Manajemen
Manajemen Risiko
DISCLAIMER
Isi kodifikasi ini adalah himpunan peraturan Bank Indonesia yang disusun secara sistematis
berdasarkan kelompok dan topik tertentu untuk memudahkan pembaca memahami peraturan
dan menelusuri rekam jejak keberlakuan suatu peraturan Bank Indonesia. Penyusunan kodifikasi
ini telah melalui proses pemeriksaan dan editing terkait keakuratan dan kelengkapan peraturan
yang dikodifikasikan. Namun demikian mengingat bahwa peraturan Bank Indonesia dapat
berubah dari waktu ke waktu, maka setiap akses dan penggunaan atas kodifikasi ini agar
dilakukan secara bijaksana dengan memperhatikan tanggal unggah dan sumber orisinal dari
masing-masing peraturan Bank Indonesia yang dirujuk.1
1
Peraturan Bank Indonesia dapat diakses pada situs resmi Bank Indonesia http://www.bi.go.id/ atau melalui fasilitas
pencarian peraturan pada situs resmi Bank Indonesia (http://www.bi.go.id/web/id/Peraturan/Search/).
Kodifikasi Peraturan Bank Indonesia
Manajemen
Manajemen Risiko
Tim Penyusun
Ramlan Ginting
Chandra Murniadi
Dudy Iskandar
Gantiah Wuryandani
Siti Astiyah
Wahyu Yuwana Hidayat
Komala Dewi
Wirza Ayu Novriana
Anggayasti Hayu Anindita
Tresna Kholilah
Pusat Riset dan Edukasi Bank Sentral (PRES)
Bank Indonesia
Telp: 021‐ 29817321
Fax.: 021‐ 2311580
email: PRES@bi.go.id
Hak Cipta © 2013, Bank Indonesia
2013
Manajemen Manajemen Risiko
DAFTAR ISI
Paragraf Halaman
Daftar Isi Hal. i – x
Rekam Jejak Regulasi Manajemen Risiko Hal. xi
Dasar Hukum Hal. xii
Regulasi Terkait Hal. xii – xiii
Regulasi Bank Indonesia Hal. xiv
Penerapan Manajemen Risiko bagi Bank Umum
Ketentuan Umum Par. 1 Hal. 1 – 2
Ruang Lingkup Manajamen Risiko Par. 2 – 4 Hal. 2 – 5
Pengawasan Aktif Dewan Komisaris dan Direksi Par. 5 – 7 Hal. 6 – 7
Umum Par. 5 Hal. 6
Kewenangan dan Tanggungjawab Dewan Komisaris Par. 6 Hal. 6
Kewenangan dan Tanggungjawab Direksi Par. 7 Hal. 6 – 7
Kebijakan, Prosedur dan Penetapan Limit Par. 8 – 9 Hal. 7 – 9
Kebijakan Manajemen Risiko Par. 8 Hal. 7 – 8
Prosedur dan Penetapan Limit Risiko Par. 9 Hal. 8 – 9
Proses Identifikasi, Pengukuran, Pemantauan, Pengendalian dan Par. 10 – 12 Hal. 9 – 11
Sistem Informasi Manajemen Risiko
Umum Par. 10 Hal. 9
Proses Identifikasi, Pengukuran, Pemantauan dan Pengendalian Risiko Par. 11 Hal. 9 – 11
Sistem Informasi Manajemen Risiko Par. 12 Hal. 11
Sistem Pengendalian Intern Par. 13 – 15 Hal. 11 – 13
Umum Par. 13 – 14 Hal. 11 – 12
Sistem Pengendalian Intern dalam Penerapan Manajemen Risiko Par. 15 Hal. 13
Organisasi dan Fungsi Manajemen RIsiko Par. 16 – 19 Hal. 13 – 16
Umum Par. 16 Hal. 13
Komite Manajemen Risiko Par. 17 Hal. 14
Satuan Kerja Manajemen Risiko Par. 18 Hal. 14 – 16
Hubungan Satuan Kerja Operasional dengan Satuan Kerja Manajemen Par. 19 Hal. 16
Risiko
Pengelolaan Risiko Produk dan Aktivitas Baru Par. 20 – 22 Hal. 16 – 18
Pelaporan Par. 23 – 30 Hal. 18 – 24
Rencana Kegiatan (Action Plan) Penerapan Manajemen Risiko Par. 23 – 24 Hal. 18 – 19
Laporan Profil Risiko serta Laporan Produk dan Aktivitas Baru Par. 25 – 26 Hal. 19 – 21
Laporan Lain Par. 27 Hal. 21 – 23
Batas Waktu Penyampaian Laporan Par. 28 Hal. 23
Format Laporan dan Alamat Penyampaian Par. 29 – 30 Hal. 23 – 24
Lain‐Lain Par. 31 – 33 Hal. 24
Penilaian Penerapan Manajemen Risiko Par. 31 – 32 Hal. 24
Aspek Pengungkapan Kinerja dan Kebijakan Manajemen Risiko Par. 33 Hal. 24
Sanksi Par. 34 – 35 Hal. 24 – 25
i
Manajemen Manajemen Risiko
ii
Manajemen Manajemen Risiko
Efek Reksa Dana dan/atau Bank Kustodian
Alamat Penyampaian Laporan Par. 113 Hal. 55
Lain‐Lain Par. 114 Hal. 55
Sanksi Par. 115 – 116 Hal. 56
Manajemen Risiko pada Bank yang Melakukan Aktivitas
Kerjasama dengan Perusahaan Asuransi (Bancassurance)
Umum Par. 117 Hal. 56 – 58
Penerapan Manajemen Risiko dalam Rangka Bancassurance Par. 118 – 125 Hal. 59 – 65
Umum Par. 118 Hal. 59
Penerapan Manajemen Risiko dalam Beberapa Aspek Utama Par. 119 – 122 Hal. 59 – 62
pada Bancassurance
Penetapan Perusahaan Asuransi yang Menjadi Mitra Bank Par. 119 Hal. 59
Penyusunan Perjanjian Kerjasama Par. 120 Hal. 59 – 60
Penggunaan Data Nasabah Par. 121 Hal. 60
Penerapan Prinsip Perlindungan Nasabah Par. 122 Hal. 61 – 62
Penerapan Manajemen Risiko pada Setiap Model Bisnis Par. 122 – 125 Hal. 62 – 65
Bancassurance
Referensi Par. 123 Hal. 62
Kerjasama Distribusi Par. 124 Hal. 63 – 64
Integrasi Produk Par. 125 Hal. 64 – 65
Pelaporan Par. 126 – 138 Hal. 65 – 68
Laporan Aktivitas Baru Bancassurance Par. 132 – 132 Hal. 65 – 67
Laporan Berkala Bancassurance Par. 133 – 135 Hal. 67
Penyampaian Laporan Par. 136 – 138 Hal. 67 – 68
Tata Cara Pengenaan Sanksi Par. 139 – 140 Hal. 68
Penerapan strategi Anti Fraud bagi bank Umum
Umum Par. 141 Hal. 68 – 69
Penerapan Manajemen Risiko Par. 142 Hal. 69 – 70
Strategi Anti Fraud Par. 143 Hal. 70
Pelaporan dan Sanksi Par. 144 – 145 Hal. 70 – 71
Penerapan Manajemen Risiko pada Bank Umum yang
Melakukan Layanan Nasabah Prima
Umum Par. 146 Hal. 71 – 72
Penerapan Manajemen Risiko Par. 147 Hal. 72 – 73
Lain‐Lain Par. 148 Hal. 74
Sanksi Par. 149 – 150 Hal. 75
Penerapan Manajemen Risiko Secara Konsolidasi Bagi Bank
yang Melakukan Pengendalian Terhadap Perusahaan Anak
Ketentuan Umum Par. 151 – 154 Hal. 75 – 78
Sistem dan Informasi Pelaporan Par. 155 Hal. 78 – 79
Perhitungan KPMM Par. 156 – 157 Hal. 79 – 84
Penilaian Kualitas Aktiva Par. 158 Hal. 84 – 85
Perhitungan BMPK Par. 159 – 160 Hal. 85 – 86
iii
Manajemen Manajemen Risiko
iv
Manajemen Manajemen Risiko
v
Manajemen Manajemen Risiko
Pengaturan LTV atau FTV Pada Kredit atau Pembiayaan Par. 258 Hal. 157 – 162
Pemilikan Properti dan Kredit atau Pembiayaan Konsumsi
Beragun Properti
Pengaturan Down Payment Pada Kredit atau Pembiayaan Par. 259 Hal. 162
Kendaraan Bermotor
Tata Cara Pengenaan Sanksi Par. 260 Hal. 162 – 164
Ketentuan Lain‐Lain Par. 261 Hal. 164
Ketentuan Peralihan Par. 262 Hal. 164
Lampiran Hal. 165 – 630
Lampiran 1 : Pedoman Standar Penerapan Manajemen Risiko Hal. 166 – 275
bagi Bank Umum
Pedoman Penerapan Manajemen Risiko Secara Umum Hal. 166 – 191
Pengawasan Aktif Dewan Komisaris dan Direksi Hal. 166 – 175
Kewenangan dan Tanggung Jawab Dewan Komisaris dan Direksi Hal. 167 – 169
Sumber Daya Manusia (SDM) Hal. 169 – 170
Organisasi Manajemen Risiko Hal. 170 – 175
Kebijakan, Prosedur, dan Penetapan Limit Hal. 175 – 181
Strategi Manajemen Risiko Hal. 175 – 176
Tingkat Risiko yang Akan Diambil (Risk Appetite) dan Toleransi Hal. 177
Risiko (Risk Appetite)
Kebijakan dan Prosedur Hal. 177 – 180
Limit Hal. 180 – 181
Proses Identifikasi, Pengukuran, Pemantauan, dan Pengendalian Hal. 181 – 188
Risiko serta Sistem Informasi Manajemen Risiko
Identifikasi Risiko Hal. 182
Pengukuran Risiko Hal. 182 – 185
Pemantauan Risiko Hal. 185 – 186
Pengendalian Risiko Hal. 186
Sistem Informasi Manajemen Risiko Hal. 186 – 188
Sistem Pengendalian Intern Hal. 188 – 191
Pedoman Penerapan Manajemen Risiko untuk Masing‐Masing Risiko Hal. 191 – 274
Risiko Kredit Hal. 191 – 206
Risiko Pasar Hal. 207 – 218
Risiko Likuiditas Hal. 218 – 236
Risiko Operasional Hal. 236 – 247
Risiko Hukum Hal. 247 – 252
Risiko Stratejik Hal. 253 – 261
Risiko Kepatuhan Hal. 261 – 268
Risiko Reputasi Hal. 268 – 274
Pedoman Penilaian Profil Risiko Hal. 275
Lampiran 2 : Struktur Organisasi Manajemen Risiko Hal. 276 – 280
Pedoman Umum Hal. 277
Struktur Organisasi Manajemen Risiko Hal. 277 – 280
Format 1 Hal. 277
Format 2 Hal. 278
Format 3 Hal. 279
vi
Manajemen Manajemen Risiko
Format 4 Hal. 280
Lampiran 3 : Laporan Rencana Kegiatan (Action Plan) Hal. 277 – 285
Uraian Umum Rencana Kegiatan Hal. 282
Uraian Rinci Kegiatan Hal. 283
Petunjuk Penyusunan Laporan Rencana Kegiatan Hal. 284 – 285
Lampiran 4 : Laporan Realisasi Kegiatan (Progress Report) Hal. 286 – 291
Informasi Umum Hal. 287
Uraian Status dan TIndak Lanjut yang DIlakukan Hal. 288
Uraian RInci Mengenai Status dan Tindak Lanjut yang Dilakukan Hal. 289 – 291
Lampiran 5 : Laporan Profil Risiko Hal. 292 – 294
Lampiran 6 : Analisis Risiko Hal. 295 – 297
Lampiran 7 : Laporan Profil Maturitas Hal. 298 – 314
Rupiah Hal. 299 – 301
Valuta Asing Hal. 301 – 304
Pedoman Pengisian Laporan Profil Maturitas Hal. 305 – 314
Lampiran 8 : Pedoman Standar Sistem Pengendalian Intern bagi Hal. 315 – 336
Bank Umum
Latar Belakang Hal. 316 – 320
Ruang Lingkup Sistem Pengendalian Intern Bank Hal. 317 – 318
Pengertian dan Tujuan Sistem Pengendalian Intern Bank Hal. 317 – 318
Pihak‐Pihak yang Berkepentingan dengan Sistem Pengendalian Intern Hal. 318 – 319
Bank
Faktor Pertimbangan dalam Penyusunan Sistem Pengendalian Intern Hal. 319 – 320
Bank
Lingkungan Pengendalian Hal. 320
Elemen Utama Sistem Pengendalian Intern Bank Hal. 320 – 336
Pengawasan oleh Manajemen dan Budaya Pengendalian Hal. 321 – 324
Identifikasi dan Penilaian Risiko Hal. 324 – 325
Kegiatan Pengendalian dan Pemisahan Fungsi Hal. 325 – 329
Sistem Akuntansi, Informasi dan Komunikasi Hal. 329 – 333
Kegiatan Pemantauan dan Tindakan Koreksi Penyimpangan Hal. 333 – 335
Lain‐Lain Hal. 335 – 336
Lampiran 9 : Pedoman Penerapan Manajemen Risiko pada Hal. 337 – 353
Aktivitas Pelayanan Jasa Bank melalui Internet (Internet
Banking)
Pendahuluan Hal. 338 – 339
Pokok‐Pokok Penerapan Manajemen Risiko Internet Banking Hal. 312 – 326
Pengawasan Aktif Komisaris dan Direksi Bank Hal. 339 – 342
Pengendalian Pengamanan Hal. 342 – 346
Manajemen Risiko Hukum dan Risiko Reputasi Hal. 346 – 353
Lampiran 10 : Laporan Aktivitas Baru yang Berupa Agen Penjual Hal. 354 – 355
Efek Reksa Dana atau Bank Kustodian
Lampiran 11 : Laporan Rencana Menjadi Agen Penjual Efek Hal. 356 – 357
Reksa Dana
Lampiran 12 : Laporan Rencana Penjualan Efek Reksa Dana Hal. 358 – 359
Lampiran 13 : Laporan Reksadana (Bank sebagai Agen Penjual Hal. 360 – 361
Efek Reksadana)
vii
Manajemen Manajemen Risiko
viii
Manajemen Manajemen Risiko
ix
Manajemen Manajemen Risiko
x
Manajemen Manajemen Risiko
Rekam Jejak Regulasi Penerapan Manajemen Risiko
SE 15/40/DKMP 2013
Penerapan Manajemen Risiko pada Bank
yang Melakukan Pemberian Kredit atau
Pembiayaan Pemilikan Properti, Kredit atau
Pembiayaan Konsumsi Beragun Properti
dan Kredit atau Pembiayaan Kendaraan
Bermotor
SE 15/6/DPNP 2013
Kegiatan Usaha Bank Umum Berdasarkan
Modal Inti
SE 14/10/DPNP 2012
Penerapan Manajemen Risiko pada Bank
yang Melakukan Pemberian KPR dan KKB
SE 13/29/DPNP 2011 SE 14/20/DPNP 2012
SE 14/33/DPBs 2012 Penerapan Manajemen Risiko pada Bank
Penerapan KPPPR dan yang Melakukan Layanan Nasabah Prima
pembiayaan KKB BUS 13/25/PBI/2011
dan UUS SE 13/28/DPNP 2011 Prinsip Kehati‐hatian bagi Bank Umum
Penerapan Strategi Anti Fraud bagi Bank yang Melaksanakan Penyerahan ‐ 13/19/PBI/2011 Perubahan 8/12/PBI/
Tidak berlaku Umum Sebagian Pelaksanaan Pekerjaan Kpd 2006 tentang Laporan Berkala Bank
13/23/PBI/2011 bagi BUS dan Pihak Lain Umum
Penerapan Manajemen Risiko bagi UUS SE 13/23/DPNP 2011 ‐ 10/3/PBI/2008 Laporan Kantor Pusat
Bank Umum Syariah dan Unit Usaha Angka 3, 4 Perubahan atas SE 5/21/DPNP 2003 perihal ‐ Undang‐Undang Nomor 13 tahun 2003 tentang Ketenagakerjaan Bank Umum
Syariah dan 9, Manajemen Risiko bagi Bank Umum ‐ 14/15/PBI/2012 Penilaian Kualitas Aset Bank Umum
Lampiran 1, ‐ 14/2/PBI/2012 Perubahan atas 11/11/PBI/2009 tentang Penyelenggaraan
5, 6, dan 7 SE 12/35/DPNP 2010 Kegiatan APMK
Penerapan Manajemen Risiko pada Bank ‐ 11/25/PBI/2009 Perubahan atas 5/8/PBI/2003 tentang Penerapan ‐ 11/28/PBI/2009 Penerapan Program
Tidak Manajemen Risiko Bagi Bank Umum Anti Pencucian Uang dan Pencegahan
yang Melakukan Aktivitas Kerjasama ‐ 9/15/PBI/2007 Penetapan Manajemen RIsiko Dalam Penggunaan Teknologi
berlaku Pendanaan Terorisme bagi Bank Umum
‐ 13/19/PBI/2011 Perubahan 8/12/ Pemasaran dengan Perusahaan Asuransi Informasi Oleh Bank Umum
bagi BUS ‐ 11/2/PBI/2009 Penilaian Kualitas Aktiva
PBI/2006 tentang Laporan Berkala (Banassuance) ‐ 8/14/PBI/2006 tentang Perubahan atas 8/4/PBI/2006 tentang Pelaksanaan
dan UUS ‐ 10/15/PBI/2008 Kewajiban Penyediaan
Bank Umum Good Corporate Governance bagi Bank Umum
‐ 11/28/PBI/2009 Program Anti Angka IV, VI,
SE 11/36/DPNP 2009 ‐ 7/6/PBI/2005 tentang Transparansi Informasi Produk Bank dan Penggunaan
Modal Minimum Bank Umum
Perubahan 7/19/DPNP 2005 tentang ‐ 10/3/PBI/2008 Laporan Kantor Pusat
Pencucian Uang dan Pencegahan dan VIA Data Pribadi Nasabah
Penerapan Manajemen Risiko pada Bank Bank Umum
Pendanaan Terorisme
‐ 8/13/PBI/2006 Perubahan atas 7/3/
‐ 10/3/PBI/2008 Laporan Kantor Pusat yang melakukan Aktivitas Berkaitan dengan Angka 10 PBI/2005 tentang Batas Maksimum
Bank Umum Reksadana Lampiran 1 Bab
IV, angka 4 dan 5 ‐ 11/28/PBI/2009 Program ‐ SE 13/6DPNP/2011 Pedoman Perhitungan Pemberian Kredit Bank Umum
‐ 7/50/PBI/2005 Perubahan 3/22/PBI/
SE 11/35/DPNP 2009 Lampiran 7 Anti Pencucian Uang dan Aset Tertimbang Menurut Risiko untuk Risiko ‐ 7/6/PBI/2005 Transaparansi Informasi
2001 tentang Transparansi Kondisi
Pelaporan Produk dan Aktivitas Baru Pencegahan Pendanaan Kredit dengan Menggunakan Pendekatan Standar Produk dan Penggunaan Data Pribadi
Keuangan Bank
Terorisme ‐ SE 12/38/DPNP/2010 Pedoman Penyusunan Nasabah
SE 11/16/DPNP 2009 ‐ 7/6/PBI/2005 Transaparansi Standard Operating Procedure Administrasi ‐ 5/10/PBI/2003 Prinsip Kehati‐hatian
Penerapan Manajemen Risiko untuk Risiko Informasi Produk Bank dan Kredit Pemilikan Rumah dalam Rangka dalam Kegiatan Penyertaan Modal
Likuiditas Penggunaan Data Pribadi Sekuritisasi
‐ 11/28/PBI/2009 Program Anti Nasabah ‐ 27/162/KEP/DIR/1995 Kewajiban Penyusunan
Pencucian Uang dan Pencegahan Pasal 1, 2, 4, 8, 20, ‐ 10/17/PBI/2008 Produk Bank dan Pelaksanaan Kebijaksanaan Perkreditan Bank
Pendanaan Terorisme 20A, 21, 24, 25, 26, Syariah dan Unit Usaha Syariah Bagi Bank Umum
‐ 10/3/PBI/2008 Laporan Kantor Pusat 29, 33, 34, 35, 35A 11/25/PBI/2009
Bank Umum Perubahan PBI No.5/8/PBI/2003
‐ 8/13/PBI/2006 Perubahan atas 7/3/ Tentang Penerapan Manajemen SE 9/30/DPNP 2007
Risiko Bank Umum ‐ 14/2/PBI/2012 Perubahan
PBI/2005 tentang Batas Maksimum Penerapan Manajemen Risiko
atas 11/11/PBI/2009 tentang ‐ 14/8/DPNP/2012 Perubahan kedua atas
Pemberian Kredit Bank Umum dalam Penggunaan Teknologi
Penyelenggaraan Kegiatan SE 8/15/DPNP/2005 perihal Laporan
‐ 7/6/PBI/2005 Transaparansi Informasi oleh Bank Umum
APMK Berkala Bank Umum
Informasi Produk Bank dan
‐ 7/6/PBI/2005 Transparansi ‐ 13/3/PBI/2011 Penetapan Status dan
Penggunaan Data Pribadi Nasabah
Informasi Produk Bank dan Tindak Lanjut Pengawasan Bank
9/15/PBI/2007 Data Pribadi Nasabah ‐ 13/1/PBI/2011 Penilaian Tingkat
Penerapan Manajemen Risiko
Kesehatan Bank Umum
Lampiran III.3 Dalam Penggunaan Teknologi
Tidak ‐ 11/2/PBI/2009 Perubahan Ketiga 7/2/
Informasi oleh Bank Umum
berlaku PBI/2005 tentang Penilaian Kualitas
bagi Bank Aktiva
Umum ‐ 10/15/PBI/2008 Kewajiban Penyediaan
11/28/PBI/2009 Program Anti Modal Minimum Bank Umum
Pencucian Uang dan Pencegahan SE 8/27/DPNP 2006 ‐ 8/13/PBI/2006 Perubahan atas 7/3/
Pendanaan Terorisme Prinsip Kehati‐hatian dan Laporan dalam PBI/2005 tentang Batas Maksimum
SE 7/19/DPNP 2005 rangka Penerapan Manajemen Risiko Pemberian Kredit Bank Umum
Penerapan Manajemen Risiko pada secara Konsolidasi bagi Bank yang ‐ 7/50/PBI/2005 Perubahan atas
Bank yang melakukan Aktivitas Melakukan Pengendalian terhadap Peraturan Bank Indonesia Nomor 3/22/
Berkaitan dengan Reksadana Perusahaan Anak PBI/2001 tentang Transparansi Kondisi
SE 6/18/DPNP 2004 Keuangan Bank
‐ 13/19/PBI/2011 Perubahan 8/12/ Penerapan Manajemen Risiko pada ‐ 5/10/PBI/2003 Prinsip Kehati‐hatian
PBI/2006 tentang Laporan Berkala Aktivitas Pelayananan jasa Bank 8/6/PBI/2006
dalam Kegiatan Penyertaan Modal
Bank Umum Melalui Internet (Internet Banking) Penerapan Manajemen Risiko 8/4/PBI/2006 ‐ SE 14/5/DSM/2012 Perubahan kedua
‐ 13/1/PBI/2011 Penilaian Tingkat Secara Konsolidasi Bagi Bank yang Pelaksanaan Good Corporate
SE 6/43/DPNP 2004 atas SE 11/2DSM/2009 perihal Laporan
Kesehatan Bank Umum Penerapan Manajemen Risiko pada Melakukan Pengendalian Terhadap Governance Bagi Bank Umum
Bulanan Bank Umum
‐ 11/28/PBI/2009 Program Anti Bank yang Melakukan Aktivitas Perusahaan Anak
Pencucian Uang dan Pencegahan Kerjasama Pemasaran dengan
Perusahaan Asuransi (Banassuance)
Pendanaan Terorisme Keterangan :
‐ 10/3/PBI/2008 Laporan Kantor Pusat SE 5/22/DPNP 2003
Bank Umum Pedoman Standar Sistem Pengendalian Diubah
Intern bagi Bank Umum
‐ 7/50/PBI/2005 Perubahan 3/22/PBI/ Dicabut
2001 tentang Transparansi Kondisi SE 5/21/DPNP 2003
Keuangan Bank Penerapan Manajemen Risiko bagi Pasal 6 huruf c Terkait
‐ 7/6/PBI/2005 Transaparansi Bank Umum
Informasi Produk Bank dan PBI/ KEP DIR Masih
Penggunaan Data Pribadi Nasabah Berlaku
5/8/PBI/2003 SE 31/18/UPPB 1998
Penerapan Manajemen PBI/ KEP DIR Tidak
Risiko bagi Bank Umum Berlaku
31/179/KEP/DIR SE Masih Berlaku
Pemantauan Likuiditas
Bank Umum SE Tidak Berlaku
Regulasi Terkait
xi
Manajemen Manajemen Risiko
Dasar Hukum :
‐ Undang‐Undang Nomor 6 Tahun 2009 tentang Penetapan Perubahan Kedua atas Peraturan
Pemerintah Pengganti Undang‐Undang Nomor 2 Tahun 2008 tentang Perubahan Undang‐Undang
Nomor 23 Tahun 1999 tentang Bank Indonesia
‐ Undang‐Undang Nomor 21 Tahun 2008 tentang Perbankan Syariah
‐ Peraturan Pemerintah Pengganti Undang‐Undang Nomor 2 Tahun 2008 tentang Perubahan atas
Undang‐Undang Nomor 23 Tahun 1999 tentang Bank Indonesia
‐ Undang‐Undang Nomor 23 Tahun 1999 tentang Bank Indonesia sebagaimana telah diubah terakhir
dengan Undang‐Undang Nomor 6 Tahun 2009
‐ Undang‐Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang‐
Undang Nomor 10 Tahun 1998
Regulasi Terkait :
‐ Undang‐Undang Nomor 40 Tahun 2007 tentang Perseroan Terbatas
‐ Undang‐Undang Nomor 5 Tahun 1962 tentang Perusahaan Daerah
‐ Undang‐Undang Nomor 25 Tahun 1992 tentang Perkoperasian
‐ Undang‐undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen
‐ Peraturan Bank Indonesia Nomor 14/2/PBI/2012 Perubahan atas Peraturan Bank Indonesia Nomor
11/11/PBI/2009 tentang Penyelenggaraan Kegiatan Alat Pembayaran dengan Menggunakan Kartu
‐ Peraturan Bank Indonesia Nomor 13/19/PBI/2011 Perubahan atas Peraturan Bank Indonesia Nomor
8/12/PBI/2006 tentang Laporan Berkala Bank Umum
‐ Peraturan Bank Indonesia Nomor 13/3/PBI/2011 tentang Penetapan Status dan Tindak Lanjut
Pengawasan Bank
‐ Peraturan Bank Indonesia Nomor 13/1/PBI/2011 tentang Penilaian Tingkat Kesehatan Bank Umum
‐ Peraturan Bank Indonesia Nomor 12/2/PBI/2010 Perubahan Kedua atas Peraturan Bank Indonesia
Nomor 10/40/PBI/2008 tentang Laporan Bulanan Bank Umum
‐ Peraturan Bank Indonesia Nomor 11/28/PBI/2009 tentang Penerapan Program Anti Pencucian Uang
dan Pencegahan Pendanaan Terorisme bagi Bank Umum
‐ Peraturan Bank Indonesia Nomor 11/2/PBI/2009 Perubahan Ketiga atas Peraturan Bank Indonesia
Nomor 7/2/PBI/2005 tentang Penilaian Kualitas Aktiva Bank Umum
‐ Peraturan Bank Indonesia Nomor 10/17/PBI/2008 tentang Produk Bank Syariah dan Unit Usaha Syariah
‐ Peraturan Bank Indonesia Nomor 10/15/PBI/2008 tentang Kewajiban Penyediaan Modal Minimum
Bank Umum
‐ Peraturan Bank Indonesia Nomor 10/3/PBI/2008 tentang Laporan Kantor Pusat Bank Umum
‐ Peraturan Bank Indonesia Nomor 8/13/PBI/2006 Perubahan atas Peraturan Bank Indonesia Nomor
7/3/PBI/2005 tentang Batas Maksimum Pemberian Kredit Bank Umum
‐ Peraturan Bank Indonesia Nomor 7/50/PBI/2005 tentang Perubahan atas Peraturan Bank Indonesia
Nomor 3/22/PBI/2001 tentang Transparansi Kondisi Keuangan Bank
‐ Peraturan Bank Indonesia Nomor 7/6/PBI/2005 tentang Transparansi Informasi Produk Bank dan
Penggunaan Data Pribadi Nasabah
‐ Peraturan Bank Indonesia Nomor 5/10/PBI/2003 tentang Prinsip Kehati‐hatian dalam Kegiatan
Penyertaan Modal
‐ Surat Edaran Bank Indonesia Nomor 14/21/DPNP 2012 Perubahan atas Surat Edaran Bank Indonesia
Nomor 9/33/DPNP 2007 perihal Pedoman Penggunaan Metode Standar dalam Perhitungan Kewajiban
Penyediaan Modal Minimum Bank Umum dengan Memperhitungkan Risiko Pasar
‐ Surat Edaran Bank Indonesia Nomor 14/8/DPNP 2012 Perubahan Kedua atas Surat Edaran Bank
Indonesia Nomor 8/15/DPNP 2006 perihal Laporan Berkala Bank Umum
‐ Surat Edaran Bank Indonesia Nomor 14/5/DSM 2012 Perubahan Kedua atas Surat Edaran Bank
Indonesia Nomor 11/2/DSM 2009 perihal Laporan Bulanan Bank Umum
‐ Surat Edaran Bank Indonesia Nomor 13/31/DPNP 2011 perihal Lembaga Pemeringkat dan Peringkat
yang Diakui Bank Indonesia
xii
Manajemen Manajemen Risiko
‐ Surat Edaran Bank Indonesia Nomor 13/30/DPNP 2011 Perubahan Ketiga atas Surat Edaran Bank
Indonesia Nomor 3/30/DPNP 2001 perihal Laporan Keuangan Publikasi Triwulanan dan Bulanan Bank
Umum serta Laporan Tertentu yang Disampaikan kepada Bank Indonesia
‐ Surat Edaran Bank Indonesia Nomor 13/24/DPNP 2011 perihal Penilaian Tingkat Kesehatan Bank
Umum
‐ Surat Edaran Bank Indonesia Nomor 13/6/DPNP 2011 perihal Pedoman Perhitungan Aset Tertimbang
Menurut Risiko untuk Risiko Kredit dengan Menggunakan Pendekatan Standar
‐ Surat Edaran Bank Indonesia Nomor 13/5/DPNP 2011 perihal Transparansi Informasi Suku Bunga Dasar
Kredit
‐ Surat Edaran Bank Indonesia Nomor 13/2/DPbS 2011 perihal Tindak lanjut Penanganan terhadap Bank
Pembiayaan Syariah dalam Status Pengawasan Khusus
‐ Surat Edaran Bank Indonesia Nomor 12/38/DPNP 2010 perihal Pedoman Penyusunan Standard
Operating Procedure Administrasi Kredit Pemilikan Rumah dalam Rangka Sekuritisasi
‐ Surat Edaran Bank Indonesia Nomor 12/11/DPNP 2010 Perubahan Kedua atas Surat Edaran Bank
Indonesia Nomor 3/30/DPNP 2001 perihal Laporan Keuangan Publikasi Triwulanan dan Bulanan Bank
Umum serta Laporan Tertentu yang Disampaikan kepada Bank Indonesia
‐ Surat Edaran Bank Indonesia Nomor 11/31/DPNP 2009 perihal Pedoman Standar Penerapan Program
Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme bagi Bank Umum
‐ Surat Edaran Bank Indonesia Nomor 11/10/DASP 2009 perihal Penyelenggaraan Kegiatan Alat
Pembayaran dengan Menggunakan Kartu
‐ Surat Edaran Bank Indonesia Nomor 11/3/DPNP 2009 perihal Perhitungan Aset Tertimbang Menurut
Risiko (ATMR) untuk Risiko Operasional dengan Menggunakan Pendekatan Indikator Dasar (PID)
‐ Surat Edaran Bank Indonesia Nomor 10/31/DPbS 2008 perihal Produk Bank Syariah dan Unit Usaha
Syariah
‐ Surat Edaran Bank Indonesia Nomor 10/3/UKMI 2008 perihal Laporan Kantor Pusat Bank Umum
‐ Surat Edaran Bank Indonesia Nomor 9/33/DPNP 2007 perihal Pedoman Penggunaan Metode Standar
dalam perhitungan Kewajiban Penyediaan Modal Minimum Bank Umum dengan Memperhitungkan
Risiko Pasar
‐ Surat Edaran Bank Indonesia Nomor 9/31/DPNP 2007 perihal Pedoman Penggunaan Model internal
dalam perhitungan Kewajiban Penyediaan Modal Minimum Bank Umum dengan Memperhitungkan
Risiko Pasar
‐ Surat Edaran Bank Indonesia Nomor 8/16/DPbS 2006 perihal Laporan Berkala Bank Umum
‐ Surat Edaran Bank Indonesia Nomor 8/15/DPNP 2006 perihal Laporan Berkala Bank Umum
‐ Surat Edaran Bank Indonesia Nomor 7/57/DPbS 2005 perihal Hubungan Antara Bank yang
Melaksanakan Kegiatan Usaha Berdasarkan Prinsip Syariah, Kantor Akuntan Publik, Akuntan Publik,
Dewan Pengawas Syariah dan Bank Indonesia
‐ Surat Edaran Bank Indonesia Nomor 7/56/DPbS 2005 perihal Laporan Tahunan, Laporan Keuangan
Publikasi Triwulanan dan Bulanan Serta Laporan Tertentu dari Bank yang Disampaikan Kepada Bank
Indonesia
‐ Surat Edaran Bank Indonesia Nomor 7/48/DPNP 2005 perihal Jumlah Modal Inti Minimum Bank Umum
‐ Surat Edaran Bank Indonesia Nomor 7/25/DPNP 2005 perihal Transparansi Informasi Produk Bank dan
Penggunaan Data Pribadi Nasabah
‐ Surat Edaran Bank Indonesia Nomor 7/14/DPNP 2005 perihal Batas Maksimum Pemberian Kredit Bank
Umum
‐ Surat Edaran Bank Indonesia Nomor 7/3/DPNP 2005 perihal Penilaian Kualitas Aktiva Bank Umum
‐ Surat Edaran Bank Indonesia Nomor 5/26/BPS 2003 perihal Pelaksanaan Pedoman Akutansi Perbankan
Syariah Indonesia
‐ Surat Edaran Bank Indonesia Nomor 3/30/DPNP 2001 perihal Laporan Keuangan Publikasi Triwulanan
dan Bulanan Bank Umum serta Laporan Tertentu yang Disampaikan kepada Bank Indonesia
‐ Surat Keputusan Direksi Bank Indonesia No.27/164/KEP/DIR/1995 tentang Penggunaan Teknologi
Sistem Informasi oleh Bank
xiii
Manajemen Manajemen Risiko
‐ Surat Keputusan Direksi Bank Indonesia Nomor 27/162/KEP/DIR/1995 tentang Kewajiban Penyusunan
dan Pelaksanaan Kebijaksanaan Perkreditan Bank bagi Bank Umum
Regulasi Bank Indonesia :
‐ Peraturan Bank Indonesia Nomor 13/25/PBI/2011 tentang Prinsip Kehati‐hatian bagi Bank Umum yang
Melakukan Sebagian Pelaksanaan Pekerjaan Kepada Pihak Lain
‐ Peraturan Bank Indonesia Nomor 13/23/PBI/2011 tentang Penerapan Manajemen Risiko bagi bank
Umum Syariah dan Unit Usaha Syariah
‐ Peraturan Bank Indonesia Nomor 11/25/PBI/2009 Perubahan atas Peraturan Bank Indonesia Nomor
5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum
‐ Peraturan Bank Indonesia Nomor 9/15/PBI/2007 tentang Penerapan Manajemen RIsiko dalam
Penggunaan Teknologi Informasi oleh Bank Umum
‐ Peraturan Bank Indonesia Nomor 8/6/PBI/2006 tentang Penerapan Manajemen Risiko Secara
Konsolidasi bagi bank yang Melakukan Pengendalian terhadap Perusahaan Anak
‐ Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bank Umum
‐ Surat Edaran Bank Indonesia Nomor 15/40/DKMP 2013 perihal Penerapan Manajemen RIsiko pada
Bank yang Melakukan Pemberian Kredit atau Pembiayaan Pemilikan Properti, Kredit atau Pembiayaan
Konsumsi Beragun Properti, dan Kredit atau Pembiayaan Kendaraan Bermotor
‐ Surat Edaran Bank Indonesia Nomor 14/20/DPNP 2012 perihal Prinsip Kehati‐hatian bagi Bank Umum
yang Melakukan Sebagian Pelaksanaan Pekerjaan Kepada Pihak Lain
‐ Surat Edaran Bank Indonesia Nomor 13/29/DPNP 2011 perihal Penerapan Manajemen Risiko pada
Bank Umum yang Melakukan Layanan Nasabah Prima
‐ Surat Edaran Bank Indonesia Nomor 13/28/DPNP 2011 perihal Penerapan Strategi Anti Fraud bagi Bank
Umum
‐ Surat Edaran Bank Indonesia Nomor 13/23/DPNP 2011 Perubahan atas Surat Edaran Bank Indonesia
Nomor 5/21/DPNP 2003 perihal Penerapan Manajemen Risiko bagi Bank Umum
‐ Surat Edaran Bank Indonesia Nomor 12/35/DPNP 2010 perihal Penerapan Manajemen Risiko pada
Bank yang Melakukan Aktivitas Kerjasama Penawaran dengan Perusahaan Asuransi (Bancassurance)
‐ Surat Edaran Bank Indonesia Nomor 11/36/DPNP 2009 Perubahan atas Surat Edaran Bank Indonesia
Nomor 7/19/DPNP 2005 perihal Penerapan Manajemen Risiko pada Bank yang Melakukan Aktivitas
Berkaitan dengan Reksa Dana
‐ Surat Edaran Bank Indonesia Nomor 11/16/DPNP 2009 perihal Penerapan Manajemen Risiko untuk
Risiko Likuiditas
‐ Surat Edaran Bank Indonesia Nomor 9/30/DPNP 2007 perihal Penerapan Manajemen RIsiko dalam
Penggunaan Teknologi Informasi oleh Bank Umum
‐ Surat Edaran Bank Indonesia Nomor 8/27/DPNP 2006 perihal Prinsip Kehati‐hatian dan laporan dalam
rangka Penerapan Manajemen Risiko secara Konsolidasi bagi Bank yang Melakukan Pengendalian
terhadap Perusahaan Anak
‐ Surat Edaran Bank Indonesia Nomor 7/19/DPNP 2005 perihal Penerapan Manajemen Risiko pada Bank
yang Melakukan Aktivitas Berkaitan dengan Reksa Dana
‐ Surat Edaran Bank Indonesia Nomor 6/18/DPNP 2004 perihal Penerapan Manajemen RIsiko pada
Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking)
‐ Surat Edaran Bank Indonesia Nomor 5/22/DPNP 2003 perihal Pedoman Standar Sistem Pengendalian
Intern bagi Bank Umum
‐ Surat Edaran Bank Indonesia Nomor 5/21/DPNP 2003 perihal Penerapan Manajemen Risiko bagi bank
Umum
xiv
Manajemen Manajemen Risiko
1
Manajemen Manajemen Risiko
2
Manajemen Manajemen Risiko
3
Manajemen Manajemen Risiko
4
Manajemen Manajemen Risiko
5
Manajemen Manajemen Risiko
6
Manajemen Manajemen Risiko
7
Manajemen Manajemen Risiko
8
Manajemen Manajemen Risiko
a. karakteristik Risiko yang melekat pada Bank; dan
b. Risiko dari produk dan kegiatan usaha Bank,
9
Manajemen Manajemen Risiko
10
Manajemen Manajemen Risiko
11
Manajemen Manajemen Risiko
12
Manajemen Manajemen Risiko
SE 5/21/DPNP (2) Dalam rangka menerapkan manajemen risiko, Bank wajib membentuk
2003 Komite Manajemen Risiko dan Satuan Kerja Manajemen Risiko, sesuai
Butir 5 dengan ukuran dan kompleksitas usaha Bank. Struktur Organisasi
Manajemen Risiko pada Bank Umum dapat mengacu pada Lampiran 2
Surat Edaran Bank Indonesia ini (Lampiran 2 dalam kodifikasi ini).
