dari pihak manajemen; 2) kebijakan, sistem, prosedur dan kewenangan dalam penerbitan produk Electronic Banking; 3) kesiapan infrastruktur Teknologi Informasi untuk mendukung produk Electronic Banking; 108 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
hasil analisis dan identifikasi risiko terhadap risiko yang melekat pada produk Electronic Banking; 5) kesiapan penerapan manajemen risiko khususnya pengendalian pengamanan (security control) untuk memastikan terpenuhinya prinsip kerahasiaan (confidentiality), integritas (integrity), keaslian (authentication), non repudiation dan ketersediaan (availability); 6) hasil analisis aspek hukum; 7) uraian sistem informasi akuntansi; 8) program perlindungan dan edukasi nasabah. b. hasil analisis bisnis mengenai proyeksi produk baru 1 (satu) tahun kedepan. 4)
(5) Penyampaian pelaporan sebagaimana dimaksud dalam ayat (2) harus dilengkapi dengan hasil pemeriksaan dari pihak independen untuk memberikan pendapat atas karakteristik produk dan kecukupan pengamanan sistem Teknologi Informasi terkait produk serta kepatuhan terhadap ketentuan dan atau praktek‐praktek yang berlaku di dunia internasional. Hasil pemeriksaan dari pihak independen di luar Bank diperlukan untuk produk Electronic Banking yang baru pertama kali diterbitkan oleh Bank seperti internet banking yang bersifat transaksional dan sms banking. Sedangkan untuk penambahan fitur layanan produk Electronic Banking yang telah ada yang dapat menambah atau meningkatkan eksposur risiko, Bank dapat menyampaikan hasil pemeriksaan yang dilakukan oleh pihak internal Bank yang tidak terlibat dalam perancangan dan pengembangan sistem aplikasi serta pengambilan keputusan dalam implementasi aktivitas Electronic Banking. (6) Dalam hal Teknologi Informasi yang digunakan dalam menyelenggarakan kegiatan Electronic Banking dilakukan oleh pihak penyedia jasa maka berlaku pula ketentuan sebagaimana diatur dalam bagian penyelenggaraan Teknologi Informasi oleh pihak penyedia jasa Teknologi Informasi. (7) Realisasi rencana penerbitan produk Electronic Banking wajib dilaporkan paling lambat 1 (satu) bulan sejak rencana dilaksanakan dengan menggunakan format Laporan Perubahan Mendasar Teknologi Informasi. Laporan realisasi rencana penerbitan produk Electronic Banking mencakup kajian paska implementasi (post implementation review). BAB VI Bagian Pertama 192 Pasal 24 9/15/PBI/2007 Ayat (1) Pelaporan
Laporan Penggunaan Teknologi Informasi (1) Bank wajib menyampaikan Laporan Tahunan Penggunaan Teknologi Informasi paling lambat 1 (satu) bulan sejak akhir tahun pelaporan 109 Manajemen Paragraf Sumber Regulasi SE 9/30/DPNP 2007 Romawi III.1. a.1 Ketentuan
Laporan Penggunaan Teknologi Informasi dengan ketentuan sebagai berikut: Laporan menggunakan format sebagaimana dimaksud pada Lampiran 2.1 (Lampiran 29.1 dalam kodifikasi ini). Pasal 24 9/15/PBI/2007 Ayat (2) Manajemen Risiko (2) Bank wajib menyampaikan Laporan Tahunan Penggunaan Teknologi Informasi paling lambat 1 (satu) bulan sejak akhir tahun pelaporan; Laporan ini berisi perubahan yang telah dilakukan selama satu tahun pelaporan atas data yang telah disampaikan dalam Laporan Penggunaan Teknologi Informasi, diluar perubahan yang telah dilaporkan dalam Laporan Perubahan Mendasar. Hal‐hal yang perlu dilaporkan antara lain perubahan pejabat penentu dalam struktur organisasi Teknologi Informasi serta perubahan rencana jangka panjang (IT Strategic Plan). SE 9/30/DPNP 2007 Romawi III.1. b.1 Laporan menggunakan format sebagaimana dimaksud pada Lampiran 2.4 (Lampiran 29.4 dalam kodifikasi ini). 193 Bagian Kedua Laporan Perubahan Mendasar
Pasal 25 9/15/PBI/2007 Ayat (1) (1)
SE 9/30/DPNP 2007 Romawi III.1.c Pasal 25 9/15/PBI/2007 Ayat (2) SE 9/30/DPNP 2007 Romawi III.1.d Bank wajib menyampaikan Laporan Rencana Perubahan Mendasar Teknologi Informasi paling lambat 2 (dua) bulan sebelum perubahan tersebut efektif dioperasikan; Perubahan mendasar yang dilaporkan antara lain perubahan terhadap konfigurasi, aplikasi core banking, produk Electronic Banking, penggunaan pihak penyedia jasa di dalam negeri, dan perubahan mendasar lainnya yang dapat menambah atau meningkatkan risiko Bank. 1) Laporan menggunakan format sebagaimana dimaksud pada Lampiran 2.2 (Lampiran 29.2 dalam kodifikasi ini). 2) Laporan wajib disampaikan paling lambat 2 (dua) bulan sebelum perubahan tersebut efektif dioperasikan. Khusus untuk rencana perubahan hal‐hal tersebut dibawah ini wajib disampaikan 4 (empat) bulan sebelum efektif dioperasikan: a) Penyelenggaraan Data Center oleh pihak lain di luar negeri. b) Penyelenggaraan Disaster Recovery Center oleh pihak lain di luar negeri. c) Penyelenggaraan pemrosesan transaksi berbasis Teknologi Informasi oleh pihak lain di luar negeri. (2) Bank wajib menyampaikan Laporan Realisasi Rencana Perubahan Mendasar Teknologi Informasi paling lambat 1 (satu) bulan sejak perubahan tersebut efektif dioperasikan. Laporan Realisasi Rencana Perubahan Mendasar Teknologi Informasi dengan ketentuan sebagai berikut: 1) Laporan menggunakan format sebagaimana dimaksud pada Lampiran 2.3 (Lampiran 29.3 dalam kodifikasi ini). 110 Manajemen Paragraf Sumber Regulasi Ketentuan
2) Bank yang menyampaikan laporan realisasi rencana perubahan mengenai produk dan atau aktivitas baru dengan menggunakan format sebagaimana dimaksud dalam Lampiran 2.3 (Lampiran 29.3 dalam kodifikasi ini), tidak perlu menyampaikan Laporan Produk dan Aktivitas Baru sebagaimana diatur dalam ketentuan Bank Indonesia mengenai manajemen risiko bank umum. (3) Produk dan/atau aktivitas baru yang telah dilaporkan dalam Laporan Realisasi Rencana Perubahan Mendasar Teknologi Informasi tidak perlu dilaporkan dalam Laporan Produk dan Aktivitas Baru sebagaimana diatur dalam ketentuan Bank Indonesia mengenai manajemen risiko bank umum. Dengan berlakunya ketentuan dalam ayat ini maka kewajiban menyampaikan laporan produk dan aktivitas baru sebagaimana diatur dalam ketentuan manajemen risiko menjadi tidak berlaku untuk produk yang dilaporkan dengan format laporan realisasi ini. Pasal 25 9/15/PBI/2007 Ayat (3) SE 9/30/DPNP 2007 Romawi III.2 194 Manajemen Risiko (4) Seluruh laporan di atas wajib disampaikan oleh Bank walaupun penyelenggaraan Teknologi Informasi yang digunakan oleh Bank telah diserahkan kepada pihak penyedia jasa. Bagian Ketiga Laporan Lain
Pasal 26 9/15/PBI/2007 (1) Bank wajib menyampaikan hasil audit Teknologi Informasi yang dilakukan pihak independen terhadap Pusat Data (Data Center) dan/atau Disaster Recovery Center dan/atau Pemrosesan Transaksi Berbasis Teknologi yang penyelenggaraannya dilakukan oleh pihak penyedia jasa sebagaimana dimaksud dalam Pasal 18 ayat (2) huruf b angka 7 (Paragraf 186 ayat (2) huruf b angka 7 dalam kodifikasi ini), paling lambat 2 (dua) bulan setelah audit selesai dilakukan. (2) Bank wajib menyampaikan hasil penilaian penerapan manajemen risiko pada pihak penyedia jasa di luar negeri sebagaimana dimaksud dalam Pasal 187 ayat (3) huruf e angka 3 (Paragraf 187 ayat (3) huruf e angka 3 dalam kodifikasi ini) paling lambat 1 (satu) bulan setelah akhir periode penilaian risiko. (3) Bank wajib melaporkan kejadian kritis, penyalahgunaan, dan/atau kejahatan dalam penyelenggaraaan Teknologi Informasi yang dapat dan/atau telah mengakibatkan kerugian keuangan yang signifikan dan/atau mengganggu kelancaran operasional bank. Yang termasuk dalam kejadian kritis adalah kegagalan sistem yang serius, system down time dan degradasi kinerja sistem yang mempengaruhi kinerja Bank dalam memberikan pelayanan kepada nasabah. (4) Laporan sebagaimana dimaksud pada ayat (3) wajib disampaikan sesegera mungkin melalui e‐mail atau telepon yang diikuti dengan laporan tertulis paling lambat 7 (tujuh) hari kerja setelah kejadian kritis dan/atau penyalahgunaan/kejahatan diketahui. 111 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Laporan melalui e‐mail atau telepon kepada pengawas Bank berdasarkan informasi awal yang tersedia. (5) Laporan tertulis sebagaimana dimaksud pada ayat (4) merupakan bagian dari Laporan kondisi yang berpotensi menimbulkan kerugian yang signifikan terhadap kondisi keuangan bank sebagaimana dimaksud dalam ketentuan tentang penerapan manajemen risiko bagi Bank Umum. 195 196 197 Bagian Keempat Pasal 27 9/15/PBI/2007 Pasal 28 9/15/PBI/2007 BAB VII Pasal 29 9/15/PBI/2007 Format dan Alamat Penyampaian Laporan Format dan petunjuk penyusunan laporan sebagaimana dimaksud dalam Pasal 24, Pasal 25 dan Pasal 26 (Paragraf 192, Paragraf 193 dan Paragraf 194 dalam kodifikasi ini) diatur dalam Surat Edaran Bank Indonesia. Permohonan persetujuan penggunaan penyedia jasa di luar negeri sebagaimana dimaksud pada Pasal 19 dan Pasal 20 (Paragraf 187 dan Paragraf 188 dalam kodifikasi ini) serta penyampaian laporan sebagaimana dimaksud dalam Pasal 24, Pasal 25 dan Pasal 26 (Paragraf 192, Paragraf 193 dan Paragraf 194 dalam kodifikasi ini) dialamatkan kepada: a. Direktorat Pengawasan Bank, Jl. MH Thamrin No.2, Jakarta 10350, bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat Bank Indonesia; b. Kantor Bank Indonesia setempat, bagi Bank yang berkantor pusat di luar wilayah kerja Kantor Pusat Bank Indonesia. Lain‐lain
(1) Bank Indonesia dapat melakukan pemeriksaan atau meminta Bank untuk melakukan pemeriksaan terhadap aspek‐aspek terkait penggunaan Teknologi Informasi. (2) Bank wajib menyediakan akses kepada Bank Indonesia untuk dapat melakukan pemeriksaan pada seluruh aspek terkait penyelenggaraan Teknologi Informasi baik yang diselenggarakan sendiri maupun yang diselenggarakan oleh pihak lain. Penyediaan akses kepada Bank Indonesia dimaksudkan agar pengawasan oleh Bank Indonesia dapat dilaksanakan secara efektif antara lain memastikan integritas, validitas, ketersediaan dan keaslian data setiap transaksi yang dilakukan oleh Bank. Akses tersebut termasuk : a. akses terhadap database baik untuk data terkini maupun untuk data yang telah lalu; b. akses terhadap infrastruktur pendukung seperti jaringan komunikasi. 198 BAB VIII Pasal 30 9/15/PBI/2007 Sanksi
Bank yang tidak melaksanakan ketentuan sebagaimana ditetapkan dalam Peraturan Bank Indonesia ini dan ketentuan pelaksanaan terkait lainnya, dapat dikenakan sanksi administratif sebagaimana dimaksud dalam Pasal 52 Undang Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana 112 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
telah diubah dengan Undang Undang Nomor 10 Tahun 1998, antara lain berupa: a. teguran tertulis; b. penurunan tingkat kesehatan berupa penurunan peringkat faktor manajemen dalam penilaian tingkat kesehatan; c. pembekuan kegiatan usaha tertentu; d. pencantuman anggota pengurus dalam daftar tidak lulus melalui mekanisme uji kepatutan dan kelayakan (fit and proper test). 199 Pasal 31 9/15/PBI/2007 Bank yang tidak memenuhi ketentuan pelaporan sebagaimana dimaksud dalam Pasal 21 ayat (2), ayat (3) dan ayat (4), Pasal 23 ayat (2) dan ayat (7), Pasal 24 dan Pasal 25 (Paragraf 189 ayat (2), ayat (3) dan ayat (4), Paragraf 191 ayat (2) dan ayat (7), Paragraf 192 dan Paragraf 193 dalam kodifikasi ini) dikenakan sanksi sesuai Pasal 52 Undang Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana diubah dengan Undang Undang Nomor 10 Tahun 1998, berupa: a. kewajiban membayar sebesar Rp1.000.000,00 (satu juta rupiah) per hari keterlambatan per laporan; b. kewajiban membayar sebesar Rp50.000.000,00 (lima puluh juta rupiah) per laporan, bagi Bank yang belum menyampaikan laporan setelah 1 (satu) bulan sejak batas akhir waktu penyampaian laporan. 200 Pasal 32 9/15/PBI/2007 Bank yang menyampaikan laporan yang tidak sesuai dengan kondisi Bank yang sebenarnya dikenakan sanksi kewajiban membayar sebesar Rp50.000.000,00 (lima puluh juta rupiah) setelah Bank diberikan 2 (dua) kali surat teguran oleh Bank Indonesia dengan tenggang waktu 7 (tujuh) hari kerja untuk setiap teguran dan Bank tidak memperbaiki laporan dalam jangka waktu 7 (tujuh) hari kerja setelah surat teguran terakhir. BAB I 201 Pasal 1 13/25/PBI/2011 Prinsip Kehati‐hatian bagi Bank Umum yang Melakukan Sebagian Pelaksanaan Pekerjaan Kepada Pihak Lain Ketentuan Umum
1. Bank adalah Bank Umum sebagaimana dimaksud dalam Undang‐
Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang‐Undang Nomor 10 Tahun 1998, termasuk kantor cabang bank asing, dan Bank Umum Syariah sebagaimana dimaksud dalam Undang‐Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah; 2. Penyerahan Sebagian Pelaksanaan Pekerjaan kepada Pihak Lain yang selanjutnya disebut Alih Daya adalah penyerahan sebagian pelaksanaan pekerjaan kepada Perusahaan Penyedia Jasa melalui perjanjian pemborongan pekerjaan dan/atau melalui perjanjian penyediaan jasa tenaga kerja; 3. Perusahaan Penyedia Jasa adalah perusahaan yang melaksanakan sebagian pekerjaan yang diserahkan Bank melalui perjanjian pemborongan pekerjaan dan/atau melalui perjanjian penyediaan jasa tenaga kerja; 4. Dewan Komisaris: a. bagi Bank berbentuk badan hukum Perseroan Terbatas adalah dewan komisaris sebagaimana dimaksud dalam Undang‐Undang tentang Perseroan Terbatas; 113 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
b. bagi Bank berbentuk badan hukum Perusahaan Daerah adalah pengawas sebagaimana dimaksud dalam Undang‐Undang tentang Perusahaan Daerah; c. bagi Bank berbentuk badan hukum Koperasi adalah pengawas sebagaimana dimaksud dalam Undang‐Undang tentang Perkoperasian; 5. Direksi: a. bagi Bank berbentuk badan hukum Perseroan Terbatas adalah direksi sebagaimana dimaksud dalam Undang‐Undang tentang Perseroan Terbatas; b. bagi Bank berbentuk badan hukum Perusahaan Daerah adalah direksi sebagaimana dimaksud dalam Undang‐Undang tentang Perusahaan Daerah; c. bagi Bank berbentuk badan hukum Koperasi adalah pengurus sebagaimana dimaksud dalam Undang‐Undang tentang Perkoperasian; d. bagi kantor cabang bank asing adalah pimpinan kantor cabang bank asing yakni pemimpin kantor cabang dan pejabat satu tingkat di bawah pemimpin kantor cabang. 202 Pasal 2 13/25/PBI/2011 Ayat (1) (1) Bank dapat melakukan Alih Daya kepada Perusahaan Penyedia Jasa. Termasuk dalam Alih Daya oleh Bank adalah Alih Daya yang dilakukan oleh Unit Usaha Syariah pada Bank konvensional. SE 14/20/DPNP 2012 Romawi III Huruf A – D Penyerahan pekerjaan yang tidak menjadi cakupan Alih Daya sebagaimana dimaksud dalam Surat Edaran Bank Indonesia adalah: a. penyerahan pekerjaan kepada kantor pusat atau kantor wilayah Bank yang berkedudukan di luar negeri, perusahaan induk, dan entitas lain dalam satu kelompok usaha Bank di dalam maupun di luar negeri; Penyerahan pekerjaan jenis ini tetap tunduk kepada ketentuan dan peraturan perundang‐undangan yang berlaku, antara lain ketentuan mengenai manajemen risiko dalam penggunaan teknologi informasi, pelaksanaan fungsi audit intern Bank, Good Corporate Governance (GCG), dan alat pembayaran dengan menggunakan kartu serta dengan memperhatikan kesesuaian dan kewajaran penyerahan pekerjaan dimaksud. Contoh penyerahan pekerjaan kepada kantor pusat atau kantor wilayah Bank yang berkedudukan di luar negeri, kantor induk, dan/atau entitas lain dalam satu kelompok usaha yang bukan merupakan cakupan ketentuan Alih Daya antara lain adalah: 1. pekerjaan yang dilakukan sebagai bentuk pengawasan kantor pusat atau kantor wilayah Bank yang berkedudukan di luar negeri, atau perusahaan induk, misalnya pengawasan limit risiko pasar dan risiko kredit; 2. pekerjaan yang tidak dapat dilakukan oleh kantor cabang bank asing atau perusahaan anak Bank karena kurangnya keahlian pada bidang tertentu dan bersifat konsultasi, misalnya review atas model pengukuran risiko dan tenaga auditor yang memiliki keahlian pada bidang tertentu (TI); dan/atau 114 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
Contoh penyerahan pekerjaan ini antara lain jasa konsultan hukum, jasa notaris, jasa penilai independen (appraisal) dan akuntan publik. 3. pekerjaan yang merupakan bagian dari proses bisnis Bank yang dilakukan di kantor pusat atau kantor wilayah Bank yang berkedudukan di luar negeri, perusahaan induk, atau entitas lain dalam satu kelompok usaha Bank, misalnya rekonsiliasi laporan keuangan dan pemrosesan gaji. b. penyerahan pekerjaan jasa konsultansi atau keahlian khusus; dan Contoh penyerahan pekerjaan ini antara lain jasa konsultan hokum, jasa notaris, jasa penilai independen (appraisal) dan akuntan publik.
c. penyerahan pekerjaan jasa pemeliharaan barang dan gedung. Contoh penyerahan pekerjaan ini antara lain pemeliharaan mesin pendingin ruangan (Air Conditioner/AC), fotocopy, komputer dan printer serta jasa pemeliharaan gedung kantor Bank. Pasal 2 (2) Dalam melakukan Alih Daya, Bank wajib menerapkan prinsip kehati‐
13/25/PBI/2011 hatian dan manajemen risiko. Ayat (2) SE 14/20/DPNP (3) Dalam melakukan Alih Daya, Bank perlu memperhatikan risiko yang 2012 dapat timbul dari pelaksanaan Alih Daya, antara lain risiko operasional, Romawi I.B risiko kepatuhan, risiko hukum dan risiko reputasi. SE 14/20/DPNP (4) Penerapan prinsip kehati‐hatian dan manajemen risiko atas 2012 pelaksanaan Alih Daya oleh Bank mencakup: Romawi I.C a. melakukan analisis dan penilaian Perusahaan Penyedia Jasa (PPJ) dengan baik untuk memastikan bahwa PPJ yang dipilih memiliki kinerja keuangan dan reputasi yang baik, sumber daya manusia, sarana dan prasarana serta pengalaman yang memadai agar pekerjaan yang dialihdayakan dapat dilaksanakan dengan baik; b. menyusun perjanjian Alih Daya dengan PPJ sesuai dengan cakupan minimum perjanjian yang dipersyaratkan dalam Ketentuan mengenai prinsip kehati‐hatian bagi Bank Umum yang melakukan penyerahan sebagian pelaksanaan pekerjaan kepada pihak lain; c. menerapkan manajemen risiko secara efektif atas pelaksanaan Alih Daya, termasuk melaksanakan pengawasan berkala atas pelaksanaan pekerjaan oleh PPJ dan melakukan tindakan perbaikan secara dini dan efektif atas permasalahan yang timbul; d. memenuhi peraturan perundang‐undangan yang berlaku; dan e. melakukan upaya‐upaya dalam rangka memberikan perlindungan hak dan kepentingan nasabah. BAB II Alih Daya
203 Pasal 3 13/25/PBI/2011 Ayat (1) a (1) Alih Daya sebagaimana dimaksud dalam Pasal 1 ayat (1) (Paragraf 202 ayat (1) dalam kodifikasi ini) dilakukan Bank melalui perjanjian: a. pemborongan pekerjaan; dan/atau 115 Manajemen Paragraf Sumber Regulasi SE 14/20/DPNP 2012 Romawi II Huruf D.1 Pasal 3 13/25/PBI/2011 Ayat (1) b SE 14/20/DPNP 2012 Romawi II Huruf D.2 Pasal 3 13/25/PBI/2011 Ayat (2) SE 14/20/DPNP 2012 Romawi I.E Pasal 3 13/25/PBI/2011 Ayat (3) SE 14/20/DPNP 2012 Romawi I Huruf D.3 Manajemen Risiko Ketentuan
Ketentuan ini tidak mengatur mengenai pemborongan pekerjaan yang hasil akhirnya berupa barang atau yang pada umumnya dikenal sebagai pengadaan barang, misalnya pengadaan slip setoran, buku tabungan, inventaris kantor, pembangunan gedung kantor, dan mesin Anjungan Tunai Mandiri (ATM). Perjanjian pemborongan pekerjaan adalah perjanjian kerja antara Bank dengan PPJ untuk melakukan pemborongan pekerjaan tertentu dengan lebih menekankan standar hasil dari pekerjaan yang diborongkan. Sebagai contoh dalam perjanjian pemborongan pekerjaan pemasaran produk Bank, Bank memberikan target kepada PPJ mengenai jumlah calon nasabah yang harus diperoleh dalam jangka waktu tertentu. b. penyediaan jasa tenaga kerja. Perjanjian penyediaan jasa tenaga kerja adalah perjanjian kerja antara Bank dengan PPJ untuk menyediakan tenaga kerja dengan kualifikasi tertentu dalam rangka pelaksanaan pekerjaan tertentu. Sebagai contoh dalam perjanjian penyediaan tenaga kerja pemasaran produk Bank, Bank menetapkan jumlah tenaga kerja yang dibutuhkan untuk melaksanakan pemasaran dan tingkat pendidikan minimal tenaga pemasaran tersebut. (2) Bank wajib memastikan bahwa pelaksanaan pekerjaan yang dialihdayakan sesuai dengan perjanjian yang dibuat dan peraturan perundang‐undangan yang berlaku. Selain memperhatikan ketentuan ini, pelaksanaan penyerahan pekerjaan kepada pihak lain juga mengacu pada ketentuan lainnya yang mengatur pelaksanaan Alih Daya pada pekerjaan tertentu secara lebih spesifik, seperti ketentuan mengenai manajemen risiko dalam penggunaan teknologi informasi, pelaksanaan fungsi audit intern Bank, Good Corporate Governance (GCG), dan penyelenggaraan kegiatan alat pembayaran dengan menggunakan kartu (APMK). (3) Bank tetap bertanggung jawab atas pekerjaan yang dialihdayakan kepada Perusahaan Penyedia Jasa. Pelaksanaan Alih Daya tidak menghilangkan tanggung jawab Bank atas akibat dari tindakan yang dilakukan oleh Perusahaan Penyedia Jasa dalam melaksanakan pekerjaan yang dialihkan, termasuk apabila terdapat tindakan yang merugikan nasabah Bank. Pelaksanaan Alih Daya tidak menghilangkan tanggung jawab Bank dalam memberikan perlindungan terhadap hak dan kepentingan nasabah atas pelaksanaan pekerjaan yang dialihdayakan kepada PPJ. Oleh karena itu, Bank wajib memastikan bahwa kualitas dan tata cara 116 Manajemen Paragraf Sumber Regulasi 204 Pasal 4 13/25/PBI/2011 Ayat (1) – (2) Manajemen Risiko Ketentuan
pelaksanaan pekerjaan yang dialihdayakan sesuai dengan ukuran dan standar yang ditetapkan dalam perjanjian, antara lain dengan melakukan pengawasan terhadap pelaksanaan pekerjaan oleh PPJ secara berkala dan melakukan langkah‐langkah perbaikan dengan segera dan efektif atas permasalahan yang teridentifikasi, sehingga pelaksanaan pekerjaan tetap berjalan dengan baik dan kepentingan nasabah terlindungi. (1) Dalam rangka Alih Daya, kegiatan Bank dikategorikan sebagai berikut : a. kegiatan usaha; dan Yang dimaksud dengan “kegiatan usaha” adalah sebagaimana dimaksud dalam Pasal 6 dan Pasal 7 Undang‐Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang‐Undang Nomor 10 Tahun 1998 serta Pasal 19 dan Pasal 20 Undang‐Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah. Termasuk kegiatan usaha antara lain adalah penghimpunan dana dari masyarakat (funding), pemberian kredit/pembiayaan (lending/financing), serta membeli, menjual, atau menjamin atas risiko sendiri maupun untuk kepentingan dan atas perintah nasabahnya. b. kegiatan pendukung usaha. Yang dimaksud dengan “kegiatan pendukung usaha” adalah kegiatan lain yang dilakukan Bank di luar kegiatan usaha Bank. Termasuk kegiatan pendukung usaha antara lain adalah kegiatan yang terkait dengan sumber daya manusia, manajemen risiko, kepatuhan, internal audit, akunting dan keuangan, teknologi informasi, logistik dan pengamanan. (2) Dalam setiap kegiatan usaha dan kegiatan pendukung usaha sebagaimana dimaksud pada ayat (1) terdiri atas serangkaian pekerjaan pokok dan pekerjaan penunjang. Yang dimaksud dengan “pekerjaan pokok” adalah pekerjaan yang harus ada dalam alur kegiatan usaha atau alur kegiatan pendukung usaha Bank, sehingga apabila pekerjaan tersebut tidak ada, maka kegiatan dimaksud akan sangat terganggu atau tidak terlaksana sebagaimana mestinya. Yang dimaksud dengan “alur” adalah serangkaian pekerjaan dari awal sampai akhir dari suatu kegiatan usaha atau kegiatan pendukung usaha, misalnya alur pemberian kredit mencakup pekerjaan pemasaran, analisis kelayakan, persetujuan, pencairan, pemantauan, dan penagihan kredit. Contoh pekerjaan pokok dalam alur kegiatan usaha Bank misalnya alur kegiatan pemberian kredit antara lain pekerjaan account officer dan analis kredit; pada alur kegiatan penghimpunan dana antara lain pekerjaan customer service, customer relation dan teller. 117 Manajemen Paragraf Sumber Regulasi SE 14/20/DPNP 2012 Romawi II A.4 – 5 Manajemen Risiko Ketentuan
Contoh pekerjaan pokok dalam alur kegiatan pendukung usaha Bank misalnya alur kegiatan manajemen risiko antara lain pekerjaan analisis risiko; pada alur pengembangan organisasi dan pengelolaan sumber daya manusia antara lain pekerjaaan perencanaan dan pengembangan organisasi serta perencanaan sumber daya manusia; pada alur kegiatan pengelolaan teknologi informasi antara lain pekerjaan perencanaan dan pengembangan teknologi informasi; dan pada alur kegiatan pengendalian internal antara lain pekerjaan audit internal. Yang dimaksud dengan “pekerjaan penunjang” adalah pekerjaan yang tidak harus ada dalam alur kegiatan usaha atau alur kegiatan pendukung usaha Bank, sehingga apabila pekerjaan tersebut tidak ada kegiatan dimaksud masih dapat terlaksana tanpa gangguan yang berarti. Contoh pekerjaan penunjang pada alur kegiatan usaha Bank misalnya alur kegiatan pemberian kredit antara lain pekerjaan call center, pemasaran (telemarketing, direct sales/ sales representative) dan penagihan; dan pada alur kegiatan perkasan misalnya pekerjaan jasa pengelolaan kas Bank. Contoh pekerjaan penunjang pada alur kegiatan pendukung usaha antara lain pekerjaan yang dilakukan oleh sekretaris, agendaris, resepsionis, petugas kebersihan, petugas keamanan, pramubakti, kurir, data entry dan pengemudi. Contoh pekerjaan pokok dan penjelasannya adalah sebagaimana dimaksud pada Lampiran I.A yang merupakan bagian tidak terpisahkan dari Surat Edaran Bank Indonesia ini (Lampiran 30 dalam kodifikasi ini). Pekerjaan pokok adalah pekerjaan yang harus ada dalam alur kegiatan usaha atau alur kegiatan pendukung usaha Bank, sehingga apabila pekerjaan tersebut tidak ada maka kegiatan dimaksud akan sangat terganggu atau tidak terlaksana sebagaimana mestinya. Contoh pekerjaan pokok: a. Pada alur kegiatan usaha Bank dalam kegiatan pemberian kredit antara lain analisis kelayakan dan persetujuan kredit, sedangkan pada alur kegiatan penghimpunan dana antara lain pekerjaan customer service, customer relation dan teller. b. Pada alur kegiatan pendukung usaha Bank dalam kegiatan manajemen risiko antara lain pekerjaan analisis risiko, sedangkan pada alur pengembangan organisasi dan pengelolaan sumber daya manusia antara lain pekerjaan perencanaan dan pengembangan organisasi serta perencanaan sumber daya manusia, dan pada alur kegiatan pengendalian internal antara lain pekerjaan audit internal. Contoh pekerjaan pokok dan penjelasannya adalah sebagaimana dimaksud pada Lampiran I.A yang merupakan bagian tidak terpisahkan dari Surat Edaran Bank Indonesia ini (Lampiran 30 dalam kodifikasi ini). Pekerjaan penunjang adalah pekerjaan dalam alur kegiatan usaha atau alur kegiatan pendukung usaha Bank, yang apabila pekerjaan tersebut tidak ada maka kegiatan dimaksud masih dapat terlaksana tanpa gangguan yang berarti. Contoh pekerjaan penunjang: 118 Manajemen Paragraf Sumber Regulasi Pasal 4 13/25/PBI/2011 Ayat (3) 205 Pasal 5 13/25/PBI/2011 Ayat (1) a – b SE 14/20/DPNP 2012 Romawi II.B.2 Pasal 5 13/25/PBI/2011 Ayat (1) Huruf c Manajemen Risiko Ketentuan
a. Pada alur kegiatan usaha Bank dalam kegiatan pemberian kredit antara lain pekerjaan call center, pemasaran (telemarketing, direct sales atau sales representative) dan penagihan kredit. b. Pada alur kegiatan pendukung usaha antara lain pekerjaan yang dilakukan oleh sekretaris, agendaris, resepsionis, petugas kebersihan, petugas keamanan, pramubakti, kurir, data entry dan pengemudi. (3) Bank hanya dapat melakukan Alih Daya atas pekerjaan penunjang pada alur kegiatan usaha Bank dan pada alur kegiatan pendukung usaha Bank. Contoh pekerjaan penunjang pada alur kegiatan usaha Bank dan pada alur kegiatan pendukung usaha Bank sebagaimana dimaksud dalam Penjelasan ayat (2). (1) Pekerjaan penunjang sebagaimana dimaksud dalam Pasal 4 ayat (3) (Paragraf 204 ayat (3) dalam kodifikasi ini) paling kurang memenuhi kriteria sebagai berikut: a. berisiko rendah; Yang dimaksud dengan “pekerjaan berisiko rendah” adalah pekerjaan yang apabila terjadi kegagalan tidak akan mengganggu aktivitas operasional bank secara signifikan. b. tidak membutuhkan kualifikasi kompetensi yang tinggi di bidang perbankan; dan Yang dimaksud dengan “kualifikasi kompetensi di bidang perbankan” antara lain mencakup pendidikan formal dan pengetahuan atau pengalaman di bidang perbankan. Namun demikian, Bank harus tetap mewajibkan PPJ untuk menyediakan jasa tenaga kerja dengan kualifikasi kompetensi yang memenuhi persyaratan pekerjaan yang dilakukan Alih Daya. Bank dapat mensyaratkan kualifikasi kompetensi tertentu untuk bidang pekerjaan yang spesifik dan membutuhkan keahlian khusus yang tidak selalu dapat dipenuhi oleh pegawai tetap, misalnya untuk pekerjaan penunjang terkait IT, pengamanan, penagihan, dan pengelolaan kas. c. tidak terkait langsung dengan proses pengambilan keputusan yang mempengaruhi operasional bank. Proses pengambilan keputusan mencakup proses analisis dan proses judgement dalam rangka pengambilan keputusan. Keputusan yang mempengaruhi operasional bank adalah keputusan yang dapat meningkatkan risiko secara signifikan dan/atau mengganggu berjalannya operasional bank apabila tidak dilakukan dengan benar. 119 Manajemen Paragraf Sumber Regulasi SE 14/20/DPNP 2012 Romawi II.B Pasal 5 13/25/PBI/2011 Ayat (2) – (3) 206 Pasal 6 13/25/PBI/2011 Ayat (1) a SE 14/20/DPNP 2012 Romawi II.E Pasal 6 13/25/PBI/2011 Ayat (1) b – e SE 14/20/DPNP 2012 Romawi II.H Manajemen Risiko Ketentuan
Pekerjaan penunjang yang sesuai dengan kriteria pada huruf a, huruf b, dan huruf c antara lain pekerjaan call center, telemarketing, atau data entry karena potensi kerugian yang ditimbulkan akibat tidak berjalannya pekerjaan tersebut relatif rendah dan tidak mengganggu operasional Bank secara signifikan, tidak membutuhkan kompetensi yang tinggi di bidang perbankan dan tidak terkait langsung dengan proses pengambilan keputusan yang mempengaruhi operasional Bank. Contoh pekerjaan penunjang dan penjelasannya adalah sebagaimana dimaksud pada Lampiran I.B yang merupakan bagian tidak terpisahkan dari Surat Edaran Bank Indonesia ini (Lampiran 31 dalam kodifikasi ini). (2) Kriteria sebagaimana dimaksud pada ayat (1) harus dijabarkan dalam kebijakan Bank sebagaimana dimaksud dalam Pasal 14 ayat (2) huruf b (Paragraf 214 ayat (2) huruf b dalam kodifikasi ini). (3) Bank dilarang melakukan Alih Daya yang mengakibatkan beralihnya tanggung jawab atau risiko dari obyek pekerjaan yang dialihdayakan kepada Perusahaan Penyedia Jasa. Sebagai contoh dalam Alih Daya penagihan kredit melalui perjanjian pemborongan, Bank dilarang mengalihkan risiko kredit yang ditimbulkan oleh tidak tertagihnya krdit dengan menggunakan cara seperti mekanisme penjualan tagihan kredit melalui skim anjak piutang. (1) Bank hanya dapat melakukan perjanjian Alih Daya dengan Perusahaan Penyedia Jasa yang paling kurang memenuhi persyaratan sebagai berikut: a. berbadan hukum Indonesia; Bank hanya dapat melakukan perjanjian Alih Daya dengan PPJ berbadan hukum Indonesia yang berbentuk Perseroan Terbatas (PT) atau Koperasi. b. memiliki ijin usaha yang masih berlaku dari instansi berwenang sesuai bidang usahanya; c. memiliki kinerja keuangan dan reputasi yang baik serta pengalaman yang cukup; d. memiliki sumber daya manusia yang mendukung pelaksanaan pekerjaan yang dialihdayakan; dan e. memiliki sarana dan prasarana yang dibutuhkan dalam Alih Daya. (2) Apabila terdapat persyaratan bagi pekerjaan yang dilakukan Alih Daya untuk memiliki sertifikasi yang telah memperoleh izin dari Badan Nasional Sertifikasi Profesi atau pelatihan khusus terkait dengan pekerjaan tertentu seperti pekerjaan pengamanan, Bank wajib mensyaratkan pemenuhan sertifikasi atau pelatihan khusus tersebut oleh PPJ dalam perjanjian Alih Daya. 120 Manajemen Paragraf Sumber Regulasi BAB III 207 Manajemen Risiko Ketentuan
Bagian Pertama Penerapan Prinsip Kehati‐hatian dan Manajemen Risiko
Pemilihan Perusahaan Penyedia Jasa
Pasal 7 13/25/PBI/2011 Untuk memastikan pemenuhan persyaratan dalam rangka pemilihan Perusahaan Penyedia Jasa, Bank wajib melakukan hal‐hal sebagai berikut: a. meneliti dokumen sebagaimana dimaksud dalam Pasal 6 huruf a dan huruf b (Paragraf 206 huruf a dan huruf b dalam kodifikasi ini); dan Penelitian dokumen dilakukan terhadap informasi dan kondisi terkini Perusahaan Penyedia Jasa. Dalam hal diperlukan dapat dilakukan konfirmasi atau klarifikasi kepada instansi yang berwenang. b. melakukan analisis dan penilaian terhadap aspek sebagaimana dimaksud dalam Pasal 6 huruf c, huruf d, dan huruf e (Paragraf 206 huruf c, huruf d, dan huruf e dalam kodifikasi ini), sebagai berikut: Analisis dan penilaian dilakukan untuk meyakini bahwa Perusahaan Penyedia Jasa telah memenuhi seluruh kriteria yang ditetapkan dan mampu melakukan Alih Daya. Analisis dan penilaian menggunakan informasi dan kondisi terkini Perusahaan Penyedia Jasa. Kedalaman dan intensitas analisis dan penilaian disesuaikan dengan skala dan kompleksitas pekerjaan yang dialihdayakan. 1. kinerja keuangan dan reputasi yang baik serta pengalaman yang cukup; Penilaian terhadap kinerja keuangan bertujuan untuk memastikan bahwa Perusahaan Penyedia Jasa memiliki kemampuan keuangan yang dapat mendukung kelancaran pelaksanaan pekerjaan sesuai perjanjian yang telah disepakati, yang antara lain mencakup penilaian terhadap modal, likuiditas dan profitabilitas Perusahaan Penyedia Jasa. Penilaian terhadap reputasi termasuk penilaian terhadap track record Perusahaan Penyedia Jasa bertujuan untuk menilai kepatuhan Perusahaan Penyedia Jasa terhadap ketentuan dan/atau peraturan perundang‐undangan yang berlaku, yang antara lain mencakup: 1. permasalahan hukum yang pernah atau sedang dihadapi yang dapat berdampak negatif; 2. kepatuhan terhadap ketentuan dan/atau peraturan perundang‐
undangan yang berlaku; atau 3. kepatuhan terhadap perjanjian Alih Daya dengan Bank lain atau pemberi kerja sebelumnya. Penilaian terhadap pengalaman Perusahaan Penyedia Jasa bertujuan untuk memastikan bahwa Perusahaan Penyedia Jasa memiliki pengalaman yang memadai untuk melaksanakan pekerjaaan yang dialihkan, antara lain mencakup: 1. pengalaman perusahaan dalam menangani pekerjaan yang dialihdayakan; dan/atau 2. pengalaman manajemen perusahaan dalam menangani pekerjaan yang dialihdayakan. 121 Manajemen Paragraf Sumber Regulasi SE 14/20/DPNP 2012 Romawi II.F 208 Pasal 8 13/25/PBI/2011 209 Pasal 9 13/25/PBI/2011 210 Bagian Kedua Pasal 10 13/25/PBI/2011 Manajemen Risiko Ketentuan
2. sumber daya manusia yang mendukung pelaksanaan pekerjaan yang dialihdayakan; dan Penilaian terhadap sumber daya manusia bertujuan untuk memastikan pemenuhan kecukupan kuantitas dan kualitas (keahlian) sumber daya manusia. 3. sarana dan prasarana yang dibutuhkan dalam Alih Daya. Penilaian terhadap sarana dan prasarana bertujuan untuk memastikan kecukupan sarana dan prasarana yang dibutuhkan dalam Alih Daya, termasuk pemenuhan kecukupan kuantitas dan kualitas serta spesifikasi khusus yang dibutuhkan dalam Alih Daya Kedalaman dan intensitas analisis dan penilaian dapat disesuaikan dengan skala dan kompleksitas pekerjaan yang dilakukan Alih Daya. Sebagai contoh, analisis dan penilaian PPJ pekerjaan pemasaran dan penagihan harus lebih dalam dibandingkan dengan analisis dan penilaian PPJ pekerjaan pramubakti atau cleaning service. Hasil penelitian, analisis dan penilaian sebagaimana dimaksud dalam Pasal 7 (Paragraf 207 dalam kodifikasi ini) wajib disusun secara tertulis dan didokumentasikan dengan baik. (1) Bank wajib memantau dan mengevaluasi pemenuhan persyaratan Perusahaan Penyedia Jasa secara berkala, paling kurang sekali dalam 1 (satu) tahun atau sewaktu‐waktu apabila terjadi perubahan kinerja dan/atau reputasi Perusahaan Penyedia Jasa. (2) Hasil pemantauan dan evaluasi sebagaimana dimaksud pada ayat (1) wajib disusun secara tertulis dan didokumentasikan dengan baik. Perjanjian Alih Daya
(1) Dalam melakukan Alih Daya, Bank wajib membuat perjanjian dengan Perusahaan Penyedia Jasa secara tertulis. (2) Perjanjian Alih Daya sebagaimana dimaksud pada ayat (1) paling kurang mencakup: a. ruang lingkup pekerjaan; b. jangka waktu perjanjian; c. nilai kontrak; d. struktur biaya dan mekanisme pembayaran; Termasuk dalam struktur biaya adalah biaya‐biaya selain nilai kontrak yang terkait dengan pelaksanaan pekerjaan. Dalam mekanisme pembayaran diatur mengenai pihak yang harus membayar biaya tersebut dan tata cara pembayarannya. e. hak, kewajiban, dan tanggung jawab Bank maupun Perusahaan Penyedia Jasa, antara lain: 122 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
1. kewenangan Bank untuk melakukan evaluasi dan pemeriksaan terhadap Perusahaan Penyedia Jasa terkait dengan pelaksanaan perjanjian Alih Daya; 2. kewajiban Perusahaan Penyedia Jasa termasuk tenaga kerja yang digunakan dalam Alih Daya untuk menjaga kerahasiaan dan pengamanan informasi Bank dan/atau nasabah Bank; Kewajiban menjaga kerahasiaan dan pengamanan informasi nasabah mengacu pada ketentuan dan peraturan perundang‐
undangan yang berlaku antara lain mengenai rahasia Bank dan ketentuan mengenai transparansi informasi produk Bank dan penggunaan data pribadi nasabah. 3. kewajiban Perusahaan Penyedia Jasa untuk menyampaikan laporan dan informasi kepada Bank secara tertulis dan berkala; Cakupan dan frekuensi laporan sesuai dengan kesepakatan para pihak. 4. kewajiban masing‐masing pihak untuk mematuhi ketentuan dan peraturan perundang‐undangan yang berlaku; Ketentuan dan peraturan perundang‐undangan yang berlaku antara lain di bidang ketenagakerjaan dan perbankan. 5. kewajiban para pihak untuk melindungi hak dan kepentingan nasabah Bank terkait dengan pekerjaan yang dialihdayakan; Perlindungan hak dan kepentingan nasabah mengacu pada ketentuan dan peraturan perundang‐undangan yang berlaku antara lain mengenai perlindungan konsumen dan ketentuan mengenai transparansi informasi produk Bank dan penggunaan data pribadi nasabah. 6. kewajiban Perusahaan Penyedia Jasa memiliki contingency plan; dan Yang dimaksud dengan “contingency plan” adalah upaya‐upaya yang harus dilakukan oleh Perusahaan Penyedia Jasa untuk mengatasi keadaan memaksa atau gangguan yang signifikan dalam pelaksanaan pekerjaan, antara lain yang disebabkan oleh bencana alam, demonstrasi, pemogokan tenaga kerja, gangguan sistem dan/atau perselisihan. 7. kesediaan Perusahaan Penyedia Jasa untuk memberikan akses pemeriksaan kepada Bank Indonesia bersama‐sama dengan Bank dalam hal diperlukan; f.
ukuran dan standar pelaksanaan pekerjaan; Ukuran pelaksanaan pekerjaan meliputi ukuran atas kuantitas dan/atau kualitas pekerjaan. 123 Manajemen Paragraf Sumber Regulasi SE 14/20/DPNP 2012 Romawi II.G Manajemen Risiko Ketentuan
Standar pelaksanaan pekerjaan merupakan prosedur yang paling kurang harus dipenuhi dalam proses pelaksanaan pekerjaan yang dialihdayakan. Standar dimaksud dapat pula mengacu pada Standard Operating Procedure (SOP) yang dimiliki oleh Bank. g. kriteria atau kondisi pengakhiran perjanjian sebelum berakhirnya jangka waktu perjanjian (early termination); h. sanksi dan penalti; dan i. penyelesaian perselisihan. (3) Dalam menyusun perjanjian Alih Daya, Bank dapat mempertimbangkan kesesuaian pencantuman klausula minimum dalam perjanjian Alih Daya.
Contoh klausula minimum tersebut antara lain klausula kesediaan PPJ untuk memberikan akses pemeriksaan oleh Bank Indonesia dan klausula kewajiban para pihak untuk melindungi hak dan kepentingan nasabah Bank, lebih sesuai untuk pekerjaan penunjang pada alur kegiatan usaha Bank, seperti pemasaran, penagihan kredit dan pengelolaan kas Bank. Bagian Ketiga Penerapan Manajemen Risiko
211 Pasal 11 13/25/PBI/2011 212 Pasal 12 13/25/PBI/2011 213 Pasal 13 13/25/PBI/2011 (1) Bank wajib menerapkan manajemen risiko secara efektif dalam melakukan Alih Daya sesuai dengan skala, karakteristik, dan kompleksitas pekerjaan yang dialihdaya. Prinsip‐prinsip penerapan manajemen risiko berpedoman pada ketentuan yang mengatur mengenai penerapan manajemen risiko bagi Bank Umum. (2) Penerapan manajemen risiko sebagaimana dimaksud pada ayat (1) paling kurang mencakup: a. pengawasan aktif Dewan Komisaris dan Direksi; b. kecukupan kebijakan dan prosedur; c. kecukupan proses identifikasi, pengukuran, pemantauan, dan pengendalian risiko serta sistem informasi manajemen risiko; dan d. sistem pengendalian intern. Pengawasan aktif Dewan Komisaris paling kurang mencakup: a. menyetujui dan mengevaluasi kebijakan Alih Daya termasuk penyempurnaan atas kebijakan Alih Daya tersebut; dan b. mengevaluasi pertanggungjawaban Direksi atas penerapan manajemen risiko atas Alih Daya. Pengawasan aktif Direksi paling kurang mencakup: a. menyusun dan menyempurnakan kebijakan Alih Daya; b. menetapkan prosedur Alih Daya; c. menyetujui rencana Bank untuk melaksanakan Alih Daya; d. memantau, mengevaluasi, dan bertanggung jawab atas penerapan manajemen risiko atas Alih Daya; dan e. memantau dan mengevaluasi pelaksanaan Alih Daya secara keseluruhan. 124 Manajemen Paragraf Sumber Regulasi 214 Pasal 14 13/25/PBI/2011 Manajemen Risiko Ketentuan
(1) Bank wajib memiliki dan menerapkan kebijakan dan prosedur tertulis mengenai Alih Daya. (2) Kebijakan dan prosedur sebagaimana dimaksud pada ayat (1) paling kurang mencakup: a. tujuan Alih Daya; Tujuan mencakup penjabaran atas hasil yang ingin dicapai melalui pelaksanaan Alih Daya, sesuai dengan strategi dan tujuan bisnis Bank secara keseluruhan. b. kriteria pekerjaan yang dialihdaya; Kriteria pekerjaan yang dapat dialihdaya paling kurang mengacu pada kriteria sebagaimana dimaksud dalam Peraturan Bank Indonesia ini. c. cakupan analisis; Cakupan analisis mencakup aspek‐aspek antara lain risiko, biaya dan manfaat yang ditimbulkan oleh Alih Daya. Dalam analisis manfaat dan biaya perlu memperhatikan pula pelaksanaan prinsip kehati‐hatian dan pengawasan oleh Bank atas Alih Daya tersebut. d. kebijakan mitigasi risiko dalam pelaksanaan Alih Daya; Dalam kebijakan mitigasi risiko mencakup jenis pekerjaan yang harus dilakukan upaya mitigasi risiko serta upaya‐upaya mitigasi yang dapat dilakukan atas pekerjaan tersebut. e. kriteria Perusahaan Penyedia Jasa; Kriteria Perusahaan Penyedia Jasa paling kurang mengacu pada kriteria sebagaimana dimaksud dalam Peraturan Bank Indonesia ini.
f. cakupan minimum perjanjian Alih Daya; Cakupan minimum perjanjian Alih Daya paling kurang mengacu pada cakupan sebagaimana dimaksud dalam Peraturan Bank Indonesia ini. g. prosedur standar dalam melakukan Alih Daya; dan Prosedur standar dalam melakukan Alih Daya antara lain mencakup prosedur pemilihan dan penetapan Perusahaan Penyedia Jasa, pengikatan perjanjian, dan pengawasan pelaksanaan Alih Daya. h. penetapan unit atau fungsi khusus yang melaksanakan proses Alih Daya dan kejelasan tugas dan tanggung jawabnya. 125 Manajemen Paragraf Sumber Regulasi SE 14/20/DPNP 2012 Romawi IV A, B Manajemen Risiko Ketentuan
Unit atau fungsi khusus tersebut dapat berdiri sendiri atau merupakan bagian dari unit yang mengalihdayakan pekerjaannya. (3) Kebijakan dan prosedur sebagaimana dimaksud pada ayat (1) harus dikaji ulang secara berkala atau sewaktu‐waktu apabila diperlukan. Frekuensi pengkajian ulang dilakukan sesuai kebutuhan Bank dan perkembangan aktivitas Bank, terutama untuk memastikan kesesuaian dengan strategi dan tujuan bisnis Bank secara keseluruhan. (4) Penerapan prinsip kehati‐hatian dan penerapan manajemen risiko dalam alih daya pekerjaan penagihan kredit a. Cakupan penagihan kredit dalam ketentuan ini adalah penagihan kredit secara umum, termasuk penagihan kredit kepemilikan rumah, kredit kendaraan bermotor, kredit tanpa agunan dan kartu kredit. b. Pekerjaan penagihan kredit yang dapat dilakukan Alih Daya adalah pekerjaan penagihan kredit dengan kualitas “Macet” sesuai ketentuan yang mengatur mengenai penilaian kualitas aset Bank umum. c. Perjanjian kerjasama Alih Daya penagihan kredit antara Bank dan PPJ harus dilakukan secara tertulis dalam bentuk perjanjian penyediaan jasa tenaga kerja. d. Dalam Alih Daya penagihan kredit, Bank wajib memiliki dan menerapkan kebijakan dan prosedur tertulis mengenai penagihan kredit antara lain berupa kewajiban Bank untuk: 1) menginformasikan kepada debitur apabila penagihan atas kewajiban debitur telah diserahkan kepada PPJ; 2) memastikan bahwa penagihan kredit oleh PPJ dilakukan dengan cara‐cara yang tidak melanggar hukum; 3) menyusun etika penagihan kredit yang harus dituangkan dalam perjanjian Alih Daya; d. memastikan bahwa tenaga penagihan telah memperoleh pelatihan yang memadai terkait dengan tugas penagihan dan etika penagihan sesuai ketentuan yang berlaku; 4) menatausahakan identitas setiap tenaga penagih; dan 5) memastikan bahwa dalam melakukan penagihan PPJ mematuhi pokok‐pokok etika penagihan kredit yang dimuat dalam perjanjian Alih Daya, antara lain: a) penagihan dilarang dilakukan dengan menggunakan cara ancaman, kekerasan dan/atau tindakan yang bersifat mempermalukan debitur; b) penagihan dilarang dilakukan dengan menggunakan tekanan secara fisik maupun verbal; c) penagihan dilarang dilakukan kepada pihak selain debitur; d) penagihan menggunakan sarana komunikasi dilarang dilakukan secara terus menerus yang bersifat mengganggu; e) penagihan hanya dapat dilakukan pada pukul 08.00 sampai dengan pukul 20.00 wilayah waktu debitur; 126 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
penagihan di luar waktu sebagaimana dimaksud pada huruf e) hanya dapat dilakukan atas dasar persetujuan dan/atau perjanjian dengan debitur; g) petugas penagih wajib menggunakan kartu identitas resmi yang dikeluarkan oleh Bank, yang dilengkapi dengan foto diri yang bersangkutan; dan h) penagihan hanya dapat dilakukan di tempat alamat penagihan atau domisili debitur. 6) Bank wajib memastikan bahwa PPJ juga mematuhi etika penagihan yang ditetapkan oleh asosiasi. e. Dalam hal diperlukan pemanggilan debitur untuk menghadiri pertemuan dengan petugas penagih, Bank paling kurang wajib memperhatikan hal‐hal sebagai berikut: 1) pertemuan dilakukan di kantor Bank; 2) ruang pertemuan dilengkapi dengan CCTV; 3) pihak Bank hadir dalam pertemuan tersebut; dan 4) seluruh pembicaraan dalam pertemuan tersebut direkam dan dibuat berita acara yang diketahui oleh pihak Bank. (5) Penerapan prinsip kehati‐hatian dan penerapan manajemen risiko dalam alih daya pekerjaan pengelolaan kas a. Pengelolaan kas adalah serangkaian pekerjaan yang dilakukan oleh PPJ untuk mengelola fisik uang tunai milik Bank (baik dalam mata uang Rupiah maupun mata uang asing) berupa antara lain: 1) distribusi (pengantaran dan/atau pengambilan) uang tunai berikut pengawalan (cash distribution); 2) penghitungan, penyortiran dan pengemasan uang tunai (cash processing); 3) penyimpanan uang tunai di khazanah (cash in save); dan/atau 4) pengisian ATM (anjungan tunai mandiri) dengan uang tunai dan/atau pengambilan uang tunai dari CDM (cash deposit machine) berikut pemantauan ATM dan/atau CDM. b. Dalam melakukan Alih Daya pengelolaan kas, Bank hanya dapat melakukan perjanjian Alih Daya dengan PPJ yang memenuhi persyaratan paling kurang sebagai berikut: 1) berbadan hukum Indonesia yang berbentuk Perseroan Terbatas (PT); 2) memiliki izin operasional sebagai perusahaan jasa kawal angkut uang tunai dan barang berharga yang masih berlaku dari instansi yang berwenang; 3) memiliki Standard Operational Procedure (SOP) keamanan dalam pengelolaan kas; 4) memiliki kinerja keuangan yang baik yang penilaiannya didasarkan pada modal, likuiditas dan profitabilitas PPJ; 5) memiliki reputasi yang baik yang penilaiannya didasarkan pada rekam jejak (track record) dan kepatuhan PPJ terhadap ketentuan dan/atau peraturan perundang‐undangan yang berlaku serta perjanjian Alih Daya yang dilakukan sebelumnya; 6) memiliki pengalaman yang cukup yang penilaiannya didasarkan pada pengalaman perusahaan dan/atau manajemen f)
127 Manajemen Paragraf Sumber Regulasi 215 Pasal 15 13/25/PBI/2011 216 Pasal 16 13/25/PBI/2011 Manajemen Risiko Ketentuan
perusahaan dalam menangani pekerjaan yang dilakukan Alih Daya; memiliki sumber daya manusia dengan kuantitas dan kualitas yang dapat mendukung pelaksanaan pengelolaan kas Bank. Khusus bagi PPJ yang pekerjaannya terkait langsung dengan penghitungan, penyortiran dan pengemasan uang tunai (cash processing), harus memiliki sumber daya manusia yang mempunyai keahlian mengenai ciri‐ciri keaslian uang Rupiah, keahlian memilah antara uang Rupiah layak edar dengan yang tidak layak edar, keahlian mengoperasikan mesin hitung dan mesin sortir uang Rupiah; dan 7) memiliki mesin hitung dan mesin sortir yang dapat mendeteksi keaslian fisik uang, memiliki khazanah untuk menyimpan uang tunai Rupiah, dan memiliki infrastruktur dan sarana angkutan yang memenuhi persyaratan standar keamanan. c. Kewajiban PPJ memiliki contingency plan yang dituangkan dalam perjanjian Alih Daya pengelolaan kas Bank antara lain menjamin dan mengasuransikan seluruh uang tunai milik Bank yang berada dalam pengelolaan PPJ tersebut. d. Kesediaan PPJ untuk memberikan akses pemeriksaan kepada Bank Indonesia yang dituangkan dalam perjanjian Alih Daya pengelolaan kas Bank antara lain kewajiban PPJ pengelolaan kas Bank untuk: 1) memberikan data dan informasi kepada Bank Indonesia baik secara langsung maupun melalui Bank terkait sumber daya manusia, sarana dan prasarana yang digunakan dalam melaksanakan pekerjaan; dan 2) memberikan akses untuk melakukan pemeriksaan terhadap kegiatan operasional PPJ pengelolaan kas Bank, antara lain pemeriksaan standarisasi kualitas sortasi, kecukupan sarana dan prasarana, sistem pengamanan dan kualitas sumber daya manusia yang melakukan pengolahan fisik uang Rupiah. e. Dalam rangka melaksanakan pengendalian intern yang efektif atas Alih Daya pengelolaan kas Bank, Bank melakukan pengawasan terhadap pelaksanaan pekerjaan oleh PPJ, yang paling kurang mencakup: 1) pengawasan terhadap akurasi perhitungan dan kualitas sortasi hasil pekerjaan PPJ; dan 2) memastikan bahwa PPJ menindaklanjuti rekomendasi yang diberikan oleh Bank Indonesia dari hasil pengawasan terhadap kegiatan operasional. (1) Bank wajib melakukan identifikasi, pengukuran, pemantauan, dan pengendalian terhadap seluruh risiko yang mungkin timbul dari pelaksanaan Alih Daya. (2) Pelaksanaan identifikasi, pengukuran, pemantauan, dan pengendalian risiko sebagaimana dimaksud pada ayat (1) wajib didukung oleh sistem informasi manajemen yang tepat waktu dan dapat memberikan laporan yang akurat dan informatif mengenai risiko pada pelaksanaan Alih Daya. (1) Bank wajib melaksanakan sistem pengendalian intern yang efektif atas Alih Daya. 128 Manajemen Paragraf Sumber Regulasi 217 Manajemen Risiko Ketentuan
(2) Sistem pengendalian intern yang efektif sebagaimana dimaksud pada ayat (1) antara lain meliputi: a. pengawasan terhadap proses Alih Daya; dan Proses Alih Daya merupakan serangkaian proses yang harus dilakukan dalam rangka penunjukan dan penggunaan Perusahaan Penyedia Jasa dalam Alih Daya. b. pengawasan terhadap pelaksanaan pekerjaan oleh Perusahaan Penyedia Jasa. Pengawasan terhadap pelaksanaan pekerjaan merupakan pengawasan atas pemenuhan perjanjian Alih Daya termasuk pemenuhan ukuran dan standar yang ditetapkan. (3) Pengawasan sebagaimana dimaksud pada ayat (2) huruf a wajib dilakukan oleh pihak yang independen terhadap pihak yang melakukan proses Alih Daya. Yang dimaksud dengan pihak independen adalah : a. unit kerja atau fungsi khusus dalam Bank yang tidak terkait dengan proses Alih Daya. Unit kerja atau fungsi khusus tersebut dapat berdiri sendiri atau dapat merupakan bagian dari unit atau fungsi khusus yang berdiri sendiri sebagaimana dimaksud dalam Penjelasan Pasal 4 ayat (2) huruf h (Paragraf 214 ayat (2) huruf h dalam kodifikasi ini); atau b. bagian dari unit kerja atau fungsi khusus dalam Bank yang melakukan pengawasan secara independen, antara lain internal audit, manajemen risiko, atau kepatuhan. BAB IV Pelaporan
Pasal 17 13/25/PBI/2011 Ayat (1) – (2) a SE 14/20/DPNP 2012 Romawi V.A .2.a – d (1) Bank wajib menyampaikan laporan mengenai Alih Daya kepada Bank Indonesia secara lengkap, benar dan tepat waktu. Laporan mencakup laporan Bank secara gabungan untuk seluruh kantor Bank. Laporan disampaikan oleh Bank yang telah melakukan maupun yang merencanakan melakukan Alih Daya. (2) Laporan sebagaimana dimaksud pada ayat (1) mencakup: a. rencana Alih Daya; dan Laporan rencana Alih Daya memuat rencana Alih Daya atas pekerjaan yang belum pernah dialihdayakan. Tidak termasuk dalam pekerjaan yang belum pernah dialihdayakan adalah perpanjangan perjanjian Alih Daya. Laporan Rencana Alih Daya, Perubahan dan/atau Penambahan Rencana Alih Daya. Laporan Rencana Alih Daya, Perubahan dan/atau Penambahan Rencana Alih Daya disusun sebagai berikut: 129 Manajemen Paragraf Sumber Regulasi Pasal 17 13/25/PBI/2011 Ayat (2) b Manajemen Risiko Ketentuan
1. Laporan Rencana Alih Daya memuat rencana Alih Daya atas pekerjaan yang belum pernah dilakukan Alih Daya. Sedangkan Laporan Perubahan dan/atau; Penambahan Rencana Alih Daya memuat perubahan cakupan pekerjaan yang sudah dilakukan Alih Daya dan/atau penambahan pekerjaan yang akan dialihdaya. Contoh perubahan cakupan pekerjaan yang sudah dilakukan Alih Daya adalah Bank pada tahun berjalan merencanakan untuk menambah cakupan pekerjaan Alih Daya pemasaran dari pemasaran kartu kredit menjadi pemasaran kartu kredit dan kredit tanpa agunan. Contoh penambahan rencana Alih Daya yang akan dilakukan adalah Bank pada tahun berjalan merencanakan melakukan Alih Daya pemasaran kartu kredit yang sebelumnya tidak dimuat dalam Laporan Rencana Alih Daya. Tidak termasuk dalam laporan Rencana Alih Daya, Perubahan dan/atau Penambahan Rencana Alih Daya adalah perpanjangan PPJ dan penggantian PPJ atas pekerjaan yang telah dialihdayakan. 2. Laporan Rencana Alih Daya untuk 1 (satu) tahun ke depan disampaikan paling lambat setiap tanggal 31 Desember. Sedangkan Laporan Perubahan dan/atau Penambahan Rencana Alih Daya disampaikan paling lambat setiap tanggal 30 Juni tahun berjalan, dengan menggunakan formulir pelaporan sebagaimana dimaksud pada Lampiran II.A yang merupakan bagian tidak terpisahkan dari Surat Edaran Bank Indonesia ini (Lampiran 32 dalam kodifikasi ini). 3. Laporan Rencana Alih Daya, Perubahan dan/atau Penambahan Rencana Alih Daya paling kurang memuat informasi mengenai: 1) jenis pekerjaan yang dilakukan Alih Daya; 2) gambaran umum dan cakupan pekerjaan; 3) jenis perjanjian Alih Daya; 4) perkiraan jumlah tenaga kerja Alih Daya yang dibutuhkan; 5) jangka waktu perjanjian; 6) tujuan Alih Daya; dan 7) analisis perkiraan biaya dan manfaat, risiko dan mitigasinya. 4. Bank yang tidak memiliki rencana untuk melakukan Alih Daya sebagaimana dijelaskan pada huruf a tetap wajib menyampaikan Laporan Rencana Alih Daya dengan penjelasan Nihil paling lambat setiap tanggal 31 Desember. b. Alih Daya yang bermasalah. Alih Daya dianggap bermasalah apabila terjadi permasalahan baik pada pelaksanaan Alih Daya maupun pada Perusahaan Penyedia Jasa yang berpotensi meningkatkan risiko Bank secara signifikan dan/atau akan mengganggu kelangsungan pelaksanaan pekerjaan yang dialihdayakan, terlepas dari mengakibatkan atau tidak mengakibatkan penghentian perjanjian dan/atau penggantian Perusahaan Penyedia Jasa. 130 Manajemen Paragraf Sumber Regulasi SE 14/20/DPNP 2012 Romawi II.A.3, 4 Pasal 17 13/25/PBI/2011 Ayat (3) – (5) Manajemen Risiko Ketentuan
Contoh permasalahan: pelanggaran ketentuan dan peraturan perundang‐undangan yang berlaku, pelanggaran perjanjian, gugatan, pengaduan nasabah, perselisihan intern pada Perusahaan Penyedia Jasa baik antar manajemen maupun antara manajemen dengan karyawan. Laporan Alih Daya yang Bermasalah disusun sebagai berikut: a. Laporan Alih Daya yang Bermasalah memuat gambaran permasalahan Alih Daya antara lain permasalahan yang dihadapi oleh Bank dan PPJ yang berpotensi meningkatkan risiko Bank secara signifikan dan/atau akan mengganggu kelangsungan pelaksanaan pekerjaan yang dilakukan Alih Daya. Contoh permasalahan Alih Daya antara lain pelanggaran ketentuan dan peraturan perundang‐undangan yang berlaku, pelanggaran perjanjian, gugatan, pengaduan nasabah, pemogokan karyawan, dan perselisihan intern pada PPJ baik antar manajemen maupun antara manajemen dengan karyawan. b. Laporan Alih Daya yang Bermasalah dimaksud. disampaikan paling lama 7 (tujuh) hari kerja setelah diketahuinya permasalahan, dengan menggunakan formulir pelaporan sebagaimana dimaksud pada Lampiran II.B yang merupakan bagian tidak terpisahkan dari Surat Edaran Bank Indonesia ini (Lampiran 33 dalam kodifikasi ini). Laporan Alih Daya yang Bermasalah paling kurang memuat informasi mengenai: a. jenis pekerjaan yang dilakukan Alih Daya; b. nama Perusahan Penyedia Jasa; c. gambaran permasalahan yang terjadi; dan d. langkah‐langkah yang dilakukan oleh Bank untuk mengatasi permasalahan tersebut. (3) Laporan sebagaimana dimaksud pada ayat (2) huruf a paling kurang memuat informasi mengenai: a. jenis pekerjaan yang dialihdayakan; b. gambaran umum dan cakupan pekerjaan; Gambaran umum dan cakupan pekerjaan menguraikan secara singkat pekerjaan yang dialihdayakan dan lokasi kantor tempat pekerjaan yang dialihdayakan. c. jenis perjanjian Alih Daya; Perjanjian Alih Daya yang dibuat berupa perjanjian pemborongan dan/atau penyediaan jasa tenaga kerja. 131 Manajemen Paragraf Sumber Regulasi SE 14/20/DPNP 2012 Romawi V Huruf A 2.d Pasal 17 13/25/PBI/2011 Ayat (6) SE 14/20/DPNP 2012 Romawi V.A.2.b Pasal 17 13/25/PBI/2011 Ayat (7) – (8) Manajemen Risiko Ketentuan
perkiraan jumlah tenaga kerja Alih Daya yang dibutuhkan; jangka waktu perjanjian; tujuan Alih Daya; dan analisis perkiraan biaya dan manfaat, risiko dan mitigasinya. (4) Laporan sebagaimana dimaksud pada ayat (2) huruf b paling kurang memuat informasi mengenai: a. jenis pekerjaan yang dialihdayakan; b. nama Perusahan Penyedia Jasa; c. gambaran permasalahan yang terjadi; dan Gambaran permasalahan menguraikan secara singkat permasalahan yang terjadi, potensi risiko yang ditimbulkan, lokasi, waktu terjadinya permasalahan dan waktu diketahuinya permasalahan. d. langkah‐langkah yang dilakukan oleh Bank untuk mengatasi permasalahan tersebut. (5) Laporan sebagaimana dimaksud pada ayat (2) huruf a wajib disampaikan setiap tahun paling lambat setiap tanggal 31 Desember. d.
e.
f.
g.
Laporan yang disampaikan mencakup rencana Alih Daya yang akan dilakukan selama 1 (satu) tahun yang akan datang. Bank yang tidak memiliki rencana untuk melakukan Alih Daya sebagaimana dijelaskan pada huruf ayat (2) huruf a tetap wajib menyampaikan Laporan Rencana Alih Daya dengan penjelasan Nihil paling lambat setiap tanggal 31 Desember. (6) Bank hanya dapat melakukan penambahan dan/atau perubahan rencana pekerjaan yang dialihdayakan yang sudah dilaporkan kepada Bank Indonesia sebagaimana dimaksud pada ayat (5) paling banyak 1 (satu) kali, dan wajib menyampaikan Laporan Perubahan Rencana Alih Daya dimaksud paling lambat pada tanggal 30 Juni tahun berjalan. Laporan Perubahan Rencana Alih Daya memuat paling kurang informasi sebagaimana dimaksud dalam Pasal 17 ayat (3) (Paragraf 206 ayat (3) dalam kodifikasi ini) serta uraian singkat latar belakang dan tujuan penambahan dan/atau perubahan rencana Alih Daya. Format pelaporan Perubahan dan/atau Penambahan Rencana Alih Daya mengacu pada formulir pelaporan pada Lampiran II.A (Lampiran 32 dalam kodifikasi ini). (7) Dalam hal batas waktu penyampaian laporan sebagaimana dimaksud pada ayat (5) dan ayat (6) jatuh pada hari libur, maka laporan disampaikan pada hari kerja berikutnya. (8) Laporan sebagaimana dimaksud pada ayat (2) huruf b wajib disampaikan paling lambat 7 (tujuh) hari kerja setelah diketahuinya permasalahan oleh Bank. 132 Manajemen Paragraf Sumber Regulasi SE 14/20/DPNP 2012 Romawi V.A.3.b Manajemen Risiko Ketentuan
Format pelaporan Alih Daya yang Bermasalah mengacu pada formulir pelaporan pada Lampiran II.B (Lampiran 33 dalam kodifikasi ini). SE 14/20/DPNP 2012 Romawi V.A.5 (9) Dalam menetapkan langkah‐langkah untuk mengatasi permasalahan Alih Daya. Bank harus memastikan bahwa pekerjaan yang dialihkan tetap terlaksana dengan baik walaupun terjadi permasalahan pada Alih Daya. Pasal 18 13/25/PBI/2011 Laporan sebagaimana dimaksud dalam Pasal 17 ayat (2), Pasal 17 ayat (6), Pasal 21 ayat (1) huruf d, dan Pasal 21 ayat (2) (Paragraf 217 ayat (2), Paragraf 217 ayat (6), Paragraf 220 ayat (1) huruf d, dan Paragraf 220 ayat (2) dalam kodifikasi ini) disampaikan kepada Bank Indonesia dengan alamat sebagai berikut: a. bagi Bank yang berkantor pusat di wilayah kerja kantor pusat Bank Indonesia ditujukan kepada Direktorat Pengawasan Bank terkait, Jl. MH. Thamrin No.2 Jakarta 10350; atau b. bagi Bank yang berkantor pusat di luar wilayah kerja kantor pusat Bank Indonesia ditujukan kepada Kantor Bank Indonesia setempat. 218 219 BAB V Sanksi
Pasal 19 13/25/PBI/2011 (1) Bank yang menyampaikan laporan Alih Daya sebagaimana dimaksud dalam Pasal 17 ayat (2), Pasal 17 ayat (6), Pasal 21 ayat (1) huruf d dan Pasal 21 ayat (2) (Paragraf 217 ayat (2), Paragraf 217 ayat (6), Paragraf 220 ayat (1) huruf d dan Paragraf 220 ayat (2) dalam kodifikasi ini) melampaui batas waktu penyampaian laporan sebagaimana dimaksud dalam Pasal 17 ayat (5), ayat (6) dan ayat (8), serta dalam Pasal 21 ayat (4) (Paragraf 217 ayat (5), ayat (6) dan ayat (8), serta dalam Paragraf 220 ayat (4) dalam kodifikasi ini) dikenakan sanksi kewajiban membayar sebagai berikut: a. terlambat 1 (satu) hari kerja sampai dengan 10 (sepuluh) hari kerja dikenakan sanksi sebesar Rp1.000.000,00 (satu juta rupiah) per hari kerja keterlambatan; b. terlambat 11 (sebelas) hari kerja sampai dengan 20 (dua puluh) hari kerja, dikenakan sanksi sebagaimana pada huruf a ditambah dengan sanksi sebesar Rp1.500.000,00 (satu juta lima ratus ribu rupiah) per hari kerja keterlambatan berikutnya; c. terlambat 21 (dua puluh satu) hari kerja atau lebih dikenakan sanksi sebagaimana pada huruf a dan huruf b ditambah dengan sanksi sebesar Rp2.000.000,00 (dua juta rupiah) per hari kerja keterlambatan berikutnya, dengan maksimum total sanksi keterlambatan sebesar Rp100.000.000,00 (seratus juta rupiah). (2) Bank yang diketahui oleh Bank Indonesia telah melakukan Alih Daya tetapi belum menyampaikan laporan rencana Alih Daya dan/atau penambahan atau perubahannya sebagaimana dimaksud dalam Pasal 17 ayat (2) huruf a dan/atau Pasal 17 ayat (6) (Paragraf 217 ayat (2) huruf a dan/atau Paragraf 217 ayat (6) dalam kodifikasi ini) dikenakan sanksi kewajiban membayar sebesar Rp125.000.000,00 (seratus dua puluh lima juta rupiah). 133 Manajemen Paragraf Sumber Regulasi 220 Pasal 20 13/25/PBI/2011 221 Manajemen Risiko Ketentuan
Bank yang tidak melaksanakan Peraturan Bank Indonesia sebagaimana ditetapkan dalam Peraturan Bank Indonesia ini dan ketentuan pelaksanaan terkait lainnya dikenakan sanksi administratif sebagaimana dimaksud dalam Pasal 52 Undang‐Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang‐Undang Nomor 10 Tahun 1998 dan Pasal 58 Undang‐Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah, antara lain berupa: a. teguran tertulis; b. penurunan tingkat kesehatan Bank; dan/atau c. pembekuan kegiatan usaha tertentu. BAB VI Ketentuan Peralihan
Pasal 21 13/25/PBI/2011 (1) Bank yang telah melakukan Alih Daya atas pekerjaan selain pekerjaan yang diperbolehkan sebagaimana dimaksud dalam Pasal 4 ayat (3) (Paragraf 204 ayat (3) dalam kodifikasi ini) wajib melakukan langkah‐
langkah berikut: a. dalam hal sisa jangka waktu perjanjian lebih dari 1 (satu) tahun tetapi tidak lebih dari 2 (dua) tahun, Bank wajib menghentikan Alih Daya pada saat berakhirnya perjanjian atau dapat memperpanjang perjanjian paling lama 2 (dua) tahun sejak diberlakukannya Peraturan Bank Indonesia ini (Desember 2011). Contoh: Pada saat Peraturan Bank Indonesia ini berlaku perjanjian Alih Daya akan berakhir dalam waktu 18 (delapan belas) bulan ke depan. Pada saat perjanjian berakhir, Bank dapat menghentikan Alih Daya atau memperpanjang perjanjian paling lama 6 (enam) bulan. b. dalam hal sisa jangka waktu perjanjian lebih dari 2 (dua) tahun, Bank wajib menghentikan perjanjian Alih Daya paling lama 2 (dua) tahun sejak diberlakukannya Peraturan Bank Indonesia ini (Desember 2011). Contoh: Pada saat Peraturan Bank Indonesia ini berlaku perjanjian Alih Daya akan berakhir dalam waktu 30 (tiga puluh) bulan ke depan. Dengan demikian, bank wajib menghentikan perjanjian tersebut paling lambat 24 (dua puluh empat) bulan atau 2 (dua) tahun sejak diberlakukannya Peraturan Bank Indonesia ini. c. menyusun dan menyampaikan laporan rencana tindak (action plan) dalam rangka penyesuaian Alih Daya sebagaimana dimaksud pada huruf a, huruf b, dan huruf c. d. laporan rencana tindak sebagaimana dimaksud pada huruf d paling kurang memuat informasi mengenai: 1. strategi dan langkah untuk melanjutkan pelaksanaan pekerjaan termasuk pemenuhan kebutuhan tenaga kerja; dan 2. jangka waktu rencana mengakhiri Alih Daya pekerjaan. 134 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
(2) Laporan sebagaimana dimaksud pada ayat (1) paling kurang memuat informasi mengenai: a. jenis pekerjaan yang dialihdayakan; b. gambaran umum dan cakupan pekerjaan; Gambaran umum dan cakupan pekerjaan menguraikan secara singkat pekerjaan yang dialihdayakan; lokasi kantor tempat pekerjaan yang dialihdayakan; kesesuaian dengan Ketentuan dan informasi lain yang relevan. c. jenis perjanjian Alih Daya; Jenis perjanjian Alih Daya meliputi perjanjian pemborongan dan atau penyediaan jasa tenaga kerja. d. jumlah tenaga kerja Alih Daya yang digunakan; dan e. jangka waktu Alih Daya dan berakhirnya perjanjian 222 Pasal 22 13/25/PBI/2011 Bank yang telah melakukan Alih Daya sebelum berlakunya Peraturan Bank Indonesia ini, wajib melakukan penyesuaian sebagai berikut : Bank yang telah melakukan Alih Daya atas pekerjaan yang diperbolehkan berdasarkan Peraturan Bank Indonesia ini, namun PPJ dan/ atau cakupan perjanjian Alih Daya belum memenuhi ketentuan Pasal 6 atau 10 ayat (2) (Paragraf 206 atau 210 ayat (2) dalam kodifikasi ini) : 1. Dapat melanjutkan pelaksanaan Alih Daya sampai dengan berakhirnya perjanjian dan 2. Dalam hal akan melakukan perpanjangan perjanjian Alih Daya, wajib : a. Melakukan penelitian analisis dan penilaian atas pemenuhan persyaratan PPJ sebagaimana dimaksud dalam paragraph 206, dan/ atau b. Menyesuaikan perjanjian sesuai paragraph 210 ayat (2). BAB VII Lain‐Lain
223 Pasal 23 13/25/PBI/2011 Alih Daya yang dilakukan oleh Bank selain tunduk pada Peraturan Bank Indonesia ini juga tunduk pada Ketentuan lainnya yang terkait dengan Alih Daya. Khusus persyaratan badan hukum Indonesia bagi Perusahaan Penyedia Jasa yang menyelenggarakan pemrosesan transaksi tetap mengacu pada ketentuan mengenai penerapan manajemen risiko dalam penggunaan teknologi informasi oleh Bank Umum. 224 Pasal 24 13/25/PBI/2011 Bank Indonesia berwenang menghentikan Alih Daya yang dilakukan Bank apabila menurut penilaian Bank Indonesia Alih Daya tersebut berpotensi membahayakan kelangsungan usaha Bank. BAB I 225 Pasal 1 13/23/PBI/2011 Penerapan Manajemen Risiko bagi Bank Umum Syariah dan Unit Usaha Syariah Ketentuan Umum
1. Bank adalah Bank Umum Syariah dan Unit Usaha Syariah. 2. Bank Umum Syariah yang selanjutnya disebut dengan BUS adalah Bank Umum Syariah sebagaimana dimaksud dalam Undang‐Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah. 135 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
3. Unit Usaha Syariah yang selanjutnya disebut dengan UUS adalah Unit Usaha Syariah sebagaimana dimaksud dalam Undang‐Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah. 4. Bank Umum Konvensional yang selanjutnya disebut dengan BUK adalah Bank Umum Konvensional sebagaimana dimaksud dalam Undang‐
Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah, yang memiliki Unit Usaha Syariah. 5. Risiko adalah potensi kerugian akibat terjadinya suatu peristiwa (events) tertentu. 6. Manajemen Risiko adalah serangkaian metodologi dan prosedur yang digunakan untuk mengidentifikasi, mengukur, memantau, dan mengendalikan Risiko yang timbul dari seluruh kegiatan usaha Bank. 7. Risiko Kredit adalah Risiko akibat kegagalan nasabah atau pihak lain dalam memenuhi kewajiban kepada Bank sesuai dengan perjanjian yang disepakati. 8. Risiko Pasar adalah Risiko pada posisi neraca dan rekening administratif akibat perubahan harga pasar, antara lain Risiko berupa perubahan nilai dari aset yang dapat diperdagangkan atau disewakan. 9. Risiko Likuiditas adalah Risiko akibat ketidakmampuan Bank untuk memenuhi kewajiban yang jatuh tempo dari sumber pendanaan arus kas dan/atau aset likuid berkualitas tinggi yang dapat diagunkan, tanpa mengganggu aktivitas dan kondisi keuangan Bank. 10. Risiko Operasional adalah Risiko kerugian yang diakibatkan oleh proses internal yang kurang memadai, kegagalan proses internal, kesalahan manusia, kegagalan system, dan/atau adanya kejadian‐kejadian eksternal yang mempengaruhi operasional Bank. 11. Risiko Hukum adalah Risiko akibat tuntutan hukum dan/atau kelemahan aspek yuridis. 12. Risiko Reputasi adalah Risiko akibat menurunnya tingkat kepercayaan stakeholder yang bersumber dari persepsi negatif terhadap Bank. 13. Risiko Stratejik adalah Risiko akibat ketidaktepatan dalam pengambilan dan/atau pelaksanaan suatu keputusan stratejik serta kegagalan dalam mengantisipasi perubahan lingkungan bisnis. 14. Risiko Kepatuhan adalah Risiko akibat Bank tidak mematuhi dan/atau tidak melaksanakan peraturan perundang‐undangan dan ketentuan yang berlaku, serta Prinsip Syariah. 15. Risiko Imbal Hasil (Rate of Return Risk) adalah Risiko akibat perubahan tingkat imbal hasil yang dibayarkan Bank kepada nasabah, karena terjadi perubahan tingkat imbal hasil yang diterima Bank dari penyaluran dana, yang dapat mempengaruhi perilaku nasabah dana pihak ketiga Bank. 16. Risiko Investasi (Equity Investment Risk) adalah Risiko akibat Bank ikut menanggung kerugian usaha nasabah yang dibiayai dalam pembiayaan bagi hasil berbasis profit and loss sharing. 17. Direksi adalah Direksi sebagaimana dimaksud dalam Undang‐Undang tentang Perseroan Terbatas. 18. Dewan Komisaris adalah Dewan Komisaris sebagaimana dimaksud dalam Undang‐Undang tentang Perseroan Terbatas. 19. Perusahaan Anak adalah badan hukum atau perusahaan yang dimiliki dan/atau dikendalikan oleh BUS secara langsung maupun tidak 136 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
langsung, baik di dalam maupun di luar negeri yang melakukan kegiatan usaha di bidang keuangan, yang terdiri dari: a. Perusahaan Subsidiari (subsidiary company) yaitu Perusahaan Anak dengan kepemilikan BUS lebih dari 50% (lima puluh persen); b. Perusahaan Partisipasi (participation company) adalah Perusahaan Anak dengan kepemilikan BUS 50% (lima puluh persen) atau kurang, namun BUS memiliki Pengendalian terhadap perusahaan; c. Perusahaan dengan kepemilikan BUS lebih dari 20% (dua puluh persen) sampai dengan 50% (lima puluh persen) yang memenuhi persyaratan yaitu: i. kepemilikan BUS dan para pihak lainnya pada Perusahaan Anak adalah masing‐masing sama besar; dan ii. masing‐masing pemilik melakukan Pengendalian secara bersama terhadap Perusahaan Anak; d. Entitas lain yang berdasarkan Standar Akuntansi Keuangan yang berlaku wajib dikonsolidasikan. BAB II Ruang Lingkup Manajemen Risiko
226 Pasal 2 13/23/PBI/2011 227 Pasal 3 13/23/PBI/2011 228 Pasal 4 13/23/PBI/2011 (1) Bank wajib menerapkan Manajemen Risiko secara efektif. Termasuk dalam cakupan penerapan Manajemen Risiko adalah penerapan program Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme yang sebelumnya dikenal dengan prinsip mengenal nasabah (Know Your Customer/KYC). (2) Penerapan Manajemen Risiko sebagaimana dimaksud pada ayat (1) untuk BUS dilakukan secara individual maupun konsolidasi dengan Perusahaan Anak. (3) Penerapan Manajemen Risiko sebagaimana dimaksud pada ayat (1) untuk UUS dilakukan terhadap seluruh kegiatan usaha UUS, yang merupakan satu kesatuan dengan penerapan Manajemen Risiko pada BUK. Penerapan Manajemen Risiko sebagaimana dimaksud dalam Pasal 2 ayat (1) (Paragraf 226 ayat (1) dalam kodifikasi ini) paling kurang mencakup: a. pengawasan aktif Dewan Komisaris, Direksi, dan Dewan Pengawas Syariah; Peran Komisaris bagi kantor cabang bank asing dilakukan oleh pihak‐
pihak yang berwenang sesuai dengan struktur organisasi Bank. b. kecukupan kebijakan, prosedur, dan penetapan limit Manajemen Risiko;
c. kecukupan proses identifikasi, pengukuran, pemantauan, dan pengendalian Risiko serta sistem informasi Manajemen Risiko; dan d. sistem pengendalian intern yang menyeluruh. Penerapan Manajemen Risiko sebagaimana dimaksud dalam Pasal 3 (Paragraf 227 dalam kodifikasi ini) wajib disesuaikan dengan tujuan, kebijakan usaha, ukuran, dan kompleksitas usaha serta kemampuan Bank. 137 Manajemen Paragraf Sumber Regulasi 229 Pasal 5 13/23/PBI/2011 Manajemen Risiko Ketentuan
Kompleksitas usaha antara lain keragaman dalam jenis transaksi/produk/jasa dan jaringan usaha. Kemampuan Bank antara lain kemampuan keuangan, infrastruktur pendukung, dan kemampuan sumber daya manusia. (1) Risiko sebagaimana dimaksud dalam Pasal 3 (Paragraf 227 dalam kodifikasi ini) mencakup: a. Risiko Kredit; Termasuk dalam kelompok Risiko Kredit adalah Risiko konsentrasi pembiayaan. Risiko konsentrasi pembiayaan merupakan Risiko yang timbul akibat terkonsentrasinya penyediaan dana kepada 1 (satu) pihak atau sekelompok pihak, industri, sektor, dan/atau area geografis tertentu yang berpotensi menimbulkan kerugian cukup besar yang dapat mengancam kelangsungan usaha Bank. b. Risiko Pasar; Risiko Pasar meliputi antara lain, Risiko nilai tukar, Risiko komoditas, dan Risiko ekuitas. Risiko nilai tukar adalah risiko akibat perubahan nilai posisi trading book dan banking book yang disebabkan oleh perubahan nilai tukar valuta asing atau perubahan harga emas. Risiko komoditas adalah Risiko akibat perubahan harga instrumen keuangan dari posisi trading book dan banking book yang disebabkan oleh perubahan harga komoditas. Risiko ekuitas adalah Risiko akibat perubahan harga instrumen keuangan dari posisi trading book yang disebabkan oleh perubahan harga saham. c. Risiko Likuiditas; d. Risiko Operasional; e. Risiko Hukum; Risiko ini timbul antara lain karena ketiadaan peraturan perundang‐
undangan yang mendukung atau kelemahan perikatan, seperti tidak dipenuhinya syarat sahnya kontrak atau pengikatan agunan yang tidak sempurna. f. Risiko Reputasi; Risiko ini timbul antara lain karena adanya pemberitaan media dan/atau rumor mengenai bank yang bersifat negatif, serta adanya strategi komunikasi bank yang kurang efektif. g. Risiko Stratejik; Risiko ini timbul antara lain karena bank menetapkan strategi yang kurang sejalan dengan visi dan misi bank, melakukan analisis 138 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
lingkungan stratejik yang tidak komprehensif, dan/atau terdapat ketidaksesuaian rencana stratejik (strategic plan) antar level stratejik. Selain itu Risiko Stratejik juga timbul karena kegagalan dalam mengantisipasi perubahan lingkungan bisnis mencakup kegagalan dalam mengantisipasi perubahan teknologi, perubahan kondisi ekonomi makro, dinamika kompetisi di pasar, dan perubahan kebijakan otoritas terkait. h. Risiko Kepatuhan; i. Risiko Imbal Hasil (Rate of Return Risk); Risiko ini timbul antara lain karena adanya perubahan perilaku nasabah dana pihak ketiga Bank yang disebabkan oleh perubahan ekspektasi tingkat imbal hasil yang diterima dari Bank. Perubahan ekspektasi bisa disebabkan oleh faktor internal seperti menurunnya nilai asset Bank dan/atau faktor eksternal seperti naiknya return/imbal hasil yang ditawarkan bank lain. Perubahan ekspektasi tingkat imbal hasil tersebut dapat memicu perpindahan dana dari Bank kepada bank lain. j. Risiko Investasi (Equity Investment Risk). Risiko ini timbul apabila Bank memberikan pembiayaan berbasis bagi hasil kepada nasabah di mana Bank ikut menanggung Risiko atas kerugian usaha nasabah yang dibiayai (profit and loss sharing). Dalam hal ini, perhitungan bagi hasil tidak hanya didasarkan atas jumlah pendapatan atau penjualan yang diperoleh nasabah namun dihitung dari keuntungan usaha yang dihasilkan nasabah. Apabila usaha nasabah mengalami kebangkrutan, maka jumlah pokok pembiayaan yang diberikan Bank kepada nasabah tidak akan diperoleh kembali. (2) Bank wajib menerapkan Manajemen Risiko untuk jenis Risiko sebagaimana dimaksud pada ayat (1) huruf a, huruf b, huruf c, huruf d, huruf e, huruf f, huruf g, dan huruf h. (3) Selain kewajiban sebagaimana dimaksud pada ayat (2), Bank harus menerapkan Manajemen Risiko untuk jenis Risiko sebagaimana dimaksud pada ayat (1) huruf i dan huruf j. (4) Penerapan Manajemen Risiko sebagaimana dimaksud pada ayat (3) belum diperhitungkan dalam penilaian Risiko Bank. BAB III Bagian Kesatu 230 Pasal 6 13/23/PBI/2011 Pengawasan Aktif Dewan Komisaris, Direksi dan Dewan Pengawas Syariah Umum
Bank wajib menetapkan wewenang dan tanggung jawab yang jelas pada setiap jenjang jabatan yang terkait dengan penerapan Manajemen Risiko sebagaimana dimaksud dalam Pasal 2 (Paragraf 226 dalam kodifikasi ini). 139 Manajemen Paragraf Sumber Regulasi Bagian Kedua 231 Pasal 7 13/23/PBI/2011 Manajemen Risiko Ketentuan
Wewenang dan Tanggung Jawab Dewan Komisaris Wewenang dan tanggung jawab sebagaimana dimaksud dalam Pasal 6 (Paragraf 230 dalam kodifikasi ini) bagi Dewan Komisaris paling kurang mencakup: a. menyetujui dan mengevaluasi kebijakan Manajemen Risiko; Evaluasi kebijakan Manajemen Risiko dilakukan oleh Dewan Komisaris paling kurang 1 (satu) kali dalam setahun atau frekuensi yang lebih tinggi dalam hal terdapat perubahan faktor‐faktor yang mempengaruhi kegiatan usaha Bank secara signifikan. b. mengevaluasi pertanggungjawaban Direksi atas pelaksanaan kebijakan Manajemen Risiko sebagaimana dimaksud dalam huruf a. Evaluasi pertanggungjawaban Direksi atas pelaksanaan kebijakan Manajemen Risiko dilakukan oleh Dewan Komisaris paling kurang secara triwulanan. 232 Bagian Ketiga Pasal 8 13/23/PBI/2011 Wewenang dan Tanggung Jawab Direksi
(1) Wewenang dan tanggung jawab sebagaimana dimaksud dalam Pasal 6 (Paragraf 230 dalam kodifikasi ini) bagi Direksi paling kurang mencakup: a. menyusun kebijakan dan strategi Manajemen Risiko secara tertulis dan komprehensif; Termasuk dalam kebijakan dan strategi Manajemen Risiko adalah penetapan dan persetujuan limit Risiko baik Risiko secara keseluruhan (composite), per jenis Risiko, maupun per aktivitas fungsional. Kebijakan dan strategi Manajemen Risiko disusun paling kurang 1 (satu) kali dalam setahun atau lebih dalam hal terdapat perubahan faktor‐faktor yang mempengaruhi kegiatan usaha BUS secara signifikan. b. bertanggung jawab atas pelaksanaan kebijakan Manajemen Risiko dan eksposur Risiko yang diambil oleh Bank secara keseluruhan; Termasuk tanggung jawab atas pelaksanaan kebijakan Manajemen Risiko adalah: 1. mengevaluasi dan memberikan arahan berdasarkan laporan yang disampaikan oleh satuan kerja Manajemen Risiko; 2. penyampaian laporan pertanggungjawaban kepada Dewan Komisaris secara triwulanan. c. mengevaluasi dan memutuskan transaksi yang memerlukan persetujuan Direksi; d. mengembangkan budaya Manajemen Risiko pada seluruh jenjang organisasi; Pengembangan budaya Manajemen Risiko antara lain meliputi komunikasi yang memadai kepada seluruh jenjang organisasi tentang pentingnya Manajemen Risiko yang efektif. 140 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
e. memastikan peningkatan kompetensi sumber daya manusia yang terkait dengan Manajemen Risiko; Peningkatan kompetensi sumber daya manusia antara lain melalui program pendidikan dan pelatihan secara berkesinambungan mengenai penerapan Manajemen Risiko. f.
memastikan bahwa fungsi Manajemen Risiko telah beroperasi secara independen; Yang dimaksud dengan “independen” antara lain adanya pemisahan fungsi antara satuan kerja Manajemen Risiko yang melakukan identifikasi, pengukuran dan pemantauan Risiko dengan satuan kerja yang melakukan dan menyelesaikan transaksi. g. melaksanakan kaji ulang secara berkala untuk memastikan: Kaji ulang secara berkala antara lain dimaksudkan untuk mengantisipasi apabila terjadi perubahan faktor eksternal dan faktor internal. 1. keakuratan metodologi penilaian Risiko; 2. kecukupan implementasi sistem informasi Manajemen Risiko; dan 3. ketepatan kebijakan, prosedur dan penetapan limit Risiko. (2) Dalam rangka melaksanakan wewenang dan tanggung jawab sebagaimana dimaksud pada ayat (1), Direksi harus memiliki pemahaman yang memadai mengenai Risiko yang melekat pada seluruh aktivitas fungsional Bank dan mampu mengambil tindakan yang diperlukan sesuai dengan profil Risiko Bank. Yang dimaksud dengan “memiliki pemahaman yang memadai” adalah termasuk pemahaman terhadap Prinsip Syariah yang terkait dengan produk, jasa, dan kegiatan operasional Bank lainnya. (3) Wewenang dan tanggung jawab Direksi sebagaimana dimaksud pada ayat (1) untuk UUS dilakukan oleh Direktur UUS. Dalam melaksanakan wewenang dan tanggung jawabnya, Direktur UUS dapat berkoordinasi dengan Direktur lain pada BUK. 233 Bagian Keempat Wewenang dan Tanggung Jawab Dewan Pengawas Syariah
Pasal 9 13/23/PBI/2011 Wewenang dan tanggung jawab sebagaimana dimaksud dalam Pasal 6 (Paragraf 230 dalam kodifikasi ini) bagi Dewan Pengawas Syariah paling kurang mencakup: a. melakukan evaluasi (review) atas kebijakan Manajemen Risiko yang terkait dengan pemenuhan Prinsip Syariah; dan 141 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Evaluasi atas kebijakan Manajemen Risiko yang terkait dengan pemenuhan Prinsip Syariah dilakukan oleh Dewan Pengawas Syariah paling kurang 1 (satu) kali dalam setahun. b. mengevaluasi pertanggungjawaban Direksi atas pelaksanaan kebijakan Manajemen Risiko yang terkait dengan pemenuhan Prinsip Syariah sebagaimana dimaksud dalam huruf a. Evaluasi pertanggungjawaban Direksi atas pelaksanaan kebijakan Manajemen Risiko yang terkait dengan pemenuhan Prinsip Syariah dilakukan oleh Dewan Pengawas Syariah paling kurang secara triwulanan. BAB IV Bagian Kesatu 234 Pasal 10 13/23/PBI/2011 Kebijakan, Prosedur dan Penetapan Limit Kebijakan Manajemen Risiko
Kebijakan Manajemen Risiko sebagaimana dimaksud dalam Pasal 3 ayat (1) huruf b (Paragraf 227 ayat (1) huruf b dalam kodifikasi ini) paling kurang memuat: Kebijakan Manajemen Risiko ditetapkan antara lain dengan cara menyusun strategi Manajemen Risiko untuk memastikan bahwa: 1. Bank tetap mempertahankan eksposur Risiko sesuai dengan kebijakan dan prosedur intern Bank dan peraturan perundang‐undangan serta ketentuan lain yang berlaku; dan 2. Bank dikelola oleh sumber daya manusia yang memiliki pengetahuan, pengalaman, dan keahlian di bidang Manajemen Risiko sesuai dengan kompleksitas usaha Bank. Penyusunan strategi Manajemen Risiko dilakukan dengan mempertimbangkan kondisi keuangan Bank, organisasi Bank, dan Risiko yang timbul sebagai akibat perubahan faktor eksternal dan faktor internal. a. penetapan Risiko yang terkait dengan produk dan transaksi perbankan; b. penetapan penggunaan metode pengukuran dan sistem informasi Manajemen Risiko; c. penentuan limit dan penetapan toleransi Risiko; Toleransi Risiko merupakan potensi kerugian yang dapat diserap oleh permodalan Bank. d. penetapan penilaian peringkat Risiko; Penetapan penilaian peringkat Risiko merupakan dasar bagi Bank untuk mengkategorikan peringkat Risiko Bank. Peringkat Risiko bagi Bank dikategorikan menjadi 5 (lima) peringkat, yaitu 1 (Low), 2 (Low to Moderate), 3 (Moderate), 4 (Moderate to High), dan 5 (High). e. penyusunan rencana darurat (contingency plan) dalam kondisi terburuk;
f. penetapan sistem pengendalian intern dalam penerapan Manajemen Risiko. 142 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
Prosedur dan Penetapan Limit Risiko
Bagian Kedua 235 Pasal 11 (1) Prosedur dan penetapan limit Risiko sebagaimana dimaksud dalam 13/23/PBI/2011 Pasal 3 227 ayat (1) huruf b (Paragraf 227 ayat (1) huruf b dalam kodifikasi ini) wajib disesuaikan dengan tingkat Risiko yang akan diambil (risk appetite) terhadap Risiko Bank. Tingkat Risiko yang akan diambil (risk appetite) memperhatikan pengalaman yang dimiliki Bank dalam mengelola Risiko. (2) Prosedur dan penetapan limit Risiko sebagaimana dimaksud pada ayat (1) paling kurang memuat: a. akuntabilitas dan jenjang delegasi wewenang yang jelas; b. pelaksanaan kaji ulang terhadap prosedur dan penetapan limit secara berkala; Yang dimaksud dengan “secara berkala” adalah paling kurang 1 (satu) kali dalam setahun atau lebih, sesuai dengan jenis Risiko, kebutuhan, dan perkembangan Bank. c. dokumentasi prosedur dan penetapan limit secara memadai. Yang dimaksud dengan “dokumentasi yang memadai” adalah dokumentasi yang tertulis, lengkap, dan memudahkan untuk dilakukan jejak audit (audit trail) untuk keperluan pengendalian intern Bank. (3) Penetapan limit Risiko sebagaimana dimaksud pada ayat (2) wajib mencakup: a. limit secara keseluruhan; b. limit per jenis Risiko; dan c. limit per aktivitas fungsional tertentu yang memiliki eksposur Risiko. BAB V Bagian Kesatu 236 Pasal 12 13/23/PBI/2011 Proses Identifikasi, Pengukuran, Pemantauan, Pengendalian dan Sistem Informasi Manajemen Risiko Umum
(1) Bank wajib melakukan proses identifikasi, pengukuran, pemantauan, dan pengendalian Risiko sebagaimana dimaksud dalam Pasal 3 ayat (1) huruf c (Paragraf 227 ayat (1) huruf c dalam kodifikasi ini) terhadap seluruh faktor‐faktor Risiko (risk factors) yang bersifat material. Yang dimaksud dengan “faktor‐faktor Risiko” adalah berbagai parameter yang mempengaruhi eksposur Risiko. Yang dimaksud dengan “faktor‐faktor Risiko yang bersifat material” adalah faktor‐faktor Risiko baik kuantitatif maupun kualitatif yang berpengaruh secara signifikan terhadap kondisi keuangan Bank. (2) Pelaksanaan proses identifikasi, pengukuran, pemantauan, dan pengendalian Risiko sebagaimana dimaksud pada ayat (1) wajib didukung oleh: 143 Manajemen Paragraf Sumber Regulasi Ketentuan
a. sistem informasi Manajemen Risiko yang tepat waktu; dan
b. laporan yang akurat dan informatif mengenai kondisi keuangan Bank, kinerja aktivitas fungsional dan eksposur Risiko Bank. Proses Identifikasi, Pengukuran, Pemantauan, dan Pengendalian Risiko Bagian Kedua 237 Manajemen Risiko Pasal 13 13/23/PBI/2011 (1) Pelaksanaan proses identifikasi Risiko dilakukan dengan melakukan analisis paling kurang terhadap: a. karakteristik Risiko yang melekat pada Bank; dan b. Risiko dari produk dan kegiatan usaha Bank. Proses identifikasi Risiko antara lain didasarkan pada pengalaman kerugian Bank yang pernah terjadi. (2) Dalam rangka melaksanakan pengukuran Risiko, Bank wajib melakukan paling kurang: Untuk mengukur Risiko, Bank dapat menggunakan pendekatan kualitatif maupun kuantitatif yang disesuaikan dengan tujuan usaha, kompleksitas usaha, dan kemampuan Bank. a. evaluasi secara berkala terhadap kesesuaian asumsi, sumber data dan prosedur yang digunakan untuk mengukur Risiko; Yang dimaksud dengan “secara berkala” adalah paling kurang secara triwulanan atau lebih sesuai dengan perkembangan usaha Bank dan kondisi eksternal yang mempengaruhi kondisi Bank. b. penyempurnaan terhadap sistem pengukuran Risiko apabila terdapat perubahan kegiatan usaha Bank, produk, transaksi dan faktor Risiko, yang bersifat material yang dapat mempengaruhi kondisi keuangan Bank. (3) Dalam rangka melaksanakan pemantauan Risiko, Bank wajib melakukan paling kurang: a. evaluasi terhadap eksposur Risiko; Evaluasi terhadap eksposur Risiko dilakukan dengan cara pemantauan dan pelaporan Risiko yang bersifat material atau yang berdampak kepada kondisi permodalan Bank, yang antara lain didasarkan atas penilaian potensi Risiko dengan menggunakan historical trend. b. penyempurnaan proses pelaporan apabila terdapat perubahan kegiatan usaha Bank, produk, transaksi, faktor Risiko, teknologi informasi dan sistem informasi Manajemen Risiko yang bersifat material. (4) Bank wajib melakukan langkah‐langkah pengendalian atas Risiko yang dapat membahayakan kelangsungan usaha Bank. 144 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Langkah‐langkah pengendalian dapat dilakukan dengan metode mitigasi Risiko antara lain lindung nilai dan penambahan modal untuk menyerap potensi kerugian. Selain itu dalam melaksanakan fungsi pengendalian Risiko nilai tukar dan Risiko Likuiditas, Bank paling kurang menerapkan Assets and Liabilities Management (ALMA). (5) Penetapan langkah‐langkah pengendalian Risiko sebagaimana dimaksud pada ayat (4) harus sesuai dengan Prinsip Syariah. 238 Sistem Informasi Manajemen Risiko
Pasal 14 13/23/PBI/2011 (1) Sistem informasi Manajemen Risiko sebagaimana dimaksud dalam Pasal 3 ayat (1) huruf c (Paragraf 227 ayat (1) huruf c dalam kodifikasi ini), paling kurang mencakup laporan atau informasi mengenai: a. eksposur Risiko; Laporan atau informasi eksposur Risiko mencakup eksposur kuantitatif dan kualitatif, secara keseluruhan(composite) maupun rincian per jenis Risiko dan per jenis aktivitas fungsional. b. kepatuhan terhadap kebijakan dan prosedur serta penetapan limit sebagaimana dimaksud dalam Pasal 10 dan Pasal 11 (Paragraf 234 dan Paragraf 235 dalam kodifikasi ini); c. realisasi pelaksanaan Manajemen Risiko dibandingkan dengan target yang ditetapkan. (2) Laporan atau informasi yang dihasilkan dari sistem informasi Manajemen Risiko sebagaimana dimaksud pada ayat (1) wajib disampaikan secara rutin kepada Direksi. Laporan atau informasi yang disampaikan kepada Direksi dapat ditingkatkan frekuensinya sesuai dengan kebutuhan BUS. (3) Sistem informasi Manajemen Risiko sebagaimana dimaksud pada ayat (1) untuk UUS dapat menggunakan teknologi sistem informasi yang digunakan dalam sistem informasi Manajemen Risiko BUK. BAB VI 239 240 Bagian Kesatu Pasal 15 13/23/PBI/2011 Pasal 16 13/23/PBI/2011 Sistem Pengendalian Intern
Umum
(1) Bank wajib melaksanakan sistem pengendalian intern secara efektif terhadap pelaksanaan kegiatan usaha dan operasional pada seluruh jenjang organisasi Bank. (2) Pelaksanaan sistem pengendalian intern untuk UUS dapat digabung dengan sistem pengendalian intern dari BUK. (1) Pelaksanaan sistem pengendalian intern sebagaimana dimaksud dalam Pasal 14 (Paragraf 238 dalam kodifikasi ini) paling kurang mampu mendeteksi kelemahan dan penyimpangan yang terjadi secara tepat waktu. 145 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
(2) Sistem pengendalian intern sebagaimana dimaksud pada ayat (1) wajib memastikan: a. kepatuhan terhadap peraturan perundang‐undangan yang berlaku serta kebijakan atau ketentuan intern Bank; b. tersedianya informasi keuangan dan manajemen yang lengkap, akurat, tepat guna, dan tepat waktu; Informasi keuangan dan manajemen yang lengkap, akurat, tepat guna, dan tepat waktu diperlukan dalam rangka pengambilan keputusan yang tepat dan dapat dipertanggungjawabkan, serta dikomunikasikan kepada pihak yang berkepentingan. c. efektivitas dan efisiensi dalam kegiatan operasional; dan Efektivitas dan efisiensi dalam kegiatan operasional antara lain diperlukan untuk melindungi aset dan sumber daya Bank lainnya dari Risiko terkait. d. efektivitas budaya Risiko (risk culture) pada organisasi Bank secara menyeluruh. Efektivitas budaya Risiko dimaksudkan untuk mengidentifikasi kelemahan dan penyimpangan secara lebih dini dan menilai kembali kewajaran kebijakan dan prosedur yang ada pada Bank secara berkesinambungan. Sistem Pengendalian Intern dalam Penerapan Manajemen Risiko Bagian Kedua 241 Pasal 17 13/23/PBI/2011 (1) Sistem pengendalian intern dalam penerapan Manajemen Risiko sebagaimana dimaksud dalam Pasal 3 ayat (1) huruf d (Paragraf 227 ayat (1) huruf d dalam kodifikasi ini) paling kurang mencakup: a. kesesuaian sistem pengendalian intern dengan jenis dan tingkat Risiko yang melekat pada kegiatan usaha Bank; b. penetapan wewenang dan tanggung jawab untuk pemantauan kepatuhan terhadap kebijakan, prosedur dan limit sebagaimana dimaksud dalam Pasal 10 dan Pasal 11 (Paragraf 234 dan Paragraf 235 dalam kodifikasi ini); c. penetapan jalur pelaporan dan pemisahan fungsi yang jelas dari satuan kerja operasional terhadap satuan kerja yang melaksanakan fungsi pengendalian; d. struktur organisasi yang menggambarkan secara jelas kegiatan usaha Bank; e. pelaporan keuangan dan kegiatan operasional yang akurat dan tepat waktu; f. kecukupan prosedur untuk memastikan kepatuhan Bank terhadap peraturan perundang‐undangan yang berlaku; g. kaji ulang yang efektif, independen, dan obyektif terhadap prosedur penilaian kegiatan operasional Bank; h. pengujian dan kaji ulang yang memadai terhadap sistem informasi Manajemen Risiko; 146 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
dokumentasi secara lengkap dan memadai terhadap prosedur operasional, cakupan dan temuan audit, serta tanggapan pengurus Bank berdasarkan hasil audit; j. verifikasi dan kaji ulang secara berkala dan berkesinambungan terhadap penanganan kelemahan‐kelemahan Bank yang bersifat material dan tindakan pengurus Bank untuk memperbaiki penyimpangan‐penyimpangan yang terjadi. (2) Penilaian terhadap sistem pengendalian intern dalam penerapan Manajemen Risiko sebagaimana dimaksud pada ayat (1) wajib dilakukan oleh satuan kerja audit intern (SKAI). i.
