Your SlideShare is downloading. ×
I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia
I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia
I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia
I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia
I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia
I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia
I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia
I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia
I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia
I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia
I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia
I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

2,695

Published on

Tugas paper final manajemen risiko teknologi informasi studi kasus bank Danamon - submit jurnal STIKI.

Tugas paper final manajemen risiko teknologi informasi studi kasus bank Danamon - submit jurnal STIKI.

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,695
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
142
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. MANAJEMEN RISIKO TEKNOLOGI INFORMASI DI BANK DANAMON TERKAIT TIGA MASALAH YANG DIHADAPI DI TAHUN 2011 (SOLUSI PERMASALAHAN DENGAN USULAN ISO 31000) I Putu Agus Eka Pratama1, Suhardi2 Magister Teknologi Informasi Sekolah Teknik Elektro dan Informatika (STEI) Institut Teknologi Bandung, Jl Ganesha 10 Bandung Jawa Barat Indonesia. putu-shinoda@students.itb.ac.id1, suhardi@stei.itb.ac.id2Abstrak Bank Danamon adalah salah satu bank swasta terkemuka dan terbesar di Indonesia. TeknologiInformasi di Bank Danamon sangat penting untuk memberikan berbagai layanan kepada nasabahguna mencapai IT Strategic Objectif. Namun perlu diperhatikan adanya IT Risk dari implementasi ITdi Bank Danamon. Berbeda dengan masalah, risiko belum terjadi, sehingga masih bisa dihindari.Untuk itu diperlukan adanya IT Risk Management. ISO 31000 merupakan standar internasional baruuntuk manajemen resiko yang dirilis oleh ISO (International Organizations for Standardization) padabulan November 2009. Paper ini membahas mengenai risiko dan masalah IT, profil Bank Danamon,tiga permasalahan yang dihadapi oleh Bank Danamon di tahun 2011, manajemen risiko yangdigunakan oleh Bank Danamon (ORMF/Operation Risk Management Framework), ISO 31000, danusulan solusi menggunakan ISO 31000 dengan metode RBS. Diharapkan usulan ISO 31000menjadikan proses manajemen risiko dapat dilakukan dengan lebih baik di Bank Danamon sehinggaIT Strategic Objective dapat tercapai.Kata Kunci :IT Risk Management, ORMF, ISO 31000, IT Strategic Objective1. Pendahuluan1.1. Risiko dan Masalah Risiko (risk) adalah efek dari ketidakpastian dari suatu tujuan. Efek merupakan deviasi darisuatu perkiraan. Ketidakpastian adalah keadaan akibat kurangnya informasi, pemahaman, danpengetahuan terhadap suatu kejadian, sehingga menimbulkan adanya konsekuensi atau kemungkinan.Risiko kadang sering disamakan dengan konsekuensi, yang meliputi juga perubahan dalam lingkungansekitarnya, dan berasosiasi dengan kecenderungan dari suatu kejadian (ISO Guide 73:2009). [1]. Terdapat perbedaan antara risiko dan masalah (problem). Risiko belum terjadi, sehingga masihbisa dihindari melalui manajemen risiko. Sedangkan masalah sudah terjadi dan harus dihadapi sertadiberikan solusi.1.2. Manajemen Risiko IT Manajemen risiko (risk management) adalah proses koordinasi berbagai aktivitas untuk secaralangsung mengontrol sebuah organisasi dengan mengacu kepada terjadinya sebuah risiko (ISO Guide73:2009) [1]. Manajemen risiko bertujuan untuk memahami kemungkinan tujuan (objective) organisasimengalami kegagalan, melindungi aset berharga organisasi, memahami peluang dan ancaman denganlebih baik, dan memberikan jaminan terhadap pencapaian tujuan organisasi. IT berperan dalampencapaian objective perusahaan. IT Value diperoleh jika sasaran perusahaan tercapai berkatimplementasi IT. IT Risk muncul jika implementasinya tidak mampu membantu organisasi memperolehtujuan bisnisnya, sehingga perlu dilakukan IT Risk Management. Risiko belum terjadi dan bisadihindari dengan melakukan manajemen risiko yang baik. Di dalam IT Risk Management, terdapat delapan poin ancaman. Meliputi accidental disclosure(penyalahgunaan mandat/sengaja membeberkan informasi rahasia), act of nature (ancaman yangdisebabkan oleh alam), alteration of software (sengaja menambahkan/memodifikasi/menghapus sistem,termasuk juga trojan, virus, dan malicious code), bandwith usage (penggunaan bandwith secarasepihak untuk tujuan tertentu di luar kepentingan organisasi), electrical interference/disruption(interferensi/fluktuasi), intentional alteration of data (sengaja memodifikasi/menambah/memasukkan