13
Manajemen Manajemen Risiko
b. pejabat eksekutif terkait.
Pejabat eksekutif adalah pejabat Bank satu tingkat di bawah Direksi
yang memimpin satuan kerja operasional dan satuan kerja
Manajemen Risiko. Keanggotaan pejabat eksekutif dalam Komite
Manajemen Risiko disesuaikan dengan permasalahan dan kebutuhan
Bank.
(2) Wewenang dan tanggung jawab komite Manajemen Risiko
sebagaimana dimaksud dalam ayat (1) adalah memberikan
rekomendasi kepada Direktur Utama, yang sekurang‐kurangnya
meliputi:
a. penyusunan kebijakan, strategi dan pedoman penerapan
Manajemen Risiko;
b. perbaikan atau penyempurnaan pelaksanaan Manajemen Risiko
berdasarkan hasil evaluasi pelaksanaan dimaksud;
c. penetapan (justification) hal‐hal yang terkait dengan keputusan
bisnis yang menyimpang dari prosedur normal (irregularities).
Termasuk dalam keputusan bisnis yang menyimpang dari prosedur
normal antara lain pelampauan ekspansi usaha yang signifikan
dibandingkan rencana bisnis Bank dan pengambilan posisi/eksposur
Risiko yang menyimpang dari limit yang telah ditetapkan.
Bagian Ketiga Satuan Kerja Manajemen Risiko
18 Pasal 18 (1) Struktur organisasi satuan kerja Manajemen Risiko Bank sebagaimana
5/8/PBI/2003 dimaksud dalam Pasal 16 huruf b (Paragraf 16 huruf b dalam kodifikasi
ini) disesuaikan dengan ukuran dan kompleksitas usaha Bank serta
Risiko yang melekat pada Bank.
Pengaturan ini dimaksudkan agar Bank dapat menentukan struktur
organisasi yang tepat dan sesuai dengan kondisi Bank, termasuk
kemampuan keuangan dan sumberdaya manusia.
(2) Satuan kerja Manajemen Risiko sebagaimana dimaksud dalam ayat (1)
harus independen terhadap satuan kerja operasional (risk‐taking unit)
dan terhadap satuan kerja yang melaksanakan fungsi pengendalian
intern.
14
Manajemen Manajemen Risiko
15
Manajemen Manajemen Risiko
16
Manajemen Manajemen Risiko
21 Pasal 20 A Bank dilarang menugaskan atau menyetujui pengurus dan/atau pegawai
11/25/PBI/2009 Bank untuk memasarkan produk atau melaksanakan aktivitas yang bukan
merupakan produk atau aktivitas Bank dengan menggunakan sarana atau
fasilitas Bank.
17
Manajemen Manajemen Risiko
18
Manajemen Manajemen Risiko
(2) Laporan realisasi action plan sebagaimana dimaksud dalam ayat (1)
disampaikan selambat‐lambatnya 7 (tujuh) hari kerja setelah tahapan
realisasi action plan.
Bagian Kedua Laporan Profil Risiko serta Laporan Produk dan Aktivitas Baru
25 Pasal 24 (1) Bank wajib menyampaikan laporan profil Risiko kepada Bank Indonesia.
11/25/PBI/2009
Laporan profil Risiko memuat antara lain informasi tentang tingkat dan
trend seluruh eksposur Risiko.
(2) Laporan profil Risiko sebagaimana dimaksud pada ayat (1) yang
disampaikan oleh satuan kerja Manajemen Risiko, wajib memuat
substansi yang sama dengan laporan profil Risiko yang disampaikan
oleh satuan kerja Manajemen Risiko kepada Direktur Utama dan
Komite Manajemen Risiko.
(3) Laporan profil Risiko sebagaimana dimaksud pada ayat (1) disampaikan
secara triwulanan untuk posisi bulan Maret, Juni, September, dan
Desember.
Laporan profil Risiko disajikan secara komparatif dengan posisi triwulan
sebelumnya.
(4) Laporan profil Risiko sebagaimana dimaksud pada ayat (1) disampaikan
paling lambat 15 (lima belas) hari kerja setelah akhir bulan laporan.
(5) Dalam hal diperlukan, Bank Indonesia dapat meminta Bank
menyampaikan laporan profil Risiko sebagaimana dimaksud pada ayat
(1) diluar jangka waktu yang ditetapkan.
SE 13/23/DPNP (6) Bank wajib menyampaikan laporan profil Risiko baik secara individual
2011 maupun secara konsolidasi kepada Bank Indonesia secara triwulanan
Butir 4.9.a untuk posisi bulan Maret, Juni, September, dan Desember, yang
disajikan secara komparatif dengan posisi triwulan sebelumnya paling
lama 15 (lima belas) hari kerja setelah akhir bulan laporan.
(7) Format dan isi laporan profil Risiko berpedoman pada Lampiran 5 dan
Lampiran 6 Surat Edaran Bank Indonesia ini (Lampiran 5 dan Lampiran 6
dalam kodifikasi ini).
(8) Laporan profil Risiko yang disampaikan oleh Bank kepada Bank
Indonesia wajib memuat substansi yang sama dengan laporan profil
Risiko yang disampaikan oleh satuan kerja Manajemen Risiko kepada
Direktur Utama dan Komite Manajemen Risiko
(9) Mekanisme penilaian profil Risiko, penetapan tingkat Risiko dan
penetapan peringkat profil Risiko mengacu pada ketentuan Bank
Indonesia yang mengatur mengenai penilaian tingkat kesehatan Bank
Umum.
26 Pasal 25 (1) Bank wajib menyampaikan laporan produk atau aktivitas baru kepada
11/25/PBI/2009 Bank Indonesia, yang terdiri dari:
a. Laporan rencana penerbitan produk atau pelaksanaan aktivitas
19
Manajemen Manajemen Risiko
20
Manajemen Manajemen Risiko
21
Manajemen Manajemen Risiko
22
Manajemen Manajemen Risiko
23
Manajemen Manajemen Risiko
24
Manajemen Manajemen Risiko
25
Manajemen Manajemen Risiko
26
Manajemen Manajemen Risiko
27
Manajemen Manajemen Risiko
28
Manajemen Manajemen Risiko
29
Manajemen Manajemen Risiko
30
Manajemen Manajemen Risiko
31
Manajemen Manajemen Risiko
32
Manajemen Manajemen Risiko
33
Manajemen Manajemen Risiko
34
Manajemen Manajemen Risiko
35
Manajemen Manajemen Risiko
36
Manajemen Manajemen Risiko
37
Manajemen Manajemen Risiko
38
Manajemen Manajemen Risiko
39
Manajemen Manajemen Risiko
40
Manajemen Manajemen Risiko
41
Manajemen Manajemen Risiko
42
Manajemen Manajemen Risiko
43
Manajemen Manajemen Risiko
44
Manajemen Manajemen Risiko
45
Manajemen Manajemen Risiko
46
Manajemen Manajemen Risiko
47
Manajemen Manajemen Risiko
48
Manajemen Manajemen Risiko
49
Manajemen Manajemen Risiko
50
Manajemen Manajemen Risiko
3. Penyampaian laporan rencana pelaksanaan aktivitas baru sebagai Agen
Penjual Efek Reksa Dana atau Bank Kustodian, sebagaimana dimaksud
pada ayat 2 huruf a dilakukan sebagai berikut:
a. Untuk aktivitas sebagai Agen Penjual Efek Reksa Dana terdiri dari 2
(dua) laporan, yaitu:
1) Laporan Rencana Menjadi Agen Penjual Efek Reksa Dana
a) Laporan wajib disampaikan paling lambat 60 (enam puluh)
hari sebelum pelaksanaan aktivitas sebagai Agen Penjual
Efek Reksa Dana.
b) Laporan sebagaimana dimaksud pada huruf a), paling
kurang memuat hal‐hal terkait dengan aktivitas sebagai
Agen Penjual Efek Reksa Dana sebagai berikut:
(1) informasi umum yang antara lain memuat
tujuan, gambaran potensial nasabah, analisa kekuatan,
kelemahan, peluang, dan ancaman (Strengths,
Weaknesses, Opportunities, Threats/SWOT);
(2) analisa manfaat dan biaya (cost and benefits analysis);
(3) prosedur pelaksanaan (standard operating
procedure/SOP), organisasi dan kewenangan
pelaksanaan dengan memperhatikan pengaturan
penerapan Manajemen Risiko pada butir II.B.2
(Paragraf 107 dalam kodifikasi ini).
(4) kesiapan sumber daya manusia paling kurang mengacu
pada persyaratan pada butir II.B.2.a (Paragraf 107 ayat
1 dalam kodifikasi ini);
(5) kesiapan Bank terkait sistem informasi;
(6) rencana kebijakan dan prosedur terkait dengan
penerapan program Anti Pencucian Uang dan
Pencegahan Pendanaan Teroris (APU dan PPT) dengan
mengacu pada pengaturan butir II.B.2.j (Paragraf 107
ayat 10 dalam kodifikasi ini);
(7) hasil analisa aspek hukum dan aspek kepatuhan;
(8) penilaian Bank atas kesiapan sebagai Agen Penjual
Efek Reksa Dana; dan
(9) Surat Tanda Terdaftar sebagai Agen Penjual Efek Reksa
Dana yang dikeluarkan oleh Badan Pengawas Pasar
Modal dan Lembaga Keuangan (BAPEPAM‐LK).
Dalam hal Surat Tanda Terdaftar belum diterbitkan,
maka Bank dapat menyampaikan kepada Bank
51
Manajemen Manajemen Risiko
52
Manajemen Manajemen Risiko
53
Manajemen Manajemen Risiko
54
Manajemen Manajemen Risiko
55
Manajemen Manajemen Risiko
56
Manajemen Manajemen Risiko
57
Manajemen Manajemen Risiko
58
Manajemen Manajemen Risiko
59
Manajemen Manajemen Risiko
60
Manajemen Manajemen Risiko
61
Manajemen Manajemen Risiko
62
Manajemen Manajemen Risiko
63
Manajemen Manajemen Risiko
64
Manajemen Manajemen Risiko
65
Manajemen Manajemen Risiko
66
Manajemen Manajemen Risiko
67
Manajemen Manajemen Risiko
68
Manajemen Manajemen Risiko
69
Manajemen Manajemen Risiko
70
Manajemen Manajemen Risiko
71
Manajemen Manajemen Risiko
72
Manajemen Manajemen Risiko
73
Manajemen Manajemen Risiko
74
Manajemen Manajemen Risiko
75
Manajemen Manajemen Risiko
76
Manajemen Manajemen Risiko
77
Manajemen Manajemen Risiko
78
Manajemen Manajemen Risiko
79
Manajemen Manajemen Risiko
80
Manajemen Manajemen Risiko
81
Manajemen Manajemen Risiko
82
Manajemen Manajemen Risiko
(a) Proses offsetting posisi long dan posisi short pada perusahaan A =
(10.000 x Rp.100) ‐ (2.000 x Rp.100) =Rp. 800.000 (Long)
(b) Jumlah posisi long = Rp. 800.000 + Rp. 4.000.000 = Rp. 4.800.000
(c) Jumlah posisi short = Rp. 3.000.000 + Rp. 2.000.000 +Rp. 1.000.000 =
Rp.6.000.000
(d) Risiko spesifik = (Rp. 4.800.000 + Rp. 6.000.000) x 8% = Rp. 864.000
(e) Risiko umum = (Rp. 4.800.000 – Rp. 6.000.000) x 8% = Rp. 96.000
(f) Risiko ekuitas = Rp. 864.000 + Rp. 96.000 = Rp.960.000
Dari perhitungan tersebut, maka beban modal atas risiko ekuitas secara
konsolidasi adalah sebesar Rp960.000,00 (sembilan ratus enam puluh ribu
83
Manajemen Manajemen Risiko
84
Manajemen Manajemen Risiko
85
Manajemen Manajemen Risiko
86
Manajemen Manajemen Risiko
87
Manajemen Manajemen Risiko
88
Manajemen Manajemen Risiko
89
Manajemen Manajemen Risiko
90
Manajemen Manajemen Risiko
91
Manajemen Manajemen Risiko
92
Manajemen Manajemen Risiko
93
Manajemen Manajemen Risiko
94
Manajemen Manajemen Risiko
95
Manajemen Manajemen Risiko
96
Manajemen Manajemen Risiko
97
Manajemen Manajemen Risiko
98
Manajemen Manajemen Risiko
99
Manajemen Manajemen Risiko
100
Manajemen Manajemen Risiko
101
Manajemen Manajemen Risiko
102
Manajemen Manajemen Risiko
103
Manajemen Manajemen Risiko
104
Manajemen Manajemen Risiko
105
Manajemen Manajemen Risiko
106
Manajemen Manajemen Risiko
107
Manajemen Manajemen Risiko
108
Manajemen Manajemen Risiko
109
Manajemen Manajemen Risiko
110
Manajemen Manajemen Risiko
111
Manajemen Manajemen Risiko
112
Manajemen Manajemen Risiko
199 Pasal 31 Bank yang tidak memenuhi ketentuan pelaporan sebagaimana dimaksud
9/15/PBI/2007 dalam Pasal 21 ayat (2), ayat (3) dan ayat (4), Pasal 23 ayat (2) dan ayat (7),
Pasal 24 dan Pasal 25 (Paragraf 189 ayat (2), ayat (3) dan ayat (4), Paragraf
191 ayat (2) dan ayat (7), Paragraf 192 dan Paragraf 193 dalam kodifikasi
ini) dikenakan sanksi sesuai Pasal 52 Undang Undang Nomor 7 Tahun 1992
tentang Perbankan sebagaimana diubah dengan Undang Undang Nomor 10
Tahun 1998, berupa:
a. kewajiban membayar sebesar Rp1.000.000,00 (satu juta rupiah) per hari
keterlambatan per laporan;
b. kewajiban membayar sebesar Rp50.000.000,00 (lima puluh juta rupiah)
per laporan, bagi Bank yang belum menyampaikan laporan setelah 1
(satu) bulan sejak batas akhir waktu penyampaian laporan.
200 Pasal 32 Bank yang menyampaikan laporan yang tidak sesuai dengan kondisi Bank
9/15/PBI/2007 yang sebenarnya dikenakan sanksi kewajiban membayar sebesar
Rp50.000.000,00 (lima puluh juta rupiah) setelah Bank diberikan 2 (dua) kali
surat teguran oleh Bank Indonesia dengan tenggang waktu 7 (tujuh) hari
kerja untuk setiap teguran dan Bank tidak memperbaiki laporan dalam
jangka waktu 7 (tujuh) hari kerja setelah surat teguran terakhir.
Prinsip Kehati‐hatian bagi Bank Umum yang Melakukan
Sebagian Pelaksanaan Pekerjaan Kepada Pihak Lain
BAB I Ketentuan Umum
201 Pasal 1 1. Bank adalah Bank Umum sebagaimana dimaksud dalam Undang‐
13/25/PBI/2011 Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah
diubah dengan Undang‐Undang Nomor 10 Tahun 1998, termasuk
kantor cabang bank asing, dan Bank Umum Syariah sebagaimana
dimaksud dalam Undang‐Undang Nomor 21 Tahun 2008 tentang
Perbankan Syariah;
2. Penyerahan Sebagian Pelaksanaan Pekerjaan kepada Pihak Lain yang
selanjutnya disebut Alih Daya adalah penyerahan sebagian pelaksanaan
pekerjaan kepada Perusahaan Penyedia Jasa melalui perjanjian
pemborongan pekerjaan dan/atau melalui perjanjian penyediaan jasa
tenaga kerja;
3. Perusahaan Penyedia Jasa adalah perusahaan yang melaksanakan
sebagian pekerjaan yang diserahkan Bank melalui perjanjian
pemborongan pekerjaan dan/atau melalui perjanjian penyediaan jasa
tenaga kerja;
4. Dewan Komisaris:
a. bagi Bank berbentuk badan hukum Perseroan Terbatas adalah
dewan komisaris sebagaimana dimaksud dalam Undang‐Undang
tentang Perseroan Terbatas;
113
Manajemen Manajemen Risiko
Ayat (1) Termasuk dalam Alih Daya oleh Bank adalah Alih Daya yang dilakukan
oleh Unit Usaha Syariah pada Bank konvensional.
114
Manajemen Manajemen Risiko
115
Manajemen Manajemen Risiko
116
Manajemen Manajemen Risiko
117
Manajemen Manajemen Risiko
118
Manajemen Manajemen Risiko
119
Manajemen Manajemen Risiko
120
Manajemen Manajemen Risiko
121
Manajemen Manajemen Risiko
122
Manajemen Manajemen Risiko
123
Manajemen Manajemen Risiko
124
Manajemen Manajemen Risiko
125
Manajemen Manajemen Risiko
126
Manajemen Manajemen Risiko
127
Manajemen Manajemen Risiko
128
Manajemen Manajemen Risiko
129
Manajemen Manajemen Risiko
130
Manajemen Manajemen Risiko
131
Manajemen Manajemen Risiko
132
Manajemen Manajemen Risiko
133
Manajemen Manajemen Risiko
134
Manajemen Manajemen Risiko
135
Manajemen Manajemen Risiko
136
Manajemen Manajemen Risiko
137
Manajemen Manajemen Risiko
138
Manajemen Manajemen Risiko
139
Manajemen Manajemen Risiko
140
Manajemen Manajemen Risiko
141
Manajemen Manajemen Risiko
142
Manajemen Manajemen Risiko
143
Manajemen Manajemen Risiko
144
Manajemen Manajemen Risiko
145
Manajemen Manajemen Risiko
146
Manajemen Manajemen Risiko
147
Manajemen Manajemen Risiko
148
Manajemen Manajemen Risiko
149
Manajemen Manajemen Risiko
150
Manajemen Manajemen Risiko
151
Manajemen Manajemen Risiko
152
Manajemen Manajemen Risiko
153
Manajemen Manajemen Risiko
154
Manajemen Manajemen Risiko
155
Manajemen Manajemen Risiko
156
Manajemen Manajemen Risiko
157
Manajemen Manajemen Risiko
158
Manajemen Manajemen Risiko
159
Manajemen Manajemen Risiko
160
Manajemen Manajemen Risiko
161
Manajemen Manajemen Risiko
162
Manajemen Manajemen Risiko
163
Manajemen Manajemen Risiko
Ketentuan Peralihan
262 SE 15/40/DKMP Bank wajib menyesuaikan kebijakan dan prosedur tertulis pemberian KPP
2013 atau KPP iB, KKBP atau KKBP iB dan/atau KKB atau KKB iB serta
Romawi VIII menyampaikannya kepada Bank Indonesia paling lambat 1 (satu) bulan
setelah Surat Edaran Bank Indonesia ini berlaku yang dialamatkan kepada:
a. Departemen Pengawasan Bank terkait, Jl. MH Thamrin No.2, Jakarta,
10350, bagi Bank yang berkantor pusat di wilayah kerja Kantor Pusat
Bank Indonesia; atau
b. Kantor Perwakilan Bank Indonesia Dalam Negeri setempat, bagi Bank
yang berkantor pusat di luar wilayah kerja Kantor Pusat Bank Indonesia.
164
Lampiran 1
165
Surat Edaran Bank Indonesia Nomor 13/23/DPNP Tanggal 25 Oktober 2011
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
Lampiran 2
276
Surat Edaran Bank Indonesia Nomor 5/21/DPNP Tanggal 29 September 2003
Lampiran 2
277
278
279
280
Lampiran 3
281
Surat Edaran Bank Indonesia Nomor 5/21/DPNP Tanggal 29 September 2003
Lampiran 3
282
283
284
285
Lampiran 4
286
Surat Edaran Bank Indonesia Nomor 5/21/DPNP Tanggal 29 September 2003
Lampiran 4
287
288
289
290
291
Lampiran 5
292
Lampiran 5
293
294
Lampiran 6
295
Lampiran 6
296
297
Lampiran 7
298
Lampiran Surat Edaran Bank Indonesia No. 13 / / DPNP tanggal 2011 Surat Edaran Bank Indonesia Nomor 13/23/DPNP tanggal 25 Oktober 2011
Lampiran 7
299 1
Lampiran Surat Edaran Bank Indonesia No. 13 / / DPNP tanggal 2011
B Kewajiban
1. Dana Pihak Ketiga
a. Giro
b. Tabungan
c. Simpanan Berjangka
1) Deposit on call
2) Deposito berjangka
3) Lainnya
2. Kewajiban kepada Bank Indonesia
3. Kewajiban kepada bank lain
4. Surat Berharga yang Diterbitkan
a. Obligasi
b. Subordinasi ****)
c. Lainnya
5. Pinjaman yang Diterima
a. Pinjaman Subordinasi ****)
b. Lainnya
6. Kewajiban lainnya
a. Kewajiban atas Surat Berharga yang dijual dengan janji
dibeli kembali (Repo)
b. Lainnya
7. Lain-lain
Total Kewajiban
300 2
Lampiran Surat Edaran Bank Indonesia No. 13 / / DPNP tanggal 2011
II. REKENING ADMINISTRATIF
A. Tagihan Rekening Administratif
1. Komitmen
a. Fasilitas pinjaman yang belum ditarik
b. Posisi pembelian spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
c. Lainnya
2. Kontijensi *****)
Total Tagihan Rekening Administratif
B Kewajiban Rekening Administratif
1. Komitmen
a. Fasilitas kredit yang belum ditarik
b. Irrevocable L/C yang masih berjalan
c. Posisi penjualan spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
d. Lainnya
2. Kontijensi ******)
Total Kewajiban Rekening Administratif
Selisih [(IA-IB)+(IIA-IIB)]
Selisih Kumulatif
*)
Angka-angka berdasarkan jatuh tempo sesuai dengan kontrak untuk yang memiliki jatuh tempo kontraktual dan/atau estimasi dengan menggunakan
berbagai asumsi untuk yang tidak memiliki jatuh tempo kontraktual
**)
Termasuk Surat Berharga yang dijual dengan janji dibeli kembali (Repo)
***)
Diisi berdasarkan perkiraan diperoleh pembayaran atas kredit yang berdasarkan kontrak sudah jatuh tempo
****)
Termasuk yang diperhitungkan dalam KPMM dan dilaporkan di LBU pada pos Modal Pinjaman
*****)
Yang diperkirakan akan mempengaruhi arus kas (menjadi tagihan)
******)
Yang diperkirakan akan mempengaruhi arus kas (menjadi kewajiban)
301 3
Lampiran Surat Edaran Bank Indonesia No. 13 / / DPNP tanggal 2011
Jatuh Tempo*)
Pos-Pos Saldo > 1 minggu s.d > 2 minggu s.d
s.d 1 minggu 2 minggu 1 bulan > 1 bln s.d 3 bln > 3 bln s.d 6 bln > 6 bln s.d 12 bln > 12 bulan
I. NERACA
A. Aset
1. Kas
2. Penempatan pada Bank Indonesia
3. Penempatan pada bank lain
4. Surat Berharga **)
a. Surat berharga korporasi
1) diperdagangkan
2) tersedia untuk dijual
3) dimiliki hingga jatuh tempo
4) pinjaman yang diberikan dan piutang
b. Lainnya
5. Kredit Yang Diberikan
a. belum jatuh tempo
b. sudah jatuh tempo ***)
6. Tagihan lainnya
a. Tagiha
b. Lainnya
7. Lain-lain
Total Aset
B. Kewajiban
1. Dana Pihak Ketiga
a. Giro
b. Tabungan
c. Simpanan Berjangka
1) Deposit on call
2) Deposito berjangka
3) Lainnya
2. Kewajiban kepada Bank Indonesia
3. Kewajiban kepada bank lain
4. Surat Berharga yang Diterbitkan
a. Obligasi
b. Subordinasi ****)
302 4
Lampiran Surat Edaran Bank Indonesia No. 13 / / DPNP tanggal 2011
c. Lainnya
5. Pinjaman yang Diterima
a. Pinjaman Subordinasi ****)
b. Lainnya
6. Kewajiban lainnya
a. Kewaji
b. Lainnya
7. Lain-lain
Total Kewajiban
II REKENING ADMINISTRATIF
A. Tagihan Rekening Administratif
1. Komitmen
a. Fasilitas pinjaman yang belum ditarik
b. Posisi pembelian spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
c. Lainnya
2. Kontijensi *****)
Total Tagihan Rekening Administratif
Selisih [(IA-IB)+(IIA-IIB)]
Selisih Kumulatif
303 5
Lampiran Surat Edaran Bank Indonesia No. 13 / / DPNP tanggal 2011
Angka-angka berdasarkan jatuh tempo sesuai dengan kontrak untuk yang memiliki jatuh tempo kontraktual dan/atau estimasi dengan menggunakan berbagai
*)
asumsi untuk yang tidak memiliki jatuh tempo kontraktual
**)
Termasuk Surat Berharga yang dijual dengan janji dibeli kembali (Repo)
***)
Diisi berdasarkan perkiraan diperoleh pembayaran atas kredit yang berdasarkan kontrak sudah jatuh tempo
****)
Termasuk yang diperhitungkan dalam KPMM dan dilaporkan di LBU pada pos Modal Pinjaman
*****)
Yang diperkirakan akan mempengaruhi arus kas (menjadi tagihan)
******)
Yang diperkirakan akan mempengaruhi arus kas (menjadi kewajiban)
304 6
Surat Edaran Bank Indonesia Nomor 13/23/DPNP Tanggal 25 Oktober 2011
Lampiran 7
UMUM
A. Laporan Profil Maturitas menyajikan pos-pos aset, kewajiban, dan rekening
administratif yang dipetakan ke dalam skala waktu.
Pemetaaan dilakukan berdasarkan sisa waktu sampai dengan jatuh tempo sesuai
kontrak untuk pos neraca dan rekening administratif yang memiliki jatuh tempo
kontraktual dan/atau estimasi dengan menggunakan berbagai asumsi untuk pos
neraca dan rekening administratif yang tidak memiliki jatuh tempo kontraktual
(non maturity items).
B. Penyusunan Laporan Profil Maturitas bertujuan untuk mengidentifikasi terjadinya
gap likuiditas (selisih) dalam skala waktu tertentu. Gap likuiditas (selisih) dapat
merupakan gap (selisih) positif atau gap (selisih) negatif.
C. Laporan Profil Maturitas disusun setiap bulan untuk posisi akhir bulan yang
terdiri dari Laporan Profil Maturitas dalam rupiah dan Laporan Profil Maturitas
dalam valuta asing. Laporan Profil Maturitas dalam rupiah diisi dalam jutaan
Rupiah, sedangkan Laporan Profil Maturitas dalam valuta asing diisi dalam
ekuivalen ribuan USD. Untuk denominasi valuta asing selain USD konversi ke
dalam USD menggunakan kurs tanggal laporan.
D. Pemetaan skala waktu adalah sebagai berikut:
1. Untuk yang akan jatuh tempo sampai dengan 1 (satu) minggu yang akan
datang;
2. Untuk yang akan jatuh tempo lebih dari 1 (satu) minggu sampai dengan
2 (dua) minggu yang akan datang;
3. Untuk yang akan jatuh tempo lebih dari 2 (dua) minggu sampai dengan
1 (satu) bulan yang akan datang;
4. Untuk yang akan jatuh tempo lebih dari 1 (satu) bulan sampai dengan
3 (tiga) bulan yang akan datang;
5. Untuk yang akan jatuh tempo lebih dari 3 (tiga) bulan sampai dengan
6 (enam) bulan yang akan datang;
6. Untuk yang akan jatuh tempo lebih dari 6 (enam) bulan sampai dengan
12 (dua belas) bulan yang akan datang;
7. Untuk yang akan jatuh tempo lebih dari 12 (dua belas) bulan yang akan
datang.
305
E. Pos-pos neraca yang dimasukkan dalam Laporan Profil Maturitas adalah hanya
pos-pos dengan karakteristik memiliki arus kas masuk dan/atau arus kas keluar,
sehingga tidak seluruh pos di neraca dimasukkan dalam Laporan Profil Maturitas.
Contoh pos neraca yang tidak dimasukkan dalam Laporan Profil Maturitas antara
lain aset tetap, AYDA, properti terbengkalai, penyertaan, dan modal.
F. Dalam setiap pos neraca (aset dan kewajiban), kolom saldo harus sama dengan
jumlah dari seluruh kolom skala waktu dan sesuai dengan jumlah yang
dilaporkan di Laporan Bulanan Bank Umum.
G. Pos-pos rekening administratif yang dimasukkan dalam Laporan Profil Maturitas
adalah hanya bagian dari pos tersebut yang diperkirakan akan mempengaruhi
arus kas (menjadi tagihan atau kewajiban).
H. Dalam setiap pos rekening administratif, kolom saldo harus sama dengan jumlah
dari seluruh kolom skala waktu.
306
Rincian pos Surat Berharga meliputi:
a. SUN
1) diperdagangkan
2) tersedia untuk dijual
3) dimiliki hingga jatuh tempo
4) pinjaman yang diberikan dan piutang
b. Surat Berharga Korporasi
1) diperdagangkan
2) tersedia untuk dijual
3) dimiliki hingga jatuh tempo
4) pinjaman yang diberikan dan piutang
c. Lainnya
Yang dimasukkan ke dalam pos ini adalah Surat Berharga yang tidak
dapat dimasukkan atau digolongkan ke dalam salah satu dari huruf a
dan huruf b.
5. Kredit Yang Diberikan
a. belum jatuh tempo
diisi sesuai jumlah kredit yang belum jatuh tempo berdasarkan
kontrak.
b. sudah jatuh tempo
diisi berdasarkan perkiraan diperolehnya pembayaran atas kredit
yang berdasarkan kontrak sudah jatuh tempo.
6. Tagihan Lainnya
a. Tagihan atas surat berharga yang dibeli dengan janji dijual kembali
(Reverse Repo)
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Tagihan Lainnya yang
tidak dapat dimasukkan atau digolongkan ke dalam huruf a.
307
7. Lain-lain
Yang dimasukkan ke dalam pos ini adalah aset yang tidak dapat
dimasukkan atau digolongkan ke dalam salah satu dari pos 1 sampai
dengan 6.
B. Kewajiban
1. Dana Pihak ketiga
a. Giro
b. Tabungan
c. Simpanan Berjangka
1) Deposit on call
2) Deposito berjangka
3) Lainnya
Yang dimasukkan ke dalam pos ini adalah Simpanan Berjangka
yang tidak dapat dimasukkan atau digolongkan ke dalam salah
satu dari angka 1) dan angka 2).
2. Kewajiban kepada Bank Indonesia
3. Kewajiban kepada bank lain
4. Surat Berharga yang Diterbitkan
a. Obligasi
b. Subordinasi
Termasuk dalam pos ini adalah Surat Berharga subordinasi yang
diperhitungkan dalam KPMM dan dilaporkan di LBU pada pos
Modal Pinjaman.
c. Lainnya
Yang dimasukkan ke dalam pos ini adalah Surat Berharga yang
Diterbitkan yang tidak dapat dimasukkan atau digolongkan ke dalam
salah satu dari huruf a dan huruf b.
10
308
5. Pinjaman yang Diterima
a. Pinjaman Subordinasi
Termasuk dalam pos ini adalah pinjaman subordinasi yang
diperhitungkan dalam KPMM dan dilaporkan di LBU pada pos
Modal Pinjaman.
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Pinjaman yang Diterima
yang tidak dapat dimasukkan atau digolongkan ke dalam huruf a.
6. Kewajiban Lainnya
a. Kewajiban atas surat berharga yang dijual dengan janji dibeli
kembali (Repo)
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Kewajiban Lainnya yang
tidak dapat dimasukkan atau digolongkan ke dalam huruf a.
7. Lain-lain
Yang dimasukkan ke dalam pos ini adalah kewajiban yang tidak dapat
dimasukkan atau digolongkan ke dalam salah satu dari pos 1 sampai
dengan 6.
Pos-pos yang tidak dijelaskan secara khusus dalam pedoman pengisian ini
mengacu pada Pedoman Laporan Bulanan Bank Umum.
II. Rincian pos-pos rekening administratif sesuai format laporan terlampir adalah
sebagai berikut:
A. Tagihan Rekening Administratif
1. Komitmen
a. Fasilitas pinjaman yang belum ditarik
b. Posisi pembelian spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
Pos derivatif meliputi antara lain forward, future, swap, option.
11
309
c. Lainnya
Yang dimasukkan ke dalam pos ini adalah tagihan komitmen yang
tidak dapat dimasukkan atau digolongkan ke dalam salah satu dari
huruf a dan huruf b.
2. Kontijensi
Seluruh tagihan kontijensi yang diperkirakan akan mempengaruhi arus
kas (menjadi tagihan).
12
310
POS-POS LAPORAN DALAM VALUTA ASING
I. Rincian pos-pos neraca sesuai format laporan terlampir adalah sebagai berikut:
A. Aset
1. Kas
2. Penempatan pada Bank Indonesia
3. Penempatan pada bank lain
4. Surat Berharga
Surat Berharga yang dijual dengan janji dibeli kembali (Repo) juga
termasuk dalam pos Surat Berharga.
Rincian pos Surat Berharga meliputi:
a. Surat Berharga Korporasi
1) diperdagangkan
2) tersedia untuk dijual
3) dimiliki hingga jatuh tempo
4) pinjaman yang diberikan dan piutang
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Surat Berharga yang tidak
dapat dimasukkan atau digolongkan ke dalam salah satu dari huruf a
dan huruf b
5. Kredit Yang Diberikan
a. belum jatuh tempo
diisi untuk kredit yang belum jatuh tempo.
b. sudah jatuh tempo
diisi berdasarkan perkiraan diperolehnya pembayaran atas kredit
yang berdasarkan kontrak sudah jatuh tempo.
6. Tagihan Lainnya
a. Tagihan atas surat berharga yang dibeli dengan janji dijual kembali
(Reverse Repo).
13
311
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Tagihan Lainnya yang
tidak dapat dimasukkan atau digolongkan ke dalam huruf a.
7. Lain-lain
Yang dimasukkan ke dalam pos ini adalah aset yang tidak dapat
dimasukkan atau digolongkan ke dalam salah satu dari pos 1 sampai
dengan 6.
B. Kewajiban
1. Dana Pihak ketiga
a. Giro
b. Tabungan
c. Simpanan Berjangka
1) Deposit on call
2) Deposito berjangka
3) Lainnya
Yang dimasukkan ke dalam pos ini adalah Simpanan Berjangka
yang tidak dapat dimasukkan atau digolongkan ke dalam salah
satu dari angka 1) dan angka 2).
2. Kewajiban kepada Bank Indonesia
3. Kewajiban kepada bank lain
4. Surat Berharga yang Diterbitkan
a. Obligasi
b. Subordinasi
Termasuk dalam pos ini adalah Surat Berharga subordinasi yang
diperhitungkan dalam KPMM dan dilaporkan di LBU pada pos
Modal Pinjaman.
c. Lainnya
Yang dimasukkan ke dalam pos ini adalah Surat Berharga yang
Diterbitkan yang tidak dapat dimasukkan atau digolongkan ke dalam
salah satu dari huruf a dan huruf b.
14
312
5. Pinjaman yang Diterima
a. Pinjaman Subordinasi
Termasuk dalam pos ini adalah pinjaman subordinasi yang
diperhitungkan dalam KPMM dan dilaporkan di LBU pada pos
Modal Pinjaman.
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Pinjaman yang Diterima
yang tidak dapat dimasukkan atau digolongkan ke dalam huruf a.
6. Kewajiban Lainnya
a. Kewajiban atas surat berharga yang dijual dengan janji dibeli
kembali (Repo)
b. Lainnya
Yang dimasukkan ke dalam pos ini adalah Kewajiban Lainnya yang
tidak dapat dimasukkan atau digolongkan ke dalam huruf a.
7. Lain-lain
Yang dimasukkan ke dalam pos ini adalah kewajiban yang tidak dapat
dimasukkan atau digolongkan ke dalam salah satu dari pos 1 sampai
dengan 6.
Pos-pos yang tidak dijelaskan secara khusus dalam pedoman pengisian ini
mengacu pada Pedoman Laporan Bulanan Bank Umum.
II. Rincian pos-pos rekening administratif sesuai format laporan terlampir adalah
sebagai berikut:
A. Tagihan Rekening Admnistratif
1. Komitmen
a. Fasilitas pinjaman yang belum ditarik
b. Posisi pembelian spot dan derivatif yang masih berjalan
1) Spot
2) Derivatif
Pos derivatif meliputi antara lain forward, future, swap, option.
15
313
c. Lainnya
Yang dimasukkan ke dalam pos ini adalah tagihan komitmen yang
tidak dapat dimasukkan atau digolongkan ke dalam salah satu dari
huruf a dan huruf b.
2. Kontijensi
Seluruh tagihan kontijensi yang diperkirakan akan mempengaruhi arus
kas (menjadi tagihan).
16
314
Lampiran 8
315
I. LATAR BELAKANG
1. Sistem Pengendalian Intern (SPI) yang efektif merupakan
komponen penting dalam manajemen Bank dan menjadi dasar bagi
kegiatan operasional Bank yang sehat dan aman. Sistem
Pengendalian Intern yang efektif dapat membantu pengurus Bank
menjaga aset Bank, menjamin tersedianya pelaporan keuangan dan
manajerial yang dapat dipercaya, meningkatkan kepatuhan Bank
terhadap ketentuan dan peraturan perundang-undangan yang
berlaku, serta mengurangi risiko terjadinya kerugian, penyimpangan
dan pelanggaran aspek kehati-hatian.