BAB VII Bagian Kesatu 242 243 Organisasi dan Fungsi Manajemen Risiko Umum
Pasal 18 13/23/PBI/2011 (1) Dalam rangka pelaksanaan proses dan sistem Manajemen Risiko yang efektif sebagaimana dimaksud dalam Pasal 2 (Paragraf 226 dalam kodifikasi ini), Bank wajib membentuk: a. komite Manajemen Risiko; dan Komite Manajemen Risiko harus bersifat non struktural. b. satuan kerja Manajemen Risiko. Satuan kerja Manajemen Risiko tersebut merupakan bagian dari struktur organisasi Bank (bersifat struktural). (2) Komite Manajemen Risiko dan satuan kerja Manajemen Risiko sebagaimana dimaksud pada ayat (1) untuk UUS dapat dibentuk secara tersendiri atau digabungkan dengan BUK sesuai dengan ukuran dan kompleksitas usaha UUS serta Risiko yang melekat pada UUS. Pengaturan ini dimaksudkan agar UUS dapat menentukan struktur organisasi yang tepat dan sesuai dengan kondisi BUK, termasuk kemampuan keuangan dan sumber daya manusia. Bagian Kedua Komite Manajemen Risiko
Pasal 19 13/23/PBI/2011 (1) Komite Manajemen Risiko sebagaimana dimaksud dalam Pasal 18 ayat (1) huruf a (Paragraf 242 ayat (1) huruf a dalam kodifikasi ini) untuk BUS, paling kurang terdiri dari: Keanggotaan Komite Manajemen Risiko dapat berupa keanggotaan tetap dan tidak tetap, sesuai dengan kebutuhan Bank. a. mayoritas anggota Direksi; dan Salah satu anggota Direksi yang harus menjadi anggota komite Manajemen Risiko adalah Direktur yang membawahkan fungsi kepatuhan. 147 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
b. pejabat eksekutif terkait.
Yang dimaksud dengan “pejabat eksekutif terkait” adalah pejabat Bank satu tingkat di bawah Direksi yang memimpin satuan kerja operasional dan satuan kerja Manajemen Risiko. Keanggotaan pejabat eksekutif dalam komite Manajemen Risiko disesuaikan dengan permasalahan dan kebutuhan Bank. (2) Dalam hal komite Manajemen Risiko untuk UUS sebagaimana dimaksud dalam Pasal 18 ayat (2) (Paragraf 242 ayat (2) dalam kodifikasi ini) dibentuk secara tersendiri, maka keanggotaan komite Manajemen Risiko UUS paling kurang terdiri dari: Keanggotaan Komite Manajemen Risiko dapat berupa keanggotaan tetap dan tidak tetap, sesuai dengan kebutuhan UUS. a. Direktur UUS; b. Direktur yang membawahkan fungsi kepatuhan BUK; dan c. pejabat eksekutif terkait. Yang dimaksud dengan “pejabat eksekutif terkait” adalah pejabat UUS dan BUK satu tingkat di bawah Direksi yang memimpin satuan kerja operasional dan satuan kerja Manajemen Risiko. Keanggotaan pejabat eksekutif dalam komite Manajemen Risiko disesuaikan dengan permasalahan dan kebutuhan UUS. (3) Dalam hal komite Manajemen Risiko untuk UUS sebagaimana dimaksud dalam Pasal 18 ayat (2) (Paragraf 242 ayat (2) dalam kodifikasi ini) digabung dengan komite Manajemen Risiko BUK maka dalam pembahasan yang terkait dengan Manajemen Risiko UUS, Direktur UUS wajib diikutsertakan sebagai salah satu anggota komite Manajemen Risiko BUK. (4) Komite Manajemen Risiko sebagaimana dimaksud pada ayat (1) berwenang dan bertanggung jawab untuk memberikan rekomendasi kepada Direktur Utama, yang paling kurang meliputi: a. penyusunan kebijakan, strategi, dan pedoman penerapan Manajemen Risiko; b. perbaikan atau penyempurnaan pelaksanaan Manajemen Risiko berdasarkan hasil evaluasi pelaksanaan dimaksud; c. penetapan (justification) hal‐hal yang terkait dengan keputusan bisnis yang tidak sesuai dengan prosedur normal (irregularities). Termasuk dalam keputusan bisnis yang tidak sesuai dengan prosedur normal antara lain pelampauan ekspansi usaha yang signifikan dibandingkan rencana bisnis Bank dan pengambilan posisi/eksposur Risiko yang tidak sesuai dengan limit yang telah ditetapkan. 148 Manajemen Manajemen Risiko Paragraf Sumber Regulasi Ketentuan
Satuan Kerja Manajemen Risiko
Bagian Ketiga 244 Pasal 20 (1) Struktur organisasi satuan kerja Manajemen Risiko Bank sebagaimana 13/23/PBI/2011 dimaksud dalam Pasal 18 ayat (1) huruf b (Paragraf 242 ayat (1) huruf b dalam kodifikasi ini) disesuaikan dengan ukuran dan kompleksitas usaha Bank serta Risiko yang melekat pada Bank. Pengaturan ini dimaksudkan agar Bank dapat menentukan struktur organisasi yang tepat dan sesuai dengan kondisi Bank, termasuk kemampuan keuangan dan sumber daya manusia. (2) Satuan kerja Manajemen Risiko sebagaimana dimaksud pada ayat (1) harus independen terhadap satuan kerja operasional (risk‐taking unit) dan terhadap satuan kerja yang melaksanakan fungsi pengendalian intern. Yang dimaksud dengan “independen” antara lain tercermin dari adanya: 1. pemisahan fungsi/tugas antara satuan kerja Manajemen Risiko dengan satuan kerja operasional (risk‐taking unit) dan satuan kerja yang melaksanakan fungsi pengendalian intern; 2. proses pengambilan keputusan yang tidak memihak atau menguntungkan satuan kerja operasional tertentu atau mengabaikan satuan kerja operasional lainnya. Yang dimaksud dengan “satuan kerja operasional (risk‐taking unit)” antara lain satuan kerja pembiayaan, treasuri, dan pendanaan. (3) Satuan kerja Manajemen Risiko sebagaimana dimaksud pada ayat (2) bertanggung jawab langsung kepada Direktur Utama atau kepada Direktur yang ditugaskan secara khusus. Yang dimaksud dengan “Direktur yang ditugaskan secara khusus” adalah Direktur yang membawahkan fungsi kepatuhan atau Direktur Manajemen Risiko. Istilah Direktur Utama dapat dipersamakan dengan Presiden Direktur. (4) Wewenang dan tanggung jawab satuan kerja Manajemen Risiko meliputi: Wewenang dan tanggung jawab satuan kerja Manajemen Risiko disesuaikan dengan tujuan usaha, kompleksitas usaha, dan kemampuan Bank. a. pemantauan pelaksanaan strategi Manajemen Risiko yang telah disetujui oleh Direksi; b. pemantauan posisi Risiko secara keseluruhan (composite), per jenis Risiko dan/atau per jenis aktivitas fungsional serta melakukan stress testing; Stress testing dilakukan guna mengetahui dampak dari implementasi kebijakan dan strategi Manajemen Risiko terhadap 149 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
kinerja dan pendapatan masing‐masing satuan kerja operasional atau aktivitas fungsional Bank. c. kaji ulang secara berkala terhadap proses Manajemen Risiko; Kaji ulang antara lain dilakukan berdasarkan temuan audit intern dan/atau perkembangan praktek‐praktek Manajemen Risiko yang berlaku secara internasional. d. pengkajian usulan aktivitas dan/atau produk baru; Termasuk dalam pengkajian adalah penilaian kemampuan Bank untuk melakukan aktivitas dan/atau produk baru dan kajian usulan perubahan sistem dan prosedur serta pemenuhan terhadap Prinsip Syariah. e. evaluasi terhadap akurasi model dan validitas data yang digunakan untuk mengukur Risiko, bagi Bank yang menggunakan model untuk keperluan intern (internal model); f. memberikan rekomendasi kepada satuan kerja operasional (risk‐
taking unit) dan/atau kepada komite Manajemen Risiko; dan Rekomendasi antara lain memuat rekomendasi yang terkait dengan besaran atau maksimum eksposur Risiko yang wajib dipelihara oleh Bank. g. menyusun dan menyampaikan laporan profil/komposisi Risiko secara berkala kepada: Profil Risiko merupakan gambaran secara menyeluruh atas besarnya potensi Risiko yang melekat pada seluruh portofolio atau eksposur Bank. Frekuensi penyampaian laporan harus ditingkatkan apabila kondisi pasar berubah dengan cepat. Untuk eksposur Risiko yang berubah relatif lama, seperti Risiko Kredit maka penyampaian laporan disampaikan paling kurang 1 (satu) kali dalam sebulan. 1. direktur utama atau direktur yang ditugaskan secara khusus; dan 2. komite Manajemen Risiko. Bagian Keempat 245 Pasal 21 13/23/PBI/2011 Hubungan Satuan Kerja Operasional dengan Satuan Kerja Manajemen Risiko Satuan kerja operasional (risk‐taking unit) sebagaimana dimaksud dalam Pasal 20 ayat (2) (Paragraf 244 ayat (2) dalam kodifikasi ini) wajib menginformasikan eksposur Risiko yang melekat pada satuan kerja yang bersangkutan kepada satuan kerja Manajemen Risiko secara berkala. Frekuensi penyampaian informasi eksposur Risiko disesuaikan dengan karakteristik jenis Risiko. 150 Manajemen Paragraf Sumber Regulasi BAB VIII Bagian Kesatu 246 Pasal 22 13/23/PBI/2011 247 Pasal 23 13/23/PBI/2011 Manajemen Risiko Ketentuan
Pelaporan
Laporan Profil Risiko
(1) Bank wajib menyampaikan laporan profil Risiko kepada Bank Indonesia.
Laporan profil Risiko memuat antara lain informasi tentang tingkat dan trend seluruh eksposur Risiko. (2) Laporan profil Risiko sebagaimana dimaksud pada ayat (1) wajib memuat substansi yang sama dengan laporan profil Risiko yang disampaikan oleh satuan kerja Manajemen Risiko kepada Direktur Utama atau kepada Direktur yang ditugaskan secara khusus, dan komite Manajemen Risiko. (3) Laporan profil Risiko sebagaimana dimaksud pada ayat (1) disampaikan secara triwulanan untuk posisi bulan Maret, Juni, September, dan Desember. Laporan profil Risiko disajikan secara komparatif dengan posisi triwulan sebelumnya. (4) Dalam hal diperlukan, Bank Indonesia dapat meminta Bank menyampaikan laporan profil Risiko sebagaimana dimaksud pada ayat (1) di luar jangka waktu yang ditetapkan. (5) Ketentuan lebih lanjut mengenai format dan petunjuk penyusunan laporan sebagaimana dimaksud pada ayat (1) diatur dengan ketentuan Bank Indonesia. (1) Laporan profil Risiko sebagaimana dimaksud dalam Pasal 22 ayat (1) (Paragraf 246 ayat (1) dalam kodifikasi ini) disampaikan paling lama 15 (lima belas) hari kerja setelah akhir bulan laporan sebagaimana dimaksud dalam Pasal 22 ayat (3) (Paragraf 246 ayat (3) dalam kodifikasi ini). Contoh: Untuk laporan profil Risiko posisi bulan September 2011, Bank wajib menyampaikan laporan dimaksud kepada Bank Indonesia paling lambat pada tanggal 21 Oktober 2011. (2) Bank dianggap terlambat menyampaikan laporan apabila laporan disampaikan melampaui batas waktu penyampaian sebagaimana dimaksud pada ayat (1) namun tidak melebihi 1 (satu) bulan sejak batas akhir waktu penyampaian laporan. Contoh: Apabila Bank menyampaikan laporan profil Risiko posisi bulan September 2011 pada tanggal 22 Oktober 2011 sampai dengan tanggal 21 November 2011, maka Bank dianggap terlambat menyampaikan laporan. (3) Bank dianggap tidak menyampaikan laporan sebagaimana dimaksud dalam Pasal 22 ayat (1) (Paragraf 246 ayat (1) dalam kodifikasi ini) apabila Bank belum atau tidak menyampaikan laporan melebihi 1 (satu) 151 Manajemen Paragraf Sumber Regulasi 248 Manajemen Risiko Ketentuan
bulan sejak batas akhir waktu penyampaian laporan sebagaimana dimaksud pada ayat (1). Contoh: Apabila Bank menyampaikan laporan profil Risiko posisi bulan September 2011 setelah tanggal 21 November 2011, maka Bank dianggap tidak menyampaikan laporan dimaksud. Bagian Kedua Laporan Lain
Pasal 24 13/23/PBI/2011 (1) Bank wajib menyampaikan kepada Bank Indonesia laporan lain selain sebagaimana dimaksud dalam Pasal 22 (Paragraf 246 dalam kodifikasi ini), dalam hal terdapat kondisi yang berpotensi menimbulkan kerugian yang signifikan terhadap kondisi keuangan Bank. (2) Bank wajib menyampaikan kepada Bank Indonesia laporan lain yang terkait dengan penerapan Manajemen Risiko secara berkala atau sewaktu‐waktu apabila diperlukan. Laporan terkait penerapan Manajemen Risiko meliputi antara lain Laporan Proyeksi Arus Kas dan Laporan Profil Maturitas dalam rangka Penerapan Manajemen Risiko untuk Risiko Likuiditas. (3) Format, tata cara pelaporan, dan pengenaan sanksi atas laporan sebagaimana dimaksud pada ayat (2) tunduk pada ketentuan Bank Indonesia yang mengatur mengenai pelaporan bank kepada Bank Indonesia. Yang dimaksud dengan ketentuan Bank Indonesia yang mengatur mengenai pelaporan bank antara lain ketentuan Bank Indonesia mengenai Laporan Berkala Bank Umum dan Laporan Kantor Pusat Bank Umum. Bagian Ketiga Alamat Penyampaian
Pasal 25 13/23/PBI/2011 Laporan sebagaimana dimaksud dalam Pasal 22 dan Pasal 24 (Paragraf 246 dan Paragraf 248 dalam kodifikasi ini) disampaikan kepada Bank Indonesia dengan alamat: a. Direktorat Perbankan Syariah, Jl. MH Thamrin Nomor 2, Jakarta 10350, bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat Bank Indonesia. b. Kantor Bank Indonesia setempat, bagi Bank yang berkantor pusat di luar wilayah kerja Kantor Pusat Bank Indonesia. BAB IX Bagian Kesatu Lain‐Lain
Penilaian Penerapan Manajemen Risiko
Pasal 26 13/23/PBI/2011 Bank Indonesia dapat melakukan penilaian terhadap penerapan Manajemen Risiko pada Bank. 249 250 Penilaian terhadap Manajemen Risiko Bank termasuk penilaian Risiko yang melekat (inherent risk) dan kecukupan sistem pengendalian Risiko (risk control system). 152 Manajemen Paragraf Sumber Regulasi 251 Pasal 27 13/23/PBI/2011 Manajemen Risiko Ketentuan
Bank wajib menyediakan data dan informasi yang berkaitan dengan penerapan Manajemen Risiko kepada Bank Indonesia. 252 253 Bagian Kedua Aspek Pengungkapan Kinerja dan Kebijakan Manajemen Risiko
Pasal 28 13/23/PBI/2011 (1) Pengungkapan Manajemen Risiko dalam laporan tahunan Bank sebagaimana diatur dalam Peraturan Bank Indonesia tentang Transparansi Kondisi Keuangan Bank wajib disesuaikan dengan Peraturan Bank Indonesia ini. (2) Pengungkapan sebagaimana dimaksud pada ayat (1) paling kurang mencakup kinerja Manajemen Risiko dan arah kebijakan Manajemen Risiko. Kinerja Manajemen Risiko merupakan hasil penerapan Manajemen Risiko untuk periode awal tahun (Januari) sampai dengan akhir tahun (Desember) termasuk profil Risiko, sedangkan arah kebijakan Manajemen Risiko merupakan arah dan strategi Manajemen Risiko periode satu tahun ke depan. (3) Pengungkapan Manajemen Risiko dalam laporan tahunan sebagaimana dimaksud pada ayat (1) untuk UUS digabungkan dalam laporan tahunan BUK. BAB X Sanksi
Pasal 29 13/23/PBI/2011 (1) Bank yang terlambat menyampaikan laporan sebagaimana dimaksud dalam Pasal 22 (Paragraf 246 dalam kodifikasi ini) dikenakan sanksi kewajiban membayar sebesar Rp1.000.000,00 (satu juta rupiah) per hari keterlambatan per laporan. Yang dimaksud dengan “hari” adalah hari kerja. (2) Bank yang tidak menyampaikan laporan sebagaimana dimaksud dalam Pasal 22 (Paragraf 246 dalam kodifikasi ini) dikenakan sanksi kewajiban membayar sebesar Rp50.000.000 (lima puluh juta rupiah) per laporan. Bank yang telah dikenakan sanksi kewajiban membayar dalam ayat ini tidak dikenakan sanksi keterlambatan sebagaimana dimaksud pada ayat (1). (3) Bank yang tidak menyampaikan laporan sebagaimana dimaksud dalam Pasal 22 (Paragraf 246 dalam kodifikasi ini) dan telah dikenakan sanksi kewajiban membayar sebagaimana dimaksud pada ayat (2), tetap wajib menyampaikan laporan kepada Bank Indonesia. (4) Bank yang menyampaikan laporan sebagaimana dimaksud dalam Pasal 22 (Paragraf 246 dalam kodifikasi ini) namun dinilai tidak lengkap secara signifikan atau tidak dilampiri dengan dokumen dan informasi yang material sesuai dengan format yang ditentukan, dikenakan sanksi kewajiban membayar sebesar Rp50.000.000,00 (lima puluh juta rupiah) setelah Bank diberikan 2 (dua) kali surat teguran oleh Bank Indonesia dengan tenggang waktu 7 (tujuh) hari kerja untuk setiap teguran dan Bank tidak memperbaiki laporan dalam jangka waktu 7 (tujuh) hari kerja 153 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
setelah surat teguran terakhir. 254 Pasal 30 13/23/PBI/2011 255 SE 15/40/DKMP 2013 Romawi I Bank yang telah dikenakan sanksi kewajiban membayar dalam ayat ini tidak dikenakan sanksi sebagaimana dimaksud pada ayat (1) Bank yang tidak memenuhi ketentuan dalam Pasal 2 ayat (1), Pasal 4, Pasal 5 ayat (2), Pasal 6, Pasal 11 ayat (1), Pasal 11 ayat (3), Pasal 12, Pasal 13 ayat (2), Pasal 13 ayat (3), Pasal 13 ayat (4), Pasal 14 ayat (2), Pasal 15, Pasal 16 ayat (2), Pasal 17 ayat (2), Pasal 18 ayat (1), Pasal 21 dan Pasal 32 ayat (2) (Paragraf 226 ayat (1), Paragraf 228, Paragraf 229 ayat (2), Paragraf 230, Paragraf 235 ayat (1), Paragraf 235 ayat (3), Paragraf 236, Paragraf 237 ayat (2), Paragraf 237 ayat (3), Paragraf 237 ayat (4), Paragraf 238 ayat (2), Paragraf 239, Paragraf 240 ayat (2), Paragraf 241 ayat (2), Paragraf 242 ayat (1) dan Paragraf 245 dalam kodifikasi ini) dikenakan sanksi administratif antara lain berupa: a. teguran tertulis; b. pembekuan kegiatan usaha tertentu; dan/atau c. pencantuman anggota pengurus, pegawai Bank, dan/atau pemegang saham dalam daftar pihak‐pihak yang mendapat predikat tidak lulus dalam penilaian kemampuan dan kepatutan atau dalam catatan administrasi Bank Indonesia sebagaimana diatur dalam ketentuan Bank Indonesia yang berlaku. Penerapan Manajemen Risiko pada Bank yang Melakukan Pemberian Kredit atau Pembiayaan Pemilikan Properti, Kredit atau Pembiayaan Konsumsi Beragun Properti, dan Kredit atau Pembiayaan Kendaraan Bermotor Ketentuan Umum
A. Sejalan dengan tingginya pertumbuhan kredit atau pembiayaan pemilikan properti, kredit atau pembiayaan konsumsi beragun properti, dan kredit atau pembiayaan kendaraan bermotor yang berpotensi menimbulkan berbagai Risiko maka Bank perlu meningkatkan kehati‐
hatian dalam penyaluran kredit atau pembiayaan pemilikan properti, kredit atau pembiayaan konsumsi beragun properti, dan kredit atau pembiayaan kendaraan bermotor. B. Pertumbuhan kredit atau pembiayaan pemilikan properti dan kredit atau pembiayaan konsumsi beragun properti yang terlalu tinggi dapat mendorong peningkatan harga aset properti yang tidak mencerminkan harga yang sebenarnya sehingga meningkatkan Risiko Kredit bagi Bank dengan eksposur kredit atau pembiayaan properti yang besar. C. Dalam rangka menjaga perekonomian yang produktif dan mampu menghadapi tantangan di sektor keuangan, perlu adanya kebijakan yang dapat memperkuat sektor keuangan untuk meminimalisir sumber‐
sumber kerawanan yang mungkin timbul, termasuk pertumbuhan kredit atau pembiayaan pemilikan properti, kredit atau pembiayaan konsumsi beragun properti, dan kredit atau pembiayaan kendaraan bermotor yang berlebihan. D. Kebijakan dalam rangka meningkatkan kehati‐hatian Bank dalam pemberian kredit atau pembiayaan pemilikan properti, kredit konsumsi 154 Manajemen Paragraf Sumber Regulasi 256 SE 15/40/DKMP 2013 Romawi II Manajemen Risiko Ketentuan
beragun properti, dan kredit atau pembiayaan kendaraan bermotor, serta kebijakan untuk memperkuat ketahanan sektor keuangan dilakukan melalui penetapan besaran loan to value atau financing to value untuk kredit atau pembiayaan pemilikan properti dan kredit atau pembiayaan konsumsi beragun properti, serta down payment untuk kredit atau pembiayaan kendaraan bermotor. Cakupan Pengaturan
1. Bank Umum, yang selanjutnya disebut Bank, adalah Bank Umum Konvensional termasuk Unit Usaha Syariah, dan Bank Umum Syariah. 2. Properti terdiri dari rumah tapak, rumah susun, rumah toko, dan rumah kantor. 3. Rumah Tapak adalah bangunan yang berfungsi sebagai tempat tinggal yang merupakan kesatuan antara tanah dan bangunan dengan bukti kepemilikan berupa surat keterangan, sertifikat, atau akta yang dikeluarkan oleh lembaga atau pejabat yang berwenang. 4. Rumah Susun adalah bangunan gedung bertingkat yang dibangun dalam suatu lingkungan yang terbagi dalam bagian‐bagian yang distrukturkan secara fungsional baik dalam arah horizontal maupun vertikal dan merupakan satuan‐satuan yang masing‐masing dapat dimiliki dan digunakan secara terpisah, antara lain griya tawang, kondominium, apartemen, dan flat. 5. Rumah Kantor atau Rumah Toko adalah tanah berikut bangunan yang izin pendiriannya sebagai rumah tinggal sekaligus untuk tujuan komersial antara lain perkantoran, pertokoan, atau gudang. 6. Kredit atau Pembiayaan Pemilikan Properti yang selanjutnya disebut KPP atau KPP iB adalah kredit atau pembiayaan yang diberikan bank untuk pembelian Rumah Tapak, Rumah Susun, Rumah Toko dan/atau Rumah Kantor. 7. Kredit atau Pembiayaan Pemilikan Rumah, yang selanjutnya disebut KPR atau KPR iB, adalah kredit atau pembiayaan yang ditujukan untuk pembelian Rumah Tapak. 8. Kredit atau Pembiayaan Pemilikan Rumah Susun, yang selanjutnya disebut KPRS atau KPRS iB, adalah kredit atau pembiayaan yang ditujukan untuk pembelian Rumah Susun. 9. Kredit atau Pembiayaan Pemilikan Rumah Kantor, yang selanjutnya disebut KPRukan atau KPRukan iB adalah kredit atau pembiayaan yang ditujukan untuk pembelian Rumah Kantor. 10. Kredit atau Pembiayaan Pemilikan Rumah Toko, yang selanjutnya disebut KPRuko atau KPRuko iB adalah kredit atau pembiayaan yang ditujukan untuk pembelian Rumah Toko. 11. Kredit atau Pembiayaan Konsumsi Beragun Properti, yang selanjutnya disebut KKBP atau KKBP iB adalah kredit atau pembiayaan konsumsi di luar KPP atau KPP iB dengan agunan berupa Properti. 12. Rasio Loan to Value atau Financing to Value, yang selanjutnya disebut LTV atau FTV, adalah angka rasio antara nilai kredit atau pembiayaan yang dapat diberikan oleh Bank terhadap nilai agunan berupa Properti pada saat pemberian kredit atau pembiayaan berdasarkan harga penilaian terakhir. 155 Manajemen Paragraf Sumber Regulasi 257 Manajemen Risiko Ketentuan
13. Musyarakah Mutanaqisah, yang selanjutnya disebut MMQ, adalah musyarakah atau syirkah dalam rangka kepemilikan Properti antara Bank dengan nasabah, dimana penyertaan kepemilikan Properti oleh Bank akan berkurang yang disebabkan pembelian secara bertahap oleh nasabah. 14. Uang Jaminan, yang selanjutnya disebut Deposit, adalah uang yang harus diserahkan oleh nasabah kepada Bank dalam rangka kepemilikan Properti yang dilakukan dengan akad Ijarah Muntahiya Bittamlik (IMBT). 15. Kredit atau Pembiayaan Kendaraan Bermotor, yang selanjutnya disebut KKB atau KKB iB, adalah kredit atau pembiayaan yang diberikan Bank untuk pembelian kendaraan bermotor. 16. Uang Muka Kredit atau Pembiayaan atau Down Payment, yang selanjutnya disingkat DP, adalah pembayaran di muka secara tunai yang sumber dananya berasal dari debitur atau nasabah (self financing) dalam rangka pembelian kendaraan bermotor melalui fasilitas kredit atau pembiayaan. Penerapan Manajemen Risiko dan Prinsip Kehati‐Hatian Dalam Pemberian Kredit atau Pembiayaan Pemilikan Properti, Kredit atau Pembiayaan Konsumsi Beragun Properti, dan Kredit atau Pembiayaan Kendaraan Bermotor SE 15/40/DKMP 2013 Romawi III Bank yang menyalurkan KPP atau KPP iB, KKBP atau KKBP iB, dan KKB atau KKB iB wajib: A. menerapkan Manajemen Risiko sesuai dengan Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tanggal 19 Mei 2003 tentang Penerapan Manajemen Risiko bagi Bank Umum sebagaimana telah diubah dengan Peraturan Bank Indonesia Nomor 11/25/PBI/2009 dan Peraturan Bank Indonesia Nomor 13/23/PBI/2011 tentang Penerapan Manajemen Risiko bagi Bank Umum Syariah dan Unit Usaha Syariah, mengingat adanya berbagai Risiko yang melekat pada aktivitas tersebut, terutama Risiko Kredit dan Risiko Likuiditas; B. menyusun kebijakan dan prosedur secara tertulis yang akan menjadi acuan dalam pemberian KPP atau KPP iB, KKBP atau KKBP iB, dan KKB atau KKB iB dengan berpedoman pada: 1. Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tanggal 19 Mei 2003 tentang Penerapan Manajemen Risiko bagi Bank Umum sebagaimana telah diubah dengan Peraturan Bank Indonesia Nomor 11/25/PBI/2009; 2. Peraturan Bank Indonesia Nomor 13/23/PBI/2011 tanggal 2 November 2011 tentang Penerapan Manajemen Risiko bagi Bank Umum Syariah dan Unit Usaha Syariah; 3. Peraturan Bank Indonesia Nomor 10/17/PBI/2008 tanggal 25 September 2008 tentang Produk Bank Syariah dan Unit Usaha Syariah; 4. Peraturan Bank Indonesia Nomor 11/33/PBI/2009 tanggal 7 Desember 2009 tentang Pelaksanaan Good Corporate Governance Bagi Bank Umum Syariah dan Unit Usaha Syariah; 156 Manajemen Paragraf Sumber Regulasi 258 Manajemen Risiko Ketentuan
5. Surat Keputusan Direksi Bank Indonesia Nomor 27/162/KEP/DIR tanggal 31 Maret 1995 tentang Kewajiban Penyusunan dan Pelaksanaan Kebijaksanaan Perkreditan Bank bagi Bank Umum; 6. Surat Edaran Bank Indonesia Nomor 10/31/DPbS tanggal 7 Oktober 2008 perihal Produk Bank Syariah dan Unit Usaha Syariah; 7. Surat Edaran Bank Indonesia Nomor 12/38/DPNP tanggal 31 Desember 2010 perihal Pedoman Penyusunan Standard Operating Procedure Administrasi Kredit Pemilikan Rumah dalam Rangka Sekuritisasi; 8. Surat Edaran Bank Indonesia Nomor 13/6/DPNP tanggal 18 Februari 2011 perihal Pedoman Perhitungan Aset Tertimbang Menurut Risiko untuk Risiko Kredit dengan Menggunakan Pendekatan Standar; dan 9. Surat Edaran Bank Indonesia ini. Pengaturan LTV atau FTV Pada Kredit atau Pembiayaan Pemilikan Properti dan Kredit atau Pembiayaan Konsumsi Beragun Properti SE 15/40/DKMP 2013 Romawi IV A. Ruang lingkup pengaturan yang diatur dalam Surat Edaran Bank Indonesia ini mencakup KPP atau KPP iB dan KKBP atau KKBP iB. B. Perhitungan nilai kredit atau pembiayaan dan nilai agunan dalam perhitungan LTV atau FTV untuk : 1. Bank Umum Konvensional a. Nilai kredit ditetapkan berdasarkan plafon kredit yang diterima oleh debitur sebagaimana tercantum dalam perjanjian kredit. b. Nilai agunan ditetapkan berdasarkan nilai taksiran Bank terhadap Properti yang menjadi agunan. Bank dalam melakukan taksiran dapat menggunakan penilai intern Bank atau penilai independen dengan berpedoman pada ketentuan Bank Indonesia mengenai penilaian kualitas aset Bank umum. 2. Bank Umum Syariah dan Unit Usaha Syariah a. Nilai pembiayaan berdasarkan akad murabahah atau akad istishna’ ditetapkan berdasarkan harga pokok pembiayaan yang diberikan kepada nasabah sebagaimana tercantum dalam akad pembiayaan. b. Nilai pembiayaan berdasarkan akad MMQ ditetapkan berdasarkan penyertaan Bank dalam rangka kepemilikan Properti sebagaimana tercantum dalam akad pembiayaan. c. Nilai pembiayaan berdasarkan akad IMBT ditetapkan berdasarkan hasil pengurangan harga Properti dengan Deposit sebagaimana tercantum dalam akad pembiayaan. d. Nilai agunan ditetapkan berdasarkan nilai taksiran Bank terhadap Properti yang menjadi agunan. Bank dalam melakukan taksiran dapat menggunakan penilai intern Bank atau penilai independen dengan berpedoman pada ketentuan Bank Indonesia mengenai penilaian kualitas aktiva bagi Bank Umum Syariah dan Unit Usaha Syariah. C. LTV atau FTV untuk Bank yang memberikan kredit atau pembiayaan sebagaimana dalam huruf A ditetapkan paling tinggi sebagai berikut: 1. Fasilitas kredit atau pembiayaan pertama sebesar: 157 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
a. 70% (tujuh puluh persen) untuk KPR dan KPRS, serta KPR iB dan KPRS iB berdasarkan akad murabahah atau akad istishna’, dengan luas bangunan di atas 70m2 (tujuh puluh meter persegi). b. 80% (delapan puluh persen) untuk: 1) KPRS dan KPRS iB berdasarkan akad murabahah atau akad istishna’ dengan luas bangunan dari 22m2 (dua puluh dua meter persegi) sampai dengan 70m2 (tujuh puluh meter persegi); dan 2) KPR iB dan KPRS iB berdasarkan akad MMQ atau akad IMBT dengan luas bangunan di atas 70m2 (tujuh puluh meter persegi). c. 90% (sembilan puluh persen) untuk KPRS iB berdasarkan akad MMQ atau akad IMBT dengan luas bangunan dari 22m2 (dua puluh dua meter persegi) sampai dengan 70m2 (tujuh puluh meter persegi). 2. Fasilitas kredit atau pembiayaan kedua sebesar: a. 60% (enam puluh persen) untuk KPR dan KPRS, serta KPR iB dan KPRS iB berdasarkan akad murabahah atau akad istishna’, dengan luas bangunan di atas 70m2 (tujuh puluh meter persegi). b. 70% (tujuh puluh persen) untuk : 1) KPR dan KPR iB berdasarkan akad murabahah atau akad istishna’, dengan luas bangunan dari 22m2 (dua puluh dua meter persegi) sampai dengan 70m2 (tujuh puluh meter persegi); 2) KPRS dan KPRS iB berdasarkan akad murabahah atau akad istishna’, dengan luas bangunan sampai dengan 70m2 (tujuh puluh meter persegi); 3) KPR iB dan KPRS iB berdasarkan akad MMQ atau akad IMBT dengan luas bangunan di atas 70m2 (tujuh puluh meter persegi); dan 4) KPRuko dan KPRukan, serta KPRuko iB dan KPRukan iB berdasarkan akad murabahah atau akad istishna’. c. 80% (delapan puluh persen) untuk : 1) KPR iB berdasarkan akad MMQ atau akad IMBT dengan luas bangunan dari 22m2 (dua puluh dua meter persegi) sampai dengan 70m2 (tujuh puluh meter persegi); 2) KPRS iB berdasarkan akad MMQ atau akad IMBT dengan luas bangunan sampai dengan 70m2 (tujuh puluh meter persegi); dan 3) KPRuko iB dan KPRukan iB berdasarkan akad MMQ atau akad IMBT. 3. Fasilitas kredit atau pembiayaan ketiga dan seterusnya sebesar: a. 50% (lima puluh persen) untuk KPR dan KPRS, serta KPR iB dan KPRS iB berdasarkan akad murabahah atau akad istishna’, dengan luas bangunan di atas 70m2 (tujuh puluh meter persegi). b. 60% (enam puluh persen) untuk : 1) KPR dan KPR iB berdasarkan akad murabahah atau akad 158 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
istishna’, dengan luas bangunan dari 22m2 (dua puluh dua meter persegi) sampai dengan 70m2 (tujuh puluh meter persegi); 2) KPRS dan KPRS iB berdasarkan akad murabahah atau akad istishna’, dengan luas bangunan sampai dengan 70m2 (tujuh puluh meter persegi); 3) KPR iB dan KPRS iB berdasarkan akad MMQ atau akad IMBT dengan luas bangunan di atas 70m2 (tujuh puluh meter persegi); dan 4) KPRuko dan KPRukan, serta KPRuko iB dan KPRukan iB berdasarkan akad murabahah atau akad istishna’. c. 70% (tujuh puluh persen) untuk : 1) KPR iB berdasarkan akad MMQ atau akad IMBT dengan luas bangunan dari 22m2 (dua puluh dua meter persegi) sampai dengan 70m2 (tujuh puluh meter persegi); 2) KPRS iB berdasarkan akad MMQ atau akad IMBT dengan luas bangunan sampai dengan 70m2 (tujuh puluh meter persegi); dan 3) KPRuko iB dan KPRukan iB berdasarkan akad MMQ atau akad IMBT. 4. Penentuan urutan fasilitas kredit atau pembiayaan sebagaimana dimaksud dalam angka 1, angka 2, dan angka 3 harus memperhitungkan seluruh fasilitas KPP atau KPP iB dan KKBP atau KKBP iB yang telah diterima debitur atau nasabah di Bank yang sama maupun Bank lainnya. 5. Contoh perhitungan dan penetapan LTV atau FTV untuk : a. KPP atau KPP iB sebagaimana tercantum pada Lampiran I (Lampiran 34 dalam kodifikasi ini); dan b. KKBP atau KKBP iB sebagaimana tercantum pada Lampiran II (Lampiran 35 dalam kodifikasi ini). yang merupakan bagian tidak terpisahkan dari Surat Edaran Bank Indonesia ini. D. Dalam hal perjanjian KPP atau KPP iB antara Bank dan debitur atau nasabah mengikat lebih dari 1 (satu) unit Properti pada saat bersamaan dan/atau beberapa perjanjian KPP atau KPP iB terhadap beberapa Properti yang dilakukan pada tanggal yang sama, maka perhitungan LTV atau FTV berlaku ketentuan sebagai berikut. 1. Bank wajib menetapkan urutan fasilitas kredit atau pembiayaan berdasarkan urutan nilai agunan dimulai dari nilai agunan yang paling rendah. 2. Penentuan urutan fasilitas kredit atau pembiayaan sebagaimana dimaksud dalam butir C.1, butir C.2, dan butir C.3 harus memperhitungkan seluruh fasilitas KPP atau KPP iB dan KKBP atau KKBP iB yang telah diterima debitur atau nasabah di Bank yang sama maupun Bank lainnya. 3. Perhitungan LTV atau FTV dilakukan dengan mengacu pada butir C.1, butir C. 2, dan butir C.3. 4. Bank memberitahukan penentuan urutan fasilitas kredit atau pembiayaan sebagaimana dimaksud dalam angka 2 kepada calon debitur atau nasabah atau debitur atau nasabah secara tertulis. 159 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
5. Contoh penentuan urutan fasilitas kredit atau pembiayaan
sebagaimana tercantum pada Lampiran III yang merupakan bagian yang tidak terpisahkan dari Surat Edaran Bank Indonesia ini (Lampiran 36 dalam kodifikasi ini). E. Dalam rangka memenuhi ketentuan LTV atau FTV dalam Surat Edaran ini, berlaku ketentuan sebagai berikut : 1. Bank meminta kepada calon debitur atau nasabah tambahan dokumen berupa surat pernyataan yang paling kurang memuat keterangan mengenai fasilitas KPP atau KPP iB dan/atau KKBP atau KKBP iB yang sudah diterima maupun yang sedang dalam proses pengajuan permohonan baik di Bank yang sama maupun di Bank lain. 2. Apabila calon debitur atau nasabah tidak bersedia menyerahkan surat pernyataan sebagaimana dimaksud dalam angka 1 maka Bank wajib menolak permohonan fasilitas kredit atau pembiayaan yang diajukan. 3. Bank mencantumkan klausula dalam perjanjian kredit atau pembiayaan sebagai berikut : “Dalam hal debitur atau nasabah menyampaikan pernyataan yang tidak benar maka debitur atau nasabah bersedia melaksanakan langkah‐langkah yang ditetapkan oleh Bank dalam rangka pemenuhan ketentuan Bank Indonesia mengenai LTV atau FTV” 4. Bank memperlakukan debitur atau nasabah suami dan istri sebagai 1 (satu) debitur atau nasabah kecuali terdapat perjanjian pemisahan harta yang disahkan oleh notaris. 5. Dalam hal Bank memberikan : a. fasilitas kredit tambahan dari fasilitas kredit yang masih berjalan (top up); atau b. fasilitas pembiayaan baru berdasarkan Properti yang masih menjadi agunan dari fasilitas KPP iB sebelumnya; berlaku ketentuan sebagai berikut : a. pemberian fasilitas kredit atau pembiayaan tersebut diperlakukan sebagai pemberian kredit atau pembiayaan baru; b. perhitungan LTV atau FTV diperlakukan sebagai urutan fasilitas kredit atau pembiayaan berikutnya; dan c. jumlah fasilitas kredit tambahan atau pembiayaan baru yang diberikan oleh Bank paling banyak sebesar selisih antara hasil perhitungan LTV atau FTV berdasarkan nilai properti yang menjadi agunan dengan baki debet dari fasilitas kredit atau pembiayaan sebelumnya yang menggunakan agunan yang sama. 6. Contoh perhitungan dalam angka 4 dan angka 5 sebagaimana tercantum pada Lampiran IV yang merupakan bagian yang tidak terpisahkan dari Surat Edaran Bank Indonesia ini (Lampiran 37 dalam kodifikasi ini). F. Dalam rangka menerapkan prinsip kehati‐hatian dalam pemberian KPP atau KPP iB dan KKBP atau KKBP iB, Bank melakukan hal‐hal sebagai berikut : 1. Bank dilarang memberikan fasilitas kredit atau pembiayaan untuk pemenuhan uang muka pembelian Properti yang dibiayai dengan 160 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
KPP atau KPP iB dan/atau KKBP atau KKBP iB. 2. Bank hanya dapat memberikan fasilitas KPP atau KPP iB jika Properti yang dijadikan agunan telah tersedia secara utuh, yaitu telah terlihat wujud fisiknya sesuai yang diperjanjikan dan siap diserahterimakan. 3. Ketentuan sebagaimana dimaksud dalam angka 2 dikecualikan untuk pemberian fasilitas KPP atau KPP iB yang memenuhi persyaratan sebagai berikut: a. fasilitas KPP atau KPP iB merupakan fasilitas KPP atau KPP iB pertama bagi debitur atau nasabah dari seluruh fasilitas yang diterima baik di Bank yang sama maupun Bank lainnya; b. adanya perjanjian kerjasama antara Bank dengan pengembang yang paling kurang memuat kesanggupan pengembang untuk menyelesaikan Properti sesuai dengan yang diperjanjikan dengan debitur atau nasabah; c. adanya jaminan (corporate guarantee) dari pengembang kepada Bank bahwa pengembang akan menyelesaikan kewajiban kepada debitur atau nasabah penerima fasilitas KPP atau KPP iB apabila Properti tidak dapat diselesaikan dan/atau tidak diserahterimakan sesuai perjanjian; d. pencairan fasilitas KPP atau KPP iB hanya dapat dilakukan secara bertahap sesuai perkembangan pembangunan Properti yang menjadi agunan. Laporan perkembangan pembangunan Properti tersebut berdasarkan laporan dari: 1) pengembang, apabila nilai kredit atau pembiayaan untuk 1 (satu) atau beberapa debitur atau nasabah secara keseluruhan pada proyek yang sama sampai dengan Rp5.000.000.000,00 (lima miliar rupiah); atau 2) penilai independen, apabila nilai kredit atau pembiayaan untuk 1 (satu) atau beberapa debitur atau nasabah secara keseluruhan pada proyek yang sama di atas Rp5.000.000.000,00 (lima miliar rupiah), yang telah diverifikasi kebenarannya oleh Bank; dan e. apabila pengembang memperoleh fasilitas kredit atau pembiayaan dari Bank, dan pengembang tidak dapat menyelesaikan pembangunan Properti dalam waktu yang telah diperjanjikan maka Bank menurunkan kualitas kredit atau pembiayaan kepada pengembang tersebut. 4. Ketentuan dalam angka 2 dan angka 3 berlaku untuk semua jenis dan tipe Properti. 7. Contoh penerapan ketentuan dalam angka 2 dan angka 3 sebagaimana tercantum dalam Lampiran IV yang merupakan bagian tidak terpisahkan dari Surat Edaran Bank Indonesia ini (Lampiran 37 dalam kodifikasi ini). G. Pengaturan mengenai LTV atau FTV sebagaimana dimaksud dalam huruf C, huruf D, huruf E, dan huruf F dikecualikan terhadap KPP atau KPP iB dalam rangka pelaksanaan Program Perumahan Pemerintah Pusat dan/atau Pemerintah Daerah sebagaimana dimaksud dalam peraturan perundang‐undangan yang berlaku, sepanjang didukung dengan dokumen yang menyatakan bahwa fasilitas kredit atau 161 Manajemen Paragraf Sumber Regulasi 259 260 Manajemen Risiko Ketentuan
pembiayaan tersebut merupakan Program Perumahan Pemerintah Pusat dan/atau Pemerintah Daerah. Pengaturan Down Payment Pada Kredit atau Pembiayaan Kendaraan Bermotor SE 15/40/DKMP 2013 Romawi V A. Ruang lingkup KKB atau KKB iB dalam Surat Edaran Bank Indonesia ini mencakup kredit atau pembiayaan yang diberikan Bank kepada debitur atau nasabah untuk pembelian kendaraan bermotor. B. DP ditetapkan sebesar persentase tertentu dari harga pembelian kendaraan bermotor yang dibiayai oleh Bank. DP untuk Bank yang memberikan KKB atau KKB iB sebagaimana diatur dalam Surat Edaran Bank Indonesia ini ditetapkan sebagai berikut: 1. DP paling rendah 25% (dua puluh lima persen), untuk pembelian kendaraan bermotor roda dua. 2. DP paling rendah 30% (tiga puluh persen), untuk pembelian kendaraan bermotor roda tiga atau lebih untuk keperluan non produktif. 3. DP paling rendah 20% (dua puluh persen), untuk pembelian kendaraan bermotor roda tiga atau lebih untuk keperluan produktif, yaitu apabila memenuhi salah satu syarat sebagai berikut: a. merupakan kendaraan yang memiliki izin untuk angkutan orang atau barang yang dikeluarkan oleh pihak berwenang; atau b. diajukan oleh perorangan atau badan hukum yang memiliki izin usaha tertentu yang dikeluarkan oleh pihak berwenang dan digunakan untuk mendukung kegiatan operasional dari usaha yang dimilikinya. C. Bank dilarang memberikan fasilitas kredit atau pembiayaan untuk pemenuhan DP dari KKB atau KKB iB. Tata Cara Pengenaan Sanksi
SE 15/40/DKMP 2013 Romawi VI A. Bank yang melanggar ketentuan sebagaimana dimaksud dalam butir IV.E.1, butir IV.E.2, dan butir IV.E.3 (Paragraf 258.E.1, Paragraf 258.E.2, dan Paragraf 258.E.3 dalam kodifikasi ini) dikenakan sanksi administratif sebagaimana dimaksud dalam Pasal 34 Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tentang Penerapan Manajemen Risiko bagi Bank Umum sebagaimana telah diubah dengan Peraturan Bank Indonesia Nomor 11/25/PBI/2009 atau Pasal 11 Peraturan Bank Indonesia Nomor 10/17/PBI/2008 tentang Produk Bank Syariah dan Unit Usaha Syariah, berupa teguran tertulis. B. Bank yang melanggar ketentuan sebagaimana dimaksud dalam butir IV.C, butir IV.D, butir IV.E.4, butir IV.E.5, butir IV.F, butir V.B, dan butir V.C (Paragraf 258.C, Paragraf 258.D, Paragraf 258.E.4, Paragraf 258.E.5, (Paragraf 258.F, Paragraf 258.B, dan Paragraf 258.C dalam kodifikasi ini) dikenakan sanksi administratif sebagaimana dimaksud dalam Pasal 34 Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tentang Penerapan Manajemen Risiko bagi Bank Umum sebagaimana telah diubah dengan Peraturan Bank Indonesia Nomor 11/25/PBI/2009 atau Pasal 11 Peraturan Bank Indonesia Nomor 10/17/PBI/2008 tentang Produk Bank 162 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
Syariah dan Unit Usaha Syariah, berupa teguran tertulis dan kewajiban menyampaikan : 1. komitmen tertulis untuk tidak melakukan pelanggaran kembali atas ketentuan sebagaimana dimaksud dalam butir IV.C, butir IV.D, butir IV.E.4, butir IV.E.5, butir IV.F, butir V.B dan butir V.C (Paragraf 258.C, Paragraf 258.D, Paragraf 258.E.4, Paragraf 258.E.5, Paragraf 258.F, Paragraf 258.B, dan Paragraf 258.C dalam kodifikasi ini); 2. action plan yang antara lain terdiri dari : a. rencana perbaikan atau evaluasi terhadap Standar Operating Procedure (SOP) termasuk batasan waktu pelaksanaan perbaikan atau evaluasi dimaksud; dan/atau b. upaya‐upaya untuk memastikan bahwa SOP telah efektif dijalankan, sesuai dengan batas waktu yang ditetapkan Bank Indonesia. C. Dalam hal Bank : 1. tidak menyampaikan action plan atau tidak menyelesaikan action plan sebagaimana dimaksud dalam huruf B; dan/atau 2. melakukan pelanggaran kembali atas ketentuan sebagaimana dimaksud dalam butir IV.C, butir IV.D, butir IV.E.4, butir IV.E.5, butir IV.F, V.B dan butir V.C (Paragraf 258.C, Paragraf 258.D, Paragraf 258.E.4, Paragraf 258.E.5, Paragraf 258.F, Paragraf 258.B, dan Paragraf 258.C dalam kodifikasi ini) setelah action plan disampaikan sebagaimana dimaksud dalam butir B, dikenakan sanksi administratif sebagaimana dimaksud dalam Pasal 34 Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tentang Penerapan Manajemen Risiko bagi Bank Umum sebagaimana telah diubah dengan Peraturan Bank Indonesia Nomor 11/25/PBI/2009 atau Pasal 11 Peraturan Bank Indonesia Nomor 10/17/PBI/2008 tentang Produk Bank Syariah dan Unit Usaha Syariah. D. Sanksi administratif sebagaimana dimaksud dalam huruf C dapat berupa: 1. Penurunan tingkat kesehatan Bank Penurunan tingkat kesehatan sebagaimana dimaksud dalam Surat Edaran Bank Indonesia ini mencakup penurunan faktor penilaian tingkat kesehatan Bank, antara lain faktor profil risiko dan/atau faktor Good Corporate Governance (GCG); 2. Pembekuan kegiatan usaha tertentu Pembekuan kegiatan usaha tertentu sebagaimana dimaksud dalam Surat Edaran Bank Indonesia ini antara lain mencakup larangan pemberian KPR atau KPR iB, KPRS atau KPRS iB, KPRuko atau KPRuko iB, KPRukan atau KPRukan iB, KKBP atau KKBP iB dan/atau KKB atau KKB iB untuk jangka waktu tertentu di Bank/cabang/unit tertentu; dan/atau 3. Pencantuman Pejabat Eksekutif, anggota Direksi, anggota Dewan Komisaris, dan/atau Pemegang Saham dalam daftar pihak‐pihak yang mendapat predikat tidak lulus dalam penilaian kemampuan dan kepatutan atau dalam catatan administrasi Bank Indonesia sebagaimana diatur dalam ketentuan Bank Indonesia yang berlaku. 163 Manajemen Paragraf Sumber Regulasi Manajemen Risiko Ketentuan
E. Pelanggaran atas kewajiban penyampaian penyesuaian kebijakan dan prosedur sebagaimana dimaksud dalam angka VIII (Paragraf 262 dalam kodifikasi ini) dikenakan sanksi sebagaimana dimaksud dalam Pasal 33 Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tanggal 19 Mei 2003 tentang Penerapan Manajemen Risiko bagi Bank Umum sebagaimana telah diubah dengan Peraturan Bank Indonesia Nomor 11/25/PBI/2009 tanggal 1 Juli 2009 dan Pasal 88 Peraturan Bank Indonesia Nomor 11/33/PBI/2009 tanggal 7 Desember 2009 tentang Pelaksanaan Good Corporate Governance Bagi Bank Umum Syariah dan Unit Usaha Syariah. 261 262 Ketentuan Lain‐Lain
SE 15/40/DKMP 2013 Romawi VII Pelaksanaan KPP iB, KKBP iB dan KKB iB oleh Bank Umum Syariah dan Unit Usaha Syariah selain memenuhi ketentuan dalam Surat Edaran Bank Indonesia ini, juga wajib memenuhi Prinsip Syariah. Ketentuan Peralihan
SE 15/40/DKMP 2013 Romawi VIII Bank wajib menyesuaikan kebijakan dan prosedur tertulis pemberian KPP atau KPP iB, KKBP atau KKBP iB dan/atau KKB atau KKB iB serta menyampaikannya kepada Bank Indonesia paling lambat 1 (satu) bulan setelah Surat Edaran Bank Indonesia ini berlaku yang dialamatkan kepada: a. Departemen Pengawasan Bank terkait, Jl. MH Thamrin No.2, Jakarta, 10350, bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat Bank Indonesia; atau b. Kantor Perwakilan Bank Indonesia Dalam Negeri setempat, bagi Bank yang berkantor pusat di luar wilayah kerja Kantor Pusat Bank Indonesia. 164 Lampiran 1
PEDOMAN STANDAR PENERAPAN
MANAGEMEN RISIKO BAGI BANK UMUM
165
Surat Edaran Bank Indonesia Nomor 13/23/DPNP Tanggal 25 Oktober 2011
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
Lampiran 2
276
Surat Edaran Bank Indonesia Nomor 5/21/DPNP Tanggal 29 September 2003
Lampiran 2
277
278
279
280
Lampiran 3
281
Surat Edaran Bank Indonesia Nomor 5/21/DPNP Tanggal 29 September 2003
Lampiran 3
282
283
284
285
Lampiran 4
286
Surat Edaran Bank Indonesia Nomor 5/21/DPNP Tanggal 29 September 2003
Lampiran 4
287
288
289
290
291
Lampiran 5
292
Lampiran 5
Surat Edaran Bank Indonesia Nomor 13/23/DPNP Tanggal 25 Oktober 2011
293
294
Lampiran 6
295
Lampiran 6
296
297
Lampiran 7
298
Lampiran Surat Edaran Bank Indonesia No. 13 /
/ DPNP tanggal
2011
Surat Edaran Bank Indonesia Nomor 13/23/DPNP tanggal 25 Oktober 2011
Lampiran 7
LAPORAN PROFIL MATURITAS
(RUPIAH)
(dalam jutaan Rupiah)
Jatuh Tempo*)
Pos-Pos
Saldo
s.d 1 minggu
> 1 minggu s.d
2 minggu
> 2 minggu s.d
1 bulan
> 1 bln s.d 3 bln
> 3 bln s.d 6 bln
> 6 bln s.d 12 bln
> 12 bulan
I. NERACA
A. Aset
1. Kas
2. Penempatan pada Bank Indonesia
a. SBI
b. Giro
c. Lainnya
3. Penempatan pada bank lain
4. Surat Berharga **)
a. SUN
1) diperdagangkan
2) tersedia untuk dijual
3) dimiliki hingga jatuh tempo
4) pinjaman yang diberikan dan piutang
b. Surat berharga korporasi
1) diperdagangkan
2) tersedia untuk dijual
3) dimiliki hingga jatuh tempo
4) pinjaman yang diberikan dan piutang
c. Lainnya
5. Kredit Yang Diberikan
a. belum jatuh tempo
b. sudah jatuh tempo ***)
6. Tagihan lainnya
a. Tagihan atas Surat Berharga yang dibeli dengan janji
dijual kembali (Reverse Repo)
b. Lainnya
7. Lain-lain
Total Aset
299
1
Lampiran Surat Edaran Bank Indonesia No. 13 /
/ DPNP tanggal
2011
B Kewajiban
1. Dana Pihak Ketiga
a. Giro
b. Tabungan
c. Simpanan Berjangka
1) Deposit on call
2) Deposito berjangka
3) Lainnya
2. Kewajiban kepada Bank Indonesia
3. Kewajiban kepada bank lain
4. Surat Berharga yang Diterbitkan
a. Obligasi
b. Subordinasi ****)
c. Lainnya
5. Pinjaman yang Diterima
a. Pinjaman Subordinasi ****)
b. Lainnya
6. Kewajiban lainnya
a. Kewajiban atas Surat Berharga yang dijual dengan janji
dibeli kembali (Repo)
b. Lainnya
7. Lain-lain
Total Kewajiban
Selisih Aset dengan Kewajiban dalam Neraca
300
2
Lampiran Surat Edaran Bank Indonesia No. 13 /
/ DPNP tanggal
II. REKENING ADMINISTRATIF
A. Tagihan Rekening Administratif
1. Komitmen
a. Fasilitas pinjaman yang belum ditarik
b. Posisi pembelian spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
c. Lainnya
2. Kontijensi *****)
Total Tagihan Rekening Administratif
2011
B Kewajiban Rekening Administratif
1. Komitmen
a. Fasilitas kredit yang belum ditarik
b. Irrevocable L/C yang masih berjalan
c. Posisi penjualan spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
d. Lainnya
2. Kontijensi ******)
Total Kewajiban Rekening Administratif
Selisih Tagihan dan Kewajiban dalam Rekening Administratif
Selisih [(IA-IB)+(IIA-IIB)]
Selisih Kumulatif
*)
**)
***)
****)
*****)
******)
Angka-angka berdasarkan jatuh tempo sesuai dengan kontrak untuk yang memiliki jatuh tempo kontraktual dan/atau estimasi dengan menggunakan
berbagai asumsi untuk yang tidak memiliki jatuh tempo kontraktual
Termasuk Surat Berharga yang dijual dengan janji dibeli kembali (Repo)
Diisi berdasarkan perkiraan diperoleh pembayaran atas kredit yang berdasarkan kontrak sudah jatuh tempo
Termasuk yang diperhitungkan dalam KPMM dan dilaporkan di LBU pada pos Modal Pinjaman
Yang diperkirakan akan mempengaruhi arus kas (menjadi tagihan)
Yang diperkirakan akan mempengaruhi arus kas (menjadi kewajiban)
301
3
Lampiran Surat Edaran Bank Indonesia No. 13 /
/ DPNP tanggal
2011
LAPORAN PROFIL MATURITAS
(VALUTA ASING)
Jatuh Tempo*)
Pos-Pos
Saldo
> 1 minggu s.d > 2 minggu s.d
s.d 1 minggu 2 minggu
1 bulan
> 1 bln s.d 3 bln
> 3 bln s.d 6 bln
> 6 bln s.d 12 bln
> 12 bulan
I. NERACA
A. Aset
1. Kas
2. Penempatan pada Bank Indonesia
3. Penempatan pada bank lain
4. Surat Berharga **)
a. Surat berharga korporasi
1) diperdagangkan
2) tersedia untuk dijual
3) dimiliki hingga jatuh tempo
4) pinjaman yang diberikan dan piutang
b. Lainnya
5. Kredit Yang Diberikan
a. belum jatuh tempo
b. sudah jatuh tempo ***)
6. Tagihan lainnya
a. Tagiha
b. Lainnya
7. Lain-lain
Total Aset
B. Kewajiban
1. Dana Pihak Ketiga
a. Giro
b. Tabungan
c. Simpanan Berjangka
1) Deposit on call
2) Deposito berjangka
3) Lainnya
2. Kewajiban kepada Bank Indonesia
3. Kewajiban kepada bank lain
4. Surat Berharga yang Diterbitkan
a. Obligasi
b. Subordinasi ****)
302
4
Lampiran Surat Edaran Bank Indonesia No. 13 /
c. Lainnya
5. Pinjaman yang Diterima
a. Pinjaman Subordinasi ****)
b. Lainnya
6. Kewajiban lainnya
a. Kewaji
b. Lainnya
7. Lain-lain
Total Kewajiban
/ DPNP tanggal
2011
Selisih Aset dengan Kewajiban dalam Neraca
II REKENING ADMINISTRATIF
A. Tagihan Rekening Administratif
1. Komitmen
a. Fasilitas pinjaman yang belum ditarik
b. Posisi pembelian spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
c. Lainnya
2. Kontijensi *****)
Total Tagihan Rekening Administratif
B. Kewajiban Rekening Administratif
1. Komitmen
a. Fasilitas kredit yang belum ditarik
b. Irrevocable L/C yang masih berjalan
c. Posisi penjualan spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
d. Lainnya
2. Kontijensi ******)
Total Kewajiban Rekening Administratif
Selisih Tagihan dan Kewajiban dalam Rekening Administratif
Selisih [(IA-IB)+(IIA-IIB)]
Selisih Kumulatif
303
5
Lampiran Surat Edaran Bank Indonesia No. 13 /
*)
**)
***)
****)
*****)
******)
/ DPNP tanggal
2011
Angka-angka berdasarkan jatuh tempo sesuai dengan kontrak untuk yang memiliki jatuh tempo kontraktual dan/atau estimasi dengan menggunakan berbagai
asumsi untuk yang tidak memiliki jatuh tempo kontraktual
Termasuk Surat Berharga yang dijual dengan janji dibeli kembali (Repo)
Diisi berdasarkan perkiraan diperoleh pembayaran atas kredit yang berdasarkan kontrak sudah jatuh tempo
Termasuk yang diperhitungkan dalam KPMM dan dilaporkan di LBU pada pos Modal Pinjaman
Yang diperkirakan akan mempengaruhi arus kas (menjadi tagihan)
Yang diperkirakan akan mempengaruhi arus kas (menjadi kewajiban)
304
6
Surat Edaran Bank Indonesia Nomor 13/23/DPNP Tanggal 25 Oktober 2011
Lampiran 7
PEDOMAN PENGISIAN LAPORAN PROFIL MATURITAS
UMUM
A. Laporan Profil Maturitas menyajikan pos-pos aset, kewajiban, dan rekening
administratif yang dipetakan ke dalam skala waktu.
Pemetaaan dilakukan berdasarkan sisa waktu sampai dengan jatuh tempo sesuai
kontrak untuk pos neraca dan rekening administratif yang memiliki jatuh tempo
kontraktual dan/atau estimasi dengan menggunakan berbagai asumsi untuk pos
neraca dan rekening administratif yang tidak memiliki jatuh tempo kontraktual
(non maturity items).
B. Penyusunan Laporan Profil Maturitas bertujuan untuk mengidentifikasi terjadinya
gap likuiditas (selisih) dalam skala waktu tertentu. Gap likuiditas (selisih) dapat
merupakan gap (selisih) positif atau gap (selisih) negatif.
C. Laporan Profil Maturitas disusun setiap bulan untuk posisi akhir bulan yang
terdiri dari Laporan Profil Maturitas dalam rupiah dan Laporan Profil Maturitas
dalam valuta asing. Laporan Profil Maturitas dalam rupiah diisi dalam jutaan
Rupiah, sedangkan Laporan Profil Maturitas dalam valuta asing diisi dalam
ekuivalen ribuan USD. Untuk denominasi valuta asing selain USD konversi ke
dalam USD menggunakan kurs tanggal laporan.
D. Pemetaan skala waktu adalah sebagai berikut:
1. Untuk yang akan jatuh tempo sampai dengan 1 (satu) minggu yang akan
datang;
2. Untuk yang akan jatuh tempo lebih dari 1 (satu) minggu sampai dengan
2 (dua) minggu yang akan datang;
3. Untuk yang akan jatuh tempo lebih dari 2 (dua) minggu sampai dengan
1 (satu) bulan yang akan datang;
4. Untuk yang akan jatuh tempo lebih dari 1 (satu) bulan sampai dengan
3 (tiga) bulan yang akan datang;
5. Untuk yang akan jatuh tempo lebih dari 3 (tiga) bulan sampai dengan
6 (enam) bulan yang akan datang;
6. Untuk yang akan jatuh tempo lebih dari 6 (enam) bulan sampai dengan
12 (dua belas) bulan yang akan datang;
7. Untuk yang akan jatuh tempo lebih dari 12 (dua belas) bulan yang akan
datang.
7
305
E. Pos-pos neraca yang dimasukkan dalam Laporan Profil Maturitas adalah hanya
pos-pos dengan karakteristik memiliki arus kas masuk dan/atau arus kas keluar,
sehingga tidak seluruh pos di neraca dimasukkan dalam Laporan Profil Maturitas.
Contoh pos neraca yang tidak dimasukkan dalam Laporan Profil Maturitas antara
lain aset tetap, AYDA, properti terbengkalai, penyertaan, dan modal.
F. Dalam setiap pos neraca (aset dan kewajiban), kolom saldo harus sama dengan
jumlah dari seluruh kolom skala waktu dan sesuai dengan jumlah yang
dilaporkan di Laporan Bulanan Bank Umum.
G. Pos-pos rekening administratif yang dimasukkan dalam Laporan Profil Maturitas
adalah hanya bagian dari pos tersebut yang diperkirakan akan mempengaruhi
arus kas (menjadi tagihan atau kewajiban).
H. Dalam setiap pos rekening administratif, kolom saldo harus sama dengan jumlah
dari seluruh kolom skala waktu.
POS – POS LAPORAN DALAM RUPIAH
I.
Rincian pos-pos neraca sesuai format laporan terlampir adalah sebagai berikut:
A. Aset
1. Kas
2. Penempatan pada Bank Indonesia
a. SBI
b. Giro
c. Lainnya
Yang dimasukkan ke dalam pos ini adalah Penempatan pada Bank
Indonesia yang tidak dapat dimasukkan atau digolongkan ke dalam
salah satu dari huruf a dan huruf b.
3. Penempatan pada bank lain
4. Surat Berharga
Surat Berharga yang dijual dengan janji dibeli kembali (Repo) juga
termasuk dalam pos Surat Berharga.
8
306
Rincian pos Surat Berharga meliputi:
a. SUN
1) diperdagangkan
2) tersedia untuk dijual
3) dimiliki hingga jatuh tempo
4) pinjaman yang diberikan dan piutang
b. Surat Berharga Korporasi
1) diperdagangkan
2) tersedia untuk dijual
3) dimiliki hingga jatuh tempo
4) pinjaman yang diberikan dan piutang
c. Lainnya
Yang dimasukkan ke dalam pos ini adalah Surat Berharga yang tidak
dapat dimasukkan atau digolongkan ke dalam salah satu dari huruf a
dan huruf b.
5. Kredit Yang Diberikan
a. belum jatuh tempo
diisi sesuai jumlah kredit yang belum jatuh tempo berdasarkan
kontrak.
b. sudah jatuh tempo
diisi berdasarkan perkiraan diperolehnya pembayaran atas kredit
yang berdasarkan kontrak sudah jatuh tempo.
6. Tagihan Lainnya
a. Tagihan atas surat berharga yang dibeli dengan janji dijual kembali
(Reverse Repo)
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Tagihan Lainnya yang
tidak dapat dimasukkan atau digolongkan ke dalam huruf a.
9
307
7. Lain-lain
Yang dimasukkan ke dalam pos ini adalah aset yang tidak dapat
dimasukkan atau digolongkan ke dalam salah satu dari pos 1 sampai
dengan 6.
B. Kewajiban
1. Dana Pihak ketiga
a. Giro
b. Tabungan
c. Simpanan Berjangka
1) Deposit on call
2) Deposito berjangka
3) Lainnya
Yang dimasukkan ke dalam pos ini adalah Simpanan Berjangka
yang tidak dapat dimasukkan atau digolongkan ke dalam salah
satu dari angka 1) dan angka 2).
2. Kewajiban kepada Bank Indonesia
3. Kewajiban kepada bank lain
4. Surat Berharga yang Diterbitkan
a. Obligasi
b. Subordinasi
Termasuk dalam pos ini adalah Surat Berharga subordinasi yang
diperhitungkan dalam KPMM dan dilaporkan di LBU pada pos
Modal Pinjaman.
c. Lainnya
Yang dimasukkan ke dalam pos ini adalah Surat Berharga yang
Diterbitkan yang tidak dapat dimasukkan atau digolongkan ke dalam
salah satu dari huruf a dan huruf b.
10
308
5. Pinjaman yang Diterima
a. Pinjaman Subordinasi
Termasuk dalam pos ini adalah pinjaman subordinasi yang
diperhitungkan dalam KPMM dan dilaporkan di LBU pada pos
Modal Pinjaman.
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Pinjaman yang Diterima
yang tidak dapat dimasukkan atau digolongkan ke dalam huruf a.
6. Kewajiban Lainnya
a. Kewajiban atas surat berharga yang dijual dengan janji dibeli
kembali (Repo)
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Kewajiban Lainnya yang
tidak dapat dimasukkan atau digolongkan ke dalam huruf a.
7. Lain-lain
Yang dimasukkan ke dalam pos ini adalah kewajiban yang tidak dapat
dimasukkan atau digolongkan ke dalam salah satu dari pos 1 sampai
dengan 6.
Pos-pos yang tidak dijelaskan secara khusus dalam pedoman pengisian ini
mengacu pada Pedoman Laporan Bulanan Bank Umum.
II. Rincian pos-pos rekening administratif sesuai format laporan terlampir adalah
sebagai berikut:
A. Tagihan Rekening Administratif
1. Komitmen
a. Fasilitas pinjaman yang belum ditarik
b. Posisi pembelian spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
Pos derivatif meliputi antara lain forward, future, swap, option.
11
309
c. Lainnya
Yang dimasukkan ke dalam pos ini adalah tagihan komitmen yang
tidak dapat dimasukkan atau digolongkan ke dalam salah satu dari
huruf a dan huruf b.
2. Kontijensi
Seluruh tagihan kontijensi yang diperkirakan akan mempengaruhi arus
kas (menjadi tagihan).
B. Kewajiban Rekening Administratif
1. Komitmen
a. Fasilitas kredit yang belum ditarik
Fasilitas kredit yang belum ditarik meliputi fasilitas kepada nasabah
dan bank lain. Fasilitas tersebut juga meliputi fasilitas committed dan
uncommitted.
b. Irrevocable L/C yang masih berjalan
Irrevocable L/C yang masih berjalan meliputi LC luar negeri dan
L/C dalam negeri.
c. Posisi penjualan spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
Pos derivatif meliputi antara lain forward, future, swap, option.
d. Lainnya
Yang dimasukkan ke dalam pos ini adalah kewajiban komitmen yang
tidak dapat dimasukkan atau digolongkan ke dalam salah satu dari
huruf a sampai dengan huruf c.
2. Kontijensi
Seluruh kewajiban kontijensi yang diperkirakan akan mempengaruhi arus
kas (menjadi kewajiban).
Pos-pos yang tidak dijelaskan secara khusus dalam pedoman pengisian ini
mengacu pada Pedoman Laporan Bulanan Bank Umum.
12
310
POS-POS LAPORAN DALAM VALUTA ASING
I.
Rincian pos-pos neraca sesuai format laporan terlampir adalah sebagai berikut:
A. Aset
1. Kas
2. Penempatan pada Bank Indonesia
3. Penempatan pada bank lain
4. Surat Berharga
Surat Berharga yang dijual dengan janji dibeli kembali (Repo) juga
termasuk dalam pos Surat Berharga.
Rincian pos Surat Berharga meliputi:
a. Surat Berharga Korporasi
1) diperdagangkan
2) tersedia untuk dijual
3) dimiliki hingga jatuh tempo
4) pinjaman yang diberikan dan piutang
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Surat Berharga yang tidak
dapat dimasukkan atau digolongkan ke dalam salah satu dari huruf a
dan huruf b
5. Kredit Yang Diberikan
a. belum jatuh tempo
diisi untuk kredit yang belum jatuh tempo.
b. sudah jatuh tempo
diisi berdasarkan perkiraan diperolehnya pembayaran atas kredit
yang berdasarkan kontrak sudah jatuh tempo.
6. Tagihan Lainnya
a. Tagihan atas surat berharga yang dibeli dengan janji dijual kembali
(Reverse Repo).
13
311
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Tagihan Lainnya yang
tidak dapat dimasukkan atau digolongkan ke dalam huruf a.
7. Lain-lain
Yang dimasukkan ke dalam pos ini adalah aset yang tidak dapat
dimasukkan atau digolongkan ke dalam salah satu dari pos 1 sampai
dengan 6.
B. Kewajiban
1. Dana Pihak ketiga
a. Giro
b. Tabungan
c. Simpanan Berjangka
1) Deposit on call
2) Deposito berjangka
3) Lainnya
Yang dimasukkan ke dalam pos ini adalah Simpanan Berjangka
yang tidak dapat dimasukkan atau digolongkan ke dalam salah
satu dari angka 1) dan angka 2).
2. Kewajiban kepada Bank Indonesia
3. Kewajiban kepada bank lain
4. Surat Berharga yang Diterbitkan
a. Obligasi
b. Subordinasi
Termasuk dalam pos ini adalah Surat Berharga subordinasi yang
diperhitungkan dalam KPMM dan dilaporkan di LBU pada pos
Modal Pinjaman.
c. Lainnya
Yang dimasukkan ke dalam pos ini adalah Surat Berharga yang
Diterbitkan yang tidak dapat dimasukkan atau digolongkan ke dalam
salah satu dari huruf a dan huruf b.
14
312
5. Pinjaman yang Diterima
a. Pinjaman Subordinasi
Termasuk dalam pos ini adalah pinjaman subordinasi yang
diperhitungkan dalam KPMM dan dilaporkan di LBU pada pos
Modal Pinjaman.
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Pinjaman yang Diterima
yang tidak dapat dimasukkan atau digolongkan ke dalam huruf a.
6. Kewajiban Lainnya
a. Kewajiban atas surat berharga yang dijual dengan janji dibeli
kembali (Repo)
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Kewajiban Lainnya yang
tidak dapat dimasukkan atau digolongkan ke dalam huruf a.
7. Lain-lain
Yang dimasukkan ke dalam pos ini adalah kewajiban yang tidak dapat
dimasukkan atau digolongkan ke dalam salah satu dari pos 1 sampai
dengan 6.
Pos-pos yang tidak dijelaskan secara khusus dalam pedoman pengisian ini
mengacu pada Pedoman Laporan Bulanan Bank Umum.
II. Rincian pos-pos rekening administratif sesuai format laporan terlampir adalah
sebagai berikut:
A. Tagihan Rekening Admnistratif
1. Komitmen
a. Fasilitas pinjaman yang belum ditarik
b. Posisi pembelian spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
Pos derivatif meliputi antara lain forward, future, swap, option.
15
313
c. Lainnya
Yang dimasukkan ke dalam pos ini adalah tagihan komitmen yang
tidak dapat dimasukkan atau digolongkan ke dalam salah satu dari
huruf a dan huruf b.
2. Kontijensi
Seluruh tagihan kontijensi yang diperkirakan akan mempengaruhi arus
kas (menjadi tagihan).
B. Kewajiban Rekening Administratif
1. Komitmen
a. Fasilitas kredit yang belum ditarik
Fasilitas kredit yang belum ditarik meliputi fasilitas kepada nasabah
dan bank lain. Fasilitas tersebut juga meliputi fasilitas committed dan
uncommitted.
b. Irrevocable L/C yang masih berjalan
Irrevocable L/C yang masih berjalan meliputi LC luar negeri dan
L/C dalam negeri.
c. Posisi penjualan spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
Pos derivatif meliputi antara lain forward, future, swap, option.
d. Lainnya
Yang dimasukkan ke dalam pos ini adalah kewajiban komitmen yang
tidak dapat dimasukkan atau digolongkan ke dalam salah satu dari
huruf a sampai dengan huruf c.
2. Kontijensi
Seluruh kewajiban kontijensi yang diperkirakan akan mempengaruhi arus
kas (menjadi kewajiban).
Pos-pos yang tidak dijelaskan secara khusus dalam pedoman pengisian ini
mengacu pada Pedoman Laporan Bulanan Bank Umum.
16
314
Lampiran 8
315
I.
LATAR BELAKANG
1. Sistem Pengendalian Intern (SPI) yang efektif merupakan
komponen penting dalam manajemen Bank dan menjadi dasar bagi
kegiatan operasional Bank yang sehat dan aman. Sistem
Pengendalian Intern yang efektif dapat membantu pengurus Bank
menjaga aset Bank, menjamin tersedianya pelaporan keuangan dan
manajerial yang dapat dipercaya, meningkatkan kepatuhan Bank
terhadap ketentuan dan peraturan perundang-undangan yang
berlaku, serta mengurangi risiko terjadinya kerugian, penyimpangan
dan pelanggaran aspek kehati-hatian.
2. Terselenggaranya Sistem Pengendalian Intern Bank yang handal
dan efektif menjadi tanggung jawab dari pengurus dan para pejabat
Bank. Selain itu, pengurus Bank juga berkewajiban untuk
meningkatkan risk culture yang efektif pada organisasi Bank dan
memastikan hal tersebut melekat di setiap jenjang organisasi.
3. Sistem Pengendalian Intern perlu mendapat perhatian Bank,
mengingat bahwa salah satu faktor penyebab terjadinya kesulitan
usaha Bank adalah adanya berbagai kelemahan dalam
pelaksanaan Sistem Pengendalian Intern Bank, antara lain:
a. kurangnya
mekanisme
pengawasan,
tidak
jelasnya
akuntabilitas dari pengurus Bank dan kegagalan dalam
mengembangkan budaya pengendalian intern pada seluruh
jenjang organisasi;
b. kurang memadainya pelaksanaan identifikasi dan penilaian atas
risiko dari kegiatan operasional Bank;
c. tidak ada atau gagalnya suatu pengendalian pokok terhadap
kegiatan operasional Bank, seperti pemisahan fungsi, otorisasi,
verifikasi dan kaji ulang atas risk exposure dan kinerja Bank;
d. kurangnya komunikasi dan informasi antar jenjang
dalam
organisasi Bank, khususnya informasi di tingkat pengambil
keputusan tentang penurunan kualitas risk exposure dan
penerapan tindakan perbaikan;
e. kurang memadai atau kurang efektifnya program audit intern
dan kegiatan pemantauan lainnya;
f.
kurangnya komitmen manajemen Bank untuk melakukan proses
pengendalian intern dan menerapkan sanksi yang tegas
1
316
terhadap pelanggaran ketentuan yang berlaku, kebijakan dan
prosedur yang telah ditetapkan Bank.
II.
RUANG LING KUP S IS TE M P ENG END ALIAN IN TER N BAN K
1. Pengertian dan Tujuan Sistem Pengendalian Intern Bank
a. Pengertian
Pengendalian
intern
merupakan
suatu
mekanisme
pengawasan yang ditetapkan oleh manajemen Bank secara
berkesinambungan (on going basis), guna:
1) menjaga dan mengamankan harta kekayaan Bank;
2) menjamin tersedianya laporan yang lebih akurat;
3) meningkatkan kepatuhan terhadap ketentuan yang berlaku;
4) mengurangi dampak keuangan/kerugian, penyimpangan
termasuk kecurangan/fraud,
dan pelanggaran aspek
kehati-hatian;
5) meningkatkan efektivitas organisasi dan meningkatkan
efisiensi biaya.
b. Tujuan
1) Kepatuhan terhadap peraturan dan perundang-undangan
yang berlaku (Tujuan Kepatuhan)
Tujuan Kepatuhan adalah untuk menjamin bahwa semua
kegiatan usaha Bank telah dilaksanakan sesuai dengan
ketentuan dan peraturan perundang -undangan yang
berlaku, baik ketentuan yang dikeluarkan oleh pemerintah,
otoritas pengawasan Bank maupun kebijakan, ketentuan,
dan prosedur intern yang ditetapkan oleh Bank.
2) Tersedianya informasi keuangan dan manajemen yang
benar, lengkap dan tepat waktu (Tujuan Informasi)
Tujuan Informasi adalah untuk menyediakan laporan yang
benar, lengkap, tepat waktu dan relevan yang diperlukan
dalam rangka pengambilan keputusan yang tepat dan
dapat dipertanggungjawa bkan.
2
317
3) Efisiensi dan efektivitas dari kegiatan usaha Bank (Tujuan
Operasional)
Tujuan Operasional dimaksudkan untuk meningkatkan
efektivitas dan efisiensi dalam menggunakan aset dan
sumber daya lainnya dalam rangka melindungi Bank dari
risiko kerugian.
4) Meningkatkan efektivitas budaya risiko (risk culture) pada
organisasi secara menyeluruh (Tujuan Budaya Risiko)
Tujuan Budaya Risiko dimaksudkan untuk mengidentifikasi
kelemahan dan menilai penyimpangan secara dini dan
menilai kembali kewajaran kebijakan dan prosedur yang
ada di Bank secara berkesinambungan.
2. Pihak-pihak
yang
berkepentingan
Pengendalian Intern Bank
dengan
Sistem
Terselenggaranya Sistem Pengendalian Intern yang handal dan
efektif menjadi tanggung jawab semua pihak yang terlibat dalam
organisasi Bank, antara lain:
a. Dewan Komisaris
Dewan Komisaris Bank mempunyai tanggung jawab
melakukan pengawasan terhadap pelaksanaan pengendalian
intern secara umum, termasuk kebijakan Direksi yang
menetapkan pengendalian intern tersebut.
b. Direksi
Direksi Bank mempunyai tanggung jawab menciptakan dan
memelihara Sistem Pengendalian Intern yang efektif serta
memastikan bahwa sistem tersebut berjalan secara aman dan
sehat sesuai tujuan pengendalian intern yang ditetapkan Bank.
Sementara itu Direktur Kepatuhan wajib berperan aktif dalam
mencegah adanya penyimpangan yang dilakukan oleh
manajemen dalam menetapkan kebijakan berkaitan dengan
prinsip kehati -hatian.
3
318
c. Satuan Kerja Audit Intern (SKAI)
SKAI harus mampu mengevaluasi dan berperan aktif dalam
meningkatkan efektivitas Sistem Pengendalian Intern secara
berkesinambungan berkaitan dengan pelaksanaan operasional
Bank yang berpotensi menimbulkan kerugian dalam
pencapaian sasaran yang telah ditetapkan oleh manajemen
Bank. Disamping itu, Bank perlu memberikan perhatian kepada
pelaksanaan audit intern yang independen melalui jalur
pelaporan yang memadai, dan keahlian auditor intern
khususnya praktek dan penerapan penilaian risiko.
d. Pejabat dan pegawai Bank
Setiap pejabat dan pegawai Bank wajib memahami dan
melaksanakan Sistem Pengendalian Intern yang telah
ditetapkan oleh manajemen Bank. Pengendalian intern yang
efektif akan meningkatkan tanggung jawab pejabat dan
pegawai Bank, mendorong budaya risiko (risk culture) yang
memadai, dan mempercepat proses identifikasi terhadap
praktek perbankan yang tidak sehat dan terhadap organisasi
melalui sistem deteksi dini yang efisien.
e. Pihak-pihak ekstern
Pihak-pihak ekstern Bank antara lain otoritas pengawasan
Bank, auditor
ekstern, dan nasabah Bank yang
berkepentingan terhadap terlaksananya Sistem Pengendalian
Intern Bank yang handal dan efektif.
3. Faktor Pertimbangan dalam Penyusunan Sistem Pengendalian
Intern Bank
Bank harus memiliki Sistem Pengendalian Intern yang dapat
diterapkan secara efektif, dengan memperhatikan faktor-faktor
sebagai berikut:
a. total aset;
b. jenis produk dan jasa yang ditawarkan, termasuk produk dan
jasa baru;
c. kompleksitas operasional, termasuk jaringan kantor;
d. profil risiko dari setiap kegiatan usaha;
4
319
e. metode yang digunakan untuk pengolahan data dan teknologi
informasi serta metodologi yang diterapkan untuk pengukuran,
pemantauan, dan pembatasan (limit) risiko; dan
f.
ketentuan dan peraturan perundang -undangan yang berlaku.
4. Lingkungan Pengendalian (Control Environtment)
Lingkungan pengendalian mencerminkan keseluruhan komitmen,
perilaku, kepedulian dan langkah-langkah dewan Komisaris dan
Direksi Bank dalam melaksanakan kegiatan pengendalian
operasional Bank.
Unsur-unsur lingkungan pengendalian meliputi:
a. struktur organisasi yang memadai;
b. gaya kepemimpinan dan filosofi manajemen Bank;
c. integritas
pegawai;
dan
nilai-nilai
etika
serta
kompetensi
seluruh
d. kebijakan dan prosedur sumber daya manusia Bank;
e. atensi dan arahan manajemen Bank dan komite lainnya,
seperti Komite Manajemen Risiko; dan
f.
faktor-faktor eksternal yang mempengaruhi operasional Bank
dan penerapan manajemen risiko.