  • 2. data yang menyebabkan kerusakan), system configuration error/accidental (kesalahan tidak sengajasaat konfigurasi sistem), dan telecommunication malfunction/interruption (kegagalan sistem padamedia komunikasi). [2]1.3. Penilaian Terhadap Risiko IT Untuk melakukan penilaian terhadap risiko IT (IT Risk Assesment), perlu diperhatikan 9langkah berikut [3] :1. Memiliki knowledge terhadap sistem IT yang meliputi hardware, software, interface, data,informasi, pengguna, arsitektur sistem, keamanan sistem, dan topologi jaringan.2. Melakukan identifikasi terhadap segala ancaman (threat) yang dapat mengganggu stabilitas danfungisonalitas sistem. Ancaman dapat berasal dari manusia, alam, dan lingkungan sekitar.3. Melakukan identifikasi terhadap kelemahan (vulnerability) dan kekurangan pada sistem. Meliputiprosedur keamanan sistem, desain sistem, implementasi sistem, dan kontrol internal sistem.4. Melakukan analisa terhadap berbagai kendali maupun perencanaan pada perusahaan untukmeminimalisir atau mencegah adanya ancaman terhadap kelemahan sistem.5. Menentukan adanya kecenderungan dari suatu kejadian (likelihood) untuk menilai kemungkinanadanya ancaman terhadap sistem.6. Melakukan analisa terhadap dampak – dampak buruk akibat adanya ancaman (low, medium, high),dimana pengukuran dampak dapat dilakukan secara kualitatif maupun kuantitatif.7. Melakukan penentuan risiko dari suatu sistem IT yang merupakan ancaman.8. Mengajukan berbagai rekomendasi untuk mengurangi level risiko sistem IT.9. Melakukan dokumentasi hasil.2. Bank Danamon2.1. Profil Bank Danamon Bank Danamon (lengkapnya PT Bank Danamon, Tbk) berdiri tahun 1956 dengan nama BankKopra Indonesia. Tahun 1976 berganti nama menjadi PT Bank Danamon Indonesia. Tahun 1988 BankDanamon menjadi bank devisa dan tahun 1989 menjadi perusahaan publik di Bursa Efek Jakarta (BEJ). Tahun 1998, Bank Danamon dikelola oleh BPPN (Badan Penyehatan Perbankan Nasional)sebagai BTO (Bank Take Over). Tahun 1999, BPPN merekapitulasi 32,2 Trilyun berupa obligasi.Tahun 1999, sebagai bagian dari restrukturisasi, PT Bank PDFCI (BTO) merge dengan Bank Danamon.Tahun 2000, Bank Danamon merge dengan 8 BTO lainnya (Bank Tiara, Bank Duta, Bank Rama, BankTamara, Bank Nusa Nasional, Bank Pos Nusantara, Jaya Bank Internasional, dan Bank Risjad SalimInternasional) serta menerima program rekapitulasi kedua dari pemerintah sebesar 28.9 Trilyun danmenjadi salah satu bank swasta terbesar di Indonesia. Tahun 2003, Asia Financial (Indonesia) Pte Ltdmengakuisisi Bank Danamon, melalui konsorsium Fullerton Financial Holding (anak perusahaanTemasek Holding) dan Deutsche Bank AG (pemegang saham pengendali). Kini Bank Danamon menjadi salah satu institusi finansial terbesar di Indonesia. BulanDesember 2009, Bank Danamon menjadi bank terbesar keenam di Indonesia (dari jumlah aset),keempat terbesar (dari kapitalisasi pasar), dan jaringan cabang kedua terbesar (1900 kantor cabang danpusat pelayanan).2.2. Visi dan Misi Bank Danamon Visi dan misi bank Danamon tercantum di dalam annually report [5]. Visi Bank Danamonadalah peduli dan membantu jutaan orang mencapai kesejahteraan. Misi Bank Danamon ada 3 yaitu :1. Menjadi lembaga keuangan terkemuka di Indonesia yang keberadaannya diperhitungkan.2. Suatu organisasi yang terpusat pada nasabah yang melayani semua segmen dengan menawarkan nilai yang unik untuk masing – masing segmen berdasarkan keunggulan penjualan dan pelayanan serta didukung oleh teknologi canggih.3. Menjadi perusahaan pilihan untuk berkarya dan dihormati oleh nasabah, karyawan, pemegang saham, dan komunitas tempat perusahaan berada.Dari visi dan misi di atas, dapat diketahui bahwa Bank Danamon adalah bank yang berorientasi kepadanasabah, dalam hal ini kepercayaan nasabah. Langkah yang dilakukan dengan memberikan berbagaipelayanan yang memuaskan nasabah, termasuk keamanan dan kenyamanan bertransaksi, sehinggamakin meningkatkan jumlah transaksi.