316
terhadap pelanggaran ketentuan yang berlaku, kebijakan dan
prosedur yang telah ditetapkan Bank.
a. Pengertian
b. Tujuan
317
3) Efisiensi dan efektivitas dari kegiatan usaha Bank (Tujuan
Operasional)
a. Dewan Komisaris
b. Direksi
318
c. Satuan Kerja Audit Intern (SKAI)
e. Pihak-pihak ekstern
a. total aset;
319
e. metode yang digunakan untuk pengolahan data dan teknologi
informasi serta metodologi yang diterapkan untuk pengukuran,
pemantauan, dan pembatasan (limit) risiko; dan
320
1. Pengawasan oleh Manajemen dan Kultur Pengendalian
a. Dewan Komisaris
321
temuan dan rekomendasi yang disampaikan oleh otoritas
pengawasan Bank , auditor intern dan auditor ekstern;
b. Direksi
322
kewenangan dan tanggung jawab pelaporan serta
menyelenggarakan suatu sistem komunikasi yang efektif
kepada seluruh jenjang organisasi Bank;
c. Budaya Pengendalian
323
Dalam rangka memperkuat nilai-nilai etika, Bank harus
menghindari kebijakan dan praktek yang dapat mengakibatkan
dorongan atau peluang untuk melakukan penyimpangan atau
pelanggaran, seperti penekanan pada pencapaian target
jangka pendek dengan mengabaikan dampak risiko yang
bersifat jangka panjang, sistem kompensasi yang terlalu
didasarkan kinerja jangka pendek, pemisahan fungsi yang tidak
efektif dan pengenaan sanksi yang terlalu ringan atau terlalu
berlebihan atas pelanggaran yang dilakukan.
5) perkembangan teknologi;
9) ekspansi usaha;
324
c. Suatu Sistem Pengendalian Intern yang efektif mengharuskan
Bank secara terus menerus mengidentifikasi dan menilai risiko
yang dapat mempengaruhi pencapaian sasaran. Penilaian
risiko harus pula dilakukan oleh auditor intern sehingga
cakupan audit yang dilakukan lebih luas dan menyeluruh.
10
325
a. Kegiatan Pengendalian
11
326
dengan output (laporan) yang dihasilkan oleh satuan
kerja manajemen risiko; dan
12
327
b) Kegiatan ini meliputi pengamanan aset, catatan dan
akses terbatas terhadap program komputer dan file
data, serta membandingkan nilai aktiva dan pasiva
Bank dengan nilai yang tercantum pada catatan
pengendali, khususnya pengecekan nilai aktiva secara
berkala.
5) Dokumentasi
b. Pemisahan Fungsi
13
328
Seluruh aspek yang dapat menimbulkan pertentangan
kepentingan tersebut harus diidentifikasi, diminimalisir, dan
dipantau secara hati-hati oleh pihak lain yang independen,
seperti Akuntan Publik.
a. Sistem Akuntansi
14
329
1) Sistem Akuntansi meliputi metode dan catatan dalam
rangka mengidentifikasi, mengelompokkan, menganalisis,
mengklasifikasi, mencatat/membukukan dan melaporkan
transaksi Bank.
b. Sistem Informasi
15
330
didokumentasikan dan dinilai kembali efektivitasnya secara
berkala. Untuk memastikan bahwa seluruh rencana dan
proses pemulihan darurat (contingency recovery plan) dan
sistem back-up telah bekerja secara efektif maka
pelaksanaan proses dan sistem tersebut harus
didokumentasikan dan diuji secara berkala. Bank harus
mendokumentasikan pelaksanaan pengujian berkala
tersebut dan Direksi Bank memberikan perhatian yang
penuh terhadap temuan kelemahan pada sistem yang
didasarkan atas pengujian tersebut serta selanjutnya
mengambil langkah perbaikan yang diperlukan.
16
331
jangkauan pengendalian rutin Bank sehingga Bank
harus menyelenggarakan sistem pemulihan (recovery)
dan rencana kontinjensi serta pengecekan secara
berkala atas kemungkinan terjadinya hal-hal yang sulit
diprediksi sebelumnya (disaster and recovery plan).
c. Sistem Komunikasi
17
332
Saluran informasi ini harus dapat merespon untuk
pelaksanaan langkah-langkah perbaikan dan dapat
diketahui oleh jajaran manajemen.
a. Kegiatan Pemantauan
18
333
b) menetapkan satuan kerja/pegawai yang ditugaskan
untuk memantau efektivitas pengendalian intern;
b. Fungsi SKAI
19
334
c. Perbaikan Kelemahan dan Tindakan Koreksi Penyimpangan
20
335
1. Surat Keputusan Direksi Bank Indonesia Nomor 27/162/KEP/DIR
dan Surat Edaran Bank Indonesia Nomor 27/7/UPPB masing-
masing tanggal 31 Maret 1995 tentang Kewajiban Penyusunan
dan Pelaksanaan Kebijaksanaan Perkreditan Bagi Bank Umum;
21
336
Lampiran 9
337
Surat Edaran Bank Indonesia Nomor 6/18/DPNP Tanggal 20 April 2004
I. PENDAHULUAN
1
338
2. Pengendalian Pengamanan
Untuk melindungi Bank dari risiko hukum dan risiko reputasi, pelayanan
jasa internet banking harus dilaksanakan secara konsisten dan tepat
waktu sesuai dengan harapan nasabah. Agar dapat memenuhi harapan
nasabah, Bank harus memiliki kapasitas, kontinuitas usaha dan
perencanaan darurat yang efektif. Mekanisme penanganan kejadian
(incident response mechanism) yang efektif juga sangat penting untuk
meminimalkan risiko operasional, risiko hukum dan risiko reputasi yang
timbul dari kejadian yang tidak diharapkan. Selain itu Bank perlu
memahami dan mengelola risiko yang timbul dari hubungan Bank
dengan pihak ketiga dalam menyelenggarakan internet banking.
2
339
internet banking Bank.
3
340
c) prosedur pengendalian logik dan pemantauan yang memadai
untuk mencegah unauthorized access internal dan eksternal
terhadap aplikasi dan database internet banking;
4
341
iii. pengujian penetrasi (penetration testing) terhadap jaringan
internal dan eksternal harus dilakukan secara berkala
sekurang-kurangnya 1 (satu) tahun sekali.
5
342
b. Bank harus menggunakan metode pengujian keaslian transaksi
untuk menjamin bahwa transaksi tidak dapat diingkari oleh nasabah
(non repudiation) dan menetapkan tanggung jawab dalam transaksi
internet banking.
6
343
Hal-hal yang perlu diperhatikan antara lain:
7
344
4) terdapat prosedur pemantauan dan pengujian yang memadai
sehingga setiap perubahan pada sistem internet banking tidak
mengurangi kehandalan data;
8
345
g. Bank harus mengambil langkah-langkah untuk melindungi
kerahasiaan informasi penting pada internet banking. Langkah
tersebut harus sesuai dengan sensitivitas informasi yang dikeluarkan
dan/atau disimpan dalam database.
1) seluruh arsip dan data Bank yang bersifat rahasia hanya dapat
diakses oleh pihak-pihak yang telah diotorisasi dan dibuktikan
keasliannya;
9
346
6) informasi relevan lainnya.
10
347
(1) pemberian informasi yang singkat dan jelas kepada
nasabah mengenai kebijakan kerahasiaan yang dimiliki
Bank, antara lain melalui website Bank;
11
348
b) Bank harus melakukan penilaian risiko pada setiap jasa dan
aplikasi internet, termasuk implikasi yang mungkin timbul
seperti risiko kredit, pasar, likuiditas, hukum, operasional dan
reputasi yang dapat mengganggu kegiatan usaha Bank;
12
349
b) mekanisme untuk mengidentifikasi suatu kejadian, menilai
materialitasnya, dan mengendalikan risiko reputasi yang
terkait dengan gangguan dalam pemberian jasa internet
banking;
13
350
penggunaan outsourcing;
14
351
tingkat dan risiko layanan internet banking;
c) peraturan yang secara khusus menetapkan cakupan
(coverage) asuransi, kepemilikan dari penyimpanan data dari
server atau database penyedia jasa/layanan, dan hak Bank
untuk pemulihan data yang telah melampaui waktu tertentu
serta pemutusan kontrak;
15
352
banking tetap berlangsung meskipun terjadi gangguan yang
dapat mempengaruhi operasional yang dilakukan pihak
ketiga;
--------------- 00 ---------------
16
353
Lampiran 10
354
Lampiran 10 Surat Edaran Bank Indonesia Nomor 11/36/DPNP tanggal 31 Desember 2009
*) Jenis Aktivitas Baru diisi dengan "Agen Penjual Efek Reksa Dana" atau "Bank Kustodian"
**) Penjelasan/Uraian yang lebih terperinci dapat dilampirkan dalam lembaran terpisah.
355
Lampiran 11
356
Surat Edaran Bank Indonesia Nomor 11/36/DPNP tanggal 31 Desember 2009
Lampiran 11
a. Informas i umum
c. Pros edur pelak s anaan ( standard operating procedures/ SOP) organis as i, dan k ewenangan pelak s anaan
d. Renc ana k ebijak an dan pros edur terk ait dengan penerapan program Anti Penc uc ian Uang dan
Penc egahan Pendanaan Teroris (APU dan PPT)
i. Penilaian Bank atas k es iapan s ebagai Agen Penjual Efek Rek s a Dana
*) Jumlah Halaman dalam contoh Laporan ini tidak mengikat sehingga Bank dapat menguraikan lebih rinci.
357
Lampiran 12
358
Lampiran 12 Surat Edaran Bank Indonesia Nomor 11/36/DPNP tanggal 31 Desember 2009
a. Informasi umum
c. Manajemen Risiko
*) Jumlah Halaman dalam contoh Laporan ini tidak mengikat sehingga Bank dapat menguraikan lebih rinci.
359
Lampiran 13
360
Surat Edaran Bank Indonesia Nomor 11/36/DPNP tanggal 31 Desember 2009
Lampiran 13
Reksa Dana yang sudah dipasarkan Bank sebagai Agen Penjual Efek Reksa Dana Porsi Aset yang Mendasari Apakah Bank Menjadi Sponsor atau Nomor Surat Efektif Nomor Surat
Total Unit yang Merupakan Surat Berharga Manajer Investasi Bank Kustodian Melakukan Penempatan Dana Awal Pernyataan Pendaftaran Penegasan Bank Indonesia
Nama Subscription Redemption NAV Penyertaan yang Diterbitkan Bank sebagai Fee based Pihak Total Reksa Dana terhadap rencana penjualan
Nama Nama Ya/Tidak Nominal
Reksa Dana per unit pada Reksa Dana Agen Penjual Maupun Pihak Terkait Income Terkait NAV dari BAPEPAM - LK efek Reksa Dana
(1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (15)
1)
diisi nama produk Reksa Dana
2)
diisi nominal dalam satuan penuh
3)
diisi nominal dalam satuan penuh
4)
diisi nominal dalam satuan penuh
5)
diisi total unit penyertaan pada Reksa Dana
6)
diisi persentase
Pihak Terkait sesuai ketentuan yang berlaku tentang Batas Maksimum Pemberian Kredit
7)
diisi nominal dalam satuan penuh
8)
diisi nama manajer investasi
9)
diisi angka "1" untuk terkait dan angka "2" untuk tidak terkait sesuai ketentuan yang berlaku tentang Batas Maksimum Pemberian Kredit
10)
diisi nama Bank Kustodian
11)
diisi Total NAV menurut Bank Kustodian
12)
diisi angka "1" bila ya dan angka "2" bila tidak
13)
diisi apabila kolom (12) berisi sandi 1, selain itu dikosongkan
diisi nominal dalam satuan penuh
14)
diisi nomor Surat Efektif Pernyataan Pendaftaran Reksa Dana dari BAPEPAM - LK
15)
diisi nomor Surat Penegasan Bank Indonesia terhadap rencana penjualan efek Reksa Dana
361
Lampiran 14
362
Surat Edaran Bank Indonesia No. 12/35/DPNP tanggal 23 Desember 2010
Lampiran 14
*) Jenis Aktivitas Baru diisi dengan "Bancassurance - Referensi" atau "Bancassurance - Kerjasama Distribusi" atau "Bancassurance - Integrasi Produk" .
**) Penjelasan/Uraian yang lebih terperinci dapat dilampirkan dalam lembaran terpisah.
363
Lampiran 15
364
Lampiran 15 Surat Edaran Bank Indonesia No. 12/35/DPNP tanggal 23 Desember 2010
a. Informas i umum
b. Penilaian dan analis a s olvabilitas s erta perizinan perus ahaan as urans i mitra Bank
d. Manajemen Ris ik o
e. Pros edur pelak s anaan ( standard operating procedures /SOP) organis as i, dan k ewenangan pelak s anaan bancassurance
f. Kes iapan unit k erja k hus us bancassurance dan/atau pejabat yang bertanggung jawab atas bancassurance
s erta k es iapan s umber daya manus ia pemas aran bancassurance
i. Kebijak an dan pros edur terk ait dengan penerapan program Anti Penc uc ian Uang dan
Penc egahan Pendanaan Teroris (APU dan PPT)
* ) Jumlah Halaman dalam contoh Laporan ini tidak mengikat sehingga Bank dapat menguraikan lebih rinci.
365
Lampiran 16
366
Lampiran 16 Surat Edaran Bank Indonesia No. 12/35/DPNP tanggal 23 Desember 2010
LAMPIRAN 20
a)
diisi posisi bulan laporan, misalnya posisi bulan Juni 2011
b)
diisi periode laporan, misalnya Triwulan II, 2011
c)
diisi dengan "jiwa" atau "umum" atau "reasuransi"
d)
diisi dengan "ya" atau "tidak". Pihak Terkait sesuai ketentuan yang berlaku tentang Batas Maksimum Pemberian Kredit
e)
jenis produk meliputi umum, jiwa, unit link , lainnya
f)
diisi jumlah polis didasarkan pada polis yang masih outstanding /masih berlaku/belum dicairkan/in force policy
g)
diisi jumlah nasabah didasarkan pada polis yang masih outstanding/ masih berlaku/belum dicairkan/ in force policy
h)
diisi jumlah pertanggungan dalam satuan penuh valuta asal didasarkan pada polis yang masih outstanding /masih berlaku/belum dicairkan/ in force policy
i)
diisi premi/fee yang diterima sejak produk dijual oleh bank s/d akhir bulan pelaporan dalam satuan penuh valuta asal, yang berasal dari nasabah yang polisnya masih outstanding /masih berlaku/belum
dicairkan/ in force policy per posisi akhir bulan pelaporan
j)
seluruh premi/fee yang diterima dalam satuan penuh valuta asal selama bulan laporan
k)
fee based income dalam satuan penuh valuta asal untuk semua mata uang atau valuta asal dan disajikan dalam jumlah net (setelah dikurangi pajak yang dikenakan oleh perusahaan asuransi)
l)
Nilai fund dari asuransi milik nasabah yang polisnya masih outstanding/ masih berlaku/ belum dicairkan/ in force policy per posisi laporan dalam satuan penuh valuta asal,
dihitung sejak produk tersebut dijual oleh bank kepada masing-masing nasabah tersebut sampai dengan akhir bulan pelaporan. Apabila jenis produk diisi unit link maka kolom ini
harus diisi.
367
FORM 701: LAPORAN BANCASSURANCE
Record Header
No Nama Kolom Jenis Data Jumlah Posisi Keterangan
a Sandi Pelapor Character 6 1-6 Diisi Sandi bank Pelapor (sesuai lampiran)
b Periode Laporan Character 6 7-12 Diisi periode laporan (mmyyyy)
c Jenis Laporan Character 2 13-14 Diisi sesuai daftar sandi.Khusus untuk LKPBU diisi '01'
d No Form Character 4 15-18 Diisi no form yg Dilaporkan
e Jumlah Record Isi Numeric 6 19-24 Jumlah transaksi yg dilaporkan
Record Isi
No Nama Kolom Jenis Data Jumlah Posisi Keterangan
1 Nama Perusahaan Asuransi Numeric 5 1-5 Diisi dengan sandi nama perusahaan Asuransi (sesuai lampiran)
2 Keterangan Character 50 6-55 Diisi apabila kolom "Nama Perusahaan Asuransi" berisi sandi "lainnya"
3 Jenis Perusahaan Asuransi Numeric 1 56-56 Diisi sandi "Jenis Perusahaan Asuransi " : '1' jiwa, atau '2' umum dan '3' reassuransi
4 Pihak Terkait Numeric 1 57-57 Diisi sandi "Pihak Terkait" : '1' jika ya, '2' jika tidak
Diisi sandi "Jenis Model Bisnis" (sesuai lampiran). Khusus untuk model bisnis referal ,
asuransi terkait dengan fasilitas pembiayaan dari bank seperti misalnya KPR tidak perlu
5 Jenis Model Bisnis Numeric 1 58-58 dilaporkan dalam laporan bancassurance ini
6 Jenis Produk Numeric 3 59-61 Diisi sandi "Jenis Produk" (sesuai lampiran)
7 Nama Produk Character 50 62-111 Diisi nama produk asuransi
Diisi jumlah polis didasarkan pada polis yang masih outstanding/masih berlaku/belum
8 Jumlah Polis Numeric 8 112-119 dicairkan/in force policy
Diisi jumlah nasabah didasarkan pada polis yang masih outstanding/masih .
9 Jumlah Nasabah Numeric 8 120-127 berlaku/belum dicairkan/ in force policy . Harus <= kolom jumlah polis
10 Valuta Asal Character 3 128-130 Diisi jenis valuta asal sesuai Sandi Mata Uang (terlampir)
Diisi jumlah pertanggungan dalam satuan penuh valuta asal didasarkan pada polis yang
11 Total Pertanggungan Numeric 15 131-145 masih outstanding/masih berlaku/belum dicairkan/ in force policy
368
Nama Perusahaan Asuransi
No Nama Perusahaan Sandi
1 PT. ACE Life Assurance 101
2 Asuransi Jiwa Bersama Bumiputera 1912 102
3 PT. Asuransi Jiwa Adisarana Wanaartha 103
4 PT. AIA Financial 104
5 PT. Asuransi Allianz Life Indonesia 105
6 PT. Avrist Assurance 106
7 PT AXA Financial Indonesia 107
8 PT. AXA Life Indonesia 108
9 PT. AXA Mandiri Financial Services 109
10 PT. Asuransi Jiwa Bakrie 110
11 PT. BNI Life Insurance 111
12 PT. Asuransi Jiwa Bringin Jiwa Sejahtera 112
13 PT. Asuransi Jiwa Bumi Asih Jaya 113
14 PT. Asuransi Jiwa Bumi Masyarakat Mandiri 114
15 PT. Asuransi Jiwa Central Asia Raya 115
16 PT. Asuransi CIGNA 116
17 PT. CIMB Sun Life 117
18 PT. Commonwealth Life 118
19 PT. Equity Life Indonesia 119
20 PT. Asuransi Jiwa Generali Indonesia 120
21 PT. Great Eastern Life Indonesia 121
22 PT. Heksa Eka Life Insurance 122
23 PT. Indolife Pensiontama 123
24 PT. Asuransi Jiwa Inhealth Indonesia 124
25 PT. Asuransi Jiwasraya (Persero) 125
26 PT. Asuransi Jiwa Kresna Life 126
27 PT. MAA Life Assurance 127
28 PT. Asuransi Jiwa Manulife Indonesia 128
29 PT. Mayapada Life 129
30 PT. Asuransi Jiwa Mega Life 130
31 PT. Multicor Life Insurance 131
32 PT. Asuransi Jiwa Nusantara 132
33 PT. Panin Anugrah life 133
34 PT. Panin Life Tbk 134
35 PT. Pasaraya Life Insurance 135
36 PT. Prudential Life Insurance 136
37 PT. Asuransi Jiwa Recapital 137
38 PT. Asuransi Jiwa Sequis Financial 138
39 PT. Asuransi Jiwa Sequis Life 139
40 PT. Asuransi Jiwa Sinarmas 140
41 PT. Sun Life Financial Indonesia 141
42 PT. Asuransi Syariah Mubarakah 142
43 PT. Asuransi Takaful Keluarga 143
44 PT. Asuransi Jiwa Tugu Mandiri 144
45 PT. UOB Life - Sun Assurance 145
46 PT. Asuransi Winterthur Life Indonesia 146
47 PT. ACE INA Insurance 201
369
Nama Perusahaan Asuransi
No Nama Perusahaan Sandi
48 PT. Arthagraha General Insurance 202
49 PT. Asia Reliance General Insurance 203
50 PT. Asuransi Adira Dinamika 204
51 PT. Asuransi AIOI Indonesia 205
52 PT. Asuransi AIU Indonesia 206
53 PT. Asuransi Allianz Utama Indonesia 207
54 PT. Asuransi Andika Raharja Putera 208
55 PT. Asuransi Artarindo 209
56 PT. Asuransi Asoka Mas 210
57 PT. Asuransi Asrtra Buana 211
58 PT. Asuransi AXA Indonesia 212
59 PT. Asuransi Bangun Askrida 213
60 PT. Asuransi Bhakti Bhayangkara 214
61 PT. Asuransi Bina Dana Arta Tbk 215
62 PT. Asuransi Binagriya Upakara 216
63 PT. Asuransi Bintang Tbk 217
64 PT. Asuransi Bosowa Periskop 218
65 PT. Bringin Sejahtera Artamakmur 219
66 PT. Asuransi Buana Independent 220
67 PT. Asuransi Central Asia 221
68 PT. Asuransi Chubb Indonesia 222
69 PT. Asuransi Dayin Mitra Tbk 223
70 PT. Asuransi Dharma Bangsa 224
71 PT. Asuransi Eka Lloyd Jaya 225
72 PT. Asuransi Ekspor Indonesia 226
73 PT. Asuransi Umum Videi 227
74 PT. Asuransi Recapital 228
75 PT. Asuransi Hanjin Korindo 229
76 PT. Asuransi Harta Aman Pratama Tbk 230
77 PT. Asuransi Himalaya Pelindung 231
78 PT. Asuransi Indrapura 232
79 PT. Asuransi Intra Asia 233
80 PT. Jamindo General Insurance 234
81 PT. Asuransi Jasa Indonesia (Persero) 235
82 PT. Asuransi Jasaraharja Putera 236
83 PT. Asuransi Jasa Tania 237
84 PT. Pan Pacific Insurance 238
85 PT. Asuransi Jaya Proteksi 239
86 PT. Asuransi Karyamas Sentralindo 240
87 PT. Asuransi Kredit Indonesia (Persero) 241
88 PT. Asuransi Maipark Indonesia 242
89 PT. Asuransi Mega Pratama 243
90 PT. Asuransi Mitra Maparya 244
91 PT. Asuransi MSIG Indonesia 245
92 PT. Asuransi Multi Artha Guna Tbk 246
93 PT. Asuransi Parolamas 247
94 PT. Asuransi Permata Nipponkoa Indonesia 248
95 PT. Asuransi Puri Asih 249
370
Nama Perusahaan Asuransi
No Nama Perusahaan Sandi
96 PT. Asuransi Purna Artanugraha 250
97 PT. Asuransi Putra Mandiri 251
98 PT. Asuransi QBE Pool Indonesia 252
99 PT. Asuransi Raksa Pratikara 253
100 PT. Asuransi Rama Satria Wibawa 254
101 PT. Asuransi Ramayana Tbk 255
102 PT. Asuransi Raya 256
103 PT. Asuransi Reliance Indonesia 257
104 PT. Asuransi Samsung Tugu 258
105 PT. Asuransi Sarijaya 259
106 PT. Asuransi Sinar Mas 260
107 PT. Asuransi Starlite International 261
108 PT. Asuransi Takaful Umum 262
109 PT. Asuransi Tokio Marine Indonesia 263
110 PT. Asuransi Tri Pakarta 264
111 PT. Asuransi Tugu Kresna Pratama 265
112 PT. Asuransi Umum Bumiputeramuda 1967 266
113 PT. Asuransi Umum Centris 267
114 PT. Asuransi Umum Mega 268
115 PT. Asuransi Wahana Tata 269
116 PT. Asuransi Wuwungan 270
117 PT. Batavia Mitratama Insurance 271
118 PT. Berdikari Insurance 272
119 PT. China Insurance Indonesia 273
120 PT. Citra International Underwriters 274
121 PT. Kurnia Insurance Indonesia 275
122 PT. LIG Insurance Indonesia 276
123 PT. Lippo General Insurance Tbk 277
124 PT. Asuransi Lloyd Indonesia 278
125 PT. MAA General Assurance 279
126 PT. Maskapai Asuransi Sonwellis 280
127 PT. Pacific International Indonesia Insurance 281
128 PT. Panin Insurance Tbk 282
129 PT. Sarana Lindung Upaya 283
130 PT. Sompo Japan Insurance Indonesia 284
131 PT. Staco Jasapratama 285
132 PT. Transpacific General Insurance 286
133 PT. Tugu Pratama Indonesia 287
134 PT. Asuransi Wanamekar Handayani 288
135 PT. Zurich Insurance Indonesia 289
136 PT. ASKES (Persero) 290
137 PT. ASABRI (Persero) 291
138 PT. Jamsostek (Persero) 292
139 PT. Jasa Raharja (Persero) 293
140 PT. TASPEN (Persero) 294
141 PT. Maskapai Reasuransi IndonesiaTbk 301
142 PT. Reasuransi International Indonesia 302
143 PT. Reasuransi Nasional Indonesia 303
144 PT. Tugu Reasuransi Indonesia 304
145 Lainnya 999
371
Lampiran 17
372
Lampiran 17 Surat Edaran Bank Indonesia Nomor 13/28/DPNP tanggal 9 Desember 2011
LAMPIRAN 21
I. LATAR BELAKANG
373
manajemen untuk mengerahkan sumber daya agar sistem
pengendalian Fraud dapat diimplementasikan secara efektif dan
berkesinambungan.
5. Pedoman penerapan strategi anti Fraud dalam ketentuan ini
mengarahkan Bank dalam melakukan pengendalian Fraud
melalui upaya-upaya yang tidak hanya ditujukan untuk
pencegahan namun juga untuk mendeteksi dan melakukan
investigasi serta memperbaiki sistem sebagai bagian dari strategi
yang bersifat integral dalam mengendalikan Fraud.
374
penerapan Manajemen Risiko, khususnya yang terkait dengan
aspek sistem pengendalian intern.
3. Keberhasilan strategi anti Fraud dipengaruhi oleh lingkungan
yang mendukung terciptanya kondisi yang kondusif sehingga
semua pihak yang terkait dapat berperan dengan baik dalam
mengimplementasikan sistem pengendalian Fraud.
4. Struktur strategi anti Fraud secara utuh menggabungkan
prinsip dasar dari Manajemen Risiko khususnya pengendalian
intern dan tata kelola yang baik. Implementasi strategi anti
Fraud dalam bentuk sistem pengendalian Fraud dijabarkan
melalui 4 (empat) pilar strategi pengendalian Fraud yang saling
berkaitan yaitu: (i) pencegahan; (ii) deteksi; (iii) investigasi,
pelaporan, dan sanksi; (iv) serta pemantauan, evaluasi, dan
tindak lanjut.
375
Kewenangan dan tanggung jawab tersebut paling kurang sebagai
berikut:
a. pengembangan budaya dan kepedulian terhadap anti Fraud
pada seluruh jenjang organisasi, antara lain meliputi
deklarasi anti fraud statement dan komunikasi yang memadai
kepada seluruh jenjang organisasi tentang perilaku yang
termasuk tindakan Fraud;
b. penyusunan dan pengawasan penerapan kode etik terkait
dengan pencegahan Fraud bagi seluruh jenjang organisasi;
c. penyusunan dan pengawasan penerapan strategi anti Fraud
secara menyeluruh;
d. pengembangan kualitas sumber daya manusia (SDM),
khususnya yang terkait dengan peningkatan awareness dan
pengendalian Fraud;
e. pemantauan dan evaluasi atas kejadian-kejadian Fraud serta
penetapan tindak lanjut; dan
f. pengembangan saluran komunikasi yang efektif di internal
Bank agar seluruh pejabat/pegawai Bank memahami dan
mematuhi kebijakan dan prosedur yang berlaku, termasuk
kebijakan dalam rangka pengendalian Fraud.
2. Struktur Organisasi dan Pertanggungjawaban
Untuk mendukung efektifitas penerapan strategi anti Fraud,
Bank wajib memiliki unit atau fungsi yang menangani
implementasi strategi anti Fraud. Hal-hal yang perlu
diperhatikan dalam pembentukan unit atau fungsi tersebut
paling kurang sebagai berikut:
a. pembentukan unit atau fungsi dalam struktur organisasi
disesuaikan dengan karakteristik dan kompleksitas kegiatan
usaha Bank;
b. penetapan uraian tugas dan tanggung jawab yang jelas;
376
c. pertanggungjawaban unit atau fungsi tersebut langsung
kepada Direktur Utama serta hubungan komunikasi dan
pelaporan secara langsung kepada Dewan Komisaris; dan
d. pelaksanaan tugas pada unit atau fungsi tersebut harus
dilakukan oleh SDM yang memiliki kompetensi, integritas,
dan independensi, serta didukung dengan
pertanggungjawaban yang jelas.
3. Pengendalian dan Pemantauan
Dalam melakukan pengendalian dan pemantauan, Bank wajib
melakukan langkah-langkah yang fokus untuk meningkatkan
efektifitas penerapan strategi anti Fraud. Langkah-langkah
tersebut paling kurang sebagai berikut:
a. penetapan kebijakan dan prosedur pengendalian yang
khusus ditujukan untuk pengendalian Fraud;
b. pengendalian melalui kaji ulang baik oleh manajemen (top
level review) maupun kaji ulang operasional (functional
review) oleh SKAI atas pelaksanaan strategi anti Fraud;
c. pengendalian di bidang SDM yang ditujukan untuk
peningkatan efektivitas pelaksanaan tugas dan pengendalian
Fraud, misalnya kebijakan rotasi, kebijakan mutasi, cuti
wajib, dan aktivitas sosial atau gathering;
d. penetapan pemisahan fungsi dalam pelaksanaan aktivitas
Bank pada seluruh jenjang organisasi, misalnya penerapan
four eyes principle dalam aktivitas perkreditan dengan tujuan
agar setiap pihak yang terkait dalam aktivitas tersebut tidak
memiliki peluang untuk melakukan dan menyembunyikan
Fraud dalam pelaksanaan tugasnya;
e. pengendalian sistem informasi yang mendukung pengolahan,
penyimpanan, dan pengamanan data secara elektronik untuk
mencegah potensi terjadinya Fraud. Termasuk dalam rangka
377
pengamanan data, Bank wajib memiliki program kontinjensi
yang memadai. Pengendalian sistem informasi ini perlu
disertai dengan tersedianya sistem akuntansi untuk
menjamin penggunaan data yang akurat dan konsisten
dalam pencatatan dan pelaporan keuangan Bank, antara lain
melalui rekonsiliasi atau verifikasi data secara berkala; dan
f. pengendalian lain dalam rangka pengendalian Fraud seperti
pengendalian aset fisik dan dokumentasi.
378
Upaya untuk menumbuhkan anti Fraud awareness dilakukan
antara lain melalui:
1) Penyusunan dan sosialisasi Anti Fraud Statement.
Contohnya kebijakan zero tolerance terhadap Fraud.
2) Program employee awareness.
Contohnya penyelenggaraan seminar atau diskusi terkait
anti Fraud, training, dan publikasi mengenai pemahaman
terhadap bentuk-bentuk Fraud, transparansi hasil
investigasi, dan tindak lanjut terhadap Fraud yang
dilakukan secara berkesinambungan.
3) Program customer awareness.
Contohnya pembuatan brosur anti Fraud, penjelasan
tertulis maupun melalui sarana lainnya untuk
meningkatkan kepedulian dan kewaspadaan
nasabah/deposan terhadap kemungkinan terjadinya
Fraud.
b. Identifikasi Kerawanan
Identifikasi kerawanan merupakan proses Manajemen Risiko
untuk mengidentifikasi, menganalisis, dan menilai potensi
risiko terjadinya Fraud.
Secara umum, identifikasi kerawanan ditujukan untuk
mengidentifikasi risiko terjadinya Fraud yang melekat pada
setiap aktivitas yang berpotensi merugikan Bank.
Bank wajib melakukan identifikasi kerawanan pada setiap
aktivitas. Hasil identifikasi didokumentasikan dan
diinformasikan kepada pihak berkepentingan dan selalu
dikinikan terutama terhadap aktivitas yang dinilai berisiko
tinggi untuk terjadinya Fraud.
379
c. Know Your Employee
Sebagai upaya pencegahan terjadinya Fraud, kebijakan know
your employee merupakan upaya pengendalian dari aspek
SDM. Kebijakan know your employee yang dimiliki Bank
paling kurang mencakup:
1) sistem dan prosedur rekruitmen yang efektif. Melalui
sistem ini diharapkan dapat diperoleh gambaran mengenai
rekam jejak calon karyawan (pre employee screening)
secara lengkap dan akurat;
2) sistem seleksi yang dilengkapi kualifikasi yang tepat
dengan mempertimbangkan risiko, serta ditetapkan secara
obyektif dan transparan. Sistem tersebut harus
menjangkau pelaksanaan promosi maupun mutasi,
termasuk penempatan pada posisi yang memiliki risiko
tinggi terhadap Fraud; dan
3) kebijakan “mengenali karyawan” (know your employee)
antara lain mencakup pengenalan dan pemantauan
karakter, perilaku, dan gaya hidup karyawan.
2. Deteksi
Pilar deteksi memuat perangkat-perangkat yang ditujukan
untuk mengidentifikasikan dan menemukan kejadian Fraud,
yang paling kurang mencakup:
a. Kebijakan dan Mekanisme Whistleblowing
Kebijakan ini ditujukan untuk meningkatkan efektifitas
penerapan sistem pengendalian Fraud dengan
menitikberatkan pada pengungkapan dari pengaduan.
Kebijakan whistleblowing harus dirumuskan secara jelas,
mudah dimengerti, dan dapat diimplementasikan secara
efektif agar memberikan dorongan serta kesadaran kepada
pegawai dan pejabat Bank untuk melaporkan Fraud yang
380
terjadi. Untuk meningkatkan efektifitas penerapan kebijakan
whistleblowing maka kebijakan tersebut paling kurang
mencakup:
1) Perlindungan kepada Whistleblower
Bank harus memiliki komitmen untuk memberikan
dukungan dan perlindungan kepada setiap pelapor Fraud
serta menjamin kerahasiaan identitas pelapor Fraud dan
laporan Fraud yang disampaikan.
2) Regulasi yang terkait dengan Pengaduan Fraud
Bank perlu menyusun ketentuan internal terkait
pengaduan Fraud dengan mengacu pada ketentuan dan
perundang-undangan yang berlaku.
3) Sistem Pelaporan dan Mekanisme Tindak Lanjut Laporan
Fraud
Bank perlu menyusun sistem pelaporan Fraud yang efektif
yang memuat kejelasan proses pelaporan, antara lain
mengenai tata cara pelaporan, sarana, dan pihak yang
bertanggung jawab untuk menangani pelaporan. Sistem
pelaporan harus didukung dengan adanya kejelasan
mekanisme tindak lanjut terhadap kejadian Fraud yang
dilaporkan.
Kebijakan tersebut wajib ditransparankan dan diterapkan
secara konsisten agar dapat menimbulkan kepercayaan
seluruh karyawan Bank terhadap kehandalan dan
kerahasiaan mekanisme whisleblowing.
b. Surprise Audit
Kebijakan dan mekanisme surprise audit perlu dilakukan
terutama pada unit bisnis yang berisiko tinggi atau rawan
terhadap terjadinya Fraud. Pelaksanaan surprise audit dapat
381
meningkatkan kewaspadaan karyawan dalam melaksanakan
tugasnya.
c. Surveillance System
Surveillance system merupakan suatu tindakan pengujian
atau pemeriksaan yang dilakukan tanpa diketahui atau
disadari oleh pihak yang diuji atau diperiksa dalam rangka
memantau dan menguji efektifitas kebijakan anti Fraud.
Surveillance system dapat dilakukan oleh pihak independen
dan/atau pihak internal Bank.
3. Investigasi, Pelaporan, dan Sanksi
Pilar investigasi, pelaporan, dan sanksi memuat perangkat-
perangkat yang ditujukan untuk menggali informasi, sistem
pelaporan termasuk pengenaan sanksi atas kejadian Fraud,
yang paling kurang mencakup:
a. Investigasi
Investigasi dilakukan untuk mengumpulkan bukti-bukti yang
terkait dengan kejadian yang patut diduga merupakan
tindakan Fraud.
Investigasi merupakan bagian penting dalam sistem
pengendalian Fraud yang memberikan pesan kepada setiap
pihak terkait bahwa setiap indikasi tindakan Fraud yang
terdeteksi akan selalu diproses sesuai standar investigasi
yang berlaku dan pelakunya akan diproses sesuai ketentuan
yang berlaku.
Standar investigasi yang dimiliki Bank paling kurang
mencakup:
1) penentuan pihak yang berwenang melaksanakan
investigasi dengan memperhatikan independensi dan
kompetensi yang dibutuhkan; dan
10
382
2) mekanisme pelaksanaan investigasi dalam rangka
menindaklanjuti hasil deteksi dengan tetap menjaga
kerahasiaan informasi yang diperoleh.
b. Pelaporan
Bank wajib memiliki mekanisme pelaporan yang efektif atas
pelaksanaan investigasi dan kejadian Fraud yang ditemukan.
Mekanisme pelaporan tersebut mencakup pelaporan secara
internal kepada pihak manajemen Bank maupun kepada
Bank Indonesia.
c. Pengenaan Sanksi
Bank wajib memiliki kebijakan pengenaan sanksi secara
internal yang efektif dalam rangka menindaklanjuti hasil
investigasi agar menimbulkan efek jera bagi para pelaku
Fraud. Kebijakan ini paling kurang memuat hal-hal berikut:
1) mekanisme pengenaan sanksi; dan
2) pihak yang berwenang mengenakan sanksi.
Kebijakan pengenaan sanksi harus diterapkan secara
transparan dan konsisten.
4. Pemantauan, Evaluasi, dan Tindak Lanjut
Pilar pemantauan, evaluasi, dan tindak lanjut memuat
perangkat-perangkat yang ditujukan untuk memantau dan
mengevaluasi kejadian Fraud serta tindak lanjut yang
diperlukan berdasarkan hasil evaluasi, paling kurang
mencakup:
a. Pemantauan
Salah satu langkah penting dalam mengimplementasikan
sistem pengendalian Fraud adalah memantau tindak lanjut
yang dilakukan terhadap kejadian-kejadian Fraud, baik
sesuai ketentuan internal Bank maupun sesuai dengan
ketentuan dan peraturan perundang-undangan yang berlaku.
11
383
b. Evaluasi
Untuk mendukung pelaksanaan evaluasi, Bank perlu
memelihara data kejadian Fraud (Fraud profiling). Data
kejadian tersebut dapat digunakan sebagai alat bantu
evaluasi. Data kejadian Fraud tersebut, paling kurang
mencakup data dan informasi sebagaimana tercakup dalam
Lampiran 2.
Berdasarkan data kejadian Fraud dan hasil evaluasi tersebut
dapat diidentifikasi kelemahan dan penyebab terjadinya
Fraud serta ditentukan langkah-langkah perbaikan yang
diperlukan, termasuk memperkuat sistem pengendalian
intern. Evaluasi menyeluruh terhadap sistem pengendalian
Fraud perlu dilakukan secara berkala.
c. Tindak lanjut
Bank wajib memiliki mekanisme tindak lanjut berdasarkan
hasil evaluasi atas kejadian Fraud untuk memperbaiki
kelemahan-kelemahan dan memperkuat sistem pengendalian
intern agar dapat mencegah terulangnya kembali Fraud
karena kelemahan yang serupa.
MULIAMAN D. HADAD
12
384
Lampiran 18
385
Surat Edaran Bank Indonesia Nomor 13/28/DPNP tanggal 9 Desember 2011
PT BANK ………
LAPORAN PENERAPAN STRATEGI ANTI FRAUD
SEMESTER I/II*) – TAHUN ……
.............,.................................