III. ELEM EN UTAM A SISTE M PEN GEN DALIAN INTE RN BANK
Pengendalian Intern Bank terdiri dari lima elemen utama yang satu
sama lain saling berkaitan, yaitu Pengawasan oleh Manajemen dan
Kultur Pengendalian (Management Oversight and Control Culture),
Identifikasi dan Penilaian Risiko (Risk Recognition and
Assessment), Kegiatan Pengendalian dan Pemisahan Fungsi
(Control Activities and Segregation of Duties), Sistem Akuntansi,
Informasi dan Komunikasi (Accountancy, Information and
Communication), serta Kegiatan Pemantauan dan Tindakan Koreksi
Penyimpangan/Kelemahan (Monitoring Activities and Correcting
Deficiencies).
Pengendalian Intern sekurang-kurangnya mencakup lima elemen
utama, yaitu:
5
320
1. Pengawasan oleh Manajemen dan Kultur Pengendalian
a. Dewan Komisaris
Dewan Komisaris mempunyai tanggung jawab sebagai berikut:
1) mengesahkan dan mengkaji ulang secara berkala terhadap
kebijakan dan strategi usaha Bank secara keseluruhan;
2) memahami risiko utama yang dihadapi Bank, menetapkan
tingkat risiko yang dapat ditolerir (risk tolerance), dan
memastikan bahwa Direksi telah melakukan langkahlangkah yang diperlukan untuk mengidentifikasi, mengukur,
memantau, dan mengendalikan risiko tersebut;
3) mengesahkan struktur organisasi;
4) memastikan bahwa Direksi telah memantau efektivitas
pelaksanaan Sistem Pengendalian Intern.
Dalam rangka memenuhi tanggung jawab tersebut, maka
dewan Komisaris:
1) harus dapat bersikap obyektif serta memiliki pengetahuan
dan kemampuan serta keingintahuan mengenai kegiatan
usaha dan risiko Bank;
2) harus berperan secara aktif untuk memastikan adanya
perbaikan terhadap permasalahan Bank yang dapat
mengurangi efektivitas Sistem Pengendalian Intern, seperti
adanya hambatan dalam arus informasi dari bawahan
kepada pimpinan dan kelemahan dalam pelaksanaan
fungsi keuangan, hukum dan audit intern;
3) secara berkala mengadakan pertemuan dengan Direksi
dan pejabat eksekutif Bank untuk membahas efektivitas
Sistem Pengendalian Intern;
4) melakukan kaji ulang terhadap hasil evaluasi pelaksanaan
pengendalian intern yang dibuat oleh Direksi, SKAI dan
auditor ekstern;
5) secara berkala melakukan upaya-upaya untuk memastikan
bahwa Direksi telah menindaklanjuti dengan tepat atas
6
321
temuan dan rekomendasi yang disampaikan oleh otoritas
pengawasan Bank , auditor intern dan auditor ekstern;
6) secara berkala melakukan kaji ulang terhadap validitas
strategi Bank yang telah ditetapkan.
b. Direksi
Direksi mempunyai tanggung jawab sebagai berikut:
1) melaksanakan kebijakan dan strategi yang telah disetujui
oleh dewa n Komisaris;
2) mengembangkan
prosedur
untuk
mengidentifikasi,
mengukur, memantau, dan mengendalikan risiko yang
dihadapi Bank;
3) memelihara suatu struktur organisasi yang mencerminkan
kewenangan, tanggung jawab dan hubungan pelaporan
yang jelas;
4) memastikan bahwa pendelegasian wewenang berjalan
secara efektif yang didukung oleh penerapan akuntabilitas
yang konsisten;
5) menetapkan kebijakan
pengendalian intern; dan
dan
strategi
serta
6) memantau kecukupan
pengendalian intern.
dan
efektivitas
dari
prosedur
sistem
Dalam rangka melaksanakan tanggungjawab tersebut, Direksi
harus melakukan langkah-langkah, antara lain :
1) menugaskan para manajer/pejabat dan staf yang
bertanggungjawab dalam kegiatan atau fungsi tertentu
untuk menyusun kebijakan dan prosedur pengendalian
intern terhadap kegiatan operasional serta kecukupan
organisasi;
2) melakukan pengendalian yang efektif untuk memastikan
bahwa para manajer/pejabat dan pegawai telah
mengembangkan dan melaksanakan kebijakan dan
prosedur yang telah ditetapkan;
3) mendokumentasikan
dan mensosialisasikan struktur
organisasi yang secara jelas menggambarkan jalur
7
322
kewenangan dan tanggung jawab pelaporan serta
menyelenggarakan suatu sistem komunikasi yang efektif
kepada seluruh jenjang organisasi Bank;
4) mengambil langkah-langkah yang tepat untuk memastikan
bahwa kegiatan fungsi pengendalian intern telah
dilaksanakan oleh manajer/pejabat dan pegawai yang
memiliki pengalaman dan kemampuan yang memadai;
5) melaksanakan secara efektif langkah perbaikan atau
rekomendasi dari auditor intern dan atau auditor ekstern,
antara lain dengan cara menugaskan pegawai yang
bertanggungjawab untuk melaksanakannya.
c. Budaya Pengendalian
Dewan Komisaris dan Direksi bertanggungjawab dalam
meningkatkan etika kerja dan integritas yang tinggi serta
menciptakan suatu kultur organisasi yang menekankan kepada
seluruh pegawai Bank mengenai pentingnya pengendalian
intern yang berlaku di Bank.
Dalam rangka menciptakan budaya pengendalian tersebut,
langkah-langkah yang harus diperhatikan dan dilakukan oleh
Bank, antara lain:
1) Dewan Komisaris dan Direksi harus menjadi role model
bagi seluruh pegawai atau memiliki komitmen pribadi yang
tinggi terhadap pengembangan Bank yang sehat;
2) Dewan Komisaris dan Direksi harus mampu mengelola
sumber
daya
manusia,
termasuk
dalam
proses
penempatan pegawai yang sesuai dengan ketrampilan,
pengetahuan dan perilakunya;
3) meningkatkan kesadaran seluruh pegawai Bank mengenai
pentingnya efektivitas pelaksanaan tugas dan tanggung
jawab
masing-masing
dan
selanjutnya
pegawai
mengkomunikasikan pada pihak manajemen yang terkait
mengenai setiap permasalahan yang terjadi
dalam
kegiatan operasional Bank.
Untuk mendukung budaya pengendalian tersebut maka seluruh
kebijakan, standar dan prosedur operasional harus
didokumentasikan secara tertulis dan tersedia bagi setiap
pegawai yang terkait.
8
323
Dalam rangka memperkuat nilai-nilai etika, Bank harus
menghindari kebijakan dan praktek yang dapat mengakibatkan
dorongan atau peluang untuk melakukan penyimpangan atau
pelanggaran, seperti penekanan pada pencapaian target
jangka pendek dengan mengabaikan dampak risiko yang
bersifat jangka panjang, sistem kompensasi yang terlalu
didasarkan kinerja jangka pendek, pemisahan fungsi yang tidak
efektif dan pengenaan sanksi yang terlalu ringan atau terlalu
berlebihan atas pelanggaran yang dilakukan.
2. Identifikasi dan Penilaian Risiko
a. Penilaian risiko merupakan suatu serangkaian tindakan yang
dilaksanakan oleh Direksi dalam rangka identifikasi, analisis
dan menilai risiko yang dihadapi Bank untuk mencapai sasaran
usaha yang ditetapkan.
b. Risiko dapat timbul atau berubah sesuai dengan kondisi Bank,
antara lain:
1) perubahan kegiatan operasional Bank;
2) perubahan susunan personalia;
3) perubahan sistem informasi;
4) pertumbuhan yang cepat pada kegiatan usaha tertentu;
5) perkembangan teknologi;
6) pengembangan jasa, produk atau kegiatan baru;
7) terjadinya penggabungan usaha (merger), konsolidasi,
akuisisi dan restrukturisasi Bank;
8) perubahan dalam sistem akuntansi;
9) ekspansi usaha;
10) perubahan hukum dan peraturan; dan
11) perubahan perilaku serta ekspektasi nasabah.
9
324
c. Suatu Sistem Pengendalian Intern yang efektif mengharuskan
Bank secara terus menerus mengidentifikasi dan menilai risiko
yang dapat mempengaruhi pencapaian sasaran. Penilaian
risiko harus pula dilakukan oleh auditor intern sehingga
cakupan audit yang dilakukan lebih luas dan menyeluruh.
d. Penilaian ini harus dapat mengidentifikasi jenis risiko yang
dihadapi Bank, penetapan limit risiko, dan teknik pengendalian
risiko tersebut. Metodologi penilaian risiko harus menjadi tolak
ukur untuk membuat profil risiko dalam bentuk dokumentasi
data, yang bisa dikinikan secara periodik. Penilaian risiko juga
meliputi penilaian terhadap risiko yang dapat diukur (kuantitatif)
dan tidak dapat diukur (kualitatif) maupun terhadap risiko yang
dapat dikendalikan dan tidak dapat dikendalikan, dengan
memperhatikan biaya dan manfaatnya. Selanjutnya Bank harus
memutuskan untuk mengambil risiko tersebut atau tidak
dengan cara mengurangi kegiatan usaha tertentu.
e. Penilaian tersebut harus mencakup semua risiko yang
dihadapi, baik oleh
risiko individual maupun secara
keseluruhan (aggregate ), yang meliputi risiko kredit, risiko
pasar, risiko likuiditas, risiko operasional, risiko hukum, risiko
reputasi, risiko strategik, dan risiko kepatuhan.
f. Pengendalian intern perlu dikaji ulang secara tepat dalam hal
terdapat risiko yang belum dikendalikan, baik risiko yang
sebelumnya sudah ada maupun risiko yang baru muncul.
Pelaksanaan kaji ulang tersebut antara lain dengan melakukan
evaluasi secara terus menerus mengenai pengaruh dari setiap
perubahan lingkungan dan kondisi serta dampak dari
pencapaian target atau efektivitas pengendalian intern dalam
kegiatan operasi dan organisasi Bank.
3. Kegiatan Pengendalian dan Pemisahan Fungsi
Kegiatan pengendalian harus melibatkan seluruh pegawai Bank,
termasuk Direksi. Oleh karena itu kegiatan pengendalian akan
berjalan efektif apabila direncanakan dan diterapkan guna
mengendalikan risiko yang telah diidentifikasi. Kegiatan
pengendalian mencakup pula penetapan kebijakan dan prosedur
pengendalian serta proses verifikasi lebih dini untuk memastikan
bahwa kebijakan dan prosedur tersebut secara konsisten dipatuhi,
serta merupakan kegiatan yang tidak terpisahkan dari setiap fungsi
atau kegiatan Bank sehari-hari.
10
325
a. Kegiatan Pengendalian
Kegiatan pengendalian meliputi kebijakan, prosedur dan
praktek yang memberikan keyakinan pejabat dan pegawai
Bank bahwa arahan dewan Komisaris dan Direksi Bank telah
dilaksanakan secara efektif. Kegiatan pengendalian tersebut
akan dapat membantu Direksi termasuk Komisaris Bank dalam
mengelola
dan
mengendalikan
risiko
yang
dapat
mempengaruhi kinerja atau mengakibatkan kerugian Bank.
Kegiatan pengendalian diterapkan pada semua tingkatan
fungsional sesuai struktur organisasi Bank, yang sekurangkurangnya meliputi:
1) Kaji Ulang Manajemen (Top Level Reviews )
Direksi Bank secara berkala meminta penjelasan
(informasi) dan laporan kinerja operasional dari pejabat dan
staf sehingga memungkinkan untuk mengkaji ulang hasil
kemajuan (realisasi) dibandingkan dengan target yang akan
dicapai, seperti laporan keuangan dibandingkan dengan
rencana anggaran yang ditetapkan. Berdasarkan kaji ulang
tersebut, Direksi segera mendeteksi permasalahan seperti
kelemahan pengendalian, kesalahan laporan keuangan
atau penyimpangan lainnya (fraud).
2) Kaji Ulang Kinerja Operasional (Functional Review)
Kaji ulang ini dilaksanakan oleh SKAI dengan frekuensi
yang lebih tinggi, baik kaji ulang secara harian, mingguan,
maupun bulanan.
a) melakukan kaji ulang terhadap penilaian risiko (laporan
profil risiko) yang dihasilkan oleh satuan kerja
manajemen risiko;
b) menganalisis data operasional, baik data yang terkait
dengan risiko maupun data keuangan, yaitu melakukan
verifikasi rincian dan kegiatan transaksi dibandingkan
11
326
dengan output (laporan) yang dihasilkan oleh satuan
kerja manajemen risiko; dan
c) melakukan kaji ulang terhadap realisasi pelaksanaan
rencana kerja dan anggaran, guna :
(1) mengidentifikasi
signifikan;
penyebab
penyimpangan
yang
(2) menetapkan persyaratan untuk tindakan perbaikan
(correctiv e actions).
3) Pengendalian Sistem Informasi
a) Bank melaksanakan verifikasi terhadap akurasi dan
kelengkapan dari transaksi dan melaksanakan prosedur
otorisasi, sesuai dengan ketentuan intern.
b) Kegiatan pengendalian sistem informasi dapat
digolongkan dalam dua kriteria, yaitu pengendalian
umum dan pengendalian aplikasi.
(1) Pengendalian
umum
meliputi
pengendalian
terhadap operasional pusat data, sistem pengadaan
dan pemeliharaan software, pengamanan akses,
serta pengembangan dan pemeliharaan sistem
aplikasi yang ada. Pengendalian umum ini
diterapkan terhadap mainframe, server, dan users
workstation, serta jaringan internal - eksternal.
(2) Pengendalian aplikasi diterapkan terhadap program
yang digunakan Bank dalam mengolah transaksi
dan untuk memastikan bahwa semua transaksi
adalah benar, akurat dan telah diotorisasi secara
benar. Selain itu, pengendalian aplikasi harus dapat
memastikan tersedianya proses audit yang efektif
dan untuk mengecek kebenaran proses audit
dimaksud.
4) Pengendalian Aset Fisik (Physical Controls)
a) Pengendalian aset fisik dilaksanakan untuk menjamin
terselenggaranya pengamanan fisik terhadap aset
Bank.
12
327
b) Kegiatan ini meliputi pengamanan aset, catatan dan
akses terbatas terhadap program komputer dan file
data, serta membandingkan nilai aktiva dan pasiva
Bank dengan nilai yang tercantum pada catatan
pengendali, khususnya pengecekan nilai aktiva secara
berkala.
5) Dokumentasi
a) Bank
sekurang-kurangnya
memformalkan
dan
mendokumentasikan kebijakan, prosedur, sistem dan
standar akuntansi serta proses audit secara memadai.
b) Dokumen tersebut harus diperbarui secara berkala
guna menggambarkan kegiatan operasional Bank
secara aktual, dan harus diinformasikan kepada pejabat
dan pegawai.
c) Atas suatu permintaan, dokumen harus senantiasa
tersedia untuk kepenting an auditor intern, akuntan
publik dan otoritas pengawasan Bank Indonesia.
d) Akurasi dan ketersediaan dokumen harus dinilai oleh
auditor intern ketika melakukan audit rutin maupun non
rutin.
b. Pemisahan Fungsi
1) Pemisahan fungsi dimaksudkan agar setiap orang dalam
jabatannya tidak memiliki peluang untuk melakukan dan
menyembunyikan kesalahan atau penyimpangan dalam
pelaksanaan tugasnya pada seluruh jenjang organisasi dan
seluruh langkah kegiatan operasional. Bank harus
mematuhi prinsip pemisahan fungsi ini, yang dikenal
sebagai “Four-Eyes Principle”.
2) Apabila diperlukan, karena perubahan karakteristik
kegiatan usaha dan transaksi serta organisasi Bank,
Direksi Bank wajib menetapkan prosedur (kewenangan),
termasuk penetapan daftar petugas yang dapat mengakses
suatu transaksi atau kegiatan usaha yang berisiko tinggi.
3) Sistem Pengendalian Intern yang efektif mensyaratkan
adanya pemisahan fungsi dan menghindari pemberian
wewenang dan tanggung jawab yang dapat menimbulkan
berbagai benturan kepentingan (conflict of interest).
13
328
Seluruh aspek yang dapat menimbulkan pertentangan
kepentingan tersebut harus diidentifikasi, diminimalisir, dan
dipantau secara hati-hati oleh pihak lain yang independen,
seperti Akuntan Publik.
4) Dalam pelaksanaan pemisahan fungsi tersebut, Bank harus
melakukan langkah-langkah, antara lain:
a) menetapkan fungsi atau tugas tertentu pada Bank yang
harus dipisahkan atau dialokasikan kepada beberapa
orang dalam rangka mengurangi risiko terjadinya
manipulasi data keuangan atau penyalahgunaan aset
Bank;
b) pemisahan fungsi tersebut tidak terbatas pada kegiatan
front dan back office, tetapi juga dalam rangka
pengendalian terhadap:
(1) persetujuan atas pengeluaran dana dan realisasi
pengeluaran;
(2) rekening nasabah dan rekening pemilik Bank;
(3) transaksi dalam pembukuan Bank;
(4) pemberian informasi kepada nasabah Bank;
(5) penilaian
terhadap
kecukupan
dokumentasi
perkreditan dan pemantauan debitur setelah
pencairan kredit;
(6) kegiatan usaha lainnya yang dapat menimbulkan
benturan kepentingan yang signifikan;
(7) independensi fungsi manajemen risiko pada Bank.
4. Sistem Akuntansi, Informasi dan Komunikasi
Sistem akuntansi, informasi dan komunikasi yang memadai
dimaksudkan agar dapat mengidentifikasi masalah yang mungkin
timbul dan digunakan sebagai sarana tukar menukar informasi
dalam rangka pelaksanaan tugas sesuai dengan tanggung
jawabnya masing-masing.
a. Sistem Akuntansi
14
329
1) Sistem Akuntansi meliputi metode dan catatan dalam
rangka mengidentifikasi, mengelompokkan, menganalisis,
mengklasifikasi, mencatat/membukukan dan melaporkan
transaksi Bank.
2) Untuk menjamin data akunting yang akurat dan konsisten
dengan data yang tersedia berdasarkan hasil olahan sistem
maka proses rekonsiliasi antara data akunting dan sistem
informasi manajemen wajib dilaksana kan secara berkala
atau
sekurang-kurangnya
setiap
bulan.
Setiap
penyimpangan yang terjadi wajib segera diinvestigasi dan
diatasi permasalahannya. Proses rekonsiliasi juga wajib
didokumentasikan sebagai bagian dari persyaratan proses
jejak audit secara keseluruhan.
b. Sistem Informasi
1) Sistem Informasi harus dapat menghasilkan laporan
mengenai kegiatan usaha, kondisi keuangan, penerapan
manajemen risiko dan pemenuhan ketentuan yang
mendukung pelaksanaan tugas dewan Komisaris dan
Direksi.
2) Sistem pengendalian intern yang efektif sekurangkurangnya menyediakan data/informasi internal yang cukup
dan menyeluruh mengenai keuangan, kepatuhan Bank
terhadap ketentuan dan peraturan yang berlaku, informasi
pasar (kondisi eksternal) dan setiap kejadian serta kondisi
yang diperlukan dalam rangka pengambilan keputusan
yang tepat dan dapat dipertanggungjawabkan.
3) Sistem
Pengendalian
Intern
sekurang-kurangnya
menyediakan sistem informasi yang dapat dipercaya
mengenai seluruh aktivitas fungsional Bank, terutama
aktivitas fungsional yang signifikan dan memiliki potensi
risiko tinggi. Sistem informasi tersebut, termasuk sistem
penyimpanan dan penggunaan data elektronik, harus
dijamin keamanannya, dipantau oleh pihak yang
independen (auditor intern) dan didukung oleh program
kontinjensi yang memadai.
4) Bank
sekurang-kurangnya mengorganisasikan suatu
rencana pemulihan darurat (contingency recovery plan) dan
sistem back-up untuk mencegah kegagalan usaha yang
berisiko tinggi. Prosedur, proses, dan sistem back-up harus
15
330
didokumentasikan dan dinilai kembali efektivitasnya secara
berkala. Untuk memastikan bahwa seluruh rencana dan
proses pemulihan darurat (contingency recovery plan) dan
sistem back-up telah bekerja secara efektif maka
pelaksanaan
proses
dan
sistem
tersebut
harus
didokumentasikan dan diuji secara berkala. Bank harus
mendokumentasikan pelaksanaan pengujian berkala
tersebut dan Direksi Bank memberikan perhatian yang
penuh terhadap temuan kelemahan pada sistem yang
didasarkan atas pengujian tersebut serta selanjutnya
mengambil langkah perbaikan yang diperlukan.
5) Bank sekurang-kurangnya memiliki dan memelihara sistem
informasi manajemen yang diselenggarakan, baik dalam
bentuk elektronik maupun bukan elektronik. Mengingat
bahwa sistem informasi elektronik dan penggunaan
teknologi informasi tersebut mempunyai dampak risiko
maka Bank harus mengendalikannya secara efektif guna
menghindari adanya gangguan usaha dan kemungkinan
timbulnya kerugian Bank yang signifikan.
6) Khususnya yang berkaitan pengendalian intern terhadap
penyelenggaraan sistem dan teknologi informasi, Bank
harus memperhatikan hal-hal sebagai berikut:
a) ketersediaan bukti dan dokumen yang memadai dalam
rangka mendukung proses jejak audit (audit trail).
Proses jejak audit tersebut harus dilaksanakan secara
efektif dan didokumentasikan untuk memastikan bahwa
proses otomasi telah bekerja secara efektif dan akurat.
SKAI wajib melakukan penilaian terhadap efektivitas
dan akurasi proses jejak audit tersebut ketika
melakukan evaluasi pelaksanaan pengendalian intern
Bank;
b) pelaksanaan pengendalian terhadap sistem komputer
dan pengamanannya (general controls) maupun
pengendalian terhadap aplikasi software dan prosedur
manual lainnya (application controls);
c) antisipasi terjadinya risiko gangguan atau kerugian
yang disebabkan oleh faktor-faktor yang berada di luar
16
331
jangkauan pengendalian rutin Bank sehingga Bank
harus menyelenggarakan sistem pemulihan (recovery)
dan rencana kontinjensi serta pengecekan secara
berkala atas kemungkinan terjadinya hal-hal yang sulit
diprediksi sebelumnya (disaster and recovery plan).
d) Sistem informasi harus menyediakan data dan
informasi yang relevan, akurat, tepat waktu, dapat
diakses oleh pihak yang berkepentingan dan disajikan
dalam format yang konsisten.
e) sebagai bagian dari proses pencatatan atau
pembukuan, sistem informasi harus didukung oleh
sistem akuntansi yang baik termasuk penetapan
prosedur dan jadwal retensi pencatatan transaksi.
c. Sistem Komunikasi
1) Sistem komunikasi harus mampu memberikan informasi
kepada seluruh pihak, baik intern maupun ekste rn, seperti
otoritas pengawasan Bank, auditor ekstern, pemegang
saham dan nasabah Bank.
2) Sistem Pengendalian Intern Bank harus memastikan
adanya saluran komunikasi yang efektif agar seluruh
pejabat/pegawai Bank sepenuhnya memahami dan
mematuhi kebijakan dan prosedur yang berlaku dalam
melaksanakan tugas dan tanggungjawabnya.
3) Direksi Bank harus menyelenggarakan saluran/jalur
komunikasi yang efektif agar informasi yang diperlukan
terjangkau oleh pihak yang berkepentingan. Persyaratan ini
berlaku untuk setiap informasi, baik mengenai kebijakan
dan prosedur yang telah ditetapkan, eksposur risiko dan
transaksi aktual maupun mengenai kinerja operasional
Bank.
4) Struktur organisasi Bank harus memungkinkan adanya arus
informasi yang memadai, yaitu informasi ke atas, ke bawah
dan lintas satuan kerja/unit:
a) informasi ke atas untuk memastikan bahwa dewan
Komisaris, Direksi dan pejabat eksekutif Bank
mengetahui risiko dan kinerja operasional Bank.
17
332
Saluran informasi ini harus dapat merespon untuk
pelaksanaan langkah-langkah perbaikan dan dapat
diketahui oleh jajaran manajemen.
b) informasi ke bawah untuk memastikan bahwa tujuan,
strategi dan ekspektasi Bank serta kebijakan dan
prosedur yang berlaku telah dikomunikasikan kepada
para manajer di tingkat bawah dan para pelaksana.
c) informasi lintas satuan kerja/unit untuk memastikan
bahwa informasi yang diketahui oleh suatu satuan kerja
tertentu dapat disampaikan kepada satuan kerja lain
yang terkait, khususnya untuk mencegah benturan
kepentingan dalam pengambilan keputusan dan untuk
menciptakan koordinasi yang memadai.
5. Kegiatan Pemantauan dan Tindakan Koreksi Penyimpangan
a. Kegiatan Pemantauan
1) Bank harus melakukan pemantauan secara terus menerus
terhadap
efektivitas
keseluruhan
pelaksanaan
pengendalian intern. Pemantauan terhadap risiko utama
Bank harus diprioritaskan dan berfungsi sebagai bagian
dari kegiatan Bank sehari-hari termasuk evaluasi secara
berkala, baik oleh satuan-satuan kerja operasional maupun
oleh Satuan Kerja Audit Intern (SKAI).
2) Bank harus memantau dan mengevaluasi kecukupan
Sistem Pengendalian Intern secara terus menerus
berkaitan dengan adanya perubahan kondisi intern dan
ekstern serta harus meningkatkan kapasitas sistem
pengendalian intern tersebut agar efektivitasnya dapat
ditingkatkan.
3) Langkah-langkah yang harus dilakukan oleh Bank dalam
rangka terselenggaranya kegiatan pemantauan yang efektif,
sekurang-kurangnya adalah:
a) memastikan bahwa fungsi pemantauan telah ditetapkan
secara jelas dan terstruktur dengan baik dalam
organisasi Bank;
18
333
b) menetapkan satuan kerja/pegawai yang ditugaskan
untuk memantau efektivitas pengendalian intern;
c) menetapkan frekuensi yang tepat untuk kegiatan
pemantauan yang didasarkan pada risiko yang melekat
pada Bank dan sifat/frekuensi perubahan yang terjadi
dalam kegiatan operasional;
d) mengintegrasikan Sistem Pengendalian Intern ke dalam
kegiatan operasional dan menyediakan laporan rutin
seperti jurnal pembukuan, management review dan
laporan
mengenai
persetujuan
atas
eksepsi/
penyimpangan dari kebijakan dan prosedur yang
ditetapkan
(justifikasi
atas
irregularities)
yang
selanjutnya dilakukan kaji ulang;
e) melakukan kaji ulang terhadap dokumentasi dan hasil
evaluasi dari satuan kerja/pegawai yang ditugaskan
untuk melakukan pemantauan;
f)
menetapkan informasi/feed back dalam suatu format
dan frekuensi yang tepat.
b. Fungsi SKAI
1) Bank harus menyelenggarakan audit intern yang efektif dan
menyeluruh
terhadap
sistem
pengendalian
intern.
Pelaksanaan audit intern tersebut yang dilaksanakan oleh
SKAI harus didukung oleh tenaga auditor yang independen,
kompeten, dan memiliki jumlah yang memadai.
2) Sebagai bagian dari Sistem Pengendalian Intern, SKAI
harus melaporkan hasil temuannya secara langsung
kepada dewan Komisaris atau Komite Audit (apabila ada),
Direktur Utama, dan Direktur Kepatuhan.
3) SKAI harus melakukan penilaian yang independen
mengenai kecukupan dari dan kepatuhan Bank terhadap
kebijakan dan prosedur yang telah ditetapkan.
4) Dalam menetapkan kedudukan, wewenang, tanggung
jawab, profesionalisme, organisasi dan ruang lingkup tu gas
SKAI maka Bank wajib berpedoman pula kepada ketentuan
Bank Indonesia yang berlaku tentang Direktur Kepatuhan
(Compliance Director) dan Standar Pelaksanaan Fungsi
Audit Intern (SPFAIB).
19
334
c. Perbaikan Kelemahan dan Tindakan Koreksi Penyimpangan
1) Kelemahan dalam pengendalian intern, baik yang
diidentifikasi oleh satuan kerja operasional (risk taking unit),
SKAI maupun pihak lainnya, harus segera dilaporkan
kepada dan menjadi perhatian pejabat atau Direksi yang
berwenang. Kelemahan pengendalian intern yang material
harus juga dilaporkan kepada dewan Komisaris.
2) Langkah-langkah perbaikan yang harus dilakukan Bank
dalam rangka memperbaiki kelemahan pengendalian
intern, antara lain:
a) setiap
laporan
mengenai
kelemahan
dalam
pengendalian intern atau tidak efektifnya pengendalian
risiko Bank harus segera ditindaklanjuti oleh dewan
Komisaris, Direksi dan pejabat eksekutif terkait;
b) SKAI harus melakukan
kaji ulang atau langkah
pemantauan
lainnya
yang
memadai
terhadap
kelemahan yang terjadi dan segera melaporkan kepada
dewan Komisaris, Komite Audit (apabila ada), dan
Direktur Utama dalam hal masih terdapat kelemahan
yang belum diperbaiki atau tindakan korektif belum
ditindaklanjuti;
c) untuk memastikan bahwa seluruh kelemahan segera
ditindaklanjuti maka Direksi harus menciptakan suatu
sistem yang dapat menelusuri kelemahan pada
pengendalian intern dan mengambil langkah perbaikan;
d) dewan Komisaris dan Direksi harus menerima laporan
secara berkala berupa ikhtisar mengenai hasil
identifikasi seluruh permasalahan dalam pengendalian
intern.
IV. LAIN -LAIN
Dalam penerapan pengendalian intern, Bank wajib pula
memperhatikan aspek-aspek pengendalian intern yang ditetapkan
dalam ketentuan Bank Indonesia lainnya, antara lain sebagaimana
diatur dalam:
20
335
1. Surat Keputusan Direksi Bank Indonesia Nomor 27/162/KEP/DIR
dan Surat Edaran Bank Indonesia Nomor 27/7/UPPB masingmasing tanggal 31 Maret 1995 tentang Kewajiban Penyusunan
dan Pelaksanaan Kebijaksanaan Perkreditan Bagi Bank Umum;
2. Surat Keputusan Direksi Bank Indonesia Nomor 27/164/KEP/DIR
dan Surat Edaran Bank Indonesia Nomor 27/9/UPPB masingmasing tanggal 31 Maret 1995 tentang Penggunaan Teknologi
Sistem Informasi oleh Bank;
3. Surat Keputusan Direksi Bank Indonesia Nomor 28/119/KEP/DIR
dan Surat Edaran Bank Indonesia Nomor 28/13/UD masingmasing tanggal 29 Desember 1995 tentang Transaksi Derivatif;
4. Surat Keputusan Direksi Bank Indonesia Nomor 31/150/KEP/DIR
dan Surat Edaran Bank Indonesia Nomor 31/12/UPPB masingmasing tanggal 12 November 1998 tentang Restrukturisasi Kredit
sebagaimana telah diubah dengan Peraturan Bank Indonesia
Nomor 2/15/PBI/2000 tanggal 12 Juni 2000;
5. Peraturan Bank Indonesia Nomor 1/6/PBI/1999 tanggal 20
September 1999 tentang Penugasan Direktur Kepatuhan
(Compliance Director) dan Standard Pelaksanaan Fungsi Audit
Intern Bank (SPFAIB);
6. Peraturan Bank Indonesia Nomor 3/10/PBI/2001 tanggal 18 Juni
2001 tentang Penerapan Prinsip Mengenal Nasabah (Know Your
Customer Principles) sebagaimana telah diubah dengan Peraturan
Bank Indonesia Nomor 3/23/PBI/2001 tanggal 1 3 Desember 2001;
7. Surat Edaran Bank Indonesia Nomor 3/29/DPNP tanggal 13
Desember 2001 perihal Pedoman Standar Penerapan Prinsip
Mengenal Nasabah;
8. Peraturan Bank Indonesia Nomor 3/22/PBI/2001 tanggal 13
Desember 2001 tentang Transparansi Kondisi Keuangan Bank;
9. Peraturan Bank Indonesia Nomor 5/10/PBI/2003 tanggal 11 Juni
2003 tentang Prinsip Kehati-hatian dalam Kegiatan Penyertaan
Modal;
10. Surat Edaran Bank Indonesia Nomor 5/ 21 /DPNP tanggal 29
September 2003 perihal Penerapan Manajemen Risiko bagi Bank
Umum.
21
336
Lampiran 9
337
Surat Edaran Bank Indonesia Nomor 6/18/DPNP Tanggal 20 April 2004
I.
PENDAHULUAN
Perkembangan teknologi informasi telah mempengaruhi kebijakan dan
strategi dunia usaha perbankan yang selanjutnya lebih mendorong inovasi
dan persaingan di bidang layanan terutama jasa layanan pembayaran
melalui Bank. Inovasi jasa layanan perbankan yang berbasis teknologi
tersebut terus berkembang mengikuti pola kebutuhan nasabah Bank.
Transaksi perbankan berbasis elektronis, termasuk internet merupakan salah
satu bentuk pengembangan penyediaan jasa layanan Bank yang
memberikan peluang usaha baru bagi Bank yang berakibat kepada
perubahan strategi usaha perbankan, dari berbasis manusia (tradisional)
menjadi berbasis teknologi informasi yang lebih efisien bagi Bank dan praktis
bagi nasabah.
Namun demikian, disamping Bank memperoleh manfaat signifikan dari
inovasi teknologi melalui transaksi perbankan berbasis internet tersebut,
Bank juga menghadapi risiko yang melekat pada kegiatan dimaksud, antara
lain risiko strategik, risiko reputasi, risiko operasional termasuk risiko
keamanan dan risiko hukum, risiko kredit, risiko pasar dan risiko likuiditas.
Internet banking pada dasarnya tidak menimbulkan risiko baru yang berbeda
dari produk layanan jasa perbankan melalui media lain, tetapi disadari bahwa
internet banking meningkatkan risiko tersebut. Secara khusus internet
banking meningkatkan risiko strategik, risiko operasional termasuk risiko
keamanan dan risiko hukum serta risiko reputasi. Oleh karena itu, disamping
memanfaatkan peluang baru tersebut, Bank harus mengidentifikasi,
mengukur, memantau dan mengendalikan risiko-risiko tersebut dengan
prinsip kehati-hatian.
Pada dasarnya prinsip-prinsip yang diterapkan dalam manajemen risiko
Bank secara umum berlaku pula untuk aktivitas internet banking, namun
prinsip-prinsip tersebut perlu disesuaikan dengan memperhatikan risiko-risiko
spesifik yang melekat pada aktivitas tersebut. Berdasarkan hal tersebut,
prinsip manajemen risiko internet banking dibagi dalam tiga bagian yang
tidak terpisahkan dan saling melengkapi yaitu pengawasan aktif komisaris
dan direksi Bank, pengendalian pengamanan, serta manajemen risiko hukum
dan risiko reputasi sebagai berikut:
1. Pengawasan Aktif Komisaris dan Direksi Bank
Mengingat Komisaris dan Direksi Bank bertanggung jawab dalam
mengembangkan strategi bisnis Bank serta menetapkan pengawasan
manajemen yang efektif atas risiko maka penyelenggaraan aktivitas
internet banking harus didasarkan atas kebijakan tertulis yang informatif
dan jelas yang ditetapkan oleh Komisaris dan Direksi Bank. Pengawasan
manajemen yang efektif meliputi antara lain persetujuan dan kaji ulang
terhadap aspek utama dari proses pengendalian pengamanan Bank.
1
338
2. Pengendalian Pengamanan
Proses pengendalian pengamanan memerlukan perhatian khusus dari
manajemen karena adanya risiko pengamanan yang meningkat yang
ditimbulkan oleh aktivitas internet banking. Sehubungan dengan itu,
Bank perlu melakukan pengujian identitas nasabah, pengujian keaslian
transaksi, penerapan prinsip pemisahan tugas, pengendalian terhadap
penggunaan hak akses terhadap sistem, dan perlindungan terhadap
integritas data maupun kerahasiaan informasi penting pada internet
banking.
3. Manajemen Risiko Hukum dan Risiko Reputasi
Untuk melindungi Bank dari risiko hukum dan risiko reputasi, pelayanan
jasa internet banking harus dilaksanakan secara konsisten dan tepat
waktu sesuai dengan harapan nasabah. Agar dapat memenuhi harapan
nasabah, Bank harus memiliki kapasitas, kontinuitas usaha dan
perencanaan darurat yang efektif. Mekanisme penanganan kejadian
(incident response mechanism) yang efektif juga sangat penting untuk
meminimalkan risiko operasional, risiko hukum dan risiko reputasi yang
timbul dari kejadian yang tidak diharapkan. Selain itu Bank perlu
memahami dan mengelola risiko yang timbul dari hubungan Bank
dengan pihak ketiga dalam menyelenggarakan internet banking.
II.
POKOK-POKOK
BANKING
PENERAPAN
MANAJEMEN
RISIKO
–
INTERNET
1. Pengawasan Aktif Komisaris dan Direksi Bank
a. Komisaris dan Direksi harus melakukan pengawasan yang efektif
terhadap risiko yang terkait dengan aktivitas internet banking,
termasuk penetapan akuntabilitas, kebijakan, dan proses
pengendalian untuk mengelola risiko tersebut.
1) Komisaris harus menyetujui kebijakan yang terkait dengan
aktivitas internet banking dan mengevaluasi pelaksanaan
kebijakan internet banking yang disampaikan oleh Direksi.
2) Direksi harus melakukan kaji ulang terhadap rencana pelaksanaan
internet banking yang berpotensi memiliki dampak yang signifikan
terhadap strategi dan profil risiko Bank termasuk analisa cost and
benefit dari rencana internet banking tersebut.
3) Direksi harus memastikan bahwa Bank pada saat memasuki
aktivitas internet banking telah memiliki manajemen risiko yang
memadai. Selain itu Direksi harus memastikan bahwa pejabat
atau pegawai yang terkait dengan aktivitas internet banking
memiliki kompetensi dalam aplikasi dan teknologi pendukung
2
339
internet banking Bank.
4) Direksi harus melakukan pemantauan secara berkala terhadap
risiko reputasi yang melekat pada internet banking, dan
melaporkan hasil pemantauan tersebut kepada Komisaris.
5) Direksi harus memastikan bahwa proses manajemen risiko
aktivitas internet banking Bank terintegrasi ke dalam manajemen
risiko Bank secara keseluruhan.
6) Dalam melakukan pengawasan manajemen risiko Direksi harus:
a) menetapkan limit risiko dalam kaitannya dengan internet
banking dengan memperhatikan risk appetite Bank;
b) menetapkan delegasi wewenang dan mekanisme pelaporan,
termasuk prosedur yang diperlukan untuk kejadian yang
berdampak pada kondisi keuangan dan reputasi Bank;
c) memperhatikan faktor-faktor risiko yang secara khusus
berhubungan dengan keamanan, integritas dan ketersediaan
jasa internet banking;
d) memastikan bahwa uji tuntas (due dilligence) dan analisis
risiko yang memadai telah dilaksanakan sebelum Bank
melakukan aktivitas internet banking secara cross-border.
b. Direksi harus menyetujui dan melakukan kaji ulang terhadap aspek
utama dari prosedur pengendalian pengamanan Bank.
1) Direksi harus mengawasi pengembangan dan pemeliharaan
secara kontinyu terhadap infrastruktur pengendalian pengamanan
yang melindungi sistem dan data internet banking dari gangguan
internal dan eksternal.
2) Direksi harus memastikan bahwa Bank memiliki kebijakan dan
prosedur pengamanan yang menyeluruh untuk menangani potensi
gangguan pengamanan internal dan eksternal, baik dalam bentuk
tindakan pencegahan maupun penanganan kejadian (gangguan)
tersebut. Prosedur pengamanan tersebut antara lain meliputi:
a) penugasan tanggung jawab kepada pejabat atau pegawai
Bank untuk mengawasi penyusunan kebijakan pengamanan
Bank;
b) pengendalian fisik yang memadai untuk mencegah
unauthorized physical access terhadap ruang computer;
3
340
c) prosedur pengendalian logik dan pemantauan yang memadai
untuk mencegah unauthorized access internal dan eksternal
terhadap aplikasi dan database internet banking;
d) kaji ulang dan pengujian secara berkala terhadap langkahlangkah pengendalian pengamanan.
3) Untuk mendukung prosedur pengendalian pengamanan pada
penyelenggaraan internet banking, maka Bank harus
memperhatikan hal-hal sebagai berikut:
a) Bank harus menyusun dan memelihara profil pengamanan
serta menetapkan hak otorisasi yang specifik (specific
authorization privileges) bagi para pengguna sistem dan
aplikasi internet banking seperti nasabah, satuan
kerja/petugas Bank dan penyedia jasa (outsourcing);
b) Bank harus mengklasifikasikan data dan sistem internet
banking berdasarkan sensitivitas, kepentingan dan tingkat
perlindungannya, antara lain dengan menetapkan mekanisme
yang tepat seperti enkripsi, pengendalian terhadap akses, dan
rencana pemulihan data guna melindungi seluruh sistem,
server, database dan aplikasi internet banking yang sensitif
dan berisiko tinggi;
c) penyimpanan data yang sensitif atau berisiko tinggi pada
sistem komputer Bank (desktop dan laptop) harus
diminimalkan dan dilindungi oleh enkripsi, pengendalian
terhadap akses, dan rencana pemulihan data;
d) kunci-kunci (keys) yang digunakan untuk keperluan enkripsi
harus disimpan secara aman sehingga tidak ada satu orang
pun yang secara utuh mengetahui kombinasi kunci-kunci
tersebut;
e) Bank harus memiliki pengendalian fisik yang memadai guna
mencegah (unauthorized access) terhadap sistem, server,
database dan aplikasi internet banking;
f)
Bank harus menerapkan berbagai metode dan teknik yang
tepat untuk mengurangi ancaman eksternal terhadap sistem
internet banking, seperti:
i.
perangkat lunak virus scanning untuk seluruh entry point
dan masing-masing sistem komputer (desktop);
ii.
perangkat lunak dan perangkat penilaian sistem
pengamanan lain secara berkala untuk mendeteksi
penyusupan;
4
341
iii. pengujian penetrasi (penetration testing) terhadap jaringan
internal dan eksternal harus dilakukan secara berkala
sekurang-kurangnya 1 (satu) tahun sekali.
2. Pengendalian Pengamanan (Security Control)
a. Bank harus melakukan langkah-langkah yang memadai untuk
menguji keaslian (otentikasi) identitas dan otorisasi terhadap
nasabah yang melakukan transaksi melalui internet banking.
1) Bank harus menggunakan metode yang dapat diandalkan
(reliable) untuk proses verifikasi identitas dan otorisasi nasabah
baru serta proses pengujian keaslian identitas dan otorisasi
nasabah lama.
2) Bank harus memiliki kebijakan dan prosedur tertulis untuk
memastikan bahwa Bank mampu menguji keaslian identitas dan
otorisasi dari nasabah. Bank dapat menggunakan berbagai
metode untuk pengujian keaslian seperti personal identification
number (PIN), password, dan sertifikat digital.
3) Bank harus menetapkan metode pengujian keaslian yang
didasarkan atas penilaian manajemen terhadap risiko yang
dihadapi oleh aktivitas internet banking. Penilaian risiko ini juga
harus mengevaluasi kemampuan transaksi pada sistem internet
banking seperti transfer dana, pembayaran tagihan, dan
penarikan kredit, serta menilai sensitivitas dan nilai data yang
disimpan, dan kemudahan nasabah untuk menggunakan metode
pengujian keaslian.
4) Bank harus memantau dan menerapkan praktek internet banking
yang sehat untuk memastikan bahwa:
a) database pengujian keaslian yang menyediakan akses
kepada rekening nasabah pada internet banking dilindungi
dari gangguan dan perusakan;
b) setiap penambahan, penghapusan atau perubahan database
pengujian keaslian telah dengan tepat diotorisasi oleh pihak
yang berwenang;
c) terdapat sarana pengendalian yang tepat terhadap sistem
internet banking sehingga pihak ketiga yang tak dikenal
tidak bisa menggantikan nasabah yang telah dikenal.
5
342
b. Bank harus menggunakan metode pengujian keaslian transaksi
untuk menjamin bahwa transaksi tidak dapat diingkari oleh nasabah
(non repudiation) dan menetapkan tanggung jawab dalam transaksi
internet banking.
Bank harus menyusun dan menetapkan prosedur yang tepat sesuai
dengan signifikansi dan jenis transaksi internet banking untuk
memastikan bahwa:
1)
sistem internet banking telah dirancang untuk mengurangi
kemungkinan dilakukannya transaksi secara tidak sengaja
(unintended) oleh para pengguna yang berhak;
2)
seluruh pihak yang melakukan transaksi telah diuji keasliannya;
3)
data transaksi keuangan dilindungi dari kemungkinan
pengubahan dan setiap pengubahan dapat dideteksi.
c. Bank harus memastikan adanya pemisahan tugas dalam sistem
internet banking, database dan aplikasi lainnya.
Penetapan pemisahan tugas dalam sistem internet banking
hendaknya memperhatikan hal-hal sebagai berikut:
1) sistem dan proses transaksi harus dirancang untuk memastikan
bahwa tidak ada karyawan/pihak ketiga yang dapat memasuki,
melakukan otorisasi dan menyelesaikan suatu transaksi;
2) adanya pemisahan tugas antara pihak yang menginisiasi data
statik dan pihak yang bertanggung jawab untuk memverifikasi
kebenaran data statik;
3) perlu pengujian untuk memastikan bahwa penerapan pemisahan
tugas tidak dapat dilampaui (di-by pass);
4) adanya pemisahan tugas antara pihak yang mengembangkan
dengan pihak yang menatausahakan sistem internet banking.
d. Bank harus memastikan adanya pengendalian terhadap otorisasi dan
hak akses (privileges) yang tepat terhadap sistem internet banking,
database, dan aplikasi lainnya.
Dalam rangka memelihara pemisahan tugas, Bank harus
mengendalikan secara ketat otorisasi dan penggunaan hak akses.
Kegagalan untuk menyediakan dan menerapkan pengendalian
otorisasi tersebut dapat memberikan kesempatan kepada pihak lain
yang tidak memiliki hak akses untuk dapat melakukan hal-hal di luar
kewenangannya.
6
343
Hal-hal yang perlu diperhatikan antara lain:
1) perlu adanya otorisasi dan hak akses yang spesifik kepada
pihak-pihak yang berkaitan dengan aktivitas internet banking;
2) sistem internet banking dirancang dengan memperhatikan bahwa
setiap sub sistem saling berinteraksi dalam suatu database
otorisasi yang telah ditetapkan Bank;
3) pihak-pihak yang berkaitan dengan aktivitas internet banking
tidak memiliki wewenang untuk mengubah otoritas atau hak
akses terhadap database otorisasi internet banking;
4) penambahan atau perubahan dari pihak-pihak yang memiliki
akses terhadap suatu database otorisasi internet banking harus
diotorisasi oleh pihak yang memiliki kewenangan;
5) tersedianya langkah yang tepat untuk memastikan bahwa
database otorisasi internet banking tahan terhadap gangguan,
antara lain melalui pemantauan yang berkelanjutan, dan adanya
jejak audit untuk mendokumentasikan gangguan tersebut;
6) setiap database otorisasi internet banking yang telah terganggu
hendaknya tidak digunakan sampai dengan digantikan oleh
suatu database yang valid;
7) terdapat pengendalian untuk mencegah setiap perubahan tingkat
otorisasi selama terjadinya transaksi internet banking dan setiap
upaya untuk mengubah otorisasi tersebut harus dicatat (logged)
dan menjadi perhatian manajemen Bank.
e. Bank harus memastikan tersedianya prosedur yang memadai untuk
melindungi integritas data, catatan/arsip, dan informasi pada
transaksi internet banking.
Beberapa langkah yang dapat digunakan oleh Bank untuk
memelihara integritas data di dalam sistem internet banking antara
lain meliputi:
1) transaksi internet banking harus sangat resisten terhadap
gangguan pada setiap proses transaksi;
2) arsip internet banking harus disimpan, diakses dan dimodifikasi
sedemikian rupa sehingga resisten terhadap gangguan;
3) transaksi
dan proses pencatatan internet banking harus
dirancang sedemikian rupa sehingga tidak memungkinkan
pengubahan yang tidak sah;
7
344
4) terdapat prosedur pemantauan dan pengujian yang memadai
sehingga setiap perubahan pada sistem internet banking tidak
mengurangi kehandalan data;
5) setiap gangguan pada transaksi
atau pencatatan internet
banking harus dapat dideteksi melalui pemrosesan transaksi,
pemantauan dan pemeliharaan pencatatan.
f.
Bank harus memastikan tersedianya mekanisme penelusuran (audit
trail) yang jelas untuk seluruh transaksi internet banking.
1) Untuk memastikan tersedianya jejak audit yang jelas maka jenis
transaksi internet banking yang harus diperhatilkan meliputi
antara lain:
a) pembukaan, modifikasi atau penutupan suatu rekening
nasabah;
b) setiap transaksi yang mengandung dampak keuangan;
c) setiap otorisasi yang memperbolehkan nasabah untuk
melampaui batasan tertentu yang telah ditetapkan;
d) setiap pemberian, modifikasi dan pencabutan hak dan
kewenangan untuk mengakses sistem.
2) Hal-hal yang harus diperhatikan untuk memastikan tersedianya
audit trail yang jelas antara lain:
a) catatan/log harus dipelihara untuk semua transaksi internet
banking guna tersedianya jejak audit yang jelas dan
membantu penyelesaian perselisihan;
b) jejak audit maupun log-log lainnya, misalnya log tools
pendeteksian penyusupan harus direview/evaluasi secara
berkala;
c) sistem internet banking harus dirancang guna memperoleh
bukti forensik dan mencegah timbulnya gangguan dan
pengumpulan bukti yang tidak tepat;
d) apabila sistem pemrosesan dan jejak audit merupakan
tanggung jawab dari pihak ketiga maka Bank harus
mempunyai akses kepada jejak audit yang dipelihara oleh
pihak ketiga tersebut dan jejak audit tersebut harus sesuai
dengan standar yang ditetapkan Bank.
8
345
g. Bank harus mengambil langkah-langkah untuk melindungi
kerahasiaan informasi penting pada internet banking. Langkah
tersebut harus sesuai dengan sensitivitas informasi yang dikeluarkan
dan/atau disimpan dalam database.
Untuk melindungi kerahasiaan dari informasi-informasi penting yang
ada pada internet banking, Bank harus memastikan bahwa:
1) seluruh arsip dan data Bank yang bersifat rahasia hanya dapat
diakses oleh pihak-pihak yang telah diotorisasi dan dibuktikan
keasliannya;
2) semua data Bank yang bersifat rahasia harus dipelihara secara
aman dan dilindungi dari kemungkinan diketahui atau
dimodifikasi secara transmisi melalui jaringan publik, pribadi atau
internal;
3) Bank harus memiliki standar dan pengendalian atas penggunaan
dan perlindungan data apabila pihak ketiga/outsourcing memiliki
akses terhadap data tersebut;
4) seluruh akses terhadap data yang sifatnya terbatas harus
disimpan (logged) dan langkah yang tepat perlu dilakukan untuk
memastikan bahwa data resisten terhadap gangguan.
3. Manajemen Risiko Hukum dan Risiko Reputasi
a. Bank harus memastikan bahwa website Bank menyediakan informasi
yang memungkinkan calon nasabah untuk memperoleh informasi
yang tepat mengenai identitas dan status hukum Bank sebelum
melakukan transaksi melalui internet banking.
Informasi yang disediakan dalam website Bank antara lain:
1) nama dan tempat kedudukan Bank;
2) identitas otoritas pengawasan Bank;
3) tata cara bagi nasabah untuk mengakses unit pelayanan
nasabah apabila terdapat masalah, pengaduan, penyalahgunaan
rekening dan sebagainya;
4) tata cara bagi nasabah untuk mengakses program keluhan
nasabah;
5) tata cara bagi nasabah untuk memperoleh informasi mengenai
penjaminan simpanan dan perlindungan nasabah lainnya;
9
346
6) informasi relevan lainnya.
b. Bank harus mengambil langkah-langkah untuk memastikan bahwa
ketentuan kerahasiaan nasabah diterapkan sesuai dengan yang
berlaku di negara tempat kedudukan Bank menyediakan produk dan
jasa internet banking.
1) Penyalahgunaan pengungkapan kerahasiaan data nasabah
dapat menyebabkan Bank terekspos risiko hukum dan risiko
reputasi. Oleh karena itu Bank harus melakukan tindakan yang
memastikan bahwa:
a) kebijakan dan standar kerahasiaan nasabah sesuai dengan
peraturan perundang-undangan yang berlaku tentang
kerahasiaan nasabah/rahasia Bank;
b) nasabah
diberikan
pemahaman
tentang
kebijakan
kerahasiaan nasabah Bank dan isu kerahasiaan terkait
lainnya yang berkaitan dengan penggunaan produk dan jasa
internet banking;
c) data nasabah tidak digunakan untuk tujuan di luar yang
secara umum diperkenankan atau di luar otorisasi yang
diberikan oleh nasabah;
d) standar penggunaan data nasabah wajib dipenuhi dalam hal
pihak ketiga (outsourcing) mempunyai akses terhadap data
nasabah;
2) Dalam rangka mendukung penerapan kerahasiaan informasi
nasabah yang melakukan transaksi melalui internet banking,
Bank harus memperhatikan hal-hal sebagai berikut:
a) penggunaan teknik enkripsi, prosedur khusus dan
pengendalian pengamanan lainnya untuk memastikan
kerahasiaan data nasabah internet banking;
b) pengembangan prosedur dan pengendalian yang memadai
untuk menilai infrastruktur dan prosedur pengamanan
nasabah internet banking secara berkala;
c) kepastian bahwa bahwa pihak ketiga (outsourcing) yang
digunakan oleh Bank mempunyai kebijakan kerahasiaan
yang konsisten dengan yang dimiliki Bank;
d) pengambilan langkah-langkah untuk menginformasikan
nasabah internet banking tentang kebijakan kerahasiaan
informasi nasabah tersebut, yang meliputi:
10
347
(1) pemberian informasi yang singkat dan jelas kepada
nasabah mengenai kebijakan kerahasiaan yang dimiliki
Bank, antara lain melalui website Bank;
(2) pemberian petunjuk kepada nasabah mengenai
pentingnya untuk menjaga password, nomor identifikasi
pribadi (PINs) dan data perbankan dan/atau data pribadi
lainnya;
(3) penyediaan informasi kepada nasabah mengenai teknik
pengamanan komputer pribadi nasabah, termasuk
keuntungan dalam menggunakan perangkat lunak
pengamanan virus, pengendalian terhadap akses fisik
dan firewall personal untuk koneksi terhadap internet.
c. Bank harus memiliki prosedur perencanaan darurat dan
kesinambungan usaha yang efektif untuk memastikan tersedianya
sistem dan jasa internet banking.
1) Bank harus mampu menyediakan jasa internet banking melalui
sistem dan aplikasi secara in-house maupun outsourcing kepada
nasabah secara konsisten dan tepat waktu.
2) Untuk menjamin kesinambungan usaha jasa internet banking,
Bank harus memastikan bahwa:
a) kapasitas sistem internet banking yang tersedia maupun
peningkatan volume transaksi di masa depan telah dianalisis
berdasarkan perkembangan eksternal dan proyeksi tingkat
penerimaan produk dan jasa internet banking oleh nasabah;
b) pengujian dan kaji ulang berkala terhadap kapasitas
pemrosesan transaksi internet banking;
c) pengujian secara berkala terhadap kesinambungan usaha
dan perencanaan darurat untuk pemrosesan dan sistem
penyampaian jasa internet banking.
3) Beberapa langkah yang perlu diperhatikan Bank dalam rangka
penerapan rencana darurat, kesinambungan usaha dan
peningkatan kualitas kapasitas internet banking, antara lain:
a) Bank harus mengidentifikasi dan mereview seluruh aplikasi
dan jasa internet banking, termasuk yang disediakan oleh
penyedia jasa/pihak ketiga;
11
348
b) Bank harus melakukan penilaian risiko pada setiap jasa dan
aplikasi internet, termasuk implikasi yang mungkin timbul
seperti risiko kredit, pasar, likuiditas, hukum, operasional dan
reputasi yang dapat mengganggu kegiatan usaha Bank;
c) Bank harus menetapkan kriteria kinerja untuk setiap jasa dan
aplikasi internet banking dan memantau pelaksanaannya
dibandingkan dengan kriteria kinerja tersebut;
d) Bank harus mengambil langkah-langkah yang tepat untuk
memastikan bahwa sistem internet banking mampu
mengatasi volume transaksi yang besar maupun kecil, dan
kinerja maupun kapasitas sistem tersebut konsisten dengan
rencana Bank untuk pengembangan internet banking di
masa datang;
e) Bank harus mengembangkan beberapa prosedur alternatif
apabila sistem internet banking akan mencapai limit
kapasitas tertentu;
f)
Bank harus memiliki prosedur pemulihan sistem internet
banking untuk menjaga kelangsungan usaha guna
mengurangi ketergantungan kepada penyedia jasa/pihak
ketiga maupun pihak eksternal lainnya;
g) rencana darurat internet banking meliputi suatu prosedur
untuk memulihkan atau mengganti kemampuan pemrosesan
internet banking, merekonstruksi informasi transaksi
pendukung, dan untuk memulihkan keberadaan sistem dan
aplikasi internet banking dalam hal terjadi gangguan kegiatan
usaha.
d. Bank harus mengembangkan rencana penanganan yang memadai
untuk mengelola, mengatasi, dan meminimalkan permasalahan yang
timbul dari kejadian yang tidak diperkirakan (internal dan eksternal),
yang dapat menghambat penyediaan sistem dan jasa internet
banking.
1) Bank harus mengembangkan strategi komunikasi, yang dapat
memastikan kesinambungan usaha, mengendalikan risiko
reputasi, dan membatasi kewajiban Bank yang terkait dengan
terganggunya jasa internet banking, termasuk yang berasal dari
sistem dan operasional yang ditangani oleh pihak ketiga.
2) Untuk memastikan penanganan yang efektif terhadap kejadian
yang tak diperkirakan, Bank harus mengembangkan:
a) rencana penanganan kejadian untuk mengatasi pemulihan
sistem dan jasa internet banking dengan berbagai skenario;
12
349
b) mekanisme untuk mengidentifikasi suatu kejadian, menilai
materialitasnya, dan mengendalikan risiko reputasi yang
terkait dengan gangguan dalam pemberian jasa internet
banking;
c) strategi komunikasi dengan pihak eksternal dan media untuk
mengatasi permasalahan yang mungkin timbul sebagai
akibat kegagalan pengamanan, gangguan sistem on-line dan
sistem internet banking;
d) tim penanganan kejadian yang memiliki kewenangan untuk
bertindak dalam keadaan darurat dan yang memiliki
kompetensi dalam melakukan analisa sistem deteksi maupun
menilai hasil/output dari sistem deteksi tersebut;
e) mekanisme instruksi yang jelas untuk memastikan bahwa
tindakan yang diambil merupakan tindakan korektif yang
tepat;
f)
prosedur penyampaian informasi secara cepat dan tepat
kepada nasabah Bank, counterparty, dan media mengenai
penyebab terjadinya gangguan internet banking dan
perkembangan penanganannya;
g) prosedur pengumpulan dan pemeliharaan bukti forensik
untuk memfasilitasi kajian terhadap kejadian yang terkait
dengan kegiatan internet banking maupun dalam membantu
proses penuntutan hukum terhadap pihak eksternal yang
mengganggu internet banking.
e. Dalam hal sistem penyelenggaraan internet banking dilakukan oleh
pihak ketiga (outsourcing), Bank harus menetapkan dan menerapkan
prosedur pengawasan dan due dilligence yang menyeluruh dan
berkelanjutan untuk mengelola hubungan Bank dengan pihak ketiga
tersebut.
Dalam pengelolaan hubungan tersebut, Bank harus memastikan
bahwa:
1) Bank sepenuhnya memahami risiko yang terkait dengan
perjanjian outsourcing atau kerjasama untuk penyediaan sistem
dan aplikasi internet banking:
a) Bank harus mengidentifikasi tujuan strategik serta
keuntungan dan kerugian yang berkaitan dengan
penggunaan outsourcing dalam internet banking;
b) keputusan untuk melakukan outsourcing dalam internet
banking harus konsisten dengan strategi usaha Bank dengan
mempertimbangkan karakteristik risiko yang melekat pada
13
350
penggunaan outsourcing;
c) sesuai dengan struktur operasional, unit kerja Bank harus
memahami tata kerja penyedia jasa (provider) yang
melaksanakan strategi internet banking.
2) pelaksanaan due dilligence yang memadai terhadap kompetensi
dan kondisi keuangan pihak ketiga yang menyediakan jasa
(service provider) sebelum melakukan kontrak jasa internet
banking:
a) Bank harus mempertimbangkan pengembangan proses dan
menetapkan kriteria/persyaratan untuk pemilihan beberapa
penyedia jasa;
b) Bank harus melakukan due dilligence, termasuk analisis
risiko, kondisi keuangan, reputasi, kebijakan dan
pengendalian manajemen risiko serta kemampuan penyedia
jasa/layanan untuk memenuhi kewajibannya;
c) Bank harus secara berkala memantau dan melakukan review
terhadap kemampuan penyedia jasa/layanan untuk
memenuhi jasanya dan kewajiban penerapan manajemen
risiko selama masa kontrak;
d) Bank harus memastikan tersedianya sumber daya manusia
yang memadai dan mempunyai komitmen untuk melakukan
pengawasan terhadap outsourcing yang menyelenggarakan
internet banking;
e) Bank harus menetapkan tanggung jawab yang jelas kepada
unit kerja atau petugas mengenai pengawasan terhadap
pengelolaan outsourcing;
f)
Bank harus menetapkan exit strategy yang tepat untuk
mengelola risiko outsourcing apabila akan dilakukan langkah
pemutusan kontrak dengan pihak outsourcing.
3) kejelasan cakupan tanggung jawab masing-masing pihak dalam
perjanjian kontraktual dengan pihak ketiga, yang berkaitan
dengan:
a) kewajiban kontraktual dari pihak-pihak yang ditunjuk serta
tanggung jawab untuk membuat keputusan, termasuk jasa
sub-kontrak;
b) tanggung jawab untuk menyediakan informasi kepada dan
menerima informasi dari penyedia jasa/layanan, yaitu
informasi dari penyedia jasa/layanan harus tepat waktu dan
komprehensif sehingga memungkinkan Bank untuk menilai
14
351
tingkat dan risiko layanan internet banking;
c) peraturan yang secara khusus menetapkan cakupan
(coverage) asuransi, kepemilikan dari penyimpanan data dari
server atau database penyedia jasa/layanan, dan hak Bank
untuk pemulihan data yang telah melampaui waktu tertentu
serta pemutusan kontrak;
d) ekspektasi kinerja penyedia jasa, baik dalam kondisi normal
maupun situasi darurat;
e) tersedianya pengaturan jaminan yang cukup, misalnya
melalui klausul audit yang memastikan bahwa penyedia
jasa/layanan mematuhi kebijakan Bank;
f)
terdapat klausul pengaturan mengenai hak Bank untuk
melakukan koreksi dan intervensi secara tepat waktu apabila
kinerja penyedia jasa/layanan tidak sesuai dengan kontrak
(di bawah standar yang disepakati);
g) penetapan hukum dan peraturan negara tertentu tentang
kerahasiaan dan perlindungan nasabah, khususnya untuk
pengaturan cross-border outsourcing;
h) tersedianya klausul hak Bank untuk melakukan independent
review dan/atau audit terhadap sistem pengamanan,
pengendalian intern dan kelangsungan usaha serta
perencanaan darurat.
4) pengoperasian dan penyediaan sistem internet banking oleh
pihak ketiga telah sesuai dengan kebijakan manajemen risiko,
pengamanan dan kerahasiaan yang berlaku di Bank.
5) audit oleh auditor eksternal atau internal yang independen
dilakukan secara berkala terhadap pengoperasian internet
banking oleh pihak ketiga dengan frekuensi dan cakupan audit
yang sama dengan apabila internet banking diselenggarakan
secara in-house.
6) ketersediaan rencana darurat yang memadai untuk aktivitas
internet banking yang dioperasikan oleh pihak ketiga, dengan
cara antara lain:
a) Bank harus mengembangkan dan menguji secara periodik
terhadap perencanaan darurat layanan dan sistem internet
banking yang dioperasikan oleh pihak ketiga;
b) perencanaan darurat harus dapat memuat langkah
penanganan oleh Bank dalam kondisi skenario terburuk
(worst case scenario) agar kontinuitas usaha internet
15
352
banking tetap berlangsung meskipun terjadi gangguan yang
dapat mempengaruhi operasional yang dilakukan pihak
ketiga;
c) Bank harus memiliki tim atau petugas khusus yang
bertanggungjawab untuk mengelola pemulihan dan menilai
dampak keuangan yang ditimbulkan oleh suatu gangguan
pada sistem internet banking yang dioperasikan oleh pihak
ketiga.
--------------- 00 ---------------
16
353
Lampiran 10
354
Surat Edaran Bank Indonesia Nomor 11/36/DPNP tanggal 31 Desember 2009
Lampiran 10
LAPORAN AKTIVITAS BARU
NAMA BANK : ……………………………
TAHUN
: ……………………………
Jenis
No.
Aktivitas
Rencana Waktu
Baru *)
Pelaksanaan Aktivitas Baru
Tujuan Pelaksanaan
Keterkaitan
Deskripsi Umum
Risiko yang mungkin
Aktivitas Baru
Aktivitas Baru
mengenai
timbul atas
dengan Strategi Bank **)
Aktivitas Baru **)
Pelaksanaan Aktivitas Baru **)
Bagi Bank
Bagi Nasabah
*)
Jenis Aktivitas Baru diisi dengan "Agen Penjual Efek Reksa Dana" atau "Bank Kustodian"
**)
Penjelasan/Uraian yang lebih terperinci dapat dilampirkan dalam lembaran terpisah.
355
Lampiran 11
356
Surat Edaran Bank Indonesia Nomor 11/36/DPNP tanggal 31 Desember 2009
Lampiran 11
LAPORAN RENCANA MENJADI
AGEN PENJUAL EFEK REKSA DANA *)
NAMA BANK: ………………………..
a.
Informas i umum
b.
Analis a manfaat dan biaya ( cost and benefit analysis )
c.
Pros edur pelak s anaan ( standard operating procedures/ SOP) organis as i, dan k ewenangan pelak s anaan
d.
Kes iapan s umber daya manus ia
e.
Kes iapan Bank terk ait s is tem informas i
d.
Renc ana k ebijak an dan pros edur terk ait dengan penerapan program Anti Penc uc ian Uang dan
Penc egahan Pendanaan Teroris (APU dan PPT)
g.
H as il analis a as pek huk um dan as pek k epatuhan
i.
Penilaian Bank atas k es iapan s ebagai Agen Penjual Efek Rek s a Dana
j.
Dok umen- dok umen penduk ung (terlampir)
1. Surat Tanda Terdaftar sebagai Agen Penjual Efek Reksa Dana yang dikeluarkan oleh BAPEPAM - LK
2.
3.
4.
ds t
*)
Jumlah Halaman dalam contoh Laporan ini tidak mengikat sehingga Bank dapat menguraikan lebih rinci.
357
Lampiran 12
358
Lampiran 12
Surat Edaran Bank Indonesia Nomor 11/36/DPNP tanggal 31 Desember 2009
LAPORAN RENCANA PENJUALAN
EFEK REKSA DANA*)
NAMA BANK: ………………………
a.
Informasi umum
b.
Penilaian terhadap manajer investasi
c.
Manajemen Risiko
d.
Dokumen-dokumen pendukung (terlampir)
1. dokumen dalam rangka transparansi
a.
b.
c.
dst
2. dokumen yang terkait dengan aktivitas sebagai APERD
a. draft final perjanjian
b.
dst
3. Surat Efektif Pernyataan Pendaftaran Reksa Dana yang dikeluarkan oleh BAPEPAM - LK
4.
dst
*)
Jumlah Halaman dalam contoh Laporan ini tidak mengikat sehingga Bank dapat menguraikan lebih rinci.
359
Lampiran 13
360
Surat Edaran Bank Indonesia Nomor 11/36/DPNP tanggal 31 Desember 2009
Lampiran 13
LAPORAN REKSADANA (BANK SEBAGAI AGEN PENJUAL EFEK REKSADANA)
NAMA BANK *) : …………………………….
POSISI BULAN **) : …………………………….
PERIODE ***)
: …………………………….
Reksa Dana yang sudah dipasarkan Bank sebagai Agen Penjual Efek Reksa Dana
Nama
Reksa Dana
(1)
Subscription
Redemption
(2)
(3)
NAV
per unit
(4)
Total Unit
Penyertaan
pada Reksa Dana
(5)
Porsi Aset yang Mendasari
yang Merupakan Surat Berharga
yang Diterbitkan Bank sebagai
Agen Penjual Maupun Pihak Terkait
(6)
Fee based
Income
(7)
Manajer Investasi
Pihak
Nama
Terkait
(8)
(9)
Bank Kustodian
Total
Nama
NAV
(10)
(11)
Apakah Bank Menjadi Sponsor atau
Melakukan Penempatan Dana Awal
Ya/Tidak
Nominal
(12)
(13)
Nomor Surat Efektif
Pernyataan Pendaftaran
Reksa Dana
dari BAPEPAM - LK
(14)
Nomor Surat
Penegasan Bank Indonesia
terhadap rencana penjualan
efek Reksa Dana
(15)
*) diisi nama Bank
**) diisi posisi bulan laporan, misalnya posisi bulan Maret 2010
***) diisi periode laporan, misalnya Triwulan I
1)
diisi nama produk Reksa Dana
2)
diisi nominal dalam satuan penuh
3)
diisi nominal dalam satuan penuh
4)
diisi nominal dalam satuan penuh
5)
diisi total unit penyertaan pada Reksa Dana
6)
diisi persentase
Pihak Terkait sesuai ketentuan yang berlaku tentang Batas Maksimum Pemberian Kredit
7)
diisi nominal dalam satuan penuh
8)
diisi nama manajer investasi
9)
diisi angka "1" untuk terkait dan angka "2" untuk tidak terkait sesuai ketentuan yang berlaku tentang Batas Maksimum Pemberian Kredit
10)
diisi nama Bank Kustodian
11)
diisi Total NAV menurut Bank Kustodian
12)
diisi angka "1" bila ya dan angka "2" bila tidak
13)
diisi apabila kolom (12) berisi sandi 1, selain itu dikosongkan
diisi nominal dalam satuan penuh
14)
diisi nomor Surat Efektif Pernyataan Pendaftaran Reksa Dana dari BAPEPAM - LK
15)
diisi nomor Surat Penegasan Bank Indonesia terhadap rencana penjualan efek Reksa Dana
361
Lampiran 14
362
Surat Edaran Bank Indonesia No. 12/35/DPNP tanggal 23 Desember 2010
Lampiran 14
LAPORAN AKTIVITAS BARU
NAMA BANK : ……………………………
TAHUN
: ……………………………
Jenis
No.
Aktivitas
Rencana Waktu
Baru *)
Pelaksanaan Aktivitas Baru
Tujuan Pelaksanaan
Keterkaitan
Deskripsi Umum
Risiko yang mungkin
Aktivitas Baru
Aktivitas Baru
mengenai
timbul atas
dengan Strategi Bank **)
Aktivitas Baru **)
Pelaksanaan Aktivitas Baru **)
Bagi Bank
Bagi Nasabah
*)
Jenis Aktivitas Baru diisi dengan "Bancassurance - Referensi" atau "Bancassurance - Kerjasama Distribusi" atau "Bancassurance - Integrasi Produk" .
**)
Penjelasan/Uraian yang lebih terperinci dapat dilampirkan dalam lembaran terpisah.
363
Lampiran 15
364
Lampiran 15
Surat Edaran Bank Indonesia No. 12/35/DPNP tanggal 23 Desember 2010
LAPORAN RENCANA PELAKSANAAN
AKTIVITAS BARU BERUPA BANCASSURANCE *)
NAMA BANK: ______________
a.
Informas i umum
b.
Penilaian dan analis a s olvabilitas s erta perizinan perus ahaan as urans i mitra Bank
c.
Analis a manfaat dan biaya ( cost and benefit analysis )
d.
Manajemen Ris ik o
e.
Pros edur pelak s anaan ( standard operating procedures /SOP) organis as i, dan k ewenangan pelak s anaan bancassurance
f.
Kes iapan unit k erja k hus us bancassurance dan/atau pejabat yang bertanggung jawab atas bancassurance
s erta k es iapan s umber daya manus ia pemas aran bancassurance
g.
H as il analis a as pek huk um dan as pek k epatuhan mengenai bancassurance
h.
Kes iapan s is tem informas i Bank terk ait bancassurance
i.
Kebijak an dan pros edur terk ait dengan penerapan program Anti Penc uc ian Uang dan
Penc egahan Pendanaan Teroris (APU dan PPT)
j.
Dok umen- dok umen penduk ung (terlampir)
1. dokumen yang terkait dengan aktivitas berupa bancassuarnce
a. konsep perjanjian kerjasama dengan perusahaan asuransi mitra Bank
b.
dst
2. dokumen dalam rangka transparansi kepada nasabah
a.
b.
c.
dst
3.
surat persetujuan kerjasama bancassurance dari Menteri Keuangan dan surat pernyataan pencatatan produk baru asuransi
dari Bapepam dan LK
4.
ds t.
* )
Jumlah Halaman dalam contoh Laporan ini tidak mengikat sehingga Bank dapat menguraikan lebih rinci.
365
Lampiran 16
366
Surat Edaran Bank Indonesia No. 12/35/DPNP tanggal 23 Desember 2010
Lampiran 16
LAMPIRAN 20
LAPORAN BERKALA BANCASSURANCE
NAMA BANK
POSISI BULAN a)
PERIODE
b)
: …………………………………………
: …………………………………………
: …………………………………………
Perusahaan Asuransi
Pihak
Nama Keterangan Jenis
(1)
(2)
(3)
c)
Terkait
Model
d)
(4)
Bisnis
(5)
a)
diisi posisi bulan laporan, misalnya posisi bulan Juni 2011
b)
diisi periode laporan, misalnya Triwulan II, 2011
c)
diisi dengan "jiwa" atau "umum" atau "reasuransi"
Jenis
Produk
(6)
Nama
e)
Produk
(7)
Jumlah
Polis
(8)
f)
Jumlah
Nasabah
(9)
Valuta
g)
Asal
(10)
Premi Diterima
Akumulasi
Bulan
Total
Pertanggungan
(11)
h)
sejak awal
(12)
d)
diisi dengan "ya" atau "tidak". Pihak Terkait sesuai ketentuan yang berlaku tentang Batas Maksimum Pemberian Kredit
e)
jenis produk meliputi umum, jiwa, unit link , lainnya
f)
diisi jumlah polis didasarkan pada polis yang masih outstanding /masih berlaku/belum dicairkan/in force policy
g)
diisi jumlah nasabah didasarkan pada polis yang masih outstanding/ masih berlaku/belum dicairkan/ in force policy
h)
diisi jumlah pertanggungan dalam satuan penuh valuta asal didasarkan pada polis yang masih outstanding /masih berlaku/belum dicairkan/ in force policy
i)
Laporan
(13)
Fee Based
j)
Income
(14)
k)
Nilai
Fund l)
(15)
i)
diisi premi/fee yang diterima sejak produk dijual oleh bank s/d akhir bulan pelaporan dalam satuan penuh valuta asal, yang berasal dari nasabah yang polisnya masih outstanding /masih berlaku/belum
dicairkan/ in force policy per posisi akhir bulan pelaporan
j)
seluruh premi/fee yang diterima dalam satuan penuh valuta asal selama bulan laporan
k)
fee based income dalam satuan penuh valuta asal untuk semua mata uang atau valuta asal dan disajikan dalam jumlah net (setelah dikurangi pajak yang dikenakan oleh perusahaan asuransi)
l)
Nilai fund dari asuransi milik nasabah yang polisnya masih outstanding/ masih berlaku/ belum dicairkan/ in force policy per posisi laporan dalam satuan penuh valuta asal,
dihitung sejak produk tersebut dijual oleh bank kepada masing-masing nasabah tersebut sampai dengan akhir bulan pelaporan. Apabila jenis produk diisi unit link maka kolom ini
harus diisi.
367
FORM 701: LAPORAN BANCASSURANCE
Record Header
No
Nama Kolom
Jenis Data Jumlah
Posisi
Keterangan
a
Sandi Pelapor
Character
6
1-6
Diisi Sandi bank Pelapor (sesuai lampiran)
b
Periode Laporan
Character
6
7-12
Diisi periode laporan (mmyyyy)
c
Jenis Laporan
Character
2
13-14
Diisi sesuai daftar sandi.Khusus untuk LKPBU diisi '01'
d
No Form
Character
4
15-18
Diisi no form yg Dilaporkan
e
Jumlah Record Isi
Numeric
6
19-24
Jumlah transaksi yg dilaporkan
Jumlah
Posisi
Record Isi
No
Nama Kolom
Jenis Data
Keterangan
Diisi dengan sandi nama perusahaan Asuransi (sesuai lampiran)
1 Nama Perusahaan Asuransi
Numeric
5
1-5
2 Keterangan
Character
50
6-55
3 Jenis Perusahaan Asuransi
Numeric
1
56-56
4 Pihak Terkait
Numeric
1
57-57
5 Jenis Model Bisnis
Numeric
1
58-58
Diisi sandi "Pihak Terkait" : '1' jika ya, '2' jika tidak
Diisi sandi "Jenis Model Bisnis" (sesuai lampiran). Khusus untuk model bisnis referal ,
asuransi terkait dengan fasilitas pembiayaan dari bank seperti misalnya KPR tidak perlu
dilaporkan dalam laporan bancassurance ini
6 Jenis Produk
Numeric
3
59-61
Diisi sandi "Jenis Produk" (sesuai lampiran)
7 Nama Produk
Character
50
62-111
Diisi nama produk asuransi
Diisi apabila kolom "Nama Perusahaan Asuransi" berisi sandi "lainnya"
Diisi sandi "Jenis Perusahaan Asuransi " : '1' jiwa, atau '2' umum dan '3' reassuransi
Numeric
8
112-119
Diisi jumlah polis didasarkan pada polis yang masih outstanding/masih berlaku/belum
dicairkan/in force policy
9 Jumlah Nasabah
10 Valuta Asal
Numeric
8
120-127
Diisi jumlah nasabah didasarkan pada polis yang masih outstanding/masih .
berlaku/belum dicairkan/ in force policy . Harus <= kolom jumlah polis
Character
3
128-130
Diisi jenis valuta asal sesuai Sandi Mata Uang (terlampir)
11 Total Pertanggungan
Numeric
15
131-145
Diisi jumlah pertanggungan dalam satuan penuh valuta asal didasarkan pada polis yang
masih outstanding/masih berlaku/belum dicairkan/ in force policy
8 Jumlah Polis
Premi diterima terdiri dari 12 & 13
12 Akumulasi Sejak Awal
Numeric
15
146-160
13 Bulan Laporan
Numeric
15
161-175
14 Fee Based Income
15 Nilai Fund
Numeric
Numeric
15
15
premi/fee yang diterima sejak produk dijual oleh bank s/d akhir bulan pelaporan
dalam satuan penuh valuta asal, yang berasal dari nasabah yang polisnya masih
outstanding/berlaku (in force policy) per posisi akhir bulan pelaporan
seluruh premi/fee yang diterima dalam satuan penuh valuta asal selama bulan laporan
176-190
fee based income dalam satuan penuh valuta asal untuk semua mata uang atau valuta
asal dan disajikan dalam jumlah net (setelah dikurangi pajak yang dikenakan oleh
persh. asuransi
191-205
Nilai fund dari asuransi milik nasabah yang masih outstanding/berlaku per posisi
laporan (in force policy) dalam satuan penuh valuta asal , dihitung sejak produk tersebut
dijual oleh bank kepada masing-masing nasabah tersebut sampai dengan akhir bulan
pelaporan. Apabila jenis produk diisi unit link maka kolom ini harus diisi. Untuk sandi
jenis produk lain kolom ini boleh tidak diisi
368
Nama Perusahaan Asuransi
No
Nama Perusahaan
Sandi
1
PT. ACE Life Assurance
101
2
Asuransi Jiwa Bersama Bumiputera 1912
102
3
PT. Asuransi Jiwa Adisarana Wanaartha
103
4
PT. AIA Financial
104
5
PT. Asuransi Allianz Life Indonesia
105
6
PT. Avrist Assurance
106
7
PT AXA Financial Indonesia
107
8
PT. AXA Life Indonesia
108
9
PT. AXA Mandiri Financial Services
109
10
PT. Asuransi Jiwa Bakrie
110
11
PT. BNI Life Insurance
111
12
PT. Asuransi Jiwa Bringin Jiwa Sejahtera
112
13
PT. Asuransi Jiwa Bumi Asih Jaya
113
14
PT. Asuransi Jiwa Bumi Masyarakat Mandiri
114
15
PT. Asuransi Jiwa Central Asia Raya
115
16
PT. Asuransi CIGNA
116
17
PT. CIMB Sun Life
117
18
PT. Commonwealth Life
118
19
PT. Equity Life Indonesia
119
20
PT. Asuransi Jiwa Generali Indonesia
120
21
PT. Great Eastern Life Indonesia
121
22
PT. Heksa Eka Life Insurance
122
23
PT. Indolife Pensiontama
123
24
PT. Asuransi Jiwa Inhealth Indonesia
124
25
PT. Asuransi Jiwasraya (Persero)
125
26
PT. Asuransi Jiwa Kresna Life
126
27
PT. MAA Life Assurance
127
28
PT. Asuransi Jiwa Manulife Indonesia
128
29
PT. Mayapada Life
129
30
PT. Asuransi Jiwa Mega Life
130
31
PT. Multicor Life Insurance
131
32
PT. Asuransi Jiwa Nusantara
132
33
PT. Panin Anugrah life
133
34
PT. Panin Life Tbk
134
35
PT. Pasaraya Life Insurance
135
36
PT. Prudential Life Insurance
136
37
PT. Asuransi Jiwa Recapital
137
38
PT. Asuransi Jiwa Sequis Financial
138
39
PT. Asuransi Jiwa Sequis Life
139
40
PT. Asuransi Jiwa Sinarmas
140
41
PT. Sun Life Financial Indonesia
141
42
PT. Asuransi Syariah Mubarakah
142
43
PT. Asuransi Takaful Keluarga
143
44
PT. Asuransi Jiwa Tugu Mandiri
144
45
PT. UOB Life - Sun Assurance
145
46
PT. Asuransi Winterthur Life Indonesia
146
47
PT. ACE INA Insurance
201
369
Nama Perusahaan Asuransi
No
Nama Perusahaan
Sandi
48
PT. Arthagraha General Insurance
202
49
PT. Asia Reliance General Insurance
203
50
PT. Asuransi Adira Dinamika
204
51
PT. Asuransi AIOI Indonesia
205
52
PT. Asuransi AIU Indonesia
206
53
PT. Asuransi Allianz Utama Indonesia
207
54
PT. Asuransi Andika Raharja Putera
208
55
PT. Asuransi Artarindo
209
56
PT. Asuransi Asoka Mas
210
57
PT. Asuransi Asrtra Buana
211
58
PT. Asuransi AXA Indonesia
212
59
PT. Asuransi Bangun Askrida
213
60
PT. Asuransi Bhakti Bhayangkara
214
61
PT. Asuransi Bina Dana Arta Tbk
215
62
PT. Asuransi Binagriya Upakara
216
63
PT. Asuransi Bintang Tbk
217
64
PT. Asuransi Bosowa Periskop
218
65
PT. Bringin Sejahtera Artamakmur
219
66
PT. Asuransi Buana Independent
220
67
PT. Asuransi Central Asia
221
68
PT. Asuransi Chubb Indonesia
222
69
PT. Asuransi Dayin Mitra Tbk
223
70
PT. Asuransi Dharma Bangsa
224
71
PT. Asuransi Eka Lloyd Jaya
225
72
PT. Asuransi Ekspor Indonesia
226
73
PT. Asuransi Umum Videi
227
74
PT. Asuransi Recapital
228
75
PT. Asuransi Hanjin Korindo
229
76
PT. Asuransi Harta Aman Pratama Tbk
230
77
PT. Asuransi Himalaya Pelindung
231
78
PT. Asuransi Indrapura
232
79
PT. Asuransi Intra Asia
233
80
PT. Jamindo General Insurance
234
81
PT. Asuransi Jasa Indonesia (Persero)
235
82
PT. Asuransi Jasaraharja Putera
236
83
PT. Asuransi Jasa Tania
237
84
PT. Pan Pacific Insurance
238
85
PT. Asuransi Jaya Proteksi
239
86
PT. Asuransi Karyamas Sentralindo
240
87
PT. Asuransi Kredit Indonesia (Persero)
241
88
PT. Asuransi Maipark Indonesia
242
89
PT. Asuransi Mega Pratama
243
90
PT. Asuransi Mitra Maparya
244
91
PT. Asuransi MSIG Indonesia
245
92
PT. Asuransi Multi Artha Guna Tbk
246
93
PT. Asuransi Parolamas
247
94
PT. Asuransi Permata Nipponkoa Indonesia
248
95
PT. Asuransi Puri Asih
249
370
Nama Perusahaan Asuransi
Nama Perusahaan
No
Sandi
96
PT. Asuransi Purna Artanugraha
250
97
PT. Asuransi Putra Mandiri
251
98
PT. Asuransi QBE Pool Indonesia
252
99
PT. Asuransi Raksa Pratikara
253
100
PT. Asuransi Rama Satria Wibawa
254
101
PT. Asuransi Ramayana Tbk
255
102
PT. Asuransi Raya
256
103
PT. Asuransi Reliance Indonesia
257
104
PT. Asuransi Samsung Tugu
258
105
PT. Asuransi Sarijaya
259
106
PT. Asuransi Sinar Mas
260
107
PT. Asuransi Starlite International
261
108
PT. Asuransi Takaful Umum
262
109
PT. Asuransi Tokio Marine Indonesia
263
110
PT. Asuransi Tri Pakarta
264
111
PT. Asuransi Tugu Kresna Pratama
265
112
PT. Asuransi Umum Bumiputeramuda 1967
266
113
PT. Asuransi Umum Centris
267
114
PT. Asuransi Umum Mega
268
115
PT. Asuransi Wahana Tata
269
116
PT. Asuransi Wuwungan
270
117
PT. Batavia Mitratama Insurance
271
118
PT. Berdikari Insurance
272
119
PT. China Insurance Indonesia
273
120
PT. Citra International Underwriters
274
121
PT. Kurnia Insurance Indonesia
275
122
PT. LIG Insurance Indonesia
276
123
PT. Lippo General Insurance Tbk
277
124
PT. Asuransi Lloyd Indonesia
278
125
PT. MAA General Assurance
279
126
PT. Maskapai Asuransi Sonwellis
280
127
PT. Pacific International Indonesia Insurance
281
128
PT. Panin Insurance Tbk
282
129
PT. Sarana Lindung Upaya
283
130
PT. Sompo Japan Insurance Indonesia
284
131
PT. Staco Jasapratama
285
132
PT. Transpacific General Insurance
286
133
PT. Tugu Pratama Indonesia
287
134
PT. Asuransi Wanamekar Handayani
288
135
PT. Zurich Insurance Indonesia
289
136
PT. ASKES (Persero)
290
137
PT. ASABRI (Persero)
291
138
PT. Jamsostek (Persero)
292
139
PT. Jasa Raharja (Persero)
293
140
PT. TASPEN (Persero)
294
141
PT. Maskapai Reasuransi IndonesiaTbk
301
142
PT. Reasuransi International Indonesia
302
143
PT. Reasuransi Nasional Indonesia
303
144
PT. Tugu Reasuransi Indonesia
304
145
Lainnya
999
371
Lampiran 17
372
Surat Edaran Bank Indonesia Nomor 13/28/DPNP tanggal 9 Desember 2011
Lampiran 17
LAMPIRAN 21
PEDOMAN PENERAPAN STRATEGI ANTI FRAUD
BAGI BANK UMUM
I.
LATAR BELAKANG
1. Dalam rangka mencegah terjadinya kasus-kasus penyimpangan
operasional pada perbankan, khususnya Fraud yang dapat
merugikan nasabah atau Bank maka diperlukan peningkatan
efektifitas pengendalian intern, sebagai upaya meminimalkan
risiko Fraud dengan cara menerapkan strategi anti Fraud.
2. Selama ini, baik secara langsung maupun tidak langsung,
pelaksanaan
pencegahan
Fraud
telah
dilaksanakan
Bank,
antara lain melalui penerapan Manajemen Risiko khususnya
sistem pengendalian intern, dan pelaksanaan tata kelola yang
baik. Namun demikian, agar penerapannya menjadi efektif
masih diperlukan upaya peningkatan agar pencegahan Fraud
tersebut benar-benar menjadi fokus perhatian dan budaya di
Bank pada seluruh aspek organisasi, baik oleh manajemen
maupun karyawan.
3. Efektifitas pengendalian Fraud dalam bisnis proses merupakan
tanggung
jawab
pihak
manajemen,
sehingga
diperlukan
pemahaman yang tepat dan menyeluruh tentang Fraud oleh
manajemen agar dapat memberikan arahan dan menumbuhkan
awareness untuk pengendalian risiko Fraud pada Bank.
4. Strategi anti Fraud merupakan wujud komitmen manajemen
Bank dalam mengendalikan Fraud yang diterapkan dalam
bentuk sistem pengendalian Fraud. Strategi ini menuntut
1
373
manajemen untuk mengerahkan sumber daya agar sistem
pengendalian Fraud dapat diimplementasikan secara efektif dan
berkesinambungan.
5. Pedoman penerapan strategi anti Fraud dalam ketentuan ini
mengarahkan Bank dalam melakukan pengendalian Fraud
melalui
upaya-upaya
yang
tidak
hanya
ditujukan
untuk
pencegahan namun juga untuk mendeteksi dan melakukan
investigasi serta memperbaiki sistem sebagai bagian dari strategi
yang bersifat integral dalam mengendalikan Fraud.
II.
PEDOMAN UMUM PENERAPAN STRATEGI ANTI FRAUD
1. Dalam pedoman ini yang dimaksud dengan Fraud adalah
tindakan penyimpangan atau pembiaran yang sengaja dilakukan
untuk mengelabui, menipu, atau memanipulasi Bank, nasabah,
atau pihak lain, yang terjadi di lingkungan Bank dan/atau
menggunakan sarana Bank sehingga mengakibatkan Bank,
nasabah, atau pihak lain menderita kerugian dan/atau pelaku
Fraud memperoleh keuntungan keuangan baik secara langsung
maupun tidak langsung.
Jenis-jenis perbuatan yang tergolong Fraud adalah kecurangan,
penipuan, penggelapan aset, pembocoran informasi, tindak
pidana perbankan (tipibank), dan tindakan-tindakan lainnya
yang dapat dipersamakan dengan itu.
2. Strategi anti Fraud adalah strategi Bank dalam mengendalikan
Fraud yang dirancang dengan mengacu pada proses terjadinya
Fraud dengan memperhatikan karakteristik dan jangkauan dari
potensi Fraud yang tersusun secara komprehensif-integralistik
dan diimplementasikan dalam bentuk sistem pengendalian
Fraud. Penerapan strategi anti Fraud merupakan bagian dari
2
374
penerapan Manajemen Risiko, khususnya yang terkait dengan
aspek sistem pengendalian intern.
3. Keberhasilan strategi anti Fraud dipengaruhi oleh lingkungan
yang mendukung terciptanya kondisi yang kondusif sehingga
semua pihak yang terkait dapat berperan dengan baik dalam
mengimplementasikan sistem pengendalian Fraud.
4. Struktur strategi anti Fraud secara utuh menggabungkan
prinsip dasar dari Manajemen Risiko khususnya pengendalian
intern dan tata kelola yang baik. Implementasi strategi anti
Fraud dalam bentuk sistem pengendalian Fraud dijabarkan
melalui 4 (empat) pilar strategi pengendalian Fraud yang saling
berkaitan yaitu: (i) pencegahan; (ii) deteksi; (iii) investigasi,
pelaporan, dan sanksi; (iv) serta pemantauan, evaluasi, dan
tindak lanjut.
III. PENERAPAN MANAJEMEN RISIKO
Penerapan strategi anti Fraud sebagai bagian dari pelaksanaan
penerapan Manajemen Risiko tidak dapat dipisahkan dari cakupan
penerapan Manajemen Risiko secara umum. Oleh karena itu
efektifitas penerapan strategi anti Fraud paling kurang perlu
didukung dengan penguatan pada aspek-aspek Manajemen Risiko
yang fokus pada pengendalian Fraud. Aspek-aspek tersebut paling
kurang meliputi pengawasan aktif manajemen, struktur organisasi
dan pertanggungjawaban, serta pengendalian dan pemantauan.
Cakupan minimum untuk setiap aspek pendukung tersebut adalah
sebagai berikut:
1. Pengawasan Aktif Manajemen
Pengawasan aktif manajemen terhadap Fraud mencakup hal-hal
yang
menjadi
manajemen
kewenangan
baik
Dewan
dan
tanggung
Komisaris
jawab
maupun
pihak
Direksi.
3
375
Kewenangan dan tanggung jawab tersebut paling kurang sebagai
berikut:
a. pengembangan budaya dan kepedulian terhadap anti Fraud
pada
seluruh
jenjang
organisasi,
antara
lain
meliputi
deklarasi anti fraud statement dan komunikasi yang memadai
kepada seluruh jenjang organisasi tentang perilaku yang
termasuk tindakan Fraud;
b. penyusunan dan pengawasan penerapan kode etik terkait
dengan pencegahan Fraud bagi seluruh jenjang organisasi;
c. penyusunan dan pengawasan penerapan strategi anti Fraud
secara menyeluruh;
d. pengembangan
kualitas
sumber
daya
manusia
(SDM),
khususnya yang terkait dengan peningkatan awareness dan
pengendalian Fraud;
e. pemantauan dan evaluasi atas kejadian-kejadian Fraud serta
penetapan tindak lanjut; dan
f. pengembangan saluran komunikasi yang efektif di internal
Bank agar seluruh pejabat/pegawai Bank memahami dan
mematuhi kebijakan dan prosedur yang berlaku, termasuk
kebijakan dalam rangka pengendalian Fraud.
2. Struktur Organisasi dan Pertanggungjawaban
Untuk mendukung efektifitas penerapan strategi anti Fraud,
Bank
wajib
memiliki
unit
strategi
anti
implementasi
atau
fungsi
Fraud.
yang
Hal-hal
menangani
yang
perlu
diperhatikan dalam pembentukan unit atau fungsi tersebut
paling kurang sebagai berikut:
a. pembentukan unit atau fungsi dalam struktur organisasi
disesuaikan dengan karakteristik dan kompleksitas kegiatan
usaha Bank;
b. penetapan uraian tugas dan tanggung jawab yang jelas;
4
376
c. pertanggungjawaban unit atau fungsi tersebut langsung
kepada Direktur Utama serta hubungan komunikasi dan
pelaporan secara langsung kepada Dewan Komisaris; dan
d. pelaksanaan tugas pada unit atau fungsi tersebut harus
dilakukan
dan
oleh SDM yang memiliki kompetensi, integritas,
independensi,
serta
didukung
dengan
pertanggungjawaban yang jelas.