  • 3. 2.3. IT Strategic Objective Bank Danamon Tujuan strategis IT (IT Strategic Objectif) Bank Danamon terdiri dari tiga poin berikut :1. Melayani semua segment dengan keunggulan penjualan dan pelayanan. Metriknya berupa DSP (Danamon Simpan Pinjam) untuk UKM. Bank Danamon berusaha mencapai target penjualan dan pelayanan kepada nasabah di sektor modal usaha dan transaksi, untuk semua segmen nasabah (perorangan, komersil, UKM).2. Menjadi lembaga keuangan terkemuka di Indonesia. Metriknya berupa DSP untuk UKM, Danamon Consumer Banking, perluasan jaringan ATM dan cabang dimulai dari tahun 2007. Dengan pengadaan berbagai layanan berbasis IT dan memenuhi setiap keinginan nasabahnya, Bank Danamon ingin menjadi bank terkemuka di Indonesia.3. Pengembangan layanan elektronik perbankan kelas dunia. Metriknya berupa perluasan jaringan ATM dan cabang dimulai dari tahun 2007. Layanan perbankan kelas dunia dan perluasan cabang dan jaringan menjadi strategi Bank Danamon dalam rangka memperoleh kepercayaan nasabah dari sisi keamanan dan kenyamanan layanan yang diberikan.2.4. Operational Risk Management Framework (ORMF) di Bank Danamon Sebagaimana yang disebutkan di annually report [5], Bank Danamon menggunakanpendekatan strategi mitigasi yang tepat untuk memperoleh keseimbangan antara pemaparan risikooperasional, efektivitas, mekanisme kontrol, dan risk appetite (tingkat risiko) oleh bank. Bank Danamon menggunakan Operational Risk Management Framework (ORMF) sebagaiframework manajemen risiko. ORMF adalah framework manajemen resiko operasional yang umumnyadigunakan di perbankan. ORMF menjelaskan prinsip, prosedur, dan responsibilitas untuk penerapanmanajemen risiko. Implementasi ORMF berupa siklus terintegrasi untuk pengendalian risiko,identifikasi, pengukuran, penilaian, mitigasi, monitoring, dan report. ORMF didukung oleh ORMS(Operational Risk Management System), sebuah sistem manajemen risiko operasional online dan realtime web based [5]. Pengelolaan risiko operasional di Bank Danamon ini telah sejalan denganketentuan dari Bank Indonesia [6][7] dan Komite Basel terkait manajemen risiko untuk pengawasanperbankan [5].3. Permasalahan di Bank Danamon 20113.1. Proses Bisnis Bank Danamon - Layanan - Nasabah Terkait permasalahan yang terjadi di Bank Danamon yang dibahas di paper ini, perludilakukan analisis terhadap proses bisnis dari Bank Danamon, nasabah, dan layanan yang diberikan. Gambar 1. Proses Bisnis di Bank Danamon Terlihat bahwa untuk memperoleh kepuasan nasabah (customer satisfaction), terdapat 3 faktoryang harus diperhatikan oleh Bank Danamon, yaitu kualitas layanan (service quality), kualitas produk(product quality), dan nilai lebih nasabah (customer value). Kepuasan ini akan mempengaruhi loyalitas
  • 4. nasabah (customer loyality) terhadap Bank Danamon. Customer value berkaitan langsung dengancustomer loyality. Analisis terhadap proses bisnis Bank Danamon akan membantu di dalam pembahasanmengenai permasalahan yang dialami oleh Bank Danamon di tahun 2011, termasuk juga di sisirekomendasi/desain dan kesimpulan.3.2. Apa Permasalahan Yang Terjadi di Bank Danamon Tahun 2011? Di tahun 2011 ini, berdasarkan sumber di internet, terdapat tiga kasus yang terjadi di BankDanamon di tiga daerah berbeda di Indonesia dan menjadi permasalahan bagi Bank Danamon. Pertama, kasus penggelapan di kantor Cabang Pembantu Menara Danamon oleh orang dalamDanamon sendiri, yaitu seorang teller Danamon yang telah lama bekerja dan mengetahui dengansangat baik seluk beluk di dalam Bank Danamon. [9][10][11][12][13]. Kedua, kasus perampokan di Bank Danamon Simpan Pinjam Lingkar Utara Condong CaturSleman Yogyakarta oleh kawanan perampok bank bersenjata api [14][15][16][17][18]. Ketiga, kasus perampokan di Bank Danamon Jalan Latumenten, Jakarta Barat, oleh kawananperampok bank [19][20][21][22][23].3.3. Mengapa