(ttd)
(.................................)
*) dicoret salah satu
386
PENJELASAN UNTUK PENGISIAN LAPORAN
a) Menjelaskan secara singkat mengenai hasil evaluasi dan langkah-langkah tindak lanjut penerapan strategi anti
Fraud pada periode laporan.
b) Jenis Fraud antara lain, kecurangan, penipuan, penggelapan aset, pembocoran informasi, tindak pidana bank,
atau lainnya.
c) Pihak yang terlibat meliputi seluruh pihak yang diindikasikan terlibat/ikut serta dalam Fraud. Jika pihak yang
terlibat lebih dari 1 (satu) orang, dijelaskan peran masing-masing pihak.
d) Kerugian diisi dengan kerugian yang telah terjadi ataupun perkiraan kerugian.
e) Tindakan Bank merupakan respon Bank atas kejadian Fraud baik berupa tindakan kepada pelaku, pihak yang
dirugikan ataupun tindakan lainnya. Tindakan kepada pelaku Fraud antara lain berupa sanksi administratif
kepegawaian dan/atau kewajiban ganti rugi. Tindakan kepada pihak yang dirugikan antara lain berupa
penggantian kerugian dan/atau upaya pemulihan nama baik. Tindakan lain misalnya laporan kepada pihak yang
berwenang dan/atau upaya hukum yang dilakukan.
f) Kelemahan/penyebab terjadinya Fraud merupakan identifikasi kelemahan pada Bank yang menimbulkan Fraud,
dapat berupa kelemahan kebijakan, sistem dan prosedur, atau sumber daya manusia, maupun penyebab lainnya
yang tidak berasal dari Bank.
g) Tindak lanjut/perbaikan merupakan upaya yang telah atau akan dilakukan Bank terkait kelemahan yang
menimbulkan Fraud.
MULIAMAN D. HADAD
387
Lampiran 19
388
Surat Edaran bank Indonesia Nomor 13/29/DPNP Tahun 2011
I. LATAR BELAKANG
1. Semakin berkembangnya inovasi layanan Bank dalam
menyediakan produk dan/atau aktivitas yang disesuaikan
dengan kebutuhan nasabahnya mendorong adanya suatu
segmen nasabah tertentu yang menginginkan Bank dapat
memberikan layanan perbankan secara lebih personal dan
mendapatkan tambahan layanan keistimewaan tertentu.
2. Selama ini upaya Bank untuk memenuhi kebutuhan Nasabah
Prima berpotensi meningkatkan profil risiko perbankan,
khususnya risiko operasional, risiko hukum, dan risiko
reputasi. Sehubungan dengan hal tersebut, telah diatur secara
bank-wide antara lain mengenai penerapan manajemen risiko,
anti pencucian uang dan pencegahan pendanaan teroris, serta
transparansi informasi produk Bank dan penggunaan data
pribadi nasabah sebagai acuan standar minimal bagi Bank
dalam memberikan layanan kepada nasabahnya.
3. Mengingat potensi risiko LNP sebagaimana dikemukakan di
atas, maka atas layanan tersebut dipandang perlu untuk
merumuskan suatu standar minimal sebagai pedoman
penyusunan kebijakan dan penerapan manajemen risiko pada
aspek tertentu. Standar minimal dimaksud antara lain
didasarkan pada ketentuan Bank Indonesia yang mengatur
mengenai penerapan manajemen risiko, serta memperhatikan
pengaturan mengenai anti pencucian uang dan pencegahan
pendanaan teroris, serta transparansi informasi produk bank
dan penggunaan data pribadi nasabah.
1
389
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
2
390
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
3
391
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
4
392
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
5
393
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
Contoh:
Dalam hal Bank memiliki tiga kelompok Nasabah Prima, maka
Bank menetapkan:
a. penggunaan nama yang berbeda untuk masing-masing
kelompok, misalnya kelompok A, kelompok B, dan
kelompok C.
b. batas minimum dan maksimum total simpanan pada
dan/atau pinjaman dari Bank, dan/atau nilai produk
keuangan non Bank yang dibeli melalui Bank secara
bertingkat, misalnya untuk menjadi Nasabah Prima
kelompok A paling sedikit Rp500.000.000,00 (lima ratus
juta rupiah), kelompok B paling sedikit
Rp1.000.000.000,00 (satu milyar rupiah), dan kelompok C
paling sedikit Rp5.000.000.000,00 (lima milyar rupiah)
atau ekuivalennya dalam valuta asing.
6
394
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
7
395
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
4) Sistem remunerasi
Bank menetapkan sistem remunerasi yang jelas dan
transparan. Misalnya dalam rangka menetapkan
formulasi struktur insentif, selain mempertimbangkan
pencapaian target finansial, Bank juga memperhatikan
kualitas layanan.
5) Kebijakan pengendalian risiko yang terkait dengan
manajemen SDM
Pengendalian risiko yang terkait dengan sistem dan
proses di bidang manajemen SDM dilakukan antara
lain dengan menetapkan kode etik pegawai,
peningkatan kompetensi dan integritas SDM,
pengaturan dan pengawasan internal yang memadai
pada proses rekrutmen, rotasi, mutasi, promosi, dan
cuti.
6) Kebijakan evaluasi secara berkala
Dalam rangka menilai tingkat kecukupan dan
konsistensi penerapan kebijakan dan prosedur di
bidang SDM, Bank harus melakukan evaluasi secara
berkala.
b. Operasional LNP
Dalam rangka melaksanakan kebijakan LNP yang telah
ditetapkan, maka diperlukan adanya prosedur tertulis
operasional LNP yang telah mempertimbangkan hasil
proses identifikasi, pengukuran, pemantauan, dan
pengendalian risiko serta sistem informasi manajemen
risiko. Prosedur operasional LNP meliputi setiap produk
dan/atau aktivitas yang ditawarkan dalam LNP. Penetapan
prosedur khusus pada LNP harus memenuhi ketentuan
yang mengatur mengenai penerapan manajemen risiko
8
396
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
9
397
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
10
398
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
11
399
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
12
400
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
13
401
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
14
402
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
15
403
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
16
404
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
17
405
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
18
406
PEDOMAN PENERAPAN MANAJEMEN RISIKO
PADA BANK UMUM YANG MELAKUKAN
LAYANAN NASABAH PRIMA
19
407
Lampiran 20
408
Lampiran 20 Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
409
No. POS - POS BANK KONSOLIDASI
PASIVA
1. Giro
a. Rupiah
b. Valuta asing
2. Kewajiban segera lainnya
3. Tabungan
4. Simpanan berjangka
a. Rupiah
i. Pihak terkait dengan bank
ii. Pihak lain
b. Valuta asing
i. Pihak terkait dengan bank
ii. Pihak lain
5. Sertifikat deposito
a. Rupiah
b. Valuta asing
6. Simpanan dari bank lain
7. Kewajiban pembelian kembali surat berharga
yang dijual dengan syarat repo
8. Kewajiban derivatif
9. Kewajiban akseptasi
10. Surat berharga yang diterbitkan
a. Rupiah
b. Valuta asing
11. Pinjaman yang diterima
a. Fas. pendanaan jangka pendek Bank Indonesia
b. Lainnya
i. Rupiah
- Pihak terkait dengan bank
- Pihak lain
ii. Valuta asing
- Pihak terkait dengan bank
- Pihak lain
12. Estimasi kerugian komitmen & kontinjensi
13. Kewajiban sewa guna usaha
14. Beban yang masih harus dibayar
15. Taksiran pajak penghasilan
16. Kewajiban pajak tangguhan
17. Kewajiban lain-lain
18. Pinjaman subordinasi
a. Pihak terkait dengan bank
b. Pihak lain
19. Modal Pinjaman
a. Pihak terkait dengan bank
b. Pihak lain
20. Hak minoritas
21. Ekuitas
a. Modal disetor
b. Agio (disagio)
c. Modal sumbangan
d. Dana setoran modal
e. Selisih penjabaran laporan keuangan
f. Selisih penilaian kembali aktiva tetap
g. Laba (rugi) yang belum direalisasi dari surat berharga
h. Pendapatan komprehensif lainnya
i. Saldo laba (rugi) tahun lalu
j. Saldo laba (rugi) tahun berjalan
Total Pasiva
410
Lampiran 21
411
Lampiran 21 Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
412
Lampiran 22
413
Lampiran 22 Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
414
Lampiran 23
415
Lampiran 23 Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
5. Kekurangan modal dari Risk Based Capital untuk Perusahaan Anak yang
melakukan kegiatan usaha Asuransi (-/-)
6. Kekurangan Penyisihan Penghapusan Aktiva/ PPA (-/-)
B. MODAL PELENGKAP
(Maks. 100% dari Modal Inti)
1. Cadangan Revaluasi Aktiva Tetap
2. Selisih penilaian aktiva dan kewajiban akibat kuasi reorganisasi
3. Cadangan Umum Penyisihan Penghapusan Aktiva Produktif/PPAP (maks.
1,25% dari ATMR)
4. Modal Pinjaman
5. Pinjaman Subordinasi (maks.50% dari Modal Inti)
6. Peningkatan harga saham pada portofolio tersedia untuk dijual (45%)
C. MODAL PELENGKAP TAMBAHAN YANG MEMENUHI PERSYARATAN
D. MODAL PELENGKAP TAMBAHAN YANG DIALOKASIKAN UNTUK
MENGANTISIPASI RISIKO PASAR
416
Lampiran 24
417
Lampiran 24 Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
Bank :
Tanggal :
1. Total Aktiva Tertimbang Menurut Risiko (ATMR) untuk Risiko Kredit (sesuai ketentuan berlaku mengenai KPMM)*
2. Modal Inti (setelah diperhitungkan faktor pengurang, sesuai ketentuan berlaku mengenai KPMM)*
3. Modal Pelengkap (setelah diperhitungkan faktor pengurang, sesuai ketentuan berlaku mengenai KPMM)*
Risiko Suku Bunga Risiko Perubahan Harga Option 12,5 x Total (Ekuivalen
Risiko Nilai Tukar Risiko Ekuitas Total
Risiko Spesifik Risiko Umum Risiko Suku Bunga Risiko Nilai Tukar ATMR)
0 0 0 0 0 0 0 0
Modal Inti yang dialokasikan untuk mengantisipasi risiko pasar (minimum 28.5% x
7.
total beban modal)
8. Modal Pelengkap yang dialokasikan untuk mengantisipasi risiko pasar (yaitu yang dapat ditambahkan untuk Modal Pelengkap Tambahan)
* Laporan Bank dilakukan berdasarkan perhitungan Bank sendiri, sedangkan Bank Indonesia akan menggunakan data pengawasan yang ada di Bank Indonesia
418
Lampiran 25
419
Lampiran 25 Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
A. AKTIVA PRODUKTIF
1. Penempatan pada bank lain
PPA yang wajib dibentuk - Penempatan pada bank lain
2. Surat-surat berharga
a. Diperdagangkan
3. Kredit
a. Konsumsi
b. Modal Kerja
c. Investasi
4. Penyertaan
a. Pada perusahaan keuangan selain asuransi
b. Pada perusahaan asuransi
5. Tagihan lain
PPA yang wajib dibentuk - Tagihan Lain
PPA yang telah dibentuk - Tagihan Lain
JUMLAH
420
Lampiran 26
421
Surat Edaran Bank Indonesia Nomor 8/27/DPNP tanggal 27 November 2006
Lampiran 26
Nama Individu/ Nama Status Hubungan BANK PERUSAHAAN ANAK KONSOLIDASI Pelampauan/
No Peminjam kelompok/ Kelompok Keterkaitan Jenis Jangka Jumlah Jenis Jangka Jumlah Modal Jumlah Pelanggaran Kualitas Keterangan
Total Kelompok dengan Bank Penyediaan Waktu Penyediaan Dana Kurs Penyediaan Waktu Penyediaan Dana Kurs Konsolidasi **) Penyediaan Dana BMPK
Dana Awal Jatuh Tempo Rp Valas*) Dana Awal Jatuh Tempo Rp Valas*) Rp Valas*) Nominal (Rp) %
(1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (15) (16) (17) (18) (19) (20) (21) (22) (23) (24)
TOTAL
422
27.a
Lampiran 29.a
Surat Edaran Bank Indonesia Nomor 8/27/DPNP Tahun 2006
LAPORAN PELAMPAUAN BMPK SECARA KONSOLIDASI UNTUK PIHAK TIDAK TERKAIT
NAMA BANK
LAPORAN TANGGAL
TOTAL
423
PERUSAHAAN ANAK KONSOLIDASI
Jumlah Modal Jumlah Pelampauan BMPK Kualitas Keterangan
Penyediaan Dana Kurs Konsolidasi Penyediaan Dana
Rp Valas*) **) Rp Valas*) Nominal (Rp) %
(14) (15) (16) (17) (18) (19) (20) (21) (22) (23)
424
29.b
Lampiran 27.b
Surat Edaran Bank Indonesia Nomor 8/27/DPNP Tahun 2006
LAPORAN PELANGGARAN BMPK SECARA KONSOLIDASI UNTUK PIHAK TIDAK TERKAIT
NAMA BANK
LAPORAN TANGGAL
TOTAL
*) nilai ekuivalen dalam rupiah dengan menggunakan kurs tanggal realisasi penyediaan dana
**) modal konsolidasi merupakan modal konsolidasi pada triwulan terakhir sebelum realisasi penyediaan dana
425
AAN ANAK KONSOLIDASI
Jumlah Modal Jumlah Pelanggaran BMPK Kualitas Keterangan
Penyediaan Dana Kurs Konsolidasi Penyediaan Dana
Valas*) **) Rp Valas*) Nominal (Rp) %
(15) (16) (17) (18) (19) (20) (21) (22) (23)
426
Lampiran 30
LAMPIRAN 28 Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember 2007
382
427
426
427
444
461
471
476
487
496
501
517
523
538
383
428
KATA PENGANTAR
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum ii
429
BAB I –MANAJEMEN
BAB I
MANAJEMEN
1.1. PENDAHULUAN
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 1
430
BAB I –MANAJEMEN
1.2.1.2. Direksi
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 2
431
BAB I –MANAJEMEN
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 3
432
BAB I –MANAJEMEN
Untuk dapat melakukan tugasnya secara efektif dan efisien, komite harus
melakukan pertemuan secara berkala untuk membicarakan hal-hal yang terkait
dengan strategi TI yang didokumentasikan dalam bentuk risalah rapat.
Wewenang dan tanggung jawab Komite Pengarah TI adalah memberikan
rekomendasi kepada direksi yang paling kurang mencakup:
a. Rencana Strategis TI (Information Technology Strategic Plan) yang sesuai
dengan rencana strategis kegiatan usaha Bank. Dalam memberikan rekomendasi,
Komite hendaknya memperhatikan faktor efisiensi, efektifitas serta hal-hal
sebagai berikut:
1) rencana pelaksanaan (road-map) untuk mencapai kebutuhan TI yang
mendukung strategi bisnis Bank. Road map terdiri dari kondisi saat ini
(current state), kondisi yang ingin dicapai (future state) serta langkah-langkah
yang akan dilakukan untuk mencapai future state;
2) sumber daya yang dibutuhkan;
3) keuntungan / manfaat yang akan diperoleh saat rencana diterapkan.
b. perumusan kebijakan dan prosedur TI yang utama seperti kebijakan pengamanan
TI dan manajemen risiko terkait penggunaan TI di Bank;
c. kesesuaian proyek-proyek TI yang disetujui dengan Rencana Strategis TI. Komite
juga menetapkan status prioritas proyek TI yang bersifat kritikal (berdampak
signifikan terhadap kegiatan operasional Bank) misalnya pergantian core Banking
application, server production dan topologi jaringan;
d. kesesuaian pelaksanaan proyek-proyek TI dengan rencana proyek (project
charter) yang disepakati dalam service level agreement. Komite hendaknya
melengkapi rekomendasi dengan hasil analisis dari proyek-proyek TI yang utama
sehingga memungkinkan direksi mengambil keputusan secara efisien;
e. kesesuaian TI dengan kebutuhan sistem informasi manajemen yang mendukung
pengelolaan kegiatan usaha Bank;
f. efektivitas langkah-langkah minimalisasi risiko atas investasi Bank pada sektor TI
dan bahwa investasi tersebut memberikan kontribusi terhadap tercapainya tujuan
bisnis Bank;
g. pemantauan atas kinerja TI, dan upaya peningkatannya misalnya dengan
mendeteksi keusangan TI dan mengukur efektivitas dan efisiensi penerapan
kebijakan pengamanan TI;
h. upaya penyelesaian berbagai masalah terkait TI, yang tidak dapat diselesaikan
oleh satuan kerja pengguna dan satuan kerja penyelenggara. Komite dapat
memfasilitasi hubungan antara kedua satuan kerja tersebut;
i. kecukupan dan alokasi sumber daya yang dimiliki Bank. Apabila sumber daya
yang dimiliki tidak memadai dan Bank akan menggunakan jasa pihak lain dalam
penyelenggaraan TI maka Komite Pengarah TI harus memastikan Bank telah
memiliki kebijakan dan prosedur terkait.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 4
433
BAB I –MANAJEMEN
Dalam struktur organisasi, Bank harus menetapkan pejabat tertinggi yang hanya
membawahi bidang TI. Jabatan tersebut dapat dibawahi oleh direktur TI atau
pimpinan satuan kerja TI sesuai dengan kompleksitas usaha di Bank. Wewenang
dan tanggung jawab utama dari pejabat tertinggi TI tersebut minimal (namun tidak
terbatas pada), mencakup hal-hal berikut:
a. merumuskan kebijakan, rencana dan anggaran TI;
b. menerapkan semua kebijakan TI dan rencana yang telah ditetapkan oleh direksi;
c. memberikan dukungan pemberian jasa TI kepada satuan kerja pengguna
untuk mencapai target bisnisnya secara responsif dan tepat waktu;
d. memastikan setiap informasi yang dimiliki oleh satuan kerja pengguna
TI mendapatkan perlindungan yang baik terhadap semua gangguan yang
dapat menyebabkan kerugian akibat bocornya data/informasi penting;
e. memastikan kecukupan dan efektifitas kebijakan dan prosedur TI serta
penerapan manajemen risiko untuk mengidentifikasi, mengukur, menilai dan
mengawasi risiko TI;
f. memastikan terdapatnya pengawasan yang memadai dalam setiap
pengembangan atau modifikasi sistem TI;
g. memberikan kepada direksi laporan pelaksanaan TI secara periodik dan jika
diperlukan dapat mengusulkan tindakan untuk mengatasi kelemahan TI yang
telah ditemukan;
h. menilai kinerja dari layanan TI di Bank, contohnya persentase berapa lama
sistem mati (downtime error), pelanggaran keamanan, perkembangan proyek,
penerapan perjanjian tingkat layanan (Service Level Agreement - SLA) antara
satuan kerja TI dan satuan kerja pengguna atau pihak penyedia jasa TI;
i. memastikan tindakan yang tepat telah dilakukan untuk memperbaiki temuan
audit baik dari auditor intern maupun auditor ekstern atau berdasarkan laporan
pemeriksaan Bank Indonesia;
j. memastikan kecukupan sumber daya manusia baik dalam penyelenggaraan TI
maupun dalam penerapan manajemen risiko ;
k. apabila pejabat tertinggi yang secara langsung membawahi TI adalah seorang
direktur maka yang bersangkutan berkewajiban mengawasi implementasi
budget TI seperti pengadaan di bidang TI dan pelatihan. Apabila pejabat
tertinggi bukan seorang direktur maka pengawasan kedua bidang tersebut dapat
dilakukan oleh direktur yang membawahi;
l. direktur TI bertanggung jawab terhadap penyusunan dan implementasi
arsitektur TI dan rencana-rencana lain yang strategis yang mempengaruhi modal
Bank secara signifikan, memastikan struktur organisasi manajemen proyek dari
seluruh proyek terkait TI digunakan dengan maksimal;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 5
434
BAB I –MANAJEMEN
m. memastikan bahwa kontrak tertulis antara Bank dengan pihak penyedia jasa TI
mencakup hal-hal yang telah diatur pada Bab X - Penggunaan Pihak Penyedia
Jasa TI.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 6
435
BAB I –MANAJEMEN
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 7
436
BAB I –MANAJEMEN
Pimpinan dari satuan kerja pengguna TI juga mempunyai tanggung jawab atas
penyelenggaraan dan penggunaan TI antara lain:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 8
437
BAB I –MANAJEMEN
Dalam hal Bank melakukan pengembangan dan pengadaan TI yang penting dan
berskala besar, diperlukan suatu pengorganisasian dalam bentuk Manajemen Proyek.
Hal ini diperlukan untuk memastikan bahwa sistem aplikasi yang diserahkan oleh
satuan kerja TI untuk digunakan oleh satuan kerja pengguna, telah dikembangkan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 9
438
BAB I –MANAJEMEN
dengan struktur yang baik dan telah mengakomodir kebutuhan pengguna serta sesuai
dengan sistem TI yang dimiliki Bank. Tim manajemen proyek mengadministrasikan
kemajuan masing-masing proyek dan membantu koordinasi antara pelaksana proyek
dan calon pengguna sistem/aplikasi TI di setiap proyek serta melaporkannya ke Komite
Pengarah TI. Bentuk manajemen proyek dalam organisasi Bank disesuaikan dengan
kompleksitas dan ukuran Bank yaitu dapat berupa suatu satuan kerja tetap atau bersifat
ad hoc.
Bank perlu memastikan terdapat suatu SIM yang dapat menghasilkan informasi yang
diperlukan dalam rangka mendukung peran dan fungsi manajemen secara efektif. SIM
harus dapat menyajikan informasi yang dibutuhkan secara lengkap, akurat, terkini,
utuh, aman, benar, konsisten, tepat waktu, relevan dan dapat diaplikasikan untuk
memudahkan proses perencanaan dan pengambilan keputusan yang mendukung usaha-
usaha pencapaian strategis bisnis Bank.
Di samping itu, SIM yang dimiliki Bank harus dapat:
a. memfasilitasi pengelolaan operasional bisnis Bank termasuk pelayanan kepada
nasabah;
b. mencatat dan mengumpulkan informasi secara obyektif;
c. mendistribusikan data/informasi ke berbagai satuan kerja sesuai jenis informasi,
kualitas dan kuantitas maupun frekuensi dan waktu pengiriman laporan yang
dibutuhkan;
d. meningkatkan efektivitas dan efisiensi komunikasi di Bank;
e. membantu Bank meningkatkan kepatuhan terhadap ketentuan perundangan;
f. mendukung proses penilaian kinerja seluruh satuan kerja.
Kemajuan teknologi dapat meningkatkan ketersediaan informasi sehingga satuan kerja
TI memegang peranan penting dalam efektivitas SIM Bank. Satuan Kerja TI
menetapkan kebijakan, prosedur dan pengendalian manajemen database dan
pembuatan laporan untuk membantu memastikan keefektifan SIM.
1.2.7. Dokumentasi
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 10
439
BAB I –MANAJEMEN
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 11
440
BAB I –MANAJEMEN
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 12
441
BAB I –MANAJEMEN
e. Risiko Strategis
Risiko ini timbul karena ketidakcocokan TI yang digunakan Bank dengan
tujuan strategis Bank dan rencana strategis yang dibuat untuk mencapai
tujuan tersebut. Hal ini karena kualitas implementasi maupun sumber daya
yang digunakan TI kurang memadai. Sumber daya tersebut mencakup
saluran komunikasi, operating systems, delivery network, serta kapasitas
dan kapabilitas pengelola TI.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 13
442
BAB I –MANAJEMEN
Seperti telah diuraikan sebelumnya terdapat beberapa jenis risiko yang terkait
dengan penggunaan TI namun yang terbesar potensinya adalah risiko operasional. Hal
ini perlu mendapat perhatian mengingat risiko operasional sulit dikuantifikasi. Bank
perlu memperhatikan signifikansi dampak risiko yang telah diidentifikasi oleh Bank
terhadap kondisi bank serta frekuensi terjadinya risiko. Metode yang dapat digunakan
Bank dapat berupa kuantitatif maupun kualitatif tergantung kompleksitas usaha dan
teknologi yang digunakan. Dalam metode kualitatif, besarnya dampak dan sering
tidaknya kejadian (likelihood) dapat dijelaskan secara naratif atau dengan pemberian
ranking. Contoh metode pengukuran yang sederhana antara lain dengan menggunakan
check list atau menggunakan subjective risk rating seperti High, Medium atau Low.
Bank harus menetapkan kriteria High, Medium atau Low dalam risk rating tersebut dan
menerapkannya secara konsisten. Agar dapat memberikan hasil pengukuran risiko yang
lebih sensitif, Bank dapat meningkatkan metode pemeringkatan risikonya dari 3x3
menjadi 4x4 sampai dengan 10x10. Contoh dari pemeringkatan menggunakan matriks
risiko 5x5 adalah seperti dalam tabel berikut:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 14
443
BAB I –MANAJEMEN
2) Nilai Risiko Akhir “Medium” atau “High“, namun telah diputuskan untuk
diterima oleh Manajemen dan dibuat suatu sistem prosedur untuk memantau
risiko tersebut misalnya dengan menyediakan tambahan modal sesuai besarnya
potensi risiko.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 15
444
BAB I –MANAJEMEN
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 16
445
BAB I –MANAJEMEN
menyeluruh atas risiko yang berhubungan dengan penggunaan jasa pihak penyedia
jasa untuk sebagian atau semua operasional TI.
Untuk itu satuan kerja TI harus melakukan evaluasi kemampuan penyedia jasa
untuk menjaga tingkat keamanan paling tidak sama atau lebih ketat dari yang
diterapkan oleh pihak intern Bank baik dari sisi kerahasiaan, integritas data dan
ketersediaan informasi. Pengawasan dan pemantauan yang ketat harus dilakukan
karena tanggung jawab manajemen Bank tidak hilang atau menjadi berkurang
dengan melakukan outsourcing operasional TI kepada pihak penyedia jasa TI.
Aturan lebih lanjut dapat dilihat pada Bab X- Outsourcing;
f. selain menerapkan bentuk pengendalian tersebut di atas, asuransi dapat digunakan
sebagai pelengkap upaya memitigasi potensi kerugian dalam penyelenggaraan TI.
Risiko yang perlu diasuransikan adalah residual risk. Bank hendaknya melakukan
review secara periodik atas kebutuhan, cakupan dan nilai asuransi yang ditutup.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 17
446
BAB II –PENGEMBANGAN & PENGADAAN
BAB II
PENGEMBANGAN DAN PENGADAAN SISTEM
2.1. PENDAHULUAN
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 18
447
BAB II –PENGEMBANGAN & PENGADAAN
sistem Teknologi Informasi yang dimiliki Bank. Manajemen proyek dapat berbentuk
tim kerja yang anggotanya paling kurang berasal dari satuan kerja TI dan satuan kerja
pengguna. Sementara audit internal merupakan pihak independen yang memberikan
masukan bagi kedua satuan kerja tersebut dalam memastikan kecukupan pengendalian
di sistem aplikasi (advisory capacity).
Hal-hal yang perlu diperhatikan dalam kebijakan dan prosedur pengembangan dan
pengadaan antara lain:
a. Kebijakan dan prosedur pengembangan dan pengadaan sistem Teknologi Informasi
sekurang-kurangnya meliputi hal-hal berikut:
1) identifikasi dan analisis kebutuhan pengguna;
2) pendefinisian kebutuhan (user requirement);
3) rancangan system;
4) pemrograman;
5) pengujian;
6) implementasi;
7) post implementation review;
8) pemeliharaan.
b. Setiap pengembangan dan pengadaan sistem Teknologi Informasi harus selalu di
bawah kendali satuan kerja Teknologi Informasi.
c. Terhadap aplikasi yang dikembangkan oleh vendor atau dipengadaan dari pihak
ketiga, Bank harus melakukan proses pemilihan vendor/pihak ketiga yang mengacu
pada pedoman BI tentang outsourcing serta kebijakan dan prosedur intern. Bank
juga harus memastikan kecukupan pelatihan dan manual yang disusun sebagai
bagian dari kontrak antara Bank dan vendor.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 19
448
BAB II –PENGEMBANGAN & PENGADAAN
d. Kebijakan dan prosedur yang perlu dimiliki Bank dalam manajemen proyek antara
lain:
1) Studi kelayakan harus dilakukan untuk mengetahui biaya dan manfaat dari
pengembangan sistem, serta untuk menentukan apakah akan menggunakan
sumber daya internal atau outsource;
2) Persyaratan keamanan yang relevan harus dispesifikasikan secara jelas sebelum
sistem baru dikembangkan atau diperoleh. Persyaratan keamanan tersebut harus
sesuai dengan arsitektur keamanan informasi Bank secara keseluruhan;
3) Perencanaan yang baik harus dilakukan untuk memastikan bahwa proyek akan
memenuhi tujuannya;
4) Bank harus melakukan pemisahan lingkungan (environment) untuk
pengembangan, uji coba dan produksi, termasuk pembatasan akses ke masing-
masing lingkungan;
5) Jika sistem didukung atau dipelihara oleh vendor/pihak lain, analisis yang baik
untuk pemilihan perangkat lunak harus dilakukan untuk memastikan kebutuhan
pengguna dan bisnis dapat dipenuhi;
6) Perjanjian kontrak antara Bank dan vendor harus diikat secara hukum;
7) Bank harus menerapkan manajemen pemeliharaan untuk semua proses
pengembangan dan pengadaan sistem yang telah diimplementasikan;
8) Seluruh hasil (deliverables) pada setiap tahapan manajemen proyek harus
didokumentasikan dengan baik.
9) Bank harus memiliki rencana proyek yang formal meliputi hal-hal sebagai
berikut:
a) identifikasi proyek, sponsor, dan manajer proyek;
b) tujuan proyek, informasi latar belakang dan strategi pengembangan;
c) deskripsi tanggung jawab utama dari tiap personil dalam manajemen
proyek;
d) prosedur untuk mengumpulkan dan menyebarkan informasi;
e) kriteria hasil yang ditargetkan untuk masing-masing tahap pengembangan
(acceptance criteria);
f) masalah keamanan dan pengendalian yang harus dipertimbangkan;
g) prosedur untuk memastikan manajer menilai, mengawasi, dan mengatur
risiko internal dan eksternal dengan benar sepanjang siklus pengembangan;
h) cut off date untuk mengalihkan penggunaan sistem aplikasi dari yang lama
ke versi terbaru hasil;
i) standar pengembangan yang akan digunakan untuk pengawasan proyek,
pengendalian sistem dan kendali mutu (quality assurance);
j) jenis dan tingkatan dokumentasi yang harus dihasilkan oleh personil di
setiap tahap proyek;
k) jadwal tahapan proyek dan aktivitas yang akan diselesaikan dalam tiap
tahap;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 20
449
BAB II –PENGEMBANGAN & PENGADAAN
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 21
450
BAB II –PENGEMBANGAN & PENGADAAN
Manajemen Bank bertanggung jawab terhadap manajemen risiko dari seluruh aktivitas
yang terkait dengan pengembangan dan pengadaan sistem Teknologi Informasi.
Proses pengembangan dan pengadaan sistem Teknologi Informasi yang dilakukan oleh
Bank dapat memberikan kontribusi terhadap beberapa risiko, yaitu:
a. Risiko Operasional
Kesalahan, ketidakcukupan spesifikasi, kelemahan yang terdapat dalam sistem
yang dikembangkan atau dibeli oleh Bank dapat menimbulkan risiko operasional
antara lain terjadinya fraud, error dan ketidak sesesuaian dengan kebutuhan. Risiko
operasional tersebut juga dapat mempengaruhi risiko lainnya seperti risiko pasar,
likuiditas, strategik dan reputasi.
b. Risiko Reputasi
Kesalahan, keterlambatan atau kelalaian dalam pengembangan sistem Teknologi
Informasi yang digunakan Bank apabila mengganggu pelayanan kepada nasabah
dapat secara signifikan mempengaruhi reputasi Bank.
c. Risiko Strategik
Kegagalan sistem yang dikembangkan dapat menghasilkan data dan informasi yang
menyebabkan kesalahan pengambilan keputusan oleh manajemen.
d. Risiko Kepatuhan
Kegagalan dalam pengembangan atau akusisi sistem Teknologi Informasi untuk
mengikuti perubahan ketentuan dapat meningkatkan risiko kepatuhan bagi Bank.
Pada saat akan dilakukan pengembangan, Manajemen harus memperhatikan risiko
terkait faktor berikut ini:
a. ruang lingkup sistem yang akan dikembangkan meliputi sensitivitas data yang
diakses, dilindungi atau dikendalikan, volume transaksi, dan tingkat pentingnya
aktivitas dan fungsi tersebut terhadap bisnis Bank;
b. terkait dengan teknologi yang digunakan meliputi kehandalan (reliability),
keamanan (security), ketersediaan (availability), dan ketepatan waktu (timeliness)
serta kemampuan mengikuti perkembangan teknologi dan perubahan ketentuan.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 22
451
BAB II –PENGEMBANGAN & PENGADAAN
Berdasarkan dokumen studi kelayakan yang telah disetujui secara tertulis oleh
manajemen, manajer proyek dapat membentuk tim guna menyusun requirement
definition secara detail sebagai dasar dimulainya pengembangan sistem aplikasi. Pada
tahapan ini, seluruh kebutuhan pengguna dikumpulkan berdasarkan contoh-contoh
dokumen/form, spesifikasi proses dan sistem yang ada saat ini, interview dengan
pengguna akhir dan riset serta analisis terhadap ketentuan/regulasi yang berlaku.
Tahap pendefinisian kebutuhan pengguna ini terdiri atas:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 23
452
BAB II –PENGEMBANGAN & PENGADAAN
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 24
453
BAB II –PENGEMBANGAN & PENGADAAN
Dalam tahap ini dilakukan konversi spesifikasi desain menjadi program yang dapat
dijalankan. Selama tahap ini, Bank harus membuat rencana uji coba yang harus
dilakukan. Selain itu, Bank juga harus mengkinikan rencana migrasi, implementasi
dan pelatihan pengguna akhir, operator dan dokumentasi manual pemeliharaan.
a. Standar Pemrograman
Dalam standar pemrograman dijelaskan antara lain mengenai tanggung jawab
programmer aplikasi dan programmer sistem. Manajer proyek harus memahami
secara keseluruhan mengenai proses pemrograman untuk memastikan tanggung
jawab programmer telah sesuai, antara lain:
1) Membatasi akses programer terhadap data, program, utilitas, dan sistem di luar
tanggung jawabnya. Pengendalian librarian dapat digunakan untuk mengelola
akses tersebut.
2) Pengendalian versi merupakan metode yang secara sistematis menyimpan
kronologis dari salinan program yang disempurnakan serta menjadi salah satu
dokumentasi program.
b. Dokumentasi
1) Bank harus mengelola dan memelihara dokumentasi yang detail untuk setiap
sistem aplikasi baik yang dikembangkan sendiri maupun produk/perangkat
lunak yang dibeli atau dikembangkan pihak lain yaitu mencakup:
a) deskripsi detail aplikasi;
b) dokumentasi pemrograman;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 25
454
BAB II –PENGEMBANGAN & PENGADAAN
Pada tahap ini hal-hal utama yang perlu dilakukan antara lain pemberitahuan jadwal
implementasi, pelatihan pada pengguna dan instalasi sistem aplikasi yang telah
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 26
455
BAB II –PENGEMBANGAN & PENGADAAN
Manajemen harus melakukan review setelah implementasi pada akhir proyek untuk
mengetahui bahwa seluruh aktivitas dalam proyek telah dilaksanakan dan tujuan
proyek telah tercapai.
Manajemen harus menganalisa keefektifan aktivitas manajemen proyek dengan
membandingkan antara lain rencana dan realisasi biaya, manfaat yang diperoleh,
dan ketepatan jadual proyek. Hasil analisa harus didokumentasikan dan dilaporkan
kepada manajemen.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 27
456
BAB II –PENGEMBANGAN & PENGADAAN
Dalam hal akan digunakan sistem aplikasi yang dibeli dari pihak lain
(pengadaan), maka perlu pula diperhatikan kesesuaian spesifikasi dengan kebutuhan,
pengaruh terhadap sistem yang telah ada, dukungan teknis purna jual, kondisi
keuangan perusahaan, kelengkapan dokumentasi, escrow agreement dan pelatihan.
Sama seperti halnya mengembangkan sistem aplikasi sendiri, studi kelayakan proyek
pengadaan harus mendapat persetujuan manajemen, harus terdapat pendefinisian
kebutuhan pengguna, harus memiliki pengendalian pengamanan yang memadai dan
terdapat pengujian dan implementasi produk. Proses yang sama juga diterapkan
dalam pengadaan perangkat keras dan perangkat lunak lainnya.
Bank harus membuat kriteria pemilihan vendor dan melakukan kaji ulang
kemampuan vendor antara lain terkait dengan kondisi keuangan, tingkat dukungan
(support level), dan pengendalian keamanan, sebelum menetapkan pilihan produk
atau layanan dari vendor. Bank harus memperhatikan ketentuan terkait dan pedoman
Bank Indonesia tentang outsourcing, serta ketentuan intern Bank. Selain itu Bank
harus melakukan kaji ulang kontrak dan perjanjian lisensi (licensing agreement)
untuk memastikan hak dan tanggung jawab masing-masing pihak jelas dan wajar.
Penasehat hukum Bank harus melakukan konfirmasi bahwa jaminan pelaksanaan
(performance guarantees), akses terhadap source code, masalah hak cipta, dan
keamanan perangkat lunak/data telah diatur secara jelas sebelum pihak manajemen
menandatangani kontrak.
Standar pengadaan harus diterapkan untuk memastikan bahwa produk yang dibeli telah
memenuhi kebutuhan fungsional, kriteria keamanan, dan kehandalan. Alat utama dalam
mengatur proyek pengadaan adalah request for proposal (RFP) yang sekurang-
kurangnya memuat kebutuhan fungsional, keamanan, dan kebutuhan operasional secara
tepat, jelas dan terperinci. Dalam pengadaan sistem, manajer proyek harus melakukan
antara lain:
a. meninjau ulang secara menyeluruh mengenai kesesuaian vendor, kontrak, lisensi
dan produk yang diperoleh terhadap sistem yang ada.
a. harus membandingkan penawaran dengan persyaratan yang ada dalam proyek dan
antar sesama penawaran.
b. mengkaji kondisi keuangan vendor dan komitmennya terhadap pelayanan.
c. meminta pendapat penasehat hukum sebelum kontrak ditandatangani oleh
manajemen.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 28
457
BAB II –PENGEMBANGAN & PENGADAAN
Dalam hal aplikasi inti dibuat oleh pihak lain (vendor) dan source code tidak
diberikan, kepentingan Bank dalam rangka menjaga kelangsungan usaha perlu
dilindungi. Untuk memitigasi risiko atas terhentinya dukungan vendor maka Bank
wajib mempertimbangkan perlu tidaknya memiliki perjanjian tertulis berupa escrow
agreement atas perangkat lunak yang dianggap penting oleh Bank. Hal-hal yang
dipertimbangkan dalam penggunaan escrow agreement antara lain reputasi vendor,
perangkat lunak digunakan oleh banyak pihak baik di dalam maupun luar negeri.