3. Pengendalian dan Pemantauan
Dalam melakukan pengendalian dan pemantauan, Bank wajib
melakukan langkah-langkah yang fokus untuk meningkatkan
efektifitas penerapan strategi anti Fraud. Langkah-langkah
tersebut paling kurang sebagai berikut:
a. penetapan
kebijakan
dan
prosedur
pengendalian
yang
khusus ditujukan untuk pengendalian Fraud;
b. pengendalian melalui kaji ulang baik oleh manajemen (top
level review) maupun kaji ulang operasional (functional
review) oleh SKAI atas pelaksanaan strategi anti Fraud;
c. pengendalian
di
bidang
SDM
yang
ditujukan
untuk
peningkatan efektivitas pelaksanaan tugas dan pengendalian
Fraud, misalnya kebijakan rotasi, kebijakan mutasi, cuti
wajib, dan aktivitas sosial atau gathering;
d. penetapan pemisahan fungsi dalam pelaksanaan aktivitas
Bank pada seluruh jenjang organisasi, misalnya penerapan
four eyes principle dalam aktivitas perkreditan dengan tujuan
agar setiap pihak yang terkait dalam aktivitas tersebut tidak
memiliki peluang untuk melakukan dan menyembunyikan
Fraud dalam pelaksanaan tugasnya;
e. pengendalian sistem informasi yang mendukung pengolahan,
penyimpanan, dan pengamanan data secara elektronik untuk
mencegah potensi terjadinya Fraud. Termasuk dalam rangka
5
377
pengamanan data, Bank wajib memiliki program kontinjensi
yang memadai. Pengendalian sistem informasi ini perlu
disertai
dengan
tersedianya
sistem
akuntansi
untuk
menjamin penggunaan data yang akurat dan konsisten
dalam pencatatan dan pelaporan keuangan Bank, antara lain
melalui rekonsiliasi atau verifikasi data secara berkala; dan
f. pengendalian lain dalam rangka pengendalian Fraud seperti
pengendalian aset fisik dan dokumentasi.
IV. STRATEGI ANTI FRAUD
Strategi anti Fraud yang disusun secara komprehensif-integralistik
dan diimplementasikan dalam bentuk sistem pengendalian Fraud
diterapkan
dengan
menggunakan
perangkat-perangkat
yang
merupakan penjabaran dari 4 (empat) pilar yang saling berkaitan
sebagai berikut:
1. Pencegahan
Pilar pencegahan memuat perangkat-perangkat yang ditujukan
untuk mengurangi potensi terjadinya Fraud, yang paling kurang
mencakup:
a. Anti Fraud Awareness
Anti Fraud awareness adalah upaya untuk menumbuhkan
kesadaran mengenai pentingnya pencegahan Fraud
oleh
seluruh pihak terkait.
Melalui kepemimpinan yang baik didukung dengan anti Fraud
awareness yang tinggi diharapkan tumbuh kepedulian semua
unsur di Bank terhadap pengendalian Fraud.
Moral dan awareness dari pimpinan terhadap anti Fraud
harus
menjiwai
setiap
kebijakan
atau
ketentuan
yang
ditetapkannya.
6
378
Upaya untuk menumbuhkan anti Fraud awareness dilakukan
antara lain melalui:
1) Penyusunan dan sosialisasi Anti Fraud Statement.
Contohnya kebijakan zero tolerance terhadap Fraud.
2) Program employee awareness.
Contohnya penyelenggaraan seminar atau diskusi terkait
anti Fraud, training, dan publikasi mengenai pemahaman
terhadap
bentuk-bentuk
investigasi,
dan
tindak
Fraud,
lanjut
transparansi
terhadap
Fraud
hasil
yang
dilakukan secara berkesinambungan.
3) Program customer awareness.
Contohnya
tertulis
pembuatan
maupun
meningkatkan
brosur
melalui
kepedulian
nasabah/deposan
terhadap
anti Fraud,
sarana
dan
penjelasan
lainnya
untuk
kewaspadaan
kemungkinan
terjadinya
Fraud.
b. Identifikasi Kerawanan
Identifikasi kerawanan merupakan proses Manajemen Risiko
untuk mengidentifikasi, menganalisis, dan menilai potensi
risiko terjadinya Fraud.
Secara
umum,
identifikasi kerawanan
ditujukan
untuk
mengidentifikasi risiko terjadinya Fraud yang melekat pada
setiap aktivitas yang berpotensi merugikan Bank.
Bank wajib melakukan identifikasi kerawanan pada setiap
aktivitas.
Hasil
identifikasi
didokumentasikan
dan
diinformasikan kepada pihak berkepentingan dan selalu
dikinikan terutama terhadap aktivitas yang dinilai berisiko
tinggi untuk terjadinya Fraud.
7
379
c. Know Your Employee
Sebagai upaya pencegahan terjadinya Fraud, kebijakan know
your employee merupakan upaya pengendalian dari aspek
SDM. Kebijakan know your employee yang dimiliki Bank
paling kurang mencakup:
1) sistem dan prosedur rekruitmen yang efektif. Melalui
sistem ini diharapkan dapat diperoleh gambaran mengenai
rekam jejak calon karyawan (pre employee screening)
secara lengkap dan akurat;
2) sistem seleksi yang dilengkapi kualifikasi yang tepat
dengan mempertimbangkan risiko, serta ditetapkan secara
obyektif
dan
menjangkau
transparan.
pelaksanaan
Sistem
promosi
tersebut
maupun
harus
mutasi,
termasuk penempatan pada posisi yang memiliki risiko
tinggi terhadap Fraud; dan
3) kebijakan “mengenali karyawan” (know your employee)
antara
lain
mencakup
pengenalan
dan
pemantauan
karakter, perilaku, dan gaya hidup karyawan.
2. Deteksi
Pilar deteksi memuat perangkat-perangkat yang ditujukan
untuk mengidentifikasikan dan menemukan kejadian Fraud,
yang paling kurang mencakup:
a. Kebijakan dan Mekanisme Whistleblowing
Kebijakan ini ditujukan untuk meningkatkan efektifitas
penerapan
sistem
pengendalian
Fraud
dengan
menitikberatkan pada pengungkapan dari pengaduan.
Kebijakan whistleblowing harus dirumuskan secara jelas,
mudah dimengerti, dan dapat diimplementasikan secara
efektif agar memberikan dorongan serta kesadaran kepada
pegawai dan pejabat Bank untuk melaporkan Fraud yang
8
380
terjadi. Untuk meningkatkan efektifitas penerapan kebijakan
whistleblowing
maka
kebijakan
tersebut
paling
kurang
mencakup:
1) Perlindungan kepada Whistleblower
Bank
harus
memiliki
komitmen
untuk
memberikan
dukungan dan perlindungan kepada setiap pelapor Fraud
serta menjamin kerahasiaan identitas pelapor Fraud dan
laporan Fraud yang disampaikan.
2) Regulasi yang terkait dengan Pengaduan Fraud
Bank
perlu
menyusun
ketentuan
internal
terkait
pengaduan Fraud dengan mengacu pada ketentuan dan
perundang-undangan yang berlaku.
3) Sistem Pelaporan dan Mekanisme Tindak Lanjut Laporan
Fraud
Bank perlu menyusun sistem pelaporan Fraud yang efektif
yang memuat kejelasan proses pelaporan, antara lain
mengenai tata cara pelaporan, sarana, dan pihak yang
bertanggung jawab untuk menangani pelaporan. Sistem
pelaporan harus didukung dengan adanya kejelasan
mekanisme tindak lanjut terhadap kejadian Fraud yang
dilaporkan.
Kebijakan tersebut wajib ditransparankan dan diterapkan
secara konsisten agar dapat menimbulkan kepercayaan
seluruh
karyawan
Bank
terhadap
kehandalan
dan
kerahasiaan mekanisme whisleblowing.
b. Surprise Audit
Kebijakan dan mekanisme surprise audit perlu dilakukan
terutama pada unit bisnis yang berisiko tinggi atau rawan
terhadap terjadinya Fraud. Pelaksanaan surprise audit dapat
9
381
meningkatkan kewaspadaan karyawan dalam melaksanakan
tugasnya.
c. Surveillance System
Surveillance system merupakan suatu tindakan pengujian
atau pemeriksaan yang dilakukan tanpa diketahui atau
disadari oleh pihak yang diuji atau diperiksa dalam rangka
memantau dan menguji efektifitas kebijakan anti Fraud.
Surveillance system dapat dilakukan oleh pihak independen
dan/atau pihak internal Bank.
3. Investigasi, Pelaporan, dan Sanksi
Pilar investigasi, pelaporan, dan sanksi memuat perangkatperangkat yang ditujukan untuk menggali informasi, sistem
pelaporan termasuk pengenaan sanksi atas kejadian Fraud,
yang paling kurang mencakup:
a. Investigasi
Investigasi dilakukan untuk mengumpulkan bukti-bukti yang
terkait dengan kejadian yang patut diduga merupakan
tindakan Fraud.
Investigasi
merupakan
bagian
penting
dalam
sistem
pengendalian Fraud yang memberikan pesan kepada setiap
pihak terkait bahwa setiap indikasi tindakan Fraud yang
terdeteksi akan selalu diproses sesuai standar investigasi
yang berlaku dan pelakunya akan diproses sesuai ketentuan
yang berlaku.
Standar
investigasi
yang
dimiliki
Bank
paling
kurang
mencakup:
1) penentuan
pihak
investigasi
dengan
yang
berwenang
memperhatikan
melaksanakan
independensi
dan
kompetensi yang dibutuhkan; dan
10
382
2) mekanisme
pelaksanaan
investigasi
dalam
rangka
menindaklanjuti hasil deteksi dengan tetap menjaga
kerahasiaan informasi yang diperoleh.
b. Pelaporan
Bank wajib memiliki mekanisme pelaporan yang efektif atas
pelaksanaan investigasi dan kejadian Fraud yang ditemukan.
Mekanisme pelaporan tersebut mencakup pelaporan secara
internal kepada pihak manajemen Bank maupun kepada
Bank Indonesia.
c. Pengenaan Sanksi
Bank wajib memiliki kebijakan pengenaan sanksi secara
internal yang efektif dalam rangka menindaklanjuti hasil
investigasi agar menimbulkan efek jera bagi para pelaku
Fraud. Kebijakan ini paling kurang memuat hal-hal berikut:
1) mekanisme pengenaan sanksi; dan
2) pihak yang berwenang mengenakan sanksi.
Kebijakan
pengenaan
sanksi
harus
diterapkan
secara
transparan dan konsisten.
4. Pemantauan, Evaluasi, dan Tindak Lanjut
Pilar
pemantauan,
evaluasi,
dan
tindak
lanjut
memuat
perangkat-perangkat yang ditujukan untuk memantau dan
mengevaluasi
diperlukan
kejadian
berdasarkan
Fraud
hasil
serta
tindak
evaluasi,
lanjut
paling
yang
kurang
mencakup:
a. Pemantauan
Salah satu langkah penting dalam mengimplementasikan
sistem pengendalian Fraud adalah memantau tindak lanjut
yang dilakukan terhadap kejadian-kejadian Fraud, baik
sesuai ketentuan
internal Bank maupun sesuai dengan
ketentuan dan peraturan perundang-undangan yang berlaku.
11
383
b. Evaluasi
Untuk
mendukung
pelaksanaan
evaluasi,
Bank
perlu
memelihara data kejadian Fraud (Fraud profiling). Data
kejadian tersebut dapat digunakan sebagai alat bantu
evaluasi. Data
kejadian Fraud
tersebut, paling kurang
mencakup data dan informasi sebagaimana tercakup dalam
Lampiran 2.
Berdasarkan data kejadian Fraud dan hasil evaluasi tersebut
dapat diidentifikasi kelemahan dan penyebab terjadinya
Fraud serta ditentukan langkah-langkah perbaikan yang
diperlukan,
termasuk
memperkuat
sistem
pengendalian
intern. Evaluasi menyeluruh terhadap sistem pengendalian
Fraud perlu dilakukan secara berkala.
c. Tindak lanjut
Bank wajib memiliki mekanisme tindak lanjut berdasarkan
hasil evaluasi atas kejadian Fraud untuk memperbaiki
kelemahan-kelemahan dan memperkuat sistem pengendalian
intern agar dapat mencegah terulangnya kembali Fraud
karena kelemahan yang serupa.
DEPUTI GUBERNUR BANK INDONESIA
MULIAMAN D. HADAD
12
384
Lampiran 18
385
Surat Edaran Bank Indonesia Nomor 13/28/DPNP tanggal 9 Desember 2011
PT BANK ………
LAPORAN PENERAPAN STRATEGI ANTI FRAUD
SEMESTER I/II*) – TAHUN ……
I.
Perkembangan Pelaksanaan Penerapan Strategi Anti Fraud a)
…………………………………………………………………………………………………………………………………………………………………………….…
…………………………………………………………………………………………………………………………………………………….……………………….…
II. Inventarisasi Kejadian Fraud dan Tindak Lanjut
Kejadian Fraud
Jenis
Fraudb)
(1)
Tanggal
terjadi
nya
Fraud
(2)
Divisi/
Bagian
terjadinya
Fraud
(3)
Tindak Lanjut
Pihak
yang
terlibatc)
Jabatan
(4)
(5)
Kerugian
(jutaan
rupiah)
(6)
d)
Tindakan
Bank e)
(7)
Kelemahan
/penyebab
terjadinya
Fraud f)
(8)
Tindak lanjut/
perbaikan g)
(9)
.............,.................................
(ttd)
(.................................)
*)
dicoret salah satu
1
386
PENJELASAN UNTUK PENGISIAN LAPORAN
a) Menjelaskan secara singkat mengenai hasil evaluasi dan langkah-langkah tindak lanjut penerapan strategi anti
Fraud pada periode laporan.
b) Jenis Fraud antara lain, kecurangan, penipuan, penggelapan aset, pembocoran informasi, tindak pidana bank,
atau lainnya.
c) Pihak yang terlibat meliputi seluruh pihak yang diindikasikan terlibat/ikut serta dalam Fraud. Jika pihak yang
terlibat lebih dari 1 (satu) orang, dijelaskan peran masing-masing pihak.
d) Kerugian diisi dengan kerugian yang telah terjadi ataupun perkiraan kerugian.
e) Tindakan Bank merupakan respon Bank atas kejadian Fraud baik berupa tindakan kepada pelaku, pihak yang
dirugikan ataupun tindakan lainnya. Tindakan kepada pelaku Fraud antara lain berupa sanksi administratif
kepegawaian dan/atau kewajiban ganti rugi. Tindakan kepada pihak yang dirugikan antara lain berupa
penggantian kerugian dan/atau upaya pemulihan nama baik. Tindakan lain misalnya laporan kepada pihak yang
berwenang dan/atau upaya hukum yang dilakukan.
f) Kelemahan/penyebab terjadinya Fraud merupakan identifikasi kelemahan pada Bank yang menimbulkan Fraud,
dapat berupa kelemahan kebijakan, sistem dan prosedur, atau sumber daya manusia, maupun penyebab lainnya
yang tidak berasal dari Bank.
g) Tindak lanjut/perbaikan merupakan upaya yang telah atau akan dilakukan Bank terkait kelemahan yang
menimbulkan Fraud.
DEPUTI GUBERNUR BANK INDONESIA,
MULIAMAN D. HADAD
2
387
Lampiran 19
388
Surat Edaran bank Indonesia Nomor 13/29/DPNP Tahun 2011
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
I.
LATAR BELAKANG
1.
berkembangnya
Semakin
inovasi
layanan
Bank
dalam
menyediakan produk dan/atau aktivitas yang disesuaikan
dengan
kebutuhan nasabahnya
mendorong adanya
suatu
segmen nasabah tertentu yang menginginkan Bank dapat
memberikan layanan perbankan secara lebih personal dan
mendapatkan tambahan layanan keistimewaan tertentu.
2.
Selama ini upaya Bank untuk memenuhi kebutuhan Nasabah
Prima
berpotensi
khususnya
risiko
meningkatkan
operasional,
profil
risiko
risiko
perbankan,
hukum,
dan
risiko
reputasi. Sehubungan dengan hal tersebut, telah diatur secara
bank-wide antara lain mengenai penerapan manajemen risiko,
anti pencucian uang dan pencegahan pendanaan teroris, serta
transparansi informasi produk Bank dan penggunaan data
pribadi nasabah sebagai acuan standar minimal bagi Bank
dalam memberikan layanan kepada nasabahnya.
3.
Mengingat potensi risiko LNP sebagaimana dikemukakan di
atas, maka atas layanan tersebut dipandang perlu untuk
merumuskan
suatu
standar
minimal
sebagai
pedoman
penyusunan kebijakan dan penerapan manajemen risiko pada
aspek
tertentu.
Standar
minimal
dimaksud
antara
lain
didasarkan pada ketentuan Bank Indonesia yang mengatur
mengenai penerapan manajemen risiko, serta memperhatikan
pengaturan mengenai anti pencucian uang dan pencegahan
pendanaan teroris, serta transparansi informasi produk bank
dan penggunaan data pribadi nasabah.
II.
KEBIJAKAN LAYANAN NASABAH PRIMA
Bank wajib memiliki kebijakan LNP, yang paling kurang mencakup
hal-hal sebagai berikut:
1
389
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
1.
Persyaratan Nasabah Prima
Dalam melaksanakan LNP, Bank menetapkan persyaratan
tertentu bagi nasabah yang harus dipenuhi untuk dapat
diperlakukan sebagai Nasabah Prima, paling kurang:
a.
rata-rata jumlah minimum dana nasabah yang harus
mengendap di Bank dalam periode tertentu, termasuk dana
yang telah diinvestasikan pada produk yang dipasarkan
Bank;
b.
telah melalui proses Enhanced Due Diligence (EDD); dan
c.
atas dasar pengajuan/permohonan dari nasabah.
Sehubungan dengan EDD, pelaksanaannya mengacu kepada
ketentuan Bank Indonesia mengenai penerapan program APU
dan PPT. Implementasi EDD dalam LNP misalnya pengaturan
mengenai
pejabat yang berwenang memberikan persetujuan
atas hubungan usaha dengan calon Nasabah Prima adalah
pejabat senior.
2.
Ruang lingkup produk dan/atau aktivitas Bank
Ruang lingkup kebijakan LNP mencakup produk dan/atau
aktivitas
yang
ditawarkan
Bank
dalam
LNP
dengan
memperhatikan peraturan perundang-undangan yang mengatur
mengenai produk dan/atau aktivitas Bank.
a.
Produk dan/atau aktivitas
Produk dan/atau aktivitas yang dapat ditawarkan dalam
LNP mencakup:
1)
produk dan/atau aktivitas tradisional perbankan yang
memiliki
fitur
dasar
sesuai
karakteristik
produk
dan/atau aktivitas tersebut, seperti giro, tabungan,
deposito,
sertifikat
deposito,
kredit/pembiayaan,
produk derivatif yang bersifat plain vanilla, bank
garansi, dan trade finance;
2
390
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
2)
produk dan/atau aktivitas non tradisional perbankan
seperti Structured Product dan produk keuangan non
Bank seperti Reksa Dana dan Bancassurance.
b.
Pemenuhan terhadap ketentuan
Produk
dan/atau
aktivitas
yang
ditawarkan
telah
memenuhi kriteria:
1)
telah memenuhi dan/atau tidak bertentangan dengan
peraturan perundang-undangan yang diterbitkan oleh
Bank Indonesia dan otoritas lain yang terkait dengan
penawaran produk dan/atau aktivitas oleh Bank.
Contoh:
a)
Surat
Edaran
Bank
Indonesia
mengenai
penerapan manajemen risiko pada bank yang
melakukan aktivitas berkaitan dengan Reksa
Dana.
b)
Peraturan Bank Indonesia mengenai pembelian
dan transaksi valuta asing terhadap Rupiah.
c)
Peraturan
Bapepam
mengenai
Pedoman
Pengelolaan Portofolio Efek untuk Kepentingan
Nasabah
secara
Individual
Manajer
Investasi
yang
menggunakan
melarang
agen
untuk
menawarkan aktivitas tersebut.
2)
telah mendapat surat penegasan atau persetujuan dari
Bank Indonesia dengan mengacu kepada ketentuan
Bank Indonesia mengenai pelaporan produk atau
aktivitas baru, dan ketentuan lainnya terkait produk
dan/atau
aktivitas,
seperti
ketentuan
mengenai
bancassurance dan structured product.
Contoh:
Surat penegasan Bank Indonesia atas laporan rencana
3
391
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
penjualan efek Reksa Dana yang disampaikan Bank
dengan menyertakan surat pernyataan efektif untuk
produk Reksa Dana dari Bapepam dan LK.
c.
Telah memiliki mekanisme kerja sama dengan perusahaan
mitra
Dalam hal Bank bekerja sama dengan perusahaan mitra
dalam rangka pemasaran produk-produk non Bank, maka
Bank
perlu
memiliki
mekanisme
kerja
sama
untuk
memastikan bahwa perusahaan mitra memenuhi syarat
menjadi mitra kerja baik sebelum maupun selama kerja
sama
dilakukan.
Mekanisme
tersebut
paling
kurang
memenuhi prinsip-prinsip sebagai berikut :
1)
prinsip
kehati-hatian
dan
penerapan
manajemen
risiko sebagaimana diatur dalam peraturan terkait
produk keuangan non Bank yang ditawarkan melalui
Bank;
2)
prinsip hubungan kerja sama yang wajar (arm’s length
principle) khususnya jika mitra merupakan pihak
terkait dengan Bank; dan
3)
prinsip perlindungan nasabah antara lain diperlukan
dalam menentukan tindak lanjut atas kondisi kinerja
mitra yang memburuk.
d.
Telah mempertimbangkan risiko dari produk dan/atau
aktivitas yang ditawarkan dengan menghindari potensi
risiko yang tidak terbatas, seperti tidak memberikan
fasilitas kartu kredit tanpa limit dan produk tanpa jangka
waktu.
3.
Cakupan keistimewaan LNP
Pemberian keistimewaan dalam LNP harus melalui penetapan
Bank terlebih dahulu. Penetapan tersebut memuat antara lain:
4
392
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
a.
keistimewaan yang dapat diberikan;
b.
waktu pemberian (jangka waktu tertentu atau sewaktuwaktu atau selamanya);
c.
kriteria yang harus dipenuhi nasabah untuk mendapatkan
keistimewaan seperti syarat maupun kondisi dan situasi
yang dihadapi, profil Nasabah Prima, pengelompokan
Nasabah Prima dan lain-lain.
Contoh keistimewaan layanan yang terkait dengan transaksi
keuangan antara lain:
a.
layanan
personal
penghubung
dari
petugas
(relationship
Bank
manager)
yang
antara
menjadi
Bank
dan
Nasabah Prima tertentu;
b.
pick up service;
c.
tarif dan perlakuan spesial atas beberapa layanan seperti
produk tresuri, fund transfer, bill paying services, ATM,
internet
banking,
safe
deposit
box,
emergency
cash,
dan/atau kredit/pembiayaan (termasuk kartu kredit).
Contoh keistimewaan layanan non keuangan antara lain
membership golf, executive lounge dan/atau antar jemput
bandara.
4.
Nama layanan dan pengelompokan Nasabah Prima
Dalam rangka membedakan layanan prima untuk Nasabah
Prima dengan nasabah lainnya secara umum, Bank harus
menetapkan nama tersendiri (brand name) untuk LNP. Selain
itu, dalam hal Bank melakukan pengelompokan Nasabah Prima
ke dalam beberapa kelompok, maka untuk masing-masing
kelompok Bank menetapkan antara lain nama kelompok,
persyaratan Nasabah Prima, dan cakupan layanan produk
dan/atau aktivitas.
5
393
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
Contoh:
Dalam hal Bank memiliki tiga kelompok Nasabah Prima, maka
Bank menetapkan:
a.
penggunaan nama yang berbeda untuk masing-masing
kelompok,
misalnya
kelompok
A,
kelompok
B,
dan
kelompok C.
b.
batas minimum dan maksimum total simpanan pada
dan/atau pinjaman dari Bank, dan/atau nilai produk
keuangan non Bank yang dibeli melalui Bank secara
bertingkat,
misalnya
untuk
menjadi
Nasabah
Prima
kelompok A paling sedikit Rp500.000.000,00 (lima ratus
juta
rupiah),
kelompok
B
paling
sedikit
Rp1.000.000.000,00 (satu milyar rupiah), dan kelompok C
paling sedikit Rp5.000.000.000,00 (lima milyar rupiah)
atau ekuivalennya dalam valuta asing.
III. MANAJEMEN RISIKO PADA ASPEK-ASPEK TERTENTU
Dalam melakukan LNP, selain menerapkan manajemen risiko secara
umum
sebagaimana
diatur
dalam
ketentuan
Bank
Indonesia
mengenai manajemen risiko, Bank harus menerapkan manajemen
risiko pada aspek-aspek tertentu sebagai berikut:
1.
Aspek Pendukung Keistimewaan Layanan
Penerapan
manajemen
risiko
dalam
rangka
pemberian
keistimewaan LNP, paling kurang mencakup:
a.
Sumber Daya Manusia (SDM)
Dalam rangka meminimalisasi risiko operasional LNP yang
berasal
dari
faktor
manusia,
diperlukan
pemenuhan
sumber daya manusia yang memadai, baik dari sisi
kualitas maupun kuantitas sesuai dengan karakteristik
dan
kompleksitas
produk
dan/atau
aktivitas
yang
6
394
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
ditawarkan dalam LNP. Untuk itu Bank harus menetapkan
paling kurang:
1)
Persyaratan dan kualifikasi jabatan tertentu
SDM dalam LNP wajib memenuhi persyaratan dan
kualifikasi, baik yang secara umum berlaku di Bank
maupun
yang
aktivitas
dalam
spesifik
terkait
LNP
secara
produk
dan/atau
memadai.
Contoh
kualifikasi dan persyaratan antara lain :
a)
Memiliki izin sebagai Wakil Agen Penjual Efek
Reksa Dana (WAPERD) untuk dapat memasarkan
produk Reksa Dana;
b)
Memahami dan mampu menjelaskan produk atau
jasa yang ditawarkan dalam LNP dengan baik.
2)
Wewenang dan tanggung jawab yang jelas
Dalam
rangka
memiliki
mendukung
struktur
organisasi
proses
kerja,
yang
Bank
mendukung
efektivitas pengendalian intern. Struktur organisasi
yang demikian memuat kejelasan tugas yang terkait
dengan wewenang dan tanggung jawab SDM dalam
LNP, tata cara pelaporan dan penugasan ke dan dari
atasan (line of command), dan evaluasi unit bisnis,
yang
memungkinkan
diterapkannya
pengawasan
melekat secara berjenjang.
3)
Penerapan prinsip Know Your Employee (KYE)
Dalam
rangka
pencegahan/pendeteksian
pengendalian
dan
fraud,
KYE
prinsip
diterapkan melalui mekanisme antara lain:
a)
Prosedur penyaringan (screening) pegawai baru
pada LNP;
b)
Pemantauan profil pegawai secara berkala.
7
395
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
4)
Sistem remunerasi
Bank menetapkan sistem remunerasi yang jelas dan
transparan.
Misalnya
dalam
rangka
menetapkan
formulasi struktur insentif, selain mempertimbangkan
pencapaian target finansial, Bank juga memperhatikan
kualitas layanan.
5)
Kebijakan pengendalian risiko yang terkait dengan
manajemen SDM
Pengendalian risiko yang terkait dengan sistem dan
proses di bidang manajemen SDM dilakukan antara
lain
dengan
peningkatan
menetapkan
kompetensi
kode
dan
etik
pegawai,
integritas
SDM,
pengaturan dan pengawasan internal yang memadai
pada proses rekrutmen, rotasi, mutasi, promosi, dan
cuti.
6)
Kebijakan evaluasi secara berkala
Dalam
rangka
menilai
tingkat
kecukupan
dan
konsistensi penerapan kebijakan dan prosedur di
bidang SDM, Bank harus melakukan evaluasi secara
berkala.
b.
Operasional LNP
Dalam rangka melaksanakan kebijakan LNP yang telah
ditetapkan, maka diperlukan adanya prosedur tertulis
operasional LNP yang telah mempertimbangkan hasil
proses
identifikasi,
pengukuran,
pemantauan,
dan
pengendalian risiko serta sistem informasi manajemen
risiko. Prosedur operasional LNP meliputi setiap produk
dan/atau aktivitas yang ditawarkan dalam LNP. Penetapan
prosedur khusus pada LNP harus memenuhi ketentuan
yang mengatur mengenai penerapan manajemen risiko
8
396
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
terutama aspek pengendalian internal dan ketentuan yang
mengatur mengenai APU dan PPT.
Penyusunan
prosedur
operasional
LNP
perlu
memperhatikan:
1)
kebijakan, prosedur dan penetapan limit yang berlaku
untuk setiap produk dan/atau aktivitas Bank.
2)
terciptanya pengendalian intern yang efektif, antara
lain dengan menerapkan prinsip pemisahan tugas
(segregation of duties). Dalam hal ini, perlu dihindari
pendelegasian wewenang dan tanggung jawab yang
menimbulkan
benturan
kepentingan
(conflict
of
interest).
Contoh pemisahan tugas antara lain :
a)
suatu pekerjaan yang dilakukan oleh unit yang
berhubungan langsung dengan nasabah tidak
boleh
dilakukan
oleh
unit
yang
memproses
transaksi dan konfirmasi; dan
b)
suatu pekerjaan yang dilakukan oleh unit yang
menyampaikan laporan berkala kepada nasabah
dan menatausahakan bukti penyampaian
tidak
boleh dilakukan oleh unit yang berhubungan
langsung dengan nasabah.
3)
seluruh keistimewaan atau perlakuan khusus dari
penyediaan produk dan/atau aktivitas dalam LNP.
4)
kriteria yang harus dipenuhi oleh Nasabah Prima yang
mendapat layanan khusus seperti syarat maupun
kondisi dan situasi yang dihadapi, profil Nasabah
Prima, pengelompokan Nasabah Prima, dan lain-lain.
Pelaksanaan
prosedur
operasional
LNP
perlu
memperhatikan:
1)
program APU dan PPT mengingat LNP merupakan
9
397
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
salah satu area berisiko tinggi untuk digunakan
sebagai sarana pencucian uang.
Penerapan Bank atas ketentuan APU dan PPT antara
lain dengan melakukan Enhanced Due Diligence (EDD)
secara berkala atas Nasabah Prima dan transaksi
tertentu,
penanganan
red
flags,
dan
melakukan
analisis atas transaksi yang berpotensi mencurigakan.
2)
efektivitas kebijakan dan prosedur LNP.
Dalam
rangka
memastikan
efektivitas
prosedur
operasional LNP tersebut perlu didukung:
a)
pengendalian internal yang memadai, antara lain
dengan metode seperti surprise audit dan mystery
shopping secara berkala; dan
b)
evaluasi terhadap kepatuhan atas ketentuan yang
berlaku dan perkembangan kegiatan LNP.
3)
hasil pemantauan dan koreksi penyimpangan.
Hasil pemantauan dan koreksi penyimpangan antara
lain diperoleh dengan melakukan:
a)
pemantauan secara terus menerus termasuk
diantaranya pemeriksaan oleh internal control
mengenai kebenaran pemrosesan setiap transaksi
di akhir hari;
b)
pelaksanaan fungsi audit intern yang efektif dan
menyeluruh; dan
c)
perbaikan terhadap penyimpangan baik yang
diidentifikasi
oleh
satuan
kerja
operasional,
satuan kerja audit intern, maupun pihak lainnya.
c.
Penawaran produk dan/atau aktivitas
Dalam menawarkan produk dan/atau aktivitas kepada
masing-masing Nasabah Prima, selain memastikan bahwa
10
398
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
surat
izin/penegasan telah diperoleh untuk produk non
tradisional, Bank juga mempertimbangkan kesesuaian
spesifikasi, karakteristik, dan risiko dari produk dan/atau
aktivitas yang ditawarkan dengan karakteristik dan profil
risiko Nasabah Prima tersebut. Sebelum ditawarkan kepada
Nasabah
Prima,
produk
dan/atau
aktivitas
dan
keistimewaan layanan tersebut harus melalui persetujuan
pejabat yang berwenang pada LNP yang ditetapkan Bank.
Penawaran produk dan/atau aktivitas dilakukan melalui
proses sebagai berikut:
1)
Penyeleksian produk dan/atau aktivitas
Bank melakukan identifikasi kesesuaian spesifikasi
produk dan/atau aktivitas dengan jenis dan besar
potensi risiko sesuai profil risiko nasabah. Analisa
kesesuaian spesifikasi produk yang akan ditawarkan
dengan risiko yang dapat ditoleransi oleh nasabah
mencakup
antara
lain
kesesuaian
jangka
waktu
(durasi) dan jenis serta besarnya risiko.
Contoh:
a) Terkait jangka waktu produk, nasabah yang ingin
dapat
menarik/mencairkan
dana
investasinya
sewaktu-waktu sebaiknya tidak ditawarkan produk
yang memiliki jangka waktu panjang.
b) Terkait risiko produk dan risk appetite Nasabah
Prima, Bank sebaiknya tidak mereferensikan unit
link yang ditanamkan pada surat berharga yang
memiliki underlying berupa saham kepada Nasabah
Prima yang termasuk kategori risk averse atau risk
avoider, karena unit link seperti ini termasuk high
risk product.
11
399
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
2)
Penetapan tarif dan perlakuan khusus untuk setiap
kelompok Nasabah Prima.
Pemberlakuan tarif istimewa dan perlakuan khusus
atas produk dan/atau aktivitas tertentu dapat berbeda
di antara masing-masing kelompok Nasabah Prima
berdasarkan penetapan oleh Bank. Penerapannya
harus
disesuaikan
dengan
masing-masing
profil
Nasabah Prima.
Contoh:
a)
Dasar pemberlakuan special rate yang berbedabeda untuk layanan penukaran uang valuta asing
dengan
tarif
kelompok
khusus,
Nasabah
selain
Prima,
juga
berdasarkan
berdasarkan
volume dan frekuensi transaksi yang dilakukan
nasabah, dan bisnis nasabah yang mendasari
diperlukannya penukaran uang valas tersebut.
b)
3)
Keringanan biaya transaksi, provisi dan komisi.
Penetapan kondisi/syarat untuk layanan istimewa
Bank harus menetapkan syarat untuk setiap layanan
istimewa. Apabila persyaratan tersebut dapat dipenuhi
oleh
Nasabah
Prima
yang
meminta
tambahan
kenyamanan dan/atau kelancaran transaksi, maka
Nasabah Prima tersebut dapat menikmati layanan
istimewa.
Contoh kondisi/syarat yang harus ditetapkan oleh
Bank:
a)
pick up service memperhatikan jumlah setoran,
lokasi
penjemputan,
dan/atau
klasifikasi
Nasabah Prima tertentu; dan
b)
emergency
cash
memperhatikan
kebutuhan
Nasabah Prima dalam kondisi darurat di luar
12
400
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
wilayah Indonesia atau kondisi khusus lainnya
yang ditetapkan oleh Bank.
4)
Evaluasi kesesuaian cakupan LNP
Dalam rangka memaksimalkan penggunaan layanan
yang
tersedia
penerapan
bagi
setiap
manajemen
klasifikasi
risiko,
LNP
Bank
dan
melakukan
evaluasi secara berkala atas kesesuaian cakupan
layanan yang diberikan kepada setiap Nasabah Prima.
Tujuan evaluasi ini antara lain untuk meninjau status
nasabah sebagai Nasabah Prima dan kesesuaian profil
Nasabah Prima dengan produk dan/aktivitas yang
telah diperolehnya maupun yang akan ditawarkan
Bank kepada Nasabah Prima.
Evaluasi paling kurang mencakup hal-hal sebagai
berikut:
a)
portofolio
simpanan/investasi
dan
pinjaman
nasabah di/dari Bank atau yang dibeli melalui
Bank;
b)
tujuan, pengalaman dan kemampuan menyerap
kerugian investasi; dan
c)
d.
preferensi, persepsi dan toleransi terhadap risiko.
Teknologi informasi
Dalam
rangka
informasi,
memastikan
perlindungan
kerahasiaan
data
pengelolaan
risiko
Bank,
Bank
terpenuhinya
data
dan
kebutuhan
nasabah,
terjaminnya
untuk
mendukung
diperlukan
sistem
teknologi
informasi dan pengamanan informasi yang memadai.
Dukungan
teknologi
informasi
tersebut
antara
lain
tercermin dari kemampuan sistem teknologi informasi
menghasilkan laporan yang akurat dan komprehensif
13
401
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
dalam aktivitas LNP.
Contoh:
1)
laporan sistem informasi manajemen risiko yang
dilaporkan
secara
berkala
kepada
Direksi,
perlu
memenuhi paling kurang mengenai:
a)
eksposur risiko LNP;
b)
kepatuhan
terhadap
kebijakan
dan
prosedur
serta penetapan limit;
c)
realisasi
pelaksanaan
Manajemen
Risiko
dibandingkan dengan target yang ditetapkan;
d)
pemantauan perkembangan informasi dan data
terkait LNP dilakukan secara bulanan, antara lain
meliputi jumlah nasabah, volume produk yang
dijual, kantor yang memberikan layanan, dan
informasi terkait lainnya.
2)
teknologi informasi mampu mengolah informasi dan
data secara terintegrasi sehingga seluruh aktivitas
keuangan
Nasabah
Prima
yang
dilakukan
pada
dan/atau melalui Bank dapat tersajikan secara tepat
waktu dan akurat.
Contoh terintegrasinya data/informasi:
1)
tersedianya data keuangan Nasabah Prima terkait
simpanan,
pinjaman,
dan
produk
keuangan
lainnya yang dibeli Nasabah Prima baik yang
diterbitkan oleh Bank maupun non Bank;
2)
pemberian tanda/indikator khusus bagi rekening
Nasabah
Prima
yang
dapat
memperlancar
penyediaan layanan keistimewaan bagi Nasabah
Prima; dan/atau
3)
penggunaan
sistem
aplikasi
yang
dapat
14
402
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
menyimpan
spesimen
tanda-tangan
Nasabah
Prima.
2.
Aspek transparansi, edukasi dan perlindungan nasabah
Dalam melaksanakan LNP dan sebagai bagian dari upaya
pemenuhan aspek transparansi, edukasi dan perlindungan
nasabah baik yang diatur oleh Bank Indonesia maupun otoritas
lainnya, Bank melakukan hal-hal sebagai berikut:
a.
Memberikan penjelasan mengenai spesifikasi LNP
1)
Bank harus menjelaskan secara tertulis dan lisan
mengenai nama/brand name dari LNP, masing-masing
kelompok Nasabah Prima dalam LNP dan kriterianya
(apabila ada), cakupan layanan produk dan/atau
aktivitas yang tersedia untuk ditawarkan kepada
Nasabah
Prima.
Untuk
itu,
hal-hal
yang
perlu
dijelaskan antara lain:
a)
spesifikasi dan karakteristik produk dan/atau
aktivitas;
b)
keistimewaan
yang
dapat
diperoleh
sebagai
Nasabah Prima; dan
c)
risiko, tanggung jawab, hak, dan kewajiban baik
untuk pihak Bank maupun Nasabah Prima.
2)
dalam hal produk dan/atau aktivitas yang ditawarkan
bukan
produk
dan/atau
aktivitas
Bank
yang
bersangkutan, maka Bank wajib:
a)
menjelaskan bahwa tanggung jawab atas produk
dan aktivitas non Bank yang ditawarkan oleh
atau melalui Bank bukan berada pada Bank; dan
b)
menjelaskan
produk
kepada
dan/atau
memperoleh
surat
Nasabah
aktivitas
Prima
tersebut
penegasan
bahwa
telah
dan/atau
15
403
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
persetujuan dari Bank Indonesia dan otoritas
terkait.
3)
pemberian
informasi
mengenai
produk
dan/atau
aktivitas tidak dapat melebihi kewenangan/izin yang
dimiliki Bank.
4)
pemberian
informasi
mengenai
produk
dan/atau
aktivitas tidak dapat menggunakan pengaruh atau
tekanan untuk kepentingan Bank, grup Bank atau
pegawai Bank.
5)
tidak
memberikan
informasi
yang
menyesatkan
(misleading) dan/atau yang tidak sesuai dengan norma
yang berlaku (misconduct) mengenai produk dan/atau
aktivitas yang ditawarkan.
b.
Memastikan
kejelasan
hubungan
antara
Bank
dan
Nasabah Prima
Hubungan antara Bank dan Nasabah Prima dalam LNP
harus didasarkan pada kesepakatan tertulis yang paling
kurang memuat:
1)
hak dan kewajiban Bank dan Nasabah Prima
a)
contoh hak Bank:
(1)
mengevaluasi status Nasabah Prima secara
berkala;
(2)
meminta
data
pendukung
terkait
profil
nasabah dan transaksi yang dilakukan oleh
nasabah.
b)
contoh kewajiban Bank:
(1)
memperoleh
Nasabah
persetujuan
Prima
memberikan
dalam
dan/atau
hal
tertulis
dari
Bank
akan
menyebarluaskan
Data Pribadi Nasabah kepada pihak lain
16
404
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
untuk tujuan komersial kecuali ditetapkan
lain oleh peraturan perundang-undangan;
(2)
segera
Prima
memberitahukan
kepada
Nasabah
jika terdapat perubahan standar
prosedur operasi yang harus dan/atau dapat
diikuti Nasabah Prima dalam bertransaksi
melalui
Bank.
perubahan
dimaksud
Informasi
standar
harus
mengenai
prosedur
operasi
disampaikan
sebelum
diberlakukan secara efektif dalam waktu
yang cukup kepada Nasabah Prima.
c)
contoh hak Nasabah Prima:
(1)
memperoleh informasi mengenai aktivitas
keuangannya setiap saat diperlukan;
(2)
memperoleh
konfirmasi
dan
notifikasi
transaksi dengan metode dan besaran sesuai
yang disepakati dengan bank.
d)
contoh kewajiban Nasabah Prima:
(1)
memenuhi persyaratan yang ditetapkan bank
untuk melakukan suatu transaksi keuangan
tertentu
sesuai
dengan
ketentuan
yang
berlaku.
(2)
memberikan persetujuan kepada mitra bank
untuk
memberikan
data
terkait
produk
keuangan non bank yang ditransaksikan
Nasabah Prima dengan mitra Bank melalui
Bank dalam rangka penyampaian informasi
berkala yang komprehensif.
2)
Penyelesaian perselisihan
Untuk mengantisipasi perselisihan antara Bank dan
17
405
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
Nasabah Prima, dalam hubungan hukum antara Bank
dan Nasabah Prima perlu dicantumkan tata cara
penyelesaian perselisihan.
3)
Hal-hal lain yang memerlukan kesepakatan bersama
antara Bank dan Nasabah Prima, antara lain :
a)
periodisasi
maupun
media
penyampaian
informasi atas laporan berkala kepada Nasabah
Prima sesuai kesepakatan, seperti melalui surat,
e-mail, atau diambil sendiri secara langsung oleh
Nasabah Prima;
b)
batasan penggunaan layanan keistimewaan yang
diberikan Bank untuk Nasabah Prima, apakah
hanya untuk digunakan oleh nasabah atau dapat
diberikan kepada atau dinikmati oleh anggota
keluarga atau perusahaan nasabah;
c)
tata cara konfirmasi dan/atau notifikasi transaksi
termasuk batasan nilai transaksi yang harus
dikonfirmasi dan/atau notifikasi;
d)
pihak yang harus dihubungi apabila terdapat
situasi darurat pada nasabah.
c.
Memastikan kewenangan pelaku transaksi
Bank harus memiliki suatu mekanisme untuk memastikan
bahwa transaksi benar dilakukan oleh Nasabah Prima yang
bersangkutan atau kuasa yang mewakili Nasabah Prima
tersebut. Hal tersebut dapat dilakukan antara lain dengan:
1)
menggunakan metode verifikasi transaksi, misalnya
melalui konfirmasi sebelum transaksi diproses (ex
ante) dan notifikasi setelah transaksi diproses (ex
post), sesuai dengan kesepakatan antara Bank dan
Nasabah Prima;
18
406
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
2)
menggunakan batasan besarnya nilai transaksi yang
harus dikonfirmasi oleh Bank kepada Nasabah Prima.
Unsur
yang
dapat
dipertimbangkan
dalam
menentukan batasan tersebut antara lain:
a)
kebijakan back office masing-masing Bank untuk
masing-masing jenis transaksi;
b)
c)
d.
kelompok Nasabah Prima; dan/atau
risk appetite Nasabah Prima.
Menyampaikan informasi berkala
Bank menyampaikan informasi mengenai total dana dan
investasi beserta rinciannya kepada Nasabah Prima secara
terintegrasi dengan metode dan media penyampaian yang
disepakati
Nasabah
Prima.
Informasi
tersebut
paling
kurang mencakup:
1)
laporan
mutasi rekening simpanan (statement of
account);
2)
laporan rekening kredit/pembiayaan /pinjaman; dan
3)
laporan transaksi produk keuangan non Bank.
19
407
Lampiran 20
408
Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
Lampiran 20
Laporan Keuangan Konsolidasi
NERACA
Bank :
Tanggal :
(dalam jutaan rupiah)
No.
POS - POS
BANK
KONSOLIDASI
AKTIVA
1.
Kas
2.
Penempatan pada Bank Indonesia
a. Giro Bank Indonesia
b. Sertifikat Bank Indonesia
3.
c. Lainnya
Giro pada bank lain
a. Rupiah
b. Valuta asing
4.
Penempatan pada bank lain
a. Rupiah
PPA - Penempatan pada bank lain
b. Valuta asing
-/-
PPA - Penempatan pada bank lain -/5.
Surat Berharga yang dimiliki
a. Rupiah
i.
Diperdagangkan
ii. Tersedia untuk dijual
iii. Dimiliki hingga jatuh tempo
PPA - Surat berharga yang dimiliki -/b. Valuta asing
i.
Diperdagangkan
ii. Tersedia untuk dijual
iii. Dimiliki hingga jatuh tempo
PPA - Surat berharga yang dimiliki -/6.
7.
Surat berharga yang dijual dengan janji dibeli kembali
Obligasi Pemerintah
a. Diperdagangkan
b. Tersedia untuk dijual
c. Dimiliki hingga jatuh tempo
8.
Tagihan atas surat berharga yang dibeli dengan
janji dijual kembali (reverse repo )
a. Rupiah
PPA - Reverse Repo -/b. Valuta asing
9.
PPA - Reverse Repo -/Tagihan derivatif
PPA - Tagihan derivatif -/-
10.
Kredit yang diberikan
a. Rupiah
i. Pihak terkait dengan bank
ii. Pihak lain
PPA - Kredit yang diberikan -/b. Valuta asing
i. Pihak terkait dengan bank
ii. Pihak lain
PPA - Kredit yang diberikan -/-
11.
Tagihan akseptasi
PPA - Tagihan akseptasi -/-
12.
Penyertaan
PPA - Penyertaan -/-
13.
Pendapatan yang masih akan diterima
14.
15.
Biaya dibayar dimuka
Uang muka pajak
16.
Aktiva pajak tangguhan
17.
Aktiva tetap
Akumulasi penyusutan aktiva tetap -/-
18.
Properti terbengkalai
PPA - Properti terbengkalai -/-
19.
*)
Aktiva sewa guna
Akumulasi penyusutan aktiva sewa guna -/-
20.
Agunan yang diambil alih
PPA - Agunan yang diambil alih -/-
21.
*)
Aktiva lain-lain
Total Aktiva
409
No.
1.
POS - POS
BANK
KONSOLIDASI
PASIVA
Giro
a. Rupiah
b. Valuta asing
2.
Kewajiban segera lainnya
3.
Tabungan
4.
Simpanan berjangka
a. Rupiah
i. Pihak terkait dengan bank
ii. Pihak lain
b. Valuta asing
i. Pihak terkait dengan bank
ii. Pihak lain
5.
Sertifikat deposito
a. Rupiah
b. Valuta asing
6.
Simpanan dari bank lain
7.
Kewajiban pembelian kembali surat berharga
8.
yang dijual dengan syarat repo
Kewajiban derivatif
9.
Kewajiban akseptasi
10.
Surat berharga yang diterbitkan
a. Rupiah
b. Valuta asing
11.
Pinjaman yang diterima
a. Fas. pendanaan jangka pendek Bank Indonesia
b. Lainnya
i. Rupiah
- Pihak terkait dengan bank
- Pihak lain
ii. Valuta asing
- Pihak terkait dengan bank
- Pihak lain
12.
Estimasi kerugian komitmen & kontinjensi
13.
Kewajiban sewa guna usaha
14.
Beban yang masih harus dibayar
15.
Taksiran pajak penghasilan
16.
Kewajiban pajak tangguhan
17.
Kewajiban lain-lain
18.
Pinjaman subordinasi
a. Pihak terkait dengan bank
b. Pihak lain
19.
Modal Pinjaman
a. Pihak terkait dengan bank
b. Pihak lain
20.
Hak minoritas
21.
Ekuitas
a. Modal disetor
b. Agio (disagio)
c. Modal sumbangan
d. Dana setoran modal
e. Selisih penjabaran laporan keuangan
f. Selisih penilaian kembali aktiva tetap
g. Laba (rugi) yang belum direalisasi dari surat berharga
h. Pendapatan komprehensif lainnya
i. Saldo laba (rugi) tahun lalu
j. Saldo laba (rugi) tahun berjalan
Total Pasiva
410
Lampiran 21
411
Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
Lampiran 21
Laporan Keuangan Konsolidasi
Laporan Laba Rugi
Bank :
Tanggal :
(dalam jutaan rupiah)
No.
POS - POS
BANK
KONSOLIDASI
PENDAPATAN DAN BEBAN OPERASIONAL
1.
Pendapatan bunga
1.1. Hasil bunga
a. Rupiah
b. Valuta asing
1.2. Provisi dan komisi
a. Rupiah
b. Valuta asing
Jumlah Pendapatan Bunga
2.
Beban bunga
2.1. Beban bunga
a. Rupiah
b. Valuta asing
2.2. Komisi dan provisi
Jumlah Beban Bunga
Pendapatan Bunga Bersih
3.
Pendapatan operasional lainnya
3.1. Pendapatan provisi, komisi, fee
3.2. Pendapatan transaksi valuta asing
3.3. Pendapatan kenaikan nilai surat berharga
3.4 Pendapatan lainnya
Jumlah Pendapatan Operasional lainnya
4.
Beban (Pendapatan) Penyisihan Penghapusan Aktiva
5.
Beban (Pendapatan) estimasi kerugian komitmen dan kontinjensi
6.
Beban operasional lainnya
6.1. Beban administrasi dan umum
6.2. Beban personalia
6.3. Beban penurunan nilai surat berharga
6.4. Beban transaksi valas
6.5 Beban promosi
6.6. Beban lainnya
Jumlah Beban Operasional Lainnya
LABA (RUGI) OPERASIONAL
PENDAPATAN DAN BEBAN NON OPERASIONAL
7.
Pendapatan non operasional
8.
Beban non operasional
Pendapatan (Beban) Non Operasional
9.
Pendapatan/Beban Luar Biasa
10. LABA/ RUGI SEBELUM PAJAK PENGHASILAN
11. Taksiran pajak penghasilan -/12. LABA/ RUGI TAHUN BERJALAN
13. Hak minoritas -/14. Saldo laba (rugi) awal tahun
15. Dividen
Lainnya
16. Saldo laba (rugi) akhir Periode
17. Laba bersih per saham *)
412
Lampiran 22
413
Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
Lampiran 22
Laporan Keuangan Konsolidasi
Komitmen dan Kontinjensi
Bank :
Tanggal :
(dalam jutaan rupiah)
No.
POS - POS
BANK
KONSOLIDASI
KOMITMEN
Tagihan Komitmen
1. Fasilitas pinjaman yg diterima dan belum digunakan
a. Rupiah
b. Valuta asing
2. Lainnya
Jumlah Tagihan Komitmen
Kewajiban Komitmen
1. Fasilitas kredit kepada nasabah yg belum ditarik
a. Rupiah
b. Valuta asing
2. Irrevocable L/C yang masih berjalan dalam rangka impor dan ekspor
3. Lainnya
Jumlah Kewajiban Komitmen
JUMLAH KOMITMEN BERSIH
KONTINJENSI
Tagihan Kontinjensi
1. Garansi yang diterima
a. Rupiah
b. Valuta asing
2. Pendapatan bunga dalam penyelesaian
a. Rupiah
b. Valuta asing
3. Lainnya
Jumlah Tagihan Kontinjensi
Kewajiban Kontinjensi
1. Garansi yang diberikan
a. Bank garansi
- Rupiah
- Valuta asing
b. Lainnya
2. Revocable L/C yang masih berjalan dalam rangka impor dan ekspor
3. Lainnya
Jumlah Kewajiban Kontinjensi
JUMLAH KONTINJENSI BERSIH
414
Lampiran 23
415
Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
Lampiran 23
LAPORAN PERHITUNGAN KPMM SECARA KONSOLIDASI
Bank
Tanggal
: ……………………….
: ………………………….
KETERANGAN
BANK
(dalam jutaan rupiah)
KONSOLIDASI
I. KOMPONEN MODAL
A. MODAL INTI
1. Modal Disetor
2. Cadangan Tambahan Modal (Disclosed Reserves)
a.
Agio Saham
b.
Disagio (-/-)
c.
Modal Sumbangan
d.
Cadangan Umum dan Tujuan
e.
Laba tahun-tahun lalu setelah diperhitungkan pajak
f.
Rugi tahun-tahun lalu (-/-)
g.
Laba tahun berjalan setelah diperhitungkan pajak (50%)
h.
Rugi tahun berjalan (-/-)
j.
Selisih penjabaran laporan keuangan Kantor Cabang Luar Negeri
1)
Selisih Lebih
2)
Selisih Kurang (-/-)
k.
Dana Setoran Modal
l.
Penurunan nilai Penyertaan pada portofolio tersedia untuk dijual (-/-)
m.
Hak minoritas
3. Goodwill (-/-)
4. Selisih penilaian aktiva dan kewajiban akibat kuasi reorganisasi (-/-)
5. Kekurangan modal dari Risk Based Capital untuk Perusahaan Anak yang
melakukan kegiatan usaha Asuransi (-/-)
6. Kekurangan Penyisihan Penghapusan Aktiva/ PPA (-/-)
B. MODAL PELENGKAP
(Maks. 100% dari Modal Inti)
1. Cadangan Revaluasi Aktiva Tetap
2. Selisih penilaian aktiva dan kewajiban akibat kuasi reorganisasi
3. Cadangan Umum Penyisihan Penghapusan Aktiva Produktif/PPAP (maks.
1,25% dari ATMR)
4. Modal Pinjaman
5. Pinjaman Subordinasi (maks.50% dari Modal Inti)
6. Peningkatan harga saham pada portofolio tersedia untuk dijual (45%)
C. MODAL PELENGKAP TAMBAHAN YANG MEMENUHI PERSYARATAN
D. MODAL PELENGKAP TAMBAHAN YANG DIALOKASIKAN UNTUK
MENGANTISIPASI RISIKO PASAR
II. TOTAL MODAL INTI DAN MODAL PELENGKAP (A+B)
III. TOTAL MODAL INTI, MODAL PELENGKAP, DAN MODAL PELENGKAP
TAMBAHAN YANG DIALOKASIKAN UNTUK MENGANTISIPASI RISIKO PASAR
(A+B+D)
IV. PENYERTAAN (-/-)
V. TOTAL MODAL UNTUK RISIKO KREDIT (II – IV)
VI. TOTAL MODAL UNTUK RISIKO KREDIT DAN RISIKO PASAR (III – IV)
VII. AKTIVA TERTIMBANG MENURUT RISIKO (ATMR) KREDIT
VIII. ATMR RISIKO PASAR (SUKU BUNGA DAN NILAI TUKAR)
IX.
ATMR RISIKO PASAR (RISIKO EKUITAS)
X.
JUMLAH ATMR RISIKO KREDIT + RISIKO PASAR (VII+VIII+IX)
XI. RASIO KEWAJIBAN PENYEDIAAN MODAL MINIMUM YANG TERSEDIA UNTUK
RISIKO KREDIT (V : VII)
XII. RASIO KEWAJIBAN PENYEDIAAN MODAL MINIMUM YANG TERSEDIA UNTUK
RISIKO KREDIT DAN RISIKO PASAR (VI : X)
416
Lampiran 24
417
Lampiran 24
Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
LAPORAN RINCIAN ATMR SECARA KONSOLIDASI
Bank :
Tanggal :
1.
Total Aktiva Tertimbang Menurut Risiko (ATMR) untuk Risiko Kredit (sesuai ketentuan berlaku mengenai KPMM)*
2.
Modal Inti (setelah diperhitungkan faktor pengurang, sesuai ketentuan berlaku mengenai KPMM)*
3.
Modal Pelengkap (setelah diperhitungkan faktor pengurang, sesuai ketentuan berlaku mengenai KPMM)*
4.
Penyertaan yang dilakukan Bank
5.
Rasio Kewajiban Penyediaan Modal Minimum (CAR) untuk Risiko Kredit
6.
TOTAL ATMR RISIKO PASAR
Risiko Suku Bunga
Risiko Spesifik
Risiko Umum
0
0
Risiko Nilai Tukar
Risiko Ekuitas
0
0
Risiko Perubahan Harga Option
Risiko Suku Bunga
Risiko Nilai Tukar
0
0
7.
Modal Inti yang dialokasikan untuk mengantisipasi risiko pasar (minimum 28.5% x
total beban modal)
8.
Modal Pelengkap yang dialokasikan untuk mengantisipasi risiko pasar (yaitu yang dapat ditambahkan untuk Modal Pelengkap Tambahan)
9.
Modal Pelengkap Tambahan yang memenuhi persyaratan
Total
12,5 x Total (Ekuivalen
ATMR)
0
0
0
Kelebihan Pinjaman Subordinasi yang tidak dapat diperhitungkan dalam Modal Pelengkap
Pinjaman Subordinasi dengan maturitas awal minimum 2 tahun dan memenuhi kriteria Pinjaman Subordinasi yang dapat diperhitungkan sebagai komponen
modal
10.
Modal Pelengkap Tambahan yang dialokasikan untuk mengantisipasi Risiko Pasar
11.
TOTAL MODAL (Modal Inti + Modal Pelengkap + Modal Pelengkap Tambahan)
12.
Dikurangi :
13.
TOTAL ATMR (RISIKO KREDIT + RISIKO PASAR)
14.
Rasio Kewajiban Penyediaan Modal Minimum setelah memperhitungkan Risiko Kredit dan Risiko Pasar
15.
Rasio Kelebihan Modal Pelengkap Tambahan
16.
Rasio Posisi Devisa Neto (PDN)
0
ATMR untuk risiko kredit atas seluruh surat berharga dalam trading book yang telah diperhitungkan Risiko Spesifik (Formulir I.a)
0
* Laporan Bank dilakukan berdasarkan perhitungan Bank sendiri, sedangkan Bank Indonesia akan menggunakan data pengawasan yang ada di Bank Indonesia
418
Lampiran 25
419
Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
Lampiran 25
LAPORAN KUALITAS AKTIVA DAN PEMBENTUKAN PPA SECARA KONSOLIDASI
Bank
:
Tanggal
:
(dalam jutaan rupiah)
BANK
POS-POS
L
DPK
KL
D
KONSOLIDASI
M
Jumlah
L
DPK
KL
D
M
Jumlah
A. AKTIVA PRODUKTIF
1. Penempatan pada bank lain
PPA yang wajib dibentuk - Penempatan pada bank lain
PPA yang telah dibentuk - Penempatan pada bank lain
2. Surat-surat berharga
a. Diperdagangkan
b. Tersedia untuk dijual
c. Dimiliki sampai jatuh tempo
PPA yang wajib dibentuk - Surat berharga
PPA yang telah dibentuk - Surat berharga
3. Kredit
a. Konsumsi
b. Modal Kerja
c. Investasi
PPA yang wajib dibentuk - Kredit
PPA yang telah dibentuk - Kredit
4. Penyertaan
a. Pada perusahaan keuangan selain asuransi
b. Pada perusahaan asuransi
c. Dalam rangka restrukturisasi kredit (PMS)
PPA yang wajib dibentuk - Penyertaan
PPA yang telah dibentuk - Penyertaan
5. Tagihan lain
PPA yang wajib dibentuk - Tagihan Lain
PPA yang telah dibentuk - Tagihan Lain
6. Komitmen dan kontinjensi
PPA yang wajib dibentuk - Komitmen dan Kontinjensi
PPA yang telah dibentuk - Komitmen dan Kontinjensi
B. AKTIVA NON PRODUKTIF
1. Properti terbengkalai
PPA yang wajib dibentuk - Properti Terbengkalai
PPA yang telah dibentuk - Properti Terbengkalai
2. Agunan yang diambil alih
PPA yang wajib dibentuk - Agunan yang Diambil Alih
PPA yang telah dibentuk - Agunan yang Diambil Alih
3. Rekening antar kantor dan suspense account
PPA yang wajib dibentuk - RAK & Suspense Account
PPA yang telah dibentuk - RAK & Suspense Account
JUMLAH
1. a. PPA produktif yang wajib dibentuk
b. PPA non produktif yang wajib dibentuk
*)
c. Total PPA yang wajib dibentuk
2. a. PPA produktif yang telah dibentuk
b. PPA non produktif yang telah dibentuk
*)
c. Total PPA yang telah dibentuk
3. Kekurangan/kelebihan PPA yang wajib dibentuk
420
Lampiran 26
421
Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
Lampiran 26
LAPORAN PENYEDIAAN DANA KEPADA PIHAK TERKAIT BANK SECARA KONSOLIDASI
NAMA BANK
LAPORAN TANGGAL
No
(1)
Nama
Peminjam
(2)
Individu/
Nama Status Hubungan
kelompok/
Kelompok
Keterkaitan
Jenis
Total Kelompok
dengan Bank Penyediaan
Dana
(3)
(4)
(5)
(6)
BANK
Jangka
Jumlah
Waktu
Penyediaan Dana
Awal
Jatuh Tempo
Rp
Valas*)
(7)
(8)
(9)
(10)
Kurs
(11)
Jenis
Penyediaan
Dana
(12)
PERUSAHAAN ANAK
Jangka
Jumlah
Waktu
Penyediaan Dana
Awal
Jatuh Tempo
Rp
Valas*)
(13)
(14)
(15)
(16)
Kurs
Modal
Konsolidasi **)
(17)
(18)
KONSOLIDASI
Jumlah
Penyediaan Dana
Rp
Valas*)
(19)
(20)
Pelampauan/
Pelanggaran
BMPK
Nominal (Rp)
%
(21)
(22)
Kualitas
Keterangan
(23)
(24)
TOTAL
*)
**)
nilai ekuivalen dalam rupiah dengan menggunakan kurs tanggal laporan
modal konsolidasi merupakan modal konsolidasi pada bulan laporan
422
27.a
Lampiran 29.a
Surat Edaran Bank Indonesia Nomor 8/27/DPNP Tahun 2006
LAPORAN PELAMPAUAN BMPK SECARA KONSOLIDASI UNTUK PIHAK TIDAK TERKAIT
NAMA BANK
LAPORAN TANGGAL
Nama
No Peminjam
(1)
(2)
Individu/
Nama Grup/
Kelompok/
Kelompok
Jenis
Total Kelompok Peminjam Penyediaan
Dana
(3)
(4)
(5)
BANK
Jangka
Jumlah
Waktu
Penyediaan Dana
Awal
Jatuh Tempo
Rp
Valas*)
(6)
(7)
(8)
(9)
Jenis
Kurs Penyediaan
dana
(10)
(11)
PERUSAHAAN ANAK
Jangka
Waktu
Awal Jatuh Tempo
(12)
(13)
TOTAL
*)
**)
nilai ekuivalen dalam rupiah dengan menggunakan kurs tanggal laporan
modal konsolidasi merupakan modal konsolidasi pada bulan laporan
423
PERUSAHAAN ANAK
Jumlah
Penyediaan Dana
Rp
Valas*)
(14)
(15)
Modal
Kurs Konsolidasi
**)
(16)
(17)
KONSOLIDASI
Jumlah
Penyediaan Dana
Rp
Valas*)
(18)
(19)
Pelampauan BMPK
Nominal (Rp)
(20)
%
(21)
Kualitas Keterangan
(22)
(23)
424
29.b
Lampiran 27.b
Surat Edaran Bank Indonesia Nomor 8/27/DPNP Tahun 2006
LAPORAN PELANGGARAN BMPK SECARA KONSOLIDASI UNTUK PIHAK TIDAK TERKAIT
NAMA BANK
LAPORAN TANGGAL
No
(1)
Nama
Peminjam
(2)
Individu/
Nama Grup/
Kelompok/
Kelompok
Jenis
Total Kelompok Peminjam Penyediaan
Dana
(3)
(4)
(5)
BANK
Jangka
Jumlah
Waktu
Penyediaan Dana
Awal Jatuh Tempo Rp
Valas*)
(6)
(7)
(8)
(9)
Kurs
(10)
Jenis
Penyediaan
dana
(11)
PERUSAHAAN ANAK
Jangka
Jumlah
Waktu
Penyediaan Dana
Awal Jatuh Tempo
Rp
(12)
(13)
(14)
TOTAL
*)
**)
nilai ekuivalen dalam rupiah dengan menggunakan kurs tanggal realisasi penyediaan dana
modal konsolidasi merupakan modal konsolidasi pada triwulan terakhir sebelum realisasi penyediaan dana
425
AAN ANAK
Jumlah
Penyediaan Dana
Valas*)
(15)
Kurs
(16)
KONSOLIDASI
Modal
Jumlah
Konsolidasi Penyediaan Dana
**)
Rp
Valas*)
(17)
(18)
(19)
Pelanggaran BMPK
Nominal (Rp)
(20)
%
(21)
Kualitas Keterangan
(22)
(23)
426
Lampiran 30
28
LAMPIRAN
Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember 2007
382
427
426
427
444
461
471
476
487
496
501
517
523
538
383
428
KATA PENGANTAR
Dalam rangka meningkatkan efisiensi kegiatan operasional dan mutu
pelayanan Bank kepada nasabahnya, Bank dituntut untuk mengembangkan
strategi bisnis Bank antara lain dengan memanfaatkan kemajuan Teknologi
Informasi (TI). Pengembangan strategi tersebut selanjutnya mendorong investasi
baru dalam TI yang digunakan dalam pemrosesan transaksi dan informasi.
Kehandalan Bank mengelola TI menentukan keberhasilan Bank dalam
menghasilkan suatu informasi yang lengkap, akurat, terkini, utuh, aman, konsisten,
tepat waktu dan relevan. Dengan demikian informasi yang dihasilkan dapat
mendukung proses pengambilan keputusan dan operasional bisnis Bank.
Penggunaan TI selain meningkatkan kecepatan dan keakuratan transaksi
serta pelayanan kepada nasabah, juga meningkatkan risiko misalnya risiko
operasional, reputasi, legal, kepatuhan dan strategis. Untuk itu diharapkan Bank
memiliki manajemen risiko yang terpadu untuk melakukan identifikasi, pengukuran,
pemantauan dan pengendalian risiko. Namun demikian mengingat terdapat perbedaan
kondisi pasar, struktur, ukuran dan kompleksitas usaha Bank, maka tidak terdapat satu
sistem manajemen risiko yang universal untuk seluruh Bank sehingga setiap Bank harus
membangun sistem manajemen risiko yang sesuai dengan fungsi dan organisasi
manajemen risiko pada Bank.
Pedoman ini merupakan pokok-pokok penerapan manajemen risiko dalam
penggunaan TI yang harus diterapkan oleh Bank untuk memitigasi risiko yang
berhubungan dengan penyelenggaraan TI. Bank dengan ukuran dan kompleksitas usaha
besar hendaknya menggunakan parameter yang lebih ketat sebagai tambahan dari hal-hal
yang dikemukakan dalam pedoman. Sementara itu Bank dengan ukuran dan
kompleksitas usaha yang relatif kecil dapat menggunakan parameter yang lebih ringan
dari hal-hal yang dikemukakan dalam pedoman sepanjang Bank telah
mempertimbangkan hasil penilaian terhadap risiko dalam aktivitas bisnis Bank, profil
keamanan TI maupun hasil analisis atas cost and benefit. Bank juga diharapkan
mengimplementasikan kerangka manajemen risiko ini dengan memperhatikan ketentuan
perundangan yang berlaku, standar nasional dan internasional serta best practices untuk
memastikan bahwa manajemen risiko yang memadai telah diterapkan.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
ii
429
BAB I –MANAJEMEN
BAB I
MANAJEMEN
1.1. PENDAHULUAN
Operasional kegiatan usaha Bank termasuk pemrosesan transaksi dan
pembukuan sangat tergantung pada keandalan Teknologi Informasi (TI). Informasi
yang dihasilkan sangat dibutuhkan dalam pengambilan keputusan baik oleh pihak
intern Bank maupun pihak ekstern. Untuk itu TI harus dikelola secara efektif
guna memaksimalkan efektifitas penggunaannya dan agar risiko terkait dari
teknologi yang diimplementasikan dapat dimitigasi.
Mengingat bahwa TI merupakan aset penting dalam operasional yang dapat
meningkatkan nilai tambah dan daya saing Bank sementara dalam penyelenggaraannya
mengandung berbagai risiko, maka Bank perlu menerapkan IT Governance. Penerapan
IT Governance dilakukan melalui penyelarasan Rencana Strategis Teknologi Informasi
dengan strategi bisnis Bank, optimalisasi pengelolaan sumber daya, pemanfaatan
Teknologi Informasi (IT value delivery), pengukuran kinerja dan penerapan manajemen
risiko yang efektif. Keberhasilan penerapan IT Governance sangat tergantung pada
komitmen dewan komisaris dan direksi serta seluruh satuan kerja di Bank, baik
penyelenggara maupun pengguna TI.
Sehubungan dengan hal itu diperlukan kebijakan yang memuat peran dan
tanggung jawab dewan komisaris, direksi dan pejabat tertinggi TI dalam memastikan
diterapkannya manajemen risiko TI secara efektif.
1.2.
MANAJEMEN TEKNOLOGI INFORMASI
1.2.1.
Peran danTanggungjawab Manajemen
1.2.1.1.
Dewan Komisaris
Sesuai Undang-Undang Perseroan Terbatas, fungsi dewan komisaris adalah
mengawasi kebijaksanaan direksi dalam operasional Bank serta memberi nasihat
pada direksi. Dengan demikian dewan komisaris hendaknya memiliki komitmen,
memahami dan berperan serta dalam kegiatan terkait TI. Tanggung jawab dewan
komisaris mencakup antara lain:
a. mengarahkan, memantau dan mengevaluasi Rencana Strategis TI dan kebijakan
Bank terkait penyelenggaraan TI;
b. melakukan pemantauan dan mengevaluasi kesesuaian antara kebijakan dengan
penerapan manajemen risiko dalam penggunaan TI;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
1
430
BAB I –MANAJEMEN
c. melakukan evaluasi terhadap perencanaan dan pelaksanaan audit, memastikan
audit dilaksanakan dengan frekuensi dan lingkup yang memadai serta melakukan
pemantauan atas tindak lanjut hasil audit;
d. melakukan evaluasi terhadap pengelolaan pengamanan yang andal dan efektif
atas TI guna menjamin ketersediaan, kerahasiaan, keakuratan informasi.
1.2.1.2.
Direksi
Wewenang dan tanggung jawab bagi direksi mencakup :
a. menetapkan Rencana Strategis TI dan rencana pelaksanaan/pengembangan TI
jangka pendek yang sejalan dengan rencana strategis dan rencana tahunan Bank;
b. menetapkan kebijakan dan prosedur terkait penyelenggaraan TI yang memadai
dan mengkomunikasikannya secara efektif, baik pada satuan kerja penyelenggara
maupun pengguna TI. Selanjutnya direktur yang membawahi Satuan Kerja
Kepatuhan perlu meninjau ulang kebijakan dan prosedur tersebut untuk
memastikan pemenuhan terhadap ketentuan perundangan yang berlaku;
c. mereview, menyetujui dan memantau proyek-proyek teknologi yang berdampak
secara signifikan terhadap operasional dan kondisi keuangan Bank;
d. memastikan:
1) TI yang digunakan Bank dapat mendukung perkembangan usaha, pencapaian
tujuan bisnis Bank dan kelangsungan pelayanan kepada nasabah;
2) tersedianya satuan kerja yang berfungsi mengelola TI yang diselenggarakan
oleh Bank (atau digunakan oleh Bank bila diselenggarakan oleh pihak
penyedia jasa TI);
3) kebijakan dan prosedur serta standar yang ditetapkan telah diterapkan, dikaji
ulang dan direvisi secara berkala;
4) tersedianya Sistem Pengelolaan Pengamanan Informasi (Information Security
Management System) yang efektif dan dikomunikasikan kepada seluruh
pengguna dan penyelenggara Sistem Informasi;
5) terdapat penerapan proses manajemen risiko dalam penggunaan TI yang
dilaksanakan secara efektif dan memadai antara lain dengan:
a) menumbuhkan risk awareness dari manajemen;
b) memiliki dan mengkomunikasikan pemahaman yang jelas mengenai
kriteria dan tingkat risiko yang dapat diterima oleh Bank (risk appetite)
kepada satuan kerja pengguna dan penyelenggara TI;
c) memiliki pemahaman terhadap ketentuan yang berlaku;
d) mengkomunikasikan risiko signifikan secara transparan kepada satuan
kerja pengguna dan penyelenggara TI yang menghadapi risiko tersebut;
dan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
2
431
BAB I –MANAJEMEN
e) mengembangkan struktur organisasi beserta uraian tugas dan tanggung
jawab yang dapat mengelola risiko yang dihadapi Bank secara
komprehensif, sistematis dan terintegrasi.
6) tersedianya sumber daya manusia yang cukup dan kompeten sesuai dengan
kebutuhan;
7) terdapat upaya peningkatan kompetensi sumber daya manusia terkait
penyelenggaraan TI diantaranya melalui pendidikan/pelatihan yang memadai
dan program edukasi untuk meningkatkan kesadaran atas pengamanan
informasi;
8) terdapat sistem pengukuran kinerja proses penyelenggaraan TI yang paling
kurang dapat:
a) mendukung proses pemantauan terhadap implementasi strategi;
b) mendukung penyelesaian proyek;
c) mengoptimalkan pendayagunaan investasi pada infrastruktur dan sumber
daya manusia;
d) meningkatkan kinerja proses penyelenggaraan TI dan kualitas layanan
penyampaian hasil proses kepada pengguna;
9) struktur organisasi manajemen proyek dari seluruh proyek terkait TI
digunakan dengan maksimal;
e. dalam hal Bank menggunakan jasa pihak lain, direksi harus memastikan bahwa
Bank memiliki kontrak tertulis yang mengatur peran, hubungan, kewajiban,
tanggung jawab dari semua pihak yang terikat kontrak tersebut, serta memiliki
keyakinan bahwa kontrak tersebut merupakan perjanjian yang berkekuatan
hukum dan melindungi kepentingan Bank.
1.2.1.3.
Komite Pengarah Teknologi Informasi (IT Steering Committee)
Bank wajib memiliki Komite Pengarah TI yang bertujuan untuk membantu
dewan komisaris dan direksi mengawasi kegiatan terkait TI. Komite sekurangkurangnya terdiri dari:
a. Direktur yang membawahi satuan kerja Teknologi Informasi;
b. Direktur yang membawahi satuan kerja Manajemen Risiko;
c. Pejabat tertinggi yang membawahi satuan kerja penyelenggara TI;
d. Pejabat tertinggi yang membawahi satuan kerja pengguna utama TI;
Kewajiban untuk memiliki Komite Pengarah TI berlaku juga untuk Bank yang
dimiliki oleh Bank Asing. Sedangkan untuk kantor cabang Bank Asing (KCBA),
fungsi Komite Pengarah TI dapat dilaksanakan oleh fungsi sejenis yang berada di
kantor pusat atau kantor regional.
Untuk dapat melaksanakan tugasnya, Komite Pengarah TI wajib memiliki IT
Steering Committee Charter yang mencantumkan wewenang dan tanggung jawab
komite.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
3
432
BAB I –MANAJEMEN
Untuk dapat melakukan tugasnya secara efektif dan efisien, komite harus
melakukan pertemuan secara berkala untuk membicarakan hal-hal yang terkait
dengan strategi TI yang didokumentasikan dalam bentuk risalah rapat.
Wewenang dan tanggung jawab Komite Pengarah TI adalah memberikan
rekomendasi kepada direksi yang paling kurang mencakup:
a. Rencana Strategis TI (Information Technology Strategic Plan) yang sesuai
dengan rencana strategis kegiatan usaha Bank. Dalam memberikan rekomendasi,
Komite hendaknya memperhatikan faktor efisiensi, efektifitas serta hal-hal
sebagai berikut:
1) rencana pelaksanaan (road-map) untuk mencapai kebutuhan TI yang
mendukung strategi bisnis Bank. Road map terdiri dari kondisi saat ini
(current state), kondisi yang ingin dicapai (future state) serta langkah-langkah
yang akan dilakukan untuk mencapai future state;
2) sumber daya yang dibutuhkan;
3) keuntungan / manfaat yang akan diperoleh saat rencana diterapkan.
b. perumusan kebijakan dan prosedur TI yang utama seperti kebijakan pengamanan
TI dan manajemen risiko terkait penggunaan TI di Bank;
c. kesesuaian proyek-proyek TI yang disetujui dengan Rencana Strategis TI. Komite
juga menetapkan status prioritas proyek TI yang bersifat kritikal (berdampak
signifikan terhadap kegiatan operasional Bank) misalnya pergantian core Banking
application, server production dan topologi jaringan;
d. kesesuaian pelaksanaan proyek-proyek TI dengan rencana proyek (project
charter) yang disepakati dalam service level agreement. Komite hendaknya
melengkapi rekomendasi dengan hasil analisis dari proyek-proyek TI yang utama
sehingga memungkinkan direksi mengambil keputusan secara efisien;
e. kesesuaian TI dengan kebutuhan sistem informasi manajemen yang mendukung
pengelolaan kegiatan usaha Bank;
f. efektivitas langkah-langkah minimalisasi risiko atas investasi Bank pada sektor TI
dan bahwa investasi tersebut memberikan kontribusi terhadap tercapainya tujuan
bisnis Bank;
g. pemantauan atas kinerja TI, dan upaya peningkatannya misalnya dengan
mendeteksi keusangan TI dan mengukur efektivitas dan efisiensi penerapan
kebijakan pengamanan TI;
h. upaya penyelesaian berbagai masalah terkait TI, yang tidak dapat diselesaikan
oleh satuan kerja pengguna dan satuan kerja penyelenggara. Komite dapat
memfasilitasi hubungan antara kedua satuan kerja tersebut;
i. kecukupan dan alokasi sumber daya yang dimiliki Bank. Apabila sumber daya
yang dimiliki tidak memadai dan Bank akan menggunakan jasa pihak lain dalam
penyelenggaraan TI maka Komite Pengarah TI harus memastikan Bank telah
memiliki kebijakan dan prosedur terkait.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
4
433
BAB I –MANAJEMEN
1.2.1.4.
Pejabat Tertinggi Yang Bertanggungjawab Membawahi Bidang TI
Dalam struktur organisasi, Bank harus menetapkan pejabat tertinggi yang hanya
membawahi bidang TI. Jabatan tersebut dapat dibawahi oleh direktur TI atau
pimpinan satuan kerja TI sesuai dengan kompleksitas usaha di Bank. Wewenang
dan tanggung jawab utama dari pejabat tertinggi TI tersebut minimal (namun tidak
terbatas pada), mencakup hal-hal berikut:
a. merumuskan kebijakan, rencana dan anggaran TI;
b. menerapkan semua kebijakan TI dan rencana yang telah ditetapkan oleh direksi;
c. memberikan dukungan pemberian jasa TI kepada satuan kerja pengguna
untuk mencapai target bisnisnya secara responsif dan tepat waktu;
d. memastikan setiap informasi yang dimiliki oleh satuan kerja pengguna
TI mendapatkan perlindungan yang baik terhadap semua gangguan yang
dapat menyebabkan kerugian akibat bocornya data/informasi penting;
e. memastikan kecukupan dan efektifitas kebijakan dan prosedur TI serta
penerapan manajemen risiko untuk mengidentifikasi, mengukur, menilai dan
mengawasi risiko TI;
f. memastikan terdapatnya pengawasan yang memadai dalam setiap
pengembangan atau modifikasi sistem TI;
g. memberikan kepada direksi laporan pelaksanaan TI secara periodik dan jika
diperlukan dapat mengusulkan tindakan untuk mengatasi kelemahan TI yang
telah ditemukan;
h. menilai kinerja dari layanan TI di Bank, contohnya persentase berapa lama
sistem mati (downtime error), pelanggaran keamanan, perkembangan proyek,
penerapan perjanjian tingkat layanan (Service Level Agreement - SLA) antara
satuan kerja TI dan satuan kerja pengguna atau pihak penyedia jasa TI;
i. memastikan tindakan yang tepat telah dilakukan untuk memperbaiki temuan
audit baik dari auditor intern maupun auditor ekstern atau berdasarkan laporan
pemeriksaan Bank Indonesia;
j. memastikan kecukupan sumber daya manusia baik dalam penyelenggaraan TI
maupun dalam penerapan manajemen risiko ;
k. apabila pejabat tertinggi yang secara langsung membawahi TI adalah seorang
direktur maka yang bersangkutan berkewajiban mengawasi implementasi
budget TI seperti pengadaan di bidang TI dan pelatihan. Apabila pejabat
tertinggi bukan seorang direktur maka pengawasan kedua bidang tersebut dapat
dilakukan oleh direktur yang membawahi;
l. direktur TI bertanggung jawab terhadap penyusunan dan implementasi
arsitektur TI dan rencana-rencana lain yang strategis yang mempengaruhi modal
Bank secara signifikan, memastikan struktur organisasi manajemen proyek dari
seluruh proyek terkait TI digunakan dengan maksimal;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
5
434
BAB I –MANAJEMEN
m. memastikan bahwa kontrak tertulis antara Bank dengan pihak penyedia jasa TI
mencakup hal-hal yang telah diatur pada Bab X - Penggunaan Pihak Penyedia
Jasa TI.
1.2.2. Rencana Strategis Teknologi Informasi
Rencana Strategis TI (Information Technology Strategic Plan) merupakan
dokumen yang menggambarkan visi dan misi TI Bank, strategi yang mendukung visi
dan misi tersebut dan prinsip-prinsip utama yang menjadi acuan dalam penggunaan TI
untuk memenuhi kebutuhan bisnis dan mendukung rencana strategis jangka panjang
Bank.
Sebelum menyusun Rencana Strategis TI Bank hendaknya melakukan analisis
mengenai hal-hal yang terkait antara lain data terkait Corporate Plan, standar dan
regulasi TI dan industri perbankan yang berlaku, trend teknologi, dan hasil assessment
terhadap current IT environment.
Proses penyusunan dilakukan oleh satuan kerja penyelenggara TI, satuan-satuan
kerja pengguna TI dan Komite Pengarah TI. Dokumen Rencana strategis TI mencakup
antara lain hal-hal sebagai berikut:
a. target perkembangan usaha Bank;
b. standar-standar teknologi yang digunakan;
c. ketentuan perundangan yang mendasari (antara lain mengenai rahasia bank,
pengamanan, transparansi informasi produk dan penggunaan data pribadi nasabah);
d. rencana kebutuhan akan aplikasi untuk produk dan aktivitas baru dan
pengembangan produk dan aktivitas yang ada;
e. biaya terkait dengan implementasi rencana;
f. proses yang dibutuhkan dalam rangka efisiensi;
g. pelayanan nasabah dan kualitas kinerja teknologi;
h. analisis kemampuan sumber daya TI yang dimiliki Bank;
i. infrastruktur TI yang optimal untuk masa depan;
j. kemampuan untuk menyesuaikan dan mengintegrasikan dengan perkembangan
teknologi baru; dan
k. kemampuan untuk menyesuaikan dengan iklim perkembangan ekonomi Indonesia
(secara makro).
Dalam penyusunan Rencana Strategis TI Bank hendaknya memperhatikan halhal sebagai berikut:
a. kesesuaian arah dengan rencana strategis Bank secara keseluruhan;
b. kesesuaian arah dengan strategi dan kegiatan masing-masing unit bisnis, kondisi
pasar dan struktur demografi serta segmentasi nasabah;
c. pemahaman manajemen mengenai peran dari TI dalam mendukung pelaksanaan
kegiatan usaha Bank yang ada sekarang dan yang direncanakan;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
6
435
BAB I –MANAJEMEN
d. pemahaman manajemen mengenai hubungan antara sumber daya TI yang digunakan
sekarang dan yang direncanakan dengan strategi dan rencana kerja dari satuan kerja
pengguna TI;
e. mempertimbangkan manfaat langsung dan tak langsung yang akan diperoleh
dibandingkan biaya yang akan dikeluarkan untuk penggunaan teknologi;
f. kebutuhan akan investasi baru dibidang teknologi.
1.2.3. Organisasi Teknologi Informasi
1.2.3.1. Fungsi Manajemen Risiko TI
Bank perlu memiliki fungsi penerapan manajemen risiko penggunaan TI dalam
organisasi Bank yang melibatkan pihak-pihak yang memiliki risiko dan yang
memantau (oversee) risiko serta yang melakukan test dan verifikasi.
Bank perlu memiliki kebijakan bahwa identifikasi, pengukuran dan pemantauan
risiko setiap aktivitas/bisnis secara periodik dilakukan oleh Satuan Kerja Manajemen
Risiko bekerja sama dengan satuan kerja penyelenggara TI dan satuan kerja
pengguna TI. Selain itu untuk fungsi tertentu seperti fungsi pengamanan informasi
dan fungsi Business Continuity Plan (BCP), pelaksanaan pengelolaan risiko tetap
merupakan tanggung jawab dari tim kerja atau petugas yang melaksanakan fungsifungsi tersebut. Oleh karena itu manajemen Bank wajib memastikan pemantauan
yang memadai dan pelaporan mengenai aktivitas terkait TI dan risikonya. Agar
proses pemantauan dan pelaporan berfungsi optimal, maka audit internal maupun
eksternal harus dapat melaksanakan fungsi test dan verifikasi dalam setiap
pemeriksaan TI.
Untuk dapat menerapkan manajemen risiko pengamanan informasi secara
optimal, Bank selain perlu memiliki fungsi yang melaksanakan prosedur pengamanan
informasi sehari-hari juga perlu memiliki fungsi pengelola program pengamanan
informasi dan pemantauan pengamanan secara bank-wide. Fungsi pertama hanya
dapat melaksanakan prosedur yang telah ditetapkan dan tidak dapat mengambil
keputusan untuk melakukan pengecualian atau mengubah prosedur dan standar
pengamanan yang telah ditetapkan tersebut. Idealnya Bank perlu memisahkan kedua
fungsi tersebut sehingga fungsi pengelola program pengamanan informasi
(Information Security Officer) tersebut tidak bertanggungjawab terhadap satuan kerja
TI melainkan kepada direksi. Dalam pelaksanaannya, Bank dapat menetapkan
kebijakan dalam pelaksanaan kedua fungsi tersebut di atas yang disesuaikan dengan
struktur organisasi dan kompleksitas usaha serta teknologi pendukung yang
digunakan Bank.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
7
436
BAB I –MANAJEMEN
1.2.3.2. Struktur Organisasi Satuan Kerja TI
Bank perlu memiliki struktur organisasi yang sesuai dengan kebutuhan
penyelenggaraan dan penggunaan TI, dan sekurang-kurangnya memperhatikan halhal sebagai berikut:
a. struktur organisasi secara spesifik menggambarkan garis kewenangan, pelaporan,
tanggung jawab (dan jika dibutuhkan, orang pengganti) untuk setiap fungsi TI
yang harus dimiliki;
b. terdapat prinsip pemisahan tugas dan tanggung jawab (segregation of duties)
untuk mencegah seseorang mendapat tanggung jawab atas fungsi-fungsi yang
berbeda dan kritikal sedemikian rupa yang dapat menyebabkan kesalahan tidak
mudah dideteksi. Misalnya adanya pemisahan pegawai yang bertanggung jawab
melakukan administrasi pengamanan informasi (security administrator) dengan
yang bertanggung jawab atas pengembangan dan yang melakukan kegiatan
operasional TI;
c. struktur organisasi yang tidak membuka peluang bagi siapapun secara independen
untuk melakukan dan atau menyembunyikan kesalahan atau penyimpangan dalam
pelaksanaan tugas serta dapat mematikan fasilitas sistem keamanan;
d. untuk Bank berskala usaha yang relatif kecil atau kantor cabang di daerah
terpencil, dimana tidak bisa menerapkan prinsip pemisahan tugas dan tanggung
jawab yang memadai (segregation of incompatible duties) baik secara
keseluruhan maupun sebagian, harus diganti dengan bentuk pengawasan lain atau
compensating controls untuk pencegahan kesalahan penyelenggaraan TI. Dalam
menentukan bentuk compensating controls yang akan diterapkan, Bank harus
memperhatikan kepemilikan data, tanggung jawab otorisasi transaksi, dan hak
akses ke data. Contoh compensating controls, antara lain audit trail, rekonsiliasi,
exception reporting, transaction log, supervisory review, independent review.
Sekalipun compensating control diterapkan, penyelenggaraan TI tetap harus
berdasarkan prinsip kehati-hatian;
e. penempatan personil mempertimbangkan kompetensi (pengetahuan dan keahlian)
sumber daya manusia yang sesuai dengan posisi (jabatan/tugas);
f. pembagian tanggung jawab dan penetapan target dirumuskan dengan baik di
antara fungsi pengelolaan risiko dan bidang-bidang fungsional penyelenggaraan
TI.
1.2.3.3. Manajemen Risiko TI pada Satuan Kerja Pengguna
Pimpinan dari satuan kerja pengguna TI juga mempunyai tanggung jawab atas
penyelenggaraan dan penggunaan TI antara lain:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
8
437
BAB I –MANAJEMEN
a. memastikan adanya proses komunikasi berkelanjutan kepada satuan kerja TI
mengenai kebutuhan terkait strategi bisnis Bank misalnya rencana penerbitan
produk baru;
b. menetapkan kebutuhan SIM dan mengkomunikasikannya ke satuan kerja TI;
c. memastikan pegawai di satuan kerja pengguna berpartisipasi dalam proses
pengujian yang dilakukan atas aplikasi yang akan digunakan oleh satuan kerja
tersebut;
d. memastikan para pengguna TI di satuan kerja pengguna mematuhi prosedur
pengamanan yang telah ditetapkan untuk diterapkan.
Kepemilikan data/informasi berada pada satuan kerja pengguna. Sedangkan satuan
kerja penyelenggara TI bertanggung jawab atas custody of asset yang berupa
data/informasi. Untuk itu satuan kerja TI harus menetapkan standar dan prosedur
Custody of Corporate Assets untuk mengelola data/informasi tersebut secara
memadai.
1.2.4.
Pengendalian Personil (Personnel Control)
Di samping membutuhkan pemilihan teknologi yang tepat, Bank juga membutuhkan
personil yang memiliki kemampuan dan keahlian yang sesuai dan dapat mendukung
pelaksanaan fungsi-fungsi TI secara maksimal. Karena itu Bank perlu melakukan
pengendalian personil antara lain dengan menerapkan:
a. penetapan prosedur untuk penerimaan pegawai baru, mutasi dan promosi, serta
pemberhentian petugas TI. Prosedur ini berlaku untuk pegawai Bank, konsultan,
pegawai honorer dan pegawai pihak penyedia jasa. Untuk fungsi yang sensitif
dalam pengelolaan TI diperlukan penelitian latar belakang calon pegawai dalam
proses penerimaan;
b. penetapan tugas, tanggung jawab, harapan/target secara transparan;
c. penetapan standar penilaian kinerja, upah/gaji dan tunjangan, serta pensiun;
d. program pendidikan dan pelatihan serta penilaian kinerja untuk mempertahankan
dan meningkatkan kualitas para pegawai baik penyelenggara maupun pengguna
TI.
Agar langkah-langkah pengendalian tersebut efektif, Bank perlu mempunyai rencana
manajemen sumber daya manusia yang terintegrasi dengan Rencana Strategis TI.
1.2.5. Manajemen Proyek
Dalam hal Bank melakukan pengembangan dan pengadaan TI yang penting dan
berskala besar, diperlukan suatu pengorganisasian dalam bentuk Manajemen Proyek.
Hal ini diperlukan untuk memastikan bahwa sistem aplikasi yang diserahkan oleh
satuan kerja TI untuk digunakan oleh satuan kerja pengguna, telah dikembangkan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
9
438
BAB I –MANAJEMEN
dengan struktur yang baik dan telah mengakomodir kebutuhan pengguna serta sesuai
dengan sistem TI yang dimiliki Bank. Tim manajemen proyek mengadministrasikan
kemajuan masing-masing proyek dan membantu koordinasi antara pelaksana proyek
dan calon pengguna sistem/aplikasi TI di setiap proyek serta melaporkannya ke Komite
Pengarah TI. Bentuk manajemen proyek dalam organisasi Bank disesuaikan dengan
kompleksitas dan ukuran Bank yaitu dapat berupa suatu satuan kerja tetap atau bersifat
ad hoc.
1.2.6. Sistem Informasi Manajemen (SIM)
Bank perlu memastikan terdapat suatu SIM yang dapat menghasilkan informasi yang
diperlukan dalam rangka mendukung peran dan fungsi manajemen secara efektif. SIM
harus dapat menyajikan informasi yang dibutuhkan secara lengkap, akurat, terkini,
utuh, aman, benar, konsisten, tepat waktu, relevan dan dapat diaplikasikan untuk
memudahkan proses perencanaan dan pengambilan keputusan yang mendukung usahausaha pencapaian strategis bisnis Bank.
Di samping itu, SIM yang dimiliki Bank harus dapat:
a. memfasilitasi pengelolaan operasional bisnis Bank termasuk pelayanan kepada
nasabah;
b. mencatat dan mengumpulkan informasi secara obyektif;
c. mendistribusikan data/informasi ke berbagai satuan kerja sesuai jenis informasi,
kualitas dan kuantitas maupun frekuensi dan waktu pengiriman laporan yang
dibutuhkan;
d. meningkatkan efektivitas dan efisiensi komunikasi di Bank;
e. membantu Bank meningkatkan kepatuhan terhadap ketentuan perundangan;
f. mendukung proses penilaian kinerja seluruh satuan kerja.
Kemajuan teknologi dapat meningkatkan ketersediaan informasi sehingga satuan kerja
TI memegang peranan penting dalam efektivitas SIM Bank. Satuan Kerja TI
menetapkan kebijakan, prosedur dan pengendalian manajemen database dan
pembuatan laporan untuk membantu memastikan keefektifan SIM.
1.2.7. Dokumentasi
Manajemen Bank harus memastikan pengendalian internal maupun audit dapat
melakukan test dan validasi atas kebijakan, proses, prosedur, standar dan requirements
dalam pengelolaan TI. Untuk itu Bank harus memiliki dokumentasi kebijakan
pengamanan dan manajemen risiko operasional yang jelas, lengkap dan dapat
diaplikasikan khususnya yang terkait dengan risiko terkait TI di masing-masing satuan
kerja pengguna TI.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
10
439
BAB I –MANAJEMEN
1.3. MANAJEMEN RISIKO TERKAIT TEKNOLOGI INFORMASI
Kemampuan Bank memitigasi risiko TI tergantung dari hasil identifikasi, pengukuran,
pengendalian dan pemantauan risiko-risiko terkait TI yang berpotensi mengancam
keamanan dan operasional Bank.
Proses manajemen risiko terkait TI yang harus dilakukan setiap Bank mencakup
empat hal penting yaitu:
a. merencanakan penggunaan TI;
b. menilai risiko terkait TI;
c. menetapkan proses pengukuran dan pemantauan risiko terkait penyelenggaraan dan
penggunaan TI;
d. implementasi pengendalian TI.
1.3.1. Perencanaan Penggunaan TI
Sebagaimana dijelaskan di atas bahwa Bank wajib memiliki Rencana
Strategis Teknologi Informasi (Information Technology Strategic Plan) yang
mendukung rencana strategis kegiatan usaha Bank. Selanjutnya Rencana Strategis
Teknologi Informasi yang akan diimplementasikan dalam satu tahun kedepan
diungkapkan dalam Rencana Bisnis Bank yaitu dalam bagian Kebijakan dan Strategi
Manajemen. Disamping itu apabila terdapat bagian dari Rencana Strategis TI tersebut
yang terkait pengembangan produk dan aktivitas baru serta perubahan jaringan kantor
bank maka harus diungkapkan pula pada bagian Pengembangan Produk dan Aktivitas
Baru serta sub bab Perubahan Jaringan Kantor Bank. Setiap rencana pengeluaran
terkait Rencana Strategis TI yang akan diimplementasikan pada tahun yang
bersangkutan harus dimasukkan dalam proyeksi neraca di Rencana Bisnis.