Permasalahan Tersebut Bisa Terjadi? Ketiga permasalahan di atas terjadi sebagai akibat adanya beberapa kesalahan, yaitu kesalahansistem, user, dan kebijakan. Permasalahan pertama disebabkan oleh accidental disclosure. PegawaiBank Danamon yang menjadi teller menyalah gunakan mandat yang diberikan terkait sistem di dalamBank Danamon untuk kepentingan pribadi. Modus pelaku yaitu menarik uang kas secara berulang –ulang dari kantor Cabang Pembantu Menara Danamon. Pelaku memalsukan buku khazanah (bukucatatan keuangan setiap kantor cabang), sehingga uang dalam catatan buku tersebut hilang. Hal inidilakukan selama dua tahun sampai kemudian kepala cabang curiga terhadap laporan pengeluarankeuangan kantor yang membesar. Meski uang yang dibobol adalah uang dalam catatan pembukuan(khazanah) dan bukan uang milik nasabah, namun dikhawatirkan jika kejadian ini tidak terbongkar dantidak ditangani akan merambat ke uang milik nasabah. Permasalahan kedua dan ketiga disebabkan oleh kesalahan user dan kebijakan manajemenSumber Daya Manusia, berupa pembagian tugas, tanggung jawab, dan penambahan sistem keamanan.Keduanya sama – sama dilakukan oleh kawanan perampok. Belum diperoleh fakta resmi apakahkawanan perampok tersebut adalah orang dalam Bank Danamon sendiri atau bekerja sama denganorang dalam Bank Danamon. Namun terlihat pencegahan tidak ditangani dengan baik. Beberapa faktayang mendukung pernyataan penulis ini antara lain : 1. Tidak adanya satpam saat kejadian. Satpam sedang di luar menemani pegawai lainnya yang sedang menagih hutang.[17] 2. Tidak adanya keterangan total jumlah satpam dan pembagian tugas.[17] 3. Tidak adanya upaya menghubungi pihak keamanan/polisi saat kejadian berlangsung. Misal dengan menekan secara rahasia tombol alert emergency ke kantor polisi terdekat tanpa diketahui oleh pihak perampok. Banyak bank besar di dunia yang menerapkannya. Ironisnya lagi, lokasi Bank Danamon di Jogja berdekatan dengan dua buah kantor polisi.[14] 4. Tidak adanya keterangan catatan berupa rekaman kejadian (misal CCTV) untuk mempermudah pengusutan oleh pihak berwajib.[21]3.4. Mengapa Dapat Mempengaruhi Objective Bank Danamon? Adanya ketiga permasalahan di atas dapat memberikan pengaruh terhadap objective BankDanamon. Bank Danamon adalah bank yang berorientasi kepada nasabah. Segala layanan yangdiberikan bertujuan untuk meningkatkan keamanan dan kenyamanan nasabah. Permasalahan inimenurunkan kepercayaan nasabah/masyarakat kepada layanan di Bank Danamon. Mereka tidak lagimempercayai keamanan uang yang mereka simpan di Bank Danamon. Akibatnya nasabah bisaberpindah ke bank lain atau enggan menjadi nasabah Danamon. Hal ini akan menurunkan jumlahnasabah dan jumlah transaksi di Bank Danamon, sehingga mengurangi pemasukan Bank Danamon. ITStrategic Objective Bank Danamon akan terganggu.3.5. Usulan Penyelesaian Terhadap Permasalahan Yang Terjadi Terkait ketiga permasalahan yang dialami oleh Bank Danamon, mengapa permasalahantersebut bisa terjadi, dan mengapa bisa memberikan pengaruh terhadap tujuan (objective) dari BankDanamon, diberikan usulan penyelesaian sebagai berikut :
  • 5. 1. Kasus pertama : perlu adanya pembenahan internal Bank Danamon. Meliputi pembenahan kebijakan hak akses dan wewenang, keuangan, pembukuan, disiplin, etos kerja, dan sangsi yang berlaku terhadap semua pegawai Bank Danamon. Perlu dibentuk unit khusus di Bank Danamon untuk mempelajari kebijakan yang dikeluarkan, meneliti, dan memberikan solusi terhadap bugs pada sistem. Keamanan sistem bergantung dari sisi software, hardware, user, dan kebijakan. 