Dalam escrow agreement terdapat pihak ketiga independen yang ditunjuk
untuk menyimpan source code. Bank secara periodik (minimal per tahun) harus
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 29
458
BAB II –PENGEMBANGAN & PENGADAAN
memastikan bahwa pihak ketiga menyimpan versi terkini dari source code. Agen
penyimpanan yang dipilih harus memastikan nomor dan tanggal versi source yang
disimpan dan memastikan kepada vendor mengenai integritas dari source code
tersebut.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 30
459
BAB II –PENGEMBANGAN & PENGADAAN
6) tindakan yang harus dilakukan pihak pengembang jika perangkat lunak gagal
pada saat uji coba.
c. Pemeliharaan
Bank perlu memperhatikan apakah perjanjian lisensi atau pengembangan telah
memuat kesepakatan mengenai hal-hal yang diperlukan untuk pemeliharaan
perangkat lunak seperti dokumentasi, modifikasi, pengkinian dan konversi.
Kesepatan tersebut antara lain seperti:
1) vendor memberikan dokumentasi perangkat lunak, termasuk dokumentasi
sistem aplikasi dan petunjuk teknis penggunaan;
2) pelaksanaan dan biaya dari pengkinian dan modifikasi perangkat lunak;
3) kemungkinan Bank melakukan akses ke source code bila pihak penyedia jasa
tidak dapat memberikan layanan lagi atau terdapat modifikasi yang tidak dapat
dilakukan oleh pihak penyedia jasa;
4) kemungkinan konversi perangkat lunak dan data ke perangkat lunak dan format
data yang berbeda di masa mendatang.
Apabila diperlukan, hal-hal diatas dapat dimuat dalam suatu perjanjian
pemeliharaan yang tersendiri.
d. Garansi
Penelitian perlu dilakukan Bank untuk meyakini bahwa lisensi perangkat lunak dari
pihak vendor menjamin bahwa perangkat lunak:
1) tidak melanggar hak kekayaan intelektual dari pihak lainnya di seluruh dunia
2) tidak mengandung kode rahasia/ terbatas yang tidak diungkapkan atau
pembatasan secara otomatis pada perjanjian
3) akan bekerja sesuai spesifikasi dan harus dinyatakan tanggung jawab vendor jika
terjadi permasalahan
4) dijamin pemeliharaannya oleh vendor selama yang diperjanjikan
5) perjanjian lisensi tetap berlaku apabila terjadi merger, pengadaan atau perubahan
pemilikan baik pada Bank atau vendor.
e. Penyelesaian Perselisihan
Bank harus memasukkan klausula penyelesaian perselisihan pada kontrak dan
perjanjian lisensi. Pemahaman mengenai klausula tersebut akan meningkatkan
kemampuan Bank untuk menyelesaikan permasalahan dengan cara terbaik dan
memungkinkan untuk meneruskan pengembangan perangkat lunak selama periode
penyelesaian perselisihan.
f. Perubahan Perjanjian
Bank harus memastikan bahwa pada lisensi perangkat lunak secara jelas menyatakan
bahwa vendor tidak dapat memodifikasi perjanjian tanpa adanya persetujuan dari
kedua belah pihak.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 31
460
BAB II –PENGEMBANGAN & PENGADAAN
g. Keamanan
Bank harus menetapkan kriteria pengendalian keamanan (security control) atas
sistem Teknologi Informasi yang akan menjadi standar kinerja dari fitur keamanan
dalam perjanjian lisensi dan perjanjian pengembangan perangkat lunak. Standar
tersebut harus memastikan bahwa perangkat lunak yang dikembangkan konsisten
dengan keseluruhan program keamanan yang ada di Bank. Perjanjian lisensi dan
pengembangan tersebut antara lain harus membahas:
1) tanggung jawab terus menerus dari pihak vendor untuk melindungi keamanan dan
kerahasiaan sumber daya dan data Bank.
2) larangan bagi vendor untuk menggunakan atau mengungkapkan informasi yang
dimiliki Bank tanpa persetujuan Bank.
3) garansi dari vendor bahwa perangkat lunak tidak mengandung back door yang
memungkinkan akses oleh pihak yang tidak berwenang ke dalam sistem aplikasi
dan data Bank.
4) secara eksplisit menyatakan bahwa vendor tidak akan menggunakan fitur
perangkat lunak yang dapat mengakibatkan perangkat lunak tersebut tidak
berfungsi dengan baik.
Aktivitas pemeliharaan harus dilakukan oleh Bank mencakup layanan rutin dan
modifikasi terhadap perangkat keras, perangkat lunak dan informasi yang terkait untuk
memastikan efektifitas penggunaan Teknologi Informasi Bank. Untuk ini diperlukan
Standar Operasional Prosedur tentang Manajemen Perubahan (change management)
guna memastikan perubahan yang terjadi selama tahap pemeliharaan tidak akan
mengganggu kegiatan operasional Teknologi Informasi Bank atau menurunkan
kinerja/keamanan sistem. Manajemen perubahan mencakup modifikasi secara
keseluruhan, modifikasi minor (kecil), dan perubahan yang bersifat mendesak
(modifikasi darurat).
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 32
461
BAB II –PENGEMBANGAN & PENGADAAN
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 33
462
BAB II –PENGEMBANGAN & PENGADAAN
2.4.4.3. Library
2.4.4.4. Konversi
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 34
463
BAB III–OPERASIONAL
BAB III
AKTIVITAS OPERASIONAL TEKNOLOGI INFORMASI
3.1. PENDAHULUAN
Bank wajib memiliki kebijakan yang mencakup setiap aspek operasional TI. Kedalaman
dan cakupan kebijakan tersebut disesuaikan dengan kompleksitas operasional TI Bank.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 35
464
BAB III–OPERASIONAL
Kebijakan harus dijabarkan dalam prosedur tertulis yang digunakan dalam pelaksanaan
operasional TI. Prosedur memuat tanggung jawab, akuntabilitas, pemberian wewenang,
pedoman bagi para pelaksana. Selain itu manajemen harus menetapkan standar, yaitu
persyaratan yang harus dipenuhi oleh perangkat keras dan perangkat lunak yang
dipergunakan di lingkungan produksi, pengujian, dan pengembangan dalam
penyelenggaraan TI Bank.
Kebijakan, sistem dan prosedur serta standar yang diterapkan dalam aktivitas
operasional Data Center mencakup aktivitas menjalankan tugas rutin maupun non-
rutin. Aktivitas yang terkait dengan operasional Data Center antara lain:
a. penjadwalan tugas:
Bank wajib memiliki dan melaksanakan jadwal semua tugas yang harus dijalankan
di Data Center operasional TI efektif dan aman dari perubahan yang tidak sah.
b. pengoperasian tugas:
pemberian akses command line kepada operator TI harus dibatasi sesuai
kewenangan pada fungsi pengoperasian tugas yang telah ditentukan.
c. pendistribusian laporan/output:
Hasil informasi yang diproduksi oleh sistem (output), dalam bentuk softcopy atau
hardcopy, dapat merupakan informasi yang sensitif atau rahasia. Prosedur yang
harus dimiliki Bank meliputi penentuan informasi yang akan diproduksi,
pendistribusian output baik secara fisik maupun logik dan pemusnahan output yang
sudah tidak diperlukan lagi. Prosedur tersebut diperlukan untuk menghindari
terbukanya informasi yang bersifat rahasia dan meningkatnya biaya akibat adanya
output yang tidak diperlukan, dan untuk dapat memastikan keamanan output.
d. proses backup baik on-site maupun off-site, restore, download dan upload untuk
data/database;
e. pengaktifan jejak audit (audit trail).
Bank perlu memiliki kebijakan dan prosedur perencanaan kapasitas untuk dapat
memastikan bahwa perangkat keras dan perangkat lunak yang digunakan Bank telah
sesuai dengan kebutuhan operasional bisnis dan mengantisipasi perkembangan usaha
Bank. Tanpa perencanaan kapasitas yang baik, Bank dapat menghadapi risiko
kekurangan atau bahkan pemborosan sumber daya TI. Perencanaan kapasitas
hendaknya disusun untuk jangka waktu cukup panjang dan selalu dikinikan untuk
mengakomodir perubahan yang ada.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 36
465
BAB III–OPERASIONAL
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 37
466
BAB III–OPERASIONAL
Bank harus menginventarisasi perangkat pendukung Data Center antara lain UPS
dan power control, fire detection and extinguisher, air conditioning, pengukur
suhu dan kelembaban udara.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 38
467
BAB III–OPERASIONAL
3) memastikan Data Center memiliki detektor api dan asap serta pipa
pembuangan air. Selanjutnya, Bank harus menyediakan sistem pemadam api
yang memadai, baik yang dapat beroperasi secara otomatis maupun
dioperasikan secara manual. Zat pemadam api dan sistem yang digunakan
harus memperhatikan keamanan terhadap peralatan dan petugas pelaksana di
dalam Data Center.
4) menggunakan lantai yang ditinggikan (raised floor) untuk mengamankan
sistem perkabelan dan menghindari efek grounding di Data Center.
c. Kinerja Perangkat Keras dan Perangkat Lunak:
Pemantauan terhadap perangkat keras dan perangkat lunak minimal dilakukan
setiap hari untuk memastikan seluruh perangkat tersebut beroperasi sebagaimana
mestinya, misalnya server tetap dalam keadaan menyala, kapasitas database dan
utilitas server tidak melampaui limit, dan fasilitas pendukung berfungsi dengan
baik.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 39
468
BAB III–OPERASIONAL
masalah keamanan, patch atau upgrade, atau permasalahan lain yang sesuai dengan
versi perangkat lunak yang digunakan.
c. Migrasi data:
Migrasi data terjadi jika terdapat perubahan besar pada sistem aplikasi bank, atau
terjadi penggabungan data dari beberapa sistem yang berbeda. Dalam hal terdapat
migrasi data, Bank perlu memiliki kebijakan, prosedur mengenai penanganan
migrasi data. Tahap-tahap yang perlu dilalui dalam melakukan migrasi data
dimulai dari rencana strategis, manajemen proyek, Change Management,
pengujian, rencana kontinjensi, back-up, manajemen vendor, dan post
implementation review.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 40
469
BAB III–OPERASIONAL
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 41
470
BAB III–OPERASIONAL
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 42
471
BAB III–OPERASIONAL
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 43
472
BAB III–OPERASIONAL
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 44
473
BAB IV–JARINGAN KOMUNIKASI
BAB IV
JARINGAN KOMUNIKASI
4.1. PENDAHULUAN
Keamanan jaringan komunikasi merupakan tanggung jawab seluruh pihak dalam Bank.
Dalam pelaksanaannya Bank perlu memiliki petugas/fungsi yang menangani jaringan
komunikasi. Petugas/fungsi tersebut harus melakukan koordinasi dengan fungsi
pengelola pengamanan TI. Bank harus meyakini ketersediaan dan kecukupan kapasitas
layanan jaringan komunikasi baik yang dikelola oleh pihak internal Bank maupun pihak
penyedia jasa, diantaranya dengan tersedianya cadangan peralatan dan jasa yang
memadai. Manajemen harus memastikan terdapatnya pengawasan yang memadai dalam
pengoperasian jaringan komunikasi dan pada setiap pengembangan atau modifikasi
jaringan komunikasi. Manajemen perlu mempertimbangkan kebutuhan layanan yang
diinginkan sesuai dengan kondisi bisnis saat ini dan strategi yang akan dikembangkan.
Bank harus memiliki kebijakan dan prosedur sebagai pedoman dalam menerapkan
teknologi jaringan komunikasi untuk meyakinkan bahwa kelangsungan operasional dan
keamanan jaringan komunikasi tetap terjaga. Untuk itu Bank wajib menetapkan
baseline/standar yang digunakan secara internal untuk masing-masing.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 45
474
BAB IV–JARINGAN KOMUNIKASI
platform (misal berdasarkan protokol atau sistem operasi) dan diterapkan di semua
jaringan komunikasi yang digunakan oleh Bank.
Kebijakan dan prosedur yang perlu ditetapkan sekurang-kurangnya mencakup hal-hal
sebagai berikut:
a. pengukuran kinerja dan perencanaan kapasitas jaringan (performance and capacity
planning);
b. pengamanan jaringan komunikasi (network access controls, termasuk remote access);
c. change management (setting, configuration and testing);
d. network management, logging dan monitoring;
e. penggunaan internet, intranet, e-mail dan wireless (termasuk mekanisme penggunaan
jaringan komunikasi);
f. tersedianya prosedur penanganan masalah (problem handling);
g. tersedianya fasilitas untuk backup & recovery;
h. kecukupan kontrak dan tersedianya SLA yang sesuai dengan kebutuhan Bank dan
dipantau secara berkala apabila jaringan komunikasi yang digunakan oleh Bank
diselenggarakan oleh pihak penyedia jasa.
Bank harus melakukan identifikasi kemungkinan yang akan terjadi, mengukur dampak
yang mungkin ditimbulkan, dan melakukan upaya-upaya untuk mengelola risiko
penggunaan jaringan komunikasi. Berdasarkan hasil pengukuran yang telah dilakukan
atas risiko yang signifikan, maka Bank harus menerapkan pengendalian yang memadai.
Bank juga harus senantiasa memantau apakah seluruh risiko yang signifikan tersebut
telah ditangani dengan baik.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 46
475
BAB IV–JARINGAN KOMUNIKASI
b. Pengendalian Akses
Pengendalian akses di jaringan komunikasi sangat penting dan harus diperhatikan
karena jaringan komunikasi merupakan pintu utama untuk masuk ke dalam sistem
informasi Bank. Jika tidak dikelola dengan baik, maka keamanan informasi menjadi
terancam. Dalam menerapkan pengendalian akses, terdapat beberapa hal yang harus
diperhatikan oleh Bank, yaitu:
1) akses ke jaringan komunikasi oleh user didasarkan pada kebutuhan bisnis
dengan memperhatikan aspek keamanan informasi.
2) melakukan pemisahan jaringan komunikasi berdasarkan segmen baik secara
logical maupun fisik, misalnya pemisahan antara lingkungan pengembangan
dan produksi.
3) jika pemisahan secara fisik tidak dapat dilakukan, maka Bank harus
memisahkan jaringan komunikasi secara logical dan memantau security access
di jaringan komunikasi.
4) keputusan untuk terhubung ke jaringan komunikasi di luar Bank harus sesuai
dengan persyaratan pengamanan dan secara formal disetujui oleh manajemen
sebelum pelaksanaan.
5) menerapkan pengendalian yang dapat membatasi network traffic yang tidak sah
atau tidak diharapkan.
6) konfigurasi perangkat jaringan komunikasi harus diset dengan baik. Fungsi-
fungsi atau services yang tidak dibutuhkan harus dinonaktifkan.
7) penggunaan perangkat pengamanan jaringan komunikasi, seperti firewall,
Intrusion Detection System (IDS), dan Intrusion Prevention System (IPS).
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 47
476
BAB IV–JARINGAN KOMUNIKASI
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 48
477
BAB IV–JARINGAN KOMUNIKASI
Audit terhadap jaringan komunikasi harus dilakukan secara berkala oleh pihak
independen, baik Auditor Intern maupun Auditor Ekstern. Ruang lingkup audit atas
jaringan komunikasi antara lain mencakup kinerja jaringan komunikasi, logical access,
physical access, remote access, infrastruktur jaringan komunikasi, dokumentasi
jaringan komunikasi. Pengaturan lebih lengkap tentang audit mengacu pada Bab X
tentang Audit Intern TI.
4.5.2. Dokumentasi
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 49
478
BAB V–PENGAMANAN INFORMASI
BAB V
PENGAMANAN INFORMASI
5.1. PENDAHULUAN
Informasi adalah aset yang sangat penting bagi Bank, baik informasi yang
terkait dengan nasabah, keuangan, laporan maupun informasi lainnya. Kebocoran,
kerusakan, ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi
tersebut dapat menimbulkan dampak yang merugikan baik secara finansial maupun
non-finansial bagi Bank. Dampak dimaksud tidak hanya terbatas pada Bank tersebut,
namun juga nasabah, Bank lain dan bahkan terhadap sistem perbankan nasional.
Mengingat pentingnya informasi, maka informasi harus dilindungi atau diamankan oleh
seluruh personil di Bank. Pengamanan informasi sangat bergantung pada pengamanan
terhadap semua aspek dan komponen TI terkait, seperti perangkat lunak, perangkat
keras, jaringan, peralatan pendukung (misalnya sumber daya listrik, AC) dan sumber
daya manusia (termasuk kualifikasi dan ketrampilan).
Dalam tugasnya mengarahkan dan melakukan evaluasi terhadap kebijakan Bank dalam
pengelolaan pengamanan Teknologi Informasi Dewan Komisaris hendaknya
melakukan koordinasi dengan direksi, antara lain meminta Direksi melaporkan
pembagian wilayah wewenang dan tanggung-jawab pada satuan kerja penyelenggara
TI dan satuan kerja pengguna TI, upaya peningkatan pengendalian pengamanan
informasi, serta penentuan risiko sisa (residual risk) yang akan ditanggung Bank.
Evaluasi tersebut mencakup juga evaluasi terhadap dampak masalah informasi terhadap
kelanjutan proses bisnis Bank.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 50
479
BAB V–PENGAMANAN INFORMASI
5.2.3 Direksi
Tanggung jawab Direksi untuk pengamanan informasi paling kurang mencakup hal-hal
sebagai berikut:
a. menetapkan kebijakan, sistem dan prosedur pengamanan informasi;
b. mendukung semua aspek program pengamanan informasi;
c. menetapkan pembagian tugas dan tanggung jawab untuk pengambilan keputusan
terkait manajemen risiko pengamanan informasi;
d. menetapkan tingkat risiko pengamanan informasi yang dapat diterima oleh Bank;
e. melakukan evaluasi terhadap hasil penerapan mitigasi risiko pengamanan
informasi;
f. mengkomunikasikan kepada satuan kerja pengguna TI dan penyelenggara TI
tentang pentingnya melakukan pengamanan informasi agar Bank dapat mencapai
tujuan pengamanan informasi yang diharapkan sesuai ketentuan yang berlaku.
Sesuai dengan kebijakan dan arahan Direksi, Pejabat Tertinggi Pengamanan Informasi
bertanggung jawab atas antara lain:
a. pengelolaan fungsi pengamanan informasi agar sesuai dengan kebijakan dan
ketentuan serta best practice yang berlaku;
b. pemantauan pelaksanaan pengamanan informasi di setiap bagian atau satuan kerja;
c. mengkomunikasikan program pengamanan informasi termasuk melakukan upaya
peningkatan kesadaran akan pengamanan (security awareness program)
d. menetapkan kriteria dan definisi pengukuran risiko pengamanan informasi;
e. melaksanakan program penilaian risiko pengamanan informasi termasuk menilai
kepatuhan seluruh bagian di Bank terhadap kebijakan pengamanan informasi dan
merekomendasikan pengendalian yang perlu dilakukan;
f. memastikan pihak ketiga yang memiliki akses terhadap informasi rahasia milik
Bank telah menerapkan pengamanan informasi secara memadai dan konsisten;
g. membantu koordinasi pengujian BCP;
h. mengkoordinasikan upaya pengamanan informasi dengan audit intern TI.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 51
480
BAB V–PENGAMANAN INFORMASI
Manajemen Bank harus menetapkan kebijakan dan memiliki komitmen yang tinggi
terhadap pengamanan informasi. Kebijakan tersebut harus dikomunikasikan secara
berkala kepada seluruh pegawai Bank dan pihak eksternal yang terkait. Disamping itu
dilakukan evaluasi secara berkala dan apabila terdapat perubahan penting. Kebijakan
tentang pengamanan informasi harus mencakup sekurang-kurangnya:
a. tujuan pengamanan informasi yang sekurang-kurangnya meliputi pengelolaan aset,
sumber daya manusia, pengamanan fisik, pengamanan logic (logical security),
pengamanan operasional TI, penanganan insiden pengamanan informasi, dan
pengamanan informasi dalam pengembangan sistem;
b. komitmen manajemen terhadap pengamanan informasi sejalan dengan strategi dan
tujuan bisnis;
c. kerangka acuan dalam menetapkan pengendalian melalui pelaksanaan manajemen
risiko Bank;
d. prinsip dan standar pengamanan informasi, termasuk kepatuhan terhadap ketentuan
yang berlaku, pelatihan dan peningkatan kesadaran atas pentingnya pengamanan
informasi (security awareness program), rencana kelangsungan bisnis dan sanksi
atas pelanggaran;
e. tugas dan tanggung jawab pihak-pihak dalam pengamanan informasi;
f. dokumen atau ketentuan lain yang mendukung kebijakan pengamanan informasi.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 52
481
BAB V–PENGAMANAN INFORMASI
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 53
482
BAB V–PENGAMANAN INFORMASI
konsultan, pegawai honorer dan pegawai pihak penyedia jasa yang disebabkan
karena perubahan tugas atau selesainya masa kerja atau kontrak.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 54
483
BAB V–PENGAMANAN INFORMASI
4) pemilik user-id terutama dari pegawai Bank, pegawai honorer dan pegawai
pihak penyedia jasa harus menandatangani pernyataan tanggung jawab atau
perjanjian penggunaan user-id dan password saat menerima user-id dan
password;
5) Password standar (default password) yang dimiliki oleh sistem operasi, sistem
aplikasi, database management system, dan perangkat jaringan harus diganti
oleh Bank sebelum diimplementasikan dan sedapat mungkin mengganti user ID
standar dari sistem (default user ID).
c. Bank harus mewajibkan user untuk:
1) menjaga kerahasiaan password;
2) menghindari penulisan password di kertas dan tempat lain tanpa pengamanan
yang memadai;
3) memilih password yang berkualitas yaitu:
a) panjang password yang memadai sehingga tidak mudah ditebak;
b) mudah diingat dan terdiri dari sekurang-kurangnya kombinasi 2 tipe
karakter (huruf, angka atau karakter khusus);
c) tidak didasarkan atas data pribadi user seperti nama, nomor telepon atau
tanggal lahir;
d) tidak menggunakan kata yang umum dan mudah ditebak oleh perangkat
lunak (untuk menghindari brute force attack), misalnya kata ’pass’,
’password’, ’adm’, atau kata umum di kamus;
4) mengubah password secara berkala;
5) menghindari penggunaan password yang sama secara berulang.
d. Bank harus menonaktifkan hak akses bila user id tidak digunakan pada waktu
tertentu, menetapkan jumlah maksimal kegagalan password (failed login attempt)
dan menonaktifkan password setelah mencapai jumlah maksimal kegagalan
password;
e. Bank harus melakukan pemeriksaan/review berkala terhadap hak akses user untuk
memastikan bahwa hak akses yang diberikan sesuai dengan wewenang yang
diberikan.
f. Sistem operasi, sistem aplikasi, database, utility dan perangkat lainnya yang
dimiliki oleh Bank sedapat mungkin membantu pelaksanaan pengamanan
password, sebagai contoh:
1) memaksa user untuk mengubah passwordnya setelah jangka waktu tertentu dan
menolak bila user memasukkan password yang sama dengan yang digunakan
sebelumnya saat mengganti password;
2) menyimpan password secara aman (ter-enkripsi);
3) memutuskan hubungan atau akses user jika tidak terdapat respon selama jangka
waktu tertentu (session time-out);
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 55
484
BAB V–PENGAMANAN INFORMASI
4) menonaktifkan atau menghapus hak akses user jika user tidak melakukan
log-on melebihi jangka waktu tertentu (expiration interval), misalnya karena
cuti, pindah bagian.
g. Bank harus memperhitungkan risiko dan menerapkan pengendalian pengamanan
yang memadai dalam penggunaan perangkat mobile computing dan media
penyimpan data seperti notebook, hand phone, personal digital assistance, flash
disk, external hard disk, termasuk bila menggunakan wireless access atau wireless
network;
h. Bank harus memperhitungkan risiko dan menerapkan pengendalian pengamanan
yang memadai terhadap titik akses (access point) ke dalam jaringan komputer
dan/atau sarana pemrosesan informasi yang dapat dimanfaatkan oleh pihak yang
tidak berwenang;
i. Bank yang menggunakan file sharing harus menetapkan pembatasan akses
sekurang-kurangnya melalui penggunaan password dan pengaturan pihak yang
berwenang melakukan akses;
j. Bank perlu memperhatikan proses security hardening terhadap perangkat keras dan
perangkat lunak, seperti : setting parameter, patch.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 56
485
BAB V–PENGAMANAN INFORMASI
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 57
486
BAB V–PENGAMANAN INFORMASI
Selain ruang lingkup diatas, pengamanan informasi perlu diterapkan dalam aspek
lain seperti pengembangan dan pengadaan sistem, jaringan komunikasi data, BCP
dan DRP dan kegiatan penggunaan pihak penyedia jasa dalam penyelenggaraan TI.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 58
487
BAB V–PENGAMANAN INFORMASI
transfer), pengendalian dan atau mitigasi risiko memegang peranan penting karena
tanpa sistem informasi yang handal dan aktivitas pengendalian TI yang efektif, Bank
tidak mampu menghasilkan laporan keuangan yang akurat, terkini, utuh dan lengkap.
Secara umum bentuk pengendalian antara lain:
a. kebijakan, ketentuan dan prosedur yang ada di Bank;
b. sistem pengendalian risiko yang dilakukan dengan menggunakan teknologi
sehingga secara otomatis dapat memitigasi risiko yang ada seperti audit log, on line
approval, parameter value di sistem yang digunakan;
c. training dan security awareness program.
Tinjauan atas pengendalian dilakukan dua kali yaitu pertama pada proses
penilaian risiko (risk assessment) dimana Bank mengidentifikasi pengendalian yang
telah ada sebelumnya, dan kedua setelah mendapatkan Nilai Risiko Akhir (residual
risk). Dengan membandingkan Nilai Risiko Dasar (NRD) dengan Nilai Risiko Akhir
(NRA), Bank dapat menganalisis kelemahan dari bentuk pengendalian yang telah
diterapkan dan bentuk pengendalian pengamanan yang dapat direkomendasikan untuk
diterapkan kemudian. Bentuk pengendalian dapat beragam dan tidak terbatas pada
pengendalian umum (general controls) seperti pengendalian yang harus ada di
operasional Data Center maupun yang berupa pengendalian aplikasi (application
controls) seperti rekonsiliasi dalam balancing control activities. Dengan demikian atas
seluruh aset Bank baik pada level Bank, satuan kerja maupun masing-masing
petugas/pengguna TI dapat terhindar dari setiap risiko potensial.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 59
488
BAB V–PENGAMANAN INFORMASI
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 60
489
BAB VI–BUSINESS CONTINUITY PLAN
BAB VI
BUSINESS CONTINUITY PLAN
6.1. PENDAHULUAN
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 61
490
BAB VI–BUSINESS CONTINUITY PLAN
sama sekali tidak dapat dipulihkan untuk waktu yang cukup lama. Contingency Plan
(CP) harus meliputi pula rencana untuk memastikan kelangsungan seluruh pelayanan
Bank termasuk yang dilaksanakan melalui electronic banking.
Adapun peran tim kerja penanggung jawab BCP di atas sekurang-kurangnya meliputi:
a. bertanggung jawab penuh terhadap efektivitas penyelenggaraan BCP, termasuk
memastikan bahwa program awareness atas BCP diterapkan;
b. memutuskan kondisi disaster dan pemulihannya;
c. menentukan skenario pemulihan yang akan digunakan bila terjadi gangguan atau
bencana berdasarkan prioritisasi atas aktivitas, fungsi dan jasa yang dianggap kritis;
d. me-review laporan mengenai setiap tahapan dalam pengujian dan pelaksanaan BCP;
e. melaksanakan komunikasi kepada pihak intern dan ekstern Bank bila terjadi suatu
gangguan operasional yang bersifat major.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 62
491
BAB VI–BUSINESS CONTINUITY PLAN
Dalam penyusunan kebijakan, strategi dan prosedur yang akan diterapkan untuk
menangani keadaan disaster, Bank harus memastikan diterapkannya prinsip-prinsip
sebagai berikut:
a. penyusunan BCP hendaknya melibatkan seluruh satuan kerja dan fungsi bisnis, bukan
hanya satuan kerja TI;
b. BCP disusun berdasarkan Business Impact Analysis dan Risk Asessment yang
memadai;
c. BCP bersifat fleksibel untuk dapat merespon berbagai skenario ancaman dan
gangguan serta bencana yang sifatnya tidak terduga baik bersumber dari kondisi
internal maupun eksternal;
d. BCP bersifat spesifik, terdapat kondisi-kondisi tertentu dan tindakan yang dibutuhkan
segera dilakukan untuk kondisi tersebut;
e. dilakukan pengujian dan pengkinian secara berkala;
f. BCP dan hasil pengujian BCP harus dikaji ulang oleh audit intern secara berkala.
Efektifitas dari suatu BCP akan sangat bergantung pada kemampuan manajemen
untuk secara tepat mengidentifikasi kritis tidaknya berbagai proses kerja atau aktivitas
yang ada di Bank sebelum BCP disusun atau dikaji ulang. Dengan demikian Business
Impact Analysis (BIA) merupakan dasar dari penyusunan keseluruhan BCP. Hal-hal yang
harus dianalisis dalam BIA meliputi:
a. tingkat kepentingan (criticality) masing-masing proses bisnis dan ketergantungan
antar proses bisnis serta prioritisasi yang diperlukan;
b. tingkat ketergantungan terhadap pihak penyedia jasa baik TI maupun non TI;
c. tingkat Maximum Tolerable Outage/Recovery Time Objective (berapa lama bank
dapat bekerja tanpa sistem atau fasilitas yang mengalami gangguan dan atau berapa
cepat sistem atau fasilitas tersebut harus berfungsi kembali);
d. tingkat Minimum Resources Requirement (personil, data dan kelengkapan sistem
serta fasilitas yang diperlukan secara minimal agar bisnis bisa pulih dan berjalan);
e. dampak potensial dari kejadian yang bersifat tidak spesifik dan tidak dapat dikontrol
terhadap proses bisnis dan pelayanan kepada nasabah;
f. dampak disaster terhadap seluruh departemen dan fungsi bisnis, bukan hanya
terhadap data processing;
g. estimasi downtime maksimum yang dapat ditoleransi dan tingkat toleransi atas
kehilangan data dan terhentinya proses bisnis serta dampak downtime terhadap
kerugian finansial;
h. jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 63
492
BAB VI–BUSINESS CONTINUITY PLAN
Penilaian risiko (risk assessment) yang terdiri dari identifikasi dan pengukuran risiko
merupakan tahap kedua yang harus dilalui dalam penyusunan suatu BCP. Proses ini
diperlukan untuk dapat mengetahui tingkat kemungkinan terjadi gangguan pada kegiatan
bank yang penting (critical) serta dampaknya bagi kelangsungan usaha bank. Risk
assessment sekurang-kurangnya mencakup hal-hal sebagai berikut:
a. melakukan analisis atas dampak gangguan atau bencana terhadap bank, nasabah dan
industri keuangan;
b. melakukan gap analysis dengan membandingkan kondisi saat ini dengan langkah
atau skenario yang seharusnya diterapkan;
c. membuat peringkat potensi gangguan bisnis berdasarkan tingkat kerusakan (severity)
dan kemungkinan terjadinya (likelihood).
Penyusunan BCP dilakukan setelah proses BIA dan Risk Assessment. Adapun
tujuan dan sasaran dari penyusunan BCP antara lain:
a. mengamankan aset penting bank;
b. meminimalisasi risiko akibat disaster misalnya membatasi kerugian finansial, risiko
hukum dan reputasi;
c. meyakini ketersediaan layanan yang berkesinambungan kepada nasabah; dan
d. mempersiapkan alternatif lain agar fungsi bisnis yang kritikal tetap dapat berjalan
untuk menjaga kelangsungan operasi bank.
BCP terdiri dari kebijakan, strategi, skenario dan prosedur yang diperlukan untuk
dapat memastikan kelangsungan proses bisnis pada saat terjadinya gangguan atau
bencana. BCP harus memuat beberapa alternatif strategi yang dapat diambil Bank untuk
mengatasi masing-masing jenis dan ukuran gangguan atau bencana. Strategi pemulihan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 64
493
BAB VI–BUSINESS CONTINUITY PLAN
tersebut disesuaikan dengan hasil BIA, analisis risiko, sumber daya yang dimiliki serta
kapasitas dan tingkat teknologi Bank. Contoh strategi yang dapat dipilih antara lain,
penggunaan jasa pihak lain (outsourcing), Disaster Recovery Center (hot site, warm site
atau cold site) dan atau Business Recovery Center. Setiap strategi yang dipilih
hendaknya disertai analisis/alasan yang melatarberlakangi dan harus didukung dengan
sistem dan prosedur yang sesuai.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 65
494
BAB VI–BUSINESS CONTINUITY PLAN
dengan alternatif strategi yang dipilih Bank, DRC dapat dikelola sendiri maupun
oleh pihak penyedia jasa. Bank harus memperhatikan hal-hal sebagai berikut:
1) DRC hendaknya ditempatkan pada lokasi yang terpisah dari lokasi DC, dengan
memperhatikan faktor geografi:
a) jangkauan geografi atas suatu gangguan/bencana dan dampaknya terhadap
kota atau wilayah tempat lokasi DRC berada;
b) analisis risiko yang berkaitan dengan lokasi DRC (apakah wilayah gempa
atau petir) dan terhubung dengan infrastruktur komunikasi dan listrik yang
berbeda dengan DC, serta fasilitas lain yang diperlukan untuk tetap
berjalannya suatu sistem;
2) kondisi rentannya lokasi yang dipilih dengan kemungkinan huru-hara dan
kerusuhan;
3) DRC harus memiliki pasokan listrik dan sarana telekomunikasi yang dapat
menjamin beroperasinya DRC;
4) sistem di DRC harus kompatibel dengan sistem yang digunakan pada DC dan
harus disesuaikan jika terjadi perubahan pada DC;
5) merupakan restricted area; dan
6) memperhitungkan waktu tempuh untuk terjaminnya proses recovery.
d. Backup Dokumentasi, Sistem dan Data
Bank harus meyakini ketersediaan backup yang efektif dari informasi bisnis yang
penting, perangkat lunak dan dokumentasi terkait sistem dan user untuk setiap
proses fungsi bisnis yang penting (critical). Hal-hal yang harus diperhatikan dalam
dokumentasi, sistem dan data backup antara lain:
1) backup dimaksud harus disimpan di lokasi lain dari DC (off site). Setiap
perubahan dan modifikasi harus didokumentasikan dan salinannya juga harus
diperbaharui;
2) media backup harus disimpan di lingkungan yang aman di lokasi off site dengan
standar sistem pengamanan yang memadai;
3) full system backup harus dilakukan secara periodik. Jika terjadi perubahan
sistem yang mendasar maka full system backup harus dilakukan sesegera
mungkin;
4) seluruh media backup menggunakan standar labeling/penamaan untuk dapat
mengidentifikasi penggunaan, tanggal dan jadual retensi;
5) media backup harus diuji secara regular untuk meyakini bahwa dapat digunakan
pada saat diperlukan (keadaan emergency);
6) Bank harus memiliki prosedur untuk disposal media backup.
e. Business Recovery Center (BRC)/Crisis Center/Business Resumption Center
BCP harus memiliki skenario mengenai lokasi kegiatan dari masing-masing fungsi
bisnis untuk berbagai tingkat disaster. Untuk tingkat bencana total disaster atau
catasthropic, Bank sebaiknya menyiapkan lokasi alternatif agar tetap dapat
menjalankan kegiatan fungsi bisnis.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 66
495
BAB VI–BUSINESS CONTINUITY PLAN
f. Fasilitas Komunikasi
Bank harus memastikan bahwa alternatif jalur komunikasi yang terdapat di wilayah
operasional Bank dapat digunakan pada saat gangguan/bencana, baik di lingkungan
intern maupun dengan pihak ekstern.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 67
496
BAB VI–BUSINESS CONTINUITY PLAN
Dalam hal ini Bank perlu memvalidasi asumsi yang digunakan dalam skenario
pengujian/test plan, antara lain mengenai:
a. tingkat kritikal proses fungsi bisnis atau sistem yang diuji;
b. volume transaksi;
c. ketergantungan antar proses bisnis;
d. strategi BCP yang dipilih Bank;
e. ketersediaan dan kecukupan sumber daya yang diperlukan agar sesuai dengan
service level yang ditetapkan, seperti waktu yang diperlukan untuk mempersiapkan
fasilitas yang ada, mempersiapkan file backup atau mempersiapkan dokumen.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 68
497
BAB VI–BUSINESS CONTINUITY PLAN
terhadap BCP yang ada saat ini dan menentukan perbaikan yang dibutuhkan untuk
mengakomodasi perubahan tersebut dalam BCP terbaru. Selanjutnya BCP hasil revisi
tersebut harus didokumentasikan dan didistribusikan ke seluruh organisasi.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 69
498
BAB VII–END USER COMPUTING
BAB VII
END USER COMPUTING
7.1. PENDAHULUAN
End User Computing (EUC) adalah sistem aplikasi komputer yang menjalankan
operasi bisnis Bank dimana kendali terhadap pengembangan sistem aplikasi serta
pengelolaannya dilakukan oleh satuan kerja pengguna akhir (end user) atau unit bisnis
Bank dan bukan oleh satuan kerja TI.
Beberapa alasan yang melatarbelakangi penggunaan EUC pada suatu Bank antara lain:
a. adanya proyek pengembangan sistem aplikasi yang tertunda pelaksanaannya (backlog
project) oleh satuan kerja TI, sehingga EUC memungkinkan pengguna akhir untuk
mengembangkan, memelihara, dan mengoperasikan TI sendiri;
b. adanya kebutuhan spesifik dari pengguna, dengan jumlah pengguna yang sedikit dan
volume yang rendah, sehingga kurang efisien jika melalui prosedur pengembangan
sistem aplikasi secara umum oleh satuan kerja TI.
Hal-hal yang perlu diatur dalam kebijakan dan prosedur bank mengenai EUC mencakup
antara lain:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 70
499
BAB VII–END USER COMPUTING
a. kebijakan dan prosedur harus tertulis, disetujui oleh Direksi/pejabat yang berwenang,
dikaji ulang dan dikinikan secara periodik, serta disosialisasikan kepada seluruh
pengguna akhir;
b. pencantuman secara jelas wewenang dan tanggung jawab manajemen, unit bisnis
yang terkait, satuan kerja TI, serta satuan kerja audit intern;
c. adanya analisis kebutuhan pengembangan sistem aplikasi EUC dan prosedur
persetujuannya;
d. pengembangan sistem aplikasi EUC harus memenuhi standar dan kriteria
pengamanan yang ditetapkan oleh satuan kerja TI;
e. sistem aplikasi yang dimungkinkan untuk dikembangkan secara EUC adalah sistem
aplikasi yang memiliki tingkat kompleksitas dan risiko “low” hingga “moderate” dan
harus melalui persetujuan pihak manajemen;
f. adanya tahap-tahap pengembangan sistem aplikasi EUC, mulai dari pengadaan
sampai dengan implementasi;
g. adanya prosedur perubahan terhadap sistem aplikasi EUC;
h. memenuhi aspek-aspek pengamanan (fisik dan logik), pengendalian sistem aplikasi
EUC (pengendalian atas input, proses, dan output), pengendalian operasional
termasuk pencegahan virus;
i. tersedianya daftar terkini sistem aplikasi EUC yang ada;
j. melakukan penyimpanan dan backup data/file;
k. tersedianya dokumentasi yang memadai, mencakup antara lain user manual dan
system manual. Setiap perubahan terhadap sistem aplikasi EUC harus disertai dengan
pengkinian dokumentasi tersebut;
l. jika sistem aplikasi dibuat oleh vendor, satuan kerja pengguna akhir harus melakukan
koordinasi dengan satuan kerja TI. Di samping itu manajemen harus memastikan
kecukupan pelatihan dan manual yang disusun sebagai bagian dari kontrak antara
Bank dan vendor;
m. apabila aplikasi yang dikembangkan oleh vendor tersebut menyebabkan Bank
memiliki ketergantungan yang berkesinambungan terhadap jasa pihak pengembang
tersebut maka pemilihan vendor melalui proses yang mengacu pada pedoman tentang
Penggunaan Pihak Penyedia Jasa Teknologi Informasi serta kebijakan dan prosedur
intern Bank;
n. kebijakan dan prosedur pengembangan EUC tidak boleh bertentangan dengan
kebijakan yang ada khususnya kebijakan pengembangan sistem (SDLC) serta
kebijakan pengamanan informasi.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 71
500
BAB VII–END USER COMPUTING
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 72
501
BAB VII–END USER COMPUTING
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 73
502
BAB VII–END USER COMPUTING
3) manajemen Bank perlu melakukan backup data dan aplikasi EUC secara
periodik. Selain itu DRP dan BCP Bank harus memperhitungkan risiko yang
terkait dengan aplikasi EUC.