Mengingat rencana strategis TI bersifat jangka panjang, maka untuk menjaga
kesesuaian dengan perkembangan usaha Bank dan perkembangan TI maka Bank
sebaiknya melakukan evaluasi secara berkala yang mencakup antara lain kinerja TI
Bank serta tercapainya sasaran dan anggaran yang telah ditetapkan. Dengan demikian
proyeksi neraca di Rencana Bisnis dapat lebih realistis dan berkesinambungan dari
tahun ke tahun.
1.3.2. Penilaian Risiko yang Berkesinambungan
Kebijakan pengelolaan TI pada umumnya bertujuan untuk memastikan bahwa
penyelenggaraan TI dapat mendukung pencapaian rencana bisnis Bank dan memastikan
risiko yang terkait baik secara langsung maupun tidak langsung dengan
penyelenggaraan TI tersebut dapat diatasi.
Dalam melakukan identifikasi dan penilaian risiko tersebut, manajemen terlebih
dahulu harus memastikan adanya risk awareness di seluruh lini Bank yaitu:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
11
440
BAB I –MANAJEMEN
a.
b.
c.
d.
risk awareness dari pejabat eksekutif dan direksi;
pemahaman yang jelas mengenai risk appetite dari Bank;
pemahaman terhadap ketentuan yang berlaku;
transparansi dan integrasi tanggung jawab mengenai risiko-risiko yang signifikan
dari setiap aspek terkait penyelenggaraan TI.
Untuk dapat memastikan hal-hal di atas, Bank dapat menjalankan risk awareness
program bagi seluruh pegawai dan pengurus Bank atau menjalankan metode lain yang
dapat meningkatkan kesadaran para pengguna TI akan risiko yang ada.
1.3.2.1. Jenis Risiko Terkait Teknologi Informasi
Bank wajib memiliki pendekatan manajemen risiko yang terpadu
(terintegrasi) untuk dapat melakukan identifikasi, pengukuran, pemantauan
dan pengendalian risiko secara efektif. Risiko terkait teknologi wajib dikaji
ulang bersamaan dengan risiko-risiko lainnya yang dimiliki Bank untuk
menentukan risk profile bank secara keseluruhan. Adapun risiko terkait
penyelenggaraan TI yang utama adalah:
a. Risiko Operasional
Risiko operasional melekat di setiap produk dan layanan yang disediakan
Bank. Penggunaan TI dapat menimbulkan terjadinya risiko operasional
yang disebabkan oleh antara lain ketidakcukupan/ketidaksesuaian desain,
implementasi, pemeliharaan sistem atau komputer dan perlengkapannya,
metode pengamanan, testing dan standar internal audit serta penggunaan
jasa pihak lain dalam penyelenggaraan TI.
b. Risiko Kepatuhan
Risiko kepatuhan dapat timbul bila Bank tidak memiliki sistem yang
dapat memastikan kepatuhan Bank terhadap ketentuan yang berlaku bagi
Bank seperti kerahasiaan data nasabah. Risiko kepatuhan dapat berdampak
buruk terhadap reputasi serta citra Bank, juga berdampak pada
kesempatan berusaha dan kemungkinan ekspansi.
c. Risiko Hukum
Bank menghadapi risiko hukum yang disebabkan adanya tuntutan hukum,
ketiadaan peraturan perundangan yang mendukung atau kelemahan
perikatan seperti tidak dipenuhinya syarat sah suatu kontrak.
d. Risiko Reputasi
Opini publik yang negatif dapat timbul antara lain karena kegagalan
sistem yang mendukung produk, kasus yang ada pada produk Bank dan
ketidakmampuan Bank memberikan dukungan layanan nasabah pada saat
terjadi kegagalan sistem (downtime). Opini negatif ini dapat menurunkan
kemampuan Bank memelihara loyalitas nasabah dan keberhasilan produk
dan layanan Bank.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
12
441
BAB I –MANAJEMEN
e. Risiko Strategis
Risiko ini timbul karena ketidakcocokan TI yang digunakan Bank dengan
tujuan strategis Bank dan rencana strategis yang dibuat untuk mencapai
tujuan tersebut. Hal ini karena kualitas implementasi maupun sumber daya
yang digunakan TI kurang memadai. Sumber daya tersebut mencakup
saluran komunikasi, operating systems, delivery network, serta kapasitas
dan kapabilitas pengelola TI.
1.3.2.2.
Penilaian Risiko
Dalam menggunakan teknologi, manajemen Bank harus menggunakan
proses analisis yang ketat, menyeluruh, hati-hati & akurat, untuk
mengidentifikasi dan mengkuantifikasi risiko serta
memastikan
pengendalian risiko diterapkan. Untuk itu penilaian risiko yang dilakukan Bank
perlu dilakukan secara berkesinambungan dengan suatu siklus yang minimal
mencakup empat langkah penting sebagai berikut:
a. Pengumpulan data/dokumen atas aktivitas terkait TI yang berpotensi
menimbulkan atau meningkatkan risiko baik dari kegiatan yang akan maupun
sedang berjalan termasuk namun tidak terbatas pada:
1) Aset TI yang kritikal, dalam rangka mengidentifikasi titik-titik akses dan
penyimpangan terhadap informasi nasabah yang bersifat rahasia;
2) Hasil review rencana strategis bisnis, khususnya review terhadap penilaian
risiko potensial;
3) Hasil due dilligence dan pemantauan terhadap kinerja pihak penyedia jasa;
4) Hasil review atas laporan atau keluhan yang disampaikan oleh nasabah dan
atau pengguna TI ke Call Center dan atau Help Desk;
5) Hasil Self Assessment yang dilakukan seluruh satuan kerja terhadap
pengendalian yang dilakukan terkait TI;
6) Temuan-temuan audit terkait penyelenggaraan dan penggunaan TI.
b. Analisis risiko berkaitan dengan dampak potensial dari tiap-tiap risiko,
misalnya dari fraud di pemrograman, virus komputer, kegagalan sistem,
bencana alam, kesalahan pemilihan teknologi yang digunakan, masalah
pengembangan dan implementasi sistem, kesalahan prediksi perkembangan
bisnis Bank.
c. Penetapan prioritas pengendalian dan langkah mitigasi yang didasarkan pada
hasil penilaian risiko Bank secara keseluruhan. Untuk itu Bank harus membuat
peringkat risiko berdasarkan kemungkinan kejadian dan besarnya dampak yang
dapat ditimbulkan serta mitigasi risiko yang dapat dilakukan untuk menurunkan
eksposure risiko tersebut.
d. Pemantauan kegiatan pengendalian dan mitigasi yang telah dilakukan atas
risiko yang diidentifikasi dalam periode penilaian risiko sebelumnya, yang
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
13
442
BAB I –MANAJEMEN
antara lain mencakup rencana tindak lanjut perbaikan, kejelasan akuntabilitas
dan tanggung jawab, sistem pelaporan, pengendalian kualitas termasuk
compensating control.
1.3.3.
Proses Pengukuran Dan Pemantauan Risiko
Seperti telah diuraikan sebelumnya terdapat beberapa jenis risiko yang terkait
dengan penggunaan TI namun yang terbesar potensinya adalah risiko operasional. Hal
ini perlu mendapat perhatian mengingat risiko operasional sulit dikuantifikasi. Bank
perlu memperhatikan signifikansi dampak risiko yang telah diidentifikasi oleh Bank
terhadap kondisi bank serta frekuensi terjadinya risiko. Metode yang dapat digunakan
Bank dapat berupa kuantitatif maupun kualitatif tergantung kompleksitas usaha dan
teknologi yang digunakan. Dalam metode kualitatif, besarnya dampak dan sering
tidaknya kejadian (likelihood) dapat dijelaskan secara naratif atau dengan pemberian
ranking. Contoh metode pengukuran yang sederhana antara lain dengan menggunakan
check list atau menggunakan subjective risk rating seperti High, Medium atau Low.
Bank harus menetapkan kriteria High, Medium atau Low dalam risk rating tersebut dan
menerapkannya secara konsisten. Agar dapat memberikan hasil pengukuran risiko yang
lebih sensitif, Bank dapat meningkatkan metode pemeringkatan risikonya dari 3x3
menjadi 4x4 sampai dengan 10x10. Contoh dari pemeringkatan menggunakan matriks
risiko 5x5 adalah seperti dalam tabel berikut:
RATE OF
OCCURENCE /
LIKELIHOOD
Almost certain
Likely
Possible
Unlikely
Rare
IMPACT/ CONSEQUENCES / LOSS
Insignificant
Minor
Moderate
Major
Catastrophic
Low
Low
Very low
Very low
Very low
Medium
Medium
Low
Very low
Very low
High
High
Medium
Low
Low
Very high
Very high
High
Medium
Low
Very high
Very high
High
Medium
Medium
Terdapat banyak program aplikasi pengukuran risiko yang menggunakan
metode kuantitatif. Dalam metode ini digunakan data statistik mengenai kejadian dan
besarnya dampak. Risiko diukur berdasarkan rata-rata tingkat kejadian (rate of
occurance) dan besarnya dampak dari kejadian (the severity of the
consequences/impact). Beberapa bank menggunakan VAR untuk pengukuran risiko
dengan metode kuantifikasi yang menganalisa database likelihood dan dampak dari
kejadian-kejadian yang telah lalu.
Apabila Bank menggunakan paket sistem informasi manajemen risiko yang
mencakup aplikasi pengukuran risiko sebagai alat bantu penerapan manajemen risiko
dalam penggunaan TI, maka Bank harus memperhatikan asumsi yang digunakan dalam
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
14
443
BAB I –MANAJEMEN
sistem tersebut, serta pertimbangan bisnis (business commonsense) dan pertimbangan
profesi (profesional dilligence).
Agar risiko yang telah diidentifikasi dan dinilai atau diukur dapat dipantau oleh
manajemen maka Bank perlu memiliki dokumentasi risiko (Risk Documentation) atau
yang sering disebut sebagai Risk Register. Contoh pembuatan Risk Register tersebut
dapat dilihat pada Lampiran 1.1. Contoh Penilaian Risiko. Bank dapat menetapkan
komponen Risk Register yang berbeda dengan di Lampiran 1.1. namun paling kurang
mencakup hal-hal sebagai berikut:
a. penetapan aset, proses, produk, atau kejadian yang mengandung risiko;
b. pengukuran atau pemeringkatan kemungkinan kejadian dan dampak (Inherent Risk
Assessment);
c. langkah-langkah penanganan terhadap risiko potensial (potential risk treatment)
misalnya Accept, Control, Avoid atau Transfer (ACAT);
d. pengukuran atau pemeringkatan kemungkinan kejadian dan dampak setelah ACAT
(Residual Risk Assesment).
Dalam dokumentasi potential risk treatment tersebut Bank perlu memperhatikan antara
lain risk appetite dari manajemen, fasilitas yang dapat digunakan sebagai preventive
control atau corrective control, dan kesesuaian rencana mitigasi risiko dengan kondisi
keuangan Bank. Dokumentasi risiko ini perlu dikinikan secara periodik.
Langkah-langkah penanganan risiko potensial yang dapat diambil Bank sesuai
butir c di atas adalah sebagai berikut:
a. Manajemen memutuskan untuk menerima risiko jika besarnya dampak dan tingkat
kecenderungan masih dalam batas toleransi organisasi (Accept)
Contohnya adalah
1) dengan menetapkan Kriteria Penerimaan Risiko terkait dengan evaluasi dan
penanganan risiko misalnya Nilai Risiko Akhir “Low”.
Kecenderungan
5
4
3
2
1
Medium
Low
Low
Low
Low
Medium
Medium
Medium
Medium
Low
High
High
Medium
Medium
Medium
High
High
High
Medium
Medium
High
High
High
High
High
1
2
3
4
5
Dampak
2) Nilai Risiko Akhir “Medium” atau “High“, namun telah diputuskan untuk
diterima oleh Manajemen dan dibuat suatu sistem prosedur untuk memantau
risiko tersebut misalnya dengan menyediakan tambahan modal sesuai besarnya
potensi risiko.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
15
444
BAB I –MANAJEMEN
b. Organisasi memutuskan untuk tidak melakukan suatu aktivitas atau memilih
alternatif aktivitas lain yang menghasilkan output yang sama untuk menghindari
terjadinya risiko (Avoid risk).
Contohnya hak privilege administrator pada user yang menggunakan PC yang
mengandung risiko akan adanya malicious code pada PC. Risiko ini dapat dihindari
dengan tidak memberikan hak privilege pada user sehingga user tidak bisa merubah
konfigurasi dan meng-install software pada PC.
c. Organisasi memutuskan mengurangi dampak maupun kemungkinan terjadinya
risiko (Control / Mitigate).
Contohnya penggunaan PC untuk mendukung proses bisnis organisasi mengandung
risiko terjadinya hacking pada PC. Pengendalian risiko dilakukan dengan
pemasangan fasilitas firewall untuk mencegah akses yang tidak terotorisasi.
d. Organisasi memutuskan untuk mengalihkan seluruh atau sebagian tanggung jawab
pelaksanaan suatu proses kepada pihak ketiga (Transfer).
Contohnya Penggunaan fasilitas ruangan atau gedung mengandung risiko terjadi
kebakaran. Risiko ini ditangani dengan memindahkan risiko ke perusahaan asuransi
yaitu dengan mengasuransikan fasilitas ruangan atau gedung.
1.3.4. Implementasi Pengendalian Teknologi Informasi
Manajemen harus menerapkan praktek-praktek pengendalian yang memadai
sebagai bagian dari strategi mitigasi risiko TI secara keseluruhan.
Praktek-praktek pengendalian antara lain:
a. penerapan kebijakan, prosedur, struktur organisasi termasuk alur kerjanya;
b. pengendalian intern yang efektif yang dapat memitigasi risiko dalam proses TI.
Cakupan dan kualitas pengendalian intern adalah kunci utama dalam proses
manajemen risiko sehingga manajemen harus mengidentifikasi persyaratan spesifik
pengendalian intern yang diperlukan dalam setiap kebijakan dan prosedur yang
diterapkan;
c. manajemen wajib menetapkan kebijakan dan prosedur serta standar (sistem
pengelolaan pengamanan informasi) yang diperlukan Bank untuk melakukan
pengamanan aset-aset terkait penyelenggaraan dan penggunaan TI termasuk
didalamnya data atau informasi. Aturan lebih lanjut mengenai Pengamanan dapat
dilihat pada Bab V - Pengamanan Informasi;
d. manajemen harus mengevaluasi hasil kaji ulang (review) dan pengujian atas BCP
untuk setiap bagian operasional yang kritis. Aturan lebih lanjut mengenai BCP
dapat dilihat pada Bab VI - Business Continuity Plan. Seperti halnya dalam
pengelolaan
pengamanan informasi, BCP merupakan suatu strategi yang
menyeluruh dan dilaksanakan oleh segenap satuan kerja yang ada di Bank;
e. manajemen wajib memastikan terdapat kebijakan dan prosedur mengenai
penggunaan pihak penyedia jasa. direksi harus memiliki pemahaman secara
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
16
445
BAB I –MANAJEMEN
menyeluruh atas risiko yang berhubungan dengan penggunaan jasa pihak penyedia
jasa untuk sebagian atau semua operasional TI.
Untuk itu satuan kerja TI harus melakukan evaluasi kemampuan penyedia jasa
untuk menjaga tingkat keamanan paling tidak sama atau lebih ketat dari yang
diterapkan oleh pihak intern Bank baik dari sisi kerahasiaan, integritas data dan
ketersediaan informasi. Pengawasan dan pemantauan yang ketat harus dilakukan
karena tanggung jawab manajemen Bank tidak hilang atau menjadi berkurang
dengan melakukan outsourcing operasional TI kepada pihak penyedia jasa TI.
Aturan lebih lanjut dapat dilihat pada Bab X- Outsourcing;
f. selain menerapkan bentuk pengendalian tersebut di atas, asuransi dapat digunakan
sebagai pelengkap upaya memitigasi potensi kerugian dalam penyelenggaraan TI.
Risiko yang perlu diasuransikan adalah residual risk. Bank hendaknya melakukan
review secara periodik atas kebutuhan, cakupan dan nilai asuransi yang ditutup.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
17
446
BAB II –PENGEMBANGAN & PENGADAAN
BAB II
PENGEMBANGAN DAN PENGADAAN SISTEM
2.1. PENDAHULUAN
Pengembangan dan pengadaan sistem mencakup pengelolaan sistem Teknologi Informasi
yang tepat melalui proses identifikasi, pengembangan/pengadaan, implementasi dan
pemeliharaan sistem Teknologi Informasi yang digunakan dalam proses bisnis Bank.
Pengembangan dan pengadaan sistem dimaksud dapat berupa pengembangan perangkat
lunak secara internal atau pembelian perangkat lunak, perangkat keras dan jasa
pengembangan sistem dari pihak ketiga. Apabila pengelolaan dan pengendalian proses
pengembangan dan pengadaan sistem lemah maka Bank dapat menghadapi berbagai
risiko akibat adanya kesalahan (error), kejahatan (fraud) maupun produk atau layanan
yang tidak tepat.
2.2. TUGAS DAN TANGGUNG JAWAB MANAJEMEN
Dalam melakukan pengembangan dan pengadaan Teknologi Informasi manajemen
wajib melakukan langkah-langkah pengendalian untuk menghasilkan sistem dan data
yang terjaga kerahasiaan dan integritasnya serta mendukung pencapaian tujuan Bank,
antara lain mencakup:
a. menetapkan dan menerapkan prosedur dan metodologi pengembangan dan pengadaan
Teknologi Informasi secara konsisten;
b. menerapkan manajemen proyek dalam pengembangan sistem aplikasi yang utama;
c. memastikan testing yang dilakukan pada saat pengembangan dan pengadaan suatu
sistem telah memadai;
d. memastikan sistem yang dikembangkan sesuai kebutuhan pengguna;
e. memastikan kesesuaian satu sistem dengan sistem yang lain;
f. melakukan dokumentasi sistem yang dikembangkan dan pemeliharaannya;
g. memiliki manajemen perubahan sistem aplikasi;
h. mengidentifikasi, mengukur dan mengendalikan secara memadai risiko-risiko yang
dapat timbul terkait dengan pengembangan dan pengadaan sistem;
i. memastikan bahwa Bank memiliki prosedur pengembangan sistem/aplikasi dalam
keadaan darurat atau emergency changes.
2.2.1 Manajemen Proyek
Untuk pengembangan/pengadaan sistem aplikasi yang utama, Bank harus memiliki
manajemen proyek untuk memastikan sistem aplikasi telah dikembangkan dengan
struktur yang baik dan telah mengakomodir kebutuhan pengguna serta sesuai dengan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
18
447
BAB II –PENGEMBANGAN & PENGADAAN
sistem Teknologi Informasi yang dimiliki Bank. Manajemen proyek dapat berbentuk
tim kerja yang anggotanya paling kurang berasal dari satuan kerja TI dan satuan kerja
pengguna. Sementara audit internal merupakan pihak independen yang memberikan
masukan bagi kedua satuan kerja tersebut dalam memastikan kecukupan pengendalian
di sistem aplikasi (advisory capacity).
2.2.2. Manajemen Perubahan Program
Yang dimaksud manajemen perubahan program adalah proses pengelolaan perubahan
selama dalam pengembangan program, misalnya terjadi perubahan user requirement,
perubahan teknologi pendukung yang digunakan.
Prosedur manajemen perubahan program harus dirumuskan, dijalankan dan
didokumentasikan dengan baik. Permintaan perubahan harus diteliti sebelum disetujui
untuk menentukan metode lain dalam melakukan perubahan, biaya perubahan, serta
waktu yang dibutuhkan untuk aktivitas pemrograman. Penyebab sebenarnya yang
menyebabkan perubahan harus diketahui dan didokumentasi dengan benar. Jejak audit
(audit trail) dari semua perubahan yang diminta harus dipelihara. Aktivitas
programmer harus diatur dan diawasi, dan semua pekerjaan yang ditugaskan harus
diawasi dengan seksama terhadap tanggal pencapaian target.
2.3.
KEBIJAKAN DAN PROSEDUR
Hal-hal yang perlu diperhatikan dalam kebijakan dan prosedur pengembangan dan
pengadaan antara lain:
a. Kebijakan dan prosedur pengembangan dan pengadaan sistem Teknologi Informasi
sekurang-kurangnya meliputi hal-hal berikut:
1) identifikasi dan analisis kebutuhan pengguna;
2) pendefinisian kebutuhan (user requirement);
3) rancangan system;
4) pemrograman;
5) pengujian;
6) implementasi;
7) post implementation review;
8) pemeliharaan.
b. Setiap pengembangan dan pengadaan sistem Teknologi Informasi harus selalu di
bawah kendali satuan kerja Teknologi Informasi.
c. Terhadap aplikasi yang dikembangkan oleh vendor atau dipengadaan dari pihak
ketiga, Bank harus melakukan proses pemilihan vendor/pihak ketiga yang mengacu
pada pedoman BI tentang outsourcing serta kebijakan dan prosedur intern. Bank
juga harus memastikan kecukupan pelatihan dan manual yang disusun sebagai
bagian dari kontrak antara Bank dan vendor.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
19
448
BAB II –PENGEMBANGAN & PENGADAAN
d. Kebijakan dan prosedur yang perlu dimiliki Bank dalam manajemen proyek antara
lain:
1) Studi kelayakan harus dilakukan untuk mengetahui biaya dan manfaat dari
pengembangan sistem, serta untuk menentukan apakah akan menggunakan
sumber daya internal atau outsource;
2) Persyaratan keamanan yang relevan harus dispesifikasikan secara jelas sebelum
sistem baru dikembangkan atau diperoleh. Persyaratan keamanan tersebut harus
sesuai dengan arsitektur keamanan informasi Bank secara keseluruhan;
3) Perencanaan yang baik harus dilakukan untuk memastikan bahwa proyek akan
memenuhi tujuannya;
4) Bank harus melakukan pemisahan lingkungan (environment) untuk
pengembangan, uji coba dan produksi, termasuk pembatasan akses ke masingmasing lingkungan;
5) Jika sistem didukung atau dipelihara oleh vendor/pihak lain, analisis yang baik
untuk pemilihan perangkat lunak harus dilakukan untuk memastikan kebutuhan
pengguna dan bisnis dapat dipenuhi;
6) Perjanjian kontrak antara Bank dan vendor harus diikat secara hukum;
7) Bank harus menerapkan manajemen pemeliharaan untuk semua proses
pengembangan dan pengadaan sistem yang telah diimplementasikan;
8) Seluruh hasil (deliverables) pada setiap tahapan manajemen proyek harus
didokumentasikan dengan baik.
9) Bank harus memiliki rencana proyek yang formal meliputi hal-hal sebagai
berikut:
a) identifikasi proyek, sponsor, dan manajer proyek;
b) tujuan proyek, informasi latar belakang dan strategi pengembangan;
c) deskripsi tanggung jawab utama dari tiap personil dalam manajemen
proyek;
d) prosedur untuk mengumpulkan dan menyebarkan informasi;
e) kriteria hasil yang ditargetkan untuk masing-masing tahap pengembangan
(acceptance criteria);
f) masalah keamanan dan pengendalian yang harus dipertimbangkan;
g) prosedur untuk memastikan manajer menilai, mengawasi, dan mengatur
risiko internal dan eksternal dengan benar sepanjang siklus pengembangan;
h) cut off date untuk mengalihkan penggunaan sistem aplikasi dari yang lama
ke versi terbaru hasil;
i) standar pengembangan yang akan digunakan untuk pengawasan proyek,
pengendalian sistem dan kendali mutu (quality assurance);
j) jenis dan tingkatan dokumentasi yang harus dihasilkan oleh personil di
setiap tahap proyek;
k) jadwal tahapan proyek dan aktivitas yang akan diselesaikan dalam tiap
tahap;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
20
449
BAB II –PENGEMBANGAN & PENGADAAN
l) estimasi anggaran awal dari keseluruhan biaya proyek;
m) rencana uji coba (testing plan) yang mengidentifikasikan kebutuhan uji coba
(testing requirement) dan jadwal prosedur uji coba;
n) rencana pelatihan yang mengidentifikasikan kebutuhan pelatihan dan jadwal
agar pegawai/karyawan dapat menggunakan dan memelihara aplikasi pasca
implementasi.
e. Kebijakan dan prosedur manajemen perubahan program yang harus dibuat Bank
adalah prosedur modifikasi yang sekurang-kurangnya mencakup:
1) peninjauan ulang sebelum modifikasi dan otorisasi;
2) pengujian sebelum modifikasi (dalam lingkungan pengujian yang terpisah);
3) prosedur backup data dan source code sebelum modifikasi;
4) dokumentasi yang terdiri atas:
a) Penjelasan dari modifikasi;
b) Alasan dari penerapan atau penolakan dari modifikasi yang diusulkan;
c) Nama individu yang membuat modifikasi;
d) Salinan dari source code yang diubah;
e) Tanggal dan waktu modifikasi dilakukan; dan
5) evaluasi setelah modifikasi.
f. Dokumentasi yang harus dibuat selama proses modifikasi berlangsung terdiri dari:
1) informasi yang menjadi prioritas;
2) identifikasi sistem, database dan satuan kerja yang terpengaruh;
3) nama dari individu yang bertanggung jawab dalam membuat perubahan;
4) kebutuhan sumber daya;
5) prediksi biaya;
6) prediksi tanggal penyelesaian;
7) prediksi tanggal implementasi;
8) pertimbangan potensi keamanan dan kehandalan;
9) kebutuhan uji coba;
10) prosedur implementasi;
11) perkiraan downtime pada saat implementasi;
12) prosedur backup;
13) pengkinian dokumentasi (rancangan program dan scripts, topologi jaringan,
manual pengguna, rencana kontinjensi, dll);
14) dokumentasi penerimaan modifikasi dari semua satuan kerja terkait (pengguna,
teknologi, quality assurance, keamanan, audit, dll); dan
15) dokumentasi audit pasca implementasi (perbandingan antara harapan dan hasil).
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
21
450
BAB II –PENGEMBANGAN & PENGADAAN
2.4.
MANAJEMEN RISIKO PENGEMBANGAN DAN PENGADAAN
Manajemen Bank bertanggung jawab terhadap manajemen risiko dari seluruh aktivitas
yang terkait dengan pengembangan dan pengadaan sistem Teknologi Informasi.
2.4.1. Identifikasi Jenis Risiko Terkait Pengembangan dan Pengadaan
Proses pengembangan dan pengadaan sistem Teknologi Informasi yang dilakukan oleh
Bank dapat memberikan kontribusi terhadap beberapa risiko, yaitu:
a. Risiko Operasional
Kesalahan, ketidakcukupan spesifikasi, kelemahan yang terdapat dalam sistem
yang dikembangkan atau dibeli oleh Bank dapat menimbulkan risiko operasional
antara lain terjadinya fraud, error dan ketidak sesesuaian dengan kebutuhan. Risiko
operasional tersebut juga dapat mempengaruhi risiko lainnya seperti risiko pasar,
likuiditas, strategik dan reputasi.
b. Risiko Reputasi
Kesalahan, keterlambatan atau kelalaian dalam pengembangan sistem Teknologi
Informasi yang digunakan Bank apabila mengganggu pelayanan kepada nasabah
dapat secara signifikan mempengaruhi reputasi Bank.
c. Risiko Strategik
Kegagalan sistem yang dikembangkan dapat menghasilkan data dan informasi yang
menyebabkan kesalahan pengambilan keputusan oleh manajemen.
d. Risiko Kepatuhan
Kegagalan dalam pengembangan atau akusisi sistem Teknologi Informasi untuk
mengikuti perubahan ketentuan dapat meningkatkan risiko kepatuhan bagi Bank.
Pada saat akan dilakukan pengembangan, Manajemen harus memperhatikan risiko
terkait faktor berikut ini:
a. ruang lingkup sistem yang akan dikembangkan meliputi sensitivitas data yang
diakses, dilindungi atau dikendalikan, volume transaksi, dan tingkat pentingnya
aktivitas dan fungsi tersebut terhadap bisnis Bank;
b. terkait dengan teknologi yang digunakan meliputi kehandalan (reliability),
keamanan (security), ketersediaan (availability), dan ketepatan waktu (timeliness)
serta kemampuan mengikuti perkembangan teknologi dan perubahan ketentuan.
2.4.2. Pengendalian Risiko Pada Pengembangan Sistem Aplikasi
Dalam melakukan pengembangan Bank harus menentukan metodologi yang akan
digunakan. Salah satu bentuk metodologi yang dapat digunakan oleh Bank adalah
System Development Life Cycle (SDLC). Dalam SDLC, tahap pengembangan suatu
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
22
451
BAB II –PENGEMBANGAN & PENGADAAN
sistem aplikasi bagi menjadi inisiasi, perencanaan, pendefinisian kebutuhan, desain,
pemrograman, uji coba, implementasi, kaji ulang pasca implementasi, dan
pemeliharaan. Contoh metodologi pengembangan lain yang dapat digunakan oleh bank
antara lain seperti agile software development, Rapid Application Development (RAD),
dan metode lain yang telah menjadi standarisasi pengembangan sistem. Namun
demikian, setidaknya dalam pelaksanaan dengan metode pengembangan lainnya, Bank
mengacu pada tahapan yang ada pada pedoman ini.
2.4.2.1. Tahap Inisiasi dan Perencanaan
Tahap inisiasi diawali dengan identifikasi kebutuhan untuk menambahkan,
menyempurnakan atau memperbaiki suatu sistem yang diminta oleh pengguna
melalui suatu proposal. Tahap inisiasi ini terdiri dari langkah-langkah antara lain
sebagai berikut:
a. penyusunan proposal yang berisi identifikasi kebutuhan pengguna untuk
menambahkan, menyempurnakan atau memperbaiki suatu sistem, tujuan dan
manfaat yang diharapkan serta bagaimana sistem yang akan dikembangkan dapat
mendukung strategi bisnis;
b. evaluasi proposal oleh manajemen;
c. persetujuan prinsip pengembangan/pengadaan sistem baru atau perubahan sistem;
d. studi kelayakan proyek yang antara lain pertimbangan bisnis, kebutuhan
fungsional, faktor-faktor yang mempengaruhi proyek dan analisis manfaat dan
biaya (cost and benefit analysis);
e. persetujuan manajemen atas dokumen studi kelayakan;
f. penandatanganan dokumen studi kelayakan oleh semua pihak terkait.
Setelah persetujuan pengembangan diperoleh pada tahap inisiasi, Bank melakukan
perencanaan untuk identifikasi lebih rinci atas aktivitas yang spesifik dan sumber
daya yang dibutuhkan untuk menyelesaikan proyek. Tahap perencanaan ini
menghasilkan suatu rencana proyek yang harus menjadi acuan dalam pelaksanaan
proyek dan harus dikinikan sesuai perkembangan proyek.
2.4.2.2. Tahap Pendefinisian Kebutuhan Pengguna (User Requirement Definition)
Berdasarkan dokumen studi kelayakan yang telah disetujui secara tertulis oleh
manajemen, manajer proyek dapat membentuk tim guna menyusun requirement
definition secara detail sebagai dasar dimulainya pengembangan sistem aplikasi. Pada
tahapan ini, seluruh kebutuhan pengguna dikumpulkan berdasarkan contoh-contoh
dokumen/form, spesifikasi proses dan sistem yang ada saat ini, interview dengan
pengguna akhir dan riset serta analisis terhadap ketentuan/regulasi yang berlaku.
Tahap pendefinisian kebutuhan pengguna ini terdiri atas:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
23
452
BAB II –PENGEMBANGAN & PENGADAAN
a. Pengumpulan kebutuhan (Requirements Elicitation), merupakan proses
pengumpulan informasi mengenai tujuan pengembangan sistem, output/ hasil
yang diinginkan, bagaimana sistem dapat mengakomodir kebutuhan bisnis proses
dan bagaimana sistem akan digunakan.
b. Analisis Kebutuhan (Requirements Analysis) merupakan proses pemahaman
permasalahan dan kebutuhan untuk menentukan solusi yang dapat dikembangkan.
Pada tahap ini, ditentukan perkiraan umum dari waktu dan biaya pengembangan
dari tiap kebutuhan. Hasil analisa kebutuhan digunakan untuk menghasilkan alur
bisnis proses (seperti Business Process Flows, Use Cases Modeling dan Data
Flow Diagrams) yang dapat memperjelas pemahaman mengenai kebutuhan dan
solusinya, baik bagi pengguna maupun pengembang.
c. Spesifikasi Kebutuhan (Requirements Specification) merupakan proses yang
mendeskripsikan fungsional sistem yang akan dikembangkan, baik dari segi
perangkat lunak maupun perangkat keras pendukung serta desain database.
Spesifikasi kebutuhan harus lengkap, komprehensif, dapat diuji, konsisten, jelas
dan merinci kebutuhan input, proses dan output yang dibutuhkan.
d. Pengelolaan Kebutuhan (Requirements Management) merupakan proses yang
dilakukan oleh tim proyek untuk mengidentifikasi, mengendalikan, dan
menyimpan setiap perubahan terhadap kebutuhan pada saat pengembangan
berjalan.
2.4.2.3. Tahap Merancang (Desain) Sistem
Tahap ini mengkonversikan kebutuhan informasi, fungsi dan jaringan yang
teridentifikasi selama tahap inisiasi dan perencanaan menjadi spesifikasi desain yang
akan digunakan pengembang. Salah satu teknis desain adalah dengan menggunakan
prototipe yang mengembangkan desain maket dari bagian aplikasi seperti tampilan
layar, struktur data dan arsitektur sistem. Pengguna akhir, perancang, pengembang,
database administrator dan network administrator harus melakukan kaji ulang dan
memilih desain yang diprototipekan dalam suatu proses iteratif (berulang-ulang)
sampai disepakati desain yang akan digunakan. Personil auditor, security dan quality
assurance harus dilibatkan dalam proses review dan persetujuan di atas.
Pada tahap desain diperlukan suatu standar pengendalian aplikasi yang
mencakup kebijakan dan prosedur terkait dengan aktivitas pengguna dan
pengendalian terintegrasi dalam sistem yang akan dikembangkan. Pada tahap ini,
audit intern berpartisipasi memberikan masukan pengendalian yang harus diterapkan
dalam sistem aplikasi. Tahap ini diperlukan untuk meningkatkan keamanan, integritas
dan kehandalan sistem dengan memastikan informasi input, proses dan output yang
terotorisasi, akurat, lengkap dan aman.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
24
453
BAB II –PENGEMBANGAN & PENGADAAN
Berdasarkan tujuannya, pengendalian terbagi atas pengendalian yang bersifat
pencegahan, deteksi/ temuan, atau koreksi. Pengendalian yang harus dilakukan paling
kurang meliputi:
a. Pengendalian Input
Minimal dapat mencakup pengecekan terhadap validitas/kebenaran data, range
data/ parameter, dan duplikasi data yang diinput;
b. Pengendalian Proses
Memastikan proses bekerja secara akurat dan dapat menyimpan informasi atau
menolaknya. Pengendalian proses yang dapat dilakukan secara otomatis oleh
sistem mencakup paling kurang Error Reporting, Transaction Log, pengecekan
urutan, backup file;
c. Pengendalian Output
Memastikan sistem mengelola informasi dengan aman dan mendistribusikan
informasi hasil proses dengan tepat serta menghapus informasi yang telah
melewati masa retensi.
2.4.2.4. Tahap Pemrograman
Dalam tahap ini dilakukan konversi spesifikasi desain menjadi program yang dapat
dijalankan. Selama tahap ini, Bank harus membuat rencana uji coba yang harus
dilakukan. Selain itu, Bank juga harus mengkinikan rencana migrasi, implementasi
dan pelatihan pengguna akhir, operator dan dokumentasi manual pemeliharaan.
a. Standar Pemrograman
Dalam standar pemrograman dijelaskan antara lain mengenai tanggung jawab
programmer aplikasi dan programmer sistem. Manajer proyek harus memahami
secara keseluruhan mengenai proses pemrograman untuk memastikan tanggung
jawab programmer telah sesuai, antara lain:
1) Membatasi akses programer terhadap data, program, utilitas, dan sistem di luar
tanggung jawabnya. Pengendalian librarian dapat digunakan untuk mengelola
akses tersebut.
2) Pengendalian versi merupakan metode yang secara sistematis menyimpan
kronologis dari salinan program yang disempurnakan serta menjadi salah satu
dokumentasi program.
b. Dokumentasi
1) Bank harus mengelola dan memelihara dokumentasi yang detail untuk setiap
sistem aplikasi baik yang dikembangkan sendiri maupun produk/perangkat
lunak yang dibeli atau dikembangkan pihak lain yaitu mencakup:
a) deskripsi detail aplikasi;
b) dokumentasi pemrograman;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
25
454
BAB II –PENGEMBANGAN & PENGADAAN
c) format-format yang digunakan (format database, format tampilan dan
informasi);
d) standar penamaan;
e) pedoman bagi operator dan pedoman untuk pengguna akhir.
2) Dokumentasi harus dapat mengidentifikasikan standarisasi pengembangan,
seperti narasi sistem, alur sistem, pengkodean khusus sistem, pengendalian
intern dalam dokumen aplikasi itu sendiri.
3) Dalam hal produk/perangkat lunak dibeli atau dikembangkan oleh pihak lain,
manajemen harus memastikan review telah dilakukan baik secara intern maupun
oleh pihak independen bahwa dokumentasi produk/ perangkat lunak telah sesuai
dengan standar minimum dokumentasi Bank.
2.4.2.5. Tahap Uji Coba
Bank harus melaksanakan beberapa rangkaian uji coba untuk memastikan
keakuratan dan berfungsinya sistem aplikasi sesuai kebutuhan pengguna serta
hubungan sistem aplikasi tersebut dengan sistem aplikasi lain (interoperability) yang
telah digunakan oleh Bank. Segala koreksi dan modifikasi yang dilakukan selama uji
coba harus didokumentasikan untuk menjaga integritas keseluruhan dokumentasi
program. Bank harus melengkapi pedoman bagi pengguna dan pengelola serta
menyiapkan rencana implementasi serta pelatihan. Ujicoba yang dapat dilakukan oleh
Bank antara lain adalah:
a. Unit Testing,
b. System Integration Tesing,
c. Stress Testing,
d. User Acceptance Test.
User Acceptance Test (UAT) merupakan uji coba akhir yang dilakukan oleh
pengguna akhir terhadap sistem/ aplikasi yang telah selesai dikembangkan dalam
rangka menguji fungsionalitas keseluruhan sistem apakah telah sesuai dengan
kebutuhan pengguna pada user requirement definition sebelum memutuskan
implementasi dapat dilakukan. Pada tahap ini audit intern dapat ikut melakukan
pengujian dengan tetap menjaga tingkat independensi apabila audit intern perlu
meyakini ketersediaan, kecukupan dan keefektifan pengendalian yang ada di sistem.
Jika hasil ujicoba menunjukkan bahwa sistem/ aplikasi telah sesuai dengan kebutuhan
pengguna, maka harus dibuat suatu berita acara UAT yang disetujui pengguna.
2.4.2.6. Tahap Implementasi
Pada tahap ini hal-hal utama yang perlu dilakukan antara lain pemberitahuan jadwal
implementasi, pelatihan pada pengguna dan instalasi sistem aplikasi yang telah
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
26
455
BAB II –PENGEMBANGAN & PENGADAAN
disetujui ke dalam lingkungan produksi. Hal-hal penting lainnya yang harus
diperhatikan antara lain:
a. pengecekan integritas program berupa pengendalian yang memadai terhadap
konversi dari source code ke object code yang akan diimplementasikan;
b. migrasi data dari sistem lama ke sistem baru;
c. pengecekan akurasi dan keamanan data hasil migrasi pada sistem baru;
d. kemungkinan diberlakukannya parallel run antara sistem yang lama dengan yang
baru, sampai dipastikan bahwa data pada sistem yang baru telah akurat dan
handal;
e. integritas data, di mana Bank harus memastikan keakuratan dan kehandalan dari
database dan integritas data;
f. pada saat implementasi, patching data dapat sangat mempengaruhi integritas data
pada database di server produksi, untuk itu harus dihindarkan;
g. pengaturan penyimpanan source code dan database dari sistem lama.
2.4.2.7.
Kaji Ulang Pasca Impelementasi (Post Implementation Review)
Manajemen harus melakukan review setelah implementasi pada akhir proyek untuk
mengetahui bahwa seluruh aktivitas dalam proyek telah dilaksanakan dan tujuan
proyek telah tercapai.
Manajemen harus menganalisa keefektifan aktivitas manajemen proyek dengan
membandingkan antara lain rencana dan realisasi biaya, manfaat yang diperoleh,
dan ketepatan jadual proyek. Hasil analisa harus didokumentasikan dan dilaporkan
kepada manajemen.
2.4.2.8.
Tahap Pemeliharaan
Terhadap perangkat keras, perangkat lunak dan dokumentasi harus dilakukan
pemeliharaan dalam rangka memastikan efektivitas operasional sistem. Bank harus
menetapkan metodologi pemeliharaan yang sesuai dengan karakteristik dan risiko
tiap proyek dari sistem aplikasi yang ada.
2.4.2.9.
Tahap Disposal
Setiap perangkat lunak hasil pengembangan/pengadaan yang sudah tidak digunakan
lagi dalam kegiatan operasional dan berdasarkan pertimbangan manajemen
diyakini tidak akan diperlukan dan tidak akan dipelihara lagi maka perangkat lunak
tersebut akan memasuki tahap terakhir dalam SDLC yaitu tahap
disposal/termination. Hal ini dilakukan untuk memastikan sistem yang paling
akurat dan terkini yang digunakan dalam kegiatan operasional serta menghindari
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
27
456
BAB II –PENGEMBANGAN & PENGADAAN
penyalahgunaan oleh pihak tidak berwenang. Pengaturan lebih lanjut mengenai
kebijakan disposal dijelaskan pada Bab III Operasional.
2.4.3.
Pengendalian Risiko Pada Pengadaan
Dalam hal akan digunakan sistem aplikasi yang dibeli dari pihak lain
(pengadaan), maka perlu pula diperhatikan kesesuaian spesifikasi dengan kebutuhan,
pengaruh terhadap sistem yang telah ada, dukungan teknis purna jual, kondisi
keuangan perusahaan, kelengkapan dokumentasi, escrow agreement dan pelatihan.
Sama seperti halnya mengembangkan sistem aplikasi sendiri, studi kelayakan proyek
pengadaan harus mendapat persetujuan manajemen, harus terdapat pendefinisian
kebutuhan pengguna, harus memiliki pengendalian pengamanan yang memadai dan
terdapat pengujian dan implementasi produk. Proses yang sama juga diterapkan
dalam pengadaan perangkat keras dan perangkat lunak lainnya.
Bank harus membuat kriteria pemilihan vendor dan melakukan kaji ulang
kemampuan vendor antara lain terkait dengan kondisi keuangan, tingkat dukungan
(support level), dan pengendalian keamanan, sebelum menetapkan pilihan produk
atau layanan dari vendor. Bank harus memperhatikan ketentuan terkait dan pedoman
Bank Indonesia tentang outsourcing, serta ketentuan intern Bank. Selain itu Bank
harus melakukan kaji ulang kontrak dan perjanjian lisensi (licensing agreement)
untuk memastikan hak dan tanggung jawab masing-masing pihak jelas dan wajar.
Penasehat hukum Bank harus melakukan konfirmasi bahwa jaminan pelaksanaan
(performance guarantees), akses terhadap source code, masalah hak cipta, dan
keamanan perangkat lunak/data telah diatur secara jelas sebelum pihak manajemen
menandatangani kontrak.
2.4.3.1. Standar Pengadaan
Standar pengadaan harus diterapkan untuk memastikan bahwa produk yang dibeli telah
memenuhi kebutuhan fungsional, kriteria keamanan, dan kehandalan. Alat utama dalam
mengatur proyek pengadaan adalah request for proposal (RFP) yang sekurangkurangnya memuat kebutuhan fungsional, keamanan, dan kebutuhan operasional secara
tepat, jelas dan terperinci. Dalam pengadaan sistem, manajer proyek harus melakukan
antara lain:
a. meninjau ulang secara menyeluruh mengenai kesesuaian vendor, kontrak, lisensi
dan produk yang diperoleh terhadap sistem yang ada.
a. harus membandingkan penawaran dengan persyaratan yang ada dalam proyek dan
antar sesama penawaran.
b. mengkaji kondisi keuangan vendor dan komitmennya terhadap pelayanan.
c. meminta pendapat penasehat hukum sebelum kontrak ditandatangani oleh
manajemen.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
28
457
BAB II –PENGEMBANGAN & PENGADAAN
2.4.3.2. Pedoman Proyek Pengadaan
Hal-hal yang harus diperhatikan dalam proyek pengadaan antara lain:
a. proyek pengadaan dimulai dengan pengajuan rencana proyek kepada manajemen.
b. prosedur harus ada untuk memfasilitasi proses permintaan dan memastikan
manajemen mereview secara sistematis terhadap seluruh permintaan.
c. permintaan harus didasarkan pada kebutuhan bisnis Bank untuk :
1) mendapatkan suatu produk;
2) mengidentifikasi fitur sistem yang diinginkan; dan
3) menggambarkan kebutuhan informasi, network interface, komponen
perangkat keras dan perangkat lunak.
d. Bank harus menyusun studi kelayakan untuk menentukan apakah Bank
membutuhkan pengadaan perangkat lunak baik yang dapat dimodifikasi sesuai
kebutuhan atau siap pakai (off-the shelf).
e. persetujuan dari seluruh pihak terkait atas studi kelayakan tersebut harus
didokumentasikan untuk selanjutnya dapat menjadi dasar dibuatnya suatu definisi
kebutuhan (Requirement Definition) seperti yang telah dijelaskan pada sub bagian
2.3.2.2 di atas.
f. setelah Bank menerima penawaran, Bank harus menganalisa dan membandingkan
penawaran antar peserta terhadap kebutuhan yang ditetapkan Bank. Proposal
vendor harus membahas dengan jelas semua kebutuhan Bank dan
mengidentifikasi isu-isu lain yang dapat diterapkan.
g. Bank harus memiliki prosedur untuk memastikan bahwa Bank telah melakukan
kaji ulang penawaran dengan benar. Proses seleksi akan menghasilkan daftar
vendor potensial.
h. manajemen harus mengkaji kembali kestabilan kondisi keuangan dan komitmen
pelayanan dari vendor yang terpilih.
i. Bank menentukan produk dan vendor serta menegosiasikan kontrak. Dalam hal
ini penasehat hukum hendaknya meninjau ulang kontrak tersebut sebelum
ditandatangani.
2.4.3.3. Escrow Agreement
Dalam hal aplikasi inti dibuat oleh pihak lain (vendor) dan source code tidak
diberikan, kepentingan Bank dalam rangka menjaga kelangsungan usaha perlu
dilindungi. Untuk memitigasi risiko atas terhentinya dukungan vendor maka Bank
wajib mempertimbangkan perlu tidaknya memiliki perjanjian tertulis berupa escrow
agreement atas perangkat lunak yang dianggap penting oleh Bank. Hal-hal yang
dipertimbangkan dalam penggunaan escrow agreement antara lain reputasi vendor,
perangkat lunak digunakan oleh banyak pihak baik di dalam maupun luar negeri.
Dalam escrow agreement terdapat pihak ketiga independen yang ditunjuk
untuk menyimpan source code. Bank secara periodik (minimal per tahun) harus
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
29
458
BAB II –PENGEMBANGAN & PENGADAAN
memastikan bahwa pihak ketiga menyimpan versi terkini dari source code. Agen
penyimpanan yang dipilih harus memastikan nomor dan tanggal versi source yang
disimpan dan memastikan kepada vendor mengenai integritas dari source code
tersebut.
2.4.3.4 . Kontrak Pengembangan dan Perjanjian Lisensi dari Perangkat Lunak
a. Lisensi Perangkat Lunak – Umum
Bank harus memastikan bahwa pada lisensi antara lain :
1) jelas tertulis apakah penggunaan perangkat lunak tersebut bersifat eksklusif atau
tidak;
2) siapa dan berapa banyak personil pada Bank yang dapat menggunakan
perangkat lunak termasuk penggunaan dalam jaringan;
3) apakah terdapat pembatasan lokasi penggunaan;
4) jika Bank menginginkan lisensi lokasi untuk pengguna yang tidak terbatas pada
suatu lokasi, harus dipastikan bahwa di dalam kontrak hal tersebut
dimungkinkan;
5) jika Bank menginginkan entitas terkait lainnya untuk menggunakan perangkat
lunak tersebut, seperti subsidiary atau vendor harus terdapat dalam daftar
lisensi.
Bank harus memastikan lisensi juga berlaku atas salinan back-up dari semua
perangkat lunak penting yang dibutuhkan di tempat yang terpisah (remote site)
dalam pelaksanaan disaster recovery atau memastikan kesinambungan kegiatan
usaha Bank (business continuity plan). Bank harus memahami dengan jelas
mengenai jangka waktu lisensi dan jika Bank menginginkan lisensi terus menerus
untuk menggunakan perangkat lunak, harus dipastikan bahwa pada kontrak tertulis
secara eksplisit mengenai hal tersebut.
b. Standar Spesifikasi Pengembangan dan Kinerja Perangkat Lunak
Dalam pengadaan suatu perangkat lunak, Bank harus membuat kontrak perjanjian
dengan pihak penyedia jasa pengembangan yang memuat standar spesifikasi
program yang diharapkan Bank sesuai dengan kebutuhan pengguna, antara lain:
1) kinerja yang diharapkan dan fungsional dari perangkat lunak;
2) persyaratan perangkat dan infrastruktur yang dibutuhkan untuk menjalankan
perangkat;
3) identifikasi dan spesifikasi fungsional di mana perangkat lunak operasional
akan bekerja dan identifikasi milestone dari fungsional yang harus dipenuhi
oleh vendor selama proses pengembangan;
4) pengaturan izin modifikasi dari spesifikasi dan standar kinerja selama proses
pengembangan;
5) identifikasi kebutuhan uji coba guna menentukan pemenuhan standar kinerja
perangkat lunak;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
30
459
BAB II –PENGEMBANGAN & PENGADAAN
6) tindakan yang harus dilakukan pihak pengembang jika perangkat lunak gagal
pada saat uji coba.
c. Pemeliharaan
Bank perlu memperhatikan apakah perjanjian lisensi atau pengembangan telah
memuat kesepakatan mengenai hal-hal yang diperlukan untuk pemeliharaan
perangkat lunak seperti dokumentasi, modifikasi, pengkinian dan konversi.
Kesepatan tersebut antara lain seperti:
1) vendor memberikan dokumentasi perangkat lunak, termasuk dokumentasi
sistem aplikasi dan petunjuk teknis penggunaan;
2) pelaksanaan dan biaya dari pengkinian dan modifikasi perangkat lunak;
3) kemungkinan Bank melakukan akses ke source code bila pihak penyedia jasa
tidak dapat memberikan layanan lagi atau terdapat modifikasi yang tidak dapat
dilakukan oleh pihak penyedia jasa;
4) kemungkinan konversi perangkat lunak dan data ke perangkat lunak dan format
data yang berbeda di masa mendatang.
Apabila diperlukan, hal-hal diatas dapat dimuat dalam suatu perjanjian
pemeliharaan yang tersendiri.
d. Garansi
Penelitian perlu dilakukan Bank untuk meyakini bahwa lisensi perangkat lunak dari
pihak vendor menjamin bahwa perangkat lunak:
1) tidak melanggar hak kekayaan intelektual dari pihak lainnya di seluruh dunia
2) tidak mengandung kode rahasia/ terbatas yang tidak diungkapkan atau
pembatasan secara otomatis pada perjanjian
3) akan bekerja sesuai spesifikasi dan harus dinyatakan tanggung jawab vendor jika
terjadi permasalahan
4) dijamin pemeliharaannya oleh vendor selama yang diperjanjikan
5) perjanjian lisensi tetap berlaku apabila terjadi merger, pengadaan atau perubahan
pemilikan baik pada Bank atau vendor.
e. Penyelesaian Perselisihan
Bank harus memasukkan klausula penyelesaian perselisihan pada kontrak dan
perjanjian lisensi. Pemahaman mengenai klausula tersebut akan meningkatkan
kemampuan Bank untuk menyelesaikan permasalahan dengan cara terbaik dan
memungkinkan untuk meneruskan pengembangan perangkat lunak selama periode
penyelesaian perselisihan.
f. Perubahan Perjanjian
Bank harus memastikan bahwa pada lisensi perangkat lunak secara jelas menyatakan
bahwa vendor tidak dapat memodifikasi perjanjian tanpa adanya persetujuan dari
kedua belah pihak.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
31
460
BAB II –PENGEMBANGAN & PENGADAAN
g. Keamanan
Bank harus menetapkan kriteria pengendalian keamanan (security control) atas
sistem Teknologi Informasi yang akan menjadi standar kinerja dari fitur keamanan
dalam perjanjian lisensi dan perjanjian pengembangan perangkat lunak. Standar
tersebut harus memastikan bahwa perangkat lunak yang dikembangkan konsisten
dengan keseluruhan program keamanan yang ada di Bank. Perjanjian lisensi dan
pengembangan tersebut antara lain harus membahas:
1) tanggung jawab terus menerus dari pihak vendor untuk melindungi keamanan dan
kerahasiaan sumber daya dan data Bank.
2) larangan bagi vendor untuk menggunakan atau mengungkapkan informasi yang
dimiliki Bank tanpa persetujuan Bank.
3) garansi dari vendor bahwa perangkat lunak tidak mengandung back door yang
memungkinkan akses oleh pihak yang tidak berwenang ke dalam sistem aplikasi
dan data Bank.
4) secara eksplisit menyatakan bahwa vendor tidak akan menggunakan fitur
perangkat lunak yang dapat mengakibatkan perangkat lunak tersebut tidak
berfungsi dengan baik.
h. Sub Kontrak Kepada Vendor Lain
Bank harus menetapkan klausula dalam perjanjian pengembangan yang melarang
penugasan kontrak oleh vendor kepada pihak ketiga tanpa persetujuan Bank. Apabila
memang terdapat kondisi dimana sebagian dari pengembangan perangkat harus di
subkontrakkan maka harus terdapat persetujuan tertulis dari Bank. Dalam
memberikan persetujuan sub kontrak tersebut, Bank harus mempertimbangkan
tingkat kesulitan dan ketersediaan ahli dalam pengembangan perangkat lunak tersebut
serta keamanan data Bank. Disamping itu Bank harus memastikan bahwa terdapat
klausula bahwa vendor bertanggung jawab terhadap perangkat lunak meskipun
dirancang atau dikembangkan oleh pihak lain.
2.4.4. Pengendalian Risiko Pada Pemeliharaan Sistem Aplikasi
Aktivitas pemeliharaan harus dilakukan oleh Bank mencakup layanan rutin dan
modifikasi terhadap perangkat keras, perangkat lunak dan informasi yang terkait untuk
memastikan efektifitas penggunaan Teknologi Informasi Bank. Untuk ini diperlukan
Standar Operasional Prosedur tentang Manajemen Perubahan (change management)
guna memastikan perubahan yang terjadi selama tahap pemeliharaan tidak akan
mengganggu kegiatan operasional Teknologi Informasi Bank atau menurunkan
kinerja/keamanan sistem. Manajemen perubahan mencakup modifikasi secara
keseluruhan, modifikasi minor (kecil), dan perubahan yang bersifat mendesak
(modifikasi darurat).
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
32
461
BAB II –PENGEMBANGAN & PENGADAAN
2.4.4.1. Manajemen Perubahan (Change Management)
Manajemen harus menetapkan SOP pengendalian perubahan secara detail
yang memuat prosedur otorisasi, uji coba, dokumentasi, implementasi dan sosialisasi
atas modifikasi teknologi tersebut.
Modifikasi mencakup perangkat keras dan lunak. Modifikasi perangkat keras
dibutuhkan untuk menggantikan peralatan yang lama atau tidak berfungsi atau
bahkan untuk meningkatkan kinerja atau kapasitas penyimpanan. Modifikasi
perangkat lunak dibutuhkan untuk memenuhi kebutuhan pengguna, memperbaiki
permasalahan perangkat lunak dan kelemahan keamanan atau mengimplementasikan
teknologi baru. Bank harus mengkoordinasikan modifikasi perangkat lunak dan patch
melalui proses manajemen perubahan yang terpusat karena adanya keterkaitan antar
sistem aplikasi dan sistem operasional.
Berdasarkan tingkat kepentingannya, modifikasi digolongkan menjadi:
1) modifikasi utama (major modification), merupakan perubahan fungsional secara
signifikan pada sistem aplikasi yang antara lain disebabkan karena adanya
konversi atau pengembangan sistem baru akibat adanya merger atau akuisisi
Bank. Modifikasi utama harus diterapkan mengikuti proses yang terstruktur
seperti yang dilakukan dalam siklus pengembangan sistem/aplikasi.
2) modifikasi minor, merupakan pelaksanaan perubahan pada sistem aplikasi atau
perangkat lunak sistem operasi untuk meningkatkan kinerja, memperbaiki
permasalahan atau meningkatkan keamanan. Standar modifikasi minor harus
mencakup permintaan perubahan, peninjauan kembali dan prosedur persetujuan
serta mensyaratkan manajemen untuk merencanakan, menguji coba dan
mendokumentasikan semua perubahan sebelum dilakukan implementasi. Bank
harus melakukan kaji ulang semua modifikasi yang diusulkan untuk memastikan
kesesuaian modifikasi dengan sistem yang ada dan memastikan bahwa hanya
modifikasi yang disetujui yang diimplementasikan. Bank harus menetapkan
standar persetujuan program yang mencakup prosedur untuk memverifikasi hasil
uji coba, memeriksa kode yang diubah dan memastikan kesesuaian source code. .
Setelah modifikasi program selesai, semua source code harus diamankan dalam
library baik versi terkini maupun versi sebelum diubah.
3) modifikasi darurat, dibutuhkan untuk memperbaiki permasalahan pada perangkat
lunak atau mengembalikan proses operasional dengan cepat. Meskipun
modifikasi tersebut harus diselesaikan dengan cepat, namun tetap harus
diimplementasikan dan dikendalikan dengan baik. Sebagaimana layaknya
modifikasi, modifikasi darurat harus diuji sebelum implementasi. Namun jika uji
coba tidak dapat dilakukan secara menyeluruh pada modifikasi darurat sebelum
implementasi, harus ada prosedur untuk melakukan backup file dengan benar. Hal
ini penting agar Bank dapat membatalkan modifikasi jika modifikasi tersebut
menyebabkan gangguan pada sistem.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
33
462
BAB II –PENGEMBANGAN & PENGADAAN
2.4.4.2. Patch Management
Vendor secara rutin mengembangkan dan mengeluarkan patches untuk memperbaiki
permasalahan pada perangkat lunak, memperbaiki kinerja, dan meningkatkan
keamanan. Jika terdapat patch baru, Bank harus mengevaluasi dampak secara teknis
dari instalasi patch tersebut terhadap bisnis dan security. Bank harus memiliki
prosedur untuk mengidentifikasi ketersediaan patches dari sumber yang terpercaya.
Standar pengaturan patch harus mencakup prosedur identifikasi, evaluasi,
persetujuan, pengujian, instalasi, dan dokumentasi dari patches. Bank harus meninjau
ulang semua security setting dan configuration parameter setelah penggunaan patch
baru untuk memastikan bahwa setting telah memenuhi kebijakan dan prosedur yang
disetujui.
2.4.4.3. Library
Untuk memastikan ketersediaan program yang digunakan, Bank harus memiliki
Library untuk menyimpan program. Selain itu perlu disimpan juga informasi dan atau
dokumen berupa data dan program yang berhubungan dengan server/mesin produksi
yang berasal dari pengembangan dan atau pengujian. Pengaturan lebih lanjut
mengenai pengendalian terhadap library dijelaskan pada Bab III - Operasional.
2.4.4.4. Konversi
Apabila terjadi merger Bank atau akuisisi yang memerlukan pengintegrasian
sistem yang digunakan Bank yang terlibat dalam merger atau akuisisi, maka perlu
dilakukan proses konversi. Dalam proses ini dilakukan modifikasi besar pada sistem
aplikasi atau sistem operasi yang ada dan pengembangan sistem baru apabila
diperlukan. Dalam proses konversi ini, proses yang terstruktur seperti siklus
pengembangan sistem/aplikasi tetap harus diterapkan.
Mengingat kompleksitas sistem di masing-masing Bank yang terlibat merjer,
diperlukan analisis secara komprehensif terhadap dampak konversi pada kegiatan
operasional Bank khususnya pemrosesan transaksi. Agar proses konversi berlangsung
secara efektif, Bank perlu mengantisipasi peningkatan permintaan untuk balancing,
reconcilement, exception handling, dukungan pengguna dan nasabah (help desk),
penyelesaian masalah (troubleshooting), keterhubungan jaringan dan sistem
administrasi.
2.4.4.5. Pemeliharaan Dokumentasi
Standar dokumentasi harus mengidentifikasikan dokumen utama dan dokumen
detail yang telah disetujui dan sesuai format yang diinginkan. Dokumentasi tersebut
harus berisi semua perubahan yang terjadi pada sistem, aplikasi dan konfigurasi
sesuai dengan standar yang ditentukan.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
34
463
BAB III–OPERASIONAL
BAB III
AKTIVITAS OPERASIONAL TEKNOLOGI INFORMASI
3.1. PENDAHULUAN
Perkembangan Teknologi Informasi (TI) memungkinkan bank menjalankan
kegiatan operasional yang semakin kompleks. Operasional TI tidak hanya terkonsentrasi
di pusat data (Data Center) tetapi juga pada aktivitas lainnya yang terkait dengan
pengggunaan aplikasi yang terintegrasi, beragam media komunikasi, koneksi internet,
dan berbagai platform komputer. Sementara itu akses input dan output dapat dilakukan
oleh banyak user dari berbagai lokasi. Demikian juga dengan pemrosesan, dapat
dilakukan di berbagai lokasi yang berjauhan namun saling terkait, baik secara online
realtime, on-line, maupun off-line. Oleh karena itu diperlukan pengendalian yang
memadai atas operasional TI agar bank dapat meminimalisasi risiko terganggunya
kerahasiaan, integritas, dan ketersediaan informasi.
Bab ini membahas aktivitas, risiko, dan pengendalian dari operasional TI yang
dapat dijadikan pedoman bagi Bank dalam rangka menerapkan manajemen risiko dalam
penggunaan TI di Bank. Pengaturan atas aktivitas operasional TI yang memadai sangat
penting untuk memastikan informasi pada sistem komputer adalah lengkap, akurat,
terkini, terjaga integritasnya, dan handal, serta terhindar dari kesalahan, kecurangan,
manipulasi, penyalahgunaan, dan perusakan data.
3.2. TUGAS DAN TANGGUNG JAWAB MANAJEMEN
Manajemen Bank bertanggung jawab untuk memastikan mekanisme operasional TI yang
stabil, aman, dan efisien secara keseluruhan, baik yang diselenggarakan sendiri maupun
menggunakan jasa pihak lain. Manajemen harus menetapkan kebijakan, standar, dan
prosedur operasional TI yang menjamin kesinambungan operasional TI Bank dan
memastikan penerapannya baik pada satuan kerja penyelenggara TI atau pihak penyedia
jasa maupun pada satuan kerja pengguna TI. Kesalahan atau kegagalan yang terjadi pada
aktivitas operasional TI dapat mengganggu kegiatan operasional dan pelayanan bank
kepada nasabah yang pada akhirnya mempengaruhi reputasi bank. Oleh karena itu
manajemen harus memastikan penilaian risiko dilakukan secara berkala pada aktivitas
operasional TI dan memutuskan penanganan risiko potensial yang tepat sesuai dengan
risk appetite yang telah ditetapkan.
3.3. KEBIJAKAN DAN PROSEDUR
Bank wajib memiliki kebijakan yang mencakup setiap aspek operasional TI. Kedalaman
dan cakupan kebijakan tersebut disesuaikan dengan kompleksitas operasional TI Bank.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
35
464
BAB III–OPERASIONAL
Kebijakan harus dijabarkan dalam prosedur tertulis yang digunakan dalam pelaksanaan
operasional TI. Prosedur memuat tanggung jawab, akuntabilitas, pemberian wewenang,
pedoman bagi para pelaksana. Selain itu manajemen harus menetapkan standar, yaitu
persyaratan yang harus dipenuhi oleh perangkat keras dan perangkat lunak yang
dipergunakan di lingkungan produksi, pengujian, dan pengembangan dalam
penyelenggaraan TI Bank.
3.3.1. Kebijakan Operasional Data Center
Kebijakan, sistem dan prosedur serta standar yang diterapkan dalam aktivitas
operasional Data Center mencakup aktivitas menjalankan tugas rutin maupun nonrutin. Aktivitas yang terkait dengan operasional Data Center antara lain:
a. penjadwalan tugas:
Bank wajib memiliki dan melaksanakan jadwal semua tugas yang harus dijalankan
di Data Center operasional TI efektif dan aman dari perubahan yang tidak sah.
b. pengoperasian tugas:
pemberian akses command line kepada operator TI harus dibatasi sesuai
kewenangan pada fungsi pengoperasian tugas yang telah ditentukan.
c. pendistribusian laporan/output:
Hasil informasi yang diproduksi oleh sistem (output), dalam bentuk softcopy atau
hardcopy, dapat merupakan informasi yang sensitif atau rahasia. Prosedur yang
harus dimiliki Bank meliputi penentuan informasi yang akan diproduksi,
pendistribusian output baik secara fisik maupun logik dan pemusnahan output yang
sudah tidak diperlukan lagi. Prosedur tersebut diperlukan untuk menghindari
terbukanya informasi yang bersifat rahasia dan meningkatnya biaya akibat adanya
output yang tidak diperlukan, dan untuk dapat memastikan keamanan output.
d. proses backup baik on-site maupun off-site, restore, download dan upload untuk
data/database;
e. pengaktifan jejak audit (audit trail).
3.3.2. Kebijakan Perencanaan Kapasitas
Bank perlu memiliki kebijakan dan prosedur perencanaan kapasitas untuk dapat
memastikan bahwa perangkat keras dan perangkat lunak yang digunakan Bank telah
sesuai dengan kebutuhan operasional bisnis dan mengantisipasi perkembangan usaha
Bank. Tanpa perencanaan kapasitas yang baik, Bank dapat menghadapi risiko
kekurangan atau bahkan pemborosan sumber daya TI. Perencanaan kapasitas
hendaknya disusun untuk jangka waktu cukup panjang dan selalu dikinikan untuk
mengakomodir perubahan yang ada.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
36
465
BAB III–OPERASIONAL
3.3.3. Kebijakan Pengelolaan Konfigurasi Perangkat Keras dan Perangkat Lunak
Bank harus menetapkan prosedur terkait:
a. proses instalasi perangkat keras dan perangkat lunak;
b. pengaturan parameter (hardening) perangkat keras dan perangkat lunak;
c. inventarisasi dan pengkinian informasi perangkat keras dan perangkat lunak,
perangkat jaringan, media penyimpan dan perangkat pendukung lainnya yang
terdapat di Data Center.
Inventarisasi yang dilakukan meliputi hal-hal sebagai berikut:
a. perangkat keras:
inventarisasi perangkat keras harus dilakukan secara menyeluruh termasuk
inventarisasi terhadap perangkat keras yang dimiliki oleh pihak lain tetapi berada di
Bank. Informasi yang penting antara lain nama vendor dan model, tanggal
pembelian dan instalasi, kapasitas processor, memori utama, kapasitas
penyimpanan, sistem operasi, fungsi, dan lokasi.
b. perangkat lunak:
Bank harus melakukan inventarisasi atas informasi mengenai nama dan jenis
perangkat lunak (sistem operasi, sistem aplikasi, atau sistem utilitas . Informasi lain
yang harus dicakup dalam inventarisasi perangkat lunak meliputi nama pembuat
atau vendor, tanggal instalasi, nomor versi dan keluaran (release), pemilik
perangkat lunak, setting parameter dan service yang aktif, jumlah lisensi yang
dimiliki, jumlah yang di-install dan jumlah user.
c. perangkat jaringan:
infrastruktur jaringan merupakan hal yang penting bagi operasional Bank, sehingga
manajemen harus mendokumentasikan secara lengkap konfigurasi jaringan.
Informasi yang harus dicakup antara lain:
1) diagram jaringan;
2) identifikasi seluruh koneksi intern dan ekstern Bank;
3) daftar dan kapasitas peralatan jaringan seperti switch, router, hub, gateway,
firewall, dll;
4) identifikasi vendor telekomunikasi antara intern Bank, Bank dengan pihak lain,
dan dengan internet;
5) rencana perluasan dan perubahan konfigurasi jaringan;
6) gambaran sistem pengamanan jaringan.
d. media penyimpan:
informasi yang diperlukan dalam inventarisasi media penyimpan antara lain jenis
dan kapasitas, lokasi penyimpanan baik on-site maupun off-site, tipe dan
klasifikasi data yang disimpan, source system serta frekuensi dan masa retensi
backup.
e. perangkat pendukung Data Center
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
37
466
BAB III–OPERASIONAL
Bank harus menginventarisasi perangkat pendukung Data Center antara lain UPS
dan power control, fire detection and extinguisher, air conditioning, pengukur
suhu dan kelembaban udara.
3.3.4.
Kebijakan Pemeliharaan Perangkat Keras dan Perangkat Lunak
3.3.4.1. Perawatan Perangkat Keras dan Fasilitas Data Center
Perawatan preventif secara berkala terhadap peralatan TI perlu dilakukan untuk
meminimalkan kegagalan pengoperasian peralatan tersebut dan untuk mendeteksi
secara dini permasalahan yang potensial. Untuk itu bank perlu memiliki kontrak
perawatan dengan vendor guna memastikan ketersediaan dukungan perawatan dari
vendor. Semua perawatan yang dilakukan hendaknya didasarkan jadual yang telah
ditetapkan, di dokumentasikan pada suatu log dan dilakukan review secara berkala.
3.3.4.2. Pengamanan Fisik dan Pengendalian Lingkungan Data Center
a. Pengendalian Akses Fisik Pusat Data (Data Center):
Akses fisik ke Data Center harus dibatasi dan dikendalikan dengan baik. Pintu
Data Center harus selalu terkunci, dilengkapi dengan kartu akses dan atau
biometric device. Ruang Data Center tidak boleh diberi label atau papan petunjuk
(signing board) sehingga orang mudah mengenalinya. Bank harus memiliki logbook untuk mencatat tamu yang memasuki Data Center.
b. Pengendalian Lingkungan Pusat Data:
Kondisi lingkungan pemrosesan TI yang tidak sesuai standar dapat menimbulkan
gangguan pada operasi TI. Oleh karenanya, manajemen harus melakukan antara
lain:
1) mengawasi dan memantau faktor lingkungan data center, antara lain
mencakup: sumber listrik, api, air, suhu, kelembaban udara. Pengendalian
lingkungan yang dapat diterapkan antara lain: penggunaan UPS
(Uninterruptible Power Supply), raised floor (lantai yang ditinggikan),
pengaturan suhu dan kelembaban udara (AC, termometer, dan hidrometer),
pendeteksi asap/api/panas, sistem pemadaman api, dan kamera CCTV.
2) memastikan tersedianya sumber listrik yang cukup, stabil, dan tersedianya
sumber alternatif untuk mengantisipasi tidak berfungsinya sumber listrik
utama. Untuk mengantisipasi putusnya arus listrik sewaktu-waktu, bank perlu
memastikan pengatur voltase listrik, UPS dan generator listrik dapat bekerja
dengan baik pada saat diperlukan. Bank juga harus menggunakan metode
pemindahan secara otomasi (automatic switching) jika terjadi gangguan pada
salah satu sumber listrik untuk menjaga pasokan listrik yang sesuai dengan
kebutuhan peralatan.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
38
467
BAB III–OPERASIONAL
3) memastikan Data Center memiliki detektor api dan asap serta pipa
pembuangan air. Selanjutnya, Bank harus menyediakan sistem pemadam api
yang memadai, baik yang dapat beroperasi secara otomatis maupun
dioperasikan secara manual. Zat pemadam api dan sistem yang digunakan
harus memperhatikan keamanan terhadap peralatan dan petugas pelaksana di
dalam Data Center.
4) menggunakan lantai yang ditinggikan (raised floor) untuk mengamankan
sistem perkabelan dan menghindari efek grounding di Data Center.
c. Kinerja Perangkat Keras dan Perangkat Lunak:
Pemantauan terhadap perangkat keras dan perangkat lunak minimal dilakukan
setiap hari untuk memastikan seluruh perangkat tersebut beroperasi sebagaimana
mestinya, misalnya server tetap dalam keadaan menyala, kapasitas database dan
utilitas server tidak melampaui limit, dan fasilitas pendukung berfungsi dengan
baik.
3.3.5. Kebijakan Pengelolaan Perubahan (Change Management)
Change Management adalah prosedur yang mengatur penambahan,
penggantian, maupun penghapusan obyek di lingkungan produksi. Obyek dimaksud
dapat berupa data, program, menu, aplikasi, perangkat komputer, perangkat jaringan,
dan proses. Bank harus memiliki kebijakan dan prosedur Change Management yang
paling kurang mencakup permintaan, analisis, dan persetujuan perubahan dan instalasi
perubahan termasuk pemindahan perangkat keras dan perangkat lunak dari lingkungan
pengujian ke lingkungan produksi.
Change Management harus memperhatikan hal-hal sebagai berikut:
a. Pengendalian Perubahan:
Ketergantungan antar aplikasi yang digunakan pada berbagai satuan kerja
memerlukan penyelenggaraan TI yang terintegrasi. Oleh karena itu semua
perubahan harus melalui fungsi pengawasan dalam Change Management yang
terkoordinir dan melibatkan perwakilan dari satuan kerja bisnis, unit penyelenggara
TI, keamanan informasi, dan audit internal. Prosedur instalasi perubahan harus
memperhatikan kelangsungan operasional pada lingkungan produksi, pengawasan,
dan pengaturan pengamanan sistem informasi. Standar minimum yang diatur harus
mencakup risiko, pengujian, otorisasi dan persetujuan, waktu implementasi,
validasi setelah penginstalan dan back-out atau recovery.
b. Patch Management:
Dalam Change Management, Bank harus memiliki dokumentasi yang lengkap
tentang instalasi patch yang dilakukan. Selain itu Bank harus memastikan bahwa
Bank menggunakan versi perangkat lunak dengan release terbaru yang paling
sesuai. Bank juga harus memiliki informasi terkini mengenai perbaikan produk,
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
39
468
BAB III–OPERASIONAL
masalah keamanan, patch atau upgrade, atau permasalahan lain yang sesuai dengan
versi perangkat lunak yang digunakan.
c. Migrasi data:
Migrasi data terjadi jika terdapat perubahan besar pada sistem aplikasi bank, atau
terjadi penggabungan data dari beberapa sistem yang berbeda. Dalam hal terdapat
migrasi data, Bank perlu memiliki kebijakan, prosedur mengenai penanganan
migrasi data. Tahap-tahap yang perlu dilalui dalam melakukan migrasi data
dimulai dari
rencana strategis, manajemen proyek, Change Management,
pengujian, rencana kontinjensi, back-up, manajemen vendor, dan post
implementation review.
3.3.6. Kebijakan Penanganan Kejadian/Permasalahan
Tanpa prosedur penanganan kejadian/permasalahan yang baik, Bank dapat
menghadapi risiko finansial, operasional, dan reputasi dari permasalahan yang timbul.
Prosedur penanganan kejadian/permasalahan harus mencakup perangkat keras, sistem
operasi, sistem aplikasi, perangkat jaringan, dan peralatan keamanan. Penjelasan lebih
lanjut dapat dilihat pada Bab V Pengamanan Informasi - Penanganan Insiden dalam
Pengamanan Informasi.
Bank wajib memelihara sarana yang diperlukan untuk menangani permasalahan
antara lain:
a. Help Desk
Fungsi help desk harus dimiliki oleh Bank agar Bank cepat tanggap terhadap
permasalahan yang dihadapi oleh seluruh pengguna (user) di Bank dan
menanganinya segera. Bank akan menghadapi risiko jika tidak memiliki prosedur
helpdesk yang memadai yaitu tidak dapat dipastikannya bahwa pengguna senantiasa
memiliki tempat bertanya dan memperoleh jawaban dan solusi atas permasalahanpermasalahan yang dihadapi.
Hal-hal yang perlu diperhatikan dalam fungsi helpdesk adalah:
1) Tersedianya dokumentasi permasalahan yang lengkap.
Dokumentasi permasalahan harus mencakup data user, penjelasan masalah,
dampak pada sistem (platform, aplikasi atau lainnya), kode prioritas, status
resolusi saat ini, pihak yang bertanggung jawab terhadap resolusi, akar
permasalahan (jika teridentifikasi), target waktu resolusi, dan field komentar
untuk mencatat kontak pengguna dan informasi relevan lainnya.
2) Sistem helpdesk yang berbasis pengetahuan.
Bank perlu menggunakan sistem yang berbasis pengetahuan untuk memberikan
dukungan kepada staf helpdesk tentang alternatif solusi permasalahan yang
umum terjadi. Bank secara berkala melakukan pengkinian terhadap sistem
tersebut dengan informasi yang didapat dari vendor dan dari pengalaman staf
helpdesk.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
40
469
BAB III–OPERASIONAL
b. Penanganan penggunaan Power User
Power user adalah user id yang memiliki kewenangan sangat luas. Dalam rangka
penanganan permasalahan, Bank wajib menetapkan prosedur penanganan power
user agar penggunaanya tidak disalahgunakan. Prosedur tersebut antara lain
mengatur tentang hal-hal berikut ini:
1) penetapan siapa saja yang memiliki hak akses power user termasuk penerapan
dual custody (pemecahan password kepada lebih dari 1 orang);
2) prosedur penyimpanan password power user;
3) prosedur break ID power user pada keadaan darurat;
4) prosedur penggantian password power user setelah digunakan;
5) pendokumentasian penggunaan power user dalam bentuk berita acara.
3.3.7. Kebijakan Pengelolaan Data Warehouse (DWH)
Bank harus memiliki kebijakan dan prosedur tentang pengendalian terhadap DWH.
Pengendalian terhadap sistem yang digunakan untuk DWH pada dasarnya diperlakukan
sama dengan pengendalian yang diterapkan terhadap sistem core banking dan sistem
lain yang merupakan sumber data bagi DWH. Jika pada sistem aplikasi sumber, data
tersebut diperlakukan sebagai data rahasia dan aksesnya terbatas, maka pada DWH
juga harus diperlakukan demikian juga. Pembatasan akses ini tidak terbatas pada akses
logical tetapi juga akses secara fisik terhadap sarana pendukung DWH dan laporanlaporan yang dihasilkannya. Adapun yang dimaksud dengan sistem mencakup sistem
operasi, sistem aplikasi, dan sistem jaringan.
3.3.8. Kebijakan Pengelolaan Database
Kegagalan dalam mengelola dan mengamankan database secara tepat dapat
mengakibatkan perubahan, penghancuran, atau pengungkapan informasi yang sensitif
oleh user secara sengaja maupun tidak sengaja atau oleh pihak lain yang tidak berhak.
Pengungkapan tanpa ijin terhadap informasi yang rahasia dapat mengakibatkan risiko
reputasi, hukum, dan operasional dan dapat menyebabkan kerugian finansial. Bank
perlu memiliki klasifikasi sensitivitas atas informasi yang disimpan pada database
sebagai dasar untuk melakukan pengawasan. Database yang menyimpan informasi
rahasia membutuhkan pengendalian yang lebih ketat dibandingkan database yang
menyimpan informasi yang tidak sensitif. Untuk itu, Bank wajib memiliki fungsi
Database Administrator (DBA) yang bertanggung jawab terhadap pengelolaan
database bank.
Prosedur yang wajib dimiliki Bank terkait database adalah pengaksesan,
pemeliharaan, penanganan permasalahan dan administrasi database.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
41
470
BAB III–OPERASIONAL
3.3.9. Kebijakan Pengendalian Pertukaran Informasi (Exchange of Information)
Pengiriman informasi secara online maupun melalui media penyimpan (seperti tape
dan disk) harus dikelola secara memadai oleh Bank untuk mencegah risiko terkait
pengamanan informasi. Bank harus memiliki prosedur pengelolaan transmisi informasi
secara fisik dan logik antara lain:
a. permintaan dan pemberian informasi oleh pihak internal dan eksternal;
b. pengiriman informasi melalui berbagai media, seperti: hardcopy, tape, disk, e-mail,
pos, dan internet.
Pada bank besar dengan kompleksitas TI yang tinggi, manajemen harus
mempertimbangkan pemisahan segmen WAN dan LAN dengan perangkat pengamanan
(seperti firewall) yang membatasi akses dan lalu lintas keluar masuknya data.
3.3.10 Kebijakan Fungsi Library
Fungsi librarian bertanggung jawab untuk menginventarisir dan menyimpan seluruh
perangkat lunak dan data yang tersimpan dalam berbagai media, antara lain tape dan
disk. Disamping itu librarian juga menyimpan copy dari seluruh kebijakan dan
prosedur seperti Data Center run book manual.
Adapun prosedur yang harus ditetapkan antara lain:
a. pengamanan akses ke data di library;
b. penanganan media penyimpan data (untuk data/database dan audit journal);
c. masa retensi media penyimpan data;
d. pengetesan media penyimpan data;
e. keluar dan masuk media penyimpan data dari dan ke library;
Dalam membuat kebijakan dan prosedur serta standar untuk library, Bank harus
memperhatikan kecukupan prosedur penyimpanan (storage)/back-up dan pembuangan
(disposal) media. Back-up data maupun program harus selalu dikinikan agar Bank
dapat memastikan kemampuannya untuk memulihkan sistem, aplikasi, dan data pada
saat terjadi bencana atau gangguan lainnya.
3.3.10 Kebijakan Fungsi Quality Assurance (QA)
Setiap pembuatan dan perubahan sistem harus melalui persetujuan fungsi QA sebelum
dipindahkan (migrasi) ke lingkungan produksi sesuai dengan pedoman pengembangan
sistem dan change management. Fungsi QA melakukan penilaian kualitas perangkat
keras dan perangkat lunak sesuai dengan standar yang ditetapkan.
3.3.11. Kebijakan Pengelolaan Hubungan dengan Pihak Penyedia Jasa
Apabila TI yang digunakan oleh Bank diselenggarakan oleh pihak lain maka Bank
wajib memantau dan mengevaluasi kehandalan pihak penyedia jasa secara berkala baik
yang menyangkut kinerja, reputasi penyedia jasa dan kelangsungan penyediaan
layanan. Untuk itu, Bank harus menunjuk personil yang bertugas memantau layanan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
42
471
BAB III–OPERASIONAL
penyedia jasa TI dengan menggunakan prosedur yang paling kurang mencakup
pemantauan layanan, pelaporan permasalahan dan dokumentasi yang terkait dengan
layanan pihak penyedia jasa.
3.3.12. Kebijakan Penghapusan Perangkat Keras dan Perangkat Lunak (Disposal)
Disposal meliputi penghapusan perangkat lunak, perangkat keras, dan data yang sudah
tidak digunakan lagi atau yang masa retensinya telah habis. Source code versi lama
yang sudah tidak dipakai lagi harus disimpan dengan indikasi yang jelas mengenai
tanggal, waktu dan informasi lain ketika digantikan dengan source code versi terbaru.
Kegiatan yang dilakukan meliputi antara lain:
a. memindahkan data dari sistem produksi ke media backup dengan mekanisme sesuai
prosedur, termasuk prosedur uji coba dan backup;
b. menyimpan dokumentasi sistem sebagai persiapan jika diperlukan untuk menginstall ulang suatu sistem ke server produksi;
c. mengelola arsip data sesuai masa retensi;
d. menghancurkan data yang habis masa retensinya.
3.4.
MANAJEMEN RISIKO OPERASIONAL TI
Proses manajemen risiko adalah mengidentifikasi, mengukur, mengendalikan, dan
memantau risiko pada fungsi-fungsi yang terkait dengan operasional TI.
3.4.1. Identifikasi Risiko Operasional TI
Proses identifikasi dimulai dengan pemahaman yang komprehensif terhadap bagaimana
Bank mengoperasikan TI demi mendukung tujuan organisasi kemudian
mengidentifikasi risiko yang dihadapi Bank. Manajemen harus memperhatikan
kejadian atau aktivitas yang dapat mengganggu operasional antara lain hal-hal berikut
ini:
a. Kesalahan investasi teknologi termasuk penerapan yang tidak benar, kegagalan dari
pihak supplier, pendefinisian dari kebutuhan bisnis yang tidak tepat,
ketidaksesuaian dengan sistem-sistem yang ada, atau keusangan software (termasuk
hilangnya dukungan vendor terhadap perangkat keras dan perangkat lunak yang
digunakan oleh Bank);
b. Permasalahan pengembangan sistem dan implementasi termasuk ketidak cukupan
manajemen proyek, biaya dan waktu yang melebihi batas, error pada
pemrograman, kegagalan untuk mengintegrasikan atau migrasi dari sistem yang
ada, atau kesalahan dari sebuah sistem untuk memenuhi kebutuhan pengguna;
c. Permasalahan pada kapasitas sistem seperti kekurangan pada perencanaan
kapasitas, ketidakcukupan kapasitas untuk mengakomodasi fleksibilitas sistem,
ketidakcukupan software untuk mengakomodasi pengembangan bisnis;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
43
472
BAB III–OPERASIONAL
d. Kegagalan sistem termasuk pada jaringan, interface, perangkat keras, perangkat
lunak, atau kegagalan komunikasi internal; dan
e. Pelanggaran pada keamanan sistem termasuk pelanggaran pada keamanan eksternal
dan internal, penipuan dalam pemrograman, atau virus pada komputer.
3.4.2. Pengukuran Risiko Operasional TI
Tinggi rendahnya risiko yang diukur tergantung pada faktor-faktor yang terkait antara
lain terdiri dari:
a. tingkat kepentingan bisnis;
b. perubahan pada cakupan sistem atau proses;
c. lokasi pengaksesan sistem (internal atau eksternal, termasuk internet, dial-up, atau
WAN);
d. sumber aplikasi: beli paket, dikembangkan secara internal, atau kombinasi dari
keduanya;
e. cakupan dan tingkat kekritisan sistem atau banyaknya unit bisnis yang terpengaruh;
f. kompleksitas tipe pemrosesan (batch, real-time, client/server, parallel distributed);
g. volume transaksi dan nilai transaksi;
h. klasifikasi dan sensitivitas data yang diproses atau digunakan;
i. dampak pada data (read, download, upload, update atau alter);
j. tingkat pengalaman dan kemampuan pengelola TI;
k. kecukupan jumlah dan kemampuan staf pelaksana;
l. keragaman platform, aplikasi dan delivery channel;
m. jumlah pengguna dan nasabah;
n. perubahan regulasi;
o. adanya risiko yang baru atau sedang berkembang dari teknologi yang sedang
dikembangkan atau risiko keusangan teknologi; dan
p. adanya kelemahan audit atau kelemahan yang ditemui dalam self-assessment.
3.4.3. Pengendalian Risiko Operasional TI
Atas setiap fungsi operasi TI yang ada, Bank harus memitigasi risiko yang telah
diidentifikasi dan diukur dengan cara-cara pengendalian yang telah ditetapkan dalam
kebijakan dan prosedur operasional TI Bank. Meskipun telah dimitigasi, Bank harus
tetap memantau risiko yang dikendalikan dan risiko sisa karena setiap gangguan yang
terdapat pada operasional TI pada akhirnya berdampak pada risiko operasional,
stategis, transaksi, dan reputasi Bank.
3.5.
AUDIT INTERN
Audit atas operasional TI perlu dilakukan untuk memastikan proses manajemen risiko
operasional TI berjalan dengan baik. Pengaturan lebih rinci mengenai audit intern di
bahas pada Bab IX tentang Audit Intern TI.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
44
473
BAB IV–JARINGAN KOMUNIKASI
BAB IV
JARINGAN KOMUNIKASI
4.1. PENDAHULUAN
Perkembangan teknologi jaringan komunikasi telah mengubah pendekatan usaha
Bank menjadi tanpa mengenal batasan waktu dan tempat. Bank dapat menyediakan
layanan berbagai produk perbankan secara on-line realtime dari seluruh kantor dan
delivery channel lainnya, seperti; Automated Teller Machine (ATM), internet Banking,
mobile Banking, dan Electronic Data Capture (EDC), baik milik Bank itu sendiri
maupun milik pihak penyedia jasa.
Jaringan komunikasi mencakup perangkat keras, perangkat lunak, dan media
transmisi yang digunakan untuk mentransmisikan informasi berupa data, suara (voice),
gambar (image) dan video. Penyelenggaraan jaringan komunikasi sangat terpengaruh
adanya perubahan dan rentan terhadap gangguan dan penyalahgunaan. Oleh karena itu
Bank perlu memastikan bahwa integritas jaringan dipelihara dengan cara menerapkan
kebijakan dan prosedur pengelolaan jaringan dengan baik, memaksimalkan kinerja
jaringan, mendesain jaringan yang tahan terhadap gangguan, dan mendefinisikan layanan
jaringan secara jelas serta melakukan pengamanan yang diperlukan.
4.2. PERAN DAN TANGGUNG JAWAB MANAJEMEN
Keamanan jaringan komunikasi merupakan tanggung jawab seluruh pihak dalam Bank.
Dalam pelaksanaannya Bank perlu memiliki petugas/fungsi yang menangani jaringan
komunikasi. Petugas/fungsi tersebut harus melakukan koordinasi dengan fungsi
pengelola pengamanan TI. Bank harus meyakini ketersediaan dan kecukupan kapasitas
layanan jaringan komunikasi baik yang dikelola oleh pihak internal Bank maupun pihak
penyedia jasa, diantaranya dengan tersedianya cadangan peralatan dan jasa yang
memadai. Manajemen harus memastikan terdapatnya pengawasan yang memadai dalam
pengoperasian jaringan komunikasi dan pada setiap pengembangan atau modifikasi
jaringan komunikasi. Manajemen perlu mempertimbangkan kebutuhan layanan yang
diinginkan sesuai dengan kondisi bisnis saat ini dan strategi yang akan dikembangkan.
4.3. KEBIJAKAN DAN PROSEDUR
Bank harus memiliki kebijakan dan prosedur sebagai pedoman dalam menerapkan
teknologi jaringan komunikasi untuk meyakinkan bahwa kelangsungan operasional dan
keamanan jaringan komunikasi tetap terjaga. Untuk itu Bank wajib menetapkan
baseline/standar yang digunakan secara internal untuk masing-masing.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
45
474
BAB IV–JARINGAN KOMUNIKASI
platform (misal berdasarkan protokol atau sistem operasi) dan diterapkan di semua
jaringan komunikasi yang digunakan oleh Bank.
Kebijakan dan prosedur yang perlu ditetapkan sekurang-kurangnya mencakup hal-hal
sebagai berikut:
a. pengukuran kinerja dan perencanaan kapasitas jaringan (performance and capacity
planning);
b. pengamanan jaringan komunikasi (network access controls, termasuk remote access);
c. change management (setting, configuration and testing);
d. network management, logging dan monitoring;
e. penggunaan internet, intranet, e-mail dan wireless (termasuk mekanisme penggunaan
jaringan komunikasi);
f. tersedianya prosedur penanganan masalah (problem handling);
g. tersedianya fasilitas untuk backup & recovery;
h. kecukupan kontrak dan tersedianya SLA yang sesuai dengan kebutuhan Bank dan
dipantau secara berkala apabila jaringan komunikasi yang digunakan oleh Bank
diselenggarakan oleh pihak penyedia jasa.
4.4.
MANAJEMEN RISIKO JARINGAN KOMUNIKASI
Bank harus melakukan identifikasi kemungkinan yang akan terjadi, mengukur dampak
yang mungkin ditimbulkan, dan melakukan upaya-upaya untuk mengelola risiko
penggunaan jaringan komunikasi. Berdasarkan hasil pengukuran yang telah dilakukan
atas risiko yang signifikan, maka Bank harus menerapkan pengendalian yang memadai.
Bank juga harus senantiasa memantau apakah seluruh risiko yang signifikan tersebut
telah ditangani dengan baik.
4.4.1. Identifikasi Risiko
Penggunaan teknologi jaringan komunikasi memberikan berbagai kemudahan dan
manfaat bagi Bank dan nasabah, namun demikian, perlu diperhatikan risiko-risiko yang
mungkin timbul, antara lain:
a. kehilangan data/informasi;
b. kehilangan integritas data/informasi;
c. tidak lengkapnya data/informasi yang ditransmisikan;
d. hilangnya kerahasiaan informasi;
e. tidak tersedianya jaringan komunikasi akibat gangguan atau bencana;
f. kehilangan/kerusakan perangkat jaringan komunikasi.
4.4.2. Pengendalian Risiko
Dalam mengendalikan risiko pada jaringan komunikasi, Bank harus memperhatikan
hal-hal sebagai berikut:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
46
475
BAB IV–JARINGAN KOMUNIKASI
a. Desain Jaringan Komunikasi
Jaringan komunikasi harus didesain sedemikian rupa sehingga efisien tetapi juga
dinamis untuk mengantisipasi pengembangan di masa yang akan datang. Pada tahap
ini, terdapat beberapa hal yang perlu diperhatikan, yaitu:
1) penentuan topologi jaringan komunikasi;
2) perencanaan kapasitas (capacity planning) jaringan komunikasi;
3) pemilihan media jaringan komunikasi;
4) backup perangkat keras, alternative routing (jalur alternatif) atau provider
alternatif;
5) pengamanan fisik dan logic:
a) penempatan perangkat jaringan pada lokasi yang aman terhadap gangguan
alam dan akses oleh orang yang tidak berhak;
b) pengaturan parameter sistem perangkat jaringan.
6) tersedianya jejak audit, sekurang-kurangnya terhadap perubahan-perubahan
pada setting parameter dan hak akses perangkat jaringan komunikasi dan juga
penggunaan atas hak akses tersebut.
b. Pengendalian Akses
Pengendalian akses di jaringan komunikasi sangat penting dan harus diperhatikan
karena jaringan komunikasi merupakan pintu utama untuk masuk ke dalam sistem
informasi Bank. Jika tidak dikelola dengan baik, maka keamanan informasi menjadi
terancam. Dalam menerapkan pengendalian akses, terdapat beberapa hal yang harus
diperhatikan oleh Bank, yaitu:
1) akses ke jaringan komunikasi oleh user didasarkan pada kebutuhan bisnis
dengan memperhatikan aspek keamanan informasi.
2) melakukan pemisahan jaringan komunikasi berdasarkan segmen baik secara
logical maupun fisik, misalnya pemisahan antara lingkungan pengembangan
dan produksi.
3) jika pemisahan secara fisik tidak dapat dilakukan, maka Bank harus
memisahkan jaringan komunikasi secara logical dan memantau security access
di jaringan komunikasi.
4) keputusan untuk terhubung ke jaringan komunikasi di luar Bank harus sesuai
dengan persyaratan pengamanan dan secara formal disetujui oleh manajemen
sebelum pelaksanaan.
5) menerapkan pengendalian yang dapat membatasi network traffic yang tidak sah
atau tidak diharapkan.
6) konfigurasi perangkat jaringan komunikasi harus diset dengan baik. Fungsifungsi atau services yang tidak dibutuhkan harus dinonaktifkan.
7) penggunaan perangkat pengamanan jaringan komunikasi, seperti firewall,
Intrusion Detection System (IDS), dan Intrusion Prevention System (IPS).
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
47
476
BAB IV–JARINGAN KOMUNIKASI
8) penggunaan penambahan perangkat monitor jaringan komunikasi (network
management system) dengan memperhatikan pengamanannya.