Hal-hal yang perlu diperhatikan oleh Bank berkaitan dengan audit terhadap aplikasi
EUC, antara lain:
a. aplikasi EUC tersebut termasuk obyek pemeriksaan satuan kerja audit intern TI;
b. audit dilakukan secara berkala untuk memastikan bahwa pengendalian yang
diterapkan memadai dan efektif;
c. Bank harus memastikan terdapat tindak lanjut atas temuan hasil pelaksanaan audit.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 74
503
BAB VIII–ELECTRONIC BANKING
BAB VIII
ELECTRONIC BANKING
8.1. PENDAHULUAN
Komisaris dan Direksi harus melakukan pengawasan yang efektif terhadap risiko yang
terkait dengan aktivitas e-banking, termasuk penetapan akuntabilitas, kebijakan, dan
proses pengendalian untuk mengelola risiko tersebut.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 75
504
BAB VIII–ELECTRONIC BANKING
8.2.2. Direksi
a. Direksi harus melakukan kaji ulang terhadap rencana pelaksanaan e-banking yang
berpotensi memiliki dampak yang signifikan terhadap strategi dan profil risiko
Bank termasuk analisa cost dan benefit dari rencana e-banking tersebut;
b. Direksi harus memastikan bahwa Bank pada saat memasuki aktivitas e-banking
telah memiliki manajemen risiko yang memadai. Selain itu Direksi harus
memastikan bahwa pejabat atau pegawai yang terkait dengan aktivitas e-banking
memiliki kompetensi dalam aplikasi dan teknologi pendukung e-banking;
c. Direksi harus melakukan pemantauan secara berkala terhadap risiko-risiko yang
melekat pada e-banking, dan melaporkan hasil pemantauan tersebut kepada
Komisaris;
d. Direksi harus memastikan bahwa proses Manajemen Risiko aktivitas e-banking
terintegrasi dalam Manajemen Risiko Bank secara keseluruhan. Kebijakan dan
prosedur manajemen risiko harus dievaluasi untuk mengantisipasi risiko tambahan
yang berasal dari aktivitas e-banking. Untuk itu Bank perlu melakukan langkah-
langkah sebagai berikut:
1) menetapkan limit risiko dalam kaitannya dengan e-banking dengan
memperhatikan risk appetite Bank;
2) menetapkan delegasi wewenang dan mekanisme pelaporan, termasuk prosedur
yang diperlukan untuk kejadian yang berdampak pada kondisi keuangan dan
reputasi Bank;
3) memperhatikan faktor-faktor risiko yang secara khusus berhubungan dengan
keamanan, integritas dan ketersediaan jasa e-banking;
4) memastikan bahwa uji tuntas (due dilligence) dan analisis risiko yang memadai
telah dilaksanakan sebelum Bank melakukan aktivitas e-banking transaksional
secara cross border.
e. Dalam hal sistem penyelenggaraan e-banking dilakukan oleh pihak lain
(outsourcing), Bank harus menetapkan dan menerapkan prosedur pengawasan dan
due dilligence yang menyeluruh dan berkelanjutan untuk mengelola hubungan
Bank dengan pihak lain tersebut;
f. Dalam melakukan kaji ulang terhadap aspek utama prosedur pengendalian
pengamanan Bank, direksi harus:
1) mengawasi pengembangan dan pemeliharaan yang berkesinambungan atas
infrastruktur pengendalian pengamanan yang melindungi sistem e-banking dan
data Bank dari gangguan internal dan eksternal;
2) memastikan bahwa Bank memiliki kebijakan dan prosedur pengendalian
pengamanan yang menyeluruh untuk menangani potensi ancaman pengamanan
yang berasal dari intern dan ekstern, baik dalam bentuk tindakan pencegahan
maupun penanganan insiden tersebut. Prosedur pengendalian pengamanan
tersebut diantaranya meliputi:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 76
505
BAB VIII–ELECTRONIC BANKING
Dalam rangka pengelolaan risiko yang melekat pada produk dan aktivitas e-banking,
Bank harus memiliki kebijakan dan prosedur secara tertulis untuk setiap produk
e-banking yang diterbitkannya paling kurang:
a. prosedur pelaksanaan (standard operating procedures) produk dan aktivitas
e-banking;
b. tanggung jawab dan kewenangan dalam pengelolaan produk dan aktivitas
e-banking;
c. sistem informasi akuntasi produk e-banking termasuk keterkaitan dengan sistem
informasi akuntansi Bank secara menyeluruh;
d. prosedur pengidentifikasian, pengukuran dan pemantauan berbagai risiko yang
melekat pada produk e-banking.
Setiap prosedur pelaksanaan (standard operating procedures) produk harus memenuhi
prinsip pengendalian pengamanan data nasabah dan transaksi e-banking yaitu:
a. kerahasiaan (confidentiality);
b. integritas (integrity);
c. ketersediaan (availability);
d. keaslian (authentication);
e. non repudiation;
f. pemisahan tugas dan tanggung jawab (segregation of duties);
g. pengendalian otorisasi dalam sistem, database dan aplikasi
(authorization of control);
h. pemeliharaan jejak audit (maintenance of audit trails).
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 77
506
BAB VIII–ELECTRONIC BANKING
8.4.1.1.Risiko Umum
Risiko umum meliputi:
a. Transaction/Operations Risk: risiko yang timbul atau berasal dari fraud, kesalahan
dalam proses, gangguan sistem atau kegiatan tidak terduga yang menyebabkan
ketidakmampuan Bank untuk menyediakan produk atau layanan serta menimbulkan
kerugian bagi Bank maupun nasabah. Termasuk dalam risiko transaksi ini adalah
risiko yang dapat timbul dari kurang memadainya pelaksanaan prinsip
pengendalian pengamanan tersebut di atas;
b. Credit Risk: risiko kredit dapat timbul apabila Bank memberikan kredit melalui
media elektronik misalnya produk kartu kredit;
c. Compliance/Legal Risk yang timbul dari:
1) ketidakpatuhan terhadap hukum dan atau peraturan dari otoritas pengawas;
2) perbedaan dengan hukum di negara lain dalam hal cross border transaction;
3) ketidakpatuhan terhadap ketentuan tentang kerahasiaan data nasabah dan
ketentuan tentang transparansi informasi produk;
4) keterbatasan ketentuan perundangan sebagai dasar hukum transaksi e-banking.
d. Strategic Risk dapat timbul dari;
1) ketidak sesuaian dengan tujuan/rencana bisnis Bank;
2) kurang baiknya perencanaan investasi pada e-banking dapat menyebabkan
tidak optimalnya return on investment yang diperoleh dibandingkan dengan
biaya yang dikeluarkan;
3) kurang optimalnya pengelolaan hubungan dengan pihak penyedia jasa TI
(relationship management);
e. Reputation Risk: risiko reputasi timbul dari kemungkinan menurunnya atau
hilangnya kepercayaan nasabah karena service level delivery kepada nasabah tidak
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 78
507
BAB VIII–ELECTRONIC BANKING
8.4.1.2.Risiko Spesifik
Dalam melaksanakan aktivitas e-banking, Bank akan menghadapi risiko spesifik akibat
penyediaan dan penggunaan Teknologi Informasi. Risiko ini akan meningkatkan
eksposur risiko yang dihadapi Bank. Contoh risiko spesifik yang dihadapi antara lain:
a. Risiko operasional yang mungkin timbul dari transaksi e-banking diantaranya
adalah kecurangan, penyadapan/skimming, kesalahan, kerusakan atau tidak
berfungsinya sistem;
b. Risiko yang mungkin timbul dari transaksi cross border e-banking antara lain risiko
hukum mengingat transaksi melewati batas wilayah hukum yang berbeda. Risiko
ini timbul karena terdapat perbedaan ketentuan perundangan diantara kedua
wilayah hukum, seperti ketentuan perlindungan konsumen, kerahasiaan Bank dan
data pribadi nasabah, persyaratan pelaporan dan ketentuan tentang money
laundering. Selain itu Bank dapat juga menghadapi risiko lain seperti risiko
operasional, risiko kredit dan risiko pasar;
c. Risiko dalam penyelenggaraan internet banking meliputi:
1) nasabah memperoleh informasi yang salah atau tidak akurat melalui internet;
2) pencurian data finansial dari database Bank melalui informational dan
communicative internet banking yang tidak terisolasi;
3) terdapat ancaman/serangan misalnya defacing, cybersquating, denial of service,
penyadapan komunikasi internet (network interception), man-in-the middle-
attack, virus.
4) terjadi pencurian identitas (identity theft) misalnya phising, key logger,
spoofing, cybersquating;
5) terjadi transaksi yang dilakukan oleh pihak yang tidak berwenang
(unauthorized transaction) atau terjadi fraud.
d. Ancaman keamanan pada produk yang menggunakan teknologi wireless misalnya
mobile banking antara lain intrusi atau penyadapan komunikasi akibat belum semua
transaksi melalui mobile banking dienkripsi, denial of service attack, virus, worm,
Trojan, penggandaan sim card dan nomor handphone;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 79
508
BAB VIII–ELECTRONIC BANKING
e. Ancaman keamanan pada produk phone banking yaitu sangat rentan terhadap
penyadapan.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 80
509
BAB VIII–ELECTRONIC BANKING
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 81
510
BAB VIII–ELECTRONIC BANKING
1) Bank harus menerapkan metode dan teknik yang tepat untuk mengurangi
ancaman eksternal seperti serangan virus, malicious transaction yang meliputi:
a) perangkat lunak – penyediaan virus scanning dan anti virus untuk seluruh
entry point dan masing-masing sistem komputer (desktop);
b) perangkat lunak untuk mendeteksi adanya penyusupan (intrusion detection
system);
c) pengujian penetrasi (penetration testing) terhadap jaringan internal dan
eksternal secara berkala sekurang-kurangnya 1 tahun sekali.
2) Bank harus melakukan pengujian integritas data transaksi e-banking.
3) Bank harus melakukan pengendalian/kontrol untuk memastikan seluruh
transaksi telah dilaksanakan dengan benar.
f. Bank harus memastikan tersedianya mekanisme penelusuran (audit trail) yang jelas
untuk seluruh transaksi e-banking, yang mencakup hal-hal sebagai berikut:
1) Bank harus memelihara log transaksi sesuai kebijakan retensi data Bank sesuai
ketentuan perundangan yang berlaku guna tersedianya jejak audit yang jelas
serta membantu penyelesaian perselisihan. Data transaksi yang diperlukan perlu
mencakup sekurang-kurangnya data nasabah, nomor rekening, jenis transaksi,
waktu, lokasi, jumlah transaksi;
2) Bank harus memberikan notifikasi kepada nasabah apabila suatu transaksi telah
berhasil dilakukan. Apabila terdapat transaksi yang ditolak maka perlu
didokumentasikan dan terdapat prosedur tindak lanjutnya;
3) Bank harus memastikan tersedianya fungsi jejak audit (audit trail) untuk dapat
mendeteksi usaha dan/atau terjadinya penyusupan yang harus di-review atau
dievaluasi secara berkala. Apabila sistem pemrosesan dan jejak audit
merupakan tanggung jawab pihak ketiga maka proses jejak audit tersebut harus
sesuai dengan standar yang ditetapkan oleh Bank. Bank harus memiliki
kewenangan yang cukup untuk dapat mengakses jejak audit yang dipelihara
oleh pihak ketiga tersebut;
4) Bank harus melakukan pendeteksian dan monitoring atas transaksi yang tidak
sah/tidak wajar misalnya melalui Intrusion Detection System (IDS) dan Fraud
Detection. Selanjutnya Bank harus memiliki prosedur penanganan masalah atau
kejahatan yang terdeteksi.
g. Bank harus menerapkan langkah-langkah untuk melindungi kerahasiaan informasi
e-banking. Prosedur pengamanan disesuaikan dengan tingkat sensitivitas informasi.
Bank juga harus memiliki standar dan pengendalian atas penggunaan dan
perlindungan data apabila pihak penyedia jasa/outsourcing memiliki akses terhadap
data tersebut;
h. Bank harus memiliki business continuity plan termasuk contingency plan yang
efektif untuk memastikan tersedianya sistem dan jasa e-banking secara
berkesinambungan. Pengaturan lebih lanjut dapat dilihat pada Bab VI tentang
Business Continuity Plan;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 82
511
BAB VIII–ELECTRONIC BANKING
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 83
512
BAB VIII–ELECTRONIC BANKING
f. Bagi Bank yang menyediakan jasa mobile banking (m-banking), maka Bank harus
memastikan keamanan transaksi tersebut yang dapat dilakukan antara lain melalui
hal-hal sebagai berikut:
1) menggunakan suatu SIM Toolkit dengan fitur enkripsi end-to-end dari
handphone hingga server m-banking, untuk melindungi pengiriman data pada
m-banking;
2) melakukan mutual authentication yaitu pihak Bank dan nasabah dapat
melakukan proses otentifikasi dengan digital certificate, Personal
Authentication Message yaitu untuk membantu nasabah memastikan bahwa
pihak yang bertransaksi dengan nasabah adalah pihak yang benar (Bank,
penyedia jasa).
g. Dalam penyediaan jasa layanan phone banking, Bank harus memastikan keamanan
transaksi diantaranya melalui hal-hal sebagai berikut:
1) layanan ini tidak digunakan untuk transaksi dengan nilai maupun risiko yang
tinggi;
2) semua percakapan melalui IVR direkam termasuk nomor telepon nasabah, detil
transaksi, dll;
3) layanan ini menggunakan metode otentifikasi yang handal dan aman;
4) penggunaan metode otentifikasi nasabah seperti PIN dan password untuk
transaksi finansial.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 84
513
BAB VIII–ELECTRONIC BANKING
d. Bank harus memastikan bahwa data nasabah tidak digunakan untuk tujuan di luar
otorisasi yang diberikan oleh nasabah. Sesuai ketentuan yang berlaku mengenai
transparansi informasi produk dan penggunaan data pribadi nasabah, Bank harus
memperoleh izin nasabah apabila hendak memberikan data pribadi nasabah kepada
pihak penyedia jasa untuk keperluan marketing. Perlindungan terhadap kerahasiaan
data nasabah juga harus dipenuhi dalam hal Bank menggunakan jasa pihak lain
(outsourcing);
e. edukasi yang diberikan kepada nasabah mencakup tentang hak, kewajiban dan
tanggung jawab seluruh pihak terkait. Edukasi sekurang-kurangnya diberikan pada
saat nasabah mengajukan aplikasi pelayanan e-banking.
Hal-hal yang perlu diedukasikan antara lain:
1) pentingnya menjaga keamanan PIN/Password misalnya:
a) merahasiakan dan tidak memberitahukan PIN/Password kepada siapapun
termasuk kepada petugas Bank;
b) melakukan perubahan secara berkala;
c) menggunakan PIN/Password yang tidak mudah ditebak (penggunaan
identitas pribadi seperti tanggal lahir);
d) tidak mencatat PIN/Password;
e) PIN untuk satu produk hendaknya berbeda dari PIN produk lainnya.
2) penerapan prinsip kehati-hatian saat menggunakan ATM antara lain:
a) memperhatikan keamanan lingkungan tempat ATM sebelum memutuskan
untuk mengambil uang;
b) memastikan uang dan kartu telah diambil sebelum meninggalkan lokasi
ATM.
3) penyediaan informasi kepada nasabah mengenai teknik pengamanan komputer
pribadi nasabah yang digunakan dalam internet banking.
4) prosedur pengaduan jika terjadi masalah.
5) penerapan prinsip kehati-hatian dalam menggunakan mobile banking misalnya:
a) tidak menyimpan PIN dalam memori telepon untuk mencegah penggandaan
sim card secara ilegal maupun pencurian PIN melalui fungsi redial;
b) menggunakan metode untuk melakukan verifikasi keotentikan dari nasabah
dan atau Bank yang menghubungi misalnya dengan menggunakan personal
assurance message yaitu informasi personal yang disampaikan nasabah
kepada Bank saat registrasi sehingga nasabah dan Bank dapat melakukan
verifikasi saat terjadi transaksi.
6) dalam menggunakan internet banking diperlukan edukasi mengenai berbagai
modus kejahatan internet banking seperti:
a) phising dan kejahatan social engineering lainnya;
b) key logger dan Trojan Horse Virus pada berbagai peralatan komputer yang
umumnya terdapat di tempat-tempat umum seperti warung Internet
(warnet), Internet Cafe, dll.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 85
514
BAB VIII–ELECTRONIC BANKING
Tujuan pelaksanaan audit terhadap aktivitas e-banking adalah untuk menguji efektivitas
pelaksanaan manajemen risiko atas kegiatan e-banking serta memastikan bahwa
pengendalian pengamanan produk tersebut telah memadai untuk memberikan
perlindungan bagi nasabah. Audit atas aktivitas e-banking paling kurang mencakup
evaluasi atas pengawasan manajemen (board and management oversight), penilaian
atas program pengamanan yang diterapkan serta kaji ulang atas kepatuhan terhadap
ketentuan perundangan.
Penerapan audit terhadap layanan e-banking sekurang-kurangnya mengacu pada Bab
IX Audit.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 86
515
BAB VIII–ELECTRONIC BANKING
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 87
516
BAB VIII–ELECTRONIC BANKING
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 88
517
BAB VIII–ELECTRONIC BANKING
Bank wajib memastikan bahwa laporan yang disampaikan oleh pihak independen
mengenai kesiapan TI Bank untuk kegiatan e-banking yang direncanakan memuat
periode pemeriksaan, ruang lingkup, metode pemeriksaan, temuan, rekomendasi,
tanggapan manajemen atas temuan serta target penyelesaian. Adapun ruang lingkup
pemeriksaan meliputi:
a. pengawasan aktif manajemen;
b. kecukupan kebijakan dan prosedur pengamanan sistem e-banking untuk
memastikan terpenuhinya prinsip kerahasiaan, integritas, ketersediaan dan non
repudiation dalam setiap transaksi e-banking;
c. kecukupan penerapan dan pemantauan terhadap pengamanan sistem aplikasi e-
banking yang disiapkan bank yang meliputi:
1) penerapan pengamanan aplikasi, infrastruktur (server, firewall dan router)
serta jaringan sistem e-banking;
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 89
518
BAB VIII–ELECTRONIC BANKING
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 90
519
BAB IX–AUDIT
BAB IX
AUDIT INTERN TEKNOLOGI INFORMASI
9.1. PENDAHULUAN
Audit intern Teknologi Informasi merupakan bagian dari Satuan Kerja Audit
Intern (SKAI) yang independen dari tugas operasional baik secara organisasi maupun
fungsinya. Dalam rangka melaksanakan kegiatannya, audit Intern harus memperoleh
dukungan dari manajemen yang diformalkan dalam Audit Charter. Audit Charter
minimal berisikan informasi mengenai kedudukan, tujuan dan ruang lingkup kerja,
tugas, wewenang dan tanggung jawab audit Intern. Audit Charter tersebut juga memuat
pernyataan independensi terhadap kegiatan operasional dari auditee dan pernyataan
bahwa setiap aktivitas Bank harus masuk dalam ruang lingkup audit intern Bank.
Keberhasilan audit intern TI memerlukan dukungan Dewan Komisaris, Komite
Audit dan Direksi. Ketiga pihak tersebut perlu memastikan kerja sama antara
manajemen satuan kerja TI dan manajemen satuan pengguna Teknologi Informasi
dengan satuan kerja audit TI. Disamping itu ketiga pihak tersebut perlu pula
memastikan bahwa implementasi pengendalian dan pelaksanaan prosedur dan standar
dilakukan oleh satuan kerja TI dan satuan kerja pengguna TI. Demikian juga perlu
dipastikan bahwa proses audit mencakup upaya verifikasi dan pemantauan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 91
520
BAB IX–AUDIT
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 92
521
BAB IX–AUDIT
Bank perlu memiliki pedoman audit TI tertulis dan disetujui oleh direksi. Kompleksitas
pedoman audit TI disesuaikan dengan tujuan, kebijakan usaha, ukuran dan
kompleksitas usaha Bank.
Pedoman audit TI antara lain berisi kebijakan dan prosedur yang diperlukan
oleh fungsi audit intern TI dan kebijakan dan prosedur pelaksanaan fungsi audit
intern oleh pihak lain apabila diperlukan oleh Bank. Pedoman tersebut disamping
digunakan sebagai sarana untuk mencapai hasil audit yang efektif dan efisien, juga
merupakan pedoman dalam menilai kinerja fungsi audit intern TI. Pedoman tersebut
harus memuat kebijakan, prosedur dan standar untuk setiap tahap dalam siklus
audit.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 93
522
BAB IX–AUDIT
TI maupun di satuan kerja pengguna TI. Dalam melakukan penilaian risiko, audit
intern TI sekurang-kurangnya melakukan beberapa hal sebagai berikut:
a. mengidentifikasi data, aplikasi dan sistem operasi, teknologi, fasilitas dan personil;
b. mengidentifikasi kegiatan dan proses bisnis yang menggunakan TI;
c. mempertimbangkan skala prioritas berdasarkan dampak dan kemungkinan
terjadinya risiko atas kegiatan bisnis terkait dengan TI.
Perencanaan Audit harus mendapat persetujuan dari Presiden Direktur atau Direktur
Utama.
9.3.4. Pelaporan
Laporan Hasil Audit Intern TI disusun berdasarkan format laporan yang didukung oleh
kertas kerja audit yang ditetapkan dalam pedoman audit intern. Laporan tersebut
merupakan sarana bagi manajemen untuk membantu melakukan penilaian terhadap
kualitas dan kinerja satuan kerja TI, serta memberikan saran perbaikannya. Laporan
hasil audit intern TI harus disampaikan kepada satuan kerja yang diperiksa. Disamping
itu laporan tersebut disampaikan secara tepat waktu kepada Direktur Utama dan
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 94
523
BAB IX–AUDIT
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 95
524
BAB IX–AUDIT
auditor intern Bank dan tidak keberatan untuk diaudit oleh auditor intern Bank. Akses
yang disediakan tersebut wajib diberikan baik secara logik maupun phisik.
Bank wajib melakukan kaji ulang atas fungsi audit intern atas penggunaan
Teknologi Informasi paling kurang setiap 3 (tiga) tahun sekali. Kaji ulang tersebut
wajib menggunakan jasa pihak ekstern yang independen dan bekerja secara
independen. Yang dimaksud dengan independen adalah pihak diluar Bank yang tidak
memiliki hubungan keuangan, kepengurusan, kepemilikan saham atau hubungan lain
yang dapat mempengaruhi kemampuannya untuk bertindak independen. Yang
dimaksud dengan bekerja secara independen adalah dapat mengungkapkan pandangan
serta pemikiran sesuai dengan profesi, dengan tidak memihak terhadap kepentingan
pihak lain.
Kaji ulang yang dilakukan sekurang-kurangnya menilai hasil kerja SKAI dan
kepatuhan terhadap ketentuan yang terkait dengan Standar Pelaksanaan Fungsi Audit
Intern Bank dan manajemen risiko termasuk manajemen risiko dalam penggunaan
teknologi informasi serta ketentuan lainnya. Hasil kaji ulang disertai saran perbaikan
dilaporkan kepada Bank Indonesia dan merupakan bagian dari laporan kaji ulang fungsi
audit intern (SKAI) sebagaimana diatur dalam ketentuan mengenai penerapan standar
pelaksanaan fungsi audit intern.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 96
525
BAB X- Penggunaan Penyedia Jasa TI
BAB X
PENGGUNAAN PIHAK PENYEDIA JASA
TEKNOLOGI INFORMASI
10.1. PENDAHULUAN
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 97
526
BAB X- Penggunaan Penyedia Jasa TI
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 98
527
BAB X- Penggunaan Penyedia Jasa TI
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 99
528
BAB X- Penggunaan Penyedia Jasa TI
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 100
529
BAB X- Penggunaan Penyedia Jasa TI
digunakan Bank tidak diselenggarakan sendiri oleh Bank. Untuk itu surat
pernyataan harus termasuk dalam proposal yang disampaikan oleh pihak penyedia
jasa. Selanjutnya apabila proposal tersebut telah memenuhi kebutuhan atau sesuai
definisi kebutuhan yang telah dibuat Bank maka Bank melakukan negosiasi
penyelesaian dengan penyedia jasa sebelum pembuatan kontrak.
Dalam menentukan penyedia jasa yang dipilih untuk digunakan oleh Bank dalam
menyelenggarakan TI Bank maka Bank harus memperhatikan hal-hal dibawah ini:
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 101
530
BAB X- Penggunaan Penyedia Jasa TI
a. oleh karena penggunaan pihak penyedia jasa tidak mengurangi tanggung jawab
Bank dalam menerapkan manajemen risiko maka Bank harus melakukan
evaluasi atas penerapan manajemen risiko pihak penyedia jasa;
b. oleh karena Bank harus mampu untuk melakukan pengawasan atas pelaksanaan
kegiatan Bank yang diselenggarakan oleh pihak penyedia jasa Teknologi
Informasi maka Bank harus memastikan bahwa laporan-laporan yang
diperlukan untuk memantau kinerja pihak penyedia jasa telah memadai
termasuk bila program pengawasan ternyata diperlukan;
c. cost and benefit analysis yang dilakukan untuk setiap alternatif yang akan
dipilih harus mendalam dan memenuhi jangka waktu penggunaan jasa yang
direncanakan sesuai Rencana Strategis TI & Rencana Bisnis;
d. dalam mengkaji setiap alternatif, manajemen Bank harus memastikan satuan
kerja Teknologi Informasi di Bank memberikan pendapat dan hasil analisisnya;
e. pihak penyedia jasa menerapkan prinsip pengendalian TI secara memadai
termasuk physical security dan logical security. Khusus untuk penyelenggaraan
Data Center, DRC dan Pemrosesan Berbasis TI harus dipastikan bahwa pihak
penyedia jasa dapat menyampaikan hasil audit terkini atas Teknologi Informasi
yang dilakukan oleh pihak independen;
f. dalam rangka memantau dan mengevaluasi kehandalan pihak penyedia jasa
secara berkala, baik yang menyangkut kinerja, reputasi penyedia jasa dan
kelangsungan penyediaan layanan, Bank dapat memperoleh informasi dari
berbagai sumber termasuk laporan tahunan pihak penyedia jasa TI tersebut;
g. Bank harus mempelajari apakah akses terhadap database dapat dilakukan oleh
Bank Indonesia dapat dilakukan setiap saat baik diperlukan untuk data terkini
maupun untuk data yang telah lalu;
h. apabila pihak penyedia jasa TI merupakan pihak terkait dengan Bank, Bank
tetap wajib melakukan proses seleksi. Dokumen penyeleksian harus dapat
menunjukan bahwa pertimbangan-pertimbangan telah dilakukan dengan
menganut “hubungan kerja sama secara wajar (arm's length principle)”.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 102
531
BAB X- Penggunaan Penyedia Jasa TI
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 103
532
BAB X- Penggunaan Penyedia Jasa TI
q. tanggung jawab penyedia jasa TI dalam menyediakan sumber daya manusia yang
memiliki kualifikasi dan kompetensi sesuai jasa yang disediakan sehingga
terjaminnya operasional Bank;
r. rencana pelatihan sumber daya manusia, baik jumlah yang dilatih, bentuk
pelatihan maupun biaya yang diperlukan. Pihak penyedia jasa wajib melakukan
transfer knowledge kepada Bank, sehingga terdapat personil satuan kerja
Teknologi Informasi di Bank yang memahami TI yang digunakan Bank terutama
alur proses TI dan struktur database dari sistem aplikasi yang disediakan oleh
pihak penyedia jasa tersebut;
s. kepemilikan dan hak cipta (license);
t. garansi bahwa penyedia jasa masih akan mendukung jasa yang diberikan kepada
Bank selama periode tertentu setelah implementasi;
u. pengakhiran/pemutusan kontrak termasuk dalam hal atas permintaan Bank
Indonesia;
v. sanksi dan penalti terhadap alasan-alasan yang tidak jelas terhadap pembatalan
kontrak dan pelanggaran isi kontrak;
w. kepatuhan pada hukum dan ketentuan yang berlaku di Indonesia termasuk
penyelesaian jika terjadi perselisihan.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 104
533
BAB X- Penggunaan Penyedia Jasa TI
a. melaporkan kepada Bank Indonesia paling lambat 3 hari kerja setelah kondisi
tersebut di atas diketahui oleh Bank;
b. memutuskan tindak lanjut yang akan diambil untuk mengatasi permasalahan
termasuk penghentian penggunaan jasa apabila diperlukan;
c. melaporkan kepada Bank Indonesia segera setelah Bank menghentikan
penggunaan jasa sebelum berakhirnya jangka waktu perjanjian.
Untuk menjaga kelangsungan usaha Bank dalam hal penghentian penggunaan jasa
dilakukan sebelum berakhirnya kontrak maka Bank harus memiliki contingency
plan yang teruji dan memadai.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 105
534
BAB X- Penggunaan Penyedia Jasa TI
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 106
535
BAB X- Penggunaan Penyedia Jasa TI
j. kajian yang dilakukan Bank mengenai cost & benefit harus menunjukkan bahwa
manfaat bagi Bank melampaui biaya yang dibebankan oleh provider/grup/parent
Bank termasuk peningkatan kualitas pelayanan kepada nasabah;
k. kajian yang dilakukan Bank wajib mencakup pengembangan produk dan
perencanaan sumber daya manusia. Diharapkan Bank mampu mengupayakan
peningkatan kemampuan sumber daya manusia Bank baik di sisi penyelenggaraan
TI yang digunakan maupun di sisi transaksi bisnis atau produk yang ditawarkan
meskipun penyelenggaraan TI berlokasi di luar negeri;
l. apabila Bank merupakan KCBA atau Bank yang dimiliki Lembaga Keuangan
Asing maka Bank wajib menyampaikan hal-hal sebagai berikut dalam surat
permohonan persetujan:
1) Surat Pernyataan dari otoritas pengawas lembaga keuangan di luar negeri
bahwa pihak penyedia jasa TI merupakan cakupan pengawasan;
2) Surat Pernyataan tidak keberatan dari otoritas pengawas setempat bila Bank
Indonesia hendak melakukan pemeriksaan penyelenggaraan pusat data (Data
Center) dan atau Disaster Recovery Center tersebut;
3) Surat Pernyataan bahwa Bank secara berkala akan menyampaikan hasil
penilaian yang dilakukan kantor Bank di luar negeri atas penerapan manajemen
risiko pada pihak penyedia jasa. Surat Pernyataan ini mencantumkan periodisasi
yang direncanakan;
4) Hasil penilaian oleh kantor Bank di luar negeri atas penerapan manajemen
risiko yang dilakukan oleh pihak penyedia jasa.
m. khusus untuk rencana menyerahkan Pemrosesan Transaksi Berbasis TI (aktivitas
atau kegiatan penambahan, penghapusan, perubahan dan otorisasi data yang
dilakukan pada sistem aplikasi yang digunakan untuk memproses transaksi) kepada
pihak lain di luar negeri, diperlukan kajian yang dapat membantu Bank memenuhi
persyaratan tambahan lainnya lagi yaitu:
1) memperhatikan aspek perlindungan kepada nasabah;
2) aktivitas tidak merupakan atau terkait dengan inherent banking functions yaitu
tabungan, giro, deposito maupun kredit (kecuali kartu kredit). Termasuk dalam
hal ini aktifitas pembukaan rekening dan pemeliharaan master file data pribadi
nasabah;
3) dokumen pendukung administrasi keuangan atas transaksi yang dilakukan di
kantor Bank di Indonesia dapat dipelihara di Indonesia;
4) rencana bisnis yang menunjukkan adanya upaya untuk meningkatkan peran
Bank bagi perekonomian di Indonesia.
Permohonan persetujuan wajib disampaikan paling lambat 4 (empat) bulan
sebelum perubahan efektif dioperasikan sedangkan persetujuan atau penolakan akan
diberikan Bank Indonesia paling lambat 3 (tiga) bulan setelah dokumen permohonan
diterima secara lengkap. Selain persyaratan tersebut di atas, Bank Indonesia dapat
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 107
536
BAB X- Penggunaan Penyedia Jasa TI
meminta tambahan persyaratan dari Bank dan atau melakukan pemeriksaan lebih
lanjut. Permintaan kedua hal tersebut tergantung pada potensi dampak penggunaan
pihak penyedia jasa TI terhadap Bank dan tingkat keyakinan atas dokumen yang
disampaikan.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 108
537
BAB X- Penggunaan Penyedia Jasa TI
Untuk menjamin fungsi dan efektifivitas BCP, Bank wajib menyusun dan
melakukan pengujian BCP secara berkala, lengkap dan mencakup hal-hal yang
signifikan yang didasarkan atas jenis, cakupan dan kompleksitas aktivitas atau kegiatan
yang dilakukan oleh penyedia jasa. Disamping itu pihak penyedia jasa harus
melakukan pengujian DRP di pihak penyedia jasa sendiri untuk sistem atau fasilitas TI
maupun pemrosesan transaksi yang diselenggarakan tanpa melibatkan pihak Bank.
Hasil pengujian DRP pihak penyedia jasa tersebut digunakan Bank untuk mengkinikan
DRP ataupun BCP yang dimiliki Bank.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 109
538
BAB X- Penggunaan Penyedia Jasa TI
d. lingkungan elektronik baik di pihak penyedia jasa maupun di Bank harus selalu
dipastikan aman;
e. prosedur pengamanan dikinikan secara berkala agar selalu mematuhi ketentuan
yang berlaku dan sesuai best practices;
f. buat kelompok yang melakukan intrusion-detection secara berkala baik didalam
Bank maupun menyewa para profesional. Lakukan pemantauan kemajuannya
dan pastikan standar diterapkan secara memadai;
g. pastikan kewajiban pihak penyedia jasa untuk melakukan pengendalian keamanan
terhadap seluruh fasilitas teknologi informasi yang digunakan dan data yang
diproses serta informasi yang dihasilkan telah dicantumkan dalam perjanjian;
h. pastikan agar sebelum perjanjian ditandatangani pihak penyedia jasa memahami
dan dapat memenuhi tingkat pengamanan yang dibutuhkan Bank untuk masing-
masing jenis data berdasarkan sensitifitas kerahasiaan data;
i. usahakan agar biaya yang dikeluarkan untuk pengamanan masing-masing
sebanding dengan tingkat pengamanan yang dibutuhkan dan sesuai dengan
tingkat toleransi risiko yang telah ditetapkan oleh Bank.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 110
539
BAB X- Penggunaan Penyedia Jasa TI
Ruang lingkup audit sesuai dengan cakupan pekerjaan/jasa sebagaimana yang tertuang
dalam kontrak perjanjian. Area yang diaudit antara lain seperti IT Systems, data
security, internal control frameworks dan business contingency plan.
Bank wajib memastikan bahwa, Bank Indonesia atau pihak lain yang ditugaskan oleh
Bank Indonesia memiliki hak akses ke penyedia jasa dan Bank untuk mendapatkan
catatan-catatan dan dokumen transaksi, serta informasi Bank yang disimpan atau
diproses oleh penyedia jasa serta hak akses terhadap laporan dan temuan audit terhadap
penyedia jasa yang terkait dengan jasa yang diberikan kepada Bank.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 111
540
GLOSSARY
GLOSSARY
1. Acquirer:
Bank atau lembaga selain Bank yang melakukan kegiatan alat pembayaran dengan
menggunakan kartu yang dapat berupa financial acquirer dan/atau technical acquirer.
2. Access - akses:
jalan masuk. Suatu usaha untuk membuka suatu saluran komunikasi dengan perangkat
hardware atau software tertentu, seperti modem yang digunakan untuk membuka akses
internet. Perangkat hardware atau software tersebut selain untuk memberikan data juga
digunakan untuk menerima data untuk disimpan.
3. Accountability – akuntabilitas:
mekanisme untuk menilai tanggung jawab atas pengambilan keputusan dan tindakan.
4. Administrator Log:
file di komputer yang menyimpan informasi mengenai kegiatan administrator
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 112
541
GLOSSARY
9. Audit Trail:
file di komputer yang menyimpan informasi mengenai kegiatan user atau komputer yang
tersimpan secara kronologis, yang dapat digunakan untuk audit atau penelusuran.
10. Authentication:
kemampuan dari setiap pihak dalam transaksi untuk menguji kebenaran dari pihak lainnya.
12. Backup:
salinan dari dokumen asli atau cadangan dari mesin utama yang dapat digunakan apabila
terjadi gangguan pada mesin utama. Backup dapat berupa backup data maupun backup system.
Backup dapat ditempatkan secara on site di lokasi Data Center dan atau off site di lokasi
alternatif.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 113
542
GLOSSARY
21. Cybersquating:
pendaftaran atau penggunaan alamat website atau nama domain dengan maksud buruk yaitu
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 114
543
GLOSSARY
untuk menyalahgunakan atau memperoleh keuntungan dari penggunaan suatu merek dagang
oleh pihak yang tidak berwenang.
22. Database:
basis data yaitu representasi kumpulan fakta yang saling berhubungan disimpan secara
bersama sedemikian rupa dan tanpa pengulangan (redudansi)yang tidak perlu, untuk memenuhi
berbagai kebutuhan. Data perlu disimpan dalam basis data untuk keperluan penyediaan
informasi lebih lanjut. Data di dalam basis data perlu diorganisasikan sedemikian rupa, supaya
informasi yang dihasilkan berkualitas. Organisasi basis data yang baik juga berguna untuk
efisiensi kapasitas penyimpanannya. Dalam maksud yang sama, bisa juga diartikan sebagai
sekumpulan informasi yang disusun sedemikian rupa untuk dapat diakses oleh sebuah software
tertentu. Database tersusun atas bagian yang disebut field dan record yang tersimpan dalam
sebuah file. Sebuah field merupakan kesatuan terkecil dari informasi dalam sebuah database.
Sekumpulan field yang saling berkaitan akan membentuk record.
24. Defacing:
upaya hacker untuk menyerang dan mengubah tampilan atau isi suatu website.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 115
544
GLOSSARY
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 116
545
GLOSSARY
37. Enkripsi:
alat untuk mencapai keamanan data dengan menerjemahkannya dengan menggunakan sebuat
key (password). Enkripsi mencegah password atau key supaya tidak mudah dibaca pada file
konfigurasi.
40. Firewall:
peralatan untuk menjaga keamanan jaringan yang melakukan pengawasan dan penye -
leksian atas lalu lintas data/informasi melalui jaringan serta memisahkan jaringan privat
dan publik. Peralatan ini dapat digunakan untuk melindungi komputer yang telah
dikoneksikan dengan jaringan dari serangan yang dapat mengkompromikan komputer internal
yang dapat menyebabkan data corruption dan atau denial of service bagi pengguna yang
diotorisasikan.
42. Gateway:
titik dalam suatu jaringan yang berfungsi sebagai pintu masuk ke jaringan lain atau
menghubungkan satu jaringan dengan jaringan lain. Gateway dapat berupa komputer yang
mengatur dan mengendalikan lalu lintas jaringan.
43. Hardcopy:
salinan data/informasi komputer dalam bentuk tercetak atau dikenal dengan printout.
44. Hardening:
merupakan proses/metode untuk mengamankan sistem dari berbagai ancaman atau gangguan.
Metode yang digunakan termasuk antara lain menonaktifkan layanan yang tidak diperlukan,
serta username atau login yang tidak diperlukan, mengembangkan intrusion detection system,
intrusion prevention system, firewall.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 117
546
GLOSSARY
48. Hub:
peralatan yang menghubungkan beberapa kabel pada jaringan dan meneruskan data / informasi
ke seluruh address yang berupa titik jaringan atau peralatan yang dituju.
50. Interoperabilit:
a. kemampuan perangkat lunak atau perangkat keras pada berbagai jenis mesin dari banyak
vendor untuk saling berkomunikasi.
b. kemampuan untuk saling bertukar dan menggunakan informasi (biasanya dalam suatu
jaringan besar yang terdiri beberapa jaringan lokal yang bervariasi).
52. IT Control:
pengendalian Teknologi Informasi (TI) yang mencakup pengendalian umum dan pengendalian
aplikasi yang terintegrasi untuk mendukung proses bisnis. Pengendalian umum TI diperlukan
untuk memungkinkan diterapkannya fungsi pengendalian aplikasi. Pengendalian umum Bank
mencakup pengendalian di manajemen dan organisasi TI Bank, pengendalian akses baik logik
maupun fisik, pelaksanaan DRP/BCP, dll. Pengendalian aplikasi diperlukan untuk memastikan
kelengkapan dan keakuratan dalam setiap tahap pemrosesan informasi. Pengendalian aplikasi
diintegrasikan dengan sistem aplikasi yang digunakan untuk pemrosesan transaksi.
53. Keylogger:
ancaman berupa perangkat lunak atau perangkat hardware yang digunakan untuk memperoleh
informasi (PIN, password) yang diketikkan pengguna pada keyboard (biasanya di warung
internet).
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 118
547
GLOSSARY
54. Library:
kumpulan perangkat lunak atau data yang memiliki fungsi tertentu dan disimpan serta siap
untuk digunakan.
56. Man-in-the-middle-attack:
jenis serangan terhadap sistem teknologi informasi dimana hacker/penyerang menyadap pesan
yang dikirimkan pengirim kepada penerima dan/atau selanjutnya mengubah isi pesan dan
mengirimkannya kembali kepada penerima. Hacker/penyerang akan menggunakan program
yang tampak seperti server bagi client dan tampak sebagai client bagi server.
61. Non-repudiation:
suatu cara untuk memastikan kebenaran pengirim dan penerima sehingga tidak ada pihak yang
dapat menyangkal.
62. Off-line:
sistem atau komputer yang tidak terdapat hubungan jaringan atau tidak dapat berkomunikasi
dengan sistem atau komputer lain.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 119
548
GLOSSARY
65. Outsourcing:
penggunaa pihak lain (eksternal) dalam penyelenggaraan teknologi informasi Bank yang
menyebabkan Bank memiliki ketergantungan terhadap jasa yang diberikan pihak lain tersebut
secara berkesinambungan dan atau dalam periode tertentu.
67. Password:
kode atau simbol khusus untuk mengamankan sistem komputer yaitu untuk mengidentifikasi
pihak yang mengakses data, program atau aplikasi komputer dan digunakan.
68. Patch:
sekumpulan kode yang ditambahkan pada perangkat lunak untuk memperbaiki suatu
kesalahan, biasanya merupakan koreksi yang bersifat sementara di antara dua keluaran versi
perangkat lunak.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 120
549
GLOSSARY
74. Phising:
salah satu bentuk teknik social engineering untuk memperoleh informasi rahasia seseorang
secara ilegal. Phising dapat dalam bentuk e-mail palsu yang seolah-olah berasal dari Bank,
perusahaan kartu kredit,dll untuk memperoleh informasi seperti PIN, Password,dll.
76. Piggybacking:
(i) tindakan di mana seseorang memasuki ruangan dengan mengikuti orang lain yang memiliki
akses ke ruangan tersebut;
(ii) suatu cara untuk menyusup atau mengubah transmisi dengan melekat pada jaringan
telekomunikasi yang terotorisasi.
78. Platform:
perangkat keras atau lunak seperti arsitektur komputer, sistem operasi atau bahasa
pemrograman yang memungkinkan suatu aplikasi beroperasi.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 121
550
GLOSSARY
85. Restore:
mengembalikan pada fungsi atau kondisi semula sebelum terjadi disaster.
87. Router:
peralatan jaringan yang meneruskan suatu paket data/informasi dan memilih rute terbaik untuk
ditempuh untuk menyampaikan data/informasi tersebut.
90. Softcopy:
salinan data atau dokumen dalam bentuk file elektronis.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 122
551
GLOSSARY
93. Spoofing:
suatu keadaan dimana seseorang atau suatu program dapat menyerupai orang lain atau program
lain dengan cara memalsukan data dengan tujuan untuk mendapatkan keuntungan-keuntungan
tertentu.
94. Spyware:
perangkat lunak yang mengumpulkan informasi-informasi sensitif tentang pengguna tanpa
sepengetahuan atau ijin dari pengguna.
96. Subcontractor:
penyedia jasa lain yang digunakan oleh penyedia jasa yang dikontrak oleh Bank.
97. Switch:
peralatan dalam jaringan yang meneruskan paket informasi kepada address atau peralatan yang
dituju.
98. System:
suatu jaringan kerja dari prosedur-prosedur yang saling berhubungan, berkumpul bersama -
sama untuk melakukan suatu kegiatan atau untuk menyelesaikan suatu sasaran tertentu.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 123
552
GLOSSARY
106. UnitTtesting:
uji coba yang dilakukan oleh pengembang untuk menguji fungsionalitas dari modul-modul
kecil dalam program perangkat lunak.
110. Virus:
program yang bersifat merusak dan akan aktif dengan bantuan orang (dieksekusi), dan tidak
dapat mereplikasi sendiri, penyebarannya karena dilakukan oleh orang, seperti copy, biasanya
melalui attachement e-mail, game, program bajakan dll.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 124
553
GLOSSARY
114. Worm:
program komputer yang dirancang untuk memperbanyak diri secara otomatis dengan melekat
pada e-mail atau sebagai bagian dari pesan jaringan. Worm menyerang jaringan dan berakibat
kepada penuhnya bandwith yang terpakai sehingga menghambat laju pengiriman data pada
jaringan.
Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum 125
554
LAMPIRAN 30.1
Lampiran 28.1
Lampiran32.1
LAMPIRAN .1
Seperti telah dijelaskan dalam Bab I Manajemen Bank perlu memiliki dokumentasi risiko
agar risiko yang diidentifikasi dan dinilai atau diukur dapat dipantau oleh manajemen yang
biasa disebut dengan Risk Register. Untuk menghasilkan risk register ini perlu langkah-
langkah tertentu yang harus dilakukan. Saat ini terdapat berbagai macam pendekatan,
langkah dan metode dapat digunakan dalam penilaian risiko penggunaan Teknologi
Informasi (TI) misalnya dengan pedekatan aset atau pendekatan proses. Bank dapat
menentukan sendiri pendekatan, langkah dan metode yang akan dilakukan. Berikut ini
adalah contoh penilaian risiko pengamanan informasi yang menggunakan pendekatan
aset.
Inheren Residual
Pengendalian yg Ada
Analisa Kerawanan
Diharapkan
Kecenderungan
Kecenderungan
Dampak
Dampak
Aset
No
0 1 2 3 4 5 6 7 8 9 10 11
2. Identifikasi Risiko
2.1. Identifikasi (penentuan klasifikasi) Aset
Kolom No.1 yaitu aset, diisi dengan nama atau jenis aset yang dihasilkan dalam
menjalankan proses bisnis bank dan aset yang mendukung terlaksananya proses
bisnis tersebut. Aset yang dimaksud bukan aset secara akuntansi, namun segala
sesuatu yang mempunyai nilai bagi organisasi dan harus diamankan termasuk
data, perangkat lunak, perangkat keras, jaringan komunikasi dan data, sarana
pendukung dan sumber daya manusia. Tentukan pemilik aset tersebut dan
identifikasi tingkatan penting tidaknya (kritikal) aset tersebut bagi unit kerja
pengguna dan unit kerja penyelenggara TI. Untuk proses identifikasi ini Bank
menetapkan terlebih dahulu kriteria penilaian tertentu yang akan digunakan
misalnya seperti yang terdapat pada contoh di tabel berikut:
1555
Analisa Kriteria Penilaian
Aspek
Sensitivitas High Medium Low
2556
Aset yang telah diklasifikasikan sesuai analisa sensitivitas dan penentuan
tingkat kritikal seperti dalam tabel diatas kemudian dicantumkan pada kolom 1
di form Risk Register.
Contoh : Informasi nasabah dalam bentuk hardcopy.
2.2. Identifikasi risiko dan evaluasi risiko yang terkait dengan aset
Kolom 2 di Risk Register diisi dengan hasil identifikasi dan evaluasi pengguna
dan penyelenggara TI terhadap potensial kegagalan atau kelemahan proses
pengamanan yang ada/diterapkan Bank atas aset yang telah didefinisikan,
sehingga berpengaruh secara signifikan terhadap kinerja Bank. Satu aset dapat
memiliki beberapa risiko. Contoh pencantuman di Kolom 2 (Deskripsi Risiko):
Informasi bocor kepada pihak yang tidak berwenang.
3. Pengukuran Risiko
Besarnya pengaruh risiko dapat diketahui dengan menilai kecenderungan risiko dan
dampak yang dapat ditimbulkan oleh risiko tersebut terhadap proses bisnis. Kriteria
pengukuran yang digunakan mengacu kepada metode risk assessment yang berlaku
di Bank. Proses ini dilakukan oleh personil yang mengetahui proses bisnis dan
pengamanan atas informasi di proses tersebut. Kolom 4, 5, dan 6 diisi dengan hasil
pengukuran Bank atas kecenderungan dan dampak dari risiko sebelum pengendalian
dilakukan terhadap aset berisiko tersebut. Sedangkan kolom 8, 9 dan 10 diisi dengan
hasil pengukuran Bank atas kecenderungan dan dampak dari risiko setelah
pengendalian dilakukan terhadap aset berisiko tersebut.
3557
berupa ukuran terjadinya risiko dalam satuan waktu seperti frekuensi kejadian
setiap hari, setiap minggu, setiap bulan, atau setiap tahun.
4558
Potensi gangguan terhadap
Nilai Potensi penurunan Reputasi
Proses Bisnis
Pemrosesan Informasi yang terkait
pulih
3 Aset Pemrosesan Informasi Kerusakan reputasi yang tidak
mengalami gangguan yang menyeluruh – hanya di
menyebabkan sebagian bisnis bank divisi/bagian/tim tertentu.
mengalami penundaan sampai Aset
Pemrosesan Informasi yang terkait
pulih
2 Aset Pemrosesan Informasi Kerusakan reputasi yang tidak
mengalami gangguan namun menyeluruh - hanya satuan kerja
aktivitas tugas pokok Tim dapat tertentu.
dikerjakan secara normal karena
aset pemrosesan informasi yang
terkait dapat digantikan oleh Aset
Pemrosesan Informasi lainnya.
1 Tidak menyebabkan gangguan Tidak berpengaruh pada reputasi.
terhadap operasional proses bisnis
5559
5 Medium Medium High High High
Kecenderungan
4 Low Medium High High High
3 Low Low Medium High High
2 Low Low Medium Medium High
1 Low Low Medium Medium High
1 2 3 4 5
Dampak
Contoh pencantuman hasil penentuan NRD di kolom 6: High
Contoh pencantuman hasil penentuan NRA di kolom 10: Medium
6560
Setelah form Risk Register terisi Bank melakukan analisis nilai risiko atas
masing-masing aset yang teridentifikasi. Perbedaan antara NRD High dengan NRA
Medium menunjukkan berkurangnya kecenderungan terjadinya risiko dan dampak
yang ditimbulkan bila risiko terjadi tidak akan sebesar apabila pengendalian
(risk control system) tidak diterapkan. Bank harus menganalisa apakah terdapat risiko
yang belum dikendalikan namun dapat diterapkan bentuk pengendalian tertentu.
Perbandingan antara NRA dengan Nilai Risiko yang diharapkan dari berbagai aset
yang teridentifikasi merupakan parameter dasar untuk langkah-langkah yang
diperlukan memitigasi risiko. Sebagai contoh apabila diharapkan risiko kebocoran
informasi rahasia nasabah harus pada level Low, maka perlu dilakukan pengendalian
tambahan apabila Nilai Risiko Akhir-nya masih Medium Bank selanjutnya
menetapkan Rencana Penanganan Risiko atas aset tersebut. Misalnya Bank perlu
memperbaiki risk control system untuk pengamanan informasi, mengkinikan
kebijakan dan prosedur pengamanan.
7561
LAMPIRAN 30.2
Lampiran 28.2
Lampiran32.2
LAMPIRAN .2
Contoh kategori tingkat risiko suatu aplikasi atau suatu kegiatan untuk EUC:
Peringkat Kategori Tingkat Kekritisan Bisnis
Risiko Risiko dan Klasifikasi Data
• Dapat menimbulkan kerugian finansial yang sangat
besar
• Dapat memberikan dampak yang merugikan nilai Bank,
termasuk harga saham (untuk Bank yang sudah Go-
Publik)
5. Sangat Tinggi
• Dapat menimbulkan sanksi dari Bank Indonesia
• Memiliki dampak potensial atau aktual terhadap
reputasi Bank secara internasional
• Kegagalan memenuhi prinsip corporate governance
yang sangat serius
• Dapat menimbulkan kerugian finansial yang besar
• Dapat memberikan dampak yang serius bagi Bank
• Dapat menimbulkan sanksi dari Bank Indonesia
• Kemungkinan timbulnya sorotan publik (reputation risk
exposures) apabila tidak ditangani secara benar
4. Tinggi
• Isu pelayanan nasabah (customer service) yang
berdampak serius terhadap bisnis Bank
• Risiko reputasi amat potensial bagi Bank
• Kegagalan memenuhi prinsip corporate governance
yang cukup serius
• Kerugian finansial yang dapat ditimbulkan cukup besar
• Dampak yang cukup signifikan bagi bisnis Bank
3. Menengah • Kemungkinan risiko reputasi pada skala menengah
• Kegagalan memenuhi prinsip corporate governance
• Kerugian finansial yang dapat ditimbulkan relatif
rendah
2. Rendah • Dampak terhadap bisnis Bank relatif kecil
• Tidak ada sangsi dari Bank Indonesia
• Risiko reputasi bagi Bank relatif rendah
• Tidak ada /kecil dampak kerugian finansial bagi Bank
• Dampak kerugian hanya terbatas pada unit bisnis
1. Dapat Diabaikan pengguna aplikasi tersebut
• Tidak ada risiko reputasi bagi Bank
Tabel diatas hanya merupakan contoh. Bank hendaknya membuat kriteria risiko yang
disesuaikan dengan ukuran dan kompleksitas usaha Bank yang bersangkutan.
562
Surat Edaran Bank Indonesia Nomor 9/30/DPNP Tanggal 12 Desember 2007
Lampiran
LAMPIRAN
Lampiran
LAMPIRAN 33 31
29
FORMULIR
PELAPORAN DAN PERMOHONAN
PERSETUJUAN PENGGUNAAN
TEKNOLOGI INFORMASI
1563
DAFTAR ISI
2564
Lampiran .3.5 Realisasi Penyelenggaraan Pemrosesan Transaksi
Berbasis Teknologi Informasi oleh Pihak Lain di
Luar Negeri
3565
PENJELASAN CARA PENGISIAN LAPORAN
Apabila terdapat permintaan informasi dan dokumen pendukung, selain memberi tanda
”V” maka Bank hendaknya memberikan informasi tersebut. Jika diperlukan, dapat
menggunakan lembar tambahan untuk melengkapi penjelasan pada formulir yang diminta.
Apabila terdapat pertanyaan yang diikuti:
V Terlampir Tidak Terlampir
maka Bank memberi tanda ”V” pada kotak ”terlampir” apabila Bank menyertakan
lampiran yang diminta pada laporan tersebut.
Untuk Laporan Penggunaan Teknologi Informasi, Laporan Tahunan dan Laporan Kejadian
Kritis apabila Bank mencoret tanda ”V” pada kotak ”Tidak Terlampir” maka dianggap
Bank tidak memiliki hal yang diminta untuk dilampirkan.
Sudah Belum V
maka Bank harus memberikan data dan penjelasan mengenai perubahan tersebut. Bank
dapat menggunakan lampiran terkait pada Laporan Penggunaan Teknologi Informasi yang
disebutkan dimasing-masing nomor atau format bebas sesuai hal yang akan dilaporkan
oleh bank.
Apabila Bank menggunakan lampiran pada Laporan Penggunaan Teknologi Informasi
yang disebutkan maka tanda ”V” yang tertera pada kotak ”Tidak Terlampir” di lampiran
tersebut, akan dianggap sebagai ”tidak terdapat perubahan dari laporan sebelumnya.
Setiap rencana perubahan yang mendasar dilaporkan dengan menggunakan Lampiran 2.2..
Apabila perubahan mendasar yang akan dilakukan merupakan penerbitan produk
electronic banking dan atau penggunaan pihak penyedia jasa Teknologi Informasi maka
dokumen yang harus disampaikan mengacu kepada lampiran terkait yang disebutkan pada
Surat Edaran Ekstern. Bank mengisi kotak ” Ya - Dokumen Terlampir” di kategori
4566
perubahan mendasar yang dilaporkan dengan nomor lampiran terkait perubahan yaitu
Lampiran 2.2.1. untuk rencana penerbitan produk electronic banking baru dan Lampiran
2.2.2., Lampiran 2.2.3, Lampiran 2.2.4 atau 2.2.5 untuk rencana penggunaan pihak
penyedia jasa. Bank memberikan tanda ”V” pada kotak ”Tidak” di kategori lainnya/di luar
yang dilaporkan.
Contoh apabila yang dilaporkan adalah rencana produk electronic banking baru:
Ya
Dokumen Tidak **) Keterangan
Pertanyaan
Terlampir**)
Format Laporan Perubahan Mendasar ini juga berlaku untuk lampiran permohonan
persetujuan Bank Indonesia atas rencana Bank menggunakan pihak penyedia jasa di luar
negeri untuk Data Center, Disaster Recovery Center atau Pemrosesan Transaksi Berbasis
Teknologi Informasi.
5567
Lampiran -131.1
LAMPIRAN
Lampiran 29.1
Nama Bank
Alamat Kantor Pusat Bank .....
No. Telp. ...................................
Tanggal Laporan _ _ _ _ _ _ _ _ _ _ _ _ _ _
................................
6568
LAMPIRAN
Lampiran
LAMPIRAN31.1.1
29.1.1
Lampiran 33.1.1
.1.1
MANAJEMEN
7. Risk Management.
a. Terdapat petugas untuk memonitor risiko terkait TI.
Ada Tidak Ada
b. Terdapat tools, system & prosedur untuk memonitor risiko terkait TI baik
di satuan kerja TI maupun satuan kerja pengguna TI.
Ada Tidak Ada
*) Struktur organisasi berdasarkan nama jabatan, baik di divisi TI maupun divisi pengguna utama TI, serta struktur
organisasi berdasarkan nama pejabat di divisi TI mulai dari direksi penanggung jawab TI sampai kepala seksi.
7569
Lampiran 29.1.2
Lampiran
LAMPIRAN .1.2
31.1.2
3. Application Architecture.
Terlampir Tidak Terlampir
a. Dikembangkan sendiri.
Terlampir Tidak Terlampir
5. Apakah bank memiliki fungsi Project Management untuk aplikasi yang sedang
dalam pengembangan.
Ya Tidak
*) Memuat informasi nama aplikasi, kegunaan, pihak pengembang (in house atau nama vendor), penyelenggara
(intern/outsourcing), platform, tahun implementasi, technical user documentation, jenis database system, lokasi
Server utama dan lokasi server back up yang meng-install aplikasi ini.
8570
Lampiran29.1.3
LAMPIRAN
Lampiran .1.3
31.1.3
b. Status kepemilikan
Milik Sendiri Milik penyedia jasa
6. Kebijakan, sistem dan prosedur pengelolaan hak akses pengguna sistem dan aplikasi
Ada Tidak Ada
*) Bila terdapat lebih dari 1 data center, misalnya ada data center khusus untuk treasury atau khusus untuk trade finance
agar dicantumkan pula kelengkapan informasi data center lainnya dari no. 1 sampai dengan No. 9 diatas.
9571
Lampiran .1.4
LAMPIRAN
Lampiran 31.1.4
29.1.4
JARINGAN KOMUNIKASI
10572
Lampiran .1.5
LAMPIRAN
Lampiran 31.1.5
29.1.5
PENGAMANAN INFORMASI *)
d. Klasifikasi data.
Ada Tidak Ada
2. Pengelolaan aset
a. Pengelolaan aset terkait informasi meliputi identifikasi, penentuan kepemilikan
& tanggung jawab serta inventarisasi daftar aset.
Terlampir Tidak Terlampir
3. Pengamanan Akses
a. Penerapan pengamanan password pada aplikasi, misalnya aplikasi telah
memaksa user untuk mengubah password secara berkala.
Ada Tidak ada
*) Bila bank menggunakan jasa pihak lain dalam penyelenggaraan TI, pertanyaan-pertanyaan di atas berlaku juga untuk
penyelenggaraan TI tersebut.
11573
b. Security Matrix yang menjelaskan hak akses yang diberikan kepada masing-
masing user untuk setiap aplikasi yang dimiliki Bank.
Ada Tidak ada
c. Terdapat fungsi audit (audit log/audit trail) untuk setiap aktivitas yang
dilakukan oleh user dan dilakukan analisa terhadap audit log tersebut.
Ada Tidak ada
d. Review secara periodik terhadap kesesuaian antara user berikut hak akses yang
diberikan oleh pihak yang independen.
Ada Tidak ada
6. Operasional Aplikasi
Ketentuan tentang pengamanan dalam identifikasi dan otentikasi akses misalnya
penggunaan, password, token, biometric dll.
Ada Tidak ada
12574
Lampiran 29.1.6
Lampiran .1.6
LAMPIRAN 31.1.6
1. Kebijakan, sistem dan prosedur Business Continuity Plan termasuk Disaster Recovery
Plan didalamnya.
Ada Tidak Ada
Bila tidak ada , apakah Bank memiliki Disaster Recovery Plan?.
Ada Tidak Ada
2. Struktur organisasi dan kewenangan Business Continuity Plan.*)
Terlampir Tidak Terlampir
3. a. Business Impact Analysis terakhir.
Tgl .........................................................
b. Risk Assessment Review terakhir.
Tgl .........................................................
4. Disaster Recovery Center
a. Alamat ………………………………………………………………....
b. Spesifikasi back up server dan perangkat keras lainnya.
Terlampir Tidak Terlampir
c. Kelengkapan pengamanan fisik pada DRC.
Terlampir Tidak Terlampir
d. Konfigurasi DRC (topologi jaringan, hardware, software, dan pendukung
lainnya)
Terlampir Tidak Terlampir
e. Back Up Data (hot, warm, cold back up) untuk masing-masing aplikasi yang
tersedia di DRC.
Terlampir Tidak Terlampir
5. Testing BCP & DRP.
a. Kebijakan, sistem dan prosedur testing
Ada Tidak Ada
b. Pengujian menyeluruh (overall testing) atas seluruh sistem/aplikasi yang critical
terakhir
Tgl .........................................................
*) Termasuk nama dan jabatan orang yang ada di dalam core team BCP
13575
Lampiran 29.1.7
Lampiran .1.7
1. Daftar aplikasi yang dikembangkan dan/atau diadakan oleh unit kerja diluar unit
kerja Teknologi Informasi.
Terlampir Tidak Terlampir
2. Apakah terdapat kebijakan dan prosedur yang telah disetujui Direksi dan Dewan
Komisaris mengenai pengembangan dan pemeliharaan aplikasi oleh pengguna akhir.
Ada Tidak Ada
14576
Lampiran29.1.8
Lampiran .1.8
ELECTRONIC BANKING
1. Produk e-banking yang disediakan bank (jawaban dapat lebih dari satu):
a. Kartu ATM
Ya Tidak
b. Kartu Debit
Ya Tidak
c. Kartu Kredit
Ya Tidak
e. SMS Banking
Ya Tidak
Informational Communicative Transactional
f. Internet Banking
Ya Tidak
Informational Communicative Transactional
g. Phone Banking
Ya Tidak
Informational Communicative Transactional
3. Apakah terdapat kebijakan dan prosedur terkait setiap produk e-banking yang telah
disetujui Direksi dan Dewan Komisaris.
Ada Tidak Ada
15577
4. a. Sistem arsitektur TI untuk masing-masing produk e-banking dan bentuk
koneksi dengan core banking system;
Terlampir Tidak Terlampir
5. Apakah terdapat analisis terkini dalam 1 (satu) tahun terakhir dari risk identification,
risk measurement, risk monitoring and mitigation untuk setiap produk e-banking.
Ada Tidak Ada
Bila ada:
Terlampir Tidak Terlampir
16578
Lampiran29.1.9
Lampiran .1.9
1. Bank memiliki unit kerja atau personil untuk audit intern khusus TI.
Ya Tidak
Jika ya, lampirkan struktur organisasi Audit TI dan lengkapi dengan curiculum vitae
auditor intern.
Terlampir Tidak Terlampir
2. Jika jawaban pada no. 1 adalah tidak, apakah bank menggunakan auditor ekstern
untuk melakukan audit intern khusus TI?
Ya Tidak
3. Review terakhir oleh pihak independen terhadap fungsi audit intern TI.
Ada Tidak Ada
6. Apakah audit khusus pada nomor 5 juga dilakukan atas Data Center, Disaster
Recovery Center dan Pemrosesan Transaksi Berbasis TI yang diselenggarakan oleh
pihak lain?
Ya Tidak
7. Apakah audit khusus TI tersebut di atas, dalam 3 tahun terakhir telah mencakup
seluruh modul dalam aplikasi Core Banking?.
Ya Tidak
*) Informasi mencakup jenis layanan, data penyedia jasa (nama perusahaan, alamat data center, alamat perusahaan,
pemilik/grup pemilik mayoritas), tanggal dan jangka waktu perjanjian, contact person di bank yang menangani jasa
penyelenggaraan TI tersebut dan informasi penting lainnya .
17579
Lampiran29.1.10
Lampiran .1.10
2. Copy perjanjian antara bank dengan penyelenggara Data Center, Disaster Recovery
Center dan Pemrosesan transaksi berbasis TI
Terlampir Tidak Terlampir
3. Hasil review terkini mengenai analisis biaya & manfaat penyelenggaraan TI oleh
pihak lain yang antara lain mencakup:
a. manfaat bagi Bank melampaui biaya dibebankan oleh pihak penyedia jasa
kepada Bank;
b. Penilaian kecukupan dan kesesuaian sistem aplikasi yang digunakan dengan
kebutuhan bank;
c. Analisis sistem pengamanan yang digunakan oleh pihak penyedia jasa.
Ada Tidak ada
4. Analisis bank mengenai kecukupan Disaster Recovery Plan milik pihak penyedia
jasa penyelenggara TI.
Ada Tidak ada
18580
Lampiran29.2
Lampiran -2
Nama Bank
Alamat Kantor Pusat Bank .....
No. Telp. ...................................
Nama Pelapor
Kantor/Divisi/Bagian Pelapor
Alamat Pelapor.....
No. Telp. ...................................
Tanggal Laporan _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
................................
19581
Lampiran
Lampiran29.2.1
.2.1
RENCANA PENERBITAN
ELECTRONIC BANKING TRANSAKSIONAL*)
2. Uraian singkat atau penjelasan mengenai produk e-banking yang akan diterbitkan.
5. Hasil analisis dan identifikasi risiko pada Bank terhadap risiko yang melekat pada
produk electronic banking dan bentuk pengendalian pengamanan untuk mitigasi
risiko tersebut antara lain untuk memastikan terpenuhinya prinsip kerahasiaan
(confidentiality), integritas (integrity), otentifikasi (authentication) dan ketersediaan
(availability).
7. Uraian sistem informasi akuntansi yang akan diterapkan untuk produk yang akan
diterbitkan.
8. Lampirkan hasil analisis dan identifikasi risiko produk e-banking antara lain risiko
operasional, hukum dan reputasi.
10. Uraian kesiapan struktur organisasi pendukung dan bentuk pengawasan yang melekat
(built in control) yang akan diterapkan atas produk e-banking yang akan diterbitkan.
11. Hasil analisis bisnis mengenai proyeksi penerbitan produk baru dalam 1 (satu) tahun
kedepan
*) Rencana penerbitan e-banking dilaporkan 2 (dua) bulan sebelum rencana perubahan tersebut efektif dioperasikan
sebagaimana dipersyaratkan pada PBI.
20582
Lampiran
Lampiran29.2.2
.2.2
Lampirkan data nama dan alamat serta kepemilikan penyelenggara Data center dan
atau Disaster Recovery Center yang direncanakan.
2. Lampirkan ringkasan hasil pendefinisian kebutuhan dan due diligence yang telah
dilakukan Bank dalam rencana menggunakan penyedia jasa untuk
menyelenggarakan Data Center dan atau Disaster Recovery Center di dalam negeri.
3. Berkaitan dengan ringkasan due diligence pada nomor 2, sertakan hal-hal dibawah
ini sebagai lampiran ringkasan tersebut:
a. analisis Bank atas hasil audit teknologi informasi yang dilakukan oleh pihak
independen terhadap pengembangan sistem aplikasi yang ditawarkan dan
sistem pengamanan pada fasilitas yang dimiliki oleh pihak penyedia jasa;
b. analisis risiko Bank mengenai rencana menyerahkan penyelenggaraan Data
Center dan atau Disaster Recovery Center kepada pihak penyedia jasa antara
lain risiko operasional, hukum dan reputasi;
c. analisis Bank mengenai kecukupan Disaster Recovery Plan milik pihak
penyedia jasa penyelenggara TI.
4. Bila sudah ada lampirkan konsep perjanjian antara bank dengan penyelenggara TI
yang memuat hal-hal sebagaimana dipersyaratkan dalam Peraturan Bank Indonesia.
Bila konsep perjanjian belum ada lampirkan ringkasan proposal dari calon
penyelenggara dan ringkasan analisis bank atas proposal tersebut.
5. Proposal pada nomor 4 mencakup ringkasan analisis risiko oleh pihak penyedia jasa
penyelenggara TI atas penyelenggaraan Data Center dan atau Disaster Recovery
Center yang akan ditawarkan kepada bank.
6. Lampirkan ringkasan analisis biaya & manfaat penyelenggaraan TI oleh pihak lain
yang antara lain mencakup:
a. penilaian kecukupan dan kesesuaian sistem aplikasi yang akan digunakan
dengan kebutuhan bank;
b. analisis atas pengendalian pengamanan yang digunakan pihak penyedia jasa
untuk memastikan terpenuhinya confidentiality, integrity, availability dan
authentication;
*) Rencana bank menggunakan pihak penyedia jasa dalam menyelenggarakan data center dan DRC di dalam negeri
dilaporkan 2 (dua) bulan sebelum penyelenggaraan TI tersebut efektif dioperasikan sebagaimana dipersyaratkan
pada PBI.
21583
c. analisis kinerja, reputasi dan kelangsungan penyediaan layanan kepada para
pengguna jasa.
7. Lampirkan gambar IT Architecture yang telah ada dan yang direncanakan setelah
penyelenggaraan DC /DRC diserahkan kepada pihak penyedia jasa.
9. Lampirkan Surat Pernyataan dari Bank mengenai kesediaan Bank memberikan akses
kepada auditor intern, ekstern maupun Bank Indonesia untuk memperoleh data dan
informasi secara tepat waktu setiap kali dibutuhkan.
22584
Lampiran
Lampiran29.2.3
.2.3
Lampirkan data nama dan alamat serta kepemilikan penyelenggara Data center dan
atau Disaster Recovery Center yang direncanakan.
2. Lampirkan ringkasan hasil pendefinisian kebutuhan dan due diligence yang telah
dilakukan Bank dalam rencana menggunakan penyedia jasa untuk
menyelenggarakan Data Center dan atau Disaster Recovery Center di luar negeri.
3. Berkaitan dengan ringkasan due diligence pada nomor 2, sertakan hal-hal dibawah
ini sebagai lampiran ringkasan tersebut:
a. analisis bank atas hasil audit teknologi informasi yang dilakukan oleh pihak
independen terhadap pengembangan sistem aplikasi yang ditawarkan dan
sistem pengamanan pada fasilitas yang dimiliki oleh pihak penyedia jasa;
b. analisis risiko Bank mengenai rencana menyerahkan penyelenggaraan Data
Center dan atau Disaster Recovery Center kepada pihak penyedia jasa antara
lain risiko operasional, hukum dan reputasi serta analisis country risk;
c. analisis Bank mengenai kecukupan Disaster Recovery Plan milik pihak
penyedia jasa penyelenggara TI.
4. Lampirkan konsep perjanjian antar bank dengan penyelenggara Data Center dan
atau Disaster Recovery Center di luar negeri yang memuat hal-hal sebagaimana
dipersyaratkan dalam Peraturan Bank Indonesia.
5. Lampirkan ringkasan analisis risiko oleh pihak penyedia jasa penyelenggara TI atas
penyelenggaraan Data center dan atau Disaster Recovery Center yang akan
ditawarkan kepada bank.
6. Lampirkan ringkasan analisis biaya & manfaat penyelenggaraan TI oleh pihak lain
yang antara lain mencakup:
a. manfaat bagi Bank melampaui biaya dibebankan oleh pihak penyedia jasa
kepada Bank;
b. penilaian kecukupan dan kesesuaian sistem aplikasi yang akan digunakan
dengan kebutuhan bank;
c. analisis atas pengendalian pengamanan yang digunakan pihak penyedia jasa
untuk memastikan terpenuhinya confidentiality, integrity, availability dan
authentication;
*) Permohonan Bank untuk izin menggunakan pihak penyedia jasa dalam menyelenggarakan data center dan DRC di
luar negeri diajukan 4 (empat) bulan sebelum penyelenggaraan TI tersebut efektif dioperasikan untuk memperoleh
persetujuan dari Bank Indonesia sebagaimana dipersyaratkan pada PBI 23585
d. analisis kinerja, reputasi dan kelangsungan penyediaan layanan kepada para
pengguna jasa.
9. Lampirkan Surat Pernyataan dari Bank mengenai kesediaan Bank memberikan akses
kepada auditor intern, ekstern maupun Bank Indonesia untuk memperoleh data dan
informasi secara tepat waktu setiap kali dibutuhkan.
10. Bila Bank merupakan Kantor Cabang Bank Asing atau Bank yang dimiliki lembaga
keuangan asing, lampirkan:
a. Surat Pernyataan dari otoritas pengawas lembaga keuangan di luar negeri
bahwa pihak penyedia jasa merupakan cakupan pengawasannya;
b. Surat Pernyataan tidak keberatan dari otoritas pengawas setempat bila Bank
Indonesia hendak melakukan pemeriksaan penyelenggaraan pusat data (Data
Center) dan atau Disaster Recovery Center tersebut;
c. Surat Pernyataan bahwa Bank secara berkala akan menyampaikan hasil
penilaian yang dilakukan kantor Bank di luar negeri atas penerapan
manajemen risiko pada pihak penyedia jasa. Surat Pernyataan ini
mencantumkan periodisasi yang direncanakan;
d. Hasil penilaian oleh kantor Bank di luar negeri atas penerapan manajemen
risiko yang dilakukan oleh pihak penyedia jasa.
24586
Lampiran
Lampiran29.2.4
.2.4
2. Lokasi penyelenggaraan:
a. Pusat data (Data Center)........................................................
c. pemrosesan transaksi............................................................
3. Lampirkan ringkasan hasil pendefinisian kebutuhan dan due dilligence yang telah
dilakukan Bank dalam rencana menggunakan penyedia jasa untuk
menyelenggarakan Pemrosesan Transaksi Berbasis Teknologi Informasi di dalam
negeri.
4. Berkaitan dengan ringkasan due diligence pada nomor 3, sertakan hal-hal dibawah
ini sebagai lampiran ringkasan tersebut:
a. analisis bank atas hasil audit teknologi informasi yang dilakukan oleh pihak
independen terhadap sumber daya TI (termasuk pengembangan sistem
aplikasi yang ditawarkan, sistim operasi dan prosedur, dan sistem
pengamanan pada fasilitas yang dimiliki) yang akan digunakan untuk
memproses transaksi oleh pihak penyedia jasa;
b. analisis risiko Bank atas rencana menyerahkan penyelenggaraan Pemrosesan
Transaksi Berbasis Teknologi Informasi kepada pihak penyedia jasa antara
lain risiko operasional, hukum dan reputasi;
c. analisis Bank mengenai kecukupan Disaster Recovery Plan milik pihak
penyedia jasa penyelenggara Pemrosesan Transaksi Berbasis Teknologi
Informasi.
5. Bila sudah ada lampirkan konsep perjanjian antara bank dengan penyelenggara
Pemrosesan Transaksi Berbasis Teknologi Informasi di dalam negeri , bila belum
ada lampirkan ringkasan proposal dari calon penyelenggara dan ringkasan analisis
bank atas proposal tersebut.
*) Rencana Bank untuk menggunakan pihak penyedia jasa dalam menyelenggarakan pemrosesan transaksi berbasis
teknologi informasi di dalam negeri dilaporkan 2 (dua) bulan sebelum penyelenggaraan pemrosesan transaksi berbasis
teknologi informasi tersebut efektif dioperasikan sebagaimana dipersyaratkan pada PBI
25587
6. Proposal pada nomor 5 mencakup ringkasan analisis risiko oleh pihak penyedia jasa
penyelenggara TI atas penyelenggaraan Pemrosesan Transaksi Berbasis Teknologi
Informasi yang akan ditawarkan kepada Bank.
7. Lampirkan ringkasan analisis biaya & manfaat penyelenggaraan TI oleh pihak lain
yang antara lain mencakup:
a. penilaian kecukupan dan kesesuaian sistem aplikasi yang akan digunakan
dengan kebutuhan Bank.
b. analisis Bank atas pengendalian pengamanan yang digunakan pihak penyedia
jasa untuk memastikan terpenuhinya confidentiality, integrity, availability dan
authentication.
c. analisis kinerja, reputasi dan kelangsungan penyediaan layanan kepada para
pengguna jasa.