9) pengujian secara berkala terhadap keamanan jaringan komunikasi, misalnya
dengan penetration testing.
c. Operasi dan Pemeliharaan Jaringan Komunikasi
Pengoperasian dan pemeliharaan jaringan komunikasi harus dilakukan dengan
memperhatikan hal-hal berikut ini:
1) petugas yang mengoperasikan jaringan komunikasi harus secara jelas ditunjuk
oleh manajemen, memiliki kemampuan pengetahuan dan keterampilan yang
cukup, dan diberi tugas dan wewenang yang memadai untuk menjalankan
fungsinya;
2) Bank harus memiliki incident rensponse plan terhadap gangguan dan serangan
jaringan komunikasi;
3) Bank harus memiliki fasilitas backup perangkat keras/lunak jaringan
komunikasi, termasuk mekanisme restart/recovery yang telah teruji. Fasilitas
backup tersebut sebaiknya memiliki risiko yang berbeda dengan perangkat
utama seperti menggunakan pihak penyedia jasa yang berbeda;
4) patch dan release harus selalu dikinikan (setelah melalui pengujian intern)
untuk meyakini bahwa kelemahan-kelemahan telah diperbaiki.
4.4.3. Monitoring Risiko
Monitoring terhadap risiko yang mungkin timbul dalam jaringan komunikasi yang
digunakan oleh Bank antara lain mencakup hal-hal berikut ini:
a. jejak audit yang tersedia harus dipantau secara teratur untuk dapat mendeteksi
secara dini ada tidaknya penyimpangan;
b. kinerja jaringan komunikasi diukur secara berkala berdasarkan tingkat ketersediaan
(availability) dan response time;
c. Bank harus memantau kapasitas yang digunakan dan yang diperlukan untuk
rencana pengembangan bisnis dibandingkan dengan kapasitas terpasang;
d. Bank harus memantau dan menindaklanjuti penyusupan/serangan terhadap jaringan
komunikasi;
e. Bank harus melakukan kaji ulang pemberian akses ke pengguna secara berkala
untuk meyakinkan bahwa akses yang diberikan masih sesuai dengan tugas dan
wewenangnya. Selain itu perlu dilakukan kaji ulang atas pengguna jaringan
komunikasi di Bank yang memiliki akses ke jaringan komunikasi di luar Bank.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
48
477
BAB IV–JARINGAN KOMUNIKASI
4.5.
PENGENDALIAN INTERN
4.5.1. Audit Intern
Audit terhadap jaringan komunikasi harus dilakukan secara berkala oleh pihak
independen, baik Auditor Intern maupun Auditor Ekstern. Ruang lingkup audit atas
jaringan komunikasi antara lain mencakup kinerja jaringan komunikasi, logical access,
physical access, remote access, infrastruktur jaringan komunikasi, dokumentasi
jaringan komunikasi. Pengaturan lebih lengkap tentang audit mengacu pada Bab X
tentang Audit Intern TI.
4.5.2. Dokumentasi
Untuk dapat mengendalikan kegiatan pengelolaan jaringan komunikasi, Bank harus
memiliki dokumentasi jaringan komunikasi yang lengkap dan terkini, antara lain:
a. kebijakan, prosedur, standar, dan baseline tentang jaringan komunikasi;
b. diagram jaringan komunikasi secara rinci;
c. daftar dan spesifikasi perangkat lunak dan perangkat keras jaringan komunikasi;
d. daftar permasalahan dan penanganannya;
e. laporan monitoring jaringan komunikasi;
f. laporan perencanaan kapasitas jaringan komunikasi;
g. kontrak dan SLA dengan pihak ketiga penyedia jasa fasilitas jaringan komunikasi;
h. dokumen pengujian jaringan komunikasi;
i. dokumen pengimplementasian jaringan komunikasi;
j. dokumen perubahan jaringan komunikasi disertai alasannya;
k. daftar user dan wewenangnya.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
49
478
BAB V–PENGAMANAN INFORMASI
BAB V
PENGAMANAN INFORMASI
5.1.
PENDAHULUAN
Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang
terkait dengan nasabah, keuangan, laporan maupun informasi lainnya. Kebocoran,
kerusakan, ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi
tersebut dapat menimbulkan dampak yang merugikan baik secara finansial maupun
non-finansial bagi Bank. Dampak dimaksud tidak hanya terbatas pada Bank tersebut,
namun juga nasabah, Bank lain dan bahkan terhadap sistem perbankan nasional.
Mengingat pentingnya informasi, maka informasi harus dilindungi atau diamankan oleh
seluruh personil di Bank. Pengamanan informasi sangat bergantung pada pengamanan
terhadap semua aspek dan komponen TI terkait, seperti perangkat lunak, perangkat
keras, jaringan, peralatan pendukung (misalnya sumber daya listrik, AC) dan sumber
daya manusia (termasuk kualifikasi dan ketrampilan).
5.2.
TUGAS DAN TANGGUNG JAWAB
5.2.1. Dewan Komisaris
Dalam tugasnya mengarahkan dan melakukan evaluasi terhadap kebijakan Bank dalam
pengelolaan pengamanan Teknologi Informasi Dewan Komisaris hendaknya
melakukan koordinasi dengan direksi, antara lain meminta Direksi melaporkan
pembagian wilayah wewenang dan tanggung-jawab pada satuan kerja penyelenggara
TI dan satuan kerja pengguna TI, upaya peningkatan pengendalian pengamanan
informasi, serta penentuan risiko sisa (residual risk) yang akan ditanggung Bank.
Evaluasi tersebut mencakup juga evaluasi terhadap dampak masalah informasi terhadap
kelanjutan proses bisnis Bank.
5.2.2. Komite Pengarah Teknologi Informasi (IT Steering Commitee)
Komite Pengarah Teknologi Informasi bertanggung jawab untuk memberikan
rekomendasi kepada direksi paling kurang mengenai hal-hal sebagai berikut:
a. kebijakan pengamanan informasi sebagai bagian dari Rencana Strategis TI;
b. efektivitas implementasi kebijakan pengamanan informasi Bank;
c. efektivitas langkah-langkah mitigasi risiko yang dilakukan untuk meningkatkan
pengamanan informasi Bank.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
50
479
BAB V–PENGAMANAN INFORMASI
5.2.3
Direksi
Tanggung jawab Direksi untuk pengamanan informasi paling kurang mencakup hal-hal
sebagai berikut:
a. menetapkan kebijakan, sistem dan prosedur pengamanan informasi;
b. mendukung semua aspek program pengamanan informasi;
c. menetapkan pembagian tugas dan tanggung jawab untuk pengambilan keputusan
terkait manajemen risiko pengamanan informasi;
d. menetapkan tingkat risiko pengamanan informasi yang dapat diterima oleh Bank;
e. melakukan evaluasi terhadap hasil penerapan mitigasi risiko pengamanan
informasi;
f. mengkomunikasikan kepada satuan kerja pengguna TI dan penyelenggara TI
tentang pentingnya melakukan pengamanan informasi agar Bank dapat mencapai
tujuan pengamanan informasi yang diharapkan sesuai ketentuan yang berlaku.
5.2.4. Pejabat Tertinggi Pengamanan Informasi
Sesuai dengan kebijakan dan arahan Direksi, Pejabat Tertinggi Pengamanan Informasi
bertanggung jawab atas antara lain:
a. pengelolaan fungsi pengamanan informasi agar sesuai dengan kebijakan dan
ketentuan serta best practice yang berlaku;
b. pemantauan pelaksanaan pengamanan informasi di setiap bagian atau satuan kerja;
c. mengkomunikasikan program pengamanan informasi termasuk melakukan upaya
peningkatan kesadaran akan pengamanan (security awareness program)
d. menetapkan kriteria dan definisi pengukuran risiko pengamanan informasi;
e. melaksanakan program penilaian risiko pengamanan informasi termasuk menilai
kepatuhan seluruh bagian di Bank terhadap kebijakan pengamanan informasi dan
merekomendasikan pengendalian yang perlu dilakukan;
f. memastikan pihak ketiga yang memiliki akses terhadap informasi rahasia milik
Bank telah menerapkan pengamanan informasi secara memadai dan konsisten;
g. membantu koordinasi pengujian BCP;
h. mengkoordinasikan upaya pengamanan informasi dengan audit intern TI.
5.3.
PRINSIP, KEBIJAKAN DAN PROSEDUR PENGAMANAN INFORMASI
5.3.1 Prinsip Pengamanan Informasi
Pengamanan informasi sekurang-kurangnya memperhatikan prinsip-prinsip sebagai
berikut:
a. dilaksanakan untuk meyakini bahwa informasi yang dikelola terjaga kerahasiaan
(confidentiality), integritas (integrity) dan ketersediaannya (availability) secara
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
51
480
BAB V–PENGAMANAN INFORMASI
efektif dan efisien dengan memperhatikan kepatuhan (compliance) terhadap
ketentuan yang berlaku;
b. memperhatikan aspek sumber daya manusia , proses dan teknologi;
c. dilakukan berdasarkan hasil penilaian risiko (risk assessment) dengan
memperhatikan strategi bisnis Bank dan ketentuan yang berlaku;
d. menerapkan pengamanan informasi secara komprehensif dan berkesinambungan
yaitu dengan menetapkan tujuan dan kebijakan pengamanan informasi,
mengimplementasikan pengendalian pengamanan informasi, memantau dan
mengevaluasi kinerja serta keefektifan kebijakan pengamanan informasi serta
melakukan penyempurnaan.
Disamping hal-hal tersebut diatas, Bank perlu mempertimbangkan implementasi
standar internasional di bidang pengamanan informasi seperti ISO, IEC, COBIT, IT-IL
dan standar nasional seperti SNI, dengan memperhatikan kompleksitas usaha yang
meliputi antara lain keragaman dalam jenis transaksi/produk/jasa dan jaringan kantor
serta teknologi pendukung yang digunakan.
5.3.2. Kebijakan Pengamanan Informasi
Manajemen Bank harus menetapkan kebijakan dan memiliki komitmen yang tinggi
terhadap pengamanan informasi. Kebijakan tersebut harus dikomunikasikan secara
berkala kepada seluruh pegawai Bank dan pihak eksternal yang terkait. Disamping itu
dilakukan evaluasi secara berkala dan apabila terdapat perubahan penting. Kebijakan
tentang pengamanan informasi harus mencakup sekurang-kurangnya:
a. tujuan pengamanan informasi yang sekurang-kurangnya meliputi pengelolaan aset,
sumber daya manusia, pengamanan fisik, pengamanan logic (logical security),
pengamanan operasional TI, penanganan insiden pengamanan informasi, dan
pengamanan informasi dalam pengembangan sistem;
b. komitmen manajemen terhadap pengamanan informasi sejalan dengan strategi dan
tujuan bisnis;
c. kerangka acuan dalam menetapkan pengendalian melalui pelaksanaan manajemen
risiko Bank;
d. prinsip dan standar pengamanan informasi, termasuk kepatuhan terhadap ketentuan
yang berlaku, pelatihan dan peningkatan kesadaran atas pentingnya pengamanan
informasi (security awareness program), rencana kelangsungan bisnis dan sanksi
atas pelanggaran;
e. tugas dan tanggung jawab pihak-pihak dalam pengamanan informasi;
f. dokumen atau ketentuan lain yang mendukung kebijakan pengamanan informasi.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
52
481
BAB V–PENGAMANAN INFORMASI
5.3.3.
Prosedur Pengamanan Informasi
5.3.3.1. Prosedur Pengelolaan Aset
a. aset Bank yang terkait dengan informasi harus diidentifikasikan, ditentukan
pemilik/penanggungjawabnya dan dicatat agar dapat dilindungi secara tepat;
b. aset yang terkait dengan informasi tersebut dapat berupa data (baik hardcopy
maupun softcopy), perangkat lunak, perangkat keras, jaringan, peralatan pendukung
(misalnya sumber daya listrik, AC) dan sumber daya manusia (termasuk kualifikasi
dan ketrampilan);
c. informasi perlu diklasifikasikan agar dapat dilakukan pengamanan yang memadai
sesuai dengan klasifikasinya. Contoh dari klasifikasi tersebut adalah informasi
”rahasia” (misalnya data simpanan nasabah, data pribadi nasabah), ”internal”
(misalnya peraturan tentang gaji pegawai Bank) dan ”biasa” (misalnya informasi
tentang produk perbankan yang ditawarkan ke masyarakat). Klasifikasi dapat dibuat
berdasarkan nilai, sensitivitas, hukum/ketentuan dan tingkat kepentingan bagi Bank.
5.3.3.2.Prosedur Pengelolaan Sumber Daya Manusia
a. sumber daya manusia baik pegawai Bank, konsultan, pegawai honorer dan pegawai
pihak penyedia jasa yang memiliki akses terhadap informasi harus memahami
tanggung jawabnya terhadap pengamanan informasi;
b. peran dan tanggung jawab sumber daya manusia baik pegawai Bank, konsultan,
pegawai honorer dan pegawai pihak penyedia jasa yang memiliki akses terhadap
informasi harus didefinisikan dan didokumentasikan sesuai dengan kebijakan
pengamanan informasi;
c. dalam perjanjian atau kontrak dengan pegawai Bank, konsultan, pegawai honorer
dan pegawai pihak penyedia jasa harus tercantum ketentuan-ketentuan mengenai
pengamanan Teknologi Informasi yang sesuai dengan kebijakan pengamanan
informasi Bank. Sebagai contoh adalah perlu adanya klausula yang menyatakan
bahwa mereka harus menjaga kerahasiaan informasi yang diperolehnya sesuai
dengan klasifikasi informasi;
d. selain perjanjian antara Bank dengan perusahaan penyedia jasa, semua pegawai
perusahaan penyedia jasa tersebut yang ditugaskan di Bank harus menandatangani
suatu perjanjian menjaga kerahasiaan informasi (non-disclosure agreement);
e. pelatihan dan/atau sosialisasi tentang pengamanan informasi harus diberikan
kepada pegawai Bank, konsultan, pegawai honorer dan pegawai pihak penyedia
jasa. Pelatihan dan/atau sosialisasi ini diberikan sesuai dengan peran dan tanggung
jawab pegawai serta pihak penyedia jasa;
f. Bank harus menetapkan sanksi atas pelanggaran terhadap kebijakan pengamanan
informasi;
g. Bank harus menetapkan prosedur yang mengatur tentang keharusan untuk
mengembalikan aset dan pengubahan/penutupan hak akses pegawai Bank,
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
53
482
BAB V–PENGAMANAN INFORMASI
konsultan, pegawai honorer dan pegawai pihak penyedia jasa yang disebabkan
karena perubahan tugas atau selesainya masa kerja atau kontrak.
5.3.3.3.Prosedur Pengamanan Fisik dan Lingkungan
a. fasilitas pemrosesan informasi yang penting (misalnya mainframe, server, PC,
perangkat jaringan aktif) juga harus diberikan pengamanan secara fisik dan
lingkungan yang memadai untuk mencegah akses yang tidak terotorisasi, kerusakan
serta gangguan lain;
b. pengamanan fisik dan lingkungan terhadap fasilitas pemrosesan informasi yang
penting meliputi antara lain pembatas ruangan, pengendalian akses masuk
(misalnya penggunaan access control card, PIN, biometrics), kelengkapan alat
pengamanan di dalam ruangan (misalnya alarm, pendeteksi dan pemadam api,
pengukur suhu dan kelembaban udara, close-circuit TV) serta pemeliharaan
kebersihan ruangan dan peralatan (misalnya dari debu, rokok, makanan/minuman,
barang mudah terbakar);
c. fasilitas pendukung seperti AC, sumber daya listrik, fire alarm harus dipastikan
kapasitas dan ketersediaannya dalam mendukung operasional fasilitas pemrosesan
informasi;
d. aset milik pihak penyedia jasa (seperti server, switching tools) harus
diidentifikasikan secara jelas dan diberikan perlindungan yang memadai seperti
misalnya dengan menerapkan pengamanan yang cukup, dual control atau
menempatkan secara terpisah dari aset milik Bank;
e. harus dilakukan pemeliharaan dan pemeriksaan secara berkala terhadap fasilitas
pemrosesan informasi dan fasilitas pendukung sesuai dengan prosedur yang telah
ditetapkan.
5.3.3.4.Prosedur Pengamanan Logic (Logical Security)
a. Bank harus memiliki prosedur formal (tertulis dan telah disetujui oleh manajemen)
tentang pengadministrasian user yang meliputi pendaftaran, perubahan dan
penghapusan user, baik untuk user internal Bank maupun user eksternal Bank
(misalnya vendor atau pihak penyedia jasa);
b. Bank harus menetapkan prosedur pengendalian melalui pemberian password awal
(initial password) kepada user dengan memperhatikan antara lain hal-hal sebagai
berikut:
1) password awal harus diganti saat login pertama kali;
2) password awal diberikan secara aman, misalnya melalui amplop tertutup atau
kertas berlapis dua;
3) password awal bersifat khusus (unique) untuk setiap user dan tidak mudah
ditebak;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
54
483
BAB V–PENGAMANAN INFORMASI
4) pemilik user-id terutama dari pegawai Bank, pegawai honorer dan pegawai
pihak penyedia jasa harus menandatangani pernyataan tanggung jawab atau
perjanjian penggunaan user-id dan password saat menerima user-id dan
password;
5) Password standar (default password) yang dimiliki oleh sistem operasi, sistem
aplikasi, database management system, dan perangkat jaringan harus diganti
oleh Bank sebelum diimplementasikan dan sedapat mungkin mengganti user ID
standar dari sistem (default user ID).
c. Bank harus mewajibkan user untuk:
1) menjaga kerahasiaan password;
2) menghindari penulisan password di kertas dan tempat lain tanpa pengamanan
yang memadai;
3) memilih password yang berkualitas yaitu:
a) panjang password yang memadai sehingga tidak mudah ditebak;
b) mudah diingat dan terdiri dari sekurang-kurangnya kombinasi 2 tipe
karakter (huruf, angka atau karakter khusus);
c) tidak didasarkan atas data pribadi user seperti nama, nomor telepon atau
tanggal lahir;
d) tidak menggunakan kata yang umum dan mudah ditebak oleh perangkat
lunak (untuk menghindari brute force attack), misalnya kata ’pass’,
’password’, ’adm’, atau kata umum di kamus;
4) mengubah password secara berkala;
5) menghindari penggunaan password yang sama secara berulang.
d. Bank harus menonaktifkan hak akses bila user id tidak digunakan pada waktu
tertentu, menetapkan jumlah maksimal kegagalan password (failed login attempt)
dan menonaktifkan password setelah mencapai jumlah maksimal kegagalan
password;
e. Bank harus melakukan pemeriksaan/review berkala terhadap hak akses user untuk
memastikan bahwa hak akses yang diberikan sesuai dengan wewenang yang
diberikan.
f. Sistem operasi, sistem aplikasi, database, utility dan perangkat lainnya yang
dimiliki oleh Bank sedapat mungkin membantu pelaksanaan pengamanan
password, sebagai contoh:
1) memaksa user untuk mengubah passwordnya setelah jangka waktu tertentu dan
menolak bila user memasukkan password yang sama dengan yang digunakan
sebelumnya saat mengganti password;
2) menyimpan password secara aman (ter-enkripsi);
3) memutuskan hubungan atau akses user jika tidak terdapat respon selama jangka
waktu tertentu (session time-out);
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
55
484
BAB V–PENGAMANAN INFORMASI
4) menonaktifkan atau menghapus hak akses user jika user tidak melakukan
log-on melebihi jangka waktu tertentu (expiration interval), misalnya karena
cuti, pindah bagian.
g. Bank harus memperhitungkan risiko dan menerapkan pengendalian pengamanan
yang memadai dalam penggunaan perangkat mobile computing dan media
penyimpan data seperti notebook, hand phone, personal digital assistance, flash
disk, external hard disk, termasuk bila menggunakan wireless access atau wireless
network;
h. Bank harus memperhitungkan risiko dan menerapkan pengendalian pengamanan
yang memadai terhadap titik akses (access point) ke dalam jaringan komputer
dan/atau sarana pemrosesan informasi yang dapat dimanfaatkan oleh pihak yang
tidak berwenang;
i. Bank yang menggunakan file sharing harus menetapkan pembatasan akses
sekurang-kurangnya melalui penggunaan password dan pengaturan pihak yang
berwenang melakukan akses;
j. Bank perlu memperhatikan proses security hardening terhadap perangkat keras dan
perangkat lunak, seperti : setting parameter, patch.
5.3.3.5.Prosedur Pengamanan Operasional Teknologi Informasi
Hal-hal yang harus diperhatikan dalam pengamanan operasional TI antara lain:
a. informasi dan perangkat lunak harus dibuatkan backup dan prosedur recovery yang
teruji sesuai dengan tingkat kepentinganny;
b. Bank perlu mengantisipasi dan menerapkan pengendalian pengamanan yang
memadai atas kelemahan sistem operasi, sistem aplikasi, database dan jaringan,
termasuk ancaman dari pihak yang tidak berwenang seperti virus, trojan horse,
worms, spyware, Denial-Of-Service (DOS), war driving, , spoofing dan logic bomb;
c. Bank harus memiliki kebijakan dan prosedur pengkinian anti-virus dan patch dan
memastikan pelaksanaannya;
d. Bank harus membuat prosedur yang mencakup identifikasi patch yang ada,
melakukan pengujian, dan menginstalasinya jika memang dibutuhkan;
e. Bank juga harus memelihara catatan dari versi perangkat lunak yang digunakan dan
memantau secara rutin informasi tentang pengkinian (enhancement) produk,
masalah keamanan, patch atau upgrade, atau permasalahan lain yang sesuai dengan
versi perangkat lunak yang digunakan;
f. Bank harus menetapkan penggunaan enkripsi dengan menggunakan teknik
kriptografi tertentu dalam mengamankan proses transmisi informasi yang sensitif,
khususnya yang melalui jaringan di luar jaringan komunikasi Bank, sesuai dengan
perkembangan teknologi terkini. Penggunaan teknik kriptografi tersebut antara lain
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
56
485
BAB V–PENGAMANAN INFORMASI
ditujukan untuk menjaga dan memastikan kerahasiaan (confidentiality), integritas
(integrity), keaslian (authenticity), dan non-repudiation. Teknik yang dapat
dipertimbangkan antara lain penggunaan enkripsi, hash function, dan digital
signatures (menggunakan Public Key Infrastructure);
g. Bank harus menerapkan metode identifikasi dan otentikasi (authentication) sesuai
tingkat pentingnya aplikasi misalnya penggunaan one-factor authentication untuk
aplikasi “biasa” serta penggunaan two-factor authentication untuk aplikasi bersifat
“kritikal”;
h. Contoh metode identifikasi dan otentikasi antara lain log on id dan password, token
device atau biometrics (misalnya fingerprint, retina scan, face/iris/hand/palm
analysis, signature recognition, voice recognition);
i. Bank harus menyediakan dan melakukan kaji ulang atas jejak audit/log baik di
tingkat jaringan, sistem maupun aplikasi serta menetapkan jenis log (misalnya
administrator log, user log, system log), informasi yang harus dimasukkan ke
dalam log, jangka waktu penyimpanan atau kapasitas log dengan memperhatikan
ketentuan yang berlaku untuk keperluan penelusuran masalah.
5.3.3.6. Prosedur Penanganan Insiden dalam Pengamanan Informasi
Hal-hal yang harus diperhatikan Bank dalam melakukan penanganan insiden dalam
pengamanan informasi antara lain:
a. insiden yang terjadi harus dapat diidentifikasi, dilaporkan, ditindaklanjuti,
didokumentasikan dan dievaluasi untuk memastikan dilakukannya penanganan
yang tepat dan untuk mencegah terulangnya insiden;
b. Bank harus menetapkan prosedur penanganan insiden yang mengatur antara lain:
1) Siapa yang harus melaporkan insiden;
2) Jenis insiden yang harus dilaporkan;
3) Alur pelaporan insiden (point of contact);
4) Siapa yang bertanggung jawab untuk menindaklanjuti insiden;
5) Analisis atas insiden untuk mencegah terulangnya insiden;
6) Pendokumentasian bukti terkait insiden dan tindak lanjutnya.
c. Bank perlu mempertimbangkan pembentukan tim khusus yang menangani insiden
pengamanan (CSIRT – Computer Security Incident Response Team atau CERT –
Computer Emergency Response Team) sesuai dengan skala usaha dan
kompleksitas TI Bank;
d. Pegawai Bank, pegawai honorer dan pegawai pihak penyedia jasa diminta untuk
melaporkan setiap kali menemukan indikasi atau potensi kelemahan pada sistem
dan aplikasi sesuai kebijakan dan prosedur pelaporan insiden pengamanan.
Kelemahan yang perlu dilaporkan misalnya adanya virus dari e-mail yang masuk.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
57
486
BAB V–PENGAMANAN INFORMASI
5.3.3.7.
Prosedur lainnya
Selain ruang lingkup diatas, pengamanan informasi perlu diterapkan dalam aspek
lain seperti pengembangan dan pengadaan sistem, jaringan komunikasi data, BCP
dan DRP dan kegiatan penggunaan pihak penyedia jasa dalam penyelenggaraan TI.
5.4
PROSES MANAJEMEN RISIKO
5.4.1. Penilaian Risiko
Mengingat pentingnya TI dalam mendukung tercapainya rencana strategis
bisnis Bank, maka Bank harus mengelola seluruh sumber daya TI sebagai ”aset” Bank.
Sumber daya TI meliputi antara lain aplikasi, informasi, infrastruktur dan sumber daya
manusia. Untuk itu Bank harus melakukan evaluasi atas segala hal yang mengancam
sumber daya TI melalui proses identifikasi, pengukuran dan pemantauan risiko
potensial baik kecenderungan atau probabilitas terjadinya maupun besarnya dampak.
Terdapat berbagai pendekatan yang dapat dilakukan Bank dalam proses
identifikasi seperti pendekatan proses, aset, produk, dan kejadian. Pada pendekatan
berdasarkan aset, identifikasi risiko pengamanan informasi dilakukan dengan
melakukan klasifikasi terhadap ”aset” terkait teknologi informasi berdasarkan risiko.
Selanjutnya Bank melakukan pengukuran kecenderungan atau probabilitas terjadinya
risiko atas setiap aset dan besarnya dampak kerugian yang akan dialami untuk dapat
mengetahui besarnya risiko potensial yang harus dihadapi atau Nilai Risiko Dasar
(NRD). Contoh penilaian risiko pengamanan informasi yang menggunakan pendekatan
aset dapat dilihat di Lampiran 1.1. Penilaian ini dilakukan oleh setiap satuan kerja yang
memiliki sumber daya TI dan atau dapat dikoordinasikan oleh satuan kerja yang
membidangi TI atau manajemen risiko. Dalam menentukan aset yang kritikal maupun
mengukur risiko, setiap satuan kerja harus dapat menentukan kemungkinan adanya
ancaman (threats), serangan (attacks) dan kerawanan (vulnerability) dari setiap sumber
daya TI yang digunakan masing-masing satuan kerja serta kemungkinan dampaknya
pada integritas (integrity), kerahasiaan (confidentiality) dan ketersediaan (availability)
dari data/informasi yang dimiliki. Proses ini harus dilakukan Bank karena identifikasi
dan pengukuran risiko dapat menunjukkan potensial kegagalan atau kelemahan proses
pengamanan informasi yang dapat berpengaruh pada kesuksesan bisnis Bank sehingga
Bank dapat melakukan penanganan yang tepat terhadap setiap risiko potensial.
5.4.2. Pengendalian Dan Mitigasi Risiko
Berdasarkan hasil identifikasi dan pengukuran risiko, Bank harus menetapkan
bentuk penanganan risiko yang akan diterapkan untuk menimalisasi risiko yang
dihadapi Bank. Dari bentuk-bentuk penanganan risiko (accept, control/mitigate, avoid,
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
58
487
BAB V–PENGAMANAN INFORMASI
transfer), pengendalian dan atau mitigasi risiko memegang peranan penting karena
tanpa sistem informasi yang handal dan aktivitas pengendalian TI yang efektif, Bank
tidak mampu menghasilkan laporan keuangan yang akurat, terkini, utuh dan lengkap.
Secara umum bentuk pengendalian antara lain:
a. kebijakan, ketentuan dan prosedur yang ada di Bank;
b. sistem pengendalian risiko yang dilakukan dengan menggunakan teknologi
sehingga secara otomatis dapat memitigasi risiko yang ada seperti audit log, on line
approval, parameter value di sistem yang digunakan;
c. training dan security awareness program.
Tinjauan atas pengendalian dilakukan dua kali yaitu pertama pada proses
penilaian risiko (risk assessment) dimana Bank mengidentifikasi pengendalian yang
telah ada sebelumnya, dan kedua setelah mendapatkan Nilai Risiko Akhir (residual
risk). Dengan membandingkan Nilai Risiko Dasar (NRD) dengan Nilai Risiko Akhir
(NRA), Bank dapat menganalisis kelemahan dari bentuk pengendalian yang telah
diterapkan dan bentuk pengendalian pengamanan yang dapat direkomendasikan untuk
diterapkan kemudian. Bentuk pengendalian dapat beragam dan tidak terbatas pada
pengendalian umum (general controls) seperti pengendalian yang harus ada di
operasional Data Center maupun yang berupa pengendalian aplikasi (application
controls) seperti rekonsiliasi dalam balancing control activities. Dengan demikian atas
seluruh aset Bank baik pada level Bank, satuan kerja maupun masing-masing
petugas/pengguna TI dapat terhindar dari setiap risiko potensial.
5.5.
PENGENDALIAN INTERN DAN AUDIT INTERN
Auditor Intern TI harus melaksanakan program audit untuk memastikan bahwa
pengendalian pengamanan informasi telah diterapkan, memadai dan berjalan secara
efektif sesuai dengan kebijakan dan prosedur pengamanan informasi yang berlaku.
Pengendalian intern harus diterapkan dalam pengamanan informasi karena pengamanan
informasi adalah sebuah proses dinamis yang harus dilakukan secara
berkesinambungan. Evaluasi dan penyempurnaan terhadap kebijakan, prosedur dan
program pengamanan informasi harus selalu dilakukan antara lain dengan
melaksanakan pemantauan terhadap:
a. perkembangan teknik atau metode baru yang mengancam sistem pengamanan
informasi Bank;
b. laporan kinerja pengamanan informasi dalam rangka mengidentifikasi trend
ancaman atau kelemahan kontrol pengamanan. Secara lebih spesifik kegiatan ini
meliputi kaji ulang terhadap log aktivitas, investigasi anomali operasional dan
secara rutin mengevaluasi level akses terhadap sistem dan aplikasi TI;
c. tindak lanjut penanganan serangan atau insiden pengamanan informasi terhadap
Bank;
d. efektivitas penerapan kebijakan, prosedur dan pengendalian pengamanan informasi;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
59
488
BAB V–PENGAMANAN INFORMASI
e. kegiatan pencegahan terjadinya risiko potensial atas kemungkinan ancaman
terhadap keamanan informasi/sistem informasi seperti misalnya:
1) pembuatan proses yang memantau ancaman terhadap hardware/software,
instalasi security patches;
2) pengecekan pengkinian/updating anti virus;
3) pengawasan terhadap jasa-jasa pihak ketiga/vendor.
Pemantauan pengamanan informasi meliputi aspek teknis dan non-teknis.
Aspek non-teknis meliputi perubahan organisasi, perubahan proses bisnis, lokasi baru,
perubahan tingkat sensitivitas informasi atau penerbitan produk/jasa baru. Aspek teknis
meliputi sistem baru, penyedia jasa yang baru, dan perluasan/penambahan akses
terhadap informasi. Pemantauan tersebut dapat dilakukan oleh information security
officer atau apabila Bank tidak memilikinya maka dilakukan oleh pegawai Bank yang
berfungsi mengelola program pengamanan informasi. Namun demikian setiap
karyawan dan manajemen harus tetap waspada terhadap ancaman terhadap keamanan
informasi/sistem informasi.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
60
489
BAB VI–BUSINESS CONTINUITY PLAN
BAB VI
BUSINESS CONTINUITY PLAN
6.1.
PENDAHULUAN
Kegiatan perbankan tidak dapat terhindar dari adanya gangguan/kerusakan yang
disebabkan oleh alam maupun manusia misalnya terjadinya gempa bumi, bom,
kebakaran, banjir, power failure, kesalahan teknis, kelalaian manusia, demo buruh,
huru-hara dan sebagainya. Kerusakan yang terjadi tidak hanya berdampak pada
kemampuan teknologi suatu Bank, tetapi juga berdampak pada kegiatan operasional
bisnis Bank terutama pelayanan kepada nasabah. Bila tidak ditangani secara khusus,
selain Bank akan menghadapi risiko operasional, juga akan mempengaruhi risiko
reputasi dan berdampak pada menurunnya tingkat kepercayaan nasabah kepada Bank.
Untuk meminimalisasi risiko tersebut, Bank diharapkan memiliki Business Continuity
Management (BCM) yaitu proses manajemen terpadu dan menyeluruh untuk menjamin
kegiatan operasional Bank tetap dapat berfungsi walaupun terdapat gangguan/bencana
guna melindungi kepentingan para stakeholder. BCM merupakan bagian yang
terintegrasi dengan kebijakan manajemen risiko Bank secara keseluruhan. BCM yang
efektif perlu didukung dengan hal-hal sebagai berikut:
a. adanya pengawasan aktif manajemen;
b. melalui Business Impact Analysis dan Risk Assessment;
c. penyusunan Business Continuity Plan yang memadai;
d. dilakukannya pengujian terhadap BCP; dan
e. dilakukan pemeriksaan oleh Auditor Intern.
Business Continuity Plan (BCP) merupakan suatu dokumen tertulis yang
memuat rangkaian kegiatan yang terencana dan terkoordinir mengenai langkah-langkah
pengurangan risiko, penanganan dampak gangguan/bencana dan proses pemulihan agar
kegiatan operasional Bank dan pelayanan kepada nasabah tetap dapat berjalan. Rencana
tindak tertulis tersebut melibatkan seluruh sumber daya Teknologi Informasi (TI)
termasuk sumber daya manusia yang mendukung fungsi bisnis dan kegiatan
operasional yang kritikal bagi Bank.
Komponen prosedur BCP yang harus dimiliki Bank paling kurang meliputi
Disaster Recovery Plan (DRP) dan Contingency Plan (CP). Disaster Recovery Plan
(DRP) lebih menekankan pada aspek teknologi dengan fokus pada data
recovery/restoration plan dan berfungsinya sistem aplikasi dan infrastruktur TI yang
kritikal. Sedangkan Contingency Plan (CP) menekankan pada rencana tindak untuk
menjaga kelangsungan bisnisnya apabila terjadi gangguan atau bencana termasuk
tindakan antisipatif menghadapi kondisi terburuk misalnya bila TI yang digunakan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
61
490
BAB VI–BUSINESS CONTINUITY PLAN
sama sekali tidak dapat dipulihkan untuk waktu yang cukup lama. Contingency Plan
(CP) harus meliputi pula rencana untuk memastikan kelangsungan seluruh pelayanan
Bank termasuk yang dilaksanakan melalui electronic banking.
6.2.
PENGAWASAN AKTIF MANAJEMEN
Efektifitas dari BCP akan sangat bergantung pada komitmen manajemen untuk
menyediakan sumber daya yang diperlukan dalam rangka mengidenfikasi, menyusun
dan melakukan pengujian terhadap BCP.
6.2.1. Peran dan Tanggung Jawab Direksi
a. menetapkan kebijakan, strategi dan prosedur BCP;
b. menetapkan BCP yang dikinikan secara berkala;
c. memastikan adanya suatu organisasi atau tim kerja yang bertanggungjawab atas
BCP, yang terdiri dari personil yang kompeten dan terlatih;
d. meyakini bahwa BCP disosialisasikan kepada seluruh fungsi bisnis dan personil;
e. menelaah hasil kaji ulang atas pengujian BCP yang dilakukan secara reguler;
f. mengevaluasi hasil pemeriksaan audit intern atas kecukupan BCP.
6.2.2. Peran dan Tanggung Jawab Tim Kerja BCP
Agar BCP dapat berjalan dengan baik pada saat diperlukan, maka bank perlu
membentuk suatu organisasi atau tim kerja untuk mengkoordinasi pelaksanaan BCP,
yang terdiri dari:
a. koordinator;
b. anggota tim yang memiliki tanggung jawab terhadap:
1) satuan kerja bisnis;
2) satuan kerja TI antara lain offsite storage, aplikasi, perangkat keras dan
perangkat lunak, network, security, communication, data preparation and
records;
3) unit pendukung lainnya seperti Satuan Kerja Logistik, Pengamanan dan Umum,
Hubungan Masyarakat dan Legal, Sumber Daya Manusia.
Adapun peran tim kerja penanggung jawab BCP di atas sekurang-kurangnya meliputi:
a. bertanggung jawab penuh terhadap efektivitas penyelenggaraan BCP, termasuk
memastikan bahwa program awareness atas BCP diterapkan;
b. memutuskan kondisi disaster dan pemulihannya;
c. menentukan skenario pemulihan yang akan digunakan bila terjadi gangguan atau
bencana berdasarkan prioritisasi atas aktivitas, fungsi dan jasa yang dianggap kritis;
d. me-review laporan mengenai setiap tahapan dalam pengujian dan pelaksanaan BCP;
e. melaksanakan komunikasi kepada pihak intern dan ekstern Bank bila terjadi suatu
gangguan operasional yang bersifat major.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
62
491
BAB VI–BUSINESS CONTINUITY PLAN
6.3. PRINSIP-PRINSIP PENYUSUNAN BCP
Dalam penyusunan kebijakan, strategi dan prosedur yang akan diterapkan untuk
menangani keadaan disaster, Bank harus memastikan diterapkannya prinsip-prinsip
sebagai berikut:
a. penyusunan BCP hendaknya melibatkan seluruh satuan kerja dan fungsi bisnis, bukan
hanya satuan kerja TI;
b. BCP disusun berdasarkan Business Impact Analysis dan Risk Asessment yang
memadai;
c. BCP bersifat fleksibel untuk dapat merespon berbagai skenario ancaman dan
gangguan serta bencana yang sifatnya tidak terduga baik bersumber dari kondisi
internal maupun eksternal;
d. BCP bersifat spesifik, terdapat kondisi-kondisi tertentu dan tindakan yang dibutuhkan
segera dilakukan untuk kondisi tersebut;
e. dilakukan pengujian dan pengkinian secara berkala;
f. BCP dan hasil pengujian BCP harus dikaji ulang oleh audit intern secara berkala.
6.4. BUSINESS IMPACT ANALYSIS
Efektifitas dari suatu BCP akan sangat bergantung pada kemampuan manajemen
untuk secara tepat mengidentifikasi kritis tidaknya berbagai proses kerja atau aktivitas
yang ada di Bank sebelum BCP disusun atau dikaji ulang. Dengan demikian Business
Impact Analysis (BIA) merupakan dasar dari penyusunan keseluruhan BCP. Hal-hal yang
harus dianalisis dalam BIA meliputi:
a. tingkat kepentingan (criticality) masing-masing proses bisnis dan ketergantungan
antar proses bisnis serta prioritisasi yang diperlukan;
b. tingkat ketergantungan terhadap pihak penyedia jasa baik TI maupun non TI;
c. tingkat Maximum Tolerable Outage/Recovery Time Objective (berapa lama bank
dapat bekerja tanpa sistem atau fasilitas yang mengalami gangguan dan atau berapa
cepat sistem atau fasilitas tersebut harus berfungsi kembali);
d. tingkat Minimum Resources Requirement (personil, data dan kelengkapan sistem
serta fasilitas yang diperlukan secara minimal agar bisnis bisa pulih dan berjalan);
e. dampak potensial dari kejadian yang bersifat tidak spesifik dan tidak dapat dikontrol
terhadap proses bisnis dan pelayanan kepada nasabah;
f. dampak disaster terhadap seluruh departemen dan fungsi bisnis, bukan hanya
terhadap data processing;
g. estimasi downtime maksimum yang dapat ditoleransi dan tingkat toleransi atas
kehilangan data dan terhentinya proses bisnis serta dampak downtime terhadap
kerugian finansial;
h. jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
63
492
BAB VI–BUSINESS CONTINUITY PLAN
i. kemampuan dan pengetahuan petugas mengenai Contingency Plan dan ketersediaan
petugas pengganti di tempat pemulihan;
j. dampak hukum dan pemenuhan ketentuan yang terkait, seperti ketentuan mengenai
kerahasiaan data nasabah.
Dalam melakukan BIA di atas, baik satuan kerja TI maupun masing-masing unit
bisnis perlu memperhatikan bahwa BCP yang akan disusun bukan hanya untuk total
disaster namun untuk berbagai situasi bencana dan gangguan mulai dari yang minor,
major sampai dengan catastrophic.
Dengan demikian dampak yang harus diperhatikan bukan hanya yang dapat
diukur dengan jelas (tangible impact) seperti penalti akibat keterlambatan pembayaran
bunga atau biaya lembur pegawai, namun juga yang tidak dapat diukur secara jelas
(intangible impact) seperti kesulitan nasabah memperoleh pelayanan.
6.5. PENILAIAN RISIKO
Penilaian risiko (risk assessment) yang terdiri dari identifikasi dan pengukuran risiko
merupakan tahap kedua yang harus dilalui dalam penyusunan suatu BCP. Proses ini
diperlukan untuk dapat mengetahui tingkat kemungkinan terjadi gangguan pada kegiatan
bank yang penting (critical) serta dampaknya bagi kelangsungan usaha bank. Risk
assessment sekurang-kurangnya mencakup hal-hal sebagai berikut:
a. melakukan analisis atas dampak gangguan atau bencana terhadap bank, nasabah dan
industri keuangan;
b. melakukan gap analysis dengan membandingkan kondisi saat ini dengan langkah
atau skenario yang seharusnya diterapkan;
c. membuat peringkat potensi gangguan bisnis berdasarkan tingkat kerusakan (severity)
dan kemungkinan terjadinya (likelihood).
6.6. PROSES PENYUSUNAN BUSINESS CONTINUITY PLAN
Penyusunan BCP dilakukan setelah proses BIA dan Risk Assessment. Adapun
tujuan dan sasaran dari penyusunan BCP antara lain:
a. mengamankan aset penting bank;
b. meminimalisasi risiko akibat disaster misalnya membatasi kerugian finansial, risiko
hukum dan reputasi;
c. meyakini ketersediaan layanan yang berkesinambungan kepada nasabah; dan
d. mempersiapkan alternatif lain agar fungsi bisnis yang kritikal tetap dapat berjalan
untuk menjaga kelangsungan operasi bank.
BCP terdiri dari kebijakan, strategi, skenario dan prosedur yang diperlukan untuk
dapat memastikan kelangsungan proses bisnis pada saat terjadinya gangguan atau
bencana. BCP harus memuat beberapa alternatif strategi yang dapat diambil Bank untuk
mengatasi masing-masing jenis dan ukuran gangguan atau bencana. Strategi pemulihan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
64
493
BAB VI–BUSINESS CONTINUITY PLAN
tersebut disesuaikan dengan hasil BIA, analisis risiko, sumber daya yang dimiliki serta
kapasitas dan tingkat teknologi Bank. Contoh strategi yang dapat dipilih antara lain,
penggunaan jasa pihak lain (outsourcing), Disaster Recovery Center (hot site, warm site
atau cold site) dan atau Business Recovery Center. Setiap strategi yang dipilih
hendaknya disertai analisis/alasan yang melatarberlakangi dan harus didukung dengan
sistem dan prosedur yang sesuai.
6.6.1.Jenis Prosedur BCP
Adapun jenis-jenis prosedur dalam BCP antara lain mencakup:
a. prosedur tanggap darurat (emergency response - immediate steps) untuk
mengendalikan krisis pada saat terjadi gangguan/bencana, membatasi dampak
kerugian, serta menentukan perlu tidaknya mendeklarasikan keadaan disaster;
b. prosedur pemulihan sistem yang memungkinkan kegiatan operasional Bank dapat
kembali ke kondisi normal;
c. prosedur pemulihan bisnis (business recovery) yang menjabarkan tugas dan tanggung
jawab di masing-masing proses bisnis agar dapat segera memulihkan kegiatan
operasional Bank. Termasuk dalam hal ini contingency plan untuk pelayanan nasabah
secara manual apabila dibutuhkan;
d. prosedur sinkronisasi data digunakan untuk memastikan kesamaan antara data mesin
produksi dengan data yang ada di backup site, serta untuk memastikan semua data
hasil pemrosesan bisnis selama masa pemulihan telah masuk ke dalam sistem.
6.6.2. Komponen Prosedur BCP
Setiap prosedur BCP di atas hendaknya sekurang-kurangnya mencakup komponen
sebagai berikut:
a. Personil:
Apabila diperlukan, dalam organisasi tim kerja BCP dapat dibentuk sub-sub tim
untuk koordinasi, pelaksanaan prosedur tanggap darurat, pelaksanaan pemulihan
sistem, pelaksanaan pemulihan proses bisnis dan evaluasi atau umpan balik. BCP
harus secara jelas mengemukakan komposisi, wewenang dan tanggung jawab setiap
tim kerja tim kerja BCP dan memiliki alur komunikasi yang terintegrasi.
b. Teknologi:
Prosedur yang disusun harus memperhatikan komponen teknologi yang dimiliki
Bank seperti perangkat keras, perangkat lunak, fasilitas komunikasi, sampai dengan
peralatan pemrosesan kegiatan operasional di masing-masing fungsi bisnis.
Selain itu hal-hal yang berkaitan dengan data files dan vital records juga perlu
diperhatikan seperti keberadaan DRC dan dokumentasi sistem dan data backup.
c. Disaster Recovery Center ( DRC):
Bank harus memastikan ketersediaan DRC sebagai backup DC yang dapat
dioperasikan apabila DC tidak dapat beroperasi atau dalam kondisi disaster. Sesuai
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
65
494
BAB VI–BUSINESS CONTINUITY PLAN
dengan alternatif strategi yang dipilih Bank, DRC dapat dikelola sendiri maupun
oleh pihak penyedia jasa. Bank harus memperhatikan hal-hal sebagai berikut:
1) DRC hendaknya ditempatkan pada lokasi yang terpisah dari lokasi DC, dengan
memperhatikan faktor geografi:
a) jangkauan geografi atas suatu gangguan/bencana dan dampaknya terhadap
kota atau wilayah tempat lokasi DRC berada;
b) analisis risiko yang berkaitan dengan lokasi DRC (apakah wilayah gempa
atau petir) dan terhubung dengan infrastruktur komunikasi dan listrik yang
berbeda dengan DC, serta fasilitas lain yang diperlukan untuk tetap
berjalannya suatu sistem;
2) kondisi rentannya lokasi yang dipilih dengan kemungkinan huru-hara dan
kerusuhan;
3) DRC harus memiliki pasokan listrik dan sarana telekomunikasi yang dapat
menjamin beroperasinya DRC;
4) sistem di DRC harus kompatibel dengan sistem yang digunakan pada DC dan
harus disesuaikan jika terjadi perubahan pada DC;
5) merupakan restricted area; dan
6) memperhitungkan waktu tempuh untuk terjaminnya proses recovery.
d. Backup Dokumentasi, Sistem dan Data
Bank harus meyakini ketersediaan backup yang efektif dari informasi bisnis yang
penting, perangkat lunak dan dokumentasi terkait sistem dan user untuk setiap
proses fungsi bisnis yang penting (critical). Hal-hal yang harus diperhatikan dalam
dokumentasi, sistem dan data backup antara lain:
1) backup dimaksud harus disimpan di lokasi lain dari DC (off site). Setiap
perubahan dan modifikasi harus didokumentasikan dan salinannya juga harus
diperbaharui;
2) media backup harus disimpan di lingkungan yang aman di lokasi off site dengan
standar sistem pengamanan yang memadai;
3) full system backup harus dilakukan secara periodik. Jika terjadi perubahan
sistem yang mendasar maka full system backup harus dilakukan sesegera
mungkin;
4) seluruh media backup menggunakan standar labeling/penamaan untuk dapat
mengidentifikasi penggunaan, tanggal dan jadual retensi;
5) media backup harus diuji secara regular untuk meyakini bahwa dapat digunakan
pada saat diperlukan (keadaan emergency);
6) Bank harus memiliki prosedur untuk disposal media backup.
e. Business Recovery Center (BRC)/Crisis Center/Business Resumption Center
BCP harus memiliki skenario mengenai lokasi kegiatan dari masing-masing fungsi
bisnis untuk berbagai tingkat disaster. Untuk tingkat bencana total disaster atau
catasthropic, Bank sebaiknya menyiapkan lokasi alternatif agar tetap dapat
menjalankan kegiatan fungsi bisnis.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
66
495
BAB VI–BUSINESS CONTINUITY PLAN
f. Fasilitas Komunikasi
Bank harus memastikan bahwa alternatif jalur komunikasi yang terdapat di wilayah
operasional Bank dapat digunakan pada saat gangguan/bencana, baik di lingkungan
intern maupun dengan pihak ekstern.
6.7.
PENGUJIAN BCP
Pengujian BCP diperlukan untuk meyakini bahwa BCP dapat dioperasikan
dengan baik pada saat terjadi gangguan/bencana. Uji coba dilakukan atas BCP dan
DRP sekurang-kurangnya 1 (satu) tahun sekali untuk seluruh sistem/aplikasi kritikal
(sesuai hasil Business Impact Analysis) dan mewakili seluruh infrastruktur yang kritikal
serta melibatkan end user (end to end).
Apabila Bank menggunakan pihak penyedia jasa dalam kegiatan operasionalnya
maka pengujian yang dilakukan juga perlu melibatkan pihak eksternal tersebut. Dalam
hal Bank melakukan perubahan yang sangat mendasar terhadap sistem, aplikasi atau
infrastruktur teknologi informasinya (misalnya perubahan pada core banking system),
maka harus dilakukan pengujian DRP selambat-lambatnya 6 bulan setelah perubahan
sistem dimaksud diimplementasikan.
6.7.1. Ruang Lingkup Pengujian BCP
Manajemen harus secara jelas menentukan fungsi, sistem dan proses apa saja yang akan
diuji. Hal-hal yang perlu dilakukan pengujian antara lain meliputi efektifitas dari:
a. prosedur evakuasi personil dan jalur komunikasi yang ditetapkan (call tree);
b. prosedur penetapan kondisi disaster;
c. fasilitas DRC dan BRC yang disediakan oleh pihak lain baik yang hanya untuk
Bank sendiri maupun yang digunakan bersama dengan Bank-Bank lain;
d. prosedur pemulihan atas data penting;
e. pengembalian kegiatan operasional Bank dan Data Center ke lokasi unit bisnis dan
pusat data semula.
Pengujian yang dilakukan harus didokumentasikan secara tertib dan dievaluasi untuk
meyakini efektifitas dan keberhasilan pengujian. Jika dalam pengujian didapati
kelemahan atas BCP, maka BCP perlu disempurnakan.
6.7.2. Test Plan (Skenario Pengujian)
Bank harus memiliki skenario pengujian untuk setiap uji coba yang akan
dilakukan dan skenario tersebut harus dikaji kecukupannya. Pelaksanaan skenario
tersebut tidak boleh mengganggu kegiatan operasional Bank. Hasil uji coba diharapkan
dapat mendeteksi adanya kelemahan dari prosedur yang ada dalam rangka perbaikan
BCP.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
67
496
BAB VI–BUSINESS CONTINUITY PLAN
Dalam hal ini Bank perlu memvalidasi asumsi yang digunakan dalam skenario
pengujian/test plan, antara lain mengenai:
a. tingkat kritikal proses fungsi bisnis atau sistem yang diuji;
b. volume transaksi;
c. ketergantungan antar proses bisnis;
d. strategi BCP yang dipilih Bank;
e. ketersediaan dan kecukupan sumber daya yang diperlukan agar sesuai dengan
service level yang ditetapkan, seperti waktu yang diperlukan untuk mempersiapkan
fasilitas yang ada, mempersiapkan file backup atau mempersiapkan dokumen.
6.6.3. Analisis dan Laporan Hasil Pengujian
Hasil pengujian dan analisis dari setiap permasalahan yang ditemukan pada saat
pengujian harus dilaporkan kepada direksi. Hal yang dilaporkan antara lain meliputi:
a. penilaian ketercapaian tujuan pengujian;
b. penilaian atas validitas pengujian pemrosesan data;
c. tindakan korektif untuk mengatasi permasalahan yang terjadi;
d. deskripsi mengenai kesenjangan antara BCP dan hasil pengujian serta usulan
perubahannya;
e. rekomendasi untuk pengujian selanjutnya.
Apabila hasil uji coba mengalami kegagalan maka Bank harus mengkaji
penyebab kegagalan atau permasalahan yang terjadi dan melakukan pengujian ulang.
6.7. PEMELIHARAAN BCP DAN AUDIT INTERN
6.7.1. Pemeliharaan BCP
Bank harus memastikan bahwa BCP dapat digunakan setiap saat antara lain
dengan menyimpan salinan dokumen BCP di lokasi alternatif (alternate site),
meningkatkan pemahaman semua pihak di Bank maupun di penyedia jasa atas
pentingnya BCP dan berpartisipasi aktif dalam pelaksanaan BCP. Setiap personil inti di
Tim Kerja BCP harus memiliki ringkasan prosedur tanggap darurat BCP serta daftar
contact person terkini yang harus dihubungi pada saat terjadi gangguan/bencana (call
tree).
Di samping itu setiap satuan kerja secara berkala harus melakukan self
assessment kesesuaian Business Impact Analysis dengan perubahan yang terjadi dalam
kegiatan operasional baik yang diselenggarakan sendiri maupun oleh pihak penyedia
jasa.
Bank harus melakukan pengkinian BCP untuk meyakinkan kesesuaiannya
dengan kondisi eksternal maupun internal. Dalam melakukan pengkinian, hal-hal yang
perlu diperhatikan antara lain perubahan yang ada dalam proses bisnis, struktur
organisasi, sistem, software, operating system, hardware, personil/key staff, fasilitas,
counterparties dan service providers. Perubahan tersebut harus dianalisa pengaruhnya
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
68
497
BAB VI–BUSINESS CONTINUITY PLAN
terhadap BCP yang ada saat ini dan menentukan perbaikan yang dibutuhkan untuk
mengakomodasi perubahan tersebut dalam BCP terbaru. Selanjutnya BCP hasil revisi
tersebut harus didokumentasikan dan didistribusikan ke seluruh organisasi.
6.7.2. Audit Intern
Auditor Intern harus melakukan pemeriksaan terhadap:
a. kesesuaian BCP dengan kebijakan manajemen risiko Bank;
b. BCP mencakup kegiatan kritikal berdasarkan Business Impact Analysis;
c. kecukupan BCP untuk mengendalikan dan memitigasi risiko yang telah ditetapkan
dalam risk assessment;
d. kecukupan prosedur pengujian BCP;
e. efektifitas pelaksanaan pengujian BCP;
f. program pelatihan dan sosialisasi BCP;
g. keterkinian BCP sesuai perkembangan kegiatan operasional Bank dan hasil
pengujian terakhir.
Auditor intern harus mengkomunikasikan hasil pemeriksaan dan memberikan
rekomendasi kepada direksi. Direksi hendaknya melakukan kaji ulang atas laporan
hasil audit tersebut.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
69
498
BAB VII–END USER COMPUTING
BAB VII
END USER COMPUTING
7.1. PENDAHULUAN
End User Computing (EUC) adalah sistem aplikasi komputer yang menjalankan
operasi bisnis Bank dimana kendali terhadap pengembangan sistem aplikasi serta
pengelolaannya dilakukan oleh satuan kerja pengguna akhir (end user) atau unit bisnis
Bank dan bukan oleh satuan kerja TI.
Beberapa alasan yang melatarbelakangi penggunaan EUC pada suatu Bank antara lain:
a. adanya proyek pengembangan sistem aplikasi yang tertunda pelaksanaannya (backlog
project) oleh satuan kerja TI, sehingga EUC memungkinkan pengguna akhir untuk
mengembangkan, memelihara, dan mengoperasikan TI sendiri;
b. adanya kebutuhan spesifik dari pengguna, dengan jumlah pengguna yang sedikit dan
volume yang rendah, sehingga kurang efisien jika melalui prosedur pengembangan
sistem aplikasi secara umum oleh satuan kerja TI.
7.2. PERAN DAN TANGGUNG JAWAB MANAJEMEN
Dalam kaitannya dengan EUC, manajemen Bank wajib memastikan bahwa:
a. risiko-risiko yang dapat timbul terkait dengan EUC telah dikelola dengan memadai;
b. EUC dapat meningkatkan kinerja satuan kerja pengguna. Sistem aplikasi EUC dapat
digunakan untuk memenuhi kebutuhan dalam menganalisis data, membuat laporan,
dan melakukan query yang memungkinkan proses pengambilan keputusan
berlangsung lebih efektif dan efisien;
c. EUC hanya digunakan untuk memenuhi kebutuhan sistem aplikasi yang tidak
kompleks, dapat memenuhi kebutuhan yang selalu berubah, atau untuk memberi
respon yang cepat terhadap kebutuhan yang mendesak atau sementara/tidak rutin;
d. EUC dapat mengurangi penundaan pembuatan (backlog) sistem aplikasi;
e. keterlambatan pemenuhan permintaan modifikasi atau pengembangan sistem aplikasi
baru akan berkurang karena EUC mengurangi beban pada pengembangan sistem
teknologi informasi oleh Satuan Kerja TI.
7.3. KEBIJAKAN DAN PROSEDUR EUC
Hal-hal yang perlu diatur dalam kebijakan dan prosedur bank mengenai EUC mencakup
antara lain:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
70
499
BAB VII–END USER COMPUTING
a. kebijakan dan prosedur harus tertulis, disetujui oleh Direksi/pejabat yang berwenang,
dikaji ulang dan dikinikan secara periodik, serta disosialisasikan kepada seluruh
pengguna akhir;
b. pencantuman secara jelas wewenang dan tanggung jawab manajemen, unit bisnis
yang terkait, satuan kerja TI, serta satuan kerja audit intern;
c. adanya analisis kebutuhan pengembangan sistem aplikasi EUC dan prosedur
persetujuannya;
d. pengembangan sistem aplikasi EUC harus memenuhi standar dan kriteria
pengamanan yang ditetapkan oleh satuan kerja TI;
e. sistem aplikasi yang dimungkinkan untuk dikembangkan secara EUC adalah sistem
aplikasi yang memiliki tingkat kompleksitas dan risiko “low” hingga “moderate” dan
harus melalui persetujuan pihak manajemen;
f. adanya tahap-tahap pengembangan sistem aplikasi EUC, mulai dari pengadaan
sampai dengan implementasi;
g. adanya prosedur perubahan terhadap sistem aplikasi EUC;
h. memenuhi aspek-aspek pengamanan (fisik dan logik), pengendalian sistem aplikasi
EUC (pengendalian atas input, proses, dan output), pengendalian operasional
termasuk pencegahan virus;
i. tersedianya daftar terkini sistem aplikasi EUC yang ada;
j. melakukan penyimpanan dan backup data/file;
k. tersedianya dokumentasi yang memadai, mencakup antara lain user manual dan
system manual. Setiap perubahan terhadap sistem aplikasi EUC harus disertai dengan
pengkinian dokumentasi tersebut;
l. jika sistem aplikasi dibuat oleh vendor, satuan kerja pengguna akhir harus melakukan
koordinasi dengan satuan kerja TI. Di samping itu manajemen harus memastikan
kecukupan pelatihan dan manual yang disusun sebagai bagian dari kontrak antara
Bank dan vendor;
m. apabila aplikasi yang dikembangkan oleh vendor tersebut menyebabkan Bank
memiliki ketergantungan yang berkesinambungan terhadap jasa pihak pengembang
tersebut maka pemilihan vendor melalui proses yang mengacu pada pedoman tentang
Penggunaan Pihak Penyedia Jasa Teknologi Informasi serta kebijakan dan prosedur
intern Bank;
n. kebijakan dan prosedur pengembangan EUC tidak boleh bertentangan dengan
kebijakan yang ada khususnya kebijakan pengembangan sistem (SDLC) serta
kebijakan pengamanan informasi.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
71
500
BAB VII–END USER COMPUTING
7.4.
MANAJEMEN RISIKO EUC
7.4.1. Identifikasi dan Pengukuran Risiko Sistem Aplikasi EUC
Bank harus mendefinisikan tingkat risiko untuk setiap sistem aplikasi EUC secara
periodik. Apabila sistem aplikasi memiliki risiko tinggi maka pengembangan harus
dilakukan oleh Satuan Kerja TI termasuk pemeliharaannya.
Beberapa risiko yang terkait dengan EUC antara lain:
a. jika EUC tidak memenuhi standar pengamanan yang memadai, maka terdapat risiko
akses oleh pihak yang tidak berwenang yang dapat menyebabkan kebocoran
data/informasi serta kejahatan atau kecurangan yang mengakibatkan kerugian
finansial maupun non-finansial;
b. dokumentasi sistem aplikasi yang tidak memadai dapat menyebabkan
ketergantungan pada personil yang mengembangkan dan mengetahui sistem (key
person);
c. sistem aplikasi yang dikembangkan kurang memadai, antara lain disebabkan
karena:
1) kurangnya pemahaman terhadap risiko-risiko yang mungkin ada;
2) kurangnya tingkat kompetensi dan pengalaman pengguna akhir dalam
pengembangan sistem aplikasi;
3) penggunaan teknologi tanpa memperhatikan kebutuhan bisnis dan kondisi
Bank.
d. pengembangan dan penggunaan sistem oleh masing-masing satuan kerja pengguna
akhir dapat menimbulkan ketidakjelasan mengenai tanggung jawab terhadap
kepemilikan sistem, data serta penanganan masalah yang timbul;
e. menurunnya integritas dan akurasi data/informasi Bank;
f. tidak tersedia jejak audit (audit trail) yang memadai sehingga mengakibatkan
keterbatasan kemampuan Bank untuk melakukan penelusuran, seperti apabila
terjadi dugaan fraud.
Dengan melihat risiko-risiko diatas, EUC harus dilakukan melalui koordinasi
antara satuan kerja pengguna dan satuan kerja TI. Pengguna dapat mengembangkan
sistem aplikasi sendiri namun satuan kerja TI harus menginventarisir sistem aplikasi
tersebut, dan mengevaluasi kesesuaiannya dengan kebijakan dan prosedur
pengembangan Bank. Apabila aplikasi serupa diperlukan oleh satuan kerja lain maka
dapat implementasikan ke satuan kerja yang memiliki kebutuhan yang sama tersebut.
Terdapat beberapa metode pengukuran risiko yang dapat dipergunakan oleh Bank.
Apabila Bank menggunakan Control Self Assessment (CSA) dalam menilai risiko,
maka Bank harus memasukkan EUC kedalam ruang lingkup CSA yang dilakukan
masing-masing satuan kerja. Setiap Bank dapat menetapkan sendiri kriteria risiko (riskappetite) disesuaikan dengan skala dan kondisi Bank yang bersangkutan. Contoh
pengkategorian tingkat risiko dapat dilihat pada lampiran 1.2.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
72
501
BAB VII–END USER COMPUTING
7.4.2. Pengendalian dan Mitigasi Risiko
Mengingat risiko-risiko yang terdapat pada sistem aplikasi EUC sebaiknya
pengembangan dan penggunaan sistem aplikasi EUC hanya dilakukan apabila
kebutuhan pengguna begitu mendesak, detail, beragam, dan/atau penggunaan sistem
aplikasi tersebut bersifat sementara. Disamping itu Bank harus senantiasa melakukan
pengendalian yang memadai pada EUC. Bentuk-bentuk pengendalian yang harus
diterapkan Bank mencakup paling kurang sebagai berikut:
a. Pengendalian pada pengembangan, pengujian dan perubahan aplikasi EUC antara
lain:
1) setiap aplikasi EUC yang akan dikembangkan harus dilaporkan kepada Satuan
Kerja TI;
2) Satuan Kerja TI harus memberikan persetujuan/sertifikasi sebelum aplikasi
tersebut dapat digunakan oleh satuan kerja pengguna. Persetujuan diberikan
setelah terlebih dahulu dilakukan analisis kecukupan aplikasi dari sisi
fungsional, pengamanan (fisik dan logik), serta kesesuaian aplikasi dengan
kebutuhan pengguna;
3) Satuan Kerja TI harus menginventarisasi seluruh aplikasi EUC yang digunakan
unit pengguna, termasuk setiap penambahan atau modifikasi yang ada;
4) dalam hal terdapat penambahan atau modifikasi terhadap aplikasi maka
pengguna harus melaporkan ulang dan mendapat persetujuan dari satuan kerja
TI sebagaimana dimaksud dalam huruf a dan b;
5) untuk menghindari dan melindungi kerahasiaan program dan data dari pihak
yang tidak berwenang, Bank harus memiliki tindakan pengamanan terhadap
data, source code dan executable file.
Selain itu, Bank juga perlu mempertimbangkan kaidah-kaidah umum pengendalian
pengembangan aplikasi sebagaimana diatur dalam Bab II Development &
Acquisition.
b. Standar pengamanan pada setiap aplikasi EUC dengan mengacu kepada Kebijakan
Pengamanan Informasi sebagaimana dimaksud pada Bab V. Pengamanan Informasi
yang diperlukan untuk meminimalkan risiko operasional. Standar tersebut paling
kurang mencakup hal-hal sebagai berikut:
1) proses validasi diperlukan dalam melakukan input data ke aplikasi EUC
secara manual maupun transmisi antar-komputer (download, upload atau
transfer secara elektronis) melalui suatu jaringan untuk menjamin
integritas data;
2) pengendalian yang memadai pada tahap penyiapan data, pelaksanaan input,
pemrosesan, distribusi output, dan proses rekonsiliasi perlu ditetapkan oleh
Bank. Hal ini diterapkan terutama pada aplikasi EUC yang digunakan untuk
memproses informasi keuangan Bank atau nasabah karena harus
memperhatikan terjaminnya integritas data dan tersedianya audit trail;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
73
502
BAB VII–END USER COMPUTING
3) manajemen Bank perlu melakukan backup data dan aplikasi EUC secara
periodik. Selain itu DRP dan BCP Bank harus memperhitungkan risiko yang
terkait dengan aplikasi EUC.
7.5. AUDIT INTERN
Hal-hal yang perlu diperhatikan oleh Bank berkaitan dengan audit terhadap aplikasi
EUC, antara lain:
a. aplikasi EUC tersebut termasuk obyek pemeriksaan satuan kerja audit intern TI;
b. audit dilakukan secara berkala untuk memastikan bahwa pengendalian yang
diterapkan memadai dan efektif;
c. Bank harus memastikan terdapat tindak lanjut atas temuan hasil pelaksanaan audit.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
74
503
BAB VIII–ELECTRONIC BANKING
BAB VIII
ELECTRONIC BANKING
8.1.
PENDAHULUAN
Perkembangan pesat Teknologi Informasi (TI) dan globalisasi mendukung Bank
untuk meningkatkan pelayanan kepada nasabah secara aman, nyaman dan efektif,
diantaranya melalui media elektronik atau dikenal dengan e-banking. Melalui ebanking, nasabah Bank pada umumnya dapat mengakses produk dan jasa perbankan
dengan menggunakan berbagai peralatan elektronik (intelligent electronic device)
seperti personal computer (PC), personal digital assistant (PDA), anjungan tunai
mandiri (ATM), kios, atau telephone.
Dalam pedoman ini yang dimaksud dengan Electronic Banking (e-banking)
adalah layanan yang memungkinkan nasabah Bank untuk memperoleh informasi,
melakukan komunikasi, dan melakukan transaksi perbankan melalui media elektronik
seperti Automatic Teller Machine (ATM), phone banking, electronic fund transfer
(EFT), Electronic Data Capture (EDC)/Point Of Sales (POS), internet banking dan
mobile banking. Dalam memberikan pelayanan e-banking, Bank dapat menyediakan
layanan yang bersifat informational, communicative dan/atau transactional. Penyediaan
layanan e-banking hendaknya memperhatikan prinsip prudential banking, prinsip
pengamanan dan terintegrasinya sistem TI, cost effectiveness, perlindungan nasabah
yang memadai serta searah dengan strategi bisnis Bank.
Mengingat e-banking hanya merupakan alternative delivery channel maka selain
menghadapi risiko yang telah ada, terdapat juga penambahan dan peningkatan risiko
operasional, risiko hukum dan risiko reputasi yang berasal dari penggunaan Teknologi
Informasi.
8.2.
PERAN DAN TANGGUNG JAWAB MANAJEMEN
Komisaris dan Direksi harus melakukan pengawasan yang efektif terhadap risiko yang
terkait dengan aktivitas e-banking, termasuk penetapan akuntabilitas, kebijakan, dan
proses pengendalian untuk mengelola risiko tersebut.
8.2.1. Dewan Komisaris
a. Komisaris harus mengarahkan kebijakan yang terkait dengan rencana aktivitas ebanking dan mengevaluasi kesesuaian rencana tersebut dengan rencana strategis
Teknologi Informasi Bank dan rencana strategis bisnis;
b. Komisaris harus melakukan pengawasan terhadap pelaksanaan kebijakan yang
terkait dengan aktivitas e-banking.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
75
504
BAB VIII–ELECTRONIC BANKING
8.2.2. Direksi
a. Direksi harus melakukan kaji ulang terhadap rencana pelaksanaan e-banking yang
berpotensi memiliki dampak yang signifikan terhadap strategi dan profil risiko
Bank termasuk analisa cost dan benefit dari rencana e-banking tersebut;
b. Direksi harus memastikan bahwa Bank pada saat memasuki aktivitas e-banking
telah memiliki manajemen risiko yang memadai. Selain itu Direksi harus
memastikan bahwa pejabat atau pegawai yang terkait dengan aktivitas e-banking
memiliki kompetensi dalam aplikasi dan teknologi pendukung e-banking;
c. Direksi harus melakukan pemantauan secara berkala terhadap risiko-risiko yang
melekat pada e-banking, dan melaporkan hasil pemantauan tersebut kepada
Komisaris;
d. Direksi harus memastikan bahwa proses Manajemen Risiko aktivitas e-banking
terintegrasi dalam Manajemen Risiko Bank secara keseluruhan. Kebijakan dan
prosedur manajemen risiko harus dievaluasi untuk mengantisipasi risiko tambahan
yang berasal dari aktivitas e-banking. Untuk itu Bank perlu melakukan langkahlangkah sebagai berikut:
1) menetapkan limit risiko dalam kaitannya dengan e-banking dengan
memperhatikan risk appetite Bank;
2) menetapkan delegasi wewenang dan mekanisme pelaporan, termasuk prosedur
yang diperlukan untuk kejadian yang berdampak pada kondisi keuangan dan
reputasi Bank;
3) memperhatikan faktor-faktor risiko yang secara khusus berhubungan dengan
keamanan, integritas dan ketersediaan jasa e-banking;
4) memastikan bahwa uji tuntas (due dilligence) dan analisis risiko yang memadai
telah dilaksanakan sebelum Bank melakukan aktivitas e-banking transaksional
secara cross border.
e. Dalam hal sistem penyelenggaraan e-banking dilakukan oleh pihak lain
(outsourcing), Bank harus menetapkan dan menerapkan prosedur pengawasan dan
due dilligence yang menyeluruh dan berkelanjutan untuk mengelola hubungan
Bank dengan pihak lain tersebut;
f. Dalam melakukan kaji ulang terhadap aspek utama prosedur pengendalian
pengamanan Bank, direksi harus:
1) mengawasi pengembangan dan pemeliharaan yang berkesinambungan atas
infrastruktur pengendalian pengamanan yang melindungi sistem e-banking dan
data Bank dari gangguan internal dan eksternal;
2) memastikan bahwa Bank memiliki kebijakan dan prosedur pengendalian
pengamanan yang menyeluruh untuk menangani potensi ancaman pengamanan
yang berasal dari intern dan ekstern, baik dalam bentuk tindakan pencegahan
maupun penanganan insiden tersebut. Prosedur pengendalian pengamanan
tersebut diantaranya meliputi:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
76
505
BAB VIII–ELECTRONIC BANKING
a) adanya penugasan terhadap pejabat Bank yang bertanggung jawab untuk
mengawasi penyusunan dan pemeliharaan kebijakan pengamanan Bank
(corporate level security policy);
b) pengendalian fisik yang memadai untuk mencegah unauthorized physical
access terhadap ruang komputer;
c) prosedur pengendalian logik dan pemantauan yang memadai untuk
pengujian keaslian identitas pengguna sehingga mencegah unauthorized
access internal dan eksternal terhadap aplikasi dan database transaksi ebanking;
d) kaji ulang dan pengujian secara berkala terhadap langkah-langkah
pengamanan sistem yang digunakan untuk e-banking.
3) memastikan diterapkannya manajemen risiko oleh satuan kerja TI dan satuan
kerja operasional e-banking. Antara lain dilaksanakannya self assessment
berupa mengukur dan memantau risiko terkait kegiatan e-banking dan
digunakannya hasil self assessment tersebut dalam kebijakan dan prosedur yang
ditetapkan Bank untuk pengamanan risiko-risiko pada e-banking.
8.3.
KEBIJAKAN DAN PROSEDUR (POLICY & PROCEDURES)
Dalam rangka pengelolaan risiko yang melekat pada produk dan aktivitas e-banking,
Bank harus memiliki kebijakan dan prosedur secara tertulis untuk setiap produk
e-banking yang diterbitkannya paling kurang:
a. prosedur pelaksanaan (standard operating procedures) produk dan aktivitas
e-banking;
b. tanggung jawab dan kewenangan dalam pengelolaan produk dan aktivitas
e-banking;
c. sistem informasi akuntasi produk e-banking termasuk keterkaitan dengan sistem
informasi akuntansi Bank secara menyeluruh;
d. prosedur pengidentifikasian, pengukuran dan pemantauan berbagai risiko yang
melekat pada produk e-banking.
Setiap prosedur pelaksanaan (standard operating procedures) produk harus memenuhi
prinsip pengendalian pengamanan data nasabah dan transaksi e-banking yaitu:
a. kerahasiaan (confidentiality);
b. integritas (integrity);
c. ketersediaan (availability);
d. keaslian (authentication);
e. non repudiation;
f. pemisahan tugas dan tanggung jawab (segregation of duties);
g. pengendalian otorisasi dalam sistem, database dan aplikasi
(authorization of control);
h. pemeliharaan jejak audit (maintenance of audit trails).
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
77
506
BAB VIII–ELECTRONIC BANKING
Dalam menetapkan pengendalian pengamanan pada aktivitas dan produk
e-banking, Bank
hendaknya selain memperhatikan pengamanan layanan
terhadap nasabah juga memperhatikan pihak lain yang terkait dengan layanan ebanking.
8.4.
MANAJEMEN RISIKO AKTIVITAS DAN PRODUK E BANKING
8.4.1. Penilaian Risiko Terkait E-Banking
Bank harus melakukan identifikasi atas jenis-jenis risiko yang dapat ditimbulkan oleh
aktivitas e-banking baik dari produk itu sendiri maupun dari penggunaan Teknologi
Informasi sebagai akibat digunakannya electronic delivery channel.
Pengukuran dilakukan terhadap setiap kerugian yang terjadi (loss event) pada setiap
jenis produk. Untuk dapat memantau besar dan kecenderungan risiko dari setiap jenis
produk, maka Bank harus membuat database yang berisi data historis dari kerugian
(loss event database) setiap jenis produk.
8.4.1.1.Risiko Umum
Risiko umum meliputi:
a. Transaction/Operations Risk: risiko yang timbul atau berasal dari fraud, kesalahan
dalam proses, gangguan sistem atau kegiatan tidak terduga yang menyebabkan
ketidakmampuan Bank untuk menyediakan produk atau layanan serta menimbulkan
kerugian bagi Bank maupun nasabah. Termasuk dalam risiko transaksi ini adalah
risiko yang dapat timbul dari kurang memadainya pelaksanaan
prinsip
pengendalian pengamanan tersebut di atas;
b. Credit Risk: risiko kredit dapat timbul apabila Bank memberikan kredit melalui
media elektronik misalnya produk kartu kredit;
c. Compliance/Legal Risk yang timbul dari:
1) ketidakpatuhan terhadap hukum dan atau peraturan dari otoritas pengawas;
2) perbedaan dengan hukum di negara lain dalam hal cross border transaction;
3) ketidakpatuhan terhadap ketentuan tentang kerahasiaan data nasabah dan
ketentuan tentang transparansi informasi produk;
4) keterbatasan ketentuan perundangan sebagai dasar hukum transaksi e-banking.
d. Strategic Risk dapat timbul dari;
1) ketidak sesuaian dengan tujuan/rencana bisnis Bank;
2) kurang baiknya perencanaan investasi pada e-banking dapat menyebabkan
tidak optimalnya return on investment yang diperoleh dibandingkan dengan
biaya yang dikeluarkan;
3) kurang optimalnya pengelolaan hubungan dengan pihak penyedia jasa TI
(relationship management);
e. Reputation Risk: risiko reputasi timbul dari kemungkinan menurunnya atau
hilangnya kepercayaan nasabah karena service level delivery kepada nasabah tidak
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
78
507
BAB VIII–ELECTRONIC BANKING
terjaga seperti kelambatan atau tidak tersedianya layanan e-banking, kelambatan
respon atas komplain nasabah, ketidakamanan sistem dan adanya gangguan pada
sistem.
f. Market Risk: risiko yang timbul dalam hal Bank membuat produk yang memiliki
fitur yang memungkinkan dieksekusinya transaksi yang terekspos perubahan
tingkat bunga, perubahan kurs seperti misalnya pada layanan transfer di internet
banking dari rekening rupiah milik nasabah ke rekening valas tertuju di luar negeri.
g. Liquidity Risk: risiko yang timbul dalam hal Bank tidak membatasi jumlah yang
dapat ditransfer oleh nasabah korporasi melalui internet banking.
8.4.1.2.Risiko Spesifik
Dalam melaksanakan aktivitas e-banking, Bank akan menghadapi risiko spesifik akibat
penyediaan dan penggunaan Teknologi Informasi. Risiko ini akan meningkatkan
eksposur risiko yang dihadapi Bank. Contoh risiko spesifik yang dihadapi antara lain:
a. Risiko operasional yang mungkin timbul dari transaksi e-banking diantaranya
adalah kecurangan, penyadapan/skimming, kesalahan, kerusakan atau tidak
berfungsinya sistem;
b. Risiko yang mungkin timbul dari transaksi cross border e-banking antara lain risiko
hukum mengingat transaksi melewati batas wilayah hukum yang berbeda. Risiko
ini timbul karena terdapat perbedaan ketentuan perundangan diantara kedua
wilayah hukum, seperti ketentuan perlindungan konsumen, kerahasiaan Bank dan
data pribadi nasabah, persyaratan pelaporan dan ketentuan tentang money
laundering. Selain itu Bank dapat juga menghadapi risiko lain seperti risiko
operasional, risiko kredit dan risiko pasar;
c. Risiko dalam penyelenggaraan internet banking meliputi:
1) nasabah memperoleh informasi yang salah atau tidak akurat melalui internet;
2) pencurian data finansial dari database Bank melalui informational dan
communicative internet banking yang tidak terisolasi;
3) terdapat ancaman/serangan misalnya defacing, cybersquating, denial of service,
penyadapan komunikasi internet (network interception), man-in-the middleattack, virus.
4) terjadi pencurian identitas (identity theft) misalnya phising, key logger,
spoofing, cybersquating;
5) terjadi transaksi yang dilakukan oleh pihak yang tidak berwenang
(unauthorized transaction) atau terjadi fraud.
d. Ancaman keamanan pada produk yang menggunakan teknologi wireless misalnya
mobile banking antara lain intrusi atau penyadapan komunikasi akibat belum semua
transaksi melalui mobile banking dienkripsi, denial of service attack, virus, worm,
Trojan, penggandaan sim card dan nomor handphone;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
79
508
BAB VIII–ELECTRONIC BANKING
e. Ancaman keamanan pada produk phone banking yaitu sangat rentan terhadap
penyadapan.
8.4.2. Mitigasi Risiko
Bank harus melakukan mitigasi atas risiko umum dan risiko spesifik yang mungkin
terjadi dalam layanan e-banking dengan memperhatikan prinsip pengendalian
pengamanan data nasabah dan transaksi e-banking.
8.4.2.1.Prinsip-Prinsip Pengendalian Pengamanan Atas Aktivitas E-Banking
a. Bank harus melakukan langkah-langkah yang memadai untuk menguji keaslian
(authentication) identitas dan kewenangan (authorisation) nasabah yang melakukan
transaksi melalui e-banking dengan memperhatikan hal-hal sebagai berikut:
1) Bank harus memiliki kebijakan dan prosedur tertulis untuk memastikan bahwa
Bank mampu menguji keaslian identitas dan kewenangan nasabah.
2) Bank dapat menggunakan berbagai metode untuk menguji keaslian yang
didasarkan atas penilaian manajemen risiko aktivitas e-banking, sensitivitas dan
nilai data yang disimpan. Dalam menggunakan metode pengujian keaslian,
hendaknya memperhatikan hal-hal sebagai berikut:
a) menerapkan kombinasi sekurang-kurangnya 2 faktor otentikasi (two factor
authentication) yaitu “what you know” (PIN, password), “what you have”
(kartu magnetis dengan chip, token, digital signature), “something you are”
atau “biometric” (retina, sidik jari);
b) persyaratan jumlah karakter minimum PIN. Khusus untuk PIN yang
digunakan dalam alat pembayaran dengan menggunakan kartu, mobile
banking dan internet banking, panjang PIN harus sekurang-kurangnya
terdiri dari 6 digit karakter;
c) adanya batasan maksimum kesalahan memasukkan PIN untuk menghambat
upaya akses secara tidak sah/legal;
d) Bank harus memastikan penerapan prinsip kehati-hatian dalam penggunaan
metode pengujian keaslian yang meliputi:
(1) pembuatan, validasi dan enkripsi PIN dan metode pengujian keaslian
lainnya harus menggunakan metode yang diyakini aman;
(2) database pengujian keaslian yang menyediakan akses kepada rekening
nasabah pada e-banking dilindungi dari gangguan dan perusakan;
(3) setiap penambahan, penghapusan atau perubahan database pengujian
keaslian telah dengan tepat diotorisasi oleh pihak yang berwenang;
(4) khusus untuk layanan e-banking dengan menggunakan kartu, fungsi
pembuatan dan pengiriman PIN harus terpisah dari fungsi pembuatan
dan pengiriman kartu;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
80
509
BAB VIII–ELECTRONIC BANKING
b.
c.
d.
e.
(5) terdapat sarana pengendalian yang tepat terhadap sistem e-banking
sehingga pihak ketiga yang tak dikenal tidak bisa menggantikan nasabah
yang telah dikenal;
(6) terdapat kebijakan yang menyatakan bahwa jika terdapat indikasi telah
terjadi pencurian data yang terkait dengan aspek otentikasi nasabah
maka Bank wajib melakukan penggantian data otentikasi nasabah
dimaksud secepatnya.
Bank harus menyusun dan menetapkan prosedur untuk menjamin bahwa transaksi
tidak dapat diingkari oleh nasabah (non repudiation) sehingga transaksi dapat
dipertanggungjawabkan (kredibel), yang meliputi antara lain:
1) sistem e-banking telah dirancang untuk mengurangi kemungkinan dilakukannya
transaksi secara tidak sengaja (unintended) oleh para pengguna yang berhak;
2) seluruh pihak yang melakukan transaksi telah diuji keasliannya;
3) data transaksi keuangan dilindungi dari kemungkinan pengubahan dan setiap
pengubahan dapat dideteksi. Proses pencatatan transaksi keuangan harus
dirancang sebaik mungkin agar dapat mencegah upaya pengubahan tidak sah.
Setiap upaya pengubahan yang tidak sah perlu dicatat (logged) dan menjadi
perhatian manajemen Bank;
4) penerapan metode untuk menjamin dipenuhinya prinsip non repudiation,
misalnya digital signature, Public Key Infrastructure (PKI). Kunci-kunci (keys)
yang digunakan untuk keperluan enkripsi harus dipelihara secara aman sehingga
tidak ada satu orang pun yang secara utuh mengetahui kombinasi kunci-kunci
tersebut.
Bank harus memastikan terdapat pemisahan tugas dan tanggung jawab terkait
penggunaan sistem, database dan aplikasi e-banking. Bank harus memastikan
terdapat dual control dan segregation of duties untuk memastikan terlaksananya
fungsi check & balance. Bank perlu memastikan terdapat pemisahan tugas antara
pihak yang menginisiasi/menginput data dan pihak yang bertanggung jawab untuk
memverifikasi kebenaran data tersebut. Misalnya, dalam suatu aplikasi perbankan,
setiap penambahan atau perubahan database yang dilakukan oleh data entry
operator, baru dapat menjadi efektif hanya jika telah disetujui oleh penyelianya.
Bank harus memastikan adanya pengendalian terhadap otorisasi dan hak akses
(privileges) yang tepat terhadap sistem, database dan aplikasi e-banking.
Seluruh arsip dan data Bank yang bersifat rahasia hanya dapat diakses oleh pihak
yang telah memiliki kewenangan dan otorisasi. Data Bank yang bersifat rahasia
harus dipelihara secara aman dan dilindungi dari kemungkinan diketahui atau
dimodifikasi oleh pihak yang tidak berwenang.
Bank harus memastikan metode dan prosedur diterapkan untuk melindungi
integritas data, catatan dan informasi terkait transaksi e-banking dengan
memperhatikan hal-hal sebagai berikut:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
81
510
BAB VIII–ELECTRONIC BANKING
1) Bank harus menerapkan metode dan teknik yang tepat untuk mengurangi
ancaman eksternal seperti serangan virus, malicious transaction yang meliputi:
a) perangkat lunak – penyediaan virus scanning dan anti virus untuk seluruh
entry point dan masing-masing sistem komputer (desktop);
b) perangkat lunak untuk mendeteksi adanya penyusupan (intrusion detection
system);
c) pengujian penetrasi (penetration testing) terhadap jaringan internal dan
eksternal secara berkala sekurang-kurangnya 1 tahun sekali.
2) Bank harus melakukan pengujian integritas data transaksi e-banking.
3) Bank harus melakukan pengendalian/kontrol untuk memastikan seluruh
transaksi telah dilaksanakan dengan benar.
f. Bank harus memastikan tersedianya mekanisme penelusuran (audit trail) yang jelas
untuk seluruh transaksi e-banking, yang mencakup hal-hal sebagai berikut:
1) Bank harus memelihara log transaksi sesuai kebijakan retensi data Bank sesuai
ketentuan perundangan yang berlaku guna tersedianya jejak audit yang jelas
serta membantu penyelesaian perselisihan. Data transaksi yang diperlukan perlu
mencakup sekurang-kurangnya data nasabah, nomor rekening, jenis transaksi,
waktu, lokasi, jumlah transaksi;
2) Bank harus memberikan notifikasi kepada nasabah apabila suatu transaksi telah
berhasil dilakukan. Apabila terdapat transaksi yang ditolak maka perlu
didokumentasikan dan terdapat prosedur tindak lanjutnya;
3) Bank harus memastikan tersedianya fungsi jejak audit (audit trail) untuk dapat
mendeteksi usaha dan/atau terjadinya penyusupan yang harus di-review atau
dievaluasi secara berkala. Apabila sistem pemrosesan dan jejak audit
merupakan tanggung jawab pihak ketiga maka proses jejak audit tersebut harus
sesuai dengan standar yang ditetapkan oleh Bank. Bank harus memiliki
kewenangan yang cukup untuk dapat mengakses jejak audit yang dipelihara
oleh pihak ketiga tersebut;
4) Bank harus melakukan pendeteksian dan monitoring atas transaksi yang tidak
sah/tidak wajar misalnya melalui Intrusion Detection System (IDS) dan Fraud
Detection. Selanjutnya Bank harus memiliki prosedur penanganan masalah atau
kejahatan yang terdeteksi.
g. Bank harus menerapkan langkah-langkah untuk melindungi kerahasiaan informasi
e-banking. Prosedur pengamanan disesuaikan dengan tingkat sensitivitas informasi.
Bank juga harus memiliki standar dan pengendalian atas penggunaan dan
perlindungan data apabila pihak penyedia jasa/outsourcing memiliki akses terhadap
data tersebut;
h. Bank harus memiliki business continuity plan termasuk contingency plan yang
efektif untuk memastikan tersedianya sistem dan jasa e-banking secara
berkesinambungan. Pengaturan lebih lanjut dapat dilihat pada Bab VI tentang
Business Continuity Plan;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
82
511
BAB VIII–ELECTRONIC BANKING
i. Bank harus mengembangkan rencana penanganan kejadian (incident response
plans) yang cepat dan tepat untuk mengelola, mengatasi, dan meminimalkan
dampak suatu insiden, fraud, kegagalan sistem (internal dan eksternal), yang dapat
menghambat penyediaan sistem dan jasa e- banking.
8.4.2.2. Prinsip Pengendalian Pengamanan Produk E-Banking Tertentu
a. Dalam menyediakan layanan jasa perbankan melalui e-banking misalnya pada
ATM dan internet banking, Bank juga harus memperhatikan kenyamanan dan
kemudahan nasabah menggunakan fasilitas termasuk efektivitas menu tampilan
layanan e-banking, khususnya dalam melakukan pilihan pesan yang diinginkan
nasabah agar tidak terjadi kesalahan dan kerugian dalam transaksi;
b. Jika diperlukan untuk meningkatkan pengamanan, Bank dapat menetapkan
persyaratan atau melakukan pembatasan transaksi melalui e-banking untuk
menjamin keamanan dan kehandalan transaksi misalnya meminta nasabah
melakukan registrasi rekening pihak ketiga tujuan transfer dalam mobile banking
atau membatasi nominal jumlah transaksi melalui ATM dan internet banking;
c. Dalam penyelenggaraan layanan e-banking yang menyediakan sarana fisik seperti
ATM, Bank harus melakukan pengendalian pengamanan fisik terhadap peralatan
dan ruangan yang digunakan terhadap bahaya pencurian, pengerusakan dan
tindakan kejahatan lainnya oleh pihak yang tidak berwenang. Bank harus
melakukan pemantauan secara rutin untuk menjamin keamanan dan kenyamanan
bagi nasabah pengguna jasa e-banking;
d. Bank harus memastikan terdapatnya pengamanan atas aspek transmisi data antara
Terminal Electronic Fund Transfer (EFT) dengan Host Computer, terhadap risiko
kesalahan transmisi, gangguan jaringan, akses oleh pihak yang tidak bertanggung
jawab, dan lain-lain. Pengamanan mencakup pengendalian terhadap peralatan yang
digunakan, pemantauan kualitas serta akurasi kinerja perangkat jaringan dan
saluran transmisi, pemantauan terhadap akses perangkat lunak Controller (HostFront End);
e. Point of Sales (POS)/Electronic Data Capture (EDC) memungkinkan transfer dana
secara elektronis dari rekening nasabah kepada rekening acquirer atau merchant
untuk pembayaran suatu transaksi. Transaksi dilakukan melalui POS Terminal yang
berlokasi di pusat perbelanjaan atau pasar swalayan umumnya menggunakan suatu
alat pembayaran dengan menggunakan kartu. Penyediaan POS dapat dilakukan
sendiri oleh Bank penerbit, maupun oleh financial acquirer, technical acquirer,
perusahaan switching. Pihak penyedia POS Terminal harus selalu melakukan
peningkatan pengamanan fisik di sekitar lokasi POS Terminal dan terhadap POS
Terminal, antara lain dengan menggunakan POS Terminal yang dapat
meminimalkan kemungkinan adanya penyadapan baik di POS Terminal sendiri
maupun dalam jaringan komunikasinya.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
83
512
BAB VIII–ELECTRONIC BANKING
f. Bagi Bank yang menyediakan jasa mobile banking (m-banking), maka Bank harus
memastikan keamanan transaksi tersebut yang dapat dilakukan antara lain melalui
hal-hal sebagai berikut:
1) menggunakan suatu SIM Toolkit dengan fitur enkripsi end-to-end dari
handphone hingga server m-banking, untuk melindungi pengiriman data pada
m-banking;
2) melakukan mutual authentication yaitu pihak Bank dan nasabah dapat
melakukan proses otentifikasi dengan digital certificate, Personal
Authentication Message yaitu untuk membantu nasabah memastikan bahwa
pihak yang bertransaksi dengan nasabah adalah pihak yang benar (Bank,
penyedia jasa).
g. Dalam penyediaan jasa layanan phone banking, Bank harus memastikan keamanan
transaksi diantaranya melalui hal-hal sebagai berikut:
1) layanan ini tidak digunakan untuk transaksi dengan nilai maupun risiko yang
tinggi;
2) semua percakapan melalui IVR direkam termasuk nomor telepon nasabah, detil
transaksi, dll;
3) layanan ini menggunakan metode otentifikasi yang handal dan aman;
4) penggunaan metode otentifikasi nasabah seperti PIN dan password untuk
transaksi finansial.
8.4.2.3. Edukasi dan Perlindungan Nasabah
Bank wajib melakukan edukasi nasabah agar setiap pengguna jasa layanan Bank
melalui e-banking menyadari dan memahami risiko yang dihadapinya. Hal-hal yang
harus dilakukan Bank antara lain meliputi:
a. untuk transaksi internet banking, Bank harus memastikan bahwa website Bank telah
menyediakan informasi yang memungkinkan calon nasabah memperoleh informasi
yang tepat mengenai identitas dan status hukum Bank sebelum melakukan
transaksi. Informasi tersebut mencakup namun tidak terbatas pada: nama dan
tempat kedudukan Bank, identitas otoritas pengawasan Bank, tata cara nasabah
mengakses unit pelayanan nasabah (call center) dan tata cara bagi nasabah untuk
mengajukan pengaduan;
b. apabila Bank memperbolehkan nasabah untuk membuka rekening melalui internet,
maka harus terdapat informasi pada website Bank tentang ketentuan hukum terkait
Know Your Customer diantaranya nasabah harus datang dan mengikuti prosedur
wawancara;
c. Bank harus memastikan bahwa perlindungan terhadap kerahasiaan data nasabah
diterapkan sesuai dengan ketentuan yang berlaku dan hanya dapat diakses oleh
pihak yang memiliki kewenangan. Selain itu hendaknya nasabah diberikan
pemahaman mengenai peraturan intern Bank mengenai kerahasiaan data nasabah;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
84
513
BAB VIII–ELECTRONIC BANKING
d. Bank harus memastikan bahwa data nasabah tidak digunakan untuk tujuan di luar
otorisasi yang diberikan oleh nasabah. Sesuai ketentuan yang berlaku mengenai
transparansi informasi produk dan penggunaan data pribadi nasabah, Bank harus
memperoleh izin nasabah apabila hendak memberikan data pribadi nasabah kepada
pihak penyedia jasa untuk keperluan marketing. Perlindungan terhadap kerahasiaan
data nasabah juga harus dipenuhi dalam hal Bank menggunakan jasa pihak lain
(outsourcing);
e. edukasi yang diberikan kepada nasabah mencakup tentang hak, kewajiban dan
tanggung jawab seluruh pihak terkait. Edukasi sekurang-kurangnya diberikan pada
saat nasabah mengajukan aplikasi pelayanan e-banking.
Hal-hal yang perlu diedukasikan antara lain:
1) pentingnya menjaga keamanan PIN/Password misalnya:
a) merahasiakan dan tidak memberitahukan PIN/Password kepada siapapun
termasuk kepada petugas Bank;
b) melakukan perubahan secara berkala;
c) menggunakan PIN/Password yang tidak mudah ditebak (penggunaan
identitas pribadi seperti tanggal lahir);
d) tidak mencatat PIN/Password;
e) PIN untuk satu produk hendaknya berbeda dari PIN produk lainnya.
2) penerapan prinsip kehati-hatian saat menggunakan ATM antara lain:
a) memperhatikan keamanan lingkungan tempat ATM sebelum memutuskan
untuk mengambil uang;
b) memastikan uang dan kartu telah diambil sebelum meninggalkan lokasi
ATM.
3) penyediaan informasi kepada nasabah mengenai teknik pengamanan komputer
pribadi nasabah yang digunakan dalam internet banking.
4) prosedur pengaduan jika terjadi masalah.
5) penerapan prinsip kehati-hatian dalam menggunakan mobile banking misalnya:
a) tidak menyimpan PIN dalam memori telepon untuk mencegah penggandaan
sim card secara ilegal maupun pencurian PIN melalui fungsi redial;
b) menggunakan metode untuk melakukan verifikasi keotentikan dari nasabah
dan atau Bank yang menghubungi misalnya dengan menggunakan personal
assurance message yaitu informasi personal yang disampaikan nasabah
kepada Bank saat registrasi sehingga nasabah dan Bank dapat melakukan
verifikasi saat terjadi transaksi.