8. Lampirkan gambar garis pelaporan dan informasi sekarang dan yang direncanakan
setelah penyelenggaraan pemrosesan transaksi diserahkan kepada pihak penyedia
jasa.
10. Lampirkan Surat Pernyataan dari Bank mengenai kesediaan Bank memberikan akses
kepada auditor intern, ekstern maupun Bank Indonesia untuk memperoleh data dan
informasi secara tepat waktu setiap kali dibutuhkan.
26588
Lampiran
Lampiran29.2.5
.2.5
2. Lokasi penyelenggaraan:
a. Pusat data (Data Center)........................................................
3. Lampirkan ringkasan hasil pendefinisian kebutuhan dan due dilligence yang telah
dilakukan Bank dalam rencana menggunakan penyedia jasa untuk menyelenggarakan
Pemrosesan Transaksi Berbasis TI di Luar Negeri
4. Berkaitan dengan ringkasan due diligence pada nomor 3, sertakan hal-hal dibawah
ini sebagai lampiran ringkasan tersebut:
a. analisis Bank atas hasil audit teknologi informasi yang dilakukan oleh pihak
independen terhadap sumber daya TI (termasuk pengembangan sistem aplikasi
yang ditawarkan, sistim operasi dan prosedur, dan sistem pengamanan pada
fasilitas yang dimiliki) yang akan digunakan untuk memproses transaksi oleh
pihak penyedia jasa;
b. analisis risiko Bank atas rencana menyerahkan penyelenggaraan Pemrosesan
Transaksi Berbasis TI kepada pihak penyedia jasa antara lain risiko
operasional, hukum dan reputasi serta analisis country risk;
c. analisis Bank mengenai kecukupan Disaster Recovery Plan milik pihak
penyedia jasa penyelenggara TI.
6. Lampirkan ringkasan analisis risiko oleh pihak penyedia jasa penyelenggara TI atas
penyelenggaraan Pemrosesan Transaksi Berbasis TI yang akan ditawarkan kepada
Bank.
*) Permohonan Bank untuk izin menggunakan pihak penyedia jasa dalam menyelenggarakan pemrosesan transaksi
berbasis teknologi informasi di luar negeri 4 (empat) bulan sebelum penyelenggaraan pemrosesan transaksi berbasis
teknologi informasi tersebut efektif dioperasikan sebagaimana dipersyaratkan pada PBI
27589
7. Lampirkan ringkasan analisis biaya & manfaat penyelenggaraan Pemrosesan
Transaksi Berbasis TI oleh pihak lain yang antara lain mencakup:
a. manfaat bagi Bank melampaui biaya dibebankan oleh pihak penyedia jasa
kepada Bank;
b. penilaian kecukupan dan kesesuaian sistem aplikasi yang akan digunakan
dengan kebutuhan bank.
c. analisis Bank atas pengendalian pengamanan yang digunakan pihak penyedia
jasa untuk memastikan terpenuhinya confidentiality, integrity, availability dan
authentication.
d. analisis kinerja, reputasi dan kelangsungan penyediaan layanan kepada para
pengguna jasa.
8. Lampirkan gambar garis pelaporan dan informasi sekarang dan yang direncanakan
setelah pemrosesan transaksi diserahkan kepada pihak penyedia jasa.
9. Bila Bank merupakan Kantor Cabang Bank Asing atau Bank yang dimiliki lembaga
keuangan asing, lampirkan:
a. Surat Pernyataan dari otoritas pengawas lembaga keuangan di luar negeri
bahwa pihak penyedia jasa merupakan cakupan pengawasannya;
b. Surat Pernyataan tidak keberatan dari otoritas pengawas setempat bila Bank
Indonesia hendak memeriksa penyelenggaraan Pemrosesan Transaksi Berbasis
TI tersebut;
c. Surat Pernyataan bahwa Bank secara berkala akan menyampaikan hasil
penilaian yang dilakukan kantor Bank di luar negeri atau kantor induk bank atas
penerapan manajemen risiko pada pihak penyedia jasa. Surat Pernyataan ini
mencantumkan periodisasi yang direncanakan.
d. Hasil penilaian oleh kantor Bank di luar negeri atas penerapan manajemen
risiko yang dilakukan oleh pihak penyedia jasa.
10. Lampirkan rencana pengawasan yang akan dilakukan bank atas penyelenggaraaan
Pemrosesan Transaksi Berbasis TI yang direncanakan.
12. Lampirkan Surat Pernyataan dari Bank mengenai kesediaan Bank memberikan akses
kepada auditor intern, ekstern maupun Bank Indonesia untuk memperoleh data dan
informasi secara tepat waktu setiap kali dibutuhkan.
28590
Lampiran 29.3
Lampiran2-3
Nama Bank
Alamat Kantor Pusat Bank .....
No. Telp. ...................................
Nama Pelapor
Kantor/Divisi/Bagian Pelapor
Alamat Pelapor.....
No. Telp. ...................................
Tanggal Laporan _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
................................
29591
Lampiran
Lampiran29.3.1
.3.1
REALISASI PENERBITAN
ELECTRONIC BANKING TRANSAKSIONAL*)
1. Uraian singkat atau penjelasan mengenai produk e-banking yang baru diterbitkan.
*) Realisasi penebitan produk e-banking dilaporkan 1 (satu) bulan setelah rencana perubahan tersebut efektif
dioperasikan sebagaimana dipersyaratkan pada PBI
30592
Lampiran29.3.2
Lampiran .3.2
1. Lokasi penyelenggaraan:
a. Pusat data (Data Center)........................................................
b. Disaster Recovery Center......................................................
3. Lampirkan hasil post implementation review (PIR) atas penggunaan Data Center
pihak penyedia jasa yang antara lain mencakup review mengenai:
a. System berjalan dengan baik (system performance review)
b. Kesesuaian dengan user requirement
c. Problem yang terjadi dan solusi/eskalasi/penyelesaian yang dibuat
d. Efektifitas pengamanan yang ditetapkan
7. Uraian analisis risiko terkini penyelenggaraan Data Center dan atau Disaster
Recovery Center tersebut antara lain risiko operasional, hukum dan reputasi.
*) Laporan penggunaan pihak penyedia jasa dalam menyelenggarakan data center dan DRC disampaikan Bank 1 (satu)
bulan setelah penyelenggaraan TI tersebut efektif dioperasikan sebagaimana dipersyaratkan pada PBI.
31593
Lampiran
Lampiran29.3.3
.3.3
1. Lokasi penyelenggaraan:
a. Pusat data (Data Center)........................................................
b. Disaster Recovery Center.......................................................
2. Lampirkan copy perjanjian antara bank dan penyelenggara Data Center dan atau
Disaster Recovery Center.
4. Lampirkan hasil post implementation review (PIR) atas penggunaan Data Center
pihak penyedia jasa yang antara lain mencakup review mengenai:
a. system berjalan dengan baik (system performance review);
b. kesesuaian dengan user requirement;
c. problem yang terjadi dan solusi/eskalasi/penyelesaian yang dibuat;
d. efektifitas pengamanan yang ditetapkan.
8. Uraian analisis risiko terkini Bank terhadap penyelenggaraan Data Center dan atau
Disaster Recovery Center oleh pihak penyedia jasa di luar negeri tersebut antara
lain risiko operasional, hukum dan reputasi serta analisis country risk.
*) Realisasi rencana Bank yang telah disetujui oleh Bank Indonesia untuk menggunakan pihak penyedia jasa dalam
menyelenggarakan data center dan DRC di luar negeri dilaporkan 1 bulan setelah penyelenggaraan TI tersebut efektif
dioperasikan sebagaimana dipersyaratkan pada PBI.
32594
Lampiran
Lampiran29.3.4
.3.4
REALISASI PENYELENGGARAAN
PEMROSESAN TRANSAKSI BERBASIS TEKNOLOGI INFORMASI
OLEH PIHAK LAIN DI DALAM NEGERI *)
2. Lokasi penyelenggaraan:
a. Pusat data (Data Center).........................................................
c. Pemrosesan transaksi.............................................................
3. Lampirkan copy perjanjian antara bank dan pihak penyedia jasa penyelenggaraan
Pemrosesan Transaksi Berbasis Teknologi Informasi di dalam negeri.
6. Lampirkan hasil post implementation review (PIR) atas penggunaan pihak penyedia
jasa dalam menyelenggarakan Pemrosesan Transaksi Berbasis Teknologi Informasi
di dalam negeri yang antara lain mencakup review mengenai:
a. system berjalan dengan baik (system performance review);
b. kesesuaian dengan user requirement;
c. problem yang terjadi dan solusi/eskalasi/penyelesaian yang dibuat;
d. efektifitas pengamanan yang ditetapkan.
*) Realisasi rencana Bank untuk menggunakan pihak penyedia jasa dalam menyelenggarakan pemrosesan transaksi
berbasis teknologi informasi di dalam negeri dilaporkan 1 (satu) bulan setelah penyelenggaraan pemrosesan
transaksi berbasis teknologi informasi tersebut efektif dioperasikan sebagaimana dipersyaratkan pada PBI.
33595
Lampiran29.3.5
Lampiran .3.5
REALISASI PENYELENGGARAAN
PEMROSESAN TRANSAKSI BERBASIS TEKNOLOGI INFORMASI
OLEH PIHAK LAIN DI LUAR NEGERI *)
2. Lokasi penyelenggaraan:
3. Lampirkan copy perjanjian antara bank dan pihak penyedia jasa penyelenggaraan
pemrosesan transaksi berbasis teknologi informasi di luar negeri.
6. Lampirkan hasil post implementation review (PIR) atas penggunaan pihak penyedia
jasa dalam menyelenggarakan pemrosesan transaksi berbasis teknologi informasi di
luar negeri yang antara lain mencakup review mengenai:
a. system berjalan dengan baik (system performance review);
b. kesesuaian dengan user requirement;
c. problem yang terjadi dan solusi/eskalasi/penyelesaian yang dibuat;
d. efektifitas pengamanan yang ditetapkan.
9. Lampirkan Surat Pernyataan dari pihak penyedia jasa TI sebagai pihak terafiliasi
tidak keberatan bila Bank Indonesia hendak memeriksa penyelenggaraan
Pemrosesan Transaksi Berbasis Teknologi Informasi.
*) Realisasi rencana Bank untuk menggunakan pihak penyedia jasa dalam menyelenggarakan pemrosesan transaksi
berbasis teknologi informasi di luar negeri dilaporkan 1 (satu) bulan setelah penyelenggaraan pemrosesan transaksi
berbasis teknologi informasi tersebut efektif dioperasikan sebagaimana dipersyaratkan pada PBI.
34596
Lampiran29.4
Lampiran -4
Nama Bank
Alamat Kantor Pusat Bank .....
No. Telp. ...................................
Nama Pelapor
Kantor/Divisi/Bagian Pelapor
Alamat Pelapor.....
No. Telp. ...................................
Tanggal Laporan _ _ _ __ _ _ _ _ _ _ _ _ _ _ _
................................
1. Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Manajemen pada Lampiran 2.1.1?
Ada Tidak Ada
2. Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Aplikasi dan Pengembangan (Development & Acquisition) pada Lampiran 2.1.2?
Ada Tidak Ada
*) Laporan disampaikan secara berkala selambat-lambatnya 1 (satu) bulan setelah akhir tahun pelaporan.
**) Format Lampiran laporan ini mengacu pada lembar terkait pada Laporan Penggunaan Teknologi Informasi atau
format bebas sesuai bentuk materi atau hal yang akan dilaporkan oleh bank.
35597
Bila belum dilaporkan, lampirkan data dan penjelasan mengenai perubahan
tersebut.**)
Apakah terdapat perubahan yang signifikan pada aplikasi yang sudah
operasional?
Ada Tidak Ada
Jika ada perubahan yang signifikan tersebut, lampirkan data nama aplikasi,
keterangan perubahan yang dilakukan, tempat dan tanggal implementasi.
3. Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Operasional TI pada Lampiran 2.1.3?
Ada Tidak Ada
Bila ada, apakah perubahan tersebut sudah dilaporkan kepada Bank Indonesia?
Sudah Belum
4. Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Jaringan Komunikasi pada Lampiran 2.1.4?
Ada Tidak Ada
Bila ada, apakah perubahan tersebut sudah dilaporkan kepada Bank Indonesia?
Sudah Belum
5. Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Pengamanan Informasi pada Lampiran 2.1.5?
Ada Tidak Ada
Bila ada, apakah perubahan tersebut sudah dilaporkan kepada Bank Indonesia?
Sudah Belum
**) Format Lampiran laporan ini mengacu pada lembar terkait pada Laporan Penggunaan Teknologi Informasi atau
format bebas sesuai bentuk materi atau hal yang akan dilaporkan oleh bank.
36598
Bila ada, apakah perubahan tersebut sudah dilaporkan ke BI?
Sudah Belum
Bila sudah dilaporkan, sebutkan tanggal dan nomor surat.................................
7. Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
penggunaan komputer Mikro pada Pengguna pada Lampiran 2.1.7?
Ada Tidak Ada
8. Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Electronic Banking pada Lampiran 2.1.8 ?
Ada Tidak Ada
Apakah terdapat produk baru atau perubahan pada Electronic Banking yang
bersifat non-transaksional?
Ada Tidak Ada
Apakah produk baru atau perubahan Electronic Banking yang bersifat non-
transaksional namun meningkatkan risiko bank sudah dilaporkan ke BI?
Sudah Belum
37599
b. Pelaporan untuk no.a.1 dan a.2.
Bila sudah dilaporkan, sebutkan tanggal dan nomor surat..................................
9. Terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan fungsi
Audit intern TI pada Lampiran 2.1.9 ?
Ada Tidak Ada
10. Apakah terdapat perubahan terhadap hal-hal yang telah dilaporkan dalam Laporan
Penyelenggaraan TI oleh Pihak Lain pada Lampiran 2.1.10?
Ada Tidak Ada
38600
Lampiran 29.5
Lampiran 2-5
Nama Bank
Alamat Kantor Pusat Bank .....
No. Telp. ...................................
Nama Pelapor
Kantor/Divisi/Bagian Pelapor
Alamat Pelapor.....
No. Telp. ...................................
Tanggal Laporan _ _ _ __ _ _ _ _ _ _ _ _ _ _ _
................................
5. Dampak/akibat yang ditimbulkan (berilah tanda ”X” pada kotak yang sesuai)
a. Kerugian keuangan
Ya Tidak
b. Gangguan operasional
Ya Tidak
Jika jawaban ”Ya”, lampirkan bentuk gangguan operasional yang terjadi dan
contingency plan yang telah diterapkan.
c. Tidak terjaminnya kerahasiaan dan integritas data
Ya Tidak
Jika jawaban ”Ya”, lampirkan bentuk ancaman terhadap kerahasiaan dan
integritas data.
6. Rencana tindak lanjut bank
Terlampir Tidak Terlampir
*) Kejadian kritis yang dimaksud adalah kejadian yang menambah eksposure risiko secara signifikan.
Penyalahgunaan/kejahatan dalam penyelenggaraan Teknologi Informasi adalah tindakan yang mengakibatkan
timbulnya kerugian keuangan dan atau mengganggu kelancaran operasional bank.
39601
Lampiran
Lampiran29.6
.6
1. Lokasi penyelenggaraan:
a. Pusat data (Data Center)........................................................
Lampirkan data nama dan alamat serta kepemilikan penyelenggara Data Center dan
atau Disaster Recovery Center.
2. Lampirkan perjanjian antar bank dengan penyelenggara Data Center dan atau
Disaster Recovery Center di luar negeri yang telah disesuaikan dengan persyaratan
dalam Peraturan Bank Indonesia.
3. Lampirkan gambar IT Architecture yang mencakup Data Center dan atau Disaster
Recovery Center yang diserahkan kepada pihak penyedia jasa.
4. Lampirkan Surat Pernyataan dari Bank mengenai kesediaan Bank memberikan akses
kepada auditor intern, ekstern maupun Bank Indonesia untuk memperoleh data dan
informasi secara tepat waktu setiap kali dibutuhkan.
5. Lampirkan :
a. Surat Pernyataan dari otoritas pengawas setempat dalam hal pihak penyedia
jasa TI merupakan cakupan pengawasan secara konsolidasi.
b. Surat Pernyataan tidak keberatan dari otoritas pengawas setempat bila Bank
Indonesia hendak melakukan pemeriksaan penyelenggaraan pusat data
(Data Center) dan atau Disaster Recovery Center tersebut.
c. Surat Pernyataan bahwa bank secara berkala akan menyampaikan hasil
penilaian yang dilakukan kantor bank di luar negeri atas penerapan manajemen
risiko pada pihak penyedia jasa. Surat Pernyataan ini mencantumkan
periodisasi yang direncanakan.
d. Hasil penilaian oleh kantor Bank di luar negeri atas penerapan manajemen
risiko yang dilakukan oleh pihak penyedia jasa.
*) Bank yang sebelum dikeluarkannya ketentuan ini telah melaporkan kepada dan menerima surat tidak keberatan dari
Bank Indonesia mengenai penyelenggaraan TI Bank yang diserahkan kepada pihak lain di luar negeri, wajib
mengajukan permohonan persetujuan ulang kepada Bank Indonesia.
40602
30
Lampiran 32
Surat Edaran Bank Indonesia Nomor 14/20/DPNP Tahun 2012
600
603
Lampiran 30
32
Perihal : Prinsip Kehati-Hatian bagi Bank Umum yang Melakukan Penyerahan
Sebagian Pelaksanaan Pekerjaan kepada Pihak Lain
601
604
Lampiran 32
30
Perihal : Prinsip Kehati-Hatian bagi Bank Umum yang Melakukan Penyerahan Sebagian
Pelaksanaan Pekerjaan kepada Pihak Lain
602
605
Lampiran
Lampiran33
31
603
606
Lampiran 31
33
604
607
33
Lampiran 31
605
608
Lampiran 33
31
Perihal : Prinsip Kehati-Hatian bagi Bank Umum yang Melakukan
Penyerahan Sebagian Pelaksanaan Pekerjaan kepada Pihak Lain
606
609
Lampiran 33
31
KEPALA DEPARTEMEN
PENELITIAN DAN PENGATURAN PERBANKAN,
MULYA E. SIREGAR
607
610
Lampiran 32
34
Surat Edaran Bank Indonesia Nomor 14/20/DPNP Tahun 2012
Perihal : Prinsip Kehati-Hatian bagi Bank Umum yang Melakukan Penyerahan Sebagian Pelaksanaan Pekerjaan kepada
Pihak Lain
1)
LAPORAN RENCANA ALIH DAYA, PERUBAHAN DAN/ATAU PENAMBAHAN RENCANA ALIH DAYA
Nama Bank :
Tanggal Laporan :
Perkiraan
Gambaran
Jenis Jenis jumlah Analisis
pekerjaan umum dan perjanjian tenaga Jangka Tujuan perkiraan Analisis Keterangan
No. cakupan waktu risiko dan
yang pekerjaan Alih Daya kerja Alih perjanjian Alih Daya biaya dan mitigasi 4)
dialihdaya 3) Daya yang manfaat
2)
dibutuhkan
Keterangan
1) Coret yang tidak perlu
2) Gambaran umum dan cakupan pekerjaan menguraikan secara singkat pekerjaan yang dialihdayakan dan lokasi kantor tempat
pekerjaan yang dialihdayakan.
3) Perjanjian Alih Daya yang dibuat berupa perjanjian pemborongan dan/atau penyediaan jasa tenaga kerja.
4) Misalnya : untuk laporan tanggal 30 Juni diisi dengan keterangan bila rencana yang dilaporkan merupakan penambahan atau
perubahan dari yang dilaporkan pada laporan 31 Desember tahun sebelumnya.
608
611
Lampiran 33
35
Surat Edaran Bank Indonesia Nomor 14/20/DPNP Tahun 2012
Perihal : Prinsip Kehati-Hatian bagi Bank Umum yang Melakukan Penyerahan Sebagian Pelaksanaan Pekerjaan kepada Pihak
Lain
Nama Bank :
Tanggal Laporan :
Jenis
pekerjaan Nama Perusahaan Gambaran Umum Langkah-langkah yang dilakukan oleh
No.
yang Penyedia Jasa permasalahan terjadi 1) Bank untuk mengatasi permasalahan
dialihdaya
Keterangan
1) Gambaran permasalahan menguraikan secara singkat permasalahan yang terjadi, potensi risiko yang ditimbulkan, lokasi, waktu
terjadinya permasalahan dan waktu diketahuinya permasalahan.
KEPALA DEPARTEMEN
PENELITIAN DAN PENGATURAN PERBANKAN,
MULYA E. SIREGAR
609
612
LAMPIRAN I34
SURAT EDARAN BANK INDONESIA
NO.15/40/DKMP TANGGAL 24 SEPTEMBER 2013
PERIHAL PENERAPAN MANAJEMEN RISIKO
PADA BANK YANG MELAKUKAN PEMBERIAN
KREDIT ATAU PEMBIAYAAN PEMILIKAN
PROPERTI, KREDIT ATAU PEMBIAYAAN
KONSUMSI BERAGUN PROPERTI, DAN KREDIT
ATAU PEMBIAYAAN KENDARAAN BERMOTOR
Contoh ...
613
Contoh 1
Debitur A mendapatkan fasilitas KPR untuk pembelian rumah tapak X
dengan luas bangunan 100m2 pada bulan Januari 2012. Pada saat KPR
masih berjalan, debitur A mengajukan lagi fasilitas KPR untuk pembelian
rumah tapak Y dengan luas bangunan 150m2 pada Juni 2013. Dalam hal
ini perhitungan LTV adalah sebagai berikut :
Properti Fasilitas Kredit/Pembiayaan LTV
Rumah Tapak X Pertama 70%
Rumah Tapak Y Kedua 60%
Contoh 2
Debitur A mendapatkan fasilitas KPRS untuk pembelian apartemen X
dengan luas bangunan 60m2 pada bulan Januari 2012. Pada saat KPRS
masih berjalan, debitur A mengajukan lagi fasilitas KPRS untuk
pembelian apartemen Y dengan luas bangunan 90m2 pada Oktober 2013.
Dalam hal ini perhitungan LTV adalah sebagai berikut :
Properti Fasilitas Kredit/Pembiayaan LTV
Apartemen X Pertama 80%
Apartemen Y Kedua 60%
Contoh 3
Debitur A mendapatkan fasilitas KPRuko untuk pembelian Rumah Toko X
pada bulan Januari 2012. Pada saat KPRuko masih berjalan, debitur A
mengajukan lagi fasilitas KPRukan untuk pembelian Rumah Kantor Y
pada Juni 2013. Selanjutnya pada bulan Desember 2013, debitur A
kembali mengajukan fasilitas KPR untuk Rumah Tapak Z dengan luas
bangunan 48m2. Dalam hal ini perhitungan LTV adalah sebagai berikut :
Properti Fasilitas Kredit/Pembiayaan LTV
Rumah Toko X Pertama Tidak dikenakan
Rumah Kantor Y Kedua 70%
Rumah Tapak Z Ketiga 60%
Contoh ...
614
Contoh 4
Nasabah A mendapatkan fasilitas KPR iB dengan akad murabahah untuk
pembelian rumah tapak X dengan luas bangunan 100m2 pada bulan
Januari 2012. Pada saat KPR masih berjalan, nasabah A mengajukan lagi
KPR untuk pembelian apartemen Y dengan luas bangunan 60m2 pada
bulan Juni 2013. Selanjutnya pada bulan Desember 2013, nasabah A
kembali mengajukan KPR iB dengan akad MMQ untuk rumah toko Z.
Dalam hal ini perhitungan LTV atau FTV adalah sebagai berikut:
Properti Fasilitas Kredit/pembiayaan LTV/FTV
Rumah Tapak X Pertama 70%
Apartemen Y Kedua 70%
Rumah Toko Z Ketiga 70%
BANK INDONESIA,
HALIM ALAMSYAH
DEPUTI GUBERNUR
615
LAMPIRAN II35
SURAT EDARAN BANK INDONESIA
NO.15/40/DKMP TANGGAL 24 SEPTEMBER 2013
PERIHAL PENERAPAN MANAJEMEN RISIKO
PADA BANK YANG MELAKUKAN PEMBERIAN
KREDIT ATAU PEMBIAYAAN PEMILIKAN
PROPERTI, KREDIT ATAU PEMBIAYAAN
KONSUMSI BERAGUN PROPERTI, DAN KREDIT
ATAU PEMBIAYAAN KENDARAAN BERMOTOR
Contoh 1
Debitur A bermaksud mengajukan kredit konsumsi dengan skema
multiguna dan agunannya berupa Rumah Tapak dengan luas tanah
150m2. Pada saat kredit tersebut masih berjalan, debitur A mengajukan
lagi pembiayaan konsumsi dengan akad murabahah dengan agunan
berupa Rumah Susun dengan luas bangunan 75m2. Dalam hal ini,
perhitungan LTV adalah sebagai berikut :
Kredit/pembiayaan Agunan Fasilitas Kredit/ LTV/FTV
Pembiayaan
Kredit Konsumsi – Rumah Tapak Pertama 70%
Multiguna 150m2
Pembiayaan Konsumsi – Rumah Susun Kedua 60%
Murabahah 75m2
Contoh ...
616
Contoh 2
Debitur A memiliki 2 unit Rumah Tapak sebagai berikut :
Agunan Luas Bangunan Status KPR/KPR iB
Rumah Tapak 1 150m2 Lunas
Rumah Tapak 2 200m2 Baki debet
Rp500.000.000,00
Contoh 3
Nasabah A memiliki 3 unit Properti yaitu rumah tapak, kondominium, dan
rumah kantor sebagai berikut :
Agunan Luas Bangunan Status KPR/KPR iB
Rumah Tapak 200m2 Lunas
Kondominium 100m2 Baki debet Rp3.000.000.000,00
Rumah Kantor 150m2 Baki debet Rp1.000.000.000,00
Nasabah A mengajukan fasilitas pembiayaan dengan akad IMBT untuk
pembelian mobil mewah dengan mengagunkan rumah tapak. Untuk
memberikan fasilitas pembiayaan konsumsi tersebut, Bank melakukan
penilaian ulang atas rumah tapak sehingga diperoleh informasi bahwa
harga agunan berdasarkan taksiran bank adalah sebesar
Rp2.000.000.000,00. Sesuai dengan Surat Edaran ini, total fasilitas
pembiayaan yang dapat diberikan Bank menjadi sebagai berikut:
a. Fasilitas ...
617
a. Fasilitas pembiayaan konsumsi diperlakukan sebagai fasilitas
pembiayaan ketiga.
b. Pembiayaan maksimum yang dapat diberikan untuk fasilitas
pembiayaan ketiga adalah sebesar 60% x Rp2.000.000.000,00 =
Rp1.200.000.000,00.
BANK INDONESIA,
HALIM ALAMSYAH
DEPUTI GUBERNUR
618
36
LAMPIRAN III
SURAT EDARAN BANK INDONESIA
NO.15/40/DKMP TANGGAL 24 SEPTEMBER 2013
PERIHAL PENERAPAN MANAJEMEN RISIKO
PADA BANK YANG MELAKUKAN PEMBERIAN
KREDIT ATAU PEMBIAYAAN PEMILIKAN
PROPERTI, KREDIT ATAU PEMBIAYAAN
KONSUMSI BERAGUN PROPERTI, DAN KREDIT
ATAU PEMBIAYAAN KENDARAAN BERMOTOR
Contoh 1
Seluruh properti yang dibeli berupa rumah tapak dengan luas bangunan
di atas 70m2.
1. Debitur A bermaksud membeli 5 (lima) unit Rumah Tapak sekaligus
melalui KPR atau KPR iB dengan akad murabahah atau akad istishna’
dengan 1 perjanjian kredit sebagai berikut:
Unit Luas Bangunan Nilai Agunan
(Rp)
I 90m2 180.000.000
II 100m2 200.000.000
III 75m2 150.000.000
IV 80m2 160.000.000
V 120m2 240.000.000
3. Atas ...
619
3. Atas dasar urutan tersebut di atas, apabila debitur A tidak memiliki
Kredit atau Pembiayaan Pemilikan Properti atau Kredit atau
Pembiayaan Konsumsi Beragun Properti lainnya yang sedang berjalan,
maka perhitungan LTV atau FTV ditetapkan sebagai berikut:
Unit Kategori Maksimum
LTV/FTV
III Fasilitas kredit/pembiayaan pertama dan luas 70%
bangunan di atas 70m2
IV Fasilitas kredit/pembiayaan kedua dan luas 60%
bangunan di atas 70m2
I Fasilitas kredit/pembiayaan ketiga dan luas 50%
bangunan di atas 70m2
II Fasilitas kredit/pembiayaan keempat dan luas 50%
bangunan di atas 70m2
V Fasilitas kredit/pembiayaan kelima dan luas 50%
bangunan di atas 70m2
620
I Fasilitas kredit/pembiayaan keempat dan luas 50%
bangunan di atas 70m2
II Fasilitas kredit/pembiayaan kelima dan luas 50%
bangunan di atas 70m2
V Fasilitas kredit/pembiayaan keenam dan luas 50%
bangunan di atas 70m2
5. Perhitungan LTV atau FTV sebagaimana dijelaskan di atas juga
berlaku apabila pembelian Rumah Tapak diikat oleh perjanjian kredit
yang terpisah dan dilakukan di tanggal yang sama.
Contoh 2
Seluruh Properti yang dibeli berupa Rumah Tapak dengan luas bangunan
22m2 sampai dengan 70m2.
1. Debitur B bermaksud membeli 5 (lima) unit Rumah Tapak sekaligus
melalui KPR atau KPR iB dengan akad murabahah atau akad istishna’
sebagai berikut:
Unit Luas Bangunan Nilai Agunan
(Rp)
I 60m2 120.000.000
II 45m2 90.000.000
III 22m2 45.000.000
IV 70m2 140.000.000
V 56m2 105.000.000
621
II Fasilitas kredit/pembiayaan kedua dan luas 70%
bangunan 22m2 sampai dengan 70m2
V Fasilitas kredit/pembiayaan ketiga dan luas 60%
bangunan 22m2 sampai dengan 70m2
I Fasilitas kredit/pembiayaan keempat dan luas 60%
bangunan 22m2 sampai dengan 70m2
IV Fasilitas kredit/pembiayaan kelima dan luas 60%
bangunan 22m2 sampai dengan 70m2
5. Perhitungan ...
622
5. Perhitungan LTV atau FTV sebagaimana dijelaskan di atas juga
berlaku apabila pembelian Rumah Tapak diikat oleh perjanjian kredit
yang terpisah dan dilakukan di tanggal yang sama.
Contoh 3
Seluruh properti yang dibeli berupa Rumah Tapak dengan luas bangunan
yang bervariasi.
1. Debitur C bermaksud membeli 5 (lima) unit rumah tapak sekaligus
melalui KPR atau KPR iB dengan akad murabahah atau akad istishna’
sebagai berikut:
Unit Luas Bangunan Nilai Agunan
(Rp)
I 150m2 300.000.000
II 75m2 150.000.000
III 48m2 100.000.000
IV 110m2 220.000.000
V 70m2 140.000.000
623
I Fasilitas kredit/pembiayaan kelima dan luas 50%
bangunan di atas 70m2
Contoh ...
624
Contoh 4
Seluruh properti yang dibeli berupa apartemen dengan luas bangunan
yang bervariasi.
1. Nasabah D bermaksud membeli 5 (lima) unit apartemen sekaligus
melalui KPR iB dengan akad MMQ atau akad IMBT sebagai berikut:
Unit Luas Bangunan Nilai Agunan
(Rp)
I 21m2 200.000.000
II 70m2 700.000.000
III 70m2 700.000.000
IV 90m2 900.000.000
V 90m2 900.000.000
penetapan ...
625
penetapan urutan fasilitas pembiayaannya dimulai setelah urutan
kredit atau pembiayaan sebelumnya.
Contoh : Nasabah D pada saat pengajuan pembiayaan untuk
membiayai pembelian apartemen di angka 1, sebelumnya telah
memiliki 1 (satu) fasilitas KPR yang masih berjalan untuk sebuah
rumah tapak. Sehubungan dengan hal tersebut, maka perhitungan
FTV ditetapkan sebagai berikut:
Unit Kategori Maksimum
LTV/FTV
I Fasilitas pembiayaan kedua dan luas bangunan 80%
sampai dengan 21m2
II Fasilitas pembiayaan ketiga dan luas bangunan 70%
22m2 sampai dengan 70m2
III Fasilitas pembiayaan keempat dan luas 70%
bangunan 22m2 sampai dengan 70m2
IV Fasilitas pembiayaan kelima dan luas bangunan 60%
di atas 70m2
V Fasilitas pembiayaan keenam dan luas 60%
bangunan di atas 70m2
BANK INDONESIA,
HALIM ALAMSYAH
DEPUTI GUBERNUR
626
LAMPIRAN IV
37
SURAT EDARAN BANK INDONESIA
NO.15/40/DKMP TANGGAL 24 SEPTEMBER 2013
PERIHAL PENERAPAN MANAJEMEN RISIKO
PADA BANK YANG MELAKUKAN PEMBERIAN
KREDIT ATAU PEMBIAYAAN PEMILIKAN
PROPERTI, KREDIT ATAU PEMBIAYAAN
KONSUMSI BERAGUN PROPERTI, DAN KREDIT
ATAU PEMBIAYAAN KENDARAAN BERMOTOR
Contoh 1
Pada bulan Juni 2013, Bapak A bermaksud mengajukan KPRS di Bank Z
untuk membeli Rumah Susun berupa apartemen dengan luas 80m2
senilai Rp1.000.000.000,00. Atas pengajuan KPRS tersebut, Bank Z
melakukan pengecekan pada Sistem Informasi Debitur untuk memperoleh
informasi terkait fasilitas kredit atau pembiayaan yang telah diperoleh
baik Bapak A maupun istrinya yaitu Ibu B sehingga diperoleh informasi
sebagai berikut:
Agunan Bank Debitur Tanggal Perjanjian Kredit
Rumah Tapak 1 X A 10 Juli 2011
Rumah Tapak 2 Y B 16 Februari 2012
Informasi tambahan dari Bapak A :
tidak terdapat perjanjian pemisahan harta antara Bapak A dan Ibu B.
d. KPRS ...
627
d. KPRS atas nama Bapak A diperlakukan sebagai fasilitas kredit ketiga
dengan LTV maksimal sebesar 50% x Rp1.000.000.000,00 =
Rp500.000.000,00.
Contoh 2
Debitur A mendapatkan fasilitas KPR untuk pembelian rumah tapak X
dengan luas bangunan 100m2 pada bulan Januari 2011 sebesar
Rp700.000.000,00 (70% dari nilai agunan sebesar Rp1.000.000.000,00).
Pada bulan Januari 2013, baki debet debitur A adalah sebesar
Rp600.000.000,00.
Untuk memberikan tambahan fasilitas kredit tersebut, bank melakukan
penilaian ulang sehingga diperoleh informasi bahwa nilai agunan adalah
sebesar Rp1.200.000.000,00 berdasarkan taksiran bank. Sesuai dengan
Surat Edaran ini, total fasilitas kredit atau pembiayaan yang dapat
diberikan bank menjadi sebagai berikut:
a. Nilai agunan ditetapkan sebesar Rp1.200.000.000,00.
b. Tambahan fasilitas kredit (top up) diperlakukan sebagai fasilitas kredit
kedua.
c. Perhitungan maksimum LTV untuk fasilitas kredit kedua adalah
sebesar 60% x Rp1.200.000.000,00 = Rp720.000.000,00.
Tambahan fasilitas kredit yang diterima oleh debitur A adalah
Rp720.000.000,00 – Rp600.000.000,00 = Rp120.000.000,00.
Contoh 3
Pada bulan Juni 2013, A bermaksud membeli rumah susun berupa
apartemen dengan luas 80m2 senilai Rp1.000.000.000. Sehubungan
dengan pembelian tersebut, A telah melakukan perikatan jual beli dengan
pihak pengembang dan telah menyerahkan uang muka. Berdasarkan
perikatan jual beli tersebut, A mengajukan fasilitas KPRS kepada Bank
sebesar Rp700.000.000 (70% x Rp1.000.000.000). Atas pengajuan KPRS
dari A, Bank melakukan pengecekan dan diperoleh informasi sebagai
berikut :
a. Berdasarkan ...
628
a. Berdasarkan pernyataan A yang diverifikasi dengan data Sistem
Informasi Debitur, A pada saat pengajuan KPRS sedang menikmati
fasilitas KPR dari bank lain dengan baki debet sebesar
Rp500.000.000,00. Oleh karena itu, apabila permohonan KPRS dari A
disetujui, maka KPRS merupakan fasilitas KPP yang kedua bagi A.
b. Pembangunan apartemen akan dimulai pada bulan Desember 2013.
c. Serah terima unit apartemen akan dilakukan pada bulan Juli 2016.
Berdasarkan informasi tersebut, mengingat nantinya KPRS yang diajukan
A akan menjadi fasilitas KPP kedua bagi A, maka Bank tidak
diperkenankan memberikan fasilitas KPRS dimaksud kepada A sampai
dengan fisik apartemen telah tersedia atau fasilitas kredit pertama lunas.
Contoh 4
Pada bulan Juni 2013, A bermaksud membeli rumah susun berupa
apartemen dengan luas 80m2 senilai Rp1.000.000.000,00. Sehubungan
dengan pembelian tersebut, A telah melakukan perikatan jual beli dengan
pihak pengembang dan telah menyerahkan uang muka. Berdasarkan
perikatan jual beli tersebut, A mengajukan fasilitas KPRS kepada Bank
sebesar Rp700.000.000,00 (70% x Rp1.000.000.000,00). Atas pengajuan
KPRS dari A, Bank melakukan pengecekan dan diperoleh informasi
sebagai berikut :
a. Pembangunan apartemen akan dimulai pada bulan Desember 2013.
b. Serah terima unit apartemen akan dilakukan pada bulan Juli 2016.
c. A pernah mendapatkan fasilitas KPR dari bank lain yang statusnya
sudah lunas. Selain fasilitas KPR tersebut, A belum pernah memiliki
fasilitas kredit/pembiayaan lainnya.
Mengingat unit apartemen yang dijadikan agunan belum tersedia secara
utuh (masih inden), maka Bank memastikan bahwa pengajuan KPRS oleh
A memenuhi persyaratan yang diperlukan yang salah satunya adalah
fasilitas KPRS tersebut merupakan fasilitas KPP yang pertama bagi A.
Berdasarkan informasi tersebut di atas, mengingat fasilitas KPR dari bank
lain sudah lunas, maka saat ini A tidak memiliki fasilitas KPP/KPP iB
yang sedang berjalan. Oleh karena itu, apabila fasilitas KPRS yang
diajukan ...
629
diajukan A disetujui oleh Bank, maka fasilitas dimaksud akan menjadi
fasilitas KPP yang pertama bagi A. Dalam hal ini, Bank diperkenankan
memberikan fasilitas KPRS dimaksud kepada A sepanjang persyaratan
lain dalam pemberian fasilitas KPP/KPP iB dengan Properti yang dijadikan
agunan belum tersedia secara utuh telah terpenuhi.
BANK INDONESIA,
HALIM ALAMSYAH
DEPUTI GUBERNUR
630