6) dalam menggunakan internet banking diperlukan edukasi mengenai berbagai
modus kejahatan internet banking seperti:
a) phising dan kejahatan social engineering lainnya;
b) key logger dan Trojan Horse Virus pada berbagai peralatan komputer yang
umumnya terdapat di tempat-tempat umum seperti warung Internet
(warnet), Internet Cafe, dll.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
85
514
BAB VIII–ELECTRONIC BANKING
8.4.2.4. Cross Border Electronic Banking
Mitigasi terhadap risiko cross border e-banking dilakukan dengan cara:
a. membangun program manajemen risiko yang efektif untuk aktivitas e-banking yang
melewati batas negara (cross border). Sebelum Bank mengenalkan produk dan jasa
cross border e-banking, manajemen Bank sebaiknya melakukan penilaian risiko
dan due diligence yang tepat guna menjamin bahwa Bank secara tepat mengelola
risiko-risiko yang ada. Selain memperhatikan setiap hukum dan peraturan yang
berlaku di Indonesia, Bank hendaknya memperhatikan hukum dan peraturan yang
berlaku di negara tempat Bank akan menawarkan jasa cross border e-banking.
b. adanya pengungkapan yang cukup pada website atau informasi lainnya guna
memungkinkan nasabah potensial sebelum melakukan hubungan bisnis dengan
Bank mengetahui identitas Bank, home country, otoritas pengawas Bank dan izin
yang diperoleh Bank.
8.4.2.5. Pengelolaan Risiko Terkait Sistem dan
Diselenggarakan oleh Pihak Penyedia Jasa
Layanan
E-Banking
yang
Dalam
hal sistem penyelenggaraan e-banking dilakukan oleh pihak lain
(outsourcing) misalnya switching company, ISP, Bank harus menetapkan dan
menerapkan prosedur pengawasan dan due dilligence yang menyeluruh dan
berkelanjutan untuk mengelola hubungan Bank dengan pihak penyedia jasa tersebut.
Untuk itu Bank harus membuat suatu perjanjian tertulis dengan pihak penyedia jasa
terkait layanan e-banking yang secara rinci mengatur hak dan kewajiban, aspek
pengamanan, dan melakukan pemantauan kinerja pihak penyedia jasa sesuai service
level agreement. Pengaturan lebih lanjut dapat dilihat pada Bab X – Panduan
Penggunaan Penyedia Jasa Teknologi Informasi.
8.5.
AUDIT INTERN
Tujuan pelaksanaan audit terhadap aktivitas e-banking adalah untuk menguji efektivitas
pelaksanaan manajemen risiko atas kegiatan e-banking serta memastikan bahwa
pengendalian pengamanan produk tersebut telah memadai untuk memberikan
perlindungan bagi nasabah. Audit atas aktivitas e-banking paling kurang mencakup
evaluasi atas pengawasan manajemen (board and management oversight), penilaian
atas program pengamanan yang diterapkan serta kaji ulang atas kepatuhan terhadap
ketentuan perundangan.
Penerapan audit terhadap layanan e-banking sekurang-kurangnya mengacu pada Bab
IX Audit.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
86
515
BAB VIII–ELECTRONIC BANKING
8.6.
PELAPORAN RENCANA & REALISASI PRODUK E-BANKING BARU
Setiap rencana penerbitan produk Electronic Banking yang bersifat
transaksional wajib dilaporkan kepada Bank Indonesia paling lambat 2 (dua) bulan
sebelum produk tersebut diterbitkan dengan menggunakan Lampiran 2.21. Rencana
Penerbitan Electronic Banking Transaksional. Ketentuan pelaporan rencana produk
Electronic Banking berlaku untuk setiap produk baru yang karakteristiknya berbeda
dengan produk yang telah ada di Bank dan/atau menambah atau meningkatkan
eksposur risiko tertentu pada Bank. Ketentuan pelaporan ini tidak berlaku untuk produk
Electronic Banking yang diatur secara khusus dalam ketentuan Bank Indonesia
mengenai persyaratan persetujuan produk tersebut.
Dalam hal Teknologi Informasi yang digunakan dalam menyelenggarakan
kegiatan Electronic Banking dilakukan oleh pihak penyedia jasa maka berlaku pula
ketentuan penggunaan penyedia jasa sebagaimana diatur dalam Bab X mengenai
Penggunaan Pihak Penyedia Jasa Teknologi Informasi.
Yang dimaksud dengan “produk Elektronik Banking baru” adalah produk baru
yang karakteristiknya berbeda dengan produk yang telah ada di Bank dan/atau
menambah atau meningkatkan eksposur risiko tertentu pada Bank, seperti internet
banking dan phone banking untuk nasabah penyimpan.
Dengan demikian apabila Bank hanya menambah jenis layanan pada produk ebanking yang telah ada dan penambahan risikonya tidak signifikan misalnya
penambahan fasilitas pembayaran melalui e-banking yang semula hanya melayani
pembayaran kartu kredit menjadi pembayaran listrik atau telepon, maka penambahan
layanan pembayaran tersebut tidak tergolong produk baru sehingga tidak perlu
dilaporkan.
Namun jika Bank menambah layanan misalnya yang semula hanya menangani
transaksi rupiah kemudian menambah layanan berupa transaksi valuta asing maka Bank
harus melaporkan produk baru tersebut karena berdasarkan analisis risiko, transaksi
tersebut dapat meningkatkan risiko pasar, risiko hukum, dan risiko lainnya.
Selanjutnya paling lambat 1 (satu) bulan sejak kegiatan tersebut efektif
dioperasikan, Bank wajib melaporkan realisasi kegiatan sesuai format Laporan
Perubahan Mendasar dalam Penggunaan Teknologi Informasi dengan menggunakan
Lampiran 2.3.1. Realisasi Penerbitan Electronic Banking Transaksional. Laporan
realisasi tersebut harus dilengkapi dengan tinjauan atas hasil implementasi (Post
Implementation Review) oleh pihak independen. Produk dan/atau aktivitas baru yang
telah dilaporkan dalam Laporan Realisasi Rencana Perubahan Mendasar Teknologi
Informasi tidak perlu dilaporkan dalam Laporan Produk dan Aktivitas Baru
sebagaimana diatur dalam ketentuan Bank Indonesia mengenai manajemen risiko Bank
umum.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
87
516
BAB VIII–ELECTRONIC BANKING
8.6.1. Laporan Rencana & Realisasi Produk Baru E-Banking
Dalam laporan Rencana Penerbitan e-banking transaksional, Bank wajib melampirkan:
a. bukti-bukti kesiapan untuk menyelenggarakan e-banking yang paling kurang
mencakup:
1) kesiapan struktur organisasi termasuk pengawasan dari pihak manajemen;
2) kesiapan kebijakan, sistem, prosedur dan kewenangan dalam penerbitan produk
e-banking;
3) kesiapan infrastruktur TI untuk mendukung produk e-banking termasuk namun
tidak terbatas pada struktur jaringan, operating system, interface antara
e-banking system dan sistem secara keseluruhan;
4) hasil analisis dan identifikasi risiko yang melekat pada produk e-banking;
5) kesiapan penerapan manajemen risiko khususnya pengendalian pengamanan
(security control) atas produk e-banking yang memadai yang antara lain untuk
memastikan terpenuhinya prinsip kerahasiaan (confidentiality), integritas
(integrity), otentikasi (authentication), non repudiation, dan ketersediaan
(availability);
6) hasil analisis aspek hukum yang terkait dengan perjanjian antara Bank dengan
nasabah serta pihak lain yang mendukung, pemilihan hukum yang digunakan
saat terjadi perselisihan/sengketa;
7) uraian sistem informasi akuntansi termasuk penjelasan singkat mengenai
keterkaitan dengan sistem informasi akuntansi Bank secara menyeluruh;
8) perlindungan nasabah dan program edukasi nasabah atas sistem dan teknologi
pengamanan e-banking.
b. Hasil analisis bisnis mengenai proyeksi produk baru 1 (satu) tahun kedepan
sekurang-kurangnya memuat:
1) potensi pasar yang ada;
2) segmen pasar yang akan dituju;
3) analisis persaingan usaha;
4) target nasabah yang ingin dicapai;
5) rencana kerja sama dengan pihak lain;
6) target pendapatan yang akan dicapai.
c. Hasil pemeriksaan dari pihak independen untuk memberikan pendapat atas
karakteristik produk dan kecukupan pengamanan produk serta kepatuhan terhadap
ketentuan dan/atau praktek-praktek yang berlaku di dunia internasional.
8.6.1.1. Pemeriksaan oleh Pihak Independen
Hasil pemeriksaan oleh pihak independen sebagaimana dimaksud di atas,
ditujukan untuk memberikan pendapat atas karakteristik produk dan kecukupan
pengamanan sistem TI terkait produk tersebut serta kepatuhan terhadap ketentuan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
88
517
BAB VIII–ELECTRONIC BANKING
dan/atau praktek-praktek yang berlaku (best practice) yang memenuhi standar
internasional seperti ISO, IEC, COBIT, IT-IL.
Yang dimaksud dengan pihak independen adalah pihak-pihak yang tidak
terlibat dalam perancangan dan pengembangan sistem aplikasi serta pengambilan
keputusan untuk implementasi (go or no go).
Hasil pemeriksaan dari pihak independen di luar Bank (Kantor Akuntan
Publik atau perusahaan konsultan dibidang IT Security atau sejenisnya) diperlukan
untuk produk e-banking bersifat transaksional yang baru pertama kali diterbitkan oleh
Bank seperti internet banking yang bersifat transaksional dan sms banking yang
bersifat transaksional.
Sedangkan untuk penambahan fitur layanan produk e-banking yang telah ada
di Bank yang dapat menambah atau meningkatkan eksposur risiko Bank dapat
menggunakan pihak internal untuk melakukan independent review.
Contoh:
a. transaksi melalui ATM yang sebelumnya nasabah tidak bisa melakukan
pemindahbukuan antar rekening menjadi dapat melakukan pemindahbukuan;
b. transaksi melalui ATM yang pada mulanya hanya dapat melakukan
pemindahbukuan antar rekening dalam Bank kemudian ditambah sehingga dapat
melakukan transfer antar Bank.
Bank perlu memastikan bahwa pihak eksternal yang digunakan memiliki
kompetensi dan pemahaman terhadap produk yang akan di-review terutama dalam
aspek pengamanan TI. Dalam hal Bank menggunakan pihak internal untuk
melakukan independent review maka Bank wajib menyampaikan uraian tugas dan
tanggung jawab dari pihak tersebut serta kedudukannya dalam struktur organisasi
pada proyek pengembangan aplikasi e-banking.
8.6.1.2. Ruang Lingkup Pemeriksaan Pihak Independen
Bank wajib memastikan bahwa laporan yang disampaikan oleh pihak independen
mengenai kesiapan TI Bank untuk kegiatan e-banking yang direncanakan memuat
periode pemeriksaan, ruang lingkup, metode pemeriksaan, temuan, rekomendasi,
tanggapan manajemen atas temuan serta target penyelesaian. Adapun ruang lingkup
pemeriksaan meliputi:
a. pengawasan aktif manajemen;
b. kecukupan kebijakan dan prosedur pengamanan sistem e-banking untuk
memastikan terpenuhinya prinsip kerahasiaan, integritas, ketersediaan dan non
repudiation dalam setiap transaksi e-banking;
c. kecukupan penerapan dan pemantauan terhadap pengamanan sistem aplikasi ebanking yang disiapkan bank yang meliputi:
1) penerapan pengamanan aplikasi, infrastruktur (server, firewall dan router)
serta jaringan sistem e-banking;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
89
518
BAB VIII–ELECTRONIC BANKING
d.
e.
f.
g.
2) pengamanan untuk mendeteksi transaksi yang tidak wajar;
3) terdapat pemeliharaan dan kaji ulang atas audit trail log transaksi;
4) pengamanan fisik yang memadai atas perangkat komputer dan perangkat
komunikasi terkait produk/jasa e-banking;
5) pengamanan atas jaringan internal bank sehingga terlindung dari serangan
yang berasal dari eksternal;
6) pengamanan atas data dan database transaksi e-banking.
Business Continuity Plan dan prosedur tanggap darurat (incident response
management);
penggunaan pihak penyedia jasa TI sebagai penyelenggara e-banking;
kaji ulang atas analisis risiko dalam produk baru e-banking yang meliputi
sekurang-kurangnya risiko strategis, risiko pengamanan, risiko hukum, risiko
reputasi;
program edukasi dan perlindungan nasabah termasuk kehati-hatian dalam
pembukaan rekening dan dalam melakukan transaksi melalui e-banking.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
90
519
BAB IX–AUDIT
BAB IX
AUDIT INTERN TEKNOLOGI INFORMASI
9.1.
PENDAHULUAN
Sistem Pengendalian Intern (SPI) yang efektif merupakan komponen penting
dalam manajemen Bank dan menjadi dasar bagi kegiatan operasional Bank yang sehat
dan aman. SPI yang efektif dapat membantu pengurus Bank menjaga aset Bank,
menjamin tersedianya pelaporan keuangan dan manajerial yang dapat dipercaya,
meningkatkan kepatuhan Bank terhadap ketentuan dan peraturan perundang-undangan
yang berlaku, serta mengurangi risiko terjadinya kerugian, penyimpangan dan
pelanggaran aspek kehati-hatian.
Penggunaan sarana Teknologi Informasi (TI) disamping meningkatkan
kemampuan Bank melaksanakan kegiatan operasional, juga mengandung risiko yang
dapat mengakibatkan kerugian, baik yang bersifat finansial maupun non-finansial. Oleh
karena itu SPI sangat perlu diterapkan sebagai salah satu upaya meminimalkan
kerugian dimaksud. Fungsi audit intern sebagai salah satu bagian dari SPI,
bertanggungjawab dalam melakukan evaluasi terhadap penyelenggaraan TI secara
independen dan objektif untuk meningkatkan efisiensi dan efektifitas manajemen
risiko, pengendalian intern dan tata kelola yang baik.
Pedoman ini dimaksudkan untuk menjadi pedoman minimal bagi Bank dalam
melaksanakan audit intern pada bidang TI.
9.2.
TUGAS DAN TANGGUNG JAWAB MANAJEMEN
Audit intern Teknologi Informasi merupakan bagian dari Satuan Kerja Audit
Intern (SKAI) yang independen dari tugas operasional baik secara organisasi maupun
fungsinya. Dalam rangka melaksanakan kegiatannya, audit Intern harus memperoleh
dukungan dari manajemen yang diformalkan dalam Audit Charter. Audit Charter
minimal berisikan informasi mengenai kedudukan, tujuan dan ruang lingkup kerja,
tugas, wewenang dan tanggung jawab audit Intern. Audit Charter tersebut juga memuat
pernyataan independensi terhadap kegiatan operasional dari auditee dan pernyataan
bahwa setiap aktivitas Bank harus masuk dalam ruang lingkup audit intern Bank.
Keberhasilan audit intern TI memerlukan dukungan Dewan Komisaris, Komite
Audit dan Direksi. Ketiga pihak tersebut perlu memastikan kerja sama antara
manajemen satuan kerja TI dan manajemen satuan pengguna Teknologi Informasi
dengan satuan kerja audit TI. Disamping itu ketiga pihak tersebut perlu pula
memastikan bahwa implementasi pengendalian dan pelaksanaan prosedur dan standar
dilakukan oleh satuan kerja TI dan satuan kerja pengguna TI. Demikian juga perlu
dipastikan bahwa proses audit mencakup
upaya verifikasi dan pemantauan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
91
520
BAB IX–AUDIT
implementasi pengendalian dan pelaksanaan prosedur dan standar secara memadai,
tepat waktu dan independen.
9.2.1
Tugas Satuan Kerja Audit Intern
Agar audit intern TI efektif dan dapat menjamin integritas data dan menunjang
kelangsungan operasional Bank, SKAI sekurang-kurangnya melakukan beberapa hal
berikut:
a. menyusun dan mengkinikan pedoman kerja yang sekurang-kurangnya mencakup
standar baku prosedur pemeriksaan, kertas kerja dan pelaporan hasil pemeriksaan;
b. mengidentifikasi area risiko TI yang akan menjadi fokus audit;
c. melakukan evaluasi terhadap fungsi dan kecukupan pengendalian intern dalam
sistem informasi Bank;
d. memastikan penerapan prinsip kerahasiaan (confidentiality), integritas (integrity)
dan ketersediaan (availability) TI;
e. mengevaluasi efektifitas perencanaan dan pengawasan penyelenggaraan TI yang
dilakukan oleh satuan kerja TI dan satuan kerja pengguna TI;
f. mengevaluasi kepatuhan TI Bank terhadap ketentuan intern, ketentuan Bank
Indonesia dan ketentuan perundang-undangan yang berlaku serta international best
practices (misalnya ISO, IEC, COBIT, IT-IL, Capability Maturity Model);
g. menyarankan alternatif perbaikan untuk mengatasi kekurangan aspek-aspek terkait
TI khususnya di bidang pengamanan;
h. melakukan pemantauan terhadap tindak lanjut atas hasil audit;
i. berperan sebagai nara sumber dalam aspek pengendalian dalam hal Bank
melakukan pengembangan penyelenggaraan TI seperti pengembangan aplikasi.
9.2.2
Peranan Dewan Komisaris
Tugas utama komisaris terkait penggunaan TI antara lain melakukan evaluasi terhadap
perencanaan dan pelaksanaan audit, memastikan audit dilaksanakan dengan frekuensi
dan lingkup yang memadai serta melakukan pemantauan atas tindak lanjut hasil audit.
9.2.3
Peranan Direksi
Adapun peran dan tanggung jawab Direktur Utama antara lain:
a. menetapkan pedoman, sistem dan prosedur audit intern;
b. memastikan terselenggaranya fungsi audit TI oleh sumber daya yang kompeten dan
independen;
c. memastikan sumber daya manusia pelaksana audit intern TI memadai dan
berkualitas serta memperoleh pendidikan dan pelatihan TI yang diperlukan secara
berkelanjutan sehingga dapat mengikuti perkembangan TI;
d. menyetujui rencana audit sebelum dilaksanakan.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
92
521
BAB IX–AUDIT
9.2.4
Peranan Komite Audit
Peran dan tanggung jawab Komite Audit :
1. melakukan pemantauan dan evaluasi atas perencanaan dan pelaksanaan audit TI
yang cukup dengan frekuensi dan lingkup audit yang memadai;
2. pemantauan tindak lanjut hasil audit oleh direksi atas hasil temuan SKAI, akuntan
publik dan hasil pengawasan Bank Indonesia.
9.3. PEDOMAN AUDIT TI
Bank perlu memiliki pedoman audit TI tertulis dan disetujui oleh direksi. Kompleksitas
pedoman audit TI disesuaikan dengan tujuan, kebijakan usaha, ukuran dan
kompleksitas usaha Bank.
Pedoman audit TI antara lain berisi kebijakan dan prosedur yang diperlukan
oleh fungsi audit intern TI dan kebijakan dan prosedur pelaksanaan fungsi audit
intern oleh pihak lain apabila diperlukan oleh Bank. Pedoman tersebut disamping
digunakan sebagai sarana untuk mencapai hasil audit yang efektif dan efisien, juga
merupakan pedoman dalam menilai kinerja fungsi audit intern TI. Pedoman tersebut
harus memuat kebijakan, prosedur dan standar untuk setiap tahap dalam siklus
audit.
9.3.1. Kebijakan Umum Audit
Pedoman audit intern TI paling kurang mencakup kebijakan umum mengenai:
a. pernyataan visi dan misi fungsi audit intern TI;
b. struktur organisasi dan sistem pelaporan;
c. proses penilaian risiko yang menggambarkan risiko inheren di setiap
satuan kerja penyelenggara TI dan satuan kerja pengguna TI yang
dikinikan secara berkala dan dijadikan dasar untuk perencanaan audit
intern TI;
d. penentuan frekuensi dan jadwal audit yang minimal akan diterapkan Bank
untuk audit TI. Audit terhadap penyelenggaraan TI harus direncanakan dan
dilaksanakan sekurang-kurangnya 1 (satu) kali dalam setahun terhadap aspek-aspek
yang terkait TI sesuai kebutuhan, prioritas dan hasil analisis risiko TI Bank.
Sedangkan untuk aplikasi Core Banking, keseluruhan modul hendaknya diperiksa
oleh audit intern TI sekurang-kurangnya sekali dalam 3 (tiga) tahun;
e. prosedur audit intern TI untuk setiap aktivitas yang memerlukan audit TI.
9.3.2. Perencanaan Audit
SKAI Bank harus memiliki perencanaan audit tahunan dengan cakupan audit
berdasarkan profil risiko pada masing-masing aktivitas terkait TI baik di satuan kerja
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
93
522
BAB IX–AUDIT
TI maupun di satuan kerja pengguna TI. Dalam melakukan penilaian risiko, audit
intern TI sekurang-kurangnya melakukan beberapa hal sebagai berikut:
a. mengidentifikasi data, aplikasi dan sistem operasi, teknologi, fasilitas dan personil;
b. mengidentifikasi kegiatan dan proses bisnis yang menggunakan TI;
c. mempertimbangkan skala prioritas berdasarkan dampak dan kemungkinan
terjadinya risiko atas kegiatan bisnis terkait dengan TI.
Perencanaan Audit harus mendapat persetujuan dari Presiden Direktur atau Direktur
Utama.
9.3.3. Pelaksanaan Audit
Dalam rangka melaksanakan rencana tahunan audit, program audit (AWP/audit
working program) wajib disusun untuk setiap penugasan audit, yang sekurangkurangnya mencakup:
a. organisasi, kewenangan dan tanggung jawab dari auditor;
b. cakupan audit sesuai hasil penilaian risiko;
c. tujuan audit, jadwal, jumlah auditor, anggaran dan pelaporan;
d. outline langkah teknis audit yang diperlukan untuk mencapai tujuan audit.
Dalam pelaksanaan tugasnya, audit intern TI harus memperhatikan aspek-aspek
kerahasiaan terhadap data dan informasi yang diperolehnya. SKAI Bank harus
memperhatikan fleksibilitas AWP agar dapat disesuaikan dan dilengkapi sesuai dengan
risiko yang diidentifikasi.
Temuan audit harus disertai dengan bukti-bukti dan kertas kerja pemeriksaan yang
didokumentasikan dengan baik. Untuk itu pedoman audit wajib dilengkapi dengan
standar kertas kerja, isi dan format laporan hasil audit, dokumentasi dan
distribusi serta pemantauan tindak Ianjutnya.
Auditor intern TI perlu berperan dalam pengembangan aplikasi utama, pengadaan,
konversi dan testing namun tidak sebagai penentu dapat tidaknya aplikasi yang
dikembangkan atau diadakan diimplementasikan, melainkan berpartisipasi sebagai nara
sumber dalam aspek pengendalian khususnya mengenai standar pengamanan yang
diperlukan. Peran ini diperlukan agar auditor TI dapat menjaga independensi dan
obyektifitas dalam pemeriksaan yang akan dilakukan nanti apabila sistem aplikasi telah
diimplementasikan.
9.3.4. Pelaporan
Laporan Hasil Audit Intern TI disusun berdasarkan format laporan yang didukung oleh
kertas kerja audit yang ditetapkan dalam pedoman audit intern. Laporan tersebut
merupakan sarana bagi manajemen untuk membantu melakukan penilaian terhadap
kualitas dan kinerja satuan kerja TI, serta memberikan saran perbaikannya. Laporan
hasil audit intern TI harus disampaikan kepada satuan kerja yang diperiksa. Disamping
itu laporan tersebut disampaikan secara tepat waktu kepada Direktur Utama dan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
94
523
BAB IX–AUDIT
Dewan Komisaris/Komite Audit dengan tembusan kepada Direktur Kepatuhan.
Laporan Hasil Audit Intern TI disampaikan juga kepada Bank Indonesia sebagai
bagian dari Laporan Pelaksanaan dan Pokok-Pokok Hasil Audit Intern sebagaimana
diatur dalam ketentuan mengenai penerapan standar pelaksanaan fungsi audit intern.
9.3.5. Tindak Lanjut Audit
Auditee harus memberikan tanggapan terhadap hasil pemeriksaan dan apabila temuan
perlu ditindaklanjuti maka Auditee harus memberikan komitmen dan target waktu
penyelesaiannya. Selanjutnya, SKAI harus memonitor pelaksanaan komitmen auditee
atas hasil pemeriksaan secara berkala dan melakukan verifikasi terhadap perbaikan
yang sudah dilakukan.
Audit intern harus memelihara dokumentasi atas hasil tindak lanjut tersebut. Laporan
tindak lanjut hasil pemeriksaan disampaikan kepada Direktur Utama dan Dewan
Komisaris/Komite Audit dengan tembusan kepada Direktur Kepatuhan.
9.4.
AUDIT INTERN TI YANG DILAKSANAKAN OLEH PIHAK LAIN
Dalam hal terdapat keterbatasan kemampuan fungsi audit intern atas Teknologi
Informasi Bank maka pelaksanaan fungsi audit intern dapat dilakukan oleh auditor
ekstern seperti Kantor Akuntan Publik, Lembaga Audit TI Independen atau auditor
intern kantor induk bagi bank yang dimiliki bank asing. Penggunaan auditor ekstern
untuk melaksanakan fungsi audit intern atas Teknologi Informasi Bank tidak
mengurangi tanggung jawab pimpinan Satuan Kerja Audit Intern Bank atas temuan
audit dan tindak lanjutnya.
Penggunaan pihak lain sebagai auditor intern TI tersebut wajib
mempertimbangkan kompleksitas produk dan skala usaha Bank. Pelaksanaan audit
intern TI oleh auditor ekstern tetap memperhatikan aspek kompetensi (antara lain
pengetahuan dan pengalaman yang memadai) dan independensi serta didasari dengan
suatu kontrak kerja. Meskipun pelaksanaan audit intern diserahkan kepada auditor
ekstern namun prosedur audit TI yang dilaksanakan tetap harus mengacu kepada
kebijakan dan prosedur audit TI yang dimiliki oleh Bank.
9.5.
AUDIT INTERN TERHADAP AKTIVITAS YANG DISELENGGARAKAN
OLEH PIHAK LAIN
Agar penggunaan penyedia jasa penyelenggara Teknologi Informasi dapat menunjang
kemampuan Bank untuk mengelola bisnisnya secara efektif maka aktivitas tersebut
juga merupakan ruang lingkup audit intern Bank. Fungsi audit intern Bank wajib
memastikan pengendalian yang dioperasikan oleh pihak penyedia jasa dan melakukan
pengujian atas efektivitas pengendalian tersebut. Bank harus memastikan bahwa
perjanjian dengan pihak penyedia jasa mencakup klausul penyediaan hak akses bagi
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
95
524
BAB IX–AUDIT
auditor intern Bank dan tidak keberatan untuk diaudit oleh auditor intern Bank. Akses
yang disediakan tersebut wajib diberikan baik secara logik maupun phisik.
9.6.
KAJI ULANG FUNGSI AUDIT INTERN TI
Bank wajib melakukan kaji ulang atas fungsi audit intern atas penggunaan
Teknologi Informasi paling kurang setiap 3 (tiga) tahun sekali. Kaji ulang tersebut
wajib menggunakan jasa pihak ekstern yang independen dan bekerja secara
independen. Yang dimaksud dengan independen adalah pihak diluar Bank yang tidak
memiliki hubungan keuangan, kepengurusan, kepemilikan saham atau hubungan lain
yang dapat mempengaruhi kemampuannya untuk bertindak independen. Yang
dimaksud dengan bekerja secara independen adalah dapat mengungkapkan pandangan
serta pemikiran sesuai dengan profesi, dengan tidak memihak terhadap kepentingan
pihak lain.
Kaji ulang yang dilakukan sekurang-kurangnya menilai hasil kerja SKAI dan
kepatuhan terhadap ketentuan yang terkait dengan Standar Pelaksanaan Fungsi Audit
Intern Bank dan manajemen risiko termasuk manajemen risiko dalam penggunaan
teknologi informasi serta ketentuan lainnya. Hasil kaji ulang disertai saran perbaikan
dilaporkan kepada Bank Indonesia dan merupakan bagian dari laporan kaji ulang fungsi
audit intern (SKAI) sebagaimana diatur dalam ketentuan mengenai penerapan standar
pelaksanaan fungsi audit intern.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
96
525
BAB X- Penggunaan Penyedia Jasa TI
BAB X
PENGGUNAAN PIHAK PENYEDIA JASA
TEKNOLOGI INFORMASI
10.1.
PENDAHULUAN
Dalam rangka meningkatkan efektivitas dan efisiensi pencapaian tujuan
strategis, Bank dimungkinkan menggunakan pihak penyedia jasa TI. Yang dimaksud
dengan menggunakan pihak penyedia jasa teknologi informasi adalah penggunaan jasa
pihak lain dalam menyelenggarakan kegiatan Teknologi Informasi yang menyebabkan
Bank memiliki ketergantungan terhadap jasa yang diberikan secara berkesinambungan
dan atau dalam periode tertentu.
Penggunaan pihak penyedia jasa TI dapat mempengaruhi risiko Bank antara
lain risiko operasional, kepatuhan, hukum dan reputasi yang dapat timbul antara lain
karena adanya kegagalan penyedia jasa dalam menyediakan jasa, pelanggaran terhadap
pengamanan atau ketidakmampuan untuk mematuhi hukum dan peraturan yang
berlaku. Untuk memastikan Bank menjalankan usahanya secara sehat dan aman,
operasional TI yang dilakukan oleh penyedia jasa TI juga menjadi objek pengaturan
dan pengawasan dari otoritas pengawas Bank. Bank Indonesia sebagai otoritas
pengawas Bank memiliki kewenangan untuk mengawasi semua aktivitas dan catatan
keuangan Bank baik yang dilakukan oleh Bank sendiri atau oleh pihak lain. Untuk itu
pemeriksaan dan pengawasan Bank tidak boleh terhambat dengan adanya pengalihan
fungsi-fungsi operasional Bank ke pihak lain.
10.2.
TANGGUNG JAWAB MANAJEMEN
Manajemen Bank bertanggungjawab penuh terhadap penerapan manajemen
risiko atas seluruh aktivitas yang terkait dengan penggunaan pihak penyedia jasa
dalam penyelenggaraan TI Bank. Apabila Bank menyerahkan penyelenggaraan TI
kepada pihak lain, tanggung jawab akhir (accountability) tetap berada pada Bank
meskipun day-to-day responsibility telah dipindahkan kepada pihak penyedia jasa.
Dengan demikian tanggung jawab manajemen tidak hilang atau menjadi berkurang
dengan adanya penggunaan penyedia jasa TI. Untuk itu, manajemen Bank wajib
mengelola risiko yang ditimbulkan dari kegiatan tersebut secara efektif antara lain
dengan:
a. memahami risiko-risiko secara menyeluruh yang dapat timbul sehubungan dengan
pengunaan jasa pihak lain untuk menyelenggarakan sebagian atau keseluruhan
operasional TI Bank;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
97
526
BAB X- Penggunaan Penyedia Jasa TI
b. penggunaan pihak penyedia jasa TI memberikan konsekuensi Bank membagi
informasi sensitif kepada penyedia jasa, oleh karena itu manajemen wajib
melakukan evaluasi kemampuan penyedia jasa untuk menjaga tingkat keamanan
paling tidak sama atau lebih ketat dari standar pengamanan Bank. Untuk itu
pengawasan dan pemantauan harus dilakukan secara memadai untuk memastikan
kecukupan perlindungan terhadap keamanan informasi tersebut;
c. mengevaluasi calon penyedia jasa berdasarkan cakupan dan faktor kritikal dari
jasa yang dikerjakan oleh pihak penyedia jasa;
d. mempertimbangkan beberapa alternatif pemilihan penyedia jasa yang lain apabila
aktivitas yang akan diserahkan penyelenggaraannya kepada pihak penyedia jasa
adalah penting;
e. melakukan kajian dalam rangka menilai kehandalan pihak penyedia jasa baik yang
menyangkut kinerja, reputasi penyedia jasa dan kelangsungan penyediaan layanan
dalam rangka melakukan pemilihan alternatif-alternatif pihak penyedia jasa Bank;
f. memastikan Bank memiliki cukup keahlian untuk mengawasi dan mengelola
hubungan kerjasama dengan penyedia jasa termasuk menerapkan pengendalian
yang efektif;
g. memastikan setiap hubungan kerja sama dengan penyedia jasa dapat ditangani
dengan baik oleh Bank dan dapat memenuhi kebutuhan kegiatan operasional Bank
serta sejalan dengan rencana strategis Bank;
h. memastikan Bank memiliki dokumentasi terkait dengan aktivitas penyediaan jasa
TI antara lain prosedur, tugas/tanggungjawab dan mekanisme pelaporan;
i. melakukan pengawasan secara berkesinambungan atas aktivitas Bank yang
dilakukan oleh pihak lain untuk mengatasi risiko yang telah diidentifikasi dan untuk
mengevaluasi perubahan-perubahan risiko yang terjadi pada saat pelaksanaan
operasional TI dibandingkan dengan pada saat penilaian awal;
j. melakukan review kontrak/perjanjian secara berkala untuk mengetahui kesesuaian
dengan kebutuhan dan kondisi Bank terkini;
k. khusus untuk penggunaan jasa TI yang memiliki eksposure risiko tinggi
(berdasarkan hasil Business Impact Analysis) seperti penyelenggaraan Data Center
dan Disaster Recovery Center, sebaiknya Bank menggunakan konsultan hukum
sejak awal proses rencana penggunaan jasa pihak lain untuk mengkaji proposal
yang disampaikan pihak penyedia jasa dan membantu menyiapkan perjanjian agar
Bank dapat memahami risiko hukum yang ada dan menerapkan mitigasi risiko yang
diperlukan.
Dalam menyerahkan penyelenggaraan TI kepada pihak lain, Direksi bertanggung jawab
untuk:
a. menetapkan kebijakan dan prosedur yang akan digunakan Bank dalam rangka
mengevaluasi risiko dan dampak dari penggunaan jasa pihak lain yang ada maupun
yang akan digunakan;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
98
527
BAB X- Penggunaan Penyedia Jasa TI
b. mengatur kewenangan persetujuan penggunaan pihak penyedia jasa TI sesuai
dengan jenis risiko dan dampaknya;
c. mengembangkan kebijakan dan prosedur manajemen risiko yang baik dan responsif
atas penggunaan jasa pihak ketiga sesuai dengan sifat, cakupan dan
kompleksitasnya;
d. memastikan adanya kaji ulang atas relevansi, keamanan, kehandalan strategi dan
kecukupan perjanjian secara berkala.
Dalam menyerahkan penyelenggaraan TI kepada pihak lain, Pejabat Tertinggi TI
bertanggung jawab untuk:
a. menerapkan kebijakan dan prosedur manajemen risiko yang baik dan responsif atas
penggunaan jasa pihak ketiga sesuai dengan sifat, cakupan dan kompleksitasnya;
b. mengkaji ulang keefektifan kebijakan dan prosedur secara berkala;
c. memastikan bahwa rencana kontinjensi telah disusun dan diuji berdasarkan
skenario dengan mempertimbangkan berbagai jenis gangguan;
d. memastikan adanya kaji ulang dan audit oleh pihak independen terhadap kepatuhan
pada kebijakan yang telah dibuat.
10.3.
KEBIJAKAN DAN PROSEDUR
10.3.1. Kebijakan Umum
Bank wajib memiliki pedoman mengenai penyelenggaraan TI kepada pihak lain yang
sekurang-kurangnya mengatur hal-hal:
a. standar prosedur pemilihan penyediaan jasa;
b. standar isi perjanjian kontrak kerja dengan penyedia jasa;
c. standar sistem pengamanan, akurasi dan integritas terhadap sistem teknologi yang
harus dipenuhi oleh penyedia jasa;
d. pengamanan dan kerahasiaan informasi khususnya informasi nasabah;
e. evaluasi risiko dan dampak penggunaan jasa pihak lain;
f. hal-hal lain yang wajib dilakukan Bank dalam penyelenggaraan TI oleh pihak lain
sesuai ketentuan yang diatur dalam Peraturan Bank Indonesia tentang Penerapan
Manajemen Risiko dalam Penggunaan TI.
10.3.2.
Proses Pemilihan Penyedia Jasa
10.3.2.1.
Pendefinisian Kebutuhan
Perumusan kebutuhan bisnis akan penggunaan jasa pihak lain wajib dilakukan
sebelum Bank memutuskan akan menggunakan jasa pihak lain, diantaranya
melalui:
a. proses pengidentifikasian secara spesifik mengenai fungsi atau aktivitas yang
akan diserahkan penyelenggaraannya kepada pihak penyedia jasa;
b. proses penilaian risiko yang dapat timbul akibat penyerahan penyelenggaraan
fungsi atau aktivitas tersebut; dan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
99
528
BAB X- Penggunaan Penyedia Jasa TI
c. penetapan dasar yang akan digunakan untuk mengidentifikasi pengukuran
pengendalian yang memadai.
Tahap pendefinisian kebutuhan tersebut diatas harus menghasilkan suatu dokumen
yang berisi secara rinci gambaran mengenai harapan Bank terhadap jasa yang akan
dikerjakan oleh penyedia jasa. Isi dari dokumen tersebut mencakup beberapa
komponen berikut ini:
a. cakupan dan karakteristik dari layanan, teknologi yang digunakan dan
dukungan kepada nasabah;
b. standar dan tingkat layanan meliputi ketersediaan dan kinerja, change
management, kualitas layanan, keamanan, kelangsungan usaha;
c. karakteristik minimal yang harus dipenuhi oleh penyedia jasa yang akan
digunakan seperti pengalaman, arsitektur teknologi dan sistem, process control,
kondisi keuangan, referensi mengenai reputasi;
d. pemantauan dan pelaporan meliputi kriteria yang akan digunakan dalam
pemantauan dan pelaporan baik untuk Bank maupun untuk pihak ketiga;
e. persyaratan yang harus dipenuhi baik dari sisi sistem, data maupun training
personil saat transisi atau migrasi ke sistem yang disediakan pihak penyedia
jasa;
f. jangka waktu kontrak, penghentian dan isi minimal dari kontrak;
g. perlindungan kontrak terhadap kewajiban seperti pembatasan kewajiban dan
ganti rugi serta asuransi.
Apabila penyelenggaraan kegiatan atau fungsi yang didefinisikan tersebut
dipertimbangkan untuk dilakukan oleh pihak terkait Bank maka manajemen Bank
harus memastikan bahwa persiapan yang dilakukan tidak akan berbeda dari apabila
akan dilakukan oleh pihak tidak terkait dengan Bank.
10.3.2.2.
Permintaan Proposal dari Penyedia Jasa
Proses pemilihan penyedia jasa dimulai dengan permintaan proposal dari
penyedia jasa. Proposal yang diajukan harus menjelaskan secara rinci kebutuhan
Bank seperti cakupan dan jenis pekerjaan yang akan dilakukan, ekspektasi level
jasa produksi, jangka waktu penyelesaian, pengukuran pekerjaan dan
pengendaliannya, pengamanan dan kelangsungan bisnis.
Pada saat Bank mengevaluasi proposal, terdapat kemungkinan
ditemukannya ketidaksesuaian dengan permintaan Bank. Oleh karena itu Bank
harus mengevaluasi perbedaan tersebut dan dampaknya terhadap sasaran dan jasa
yang diharapkan Bank. Diantaranya, Bank harus dapat mengkaji kebijakan pihak
penyedia jasa yang terkait dengan kepentingan audit penyelenggaraan TI Bank
karena akses auditor intern, ekstern maupun Bank Indonesia tidak boleh dikurangi.
Dengan demikian data dan informasi yang diperlukan dari penyelenggaraan TI
tetap dapat diperoleh secara tepat waktu setiap kali dibutuhkan meskipun TI yang
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
100
529
BAB X- Penggunaan Penyedia Jasa TI
digunakan Bank tidak diselenggarakan sendiri oleh Bank. Untuk itu surat
pernyataan harus termasuk dalam proposal yang disampaikan oleh pihak penyedia
jasa. Selanjutnya apabila proposal tersebut telah memenuhi kebutuhan atau sesuai
definisi kebutuhan yang telah dibuat Bank maka Bank melakukan negosiasi
penyelesaian dengan penyedia jasa sebelum pembuatan kontrak.
10.3.2.3. Due Diligence Penyedia Jasa
Due diligence perlu dilakukan untuk menilai kondisi keuangan, reputasi, kemampuan
teknis, kemampuan operasional, strategi pengembangan di masa mendatang,
kemampuan untuk mengikuti inovasi di pasar dan mempunyai reputasi yang baik
dalam industri perbankan. Dengan demikian Bank mendapatkan keyakinan bahwa
penyedia jasa mampu memenuhi kebutuhan Bank. Pada saat due diligence, Bank
harus melakukan evaluasi dan menilai informasi-informasi yang terkait dengan
penyedia jasa yaitu antara lain meliputi:
a. eksistensi dan sejarah perusahaan;
b. kualifikasi, latar belakang dan reputasi pemilik perusahaan;
c. perusahaan lain yang menggunakan jasa yang sama dari penyedia jasa sebagai
referensi;
d. kondisi keuangan termasuk review atas laporan keuangan audited;
e. kemampuan dan efektivitas pemberian jasa, termasuk dukungan purna jual;
f. teknologi dan arsitektur sistem;
g. lingkungan pengendalian intern, sejarah pengamanan dan cakupan audit;
h. kepatuhan terhadap hukum dan ketentuan yang berlaku;
i. kepercayaan dan keberhasilan dalam berhubungan dengan sub kontraktor;
j. jaminan asuransi;
k. kemampuan untuk menyediakan disaster recovery dan business continuity;
l. penerapan manajemen risiko;
m. laporan hasil pemeriksaan pihak independen.
Due diligence yang dilakukan Bank selama proses pemilihan wajib
didokumentasikan dengan baik dan dilakukan kembali secara berkala sebagai
bagian dari proses pemantauan dan kontrol. Dalam melakukan due diligence secara
berkala ini sebaiknya Bank memperhatikan perubahan atau perkembangan yang ada
selama kurun waktu sejak due diligence terakhir dengan menggunakan informasi
terkini.
10.3.2.4. Penentuan Penyedia Jasa
Dalam menentukan penyedia jasa yang dipilih untuk digunakan oleh Bank dalam
menyelenggarakan TI Bank maka Bank harus memperhatikan hal-hal dibawah ini:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
101
530
BAB X- Penggunaan Penyedia Jasa TI
a. oleh karena penggunaan pihak penyedia jasa tidak mengurangi tanggung jawab
Bank dalam menerapkan manajemen risiko maka Bank harus melakukan
evaluasi atas penerapan manajemen risiko pihak penyedia jasa;
b. oleh karena Bank harus mampu untuk melakukan pengawasan atas pelaksanaan
kegiatan Bank yang diselenggarakan oleh pihak penyedia jasa Teknologi
Informasi maka Bank harus memastikan bahwa laporan-laporan yang
diperlukan untuk memantau kinerja pihak penyedia jasa telah memadai
termasuk bila program pengawasan ternyata diperlukan;
c. cost and benefit analysis yang dilakukan untuk setiap alternatif yang akan
dipilih harus mendalam dan memenuhi jangka waktu penggunaan jasa yang
direncanakan sesuai Rencana Strategis TI & Rencana Bisnis;
d. dalam mengkaji setiap alternatif, manajemen Bank harus memastikan satuan
kerja Teknologi Informasi di Bank memberikan pendapat dan hasil analisisnya;
e. pihak penyedia jasa menerapkan prinsip pengendalian TI secara memadai
termasuk physical security dan logical security. Khusus untuk penyelenggaraan
Data Center, DRC dan Pemrosesan Berbasis TI harus dipastikan bahwa pihak
penyedia jasa dapat menyampaikan hasil audit terkini atas Teknologi Informasi
yang dilakukan oleh pihak independen;
f. dalam rangka memantau dan mengevaluasi kehandalan pihak penyedia jasa
secara berkala, baik yang menyangkut kinerja, reputasi penyedia jasa dan
kelangsungan penyediaan layanan, Bank dapat memperoleh informasi dari
berbagai sumber termasuk laporan tahunan pihak penyedia jasa TI tersebut;
g. Bank harus mempelajari apakah akses terhadap database dapat dilakukan oleh
Bank Indonesia dapat dilakukan setiap saat baik diperlukan untuk data terkini
maupun untuk data yang telah lalu;
h. apabila pihak penyedia jasa TI merupakan pihak terkait dengan Bank, Bank
tetap wajib melakukan proses seleksi. Dokumen penyeleksian harus dapat
menunjukan bahwa pertimbangan-pertimbangan telah dilakukan dengan
menganut “hubungan kerja sama secara wajar (arm's length principle)”.
10.3.3. Perjanjian Penyediaan Jasa
Setelah memilih sebuah perusahaan penyedia jasa, manajemen membuat perjanjian
tertulis dengan penyedia jasa. Isi proposal sebagaimana dipersyaratkan pada proses
sebelumnya dapat dijadikan masukan dalam proses ini. Perjanjian merupakan dokumen
hukum yang mendefinisikan seluruh aspek dari hubungan dengan pihak penyedia jasa
dan menjadi alat kontrol utama.
10.3.3.1. Penyusunan Perjanjian Penyediaan Jasa
Hal-hal minimum yang wajib diatur dalam kontrak antara lain meliputi:
a. cakupan pekerjaan/jasa;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
102
531
BAB X- Penggunaan Penyedia Jasa TI
b. biaya dan jangka waktu perjanjian kerjasama;
c. hak dan kewajiban Bank maupun pihak penyelenggara jasa;
d. jaminan pengamanan dan kerahasiaan data, terutama data nasabah. Data hanya
bisa diakses oleh pemilik data (Bank);
e. Service Level Agreement (SLA), berisi mengenai standar kinerja seperti tingkat
pelayanan yang diperjanjikan (service levels) dan target kinerja;
f. harus ditetapkan bahwa SLA tetap berlaku apabila terjadi perubahan kepemilikan
baik pada Bank maupun penyedia jasa;
g. laporan hasil pemantauan kinerja penyedia jasa yang terkait dengan SLA;
h. batasan risiko yang ditanggung oleh Bank dan penyedia jasa, diantaranya:
1) risiko perubahan ruang lingkup kontrak;
2) perubahan ruang lingkup bisnis dan organisasi perusahaan penyedia jasa;
3) perubahan aspek hukum serta regulasi;
4) aspek hukum yang meliputi hak cipta, paten dan trade mark;
i. subkontraktor, apabila pihak penyedia jasa melakukan subkontrak sebagian
kegiatannya maka persetujuan Bank harus secara tertulis;
j. tersedianya sarana komunikasi on-line, pengamanan terhadap akses dan transmisi
data, dari dan ke Data center, Disaster Recovery Center, dan Pemrosesan
Transaksi Berbasis TI;
k. pengaturan yang jelas mengenai backup, contingency, record protection termasuk
hardware, equipment, software dan data files, untuk menjamin kelangsungan
penyelenggaraan TI;
l. pengaturan mengenai pengamanan dalam pengiriman source document yang
diperlukan dari dan ke Data center, Disaster Recovery Center, dan Pemrosesan
Transaksi Berbasis TI. Pihak yang bertanggungjawab sebaiknya menutup asuransi
yang cukup;
m. kesediaan diaudit baik oleh intern Bank, Bank Indonesia atau pihak ekstern yang
ditunjuk oleh Bank maupun oleh Bank Indonesia dan tersedianya informasi untuk
keperluan pemeriksaan, termasuk hak akses, baik secara logic maupun physical
terhadap data yang dikelola oleh penyedia jasa;
n. pihak penyedia jasa wajib memberikan dokumen teknis kepada Bank terkait
dengan jasa yang dikerjakan oleh penyedia jasa antara lain alur proses TI dan
struktur database;
o. pihak penyedia jasa harus melaporkan setiap kejadian yang kritis yang dapat
mengakibatkan kerugian keuangan dan atau mengganggu kelancaran operasional
Bank;
p. khusus untuk penyelenggaraan Data Center, DRC dan Pemrosesan Berbasis TI,
pihak penyedia jasa wajib menyampaikan kepada Bank laporan keuangan terkini
yang telah diaudit setiap tahun dan laporan hasil pemeriksaan pihak independen
terhadap fasilitas TI yang menjadi obyek perjanjian secara berkala;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
103
532
BAB X- Penggunaan Penyedia Jasa TI
q. tanggung jawab penyedia jasa TI dalam menyediakan sumber daya manusia yang
memiliki kualifikasi dan kompetensi sesuai jasa yang disediakan sehingga
terjaminnya operasional Bank;
r. rencana pelatihan sumber daya manusia, baik jumlah yang dilatih, bentuk
pelatihan maupun biaya yang diperlukan. Pihak penyedia jasa wajib melakukan
transfer knowledge kepada Bank, sehingga terdapat personil satuan kerja
Teknologi Informasi di Bank yang memahami TI yang digunakan Bank terutama
alur proses TI dan struktur database dari sistem aplikasi yang disediakan oleh
pihak penyedia jasa tersebut;
s. kepemilikan dan hak cipta (license);
t. garansi bahwa penyedia jasa masih akan mendukung jasa yang diberikan kepada
Bank selama periode tertentu setelah implementasi;
u. pengakhiran/pemutusan kontrak termasuk dalam hal atas permintaan Bank
Indonesia;
v. sanksi dan penalti terhadap alasan-alasan yang tidak jelas terhadap pembatalan
kontrak dan pelanggaran isi kontrak;
w. kepatuhan pada hukum dan ketentuan yang berlaku di Indonesia termasuk
penyelesaian jika terjadi perselisihan.
10.3.3.2.
Klausula Khusus
Dalam kontrak yang dibuat antara Bank dengan penyedia jasa harus dicantumkan
klausula khusus mengenai kemungkinan mengubah, membuat perjanjian baru atau
mengambil alih kegiatan yang diselenggarakan oleh pihak penyedia jasa maupun
penghentian perjanjian sebelum jangka waktu berakhirnya perjanjian. Termasuk
dalam hal ini atas permintaan Bank Indonesia apabila diperlukan dalam rangka
pelaksanaan tugas Bank Indonesia selaku otoritas pengawas perbankan. Bank harus
mampu mengukur risiko dan efisiensi dari penyelenggaraan TI yang diserahkan
kepada pihak penyedia jasa sehingga Bank dapat mengetahui secara dini bila
terdapat kondisi-kondisi sebagai berikut:
a. memburuknya kinerja penyelenggaraan kegiatan Bank oleh pihak penyedia jasa
yang dapat berdampak signifikan pada kegiatan usaha Bank;
b. tingkat solvabilitas pihak penyedia jasa tidak memadai, dalam proses menuju
likuidasi atau dipailitkan oleh pengadilan;
c. terdapat pelanggaran terhadap ketentuan rahasia Bank dan data pribadi nasabah;
dan atau
d. terdapat kondisi yang menyebabkan Bank tidak dapat menyediakan data yang
diperlukan dalam rangka pengawasan yang efektif oleh Bank Indonesia.
Bila Bank menemukan hal-hal tersebut diatas maka Bank wajib melakukan hal
sebagai berikut:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
104
533
BAB X- Penggunaan Penyedia Jasa TI
a. melaporkan kepada Bank Indonesia paling lambat 3 hari kerja setelah kondisi
tersebut di atas diketahui oleh Bank;
b. memutuskan tindak lanjut yang akan diambil untuk mengatasi permasalahan
termasuk penghentian penggunaan jasa apabila diperlukan;
c. melaporkan kepada Bank Indonesia segera setelah Bank menghentikan
penggunaan jasa sebelum berakhirnya jangka waktu perjanjian.
Untuk menjaga kelangsungan usaha Bank dalam hal penghentian penggunaan jasa
dilakukan sebelum berakhirnya kontrak maka Bank harus memiliki contingency
plan yang teruji dan memadai.
10.3.4. Penyedia Jasa Berlokasi di Luar Indonesia
Pada prinsipnya Pusat Data (Data Center) dan/atau Disaster Recovery Center
hendaknya diselenggarakan di dalam negeri. Apabila proses dari pendefinisian
kebutuhan yang dilakukan oleh Bank sebelum Bank memutuskan akan menggunakan
jasa pihak lain ternyata menghasilkan kebutuhan bisnis akan penggunaan jasa pihak
lain di luar negeri untuk menyelenggarakan pusat data (Data Center) dan Disaster
Recovery Center maka Bank dapat mempertimbangkan penggunaan jasa pihak lain di
luar negeri. Satu hal yang harus dipahami oleh Bank-Bank yang merencanakan
penggunaan penyedia jasa di luar negara Indonesia bahwa rencana tersebut tidak boleh
merupakan upaya untuk menghindari/menghambat pengawasan atau pemeriksaan oleh
Bank Indonesia. Sama halnya dengan penggunaan penyedia jasa TI domestik,
penggunaan jasa TI pihak asing atau berlokasi di luar Indonesia harus melalui prosedur
yang sama yaitu mulai dari due diligence, pemilihan penyedia jasa, pembuatan kontrak
dan pengawasan, namun karena terkait dengan perbedaan yurisdiksi maka terdapat
persyaratan lain yang harus diperhatikan
oleh Bank. Bank yang akan
menyelenggarakan Pusat Data (Data Center), Disaster Recovery Center dan/atau
Pemrosesan Transaksi Berbasis Teknologi di luar negeri harus mendapat persetujuan
dari Bank Indonesia terlebih dahulu. Persetujuan tersebut termasuk untuk
penyelenggaraan pada kantor Bank, kantor induk maupun kelompok usaha Bank di
luar negeri. Sedangkan penggunaan pihak penyedia jasa di luar negeri untuk kegiatan
TI lainnya seperti pengembangan program dan aplikasi yang digunakan Bank serta
pemeliharaan hardware & software dapat mempergunakan pihak penyedia jasa di luar
negeri tanpa harus terlebih dahulu mendapatkan persetujuan Bank Indonesia sepanjang
tunduk kepada atau memenuhi ketentuan pada Pasal 18 PBI Penerapan Manajemen
Risiko dalam Penggunaan TI dan ketentuan dalam pedoman ini.
Untuk memperoleh persetujuan Bank Indonesia selain persyaratan yang berlaku
pada umumnya juga harus memenuhi hal-hal sebagai berikut:
a. Bank harus melakukan analisis dan studi kelayakan terhadap kebijakan pemerintah,
kondisi politik, sosial, ekonomi, dan hukum di negara dimana TI diselenggarakan.
Selain itu perlu dilakukan pula analisis mengenai kemampuan Bank untuk
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
105
534
BAB X- Penggunaan Penyedia Jasa TI
b.
c.
d.
e.
f.
g.
h.
i.
memantau pihak penyedia jasa secara efektif, kemampuan Bank untuk
melaksanakan Business Continuity Plan dan early termination;
country risk analysis menunjukkan bahwa tidak terdapat dampak yang signifikan
dari lokasi di luar negeri termasuk apabila terjadi sengketa dengan negara dimana
pihak penyedia jasa berada;
Bank harus melakukan pengecekan apakah terdapat ketentuan di negara pihak
penyedia jasa yang mengharuskan pihak penyedia jasa melakukan information
disclosure atas data nasabah dalam hal atau kasus tertentu walaupun terdapat
klausul kerahasiaan data nasabah di dalam kontrak perjanjian kerja;
pada prinsipnya Bank hanya dapat membuat perjanjian dengan pihak-pihak yang
beroperasi di yurisdiksi yang secara umum mendukung klausula dan perjanjian
kerahasiaan. Karena itu Bank harus memastikan bahwa perjanjian tertulis dengan
penyedia jasa juga mencakup choice of law dan Bank memahami dampak dari
hukum yang dipilih untuk menyelesaikan sengketa atau masalah hukum
dikemudian hari;
untuk dapat memberikan setiap data yang diperlukan dalam rangka pengawasan
oleh Bank Indonesia maka Bank harus memastikan bahwa struktur database dari
setiap aplikasi yang digunakan dimiliki oleh Bank dan disimpan juga di kantor
Bank di Indonesia dan terdapat petugas Bank di dalam negeri yang memahami
struktur database termasuk technical refference dari database tersebut. Dengan
demikian Bank harus meyakini bahwa penempatan Data Center di luar negeri tidak
menghambat usaha-usaha untuk mengawasi dan merekonstruksi aktivitas Bank di
dalam negeri (misalnya dari pembukuan, rekening, dan dokumen) secara tepat
waktu setiap kali dibutuhkan;
Bank tidak boleh menempatkan Data Center di yurisdiksi dimana akses terhadap
informasi oleh Bank Indonesia atau pihak-pihak yang ditunjuk oleh Bank Indonesia
untuk bertindak atas nama Bank Indonesia terhadap Data Center dan service
provider-nya dapat dihambat oleh batasan hukum atau administratif;
Bank harus melakukan kajian apakah penyelenggaraan Pusat Data (Data Center),
Disaster Recovery Center dan/atau Pemrosesan Transaksi Berbasis Teknologi di
luar negeri tersebut memungkinkan akses auditor intern Bank, ekstern maupun
Bank Indonesia untuk memperoleh data dan informasi yang diperlukan dari
penyelenggaraan TI secara tepat waktu setiap kali dibutuhkan;
Bank harus memberitahukan kepada Bank Indonesia bila ada otoritas di luar negeri
yang meminta akses atas informasi mengenai nasabah Bank atau bila timbul situasi
di mana hak akses yang dimiliki Bank atau Bank Indonesia untuk memperoleh
informasi dan dokumen dibatasi atau ditolak;
apabila di kemudian hari dijumpai hambatan dalam pelaksanaan pemeriksaan
penyelenggaraan Pusat Data (Data Center), Disaster Recovery Center dan/atau
Pemrosesan Transaksi Berbasis TI di luar negeri tersebut, Bank Indonesia dapat
meminta perjanjian penggunaan jasa tersebut agar dihentikan;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
106
535
BAB X- Penggunaan Penyedia Jasa TI
j. kajian yang dilakukan Bank mengenai cost & benefit harus menunjukkan bahwa
manfaat bagi Bank melampaui biaya yang dibebankan oleh provider/grup/parent
Bank termasuk peningkatan kualitas pelayanan kepada nasabah;
k. kajian yang dilakukan Bank wajib mencakup pengembangan produk dan
perencanaan sumber daya manusia. Diharapkan Bank mampu mengupayakan
peningkatan kemampuan sumber daya manusia Bank baik di sisi penyelenggaraan
TI yang digunakan maupun di sisi transaksi bisnis atau produk yang ditawarkan
meskipun penyelenggaraan TI berlokasi di luar negeri;
l. apabila Bank merupakan KCBA atau Bank yang dimiliki Lembaga Keuangan
Asing maka Bank wajib menyampaikan hal-hal sebagai berikut dalam surat
permohonan persetujan:
1) Surat Pernyataan dari otoritas pengawas lembaga keuangan di luar negeri
bahwa pihak penyedia jasa TI merupakan cakupan pengawasan;
2) Surat Pernyataan tidak keberatan dari otoritas pengawas setempat bila Bank
Indonesia hendak melakukan pemeriksaan penyelenggaraan pusat data (Data
Center) dan atau Disaster Recovery Center tersebut;
3) Surat Pernyataan bahwa Bank secara berkala akan menyampaikan hasil
penilaian yang dilakukan kantor Bank di luar negeri atas penerapan manajemen
risiko pada pihak penyedia jasa. Surat Pernyataan ini mencantumkan periodisasi
yang direncanakan;
4) Hasil penilaian oleh kantor Bank di luar negeri atas penerapan manajemen
risiko yang dilakukan oleh pihak penyedia jasa.
m. khusus untuk rencana menyerahkan Pemrosesan Transaksi Berbasis TI (aktivitas
atau kegiatan penambahan, penghapusan, perubahan dan otorisasi data yang
dilakukan pada sistem aplikasi yang digunakan untuk memproses transaksi) kepada
pihak lain di luar negeri, diperlukan kajian yang dapat membantu Bank memenuhi
persyaratan tambahan lainnya lagi yaitu:
1) memperhatikan aspek perlindungan kepada nasabah;
2) aktivitas tidak merupakan atau terkait dengan inherent banking functions yaitu
tabungan, giro, deposito maupun kredit (kecuali kartu kredit). Termasuk dalam
hal ini aktifitas pembukaan rekening dan pemeliharaan master file data pribadi
nasabah;
3) dokumen pendukung administrasi keuangan atas transaksi yang dilakukan di
kantor Bank di Indonesia dapat dipelihara di Indonesia;
4) rencana bisnis yang menunjukkan adanya upaya untuk meningkatkan peran
Bank bagi perekonomian di Indonesia.
Permohonan persetujuan wajib disampaikan paling lambat 4 (empat) bulan
sebelum perubahan efektif dioperasikan sedangkan persetujuan atau penolakan akan
diberikan Bank Indonesia paling lambat 3 (tiga) bulan setelah dokumen permohonan
diterima secara lengkap. Selain persyaratan tersebut di atas, Bank Indonesia dapat
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
107
536
BAB X- Penggunaan Penyedia Jasa TI
meminta tambahan persyaratan dari Bank dan atau melakukan pemeriksaan lebih
lanjut. Permintaan kedua hal tersebut tergantung pada potensi dampak penggunaan
pihak penyedia jasa TI terhadap Bank dan tingkat keyakinan atas dokumen yang
disampaikan.
10.4.
PROSES MANAJEMEN RISIKO
10.4.1. Penilaian Risiko
Penggunaan jasa pihak lain dalam menyelenggarakan TI Bank dapat memberikan
kontribusi terhadap beberapa jenis risiko, yaitu:
a. Risiko Operasional – ketidakmampuan penyedia jasa memenuhi kontrak;
b. Risiko Hukum – ketidakpastian hukum atas perselisihan dengan pihak penyedia
jasa dan/atau pihak ketiga dan atau tuntutan nasabah atas penyalahgunaan data
nasabah oleh pihak penyedia jasa;
c. Risiko Reputasi – ketidakpuasan nasabah karena ketidakmampuan penyedia jasa
memenuhi SLA;
d. Risiko Strategis – ketidakcocokan TI yang digunakan Bank dengan tujuan dan
rencana strategis Bank yang dibuat untuk mencapai tujuan tersebut;
e. Risiko Kepatuhan – ketidakmampuan Bank memenuhi ketentuan yang berlaku;
f. Country Risk – kondisi di negara asing yang dapat mempengaruhi kemampuan
penyedia jasa memenuhi standar pemberian jasa.
Dalam melakukan identifikasi, pengukuran dan pemantauan risiko Bank harus
senantiasa mempertimbangkan ketiga faktor berikut ini:
a. terkait dengan aktivitas dan fungsi yang diselenggarakan oleh pihak penyedia jasa
meliputi sensitivitas data yang diakses, dilindungi atau dikendalikan oleh penyedia
jasa, volume transaksi, dan tingkat pentingnya aktivitas dan fungsi tersebut
terhadap bisnis Bank;
b. terkait dengan penyedia jasa seperti misalnya kondisi keuangan, kompetensi tenaga
kerja, turn over manajemen dan tenaga kerja, pengalaman pihak penyedia jasa,
profesionalitas;
c. terkait dengan teknologi yang digunakan meliputi kehandalan (reliability),
keamanan (security), ketersediaan (availability), dan ketepatan waktu (timeliness)
serta kemampuan mengikuti perkembangan teknologi dan perubahan ketentuan.
10.4.2. Mitigasi Risiko
Berdasarkan PBI Penerapan Manajemen Risiko dalam Penggunaan Teknologi
Informasi Bank tetap bertanggungjawab untuk setiap penerapan manajemen risiko
Bank. Dengan demikian Bank wajib melakukan mitigasi risiko untuk setiap kelemahan
dan/atau pelanggaran kebijakan dan prosedur pengamanan serta potensi risiko yang
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
108
537
BAB X- Penggunaan Penyedia Jasa TI
dapat mengganggu kelangsungan penyelenggaraan TI yang digunakan oleh Bank, baik
yang terjadi di Bank maupun di pihak penyedia jasa.
10.4.2.1.Business Continuity Plan (BCP)
Bank wajib memastikan bahwa risiko ketergantungan pada pihak penyedia jasa dapat
dimitigasi sehingga Bank tetap mampu menjalankan bisnisnya apabila penyedia jasa
wanprestasi, pemutusan hubungan atau dalam proses menuju likuidasi. Mitigasi risiko
yang dapat dilakukan oleh Bank mencakup:
a. memastikan bahwa pihak penyedia jasa memiliki BCP sesuai dengan jenis, cakupan
dan kompleksitas aktivitas/jasa yang diberikan;
b. secara aktif mendapatkan jaminan kesiapan BCP milik pihak penyedia jasa seperti
pengujian secara berkala atas BCP;
c. memiliki perjanjian penyimpanan source code program (escrow agreement) untuk
aplikasi yang memiliki eksposur risiko tinggi, jika Bank tidak memiliki source code
dari program aplikasi yang diselenggarakan oleh pihak penyedia jasa;
d. dalam hal source code tidak dimiliki oleh penyedia jasa maka penyedia jasa harus
memberikan jaminan kepada Bank, bahwa kelangsungan aplikasi didukung oleh
principal pengembang software.
Untuk menjamin fungsi dan efektifivitas BCP, Bank wajib menyusun dan
melakukan pengujian BCP secara berkala, lengkap dan mencakup hal-hal yang
signifikan yang didasarkan atas jenis, cakupan dan kompleksitas aktivitas atau kegiatan
yang dilakukan oleh penyedia jasa. Disamping itu pihak penyedia jasa harus
melakukan pengujian DRP di pihak penyedia jasa sendiri untuk sistem atau fasilitas TI
maupun pemrosesan transaksi yang diselenggarakan tanpa melibatkan pihak Bank.
Hasil pengujian DRP pihak penyedia jasa tersebut digunakan Bank untuk mengkinikan
DRP ataupun BCP yang dimiliki Bank.
10.4.2.2. Pengendalian Risiko Lainnya
Meskipun Bank maupun pihak penyedia jasa sudah menggunakan sistem yang
canggih namun masih memungkinkan adanya penyimpangan dari dalam seperti
misalnya kesalahan manusia, penerapan prosedur yang lemah serta pencurian
pegawai (employee theft). Bank harus memastikan adanya pengendalian pengamanan
dasar untuk memitigasi risiko yang mencakup hal-hal sebagai berikut:
a. pihak penyedia jasa harus melakukan penelitian latar belakang para pegawainya
karena serangan dari dalam lebih susah dicegah;
b. menutup kemungkinan orphan accounts digunakan untuk transaksi. Password &
e-mail dari pegawai yang telah keluar harus segera dihapus;
c. lingkungan fisik baik di pihak penyedia jasa maupun di Bank harus selalu
dipastikan aman, seperti pemantauan orang yang keluar masuk ruangan,
kemungkinan bencana banjir dan kebakaran;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
109
538
BAB X- Penggunaan Penyedia Jasa TI
d. lingkungan elektronik baik di pihak penyedia jasa maupun di Bank harus selalu
dipastikan aman;
e. prosedur pengamanan dikinikan secara berkala agar selalu mematuhi ketentuan
yang berlaku dan sesuai best practices;
f. buat kelompok yang melakukan intrusion-detection secara berkala baik didalam
Bank maupun menyewa para profesional. Lakukan pemantauan kemajuannya
dan pastikan standar diterapkan secara memadai;
g. pastikan kewajiban pihak penyedia jasa untuk melakukan pengendalian keamanan
terhadap seluruh fasilitas teknologi informasi yang digunakan dan data yang
diproses serta informasi yang dihasilkan telah dicantumkan dalam perjanjian;
h. pastikan agar sebelum perjanjian ditandatangani pihak penyedia jasa memahami
dan dapat memenuhi tingkat pengamanan yang dibutuhkan Bank untuk masingmasing jenis data berdasarkan sensitifitas kerahasiaan data;
i. usahakan agar biaya yang dikeluarkan untuk pengamanan masing-masing
sebanding dengan tingkat pengamanan yang dibutuhkan dan sesuai dengan
tingkat toleransi risiko yang telah ditetapkan oleh Bank.
10.5. PENGENDALIAN INTERN DAN AUDIT INTERN
10.5.1. Pemantauan/Pengawasan
Bank wajib memiliki program pemantauan untuk memastikan penyedia jasa telah
melaksanakan pekerjaan/memberikan jasa sesuai dengan kontrak. Sumber daya untuk
mendukung program ini dapat bervariasi tergantung pada kritikalitas dan kompleksitas
sistem, proses dan jasa yang dikerjakan pihak lain.
Bank wajib melakukan pre dan post-review penyedia jasa pihak lain untuk memastikan
bahwa kebijakan dan prosedur manajemen risiko Bank telah dilakukan secara efektif.
Selanjutnya, review performance dan pencapaian Service Level Agreement (SLA)
dilakukan secara berkala yang didokumentasikan dalam bentuk laporan. Pemantauan
wajib dilakukan terhadap laporan tahunan hasil pemeriksaan penyedia jasa.
10.5.2. Audit Intern
Bank wajib melaksanakan fungsi audit terhadap pihak penyedia jasa, baik dilakukan
oleh audit intern Bank maupun pihak audit ekstern yang ditunjuk oleh Bank. Apabila
pihak penyedia jasa memberikan layanan kepada lebih dari satu Bank maka pihak
penyedia jasa dapat menunjuk auditor TI independen untuk melakukan audit atas
layanan yang diberikan kepada masing-masing Bank. Hasil pemeriksaan yang
dilakukan oleh auditor TI yang independen ini untuk kepentingan masing-masing Bank
sehingga SKAI Bank tetap bertanggung jawab atas hasil audit tersebut dan wajib
memastikan kesesuaian pelaksanaan audit dengan kebijakan dan prosedur audit Bank.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
110
539
BAB X- Penggunaan Penyedia Jasa TI
Ruang lingkup audit sesuai dengan cakupan pekerjaan/jasa sebagaimana yang tertuang
dalam kontrak perjanjian. Area yang diaudit antara lain seperti IT Systems, data
security, internal control frameworks dan business contingency plan.
Bank wajib memastikan bahwa, Bank Indonesia atau pihak lain yang ditugaskan oleh
Bank Indonesia memiliki hak akses ke penyedia jasa dan Bank untuk mendapatkan
catatan-catatan dan dokumen transaksi, serta informasi Bank yang disimpan atau
diproses oleh penyedia jasa serta hak akses terhadap laporan dan temuan audit terhadap
penyedia jasa yang terkait dengan jasa yang diberikan kepada Bank.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
111
540
GLOSSARY
GLOSSARY
1. Acquirer:
Bank atau lembaga selain Bank yang melakukan kegiatan alat pembayaran dengan
menggunakan kartu yang dapat berupa financial acquirer dan/atau technical acquirer.
2. Access - akses:
jalan masuk. Suatu usaha untuk membuka suatu saluran komunikasi dengan perangkat
hardware atau software tertentu, seperti modem yang digunakan untuk membuka akses
internet. Perangkat hardware atau software tersebut selain untuk memberikan data juga
digunakan untuk menerima data untuk disimpan.
3. Accountability – akuntabilitas:
mekanisme untuk menilai tanggung jawab atas pengambilan keputusan dan tindakan.
4. Administrator Log:
file di komputer yang menyimpan informasi mengenai kegiatan administrator
5. AES (Advanced Encryption Standard):
standar enkripsi berdasarkan algoritma block chiper dengan panjang blok tertentu (128 bit) dan
panjang kunci yang bervariasi (AES-128, AES-192, AES-256). AES dianggap sebagai
pengganti DES.
6. Agile Software Development:
merupakan kerangka teknis pengembangan system yang mengutamakan pengembangan secara
iterasi/ berulang-ulang dalam siklus (SDLC) suatu proyek. Tahapan yang harus dilalui dalam
setiap iterasi merupakan bagian dari SDLC, seperti perencanaan, analisis kebutuhan, desain,
pengembangan, uji coba dan dokumentasi.
7. Arm’s Length Principle:
suatu prinsip kerjasama yang wajar dan saling menguntungkan dimana masing-masing pihak
yang akan membuat perjanjian kerjasama memiliki daya tawar (bargaining power) yang sama
walaupun pihak penyedia jasa merupakan pihak terkait.
8. Automated Teller Machine (ATM):
suatu terminal/mesin komputer yang digunakan oleh Bank yang dihubungkan dengan
komputer lainnya melalui komunikasi data yang memungkinkan nasabah Bank menyimpan
dan mengambil uang di Bank atau melakukan transaksi perbankan lainnya.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
112
541
GLOSSARY
9. Audit Trail:
file di komputer yang menyimpan informasi mengenai kegiatan user atau komputer yang
tersimpan secara kronologis, yang dapat digunakan untuk audit atau penelusuran.
10. Authentication:
kemampuan dari setiap pihak dalam transaksi untuk menguji kebenaran dari pihak lainnya.
11. Back Door:
metode untuk melewati otentikasi normal atau remote access yang aman dari suatu komputer
terhadap pengaksesan suatu sistem namun tidak teridentifikasi melalui pemeriksaan biasa.
12. Backup:
salinan dari dokumen asli atau cadangan dari mesin utama yang dapat digunakan apabila
terjadi gangguan pada mesin utama. Backup dapat berupa backup data maupun backup system.
Backup dapat ditempatkan secara on site di lokasi Data Center dan atau off site di lokasi
alternatif.
13. Backup Site:
lokasi penyimpanan backup komputer dan file yang terpisah dengan Data Center.
12. Backlog project:
adanya proyek pengembangan sistem aplikasi yang tertunda pelaksanaannya.
13. Business Continuity Management (BCM):
proses manajemen terpadu dan menyeluruh untuk menjamin kegiatan operasional Bank tetap
dapat berfungsi walaupun terdapat gangguan/bencana guna melindungi kepentingan para
stakeholder.
14. Business Continuity Plan (BCP):
suatu dokumen tertulis yang memuat rangkaian kegiatan yang terencana dan terkoordinir
mengenai langkah-langkah pengurangan risiko, penanganan dampak gangguan/bencana dan
proses pemulihan agar kegiatan operasional Bank dan pelayanan kepada nasabah tetap dapat
berjalan. Rencana tindak tertulis tersebut melibatkan seluruh sumber daya Teknologi Informasi
(TI) termasuk sumber daya manusia yang mendukung fungsi bisnis dan kegiatan operasional
yang kritikal bagi Bank.
15. Business Impact Analysis (BIA):
Proses untuk memastikan akibat yang ditimbulkan dari ketidaktersediaannya dukungan semua
resource. Pada fase ini mencakup identifikasi beragam kejadian yang dapat mengakibatkan
kelangsungan kegiatan operasional dan financial, sumber daya manusia dan dampak terhadap
reputasi perusahaan. BIA merupakan langkah kritikal dalam pengembangan BCP.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
113
542
GLOSSARY
16. Business Recovery Center/Crisis Center/Business Resumption Center:
Lokasi yang digunakan sebagai pusat kegiatan bisnis pada saat proses recovery setelah
terjadinya disaster.
17. Client Server:
Arsitektur komputer dimana terdapat 2 jenis titik pertemuan berupa client dan server. Tiap
client dapat mengirim permintaan data ke satu atau lebih server yang saling terhubung. Server
selanjutnya menerima, memproses dan menjawab permintaan data tersebut.
18. Cold Sites:
lokasi alternatif (DRC) yang hanya memiliki fasilitas yang sifatnya sangat mendasar (seperti:
listrik, AC dan ruangan) dan belum memiliki konfigurasi komputer yang kompatibel serta
belum terdapat backed up data lengkap sebagaimana di hot sites DRC. Lokasi ini siap untuk
menerima penggantian perangkat komputer yang dibutuhkan pada saat user harus pindah dari
Data Center ke lokasi alternatif. Untuk itu apabila lokasi ini akan digunakan diperlukan
tambahan waktu sebelum siap digunakan untuk menggantikan Data Center saat terjadi
disaster.
17. Communicative E-Banking:
pelayanan jasa Bank kepada nasabah melalui media elektronik dalam bentuk komunikasi atau
melakukan interaksi dengan Bank penyedia layanan secara terbatas dan tidak terdapat eksekusi
transaksi.
18. Contigency Plan:
Prosedur yang berisikan mengenai rencana atau langkah-langkah secara manual yang harus
dilakukan oleh unit bisnis untuk menjalankan kegiatan operasional bisnis pada saat proses
recovery sedang dilakukan.
19. Controller (Host-Front End):
telecommunication control unit adalah sejenis komputer mini yang berfungsi untuk mengontrol
kinerja perangkat keras dan perangkat lunak yang ada pada suatu sistem seperti terminal
komputer / ATM, jaringan komunikasi atau sarana komputer lainnya.
20. Cost and Benefit Analysis:
suatu analisis perbandingan antara biaya investasi dan keuntungan yang diperoleh Bank dari
setiap alternatif pilihan penyedia jasa. Hasil analisis ini menjadi salah satu pertimbangan Bank
untuk mengambil keputusan outsourcing atau pemilihan penyedia jasa.
21. Cybersquating:
pendaftaran atau penggunaan alamat website atau nama domain dengan maksud buruk yaitu
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
114
543
GLOSSARY
untuk menyalahgunakan atau memperoleh keuntungan dari penggunaan suatu merek dagang
oleh pihak yang tidak berwenang.
22. Database:
basis data yaitu representasi kumpulan fakta yang saling berhubungan disimpan secara
bersama sedemikian rupa dan tanpa pengulangan (redudansi)yang tidak perlu, untuk memenuhi
berbagai kebutuhan. Data perlu disimpan dalam basis data untuk keperluan penyediaan
informasi lebih lanjut. Data di dalam basis data perlu diorganisasikan sedemikian rupa, supaya
informasi yang dihasilkan berkualitas. Organisasi basis data yang baik juga berguna untuk
efisiensi kapasitas penyimpanannya. Dalam maksud yang sama, bisa juga diartikan sebagai
sekumpulan informasi yang disusun sedemikian rupa untuk dapat diakses oleh sebuah software
tertentu. Database tersusun atas bagian yang disebut field dan record yang tersimpan dalam
sebuah file. Sebuah field merupakan kesatuan terkecil dari informasi dalam sebuah database.
Sekumpulan field yang saling berkaitan akan membentuk record.
23. Data Center:
fasilitas utama pemrosesan data Bank yang terdiri dari perangkat keras dan perangkat lunak
untuk mendukung kegiatan operasional Bank secara berkesinambungan.
24. Defacing:
upaya hacker untuk menyerang dan mengubah tampilan atau isi suatu website.
25. DES (Data Encryption Standar):
standar enkripsi berdasarkan algoritma block cipher. Standar ini telah lama digunakan dan
sering dianggap tidak dapat lagi memberikan pengamanan yang memadai.
26. Denial of Service Attack:
serangan terhadap sistem teknologi informasi sehingga menjadi lambat atau tidak dapat
berfungsi sama sekali misalnya dengan membuat kapasitas (bandwidth) jaringan atau kapasitas
(disk space) komputer seolah-olah telah terpakai penuh, ganggguan pada server serta gangguan
penyediaan jasa kepada sistem lain atau pengguna.
27. Digital Certificate:
identitas elektronik yang digunakan untuk mengidentifikasi dan memverifikasi bahwa pesan
tersebut dikirim oleh orang atau perusahaan yang berwenang dan hanya dibaca oleh pihak yang
berwenang pula. Digital certificate diterbitkan oleh pihak ketiga yang disebut "certification
authority" (CA) seperti VeriSign (www.verisign.com) and Thawte (www.thawte.com).
28. Digital signatures:
suatu informasi berupa tanda-tanda tertentu yang berbetuk digital yang dapat memastikan
otentikasi pengirim, integritas data, dan tak dapat disangkal.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
115
544
GLOSSARY
29. Disaster Recovery Plan (DRP):
dokumen yang berisikan rencana dan langkah-langkah mendapatkan kembali akses data,
hardware dan software yang diperlukan agar Bank dapat menjalankan kegiatan operasional
bisnis yang kritikal setelah adanya disaster. DRP menekankan pada aspek teknologi.
30. Disaster Recovery Center (DRC):
suatu lokasi alternatif yang dapat digunakan pada saat Pusat Data (Data Center) mengalami
gangguan atau tidak dapat berfungsi akibat adanya disaster antara lain karena tidak adanya
aliran listrik ke ruang komputer, kebakaran, ledakan atau kerusakan pada komputer, yang
digunakan sementara waktu selama dilakukannya pemulihan Pusat Data (Data Center) Bank
untuk menjaga kelangsungan kegiatan usaha (business continuity).
31. Disposal Media Backup:
proses penghancuran terhadap media backup yang sudah melewati masa retensi dan tidak
digunakan
32. Down Time:
Lamanya sistem tidak dapat berfungsi dan digunakan oleh pengguna karena adanya gangguan
hardware, software dan komunikasi.
33. Due Diligence:
suatu proses untuk mendapatkan informasi selengkap-lengkapnya mengenai penyedia jasa
untuk menilai reputasi, kemampuan operasional, manajerial, kondisi keuangan, strategi
pengembangan di masa mendatang dan kemampuan mengikuti perkembangan teknologi
terkini.
34. E-money atau stored value atau prepaid card:
produk yang merupakan media yang dipakai dalam mekanisme sistem pembayaran melalui
pembayaran di point of sales (merchant), transfer antar dua media elektronik atau jaringan
komputer menggunakan nilai uang yang tersimpan pada kartu atau produk tersebut.
35. Electronic Data Capture/Point of Sales Terminal:
suatu perangkat keras atau terminal komputer dapat berupa cash register atau terminal
debit/credit verification yang membaca informasi pada pita magnetis kartu (card’s magnetic
stripe) kartu mengenai data transaksi di tempat penjualan (merchant), mentransmisikan data
kepada acquirer untuk diverifikasi dan diproses.
36. Electronic Fund Transfer:
transfer dana antar rekening melalui sistem pembayaran yang menggunakan media elektronik.
EFT dapat dilakukan pada transaksi keuangan melalui telepon, terminal komputer,dll.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
116
545
GLOSSARY
37. Enkripsi:
alat untuk mencapai keamanan data dengan menerjemahkannya dengan menggunakan sebuat
key (password). Enkripsi mencegah password atau key supaya tidak mudah dibaca pada file
konfigurasi.
38. Escrow Agreement:
suatu perjanjian yang memungkinkan pemberian hak kepada pembeli perangkat lunak untuk
dapat memiliki source code versi terkini dalam hal perusahaan pembuat sistem aplikasi tidak
beroperasi lagi antara lain karena dipailitkan.
39. Exception Handling:
mekanisme untuk menangani munculnya kondisi yang tidak diharapkan yang dapat mengubah
alur normal suatu system aplikasi.
40. Firewall:
peralatan untuk menjaga keamanan jaringan yang melakukan pengawasan dan penye leksian atas lalu lintas data/informasi melalui jaringan serta memisahkan jaringan privat
dan publik. Peralatan ini dapat digunakan untuk melindungi komputer yang telah
dikoneksikan dengan jaringan dari serangan yang dapat mengkompromikan komputer internal
yang dapat menyebabkan data corruption dan atau denial of service bagi pengguna yang
diotorisasikan.
41.Full System Back up:
system backup yang mencakup keseluruhan sistem yang digunakan.
42. Gateway:
titik dalam suatu jaringan yang berfungsi sebagai pintu masuk ke jaringan lain atau
menghubungkan satu jaringan dengan jaringan lain. Gateway dapat berupa komputer yang
mengatur dan mengendalikan lalu lintas jaringan.
43. Hardcopy:
salinan data/informasi komputer dalam bentuk tercetak atau dikenal dengan printout.
44. Hardening:
merupakan proses/metode untuk mengamankan sistem dari berbagai ancaman atau gangguan.
Metode yang digunakan termasuk antara lain menonaktifkan layanan yang tidak diperlukan,
serta username atau login yang tidak diperlukan, mengembangkan intrusion detection system,
intrusion prevention system, firewall.
45. Hash Function:
suatu cara untuk mengubah data (biasanya berbentuk pesan atau file) menjadi suatu angka
tertentu yang dapat digunakan oleh komputer untuk menghasilkan data asalnya kembali
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
117
546
GLOSSARY
46. Hot Card File:
file yang menyimpan informasi mengenai kartu magnetis yang harus ditelan oleh mesin seperti
ATM, karena kartu tersebut tidak memenuhi syarat untuk dapat dioperasikan.
47. Hot Sites:
Lokasi alternatif (DRC) yang memiliki konfigurasi komputer yang secara penuh (hardware,
network, system software dan aplikasi) dan kompatibel dengan Data Center. Pada umumnya
dapat dioperasikan segera setelah terjadinya disaster, sehingga data secara kontinu di backup
menggunakan koneksi live antara Data Center dan DRC.
48. Hub:
peralatan yang menghubungkan beberapa kabel pada jaringan dan meneruskan data / informasi
ke seluruh address yang berupa titik jaringan atau peralatan yang dituju.
49. Informational E-Banking:
pelayanan jasa Bank kepada nasabah melalui media elektronik baik internet, mobile phone,
telepon, dll. dan tidak terdapat eksekusi transaksi.
50. Interoperabilit:
a. kemampuan perangkat lunak atau perangkat keras pada berbagai jenis mesin dari banyak
vendor untuk saling berkomunikasi.
b. kemampuan untuk saling bertukar dan menggunakan informasi (biasanya dalam suatu
jaringan besar yang terdiri beberapa jaringan lokal yang bervariasi).
51. Interface / Integration Testing:
uji coba oleh quality assurance dan pengguna akhir untuk menguji antar muka / interface
komponen perangkat lunak yang terintegrasi, termasuk keterhubungannya dengan sistem lain.
52. IT Control:
pengendalian Teknologi Informasi (TI) yang mencakup pengendalian umum dan pengendalian
aplikasi yang terintegrasi untuk mendukung proses bisnis. Pengendalian umum TI diperlukan
untuk memungkinkan diterapkannya fungsi pengendalian aplikasi. Pengendalian umum Bank
mencakup pengendalian di manajemen dan organisasi TI Bank, pengendalian akses baik logik
maupun fisik, pelaksanaan DRP/BCP, dll. Pengendalian aplikasi diperlukan untuk memastikan
kelengkapan dan keakuratan dalam setiap tahap pemrosesan informasi. Pengendalian aplikasi
diintegrasikan dengan sistem aplikasi yang digunakan untuk pemrosesan transaksi.
53. Keylogger:
ancaman berupa perangkat lunak atau perangkat hardware yang digunakan untuk memperoleh
informasi (PIN, password) yang diketikkan pengguna pada keyboard (biasanya di warung
internet).
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
118
547
GLOSSARY
54. Library:
kumpulan perangkat lunak atau data yang memiliki fungsi tertentu dan disimpan serta siap
untuk digunakan.
55. Logic Bomb:
suatu kode yang sengaja dimasukkan di dalam suatu sistem perangkat lunak yang pada suatu
kondisi tertentu akan melakukan serangkaian fungsi yang bersifat merusak.
56. Man-in-the-middle-attack:
jenis serangan terhadap sistem teknologi informasi dimana hacker/penyerang menyadap pesan
yang dikirimkan pengirim kepada penerima dan/atau selanjutnya mengubah isi pesan dan
mengirimkannya kembali kepada penerima. Hacker/penyerang akan menggunakan program
yang tampak seperti server bagi client dan tampak sebagai client bagi server.
57. Maximum Tolerable Outage / Recovery Time Objective:
Lamanya waktu yang dapat ditolerir pada saat sistem tidak dapat berfungsi akibat adanya
gangguan. RTO mengindikasikan waktu tercepat/terpendek (earliest point in time) yang
diperlukan agar kegiatan bisnis operasional dapat kembali berjalan setelah adanya gangguan
(disaster).
58. Mobile Banking:
Layanan yang memungkinkan nasabah Bank melakukan transaksi perbankan melalui
handphone. Mobile banking umumnya dilakukan melalui sms atau mobile internet namun
dapat juga menggunakan program khusus yang di-download melalui handphone.
59. Modem (Modulator Demodulator):
alat yang ditempatkan diantara mesin komunikasi dan saluran telepon untuk memungkinkan
transmisi pulsa digital. Saluran telepon hanya dapat menyalurkan sinyal dalam bentuk
suara/analog dan tidak dapat membawa sinyal digital seperti yang dihasilkan oleh peralatan
komputer. Modulator akan mengubah pulsa bit menjadi nada dan mengirimkannya melalui
jaringan komunikasi, sedangkan demodulator akan mengubahnya menjadi bit yang sesuai.
60. Network interface:
titik interkoneksi antara terminal pengguna, mesin, atau suatu jaringan dengan jaringan lain.
61. Non-repudiation:
suatu cara untuk memastikan kebenaran pengirim dan penerima sehingga tidak ada pihak yang
dapat menyangkal.
62. Off-line:
sistem atau komputer yang tidak terdapat hubungan jaringan atau tidak dapat berkomunikasi
dengan sistem atau komputer lain.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
119
548
GLOSSARY
63. Off the shelf:
tersedia apa adanya, dibuat bukan berdasarkan pesanan khusus.
64. Orphan Account:
rekening yang dimiliki pengguna yang telah keluar dari suatu organisasi.
65. Outsourcing:
penggunaa pihak lain (eksternal) dalam penyelenggaraan teknologi informasi Bank yang
menyebabkan Bank memiliki ketergantungan terhadap jasa yang diberikan pihak lain tersebut
secara berkesinambungan dan atau dalam periode tertentu.
66. Parallel Distributed Computing:
sistem terdistribusi yang terdiri dari sekumpulan komputer yang terhubung oleh jaringan,
dengan software yang digunakan bersama sehingga seluruh komputer dapat berbagi sumber
daya hardware, software dan data.Sistem ini dapat menjembatani perbedaan geografis,
meningkatkan kinerja dan interaksi serta menekan biaya.
67. Password:
kode atau simbol khusus untuk mengamankan sistem komputer yaitu untuk mengidentifikasi
pihak yang mengakses data, program atau aplikasi komputer dan digunakan.
68. Patch:
sekumpulan kode yang ditambahkan pada perangkat lunak untuk memperbaiki suatu
kesalahan, biasanya merupakan koreksi yang bersifat sementara di antara dua keluaran versi
perangkat lunak.
69. Patch Management:
manajemen sistem yang meliputi proses memperoleh, pengujian dan instalasi berbagai patch
yang digunakan untuk memperbaiki suatu program.
70. Pengamanan Fisik:
suatu sistem pengamanan untuk mencegah akses oleh pihak-pihak yang tidak berwenang
terhadap area komputerisasi serta peralatan/fasilitas pendukung.
71. Pengamanan Logik:
suatu sistem pengamanan untuk mencegah akses oleh pihak-pihak yang tidak berwenang
terhadap sistem komputer dan informasi yang tersimpan di dalamnya yang meliputi
penggunaan user ID, password,dll.
72. Personal Identification Number (PIN):
rangkaian digit unik terdiri dari huruf, angka atau kode ASCII yang digunakan untuk
mengidentifikasi pengguna komputer, pengguna ATM, internet banking, mobile banking,dll.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
120
549
GLOSSARY
73. Perusahaan Switching:
perusahaan yang memberikan pelayanan jasa perbankan elektronis kepada Bank dan lembaga
keuangan antara lain dalam pengelolaan perangkat keras komputer, jaringan telekomunikasi,
informasi serta catatan transaksi nasabah Bank dan lembaga keuangan tersebut.
74. Phising:
salah satu bentuk teknik social engineering untuk memperoleh informasi rahasia seseorang
secara ilegal. Phising dapat dalam bentuk e-mail palsu yang seolah-olah berasal dari Bank,
perusahaan kartu kredit,dll untuk memperoleh informasi seperti PIN, Password,dll.
75. Phone Banking:
layanan yang memungkinkan nasabah Bank melakukan transaksi perbankan melalui telepon.
76. Piggybacking:
(i) tindakan di mana seseorang memasuki ruangan dengan mengikuti orang lain yang memiliki
akses ke ruangan tersebut;
(ii) suatu cara untuk menyusup atau mengubah transmisi dengan melekat pada jaringan
telekomunikasi yang terotorisasi.
77. Pita magnetis:
suatu pita perekam yang digunakan untuk media penyimpan data. Setiap karakter ditulis
melintasi lebar pita dalam bentuk bintik-bintik yang diberi muatan magnet, Pembacaan dari
dan penulisan ke pita dilakukan dengan menggerakkan permukaan pita melintasi suatu
read/write head sebuah tape drive.
78. Platform:
perangkat keras atau lunak seperti arsitektur komputer, sistem operasi atau bahasa
pemrograman yang memungkinkan suatu aplikasi beroperasi.
79. Point of Sales:
perangkat keras atau terminal komputer berupa cash register atau terminal debit/credit
verification yang dapat menerima informasi penjualan eceran di tempat penjualan dan
memasukkan data sebagai input ke komputer.
80. Power User:
user id yang memiliki kewenangan sangat luas.
81. Process Control:
kontrol yang dimiliki oleh penyedia jasa terutama terkait dengan proses jasa yang diberikan
kepada Bank untuk menjamin kualitas jasa dari sisi kerahasiaan (confidentiality), integritas
(integrity) dan ketersediaan (availability).
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
121
550
GLOSSARY
82. Public Key Infrastructure:
suatu pengolahan/pengaturan dimana suatu pihak ketiga yang dapat dipercaya menyediakan
pemeriksaan secara seksama dan memastikan keabsahan suatu identitas.
83. Rapid Application Development (RAD):
metodologi pengembangan sistem yang terdiri atas pengembangan secara iterasi dan
pengembangan prototipe (prototyping) yang dipercepat sehingga manfaat, fitur dan kecepatan
eksekusi program tidak optimal.
84. Request for Proposal (RFP):
suatu proses permintaan proposal kepada para penyedia jasa sesuai dengan kebutuhan Bank
untuk keperluan seleksi. Proposal yang disampaikan harus dapat menjawab secara rinci
kebutuhan Bank yang sudah didefinisikan sebagaimana tertuang dalam dokumen business
requirement atau target operating model.
85. Restore:
mengembalikan pada fungsi atau kondisi semula sebelum terjadi disaster.
86. Restricted area:
Area yang hanya dapat dimasuki oleh orang yang telah mendapatkan hak akses.
87. Router:
peralatan jaringan yang meneruskan suatu paket data/informasi dan memilih rute terbaik untuk
ditempuh untuk menyampaikan data/informasi tersebut.
88. Service Level Agreement:
bagian dari kontrak perjanjian dimana tingkat penyediaan layanan yang diharapkan para pihak
ditetapkan biasanya mencakup pula standar kinerja seperti tingkat pelayanan yang
diperjanjikan (service levels) atau target waktu penyediaan layanan.
89. Social Engineering:
teknik pembohongan melalui perilaku sosial yang dilakukan oleh hacker untuk mengelabui
orang agar memberikan informasi rahasia seperti PIN, Password, dll.
90. Softcopy:
salinan data atau dokumen dalam bentuk file elektronis.
91. Software Patch:
program yang dibuat oleh vendor untuk meningkatkan kinerja dan meningkatkan keamanan
dari produk perangkat lunaknya, baik perangkat lunak yang berupa sistem operasi, database,
tools pengembangan aplikasi dll.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
122
551
GLOSSARY
92. Source Code:
instruksi program perangkat lunak yang ditulis dalam suatu format (bahasa) dan dapat dibaca
oleh manusia.
93. Spoofing:
suatu keadaan dimana seseorang atau suatu program dapat menyerupai orang lain atau program
lain dengan cara memalsukan data dengan tujuan untuk mendapatkan keuntungan-keuntungan
tertentu.
94. Spyware:
perangkat lunak yang mengumpulkan informasi-informasi sensitif tentang pengguna tanpa
sepengetahuan atau ijin dari pengguna.
95. Stress Testing:
jenis testing dalam pengembangan yang menggunakan berbagai skenario misalnya dalam
kondisi buruk. Stress testing diperlukan menyangkut performance, load balancing khususnya
untuk aplikasi yang kompleks.
96. Subcontractor:
penyedia jasa lain yang digunakan oleh penyedia jasa yang dikontrak oleh Bank.
97. Switch:
peralatan dalam jaringan yang meneruskan paket informasi kepada address atau peralatan yang
dituju.
98. System:
suatu jaringan kerja dari prosedur-prosedur yang saling berhubungan, berkumpul bersama sama untuk melakukan suatu kegiatan atau untuk menyelesaikan suatu sasaran tertentu.
99. System Development Life Cycle:
siklus pengembangan sistem yang meliputi langkah-langkah sebagai berikut: (1) system
planning, (2) system analysis, (3) system design, (4) system selection, (5) system
implementation, (6) system maintenance.
100. System Source:
salah satu informasi yang diperlukan dalam inventarisasi media penyimpan yaitu keterangan
dari sistem mana suatu data diperoleh.
101. System Testing:
uji coba yang dilakukan quality assurance untuk menguji fungsionalitas keseluruhan system
aplikasi, termasuk tiap objek yang terdapat dalam system aplikasi tersebut.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
123
552
GLOSSARY
102. System Log:
file di komputer yang menyimpan informasi mengenai kegiatan sistem atau komputer.
103. Technical Reference:
pedoman teknis dari aplikasi database yang antara lain berisi penjelasan mengenai struktur
database yang terdiri dari tables dan fields termasuk relasi antar tabel berupa entiry
relationship diagram (ERD).
104. Transactional E-Banking:
pelayanan jasa Bank kepada nasabah melalui media elektronik dimana terdapat eksekusi
transaksi.
105. Trojan Horse:
program yang bersifat merusak yang disusupkan oleh hacker di dalam program yang sudah
dikenal oleh pengguna replikasi atau distribusinya harus diaktivasi oleh program yang sudah
dikenal oleh penggunanya melalui metode “social engineering”.
106. UnitTtesting:
uji coba yang dilakukan oleh pengembang untuk menguji fungsionalitas dari modul-modul
kecil dalam program perangkat lunak.
107. Upload dan Dowload:
transfer data elektronik antara dua komputer atau sistem yang sejenis.
108. User Acceptance Test:
ujicoba akhir oleh pengguna untuk menguji keseluruhan fungsionalitas dan interoperability
dari suatu system aplikasi.
109. User Log:
file di komputer yang menyimpan informasi mengenai kegiatan user seperti waktu login dan
log-out
110. Virus:
program yang bersifat merusak dan akan aktif dengan bantuan orang (dieksekusi), dan tidak
dapat mereplikasi sendiri, penyebarannya karena dilakukan oleh orang, seperti copy, biasanya
melalui attachement e-mail, game, program bajakan dll.
111. War Driving:
suatu tindakan untuk mendapatkan jaringan wi-fi (wireless local area network) dengan
menggunakan perangkat yang dapat mendeteksi adanya jaringan wi-fi, seperti laptop atau
PDA.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
124
553
GLOSSARY
112. Warm Sites:
Lokasi alternatif (DRC) yang memiliki sebagian konfigurasi dari Data Center dan pada
umumnya hanya terdiri dari koneksi jaringan dan beberapa perangkat pendukung tanpa adanya
main computer (komputer utama). Sistem tidak otomatis berpindah tetapi masih terdapat
proses manual meskipun dilakukan seminimal mungkin.
113. Web Site:
web page atau informasi yang disampaikan melalui suatu web browser atau sekumpulan web
page yang dirancang, dipresentasikan dan saling terhubung untuk membentuk suatu sumber
informasi dan atau melaksanakan fungsi transaksi.
114. Worm:
program komputer yang dirancang untuk memperbanyak diri secara otomatis dengan melekat
pada e-mail atau sebagai bagian dari pesan jaringan. Worm menyerang jaringan dan berakibat
kepada penuhnya bandwith yang terpakai sehingga menghambat laju pengiriman data pada
jaringan.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
125
554
LAMPIRAN
30.1
Lampiran 28.1
Lampiran32.1
.1
LAMPIRAN
CONTOH PENILAIAN RISIKO
Seperti telah dijelaskan dalam Bab I Manajemen Bank perlu memiliki dokumentasi risiko
agar risiko yang diidentifikasi dan dinilai atau diukur dapat dipantau oleh manajemen yang
biasa disebut dengan Risk Register. Untuk menghasilkan risk register ini perlu langkahlangkah tertentu yang harus dilakukan. Saat ini terdapat berbagai macam pendekatan,
langkah dan metode dapat digunakan dalam penilaian risiko penggunaan Teknologi
Informasi (TI) misalnya dengan pedekatan aset atau pendekatan proses. Bank dapat
menentukan sendiri pendekatan, langkah dan metode yang akan dilakukan. Berikut ini
adalah contoh penilaian risiko pengamanan informasi yang menggunakan pendekatan
aset.
2.
Dokumen hasil Identifikasi dan Pengukuran Risiko (Risk Register)
Analisa Kerawanan
Kecenderungan
Dampak
Nilai Risiko Dasar
Pengendalian yg Ada
Kecenderungan
Dampak
Nilai Risiko Akhir
0
1
2
3
4
5
6
7
8
9
10
Nilai Risiko Akhir
Diharapkan
Deskripsi Risiko
Residual
Aset
Inheren
No
1.
11
Identifikasi Risiko
2.1. Identifikasi (penentuan klasifikasi) Aset
Kolom No.1 yaitu aset, diisi dengan nama atau jenis aset yang dihasilkan dalam
menjalankan proses bisnis bank dan aset yang mendukung terlaksananya proses
bisnis tersebut. Aset yang dimaksud bukan aset secara akuntansi, namun segala
sesuatu yang mempunyai nilai bagi organisasi dan harus diamankan termasuk
data, perangkat lunak, perangkat keras, jaringan komunikasi dan data, sarana
pendukung dan sumber daya manusia. Tentukan pemilik aset tersebut dan
identifikasi tingkatan penting tidaknya (kritikal) aset tersebut bagi unit kerja
pengguna dan unit kerja penyelenggara TI. Untuk proses identifikasi ini Bank
menetapkan terlebih dahulu kriteria penilaian tertentu yang akan digunakan
misalnya seperti yang terdapat pada contoh di tabel berikut:
1555
Aspek
Analisa
Sensitivitas
Kriteria Penilaian
High
Medium
Low
Confidentiality
Berapa besar
kerugian yang
ditimbulkan
apabila terjadi
hilangnya
kerahasiaan atas
suatu informasi?
Jika kerugian
yang ditimbulkan
sangat signifikan
karena informasi
yang bocor sangat
sensitif atau
hanya bisa
diakses oleh
personil tertentu
yang telah diberi
otorisasi.
Jika kerugian
yang
ditimbulkan
tidak signifikan
karena
informasi tidak
sensitif atau
akses informasi
oleh berbagai
pihak di
organisasi.
Jika kerugian
yang
ditimbulkan
sangat kecil
karena
informasi
bersifat umum
atau dapat
diakses oleh
siapa saja.
Integrity
Berapa besar
dampak/kerugia
n terhadap
jalannya proses
bisnis apabila
suatu aset tidak
digunakan
dengan benar,
tidak lengkap,
tidak akurat dan
tidak dikinikan?
Jika dampak
yang
ditimbulkan
sangat
signifikan
seperti
mengakibatkan
tidak
berjalannya
proses bisnis
dan
menimbulkan
potensi
dilakukannya
penyimpangan
yang mengarah
pada nilai uang
yang cukup
signifikan.
Jika dampak
yang
ditimbulkan
tidak signifikan
seperti
mengakibatkan
tidak
berjalannya
proses bisnis
yang tidak
signifikan,
kesalahan
dalam
pengambilan
keputusan.
Jika dampak
yang
ditimbulkan
sangat kecil
dan tidak
mengganggu
proses bisnis.
Availability
Berapa besar
dampak/kerugia
n yang
ditimbulkan
apabila terjadi
ketidak
tersediaan suatu
aset?
Jika dampak
yang
ditimbulkan
sangat
signifikan
seperti
mengakibatkan
tidak
berjalannya
proses bisnis.
Jika dampak
yang
ditimbulkan
tidak signifikan
karena aset
dapat
digantikan
dengan biaya
atau waktu
yang memadai
sehingga hanya
mengakibatkan
penurunan
efesiensi dan
efektivitas atas
jalannya proses
bisnis.
Jika dampak
yang
ditimbulkan
sangat kecil
karena proses
bisnis tetap
berjalan tanpa
aset tersebut
atau aset bisa
diganti
dengan cepat.
2556
Aset yang telah diklasifikasikan sesuai analisa sensitivitas dan penentuan
tingkat kritikal seperti dalam tabel diatas kemudian dicantumkan pada kolom 1
di form Risk Register.
Contoh : Informasi nasabah dalam bentuk hardcopy.
2.2. Identifikasi risiko dan evaluasi risiko yang terkait dengan aset
Kolom 2 di Risk Register diisi dengan hasil identifikasi dan evaluasi pengguna
dan penyelenggara TI terhadap potensial kegagalan atau kelemahan proses
pengamanan yang ada/diterapkan Bank atas aset yang telah didefinisikan,
sehingga berpengaruh secara signifikan terhadap kinerja Bank. Satu aset dapat
memiliki beberapa risiko. Contoh pencantuman di Kolom 2 (Deskripsi Risiko):
Informasi bocor kepada pihak yang tidak berwenang.
2.3. Analisa Kerawanan
Kolom 3 Risk Register diisi dengan faktor yang rawan dapat menyebabkan
terjadinya kegagalan atau kelemahan pengamanan TI (risiko) yang telah
diidentifikasi pada kolom 2. Tiap risiko dapat memiliki beberapa kerawanan.
Contoh pencantuman di kolom 3:
Pengamanan terhadap lemari penyimpanan arsip kurang memadai;
Informasi nasabah tidak disimpan dengan baik pada tempat yang
seharusnya.
3.
Pengukuran Risiko
Besarnya pengaruh risiko dapat diketahui dengan menilai kecenderungan risiko dan
dampak yang dapat ditimbulkan oleh risiko tersebut terhadap proses bisnis. Kriteria
pengukuran yang digunakan mengacu kepada metode risk assessment yang berlaku
di Bank. Proses ini dilakukan oleh personil yang mengetahui proses bisnis dan
pengamanan atas informasi di proses tersebut. Kolom 4, 5, dan 6 diisi dengan hasil
pengukuran Bank atas kecenderungan dan dampak dari risiko sebelum pengendalian
dilakukan terhadap aset berisiko tersebut. Sedangkan kolom 8, 9 dan 10 diisi dengan
hasil pengukuran Bank atas kecenderungan dan dampak dari risiko setelah
pengendalian dilakukan terhadap aset berisiko tersebut.
3.1. Pengukuran Kecenderungan (Probability)
Kolom 4 Risk Register diisi dengan Kecenderungan Inheren yang merupakan
kemungkinan terjadinya risiko sebelum adanya pengendalian. Kolom 8 diisi
dengan Kecenderungan Residual yang merupakan kemungkinan terjadinya
risiko setelah adanya pengendalian. Kecenderungan dapat diukur dengan suatu
kriteria pengukuran, yaitu nilai kuantitatif dari kecenderungan terjadinya risiko
yang disebutkan pada deskripsi risiko. Kuantifikasi kecenderungan dapat
3557
berupa ukuran terjadinya risiko dalam satuan waktu seperti frekuensi kejadian
setiap hari, setiap minggu, setiap bulan, atau setiap tahun.
Contoh kriteria pengukuran kecenderungan:
Level
Frekuensi Kejadian
Potensi Terjadi
5
Sangat sering terjadi
Potensi terjadi tinggi dalam jangka pendek
4
Lebih sering terjadi
Potensi terjadi tinggi dalam jangka panjang
3
Cukup sering terjadi
Potensi terjadi sedang
2
Jarang terjadi
Potensi terjadi kecil
1
Hampir tidak pernah terjadi Kemungkinan terjadi sangat kecil
Contoh pencantuman hasil pengukuran Kecenderungan Inheren pada kolom 4
di form Risk Register : Level 4
Contoh pencantuman hasil pengukuran Kecenderungan Residual pada kolom 8
di form Risk Register : Level 3
3.2. Pengukuran Dampak (impact/severity)
Kolom 5 Risk Register diisi dengan Dampak Inheren yang menggambarkan
tingkatan kerusakan yang disebabkan oleh terjadinya risiko relatif terhadap aset
sebelum ada/diterapkannya pengendalian. Kolom 9 diisi dengan Dampak
Residual yang menggambarkan tingkatan kerusakan yang disebabkan oleh
terjadinya risiko relatif terhadap aset setelah ada/diterapkannya pengendalian.
Contoh klasifikasi dampak :
Nilai
Potensi gangguan terhadap
Proses Bisnis
Potensi penurunan Reputasi
5
Aset
Pemrosesan
Informasi
mengalami kegagalan total sehingga
keseluruhan bisnis bank tidak
tercapai.
Kerusakan
reputasi
yang
mengakibatkan
penurunan
reputasi
yang
serius
dan
berkelanjutan
dimata
nasabah/stakeholders utama, pasar
uang dan masyarakat secara
global dan regional.
4
Aset
Pemrosesan
Informasi
mengalami
gangguan
yang
menyebabkan aktivitas bisnis bank
mengalami penundaan sampai Aset
Kerusakan reputasi yang tidak
menyeluruh – hanya nasabah atau
partner bisnis (counterparties)
tertentu.
4558
Nilai
Potensi gangguan terhadap
Proses Bisnis
Potensi penurunan Reputasi
Pemrosesan Informasi yang terkait
pulih
3
Aset
Pemrosesan
Informasi
mengalami
gangguan
yang
menyebabkan sebagian bisnis bank
mengalami penundaan sampai Aset
Kerusakan reputasi yang tidak
menyeluruh
–
hanya
di
divisi/bagian/tim tertentu.
Pemrosesan Informasi yang terkait
pulih
2
Aset
Pemrosesan
Informasi
mengalami
gangguan
namun
aktivitas tugas pokok Tim dapat
dikerjakan secara normal karena
aset pemrosesan informasi yang
terkait dapat digantikan oleh Aset
Pemrosesan Informasi lainnya.
Kerusakan reputasi yang tidak
menyeluruh - hanya satuan kerja
tertentu.
1
Tidak menyebabkan gangguan
terhadap operasional proses bisnis
Tidak berpengaruh pada reputasi.
Contoh pencantuman hasil pengukuran dampak pada kolom 5 di form
Risk Register : Level 5
Contoh pencantuman hasil pengukuran dampak pada kolom 8 di form
Risk Register : Level 2
3.3. Penentuan Nilai Risiko
Kolom 6 Risk Register diisi dengan Nilai Risiko Dasar (NRD) yaitu tingkatan
risiko aset sebelum ada/diterapkannya pengendalian. Kolom 10 Risk Register
diisi dengan Nilai Risiko Akhir (NRA) yaitu tingkatan risiko aset setelah
ada/diterapkannya pengendalian. Seperti telah dijelaskan dalam Bab I, Bank
dapat menentukan sendiri metode pemeringkatan dalam matriks pengukuran
risiko. Penilaian risiko pada contoh ini diukur menggunakan 3 tingkatan yang
meliputi : Low, Medium, dan High sebagai berikut:
5559
Kecenderungan
5
Medium
Medium
High
High
High
4
Low
Medium
High
High
High
3
Low
Low
Medium
High
High
2
Low
Medium
Medium
High
1
Low
Low
Low
Medium
Medium
High
1
2
3
4
5
Dampak
Contoh pencantuman hasil penentuan NRD di kolom 6: High
Contoh pencantuman hasil penentuan NRA di kolom 10: Medium
4.
Identifikasi Pengendalian yang Diimplementasikan
Kolom 7 Risk Register diisi dengan langkah-langkah pengendalian yang telah
diimplementasikan oleh Bank untuk mengurangi risiko atas aset yang diidentifikasi
seperti:
kebijakan dan prosedur Bank terkait aset;
penggunaan teknologi tertentu untuk mengendalikan risiko secara otomatis atau
tersistem seperti audit log, on line approval, parameter value di sistem.
Contoh pencantuman kontrol di kolom 7 untuk asset yang berupa Informasi nasabah
dalam bentuk hardcopy:
ketentuan mengenai pengelolaan arsip;
akses ruang arsip harus menggunakan PIN;
penggunaan CCTV.
5.
Nilai Risiko Yang Diharapkan
Atas semua aset yang teridentifikasi sebaiknya Bank menentukan nilai risiko yang
diharapkan (limit risiko). Sebagai contoh apabila diharapkan risiko kebocoran
informasi rahasia nasabah harus pada level low maka pada kolom 11 diisi Low.
6.
Analisis Nilai Risiko
Dengan demikian, setelah semua langkah-langkah di atas dilakukan, maka contoh
pengisian Form Risk Register adalah sbb :
Aset
Inheren
Kecender
Nilai
Deskripsi Risiko Analisa Kerawanan ungan Dampak
(min = 1, Risiko
(min = 1, maks = 5)
Dasar
maks = 5)
1
2
3
Informasi Informasi bocor Pengamanan terhadap
nasabah pada pihak yang lemari penyimpanan
dalam tidak berwenang arsip kurang memadai
bentuk
Informasi nasabah
hardcopy
diletakan terbuka
(tercecer)
4
5
Level 4 Level 5
6
Kontrol yang Ada
7
- Ketentuan mengenai pengelolaan arsip
HIGH - Akses ruang arsip dengan PIN
- CCTV
Residual
Nilai
Kecender
Dampak Nilai Risiko
ungan (min = 1, Risiko Diharapka
(min = 1, maks = 5)
n
Akhir
maks = 5)
8
9
10
Level 3 Level 2 MEDIUM
11
LOW
6560
Setelah form Risk Register terisi Bank melakukan analisis nilai risiko atas
masing-masing aset yang teridentifikasi. Perbedaan antara NRD High dengan NRA
Medium menunjukkan berkurangnya kecenderungan terjadinya risiko dan dampak
yang ditimbulkan bila risiko terjadi tidak akan sebesar apabila pengendalian
(risk control system) tidak diterapkan. Bank harus menganalisa apakah terdapat risiko
yang belum dikendalikan namun dapat diterapkan bentuk pengendalian tertentu.
Perbandingan antara NRA dengan Nilai Risiko yang diharapkan dari berbagai aset
yang teridentifikasi merupakan parameter dasar untuk langkah-langkah yang
diperlukan memitigasi risiko. Sebagai contoh apabila diharapkan risiko kebocoran
informasi rahasia nasabah harus pada level Low, maka perlu dilakukan pengendalian
tambahan apabila Nilai Risiko Akhir-nya masih Medium Bank selanjutnya
menetapkan Rencana Penanganan Risiko atas aset tersebut. Misalnya Bank perlu
memperbaiki risk control system untuk pengamanan informasi, mengkinikan
kebijakan dan prosedur pengamanan.
7561
LAMPIRAN
30.2
Lampiran 28.2
Lampiran32.2
.2
LAMPIRAN
KATEGORI RISIKO PADA EUC
Contoh kategori tingkat risiko suatu aplikasi atau suatu kegiatan untuk EUC:
Peringkat
Risiko
Kategori
Risiko
•
•
5.
Sangat Tinggi
•
•
•
•
•
•
•
4.
Tinggi
•
•
•
3.
Menengah
2.
Rendah
1.
Dapat Diabaikan
•
•
•
•
•
•
•
•
•
•
•
Tingkat Kekritisan Bisnis
dan Klasifikasi Data
Dapat menimbulkan kerugian finansial yang sangat
besar
Dapat memberikan dampak yang merugikan nilai Bank,
termasuk harga saham (untuk Bank yang sudah GoPublik)
Dapat menimbulkan sanksi dari Bank Indonesia
Memiliki dampak potensial atau aktual terhadap
reputasi Bank secara internasional
Kegagalan memenuhi prinsip corporate governance
yang sangat serius
Dapat menimbulkan kerugian finansial yang besar
Dapat memberikan dampak yang serius bagi Bank
Dapat menimbulkan sanksi dari Bank Indonesia
Kemungkinan timbulnya sorotan publik (reputation risk
exposures) apabila tidak ditangani secara benar
Isu pelayanan nasabah (customer service) yang
berdampak serius terhadap bisnis Bank
Risiko reputasi amat potensial bagi Bank
Kegagalan memenuhi prinsip corporate governance
yang cukup serius
Kerugian finansial yang dapat ditimbulkan cukup besar
Dampak yang cukup signifikan bagi bisnis Bank
Kemungkinan risiko reputasi pada skala menengah
Kegagalan memenuhi prinsip corporate governance
Kerugian finansial yang dapat ditimbulkan relatif
rendah
Dampak terhadap bisnis Bank relatif kecil
Tidak ada sangsi dari Bank Indonesia
Risiko reputasi bagi Bank relatif rendah
Tidak ada /kecil dampak kerugian finansial bagi Bank
Dampak kerugian hanya terbatas pada unit bisnis
pengguna aplikasi tersebut
Tidak ada risiko reputasi bagi Bank
Tabel diatas hanya merupakan contoh. Bank hendaknya membuat kriteria risiko yang
disesuaikan dengan ukuran dan kompleksitas usaha Bank yang bersangkutan.
562
Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember 2007
Lampiran
LAMPIRAN
33
LAMPIRAN
31
Lampiran
29
FORMULIR
PELAPORAN DAN PERMOHONAN
PERSETUJUAN PENGGUNAAN
TEKNOLOGI INFORMASI
1563
DAFTAR ISI
Lampiran .1 Laporan Penggunaan Teknologi Informasi
Lampiran .1.1
Lampiran .1.2
Lampiran .1.3
Lampiran .1.4
Lampiran .1.5
Lampiran .1.6
Lampiran .1.7
Lampiran .1.8
Lampiran .1.9
Lampiran .1.10
Manajemen
Aplikasi dan Pengembangan
Operasional Teknologi Informasi
Jaringan Komunikasi
Pengamanan Informasi
Business Continuity Plan
End User Computing
Electronic Banking
Audit Teknologi Informasi (Audit TI)
Penyelenggaraan TI oleh Pihak Lain
Lampiran .2 Rencana Perubahan Mendasar
Informasi
Lampiran .2.1
Lampiran .2.2
Lampiran .2.3
Lampiran .2.4
Lampiran .2.5
Rencana
Penerbitan
Electronic
Banking
Transaksional
Rencana Penyelenggaraan Data Center dan atau
Disaster Recovery Center oleh Pihak Lain di Dalam
Negeri
Rencana Penyelenggaraan Data Center dan atau
Disaster Recovery Center oleh Pihak Lain di Luar
Negeri
Rencana Penyelenggaraan Pemrosesan Transaksi
Berbasis Teknologi Informasi oleh Pihak Lain di
Dalam Negeri
Rencana Penyelenggaraan Pemrosesan Transaksi
Berbasis Teknologi Informasi oleh Pihak Lain di
Luar Negeri
Lampiran .3 Laporan Realisasi Perubahan
Teknologi Informasi
Lampiran .3.1
Lampiran .3.2
Lampiran .3.3
Lampiran .3.4
Dalam Penggunaan Teknologi
Mendasar
Dalam
Penggunaan
Realisasi
Penerbitan
Electronic
Banking
Transaksional
Realisasi Penyelenggaraan Data Center dan atau
Disaster Recovery Center oleh Pihak Lain di Dalam
Negeri
Realisasi Penyelenggaraan Data Center dan Disaster
Recovery Center oleh Pihak Lain di Luar Negeri
Realisasi Penyelenggaraan Pemrosesan Transaksi
Berbasis Teknologi Informasi oleh Pihak Lain di
Dalam Negeri
2564
Lampiran .3.5
Realisasi Penyelenggaraan Pemrosesan Transaksi
Berbasis Teknologi Informasi oleh Pihak Lain di
Luar Negeri
Lampiran .4 Laporan Tahunan Penggunaan Teknologi Informasi
Lampiran .5 Laporan Kejadian Kritis, Penyalahgunaan dan/atau Kejahatan dalam
Penyelenggaraan Teknologi Informasi (TI)
Lampiran .6 Permohonan Persetujuan Ulang Penyelenggaraan Data Center Dan
Atau Disaster Recovery Center oleh Pihak Lain di Luar Negeri bagi
Kantor Cabang Bank Asing
3565
PENJELASAN CARA PENGISIAN LAPORAN
Petunjuk pengisian Laporan Penggunaan Teknologi Informasi, Laporan Tahunan
Penggunaan Teknologi Informasi dan Laporan Kejadian Kritis.
Berilah tanda ”V” jawaban yang sesuai :
Contoh:
V
ada
Tidak Ada
Ya
Tidak
atau
V
Apabila terdapat permintaan informasi dan dokumen pendukung, selain memberi tanda
”V” maka Bank hendaknya memberikan informasi tersebut. Jika diperlukan, dapat
menggunakan lembar tambahan untuk melengkapi penjelasan pada formulir yang diminta.
Apabila terdapat pertanyaan yang diikuti:
V
Terlampir
Tidak Terlampir
maka Bank memberi tanda ”V” pada kotak ”terlampir” apabila Bank menyertakan
lampiran yang diminta pada laporan tersebut.
Untuk Laporan Penggunaan Teknologi Informasi, Laporan Tahunan dan Laporan Kejadian
Kritis apabila Bank mencoret tanda ”V” pada kotak ”Tidak Terlampir” maka dianggap
Bank tidak memiliki hal yang diminta untuk dilampirkan.
Apabila Bank dalam menyampaikan Laporan Tahunan Penggunaan Teknologi Informasi
memberi tanda ”V” pada kotak ”Ada” untuk perubahan dan memberi tanda ”V” pada
kotak ”Belum” untuk pelaporannya,
Sudah
Belum
V
maka Bank harus memberikan data dan penjelasan mengenai perubahan tersebut. Bank
dapat menggunakan lampiran terkait pada Laporan Penggunaan Teknologi Informasi yang
disebutkan dimasing-masing nomor atau format bebas sesuai hal yang akan dilaporkan
oleh bank.
Apabila Bank menggunakan lampiran pada Laporan Penggunaan Teknologi Informasi
yang disebutkan maka tanda ”V” yang tertera pada kotak ”Tidak Terlampir” di lampiran
tersebut, akan dianggap sebagai ”tidak terdapat perubahan dari laporan sebelumnya.
Terlampir
Tidak Terlampir
V
Petunjuk Pengisian Laporan Perubahan Mendasar.
Setiap rencana perubahan yang mendasar dilaporkan dengan menggunakan Lampiran 2.2..
Apabila perubahan mendasar yang akan dilakukan merupakan penerbitan produk
electronic banking dan atau penggunaan pihak penyedia jasa Teknologi Informasi maka
dokumen yang harus disampaikan mengacu kepada lampiran terkait yang disebutkan pada
Surat Edaran Ekstern. Bank mengisi kotak ” Ya - Dokumen Terlampir” di kategori
4566
perubahan mendasar yang dilaporkan dengan nomor lampiran terkait perubahan yaitu
Lampiran 2.2.1. untuk rencana penerbitan produk electronic banking baru dan Lampiran
2.2.2., Lampiran 2.2.3, Lampiran 2.2.4 atau 2.2.5 untuk rencana penggunaan pihak
penyedia jasa. Bank memberikan tanda ”V” pada kotak ”Tidak” di kategori lainnya/di luar
yang dilaporkan.
Contoh apabila yang dilaporkan adalah rencana produk electronic banking baru:
Pertanyaan
Ya
Dokumen
Terlampir**)
1. Konfigurasi / cara pengoperasian ***)
2. Sistem aplikasi core banking****)
3. Produk
electronic
banking
transaksional baru
4. Penyelenggaraan TI oleh pihak lain
5. Perubahan Mendasar Lain Menurut
Bank yaitu :
a. .....................................................
b. .....................................................
Tidak **)
Keterangan
V
V
Lampiran 2.2.1
V
V
Format Laporan Perubahan Mendasar ini juga berlaku untuk lampiran permohonan
persetujuan Bank Indonesia atas rencana Bank menggunakan pihak penyedia jasa di luar
negeri untuk Data Center, Disaster Recovery Center atau Pemrosesan Transaksi Berbasis
Teknologi Informasi.
5567
Lampiran -131.1
LAMPIRAN
Lampiran
29.1
LAPORAN PENGGUNAAN TEKNOLOGI
INFORMASI
Nama Bank
Alamat Kantor Pusat Bank .....
No. Telp. ...................................
Nama Penanggung Jawab
Kantor/Divisi/Bagian
Penanggung
Jawab
Alamat Penanggung Jawab
No. Telp. ...................................
Tanggal Laporan _ _ _ _ _ _ _ _ _ _ _ _ _ _
................................
6568
Lampiran
.1.1
LAMPIRAN
33.1.1
LAMPIRAN
31.1.1
Lampiran
29.1.1
MANAJEMEN
1.
Struktur Organisasi Bank yang menunjukkan posisi Organisasi Teknologi
Informasi*).
Terlampir
Tidak Terlampir
2.
Struktur Organisasi khusus satuan kerja Teknologi Informasi*).
Terlampir
Tidak Terlampir
3.
IT Steering Commtitee (ITSC).
a. Surat Keputusan Pembentukan.
Terlampir
b. Surat Keputusan/Rísalah Rapat ITSC terakhir.
Terlampir
4.
5.
6.
7.
Tidak Terlampir
Tidak Terlampir
Rencana jangka panjang (IT Strategic Plan)
Terlampir
Tidak Terlampir
Ada
Tidak Ada
Job description personil TI.
Training di bidang TI yang pernah diikuti personil TI.
Ada
Risk Management.
a. Terdapat petugas untuk memonitor risiko terkait TI.
Ada
Tidak Ada
Tidak Ada
b. Terdapat tools, system & prosedur untuk memonitor risiko terkait TI baik
di satuan kerja TI maupun satuan kerja pengguna TI.
Ada
Tidak Ada
c. Terdapat analisis terkini dari risk identification, risk measurement, risk
monitoring and mitigation dalam penyelenggaraan dan penggunaan
Teknologi Informasi
Ada
Tidak Ada
Bila ada, lampirkan ringkasan analisis terkini tersebut
Terlampir
Tidak Terlampir
*) Struktur organisasi berdasarkan nama jabatan, baik di divisi TI maupun divisi pengguna utama TI, serta struktur
organisasi berdasarkan nama pejabat di divisi TI mulai dari direksi penanggung jawab TI sampai kepala seksi.
7569
Lampiran 29.1.2
.1.2
Lampiran
LAMPIRAN
31.1.2
APLIKASI DAN PENGEMBANGAN
1.
Kebijakan, sistem & prosedur pengembangan aplikasi yang dilakukan bank.
Ada
Tidak Ada
2.
Daftar aplikasi yang sudah operasional*).
a.
Dikembangkan sendiri.
Terlampir
b.
3.
4.
Tidak Terlampir
Dikembangkan pihak penyedia jasa.
Terlampir
Tidak Terlampir
Terlampir
Tidak Terlampir
Application Architecture.
Daftar aplikasi yang sedang dalam pengembangan*).
a.
b.
Dikembangkan sendiri.
Terlampir
Tidak Terlampir
Terlampir
Tidak Terlampir
Dikembangkan pihak penyedia jasa.
5.
Apakah bank memiliki fungsi Project Management untuk aplikasi yang sedang
dalam pengembangan.
Ya
Tidak
6.
Apakah bank memisahkan environment untuk pengembangan, testing dan
production ?
Ya
Tidak
7.
Apakah bank menggunakan change control software?
Ya
Tidak
*) Memuat informasi nama aplikasi, kegunaan, pihak pengembang (in house atau nama vendor), penyelenggara
(intern/outsourcing), platform, tahun implementasi, technical user documentation, jenis database system, lokasi
Server utama dan lokasi server back up yang meng-install aplikasi ini.
8570
Lampiran29.1.3
.1.3
LAMPIRAN
31.1.3
Lampiran
OPERASIONAL TEKNOLOGI INFORMASI
1.
Informasi mengenai Pusat Data (Data Center) Bank :
a.
Alamat ………………………………………………………………....
b.
Status kepemilikan
Milik Sendiri
c.
d.
2.
Milik penyedia jasa
Spesifikasi server utama dan perangkat keras lainnya.
Terlampir
Tidak Terlampir
Kelengkapan pengamanan fisik pada Data Center.
Terlampir
Tidak Terlampir
Apakah terdapat server yang ditempatkan di luar data center ?
Ada
Tidak Ada
3.
Aplikasi khusus untuk pengamanan informasi (access control software).
Ada
Tidak Ada
4.
Prosedur Penanganan Masalah (Problem Handling termasuk Helpdesk).
Ada
Tidak Ada
5.
Kebijakan, sistem & prosedur change management.
Ada
Tidak Ada
6.
Kebijakan, sistem dan prosedur pengelolaan hak akses pengguna sistem dan aplikasi
Ada
Tidak Ada
7.
Penetapan sistem & data sensitivity
8.
9.
Ada
Tidak Ada
Ada
Tidak Ada
Ada
Tidak Ada
Ketersediaan audit trail pada sistem dan data.
Kebijakan, sistem dan prosedur back up data
*) Bila terdapat lebih dari 1 data center, misalnya ada data center khusus untuk treasury atau khusus untuk trade finance
agar dicantumkan pula kelengkapan informasi data center lainnya dari no. 1 sampai dengan No. 9 diatas.
9571
Lampiran .1.4
LAMPIRAN
31.1.4
Lampiran
29.1.4
JARINGAN KOMUNIKASI
1.
Arsitektur Jaringan Komunikasi Data (utama dan back up).
Terlampir
2.
Kebijakan, sistem dan prosedur pengamanan jaringan.
Ada
3.
4.
5.
Tidak Terlampir
Tidak Ada
Daftar perangkat keras dan lunak yang digunakan untuk jaringan.
Terlampir
Tidak Terlampir
Ada
Tidak Ada
Network Monitoring System.
Kebijakan untuk konfigurasi pengamanan komunikasi data (misalnya firewall).
Ada
Tidak Ada
10572
Lampiran .1.5
LAMPIRAN
31.1.5
Lampiran
29.1.5
PENGAMANAN INFORMASI *)
1.
Kebijakan dan prosedur pengamanan informasi, mencakup antara lain:
a.
b.
c.
d.
e.
f.
2.
3.
Pemberian, perubahan & penghapusan akses user.
Ada
Tidak Ada
Security Awareness Program.
Ada
Tidak Ada
Ada
Tidak Ada
Ada
Tidak Ada
Ada
Tidak Ada
Ada
Tidak Ada
Incident handling/Incident respond team.
Klasifikasi data.
Penggunaan emergency user ID.
Pencegahan penggunaan software illegal.
Pengelolaan aset
a.
Pengelolaan aset terkait informasi meliputi identifikasi, penentuan kepemilikan
& tanggung jawab serta inventarisasi daftar aset.
Terlampir
Tidak Terlampir
b.
Klasifikasi informasi (misalnya sangat rahasia, rahasia, biasa) dan prosedur
pengamanannya.
Terlampir
Tidak Terlampir
c.
Pengamanan fisik termasuk penggunaan alat pengamanan (access control card,
PIN dsb) terhadap fasilitas pemrosesan informasi.
Ada
Tidak Ada
Pengamanan Akses
a.
Penerapan pengamanan password pada aplikasi, misalnya aplikasi telah
memaksa user untuk mengubah password secara berkala.
Ada
Tidak ada
*) Bila bank menggunakan jasa pihak lain dalam penyelenggaraan TI, pertanyaan-pertanyaan di atas berlaku juga untuk
penyelenggaraan TI tersebut.
11573
4.
b.
Security Matrix yang menjelaskan hak akses yang diberikan kepada masingmasing user untuk setiap aplikasi yang dimiliki Bank.
Ada
Tidak ada
c.
Terdapat fungsi audit (audit log/audit trail) untuk setiap aktivitas yang
dilakukan oleh user dan dilakukan analisa terhadap audit log tersebut.
Ada
Tidak ada
d.
Review secara periodik terhadap kesesuaian antara user berikut hak akses yang
diberikan oleh pihak yang independen.
Ada
Tidak ada
Sumber Daya Manusia
a.
Pencantuman ketentuan mengenai pengamanan informasi di dalam perjanjian
dengan pegawai bank, pegawai kontrak dan pihak ketiga.
Ada
Tidak ada
b.
Adanya ketentuan mengenai sanksi atas pelanggaran terhadap kebijakan
pengamanan informasi.
Ada
Tidak ada
c.
Prosedur pengembalian atau perubahan hak akses terhadap aset terkait
informasi saat terjadi mutasi atau selesainya perjanjian kerja atau masa tugas.
Ada
Tidak ada
5.
Pengamanan fisik termasuk penggunaan alat pengamanan (access control card,
PIN dsb) terhadap fasilitas pemrosesan informasi.
Ada
Tidak ada
6.
Operasional Aplikasi
Ketentuan tentang pengamanan dalam identifikasi dan otentikasi akses misalnya
penggunaan, password, token, biometric dll.
Ada
Tidak ada
7.
Penanganan Insiden Pengamanan Informasi
a.
Ketentuan mengenai keharusan untuk
pengamanan informasi.
melaporkan
Ada
b.
terjadinya
insiden
Tidak ada
Prosedur mengenai pelaporan, penanganan, pendokumentasian dan tindak
lanjut terjadinya insiden pengamanan informasi.
Ada
Tidak ada
12574
Lampiran .1.6
Lampiran
29.1.6
LAMPIRAN
31.1.6
BUSINESS CONTINUITY PLAN
1.
Kebijakan, sistem dan prosedur Business Continuity Plan termasuk Disaster Recovery
Plan didalamnya.
Ada
Tidak Ada
Bila tidak ada , apakah Bank memiliki Disaster Recovery Plan?.
Ada
Tidak Ada
2.
Struktur organisasi dan kewenangan Business Continuity Plan.*)
Terlampir
Tidak Terlampir
3.
a.
Business Impact Analysis terakhir.
b.
Risk Assessment Review terakhir.
Tgl .........................................................
Tgl .........................................................
4.
5.
Disaster Recovery Center
a.
Alamat ………………………………………………………………....
b.
Spesifikasi back up server dan perangkat keras lainnya.
Terlampir
Tidak Terlampir
c.
Kelengkapan pengamanan fisik pada DRC.
Terlampir
Tidak Terlampir
d.
Konfigurasi DRC (topologi jaringan, hardware, software, dan pendukung
lainnya)
Terlampir
Tidak Terlampir
e.
Back Up Data (hot, warm, cold back up) untuk masing-masing aplikasi yang
tersedia di DRC.
Terlampir
Tidak Terlampir
Testing BCP & DRP.
a. Kebijakan, sistem dan prosedur testing
Ada
Tidak Ada
b.
Pengujian menyeluruh (overall testing) atas seluruh sistem/aplikasi yang critical
terakhir
Tgl .........................................................
c.
Pengujian parsial dalam 1 (satu) tahun terakhir
Aplikasi ..........................
Wilayah operasi.............
Tgl…………
Tgl ..………
*) Termasuk nama dan jabatan orang yang ada di dalam core team BCP
13575
Lampiran 29.1.7
.1.7
Lampiran
END USER COMPUTING
1.
Daftar aplikasi yang dikembangkan dan/atau diadakan oleh unit kerja diluar unit
kerja Teknologi Informasi.
Terlampir
Tidak Terlampir
2.
Apakah terdapat kebijakan dan prosedur yang telah disetujui Direksi dan Dewan
Komisaris mengenai pengembangan dan pemeliharaan aplikasi oleh pengguna akhir.
Ada
Tidak Ada
14576
Lampiran29.1.8
.1.8
Lampiran
ELECTRONIC BANKING
1.
Produk e-banking yang disediakan bank (jawaban dapat lebih dari satu):
a.
Kartu ATM
Ya
Tidak
Jenis rekening terkait:
Giro
b.
Tabungan
Kredit
Deposito
Lainnya
Kartu Debit
Ya
Tidak
Jenis rekening terkait:
Giro
c.
Tabungan
Kredit
e.
Kartu prabayar yang dapat diisi ulang (prepaid card).
Ya
Tidak
Tidak
SMS Banking
Ya
Informational
f.
Communicative
Transactional
Ya
Communicative
Transactional
Tidak
Phone Banking
Ya
Informational
h.
Tidak
Internet Banking
Informational
g.
Lainnya
Kartu Kredit
Ya
d.
Deposito
Communicative
Transactional
Tidak
Produk lain yaitu ..........................................................................................
2.
Bekerjasama dengan perusahaan/bank lain (principal, acquirer, switching company)
Ya
Tidak
3.
Apakah terdapat kebijakan dan prosedur terkait setiap produk e-banking yang telah
disetujui Direksi dan Dewan Komisaris.
Ada
Tidak Ada
15577
4.
5.
a.
Sistem arsitektur TI untuk masing-masing produk e-banking dan bentuk
koneksi dengan core banking system;
Terlampir
Tidak Terlampir
b.
Sistem pengamanan (mencakup confidentiality, integrity, availability dan
authentication) yang digunakan pada masing-masing produk e-banking
Ada
Tidak Ada
Apakah terdapat analisis terkini dalam 1 (satu) tahun terakhir dari risk identification,
risk measurement, risk monitoring and mitigation untuk setiap produk e-banking.
Ada
Tidak Ada
Bila ada:
Terlampir
Tidak Terlampir
6.
Apakah terdapat program edukasi dan mekanisme perlindungan nasabah untuk
setiap produk e-banking.
Ada
Tidak Ada
7.
Data Statistik Transaksi e-banking selama 1 (satu) tahun kalender terakhir
Nama Produk
Phone Banking
SMS/Mobile Banking
Internet Banking
Jenis Data
Jumlah Nasabah
Nilai Transaksi
Frekuensi Transaksi
Jumlah Nasabah
Nilai Transaksi
Frekuensi Transaksi
Jumlah Nasabah
Nilai Transaksi
Jumlah
Rp.....................juta
Rp.....................juta
Rp.....................juta
Frekuensi Transaksi
Prepaid Card
Jumlah Nasabah
Nilai Transaksi
Frekuensi Transaksi
Rp.....................juta
16578
Lampiran29.1.9
.1.9
Lampiran
AUDIT TEKNOLOGI INFORMASI (AUDIT TI)*)
1.
Bank memiliki unit kerja atau personil untuk audit intern khusus TI.
Ya
Tidak
Jika ya, lampirkan struktur organisasi Audit TI dan lengkapi dengan curiculum vitae
auditor intern.
Terlampir
Tidak Terlampir
2.
Jika jawaban pada no. 1 adalah tidak, apakah bank menggunakan auditor ekstern
untuk melakukan audit intern khusus TI?
Ya
Tidak
Jika ya, lampirkan perjanjian kerja terkini.
Terlampir
Tidak Terlampir
3.
Review terakhir oleh pihak independen terhadap fungsi audit intern TI.
Ada
Tidak Ada
4.
Bank memiliki pedoman Audit Intern TI.
Ada
5.
6.
Audit khusus TI dilaksanakan minimal 1 kali setahun.
Ya
Tidak Ada
Tidak
Apakah audit khusus pada nomor 5 juga dilakukan atas Data Center, Disaster
Recovery Center dan Pemrosesan Transaksi Berbasis TI yang diselenggarakan oleh
pihak lain?
Ya
Tidak
Bila ya, sebutkan dua tanggal audit TI terakhir.
Tgl .........................................................
Tgl .........................................................
7.
Apakah audit khusus TI tersebut di atas, dalam 3 tahun terakhir telah mencakup
seluruh modul dalam aplikasi Core Banking?.
Ya
Tidak
8.
Laporan Audit khusus TI termasuk yang dilaporkan kepada Komite Audit.
Ya
Tidak
*) Informasi mencakup jenis layanan, data penyedia jasa (nama perusahaan, alamat data center, alamat perusahaan,
pemilik/grup pemilik mayoritas), tanggal dan jangka waktu perjanjian, contact person di bank yang menangani jasa
penyelenggaraan TI tersebut dan informasi penting lainnya .
17579
Lampiran29.1.10
.1.10
Lampiran
PENYELENGGARAAN TI OLEH PIHAK LAIN
1.
Daftar layanan TI yang diselenggarakan oleh pihak ketiga diluar pengembangan
sistem aplikasi*).
Terlampir
Tidak Terlampir
2.
Copy perjanjian antara bank dengan penyelenggara Data Center, Disaster Recovery
Center dan Pemrosesan transaksi berbasis TI
Terlampir
Tidak Terlampir
3.
Hasil review terkini mengenai analisis biaya & manfaat penyelenggaraan TI oleh
pihak lain yang antara lain mencakup:
a. manfaat bagi Bank melampaui biaya dibebankan oleh pihak penyedia jasa
kepada Bank;
b. Penilaian kecukupan dan kesesuaian sistem aplikasi yang digunakan dengan
kebutuhan bank;
c. Analisis sistem pengamanan yang digunakan oleh pihak penyedia jasa.
Ada
Tidak ada
4.
Analisis bank mengenai kecukupan Disaster Recovery Plan milik pihak penyedia
jasa penyelenggara TI.
Ada
Tidak ada
5.
Analisis kelangsungan penyediaan jasa berdasarkan kinerja terkini perusahaan
penyedia jasa termasuk laporan keuangan dan risiko yang terkait antara lain risiko
operasional, hukum dan reputasi dari perusahaan penyedia jasa.
Ada
Tidak ada
6.
a.
Apakah penyelenggaraan Data Center, Disaster Recovery Center dan
Pemrosesan transaksi berbasis TI oleh pihak lain dilakukan audit TI oleh
auditor ekstern Bank?
Ya
Tidak
b.
Bila ya, sebutkan dua tanggal audit TI terakhir.
Tgl .........................................................
Tgl .........................................................
c.
Apakah dilakukan audit TI oleh auditor ekstern pihak penyedia jasa?
Ya
Tidak
d.
Bila ya, sebutkan dua tanggal audit TI terakhir.
Tgl .........................................................
Tgl .........................................................
18580
Lampiran29.2
-2
Lampiran
RENCANA PERUBAHAN MENDASAR DALAM
PENGGUNAAN TEKNOLOGI INFORMASI*)
Nama Bank
Alamat Kantor Pusat Bank .....
No. Telp. ...................................
Nama Pelapor
Kantor/Divisi/Bagian Pelapor
Alamat Pelapor.....
No. Telp. ...................................
Tanggal Laporan _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
................................
Apakah terdapat rencana perubahan mendasar dalam penyelenggaraan
Teknologi Informasi?
Pertanyaan
Ya
Dokumen
Terlampir**)
Tidak
**)
Keterangan
6. Konfigurasi / cara pengoperasian ***)
7. Sistem aplikasi core banking****)
8. Produk electronic banking transaksional
baru
9. Penyelenggaraan TI oleh pihak lain
10. Perubahan Mendasar Lain Menurut
Bank yaitu :
a. ..........................................................
*)
Perubahan dalam penyelenggaraan TI dilaporkan 2 (dua) bulan sebelum rencana perubahan tersebut
efektif dioperasikan sebagaimana dipersyaratkan pada PBI dan SE. Penyelenggaraan TI oleh pihak lain di
luar negeri hanya dapat dilakukan setelah memperoleh persetujuan Bank Indonesia.
**)
Cantumkan apakah dokumen pendukung yang harus disampaikan telah dilampirkan. Dokumen pendukung
tersebut mengacu pada Lampiran 2.2.1 untuk produk electronic banking baru dan lampiran 2.2.2, 2.2.3,
2.2.4 atau 2.2.5 untuk penyelenggaraan TI oleh pihak ketiga, sedangkan untuk perubahan mendasar yang
lainnya format bebas.
***)
Yang dimaksud dengan perubahan terhadap konfigurasi antara lain topologi/arsitektur TI Bank,
platform/operating system, server utama terkait dengan aplikasi core banking, baik yang diselenggarakan
sendiri maupun menggunakan jasa pihak penyedia jasa Teknologi Informasi.
****) Yang dimaksud dengan Aplikasi core banking adalah sistem aplikasi untuk memproses dan mengolah data
terkait produk dan jasa utama Bank, yang jika tidak berfungsi akan mengganggu keberlangsungan usaha
dan menimbulkan kerugian yang signifikan bagi Bank.
19581
Lampiran29.2.1
.2.1
Lampiran
RENCANA PENERBITAN
ELECTRONIC BANKING TRANSAKSIONAL*)
1.
Sistem, prosedur dan kewenangan dalam penerbitan produk Electronic Banking.
2.
Uraian singkat atau penjelasan mengenai produk e-banking yang akan diterbitkan.
3.
Kebijakan dan prosedur yang menjelaskan kesiapan infrastruktur Teknologi
Informasi masing-masing produk Electronic Banking.
4.
Lampirkan penjelasan mengenai sistem arsitektur Teknologi Informasi dari produk
e-banking yang akan diterbitkan dan bentuk koneksi dengan core banking system.
5.
Hasil analisis dan identifikasi risiko pada Bank terhadap risiko yang melekat pada
produk electronic banking dan bentuk pengendalian pengamanan untuk mitigasi
risiko tersebut antara lain untuk memastikan terpenuhinya prinsip kerahasiaan
(confidentiality), integritas (integrity), otentifikasi (authentication) dan ketersediaan
(availability).
6.
Jelaskan secara tersendiri aturan yang diterapkan bank mengenai:
a. 2 faktor authentification yang akan digunakan;
b. Encryption yang akan digunakan;
c. Password (kriteria numeric alphanumeric, panjang password).
7.
Uraian sistem informasi akuntansi yang akan diterapkan untuk produk yang akan
diterbitkan.
8.
Lampirkan hasil analisis dan identifikasi risiko produk e-banking antara lain risiko
operasional, hukum dan reputasi.
9.
Lampirkan hasil pemeriksaan pihak independen yang memberikan pendapat atas
karakteristik produk dan kecukupan pengamanan sistem TI terkait produk serta
kepatuhan terhadap ketentuan dan/atau praktek-praktek yang berlaku di dunia
internasional (best practices).
10.
Uraian kesiapan struktur organisasi pendukung dan bentuk pengawasan yang melekat
(built in control) yang akan diterapkan atas produk e-banking yang akan diterbitkan.
11.
Hasil analisis bisnis mengenai proyeksi penerbitan produk baru dalam 1 (satu) tahun
kedepan
*) Rencana penerbitan e-banking dilaporkan 2 (dua) bulan sebelum rencana perubahan tersebut efektif dioperasikan
sebagaimana dipersyaratkan pada PBI.
20582
Lampiran29.2.2
.2.2
Lampiran
RENCANA PENYELENGGARAAN DATA CENTER
DAN ATAU DISASTER RECOVERY CENTER OLEH
PIHAK LAIN DI DALAM NEGERI*)
1.
Rencana lokasi penyelenggaraan:
a.
Pusat data (Data Center)........................................................
b.
Disaster Recovery Center.......................................................
Lampirkan data nama dan alamat serta kepemilikan penyelenggara Data center dan
atau Disaster Recovery Center yang direncanakan.
2.
Lampirkan ringkasan hasil pendefinisian kebutuhan dan due diligence yang telah
dilakukan Bank dalam rencana menggunakan penyedia jasa untuk
menyelenggarakan Data Center dan atau Disaster Recovery Center di dalam negeri.
3.
Berkaitan dengan ringkasan due diligence pada nomor 2, sertakan hal-hal dibawah
ini sebagai lampiran ringkasan tersebut:
a.
analisis Bank atas hasil audit teknologi informasi yang dilakukan oleh pihak
independen terhadap pengembangan sistem aplikasi yang ditawarkan dan
sistem pengamanan pada fasilitas yang dimiliki oleh pihak penyedia jasa;
b.
analisis risiko Bank mengenai rencana menyerahkan penyelenggaraan Data
Center dan atau Disaster Recovery Center kepada pihak penyedia jasa antara
lain risiko operasional, hukum dan reputasi;
c.
analisis Bank mengenai kecukupan Disaster Recovery Plan milik pihak
penyedia jasa penyelenggara TI.
4.
Bila sudah ada lampirkan konsep perjanjian antara bank dengan penyelenggara TI
yang memuat hal-hal sebagaimana dipersyaratkan dalam Peraturan Bank Indonesia.
Bila konsep perjanjian belum ada lampirkan ringkasan proposal dari calon
penyelenggara dan ringkasan analisis bank atas proposal tersebut.
5.
Proposal pada nomor 4 mencakup ringkasan analisis risiko oleh pihak penyedia jasa
penyelenggara TI atas penyelenggaraan Data Center dan atau Disaster Recovery
Center yang akan ditawarkan kepada bank.
6.
Lampirkan ringkasan analisis biaya & manfaat penyelenggaraan TI oleh pihak lain
yang antara lain mencakup:
a.
penilaian kecukupan dan kesesuaian sistem aplikasi yang akan digunakan
dengan kebutuhan bank;
b.
analisis atas pengendalian pengamanan yang digunakan pihak penyedia jasa
untuk memastikan terpenuhinya confidentiality, integrity, availability dan
authentication;
*)
Rencana bank menggunakan pihak penyedia jasa dalam menyelenggarakan data center dan DRC di dalam negeri
dilaporkan 2 (dua) bulan sebelum penyelenggaraan TI tersebut efektif dioperasikan sebagaimana dipersyaratkan
pada PBI.
21583
c.
analisis kinerja, reputasi dan kelangsungan penyediaan layanan kepada para
pengguna jasa.
7.
Lampirkan gambar IT Architecture yang telah ada dan yang direncanakan setelah
penyelenggaraan DC /DRC diserahkan kepada pihak penyedia jasa.
8.
Lampirkan rencana pengawasan yang akan dilakukan bank atas penyelenggaraaan
Data Center dan atau Disaster Recovery Center.
9.
Lampirkan Surat Pernyataan dari Bank mengenai kesediaan Bank memberikan akses
kepada auditor intern, ekstern maupun Bank Indonesia untuk memperoleh data dan
informasi secara tepat waktu setiap kali dibutuhkan.
22584
Lampiran29.2.3
.2.3
Lampiran
RENCANA PENYELENGGARAAN DATA CENTER DAN
ATAU DISASTER RECOVERY CENTER OLEH
PIHAK LAIN DI LUAR NEGERI*)
1.
Rencana lokasi penyelenggaraan:
a.
Pusat data (Data Center)........................................................
b.
Disaster Recovery Center.......................................................
Lampirkan data nama dan alamat serta kepemilikan penyelenggara Data center dan
atau Disaster Recovery Center yang direncanakan.
2.
Lampirkan ringkasan hasil pendefinisian kebutuhan dan due diligence yang telah
dilakukan Bank dalam rencana menggunakan penyedia jasa untuk
menyelenggarakan Data Center dan atau Disaster Recovery Center di luar negeri.
3.
Berkaitan dengan ringkasan due diligence pada nomor 2, sertakan hal-hal dibawah
ini sebagai lampiran ringkasan tersebut:
a.
analisis bank atas hasil audit teknologi informasi yang dilakukan oleh pihak
independen terhadap pengembangan sistem aplikasi yang ditawarkan dan
sistem pengamanan pada fasilitas yang dimiliki oleh pihak penyedia jasa;
b.
analisis risiko Bank mengenai rencana menyerahkan penyelenggaraan Data
Center dan atau Disaster Recovery Center kepada pihak penyedia jasa antara
lain risiko operasional, hukum dan reputasi serta analisis country risk;
c.
analisis Bank mengenai kecukupan Disaster Recovery Plan milik pihak
penyedia jasa penyelenggara TI.
4.
Lampirkan konsep perjanjian antar bank dengan penyelenggara Data Center dan
atau Disaster Recovery Center di luar negeri yang memuat hal-hal sebagaimana
dipersyaratkan dalam Peraturan Bank Indonesia.
5.
Lampirkan ringkasan analisis risiko oleh pihak penyedia jasa penyelenggara TI atas
penyelenggaraan Data center dan atau Disaster Recovery Center yang akan
ditawarkan kepada bank.
6.
Lampirkan ringkasan analisis biaya & manfaat penyelenggaraan TI oleh pihak lain
yang antara lain mencakup:
a.
manfaat bagi Bank melampaui biaya dibebankan oleh pihak penyedia jasa
kepada Bank;
b.
penilaian kecukupan dan kesesuaian sistem aplikasi yang akan digunakan
dengan kebutuhan bank;
c.
analisis atas pengendalian pengamanan yang digunakan pihak penyedia jasa
untuk memastikan terpenuhinya confidentiality, integrity, availability dan
authentication;
*) Permohonan Bank untuk izin menggunakan pihak penyedia jasa dalam menyelenggarakan data center dan DRC di
luar negeri diajukan 4 (empat) bulan sebelum penyelenggaraan TI tersebut efektif dioperasikan untuk memperoleh
persetujuan dari Bank Indonesia sebagaimana dipersyaratkan pada PBI
23
585
d.
analisis kinerja, reputasi dan kelangsungan penyediaan layanan kepada para
pengguna jasa.
7.
Lampirkan gambar IT Architecture sekarang dan yang direncanakan setelah
penyelenggaraan DC /DRC diserahkan kepada pihak penyedia jasa.
8.
Lampirkan rencana pengawasan yang akan dilakukan bank atas penyelenggaraaan
Data Center dan atau Disaster Recovery Center yang direncanakan.
9.
Lampirkan Surat Pernyataan dari Bank mengenai kesediaan Bank memberikan akses
kepada auditor intern, ekstern maupun Bank Indonesia untuk memperoleh data dan
informasi secara tepat waktu setiap kali dibutuhkan.
10.
Bila Bank merupakan Kantor Cabang Bank Asing atau Bank yang dimiliki lembaga
keuangan asing, lampirkan:
a.
Surat Pernyataan dari otoritas pengawas lembaga keuangan di luar negeri
bahwa pihak penyedia jasa merupakan cakupan pengawasannya;
b.
Surat Pernyataan tidak keberatan dari otoritas pengawas setempat bila Bank
Indonesia hendak melakukan pemeriksaan penyelenggaraan pusat data (Data
Center) dan atau Disaster Recovery Center tersebut;
c.
Surat Pernyataan bahwa Bank secara berkala akan menyampaikan hasil
penilaian yang dilakukan kantor Bank di luar negeri atas penerapan
manajemen risiko pada pihak penyedia jasa. Surat Pernyataan ini
mencantumkan periodisasi yang direncanakan;
d.
Hasil penilaian oleh kantor Bank di luar negeri atas penerapan manajemen
risiko yang dilakukan oleh pihak penyedia jasa.
11.
Lampirkan rencana Bank mengenai:
a.
peningkatan kualitas pelayanan kepada nasabah;
b.
peningkatan kemampuan sumber daya manusia yang berkaitan dengan
penyelenggaraan TI yang digunakan oleh Bank.
.
24586
Lampiran29.2.4
.2.4
Lampiran
RENCANA PENYELENGGARAAN PEMROSESAN
TRANSAKSI BERBASIS TEKNOLOGI INFORMASI OLEH
PIHAK LAIN DI DALAM NEGERI*)
1.
Aktivitas dan produk yang penyelenggaraannya akan diserahkan kepada pihak
penyedia jasa termasuk uraian atau penjelasan dan flow chart dari prosedur
pelaksanaan (SOP).
2.
Lokasi penyelenggaraan:
a.
Pusat data (Data Center)........................................................
b.
Disaster Recovery Center.......................................................
c.
pemrosesan transaksi............................................................
Lampirkan data nama dan alamat serta kepemilikan penyelenggara Pemrosesan
Transaksi Berbasis Teknologi Informasi yang direncanakan.
3.
Lampirkan ringkasan hasil pendefinisian kebutuhan dan due dilligence yang telah
dilakukan Bank dalam rencana menggunakan penyedia jasa untuk
menyelenggarakan Pemrosesan Transaksi Berbasis Teknologi Informasi di dalam
negeri.
4.
Berkaitan dengan ringkasan due diligence pada nomor 3, sertakan hal-hal dibawah
ini sebagai lampiran ringkasan tersebut:
a.
analisis bank atas hasil audit teknologi informasi yang dilakukan oleh pihak
independen terhadap sumber daya TI (termasuk pengembangan sistem
aplikasi yang ditawarkan, sistim operasi dan prosedur, dan sistem
pengamanan pada fasilitas yang dimiliki) yang akan digunakan untuk
memproses transaksi oleh pihak penyedia jasa;
b.
analisis risiko Bank atas rencana menyerahkan penyelenggaraan Pemrosesan
Transaksi Berbasis Teknologi Informasi kepada pihak penyedia jasa antara
lain risiko operasional, hukum dan reputasi;
c.
analisis Bank mengenai kecukupan Disaster Recovery Plan milik pihak
penyedia jasa penyelenggara Pemrosesan Transaksi Berbasis Teknologi
Informasi.
5.
Bila sudah ada lampirkan konsep perjanjian antara bank dengan penyelenggara
Pemrosesan Transaksi Berbasis Teknologi Informasi di dalam negeri , bila belum
ada lampirkan ringkasan proposal dari calon penyelenggara dan ringkasan analisis
bank atas proposal tersebut.
*) Rencana Bank untuk menggunakan pihak penyedia jasa dalam menyelenggarakan pemrosesan transaksi berbasis
teknologi informasi di dalam negeri dilaporkan 2 (dua) bulan sebelum penyelenggaraan pemrosesan transaksi berbasis
teknologi informasi tersebut efektif dioperasikan sebagaimana dipersyaratkan pada PBI
25587
6.
Proposal pada nomor 5 mencakup ringkasan analisis risiko oleh pihak penyedia jasa
penyelenggara TI atas penyelenggaraan Pemrosesan Transaksi Berbasis Teknologi
Informasi yang akan ditawarkan kepada Bank.
7.
Lampirkan ringkasan analisis biaya & manfaat penyelenggaraan TI oleh pihak lain
yang antara lain mencakup:
a.
penilaian kecukupan dan kesesuaian sistem aplikasi yang akan digunakan
dengan kebutuhan Bank.
b.
analisis Bank atas pengendalian pengamanan yang digunakan pihak penyedia
jasa untuk memastikan terpenuhinya confidentiality, integrity, availability dan
authentication.
c.
analisis kinerja, reputasi dan kelangsungan penyediaan layanan kepada para
pengguna jasa.
8.
Lampirkan gambar garis pelaporan dan informasi sekarang dan yang direncanakan
setelah penyelenggaraan pemrosesan transaksi diserahkan kepada pihak penyedia
jasa.
9.
Lampirkan rencana pengawasan yang akan dilakukan Bank atas penyelenggaraaan
Pemrosesan Transaksi Berbasis TI yang direncanakan.
10.
Lampirkan Surat Pernyataan dari Bank mengenai kesediaan Bank memberikan akses
kepada auditor intern, ekstern maupun Bank Indonesia untuk memperoleh data dan
informasi secara tepat waktu setiap kali dibutuhkan.
.
26588
Lampiran
Lampiran29.2.5
.2.5
RENCANA PENYELENGGARAAN PEMROSESAN
TRANSAKSI BERBASIS TEKNOLOGI INFORMASI OLEH
PIHAK LAIN DI LUAR NEGERI*)
1.
Aktivitas dan produk yang penyelenggaraannya akan diserahkan kepada pihak
penyedia jasa termasuk uraian atau penjelasan dan flow chart dari prosedur
pelaksanaan (SOP).
2.
Lokasi penyelenggaraan:
a.
Pusat data (Data Center)........................................................
b.
Disaster Recovery Center.......................................................
c.
pemrosesan transaksi ................................................
Lampirkan data nama dan alamat serta kepemilikan penyelenggara Pemrosesan
Transaksi Berbasis TI yang direncanakan.
3.
Lampirkan ringkasan hasil pendefinisian kebutuhan dan due dilligence yang telah
dilakukan Bank dalam rencana menggunakan penyedia jasa untuk menyelenggarakan
Pemrosesan Transaksi Berbasis TI di Luar Negeri
4.
Berkaitan dengan ringkasan due diligence pada nomor 3, sertakan hal-hal dibawah
ini sebagai lampiran ringkasan tersebut:
a.
analisis Bank atas hasil audit teknologi informasi yang dilakukan oleh pihak
independen terhadap sumber daya TI (termasuk pengembangan sistem aplikasi
yang ditawarkan, sistim operasi dan prosedur, dan sistem pengamanan pada
fasilitas yang dimiliki) yang akan digunakan untuk memproses transaksi oleh
pihak penyedia jasa;
b.
analisis risiko Bank atas rencana menyerahkan penyelenggaraan Pemrosesan
Transaksi Berbasis TI kepada pihak penyedia jasa antara lain risiko
operasional, hukum dan reputasi serta analisis country risk;
c.
analisis Bank mengenai kecukupan Disaster Recovery Plan milik pihak
penyedia jasa penyelenggara TI.
5.
Lampirkan konsep perjanjian antara bank dengan penyelenggara Pemrosesan
Transaksi Berbasis TI di luar negeri yang memuat hal-hal sebagaimana
dipersyaratkan dalam Peraturan Bank Indonesia.
6.
Lampirkan ringkasan analisis risiko oleh pihak penyedia jasa penyelenggara TI atas
penyelenggaraan Pemrosesan Transaksi Berbasis TI yang akan ditawarkan kepada
Bank.
*) Permohonan Bank untuk izin menggunakan pihak penyedia jasa dalam menyelenggarakan pemrosesan transaksi
berbasis teknologi informasi di luar negeri 4 (empat) bulan sebelum penyelenggaraan pemrosesan transaksi berbasis
teknologi informasi tersebut efektif dioperasikan sebagaimana dipersyaratkan pada PBI
27589
7.
Lampirkan ringkasan analisis biaya & manfaat penyelenggaraan Pemrosesan
Transaksi Berbasis TI oleh pihak lain yang antara lain mencakup:
a. manfaat bagi Bank melampaui biaya dibebankan oleh pihak penyedia jasa
kepada Bank;
b. penilaian kecukupan dan kesesuaian sistem aplikasi yang akan digunakan
dengan kebutuhan bank.
c. analisis Bank atas pengendalian pengamanan yang digunakan pihak penyedia
jasa untuk memastikan terpenuhinya confidentiality, integrity, availability dan
authentication.
d. analisis kinerja, reputasi dan kelangsungan penyediaan layanan kepada para
pengguna jasa.
8.
Lampirkan gambar garis pelaporan dan informasi sekarang dan yang direncanakan
setelah pemrosesan transaksi diserahkan kepada pihak penyedia jasa.
9.
Bila Bank merupakan Kantor Cabang Bank Asing atau Bank yang dimiliki lembaga
keuangan asing, lampirkan:
a. Surat Pernyataan dari otoritas pengawas lembaga keuangan di luar negeri
bahwa pihak penyedia jasa merupakan cakupan pengawasannya;
b. Surat Pernyataan tidak keberatan dari otoritas pengawas setempat bila Bank
Indonesia hendak memeriksa penyelenggaraan Pemrosesan Transaksi Berbasis
TI tersebut;
c. Surat Pernyataan bahwa Bank secara berkala akan menyampaikan hasil
penilaian yang dilakukan kantor Bank di luar negeri atau kantor induk bank atas
penerapan manajemen risiko pada pihak penyedia jasa. Surat Pernyataan ini
mencantumkan periodisasi yang direncanakan.
d. Hasil penilaian oleh kantor Bank di luar negeri atas penerapan manajemen
risiko yang dilakukan oleh pihak penyedia jasa.
10.
Lampirkan rencana pengawasan yang akan dilakukan bank atas penyelenggaraaan
Pemrosesan Transaksi Berbasis TI yang direncanakan.
11.
Lampirkan rencana Bank mengenai:
a. peningkatan kemampuan sumber daya manusia yang berkaitan dengan
penyelenggaraan TI yang digunakan oleh Bank;
b. peningkatan kemampuan sumber daya manusia atas produk-produk yang
ditawarkan Bank kepada nasabah;
c. penerapan aspek perlindungan kepada nasabah atas produk yang pemrosesannya
diserahkan kepada pihak penyedia jasa;
d. peningkatan peran Bank bagi perkembangan perekonomian Indonesia melalui
rencana bisnis.
12.
Lampirkan Surat Pernyataan dari Bank mengenai kesediaan Bank memberikan akses
kepada auditor intern, ekstern maupun Bank Indonesia untuk memperoleh data dan
informasi secara tepat waktu setiap kali dibutuhkan.
28590
Lampiran2-3
Lampiran
29.3
REALISASI PERUBAHAN MENDASAR DALAM
PENGGUNAAN TEKNOLOGI INFORMASI*)
Nama Bank
Alamat Kantor Pusat Bank .....
No. Telp. ...................................
Nama Pelapor
Kantor/Divisi/Bagian Pelapor
Alamat Pelapor.....
No. Telp. ...................................
Tanggal Laporan _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
................................
Apakah terdapat realisasi perubahan mendasar dalam penyelenggaraan Teknologi
Informasi?
Pertanyaan
1.
Konfigurasi / cara pengoperasian***)
2.
3.
Sistem aplikasi core banking****)
Produk
electronic
banking
transaksional baru
Penyelenggaraan TI oleh pihak Lain
Perubahan Mendasar Lain Menurut
Bank yaitu :
a. .........................................
b. .........................................
4.
5.
Ya
Dokumen
Terlampir**)
Tidak
Keterangan
Perubahan dalam penyelenggaraan TI dilaporkan 1 (satu) bulan setelah rencana perubahan tersebut efektif
dioperasikan sebagaimana dipersyaratkan pada PBI dan SE.
**)
Cantumkan apakah dokumen pendukung yang harus disampaikan telah dilampirkan. Dokumen pendukung
tersebut mengacu pada Lampiran 2.3.1 untuk produk electronic banking baru dan lampiran 2.3.2, 2.2.3, 2.2.4
atau 2.2.5 untuk penyelenggaraan TI oleh pihak ketiga sedangkan untuk yang lainnya format bebas.
***)
Yang dimaksud dengan perubahan terhadap konfigurasi antara lain topologi/arsitektur TI Bank,
platform/operating system, server utama terkait dengan aplikasi core banking, baik yang diselenggarakan sendiri
maupun menggunakan jasa pihak penyedia jasa TI.
****) Yang dimaksud dengan Aplikasi core banking adalah sistem aplikasi untuk memproses dan mengolah data
terkait produk dan jasa utama Bank, yang jika tidak berfungsi akan mengganggu keberlangsungan usaha dan
menimbulkan kerugian yang signifikan bagi Bank.
*)
29591
Lampiran29.3.1
.3.1
Lampiran
REALISASI PENERBITAN
ELECTRONIC BANKING TRANSAKSIONAL*)
1.
Uraian singkat atau penjelasan mengenai produk e-banking yang baru diterbitkan.
2.
Lampirkan penjelasan mengenai sistem arsitektur TI dari produk e-banking yang
baru diterbitkan. dan bentuk koneksi dengan core banking system.
3.
Lampirkan penjelasan mengenai bentuk pengendalian intern khususnya
pengendalian keamanan (memastikan terpenuhinya confidentiality, integrity,
availability dan authentication).
4.
Uraian kesiapan struktur organisasi pendukung dan bentuk pengawasan yang
melekat (built in control) atas produk e-banking.
5.
Lampirkan kebijakan dan prosedur yang menjelaskan kesiapan infrastruktur
Teknologi Informasi dari produk e-banking.
6.
Uraian sistem informasi akuntansi.
7.
Lampirkan hasil analisis dan identifikasi risiko produk e-banking identifikasi,
pengukuran, monitoring dan mitigasi risiko dari produk e-banking yang baru
diterbitkan antara lain risiko operasional, hukum dan reputasi.
8.
Lampirkan hasil post implementation review (PIR) atas penggunaan TI terkait
produk e-banking yang baru diterbitkan, termasuk tapi tidak terbatas pada review
mengenai:
a. System berjalan dengan baik (system performance review).
b. Komplain nasabah dan tindak lanjutnya.
c. Kesesuaian dengan user requirement
d. Problem yang terjadi dan solusi/eskalasi/penyelesaian yang dibuat
e. Efektifitas pengamanan yang ditetapkan
*)
Realisasi penebitan produk e-banking dilaporkan 1 (satu) bulan setelah rencana perubahan tersebut efektif
dioperasikan sebagaimana dipersyaratkan pada PBI
30592
Lampiran29.3.2
.3.2
Lampiran
REALISASI PENYELENGGARAAN DATA CENTER
DAN ATAU DISASTER RECOVERY CENTER
OLEH PIHAK LAIN DI DALAM NEGERI *)
1.
Lokasi penyelenggaraan:
a.
Pusat data (Data Center)........................................................
b.
Disaster Recovery Center......................................................
2.
Lampirkan copy perjanjian antar bank dengan penyelenggara TI.
3.
Lampirkan hasil post implementation review (PIR) atas penggunaan Data Center
pihak penyedia jasa yang antara lain mencakup review mengenai:
a.
System berjalan dengan baik (system performance review)
b.
Kesesuaian dengan user requirement
c.
Problem yang terjadi dan solusi/eskalasi/penyelesaian yang dibuat
d.
Efektifitas pengamanan yang ditetapkan
4.
Lampirkan hasil pengujian/testing atas penggunaan Disaster Recovery Center yang
diselenggarakan pihak penyedia jasa tersebut.
5.
Lampirkan Berita Acara pengalihan Data Center dan/atau Disaster Recovery
Center.
6.
Lampirkan gambar IT Architecture setelah penyelenggaraan DC /DRC diserahkan
kepada pihak penyedia jasa.
7.
Uraian analisis risiko terkini penyelenggaraan Data Center dan atau Disaster
Recovery Center tersebut antara lain risiko operasional, hukum dan reputasi.
*) Laporan penggunaan pihak penyedia jasa dalam menyelenggarakan data center dan DRC disampaikan Bank 1 (satu)
bulan setelah penyelenggaraan TI tersebut efektif dioperasikan sebagaimana dipersyaratkan pada PBI.
31593
Lampiran29.3.3
.3.3
Lampiran
REALISASI PENYELENGGARAAN DATA CENTER
DAN DISASTER RECOVERY CENTER OLEH
PIHAK LAIN DI LUAR NEGERI*)
1.
Lokasi penyelenggaraan:
a.
Pusat data (Data Center)........................................................
b.
Disaster Recovery Center.......................................................
2.
Lampirkan copy perjanjian antara bank dan penyelenggara Data Center dan atau
Disaster Recovery Center.
3.
Lampirkan hasil analisis terkini atas pengendalian pengamanan yang digunakan
untuk memastikan terpenuhinya confidentiality, integrity, availability dan
authentication dalam penyelenggaraan yang diserahkan kepada pihak penyedia jasa.
4.
Lampirkan hasil post implementation review (PIR) atas penggunaan Data Center
pihak penyedia jasa yang antara lain mencakup review mengenai:
a. system berjalan dengan baik (system performance review);
b. kesesuaian dengan user requirement;
c. problem yang terjadi dan solusi/eskalasi/penyelesaian yang dibuat;
d. efektifitas pengamanan yang ditetapkan.
5.
Lampirkan hasil pengujian/testing atas penggunaan Disaster Recovery Center yang
diselenggarakan pihak penyedia jasa tersebut.
6.
Lampirkan Berita Acara pengalihan Data Center dan/atau Disaster Recovery
Center.
7.
Lampirkan gambar IT Architecture sekarang setelah penyelenggaraan DC /DRC
diserahkan kepada pihak penyedia jasa.
8.
Uraian analisis risiko terkini Bank terhadap penyelenggaraan Data Center dan atau
Disaster Recovery Center oleh pihak penyedia jasa di luar negeri tersebut antara
lain risiko operasional, hukum dan reputasi serta analisis country risk.
*) Realisasi rencana Bank yang telah disetujui oleh Bank Indonesia untuk menggunakan pihak penyedia jasa dalam
menyelenggarakan data center dan DRC di luar negeri dilaporkan 1 bulan setelah penyelenggaraan TI tersebut efektif
dioperasikan sebagaimana dipersyaratkan pada PBI.
32594
Lampiran29.3.4
.3.4
Lampiran
REALISASI PENYELENGGARAAN
PEMROSESAN TRANSAKSI BERBASIS TEKNOLOGI INFORMASI
OLEH PIHAK LAIN DI DALAM NEGERI *)
1.
Aktivitas dan produk yang penyelenggaraannya yang diserahkan kepada pihak
penyedia jasa termasuk uraian atau penjelasan dan flow chart dari prosedur
pelaksanaan (SOP).
2.
Lokasi penyelenggaraan:
a.
Pusat data (Data Center).........................................................
b.
Disaster Recovery Center........................................................
c.
Pemrosesan transaksi.............................................................
3.
Lampirkan copy perjanjian antara bank dan pihak penyedia jasa penyelenggaraan
Pemrosesan Transaksi Berbasis Teknologi Informasi di dalam negeri.
4.
Lampirkan hasil pengujian/testing atas penggunaan penyelenggaraan Pemrosesan
Transaksi Berbasis Teknologi Informasi di dalam negeri tersebut.
5.
Lampirkan Berita Acara pengalihan penyelenggaraan Pemrosesan Transaksi
Berbasis Teknologi Informasi di dalam negeri.
6.
Lampirkan hasil post implementation review (PIR) atas penggunaan pihak penyedia
jasa dalam menyelenggarakan Pemrosesan Transaksi Berbasis Teknologi Informasi
di dalam negeri yang antara lain mencakup review mengenai:
a.
system berjalan dengan baik (system performance review);
b.
kesesuaian dengan user requirement;
c.
problem yang terjadi dan solusi/eskalasi/penyelesaian yang dibuat;
d.
efektifitas pengamanan yang ditetapkan.
7.
Lampirkan gambar garis pelaporan dan informasi setelah pemrosesan transaksi
diserahkan kepada pihak penyedia jasa.
8.
Lampirkan hasil analisis atas pengendalian pengamanan yang digunakan untuk
memastikan terpenuhinya confidentiality, integrity, availability dan authentication
dalam penyelenggaraan Pemrosesan Transaksi Berbasis Teknologi Informasi yang
diserahkan kepada pihak penyedia jasa di luar negeri.
9.
Lampirkan analisis risiko terkini oleh Bank terhadap penyelenggaraan Pemrosesan
Transaksi Berbasis Teknologi Informasi oleh pihak penyedia jasa antara lain risiko
operasional, hukum dan reputasi.
*)
Realisasi rencana Bank untuk menggunakan pihak penyedia jasa dalam menyelenggarakan pemrosesan transaksi
berbasis teknologi informasi di dalam negeri dilaporkan 1 (satu) bulan setelah penyelenggaraan pemrosesan
transaksi berbasis teknologi informasi tersebut efektif dioperasikan sebagaimana dipersyaratkan pada PBI.
33595
Lampiran29.3.5
.3.5
Lampiran
REALISASI PENYELENGGARAAN
PEMROSESAN TRANSAKSI BERBASIS TEKNOLOGI INFORMASI
OLEH PIHAK LAIN DI LUAR NEGERI *)
1.
Aktivitas dan produk yang penyelenggaraannya yang diserahkan kepada pihak
penyedia jasa termasuk uraian atau penjelasan dan flow chart dari prosedur
pelaksanaan (SOP).
2.
Lokasi penyelenggaraan:
a.
Pusat data (data center).........................................................
b.
Disaster Recovery Center........................................................
c.
Pemrosesan transaksi ..................... .....................................
3.
Lampirkan copy perjanjian antara bank dan pihak penyedia jasa penyelenggaraan
pemrosesan transaksi berbasis teknologi informasi di luar negeri.
4.
Lampirkan hasil pengujian/testing atas penggunaan penyelenggaraan Pemrosesan
Transaksi Berbasis Teknologi Informasi di luar negeri tersebut.
5.
Lampirkan Berita Acara pengalihan penyelenggaraan Pemrosesan Transaksi
Berbasis Teknologi Informasi di luar negeri.
6.
Lampirkan hasil post implementation review (PIR) atas penggunaan pihak penyedia
jasa dalam menyelenggarakan pemrosesan transaksi berbasis teknologi informasi di
luar negeri yang antara lain mencakup review mengenai:
a.
system berjalan dengan baik (system performance review);
b.
kesesuaian dengan user requirement;
c.
problem yang terjadi dan solusi/eskalasi/penyelesaian yang dibuat;
d.
efektifitas pengamanan yang ditetapkan.
7.
Lampirkan gambar garis pelaporan dan informasi sekarang setelah penyelenggaraan
diserahkan kepada pihak penyedia jasa.
8.
Lampirkan hasil analisis atas pengendalian pengamanan yang digunakan untuk
memastikan terpenuhinya confidentiality, integrity, availability dan authentication
dalam penyelenggaraan pemrosesan transaksi berbasis teknologi informasi yang
diserahkan kepada pihak penyedia jasa di luar negeri.
9.
Lampirkan Surat Pernyataan dari pihak penyedia jasa TI sebagai pihak terafiliasi
tidak keberatan bila Bank Indonesia hendak memeriksa penyelenggaraan
Pemrosesan Transaksi Berbasis Teknologi Informasi.
*) Realisasi rencana Bank untuk menggunakan pihak penyedia jasa dalam menyelenggarakan pemrosesan transaksi
berbasis teknologi informasi di luar negeri dilaporkan 1 (satu) bulan setelah penyelenggaraan pemrosesan transaksi
berbasis teknologi informasi tersebut efektif dioperasikan sebagaimana dipersyaratkan pada PBI.
34596
Lampiran29.4
-4
Lampiran
LAPORAN TAHUNAN PENGGUNAAN
TEKNOLOGI INFORMASI*)
Nama Bank
Alamat Kantor Pusat Bank .....
No. Telp. ...................................
Nama Pelapor
Kantor/Divisi/Bagian Pelapor
Alamat Pelapor.....
No. Telp. ...................................
Tanggal Laporan _ _ _ __ _ _ _ _ _ _ _ _ _ _ _
................................
1.
Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Manajemen pada Lampiran 2.1.1?
Ada
Tidak Ada
Bila ada, apakah perubahan tersebut sudah dilaporkan kepada Bank
IndonesiaI?
Sudah
Belum
Bila sudah dilaporkan, sebutkan tanggal dan nomor surat......................
Bila belum dilaporkan, lampirkan data dan penjelasan mengenai perubahan
tersebut.**)
2.
Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Aplikasi dan Pengembangan (Development & Acquisition) pada Lampiran 2.1.2?
Ada
Tidak Ada
Bila ada, apakah perubahan tersebut sudah dilaporkan kepada Bank
Indonesia?
Sudah
Belum
Bila sudah dilaporkan, sebutkan tanggal dan nomor surat......................
*) Laporan disampaikan secara berkala selambat-lambatnya 1 (satu) bulan setelah akhir tahun pelaporan.
**) Format Lampiran laporan ini mengacu pada lembar terkait pada Laporan Penggunaan Teknologi Informasi atau
format bebas sesuai bentuk materi atau hal yang akan dilaporkan oleh bank.
35597
Bila belum dilaporkan, lampirkan data dan penjelasan mengenai perubahan
tersebut.**)
Apakah terdapat perubahan yang signifikan pada aplikasi yang sudah
operasional?
Ada
Tidak Ada
Jika ada perubahan yang signifikan tersebut, lampirkan data nama aplikasi,
keterangan perubahan yang dilakukan, tempat dan tanggal implementasi.
3.
Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Operasional TI pada Lampiran 2.1.3?
Ada
Tidak Ada
Bila ada, apakah perubahan tersebut sudah dilaporkan kepada Bank Indonesia?
Sudah
Belum
Bila sudah dilaporkan, sebutkan tanggal dan nomor surat......................
Bila belum dilaporkan, lampirkan data dan penjelasan mengenai perubahan
tersebut.**)
4.
Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Jaringan Komunikasi pada Lampiran 2.1.4?
Ada
Tidak Ada
Bila ada, apakah perubahan tersebut sudah dilaporkan kepada Bank Indonesia?
Sudah
Belum
Bila sudah dilaporkan, sebutkan tanggal dan nomor surat......................
Bila belum dilaporkan, lampirkan data dan penjelasan mengenai perubahan
tersebut.**)
5.
Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Pengamanan Informasi pada Lampiran 2.1.5?
Ada
Tidak Ada
Bila ada, apakah perubahan tersebut sudah dilaporkan kepada Bank Indonesia?
Sudah
Belum
Bila sudah dilaporkan, sebutkan tanggal dan nomor surat......................
Bila belum dilaporkan, lampirkan data dan penjelasan mengenai perubahan
tersebut.**)
6.
Terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Business Continuity Plan pada Lampiran 2.1.6 ?
Ada
Tidak Ada
**) Format Lampiran laporan ini mengacu pada lembar terkait pada Laporan Penggunaan Teknologi Informasi atau
format bebas sesuai bentuk materi atau hal yang akan dilaporkan oleh bank.
36598
Bila ada, apakah perubahan tersebut sudah dilaporkan ke BI?
Sudah
Belum
Bila sudah dilaporkan, sebutkan tanggal dan nomor surat.................................
Bila belum dilaporkan, lampirkan data dan penjelasan mengenai perubahan
tersebut.**)
7.
Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
penggunaan komputer Mikro pada Pengguna pada Lampiran 2.1.7?
Ada
Tidak Ada
Bila ada, apakah perubahan tersebut sudah dilaporkan ke BI?
Sudah
Belum
Bila sudah dilaporkan, sebutkan tanggal dan nomor surat......................
Bila belum dilaporkan, lampirkan data dan penjelasan mengenai perubahan
tersebut.**)
8.
Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Electronic Banking pada Lampiran 2.1.8 ?
Ada
Tidak Ada
a.
Jenis Electronic Banking:
1) Electronic Banking Transaksional
Apakah terdapat
transaksional?
produk
Electronic
Banking
Ada
baru
yang
bersifat
Tidak Ada
Apakah rencana dan realisasi penerbitan produk di atas sudah dilaporkan ke
BI?
Sudah
Belum
Apakah terdapat perubahan fitur produk Electronic Banking yang bersifat
transaksional namun tidak merupakan produk baru?
Ada
Tidak Ada
2) Electronic Banking Non-Transaksional
Apakah terdapat produk baru atau perubahan pada Electronic Banking yang
bersifat non-transaksional?
Ada
Tidak Ada
Apakah produk baru atau perubahan Electronic Banking yang bersifat nontransaksional namun meningkatkan risiko bank sudah dilaporkan ke BI?
Sudah
Belum
37599
b.
Pelaporan untuk no.a.1 dan a.2.
Bila sudah dilaporkan, sebutkan tanggal dan nomor surat..................................
Bila belum dilaporkan, lampirkan data dan penjelasan mengenai perubahan
tersebut.**)
9.
Terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan fungsi
Audit intern TI pada Lampiran 2.1.9 ?
Ada
Tidak Ada
Bila ada, apakah perubahan tersebut sudah dilaporkan ke BI?
Sudah
Belum
Bila sudah dilaporkan, sebutkan tanggal dan nomor surat......................
Bila belum dilaporkan, lampirkan data dan penjelasan mengenai perubahan
tersebut.**)
10.
Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Penyelenggaraan TI oleh Pihak Lain pada Lampiran 2.1.10?
Ada
Tidak Ada
Bila ada, apakah perubahan tersebut sudah dilaporkan ke BI?
Sudah
Belum
Bila sudah dilaporkan, sebutkan tanggal dan nomor surat.................................
Bila belum dilaporkan, lampirkan data dan penjelasan mengenai perubahan
tersebut.**)
38600
Lampiran
2-5
Lampiran
29.5
LAPORAN KEJADIAN KRITIS, PENYALAHGUNAAN
DAN/ATAU KEJAHATAN DALAM PENYELENGGARAAN
TEKNOLOGI INFORMASI (TI)*)
Nama Bank
Alamat Kantor Pusat Bank .....
No. Telp. ...................................
Nama Pelapor
Kantor/Divisi/Bagian Pelapor
Alamat Pelapor.....
No. Telp. ...................................
Tanggal Laporan _ _ _ __ _ _ _ _ _ _ _ _ _ _ _
................................
1.
Tanggal kejadian .....................................................................................
2.
Kronologis dan evaluasi penyebab kejadian
3.
Terlampir
Tidak Terlampir
Ya
Tidak
Terdapat unsur kesengajaan
4.
Satuan kerja terkait termasuk orang yang dapat dihubungi lebih lanjut
................................................................................................................
5.
Dampak/akibat yang ditimbulkan (berilah tanda ”X” pada kotak yang sesuai)
a.
b.
Kerugian keuangan
Ya
Tidak
Ya
Tidak
Gangguan operasional
Jika jawaban ”Ya”, lampirkan bentuk gangguan operasional yang terjadi dan
contingency plan yang telah diterapkan.
c.
Tidak terjaminnya kerahasiaan dan integritas data
Ya
Tidak
Jika jawaban ”Ya”, lampirkan bentuk ancaman terhadap kerahasiaan dan
integritas data.
6.
Rencana tindak lanjut bank
Terlampir
Tidak Terlampir
*) Kejadian kritis yang dimaksud adalah kejadian yang menambah eksposure risiko secara signifikan.
Penyalahgunaan/kejahatan dalam penyelenggaraan Teknologi Informasi adalah tindakan yang mengakibatkan
timbulnya kerugian keuangan dan atau mengganggu kelancaran operasional bank.
39601
Lampiran29.6
.6
Lampiran
PERMOHONAN PERSETUJUAN ULANG PENYELENGGARAAN
DATA CENTER DAN ATAU DISASTER RECOVERY CENTER OLEH
PIHAK LAIN DI LUAR NEGERI BAGI
KANTOR CABANG BANK ASING*)
1.
Lokasi penyelenggaraan:
a.
Pusat data (Data Center)........................................................
b.
Disaster Recovery Center.......................................................
Lampirkan data nama dan alamat serta kepemilikan penyelenggara Data Center dan
atau Disaster Recovery Center.
2.
Lampirkan perjanjian antar bank dengan penyelenggara Data Center dan atau
Disaster Recovery Center di luar negeri yang telah disesuaikan dengan persyaratan
dalam Peraturan Bank Indonesia.
3.
Lampirkan gambar IT Architecture yang mencakup Data Center dan atau Disaster
Recovery Center yang diserahkan kepada pihak penyedia jasa.
4.
Lampirkan Surat Pernyataan dari Bank mengenai kesediaan Bank memberikan akses
kepada auditor intern, ekstern maupun Bank Indonesia untuk memperoleh data dan
informasi secara tepat waktu setiap kali dibutuhkan.
5.
Lampirkan :
a. Surat Pernyataan dari otoritas pengawas setempat dalam hal pihak penyedia
jasa TI merupakan cakupan pengawasan secara konsolidasi.
b.
Surat Pernyataan tidak keberatan dari otoritas pengawas setempat bila Bank
Indonesia hendak melakukan pemeriksaan penyelenggaraan pusat data
(Data Center) dan atau Disaster Recovery Center tersebut.
c. Surat Pernyataan bahwa bank secara berkala akan menyampaikan hasil
penilaian yang dilakukan kantor bank di luar negeri atas penerapan manajemen
risiko pada pihak penyedia jasa. Surat Pernyataan ini mencantumkan
periodisasi yang direncanakan.
d. Hasil penilaian oleh kantor Bank di luar negeri atas penerapan manajemen
risiko yang dilakukan oleh pihak penyedia jasa.
6.
Lampirkan rencana Bank mengenai:
a. peningkatan kualitas pelayanan kepada nasabah;
b. peningkatan kemampuan sumber daya manusia yang berkaitan dengan
penyelenggaraan TI yang digunakan oleh Bank.
*) Bank yang sebelum dikeluarkannya ketentuan ini telah melaporkan kepada dan menerima surat tidak keberatan dari
Bank Indonesia mengenai penyelenggaraan TI Bank yang diserahkan kepada pihak lain di luar negeri, wajib
mengajukan permohonan persetujuan ulang kepada Bank Indonesia.
40602
30
Lampiran 32
Surat Edaran Bank Indonesia Nomor 14/20/DPNP Tahun 2012
Perihal :
Prinsip Kehati-Hatian bagi Bank Umum yang Melakukan Penyerahan
Sebagian Pelaksanaan Pekerjaan kepada Pihak Lain
CONTOH PEKERJAAN POKOK DAN PENJELASANNYA
No.
1.
Nama/Sifat Pekerjaan
Customer Service
Deskripsi singkat
Pekerjaan
customer
service
dikategorikan
sebagai
pekerjaan
pokok
melalui
pekerjaan
karena
tersebut
terdapat interaksi
awal
antara Bank dengan nasabah atau
konsumen
perbankan
untuk
melakukan
pembukaan
rekening
simpanan atau memperoleh informasi
mengenai
produk
dan
aktivitas
tertentu Bank.
Pekerjaan
customer
berkaitan
erat
service
dengan
juga
penerapan
prinsip kehati-hatian dan manajemen
risiko Bank melalui penerapan Know
Your Customer (KYC) dan Anti Money
Laundering,
kepada
pelaksanaan
nasabah
edukasi
agar
nasabah
memiliki pemahaman yang memadai
mengenai produk atau aktivitas Bank,
pemeliharaan
nasabah
untuk
menjamin kelangsungan usaha suatu
Bank, dan perlindungan terhadap hak
dan
konsumen
terkait
kepentingan
nasabah
perbankan,
dengan
kerahasiaan
dan
khususnya
data
600
603
Lampiran 30
32
Perihal :
Prinsip Kehati-Hatian bagi Bank Umum yang Melakukan Penyerahan
Sebagian Pelaksanaan Pekerjaan kepada Pihak Lain
No.
Nama/Sifat Pekerjaan
Deskripsi singkat
nasabah. Dengan
demikian, apabila
pekerjaan tersebut tidak ada, kegiatan
Bank akan sangat terganggu atau
tidak
terlaksana
sebagaimana
mestinya.
2.
Teller
Pekerjaan teller
pekerjaan
dikategorikan sebagai
pokok
karena
tersebut
merupakan
nasabah
dan
untuk
pekerjaan
‘gerbang’
konsumen
melakukan
bagi
perbankan
penerimaan
simpanan, pencairan cek dan bilyet,
pengiriman uang, dan jasa pelayanan
perbankan lainnya. Apabila pekerjaan
tersebut tidak ada, kegiatan Bank
khususnya
yang
transaksi
terkait
dengan
tunai
maupun
keuangan
non tunai akan sangat terganggu atau
tidak
terlaksana
sebagaimana
mestinya.
3.
Pemasaran
Pekerjaan
pemasaran
pekerjaan
pokok
merupakan
apabila
tanggung
jawab yang melekat pada pekerjaan
tersebut
juga
mencakup
analisis,
judgement, dan rekomendasi untuk
pengambilan
keputusan
terkait
kegiatan pemasaran yang dilakukan.
Pekerjaan
pemasaran
atas
produk-
601
604
Lampiran 32
30
Perihal : Prinsip Kehati-Hatian bagi Bank Umum yang Melakukan Penyerahan Sebagian
Pelaksanaan Pekerjaan kepada Pihak Lain
No.
Nama/Sifat Pekerjaan
Deskripsi singkat
produk tertentu Bank wajib tunduk
pada ketentuan yang mengatur secara
spesifik
produk
contoh,
tersebut.
pemasaran
Sebagai
structured
products wajib tunjuk pada ketentuan
Bank Indonesia
mengenai
structured
products, di mana Bank Indonesia
mengatur
structured
bahwa
products
pemasaran
wajib
dilakukan
terkait
dengan
oleh pegawai tetap Bank.
4.
Perencanaan
dan
Pekerjaan
yang
Pengembangan Tekonologi
perencanaan dan
Informasi (TI)
dikategorikan
pokok
pengembangan TI
sebagai
sehingga
tidak
dialihdayakan.
pengembangan
dapat
Pengertian
perencanaan dan
adalah
pekerjaan
pengembangan TI
perencanaan
TI
yang
dan
bersifat
stratejik (strategic IT planning and
development atau IT blue print) yang
memberikan rumusan mengenai arah
pengembangan TI Bank ke depan.
602
605
Lampiran
Lampiran33
31
Surat Edaran Bank Indonesia Nomor 14/20/DPNP Tahun 2012
Perihal :
Prinsip Kehati-Hatian bagi Ba
Related documents
3.Kandungan Informasi Akuntansi
3.Kandungan Informasi Akuntansi
penilaian rubrik menulis deskripsi
penilaian rubrik menulis deskripsi
Unlicensed-62-62_7-PDF_Belajar Efektif Bahasa Indonesia
Unlicensed-62-62_7-PDF_Belajar Efektif Bahasa Indonesia
APEM pert 09
APEM pert 09
Soal Bentuk Isian - LP MA`ARIF NU CILACAP
Soal Bentuk Isian - LP MA`ARIF NU CILACAP
(Psychological Contract Structure of Banks and Credit Customers
(Psychological Contract Structure of Banks and Credit Customers
Format Tugas Desain Basis Data
Format Tugas Desain Basis Data
Risiko Reputasi
Risiko Reputasi
Morning Notes
Morning Notes
RINGKASAN INFORMASI PRODUK DATA RINGKAS Penjelasan
RINGKASAN INFORMASI PRODUK DATA RINGKAS Penjelasan
Download
advertisement