2. Kasus kedua dan ketiga : pembenahan di sisi pengelolaan Sumber Daya Manusia (SDM) dan pemanfaatan IT. Di sisi SDM, penambahan satpam disertai pembagian shift jaga dan pembagian tugas. Di sisi IT, perlu ditambahkan kamera CCTV 24 jam untuk memudahkan penyidikan dari bukti video rekaman, penambahan tombol alert emergency yang terhubung langsung ke kantor polisi terdekat dengan penempatan tersembunyi (tidak mencolok) dan tidak bersuara saat diaktifkan.Solusi umum adalah usulan untuk menggunakan framework manajemen risiko lainnya yang lebih baikdaripada existing framework yang telah ada di Bank Danamon yaitu ORMF.3.6. Kesimpulan Sementara Beberapa kesimpulan sementara dari uraian ketiga permasalahan di Bank Danamon tahun2011 dengan menggunakan framework ORMF yaitu : 1. Risiko muncul sebagai sebuah faktor yang mempengaruhi tingkat kepuasan dan loyalitas nasabah. 2. Sesuai proses bisnis Bank Danamon, kualitas layanan dan produk serta customer value sama – sama mempengaruhi kepuasan nasabah. 3. Permasalahan yang terjadi di Bank Danamon 2011 mempengaruhi objective Bank Danamon. 4. Objective dan IT di Bank Danamon menciptakan nilai untuk pertumbuhan bisnis dan loyalitas nasabah, melalui keunggulan layanan yang diberikan. 5. Framework ORMF untuk manajemen risiko di Bank Danamon telah sesuai dengan ketentuan dari Bank Indonesia dan Bassel, namun belum optimal menangani risiko. Terbukti dengan adanya tiga permasalahan ini. Perlu dilakukan peninjauan ulang atau usulan framework manajemen risiko lainnya. Penulis mengusulkan ISO 31000.4. Usulan Penerapan ISO 310004.1. ISO 31000 ISO (International Organizations of Standartization) pada bulan November 2009mengeluarkan ISO 31000:2009 Risk Management Principle and Guideline sebagai standar baru untukmembantu manajemen risiko perusahaan. ISO 31000 juga mencakup keamanan informasi, kualitas,lingkungan, kesehatan, dan keamanan. ISO 31000 menjadi standar internasional baru untuk manajemen risiko sesuai dengan standarAustralia yang dipublikasikan tahun 1995, yaitu AS/NZS 4360:2004. ISO 31000 menyediakanframework umum untuk menetapkan konteks, analisis, evaluasi, treating, monitoring, dan risikokomunikasi. Dokumen pertama yang dipublikasikan pada ISO 31000 meliputi : 1. ISO Guide 73:2009 Risk Management – Vocabulary. Menyediakan definisi dari berbagai istilah umum terkait manajemen risiko untuk mendorong pemahaman yang konsisten, pendekatan yang logis, deskripsi aktivitas terkait manajemen risiko, sesuai dengan standar manajemen risiko umumnya. 2. ISO/EIC 31010 Risk Management – Risk Assesment Techniques. Menyediakan petunjuk bagi ISO 31000 untuk seleksi dan menerapkan teknik sistematik risk assessment. Anatomi ISO 31000 terdiri atas tiga buah building block yang mencakup prinsip umum,framework, dan proses manajemen risiko. Bertujuan agar implementasi ISO 31000 makin efektif.Meliputi : 1. The First Building Block of ISO 31000. Risk management harus memiliki prinsip mampu menciptakan nilai, terintegrasi dengan bagian dari proses organisasi, bagian dari pembuat keputusan, mengarahkan ketidakpastian secara eksplisit, sistematis, terstruktur, waktu dapat ditentukan, transparan, dinamis, iteratif dan responsif terhadap perubahan, serta memfasilitasi perbaikan organisasi. 2. The Second Building Block of ISO 31000.
  • 6. Memiliki ketentuan framework risiko berdasarkan komitmen yang dicantumkan. Ada empat aksi berulang yang terjadi saat komitmen ditentukan, yaitu desain framework, implementasi manajemen risiko, pengawasan dan review terhadap framework, serta melanjutkan perbaikan dari framework. 3. The Third Building Block of ISO 31000. Memastikan komunikasi dan pengawasan dilakukan sesuai dengan proses yang ditetapkan dalam konteks, risk assessment, hingga risk treatment. Diadopsi dari AS/NZS 4360:2004. ISO 31000 menawarkan sejumlah kelebihan, antara lain : memiliki terminologi konsistensesuai ISO Guide 73:2009 Risk Management Vocabulary, menyediakan pemilihan teknik riskassessment sesuai ISO/EIC 31010, lebih terstruktur dan sistematis sehingga mudah diterapkan,memiliki kejelasan tugas dan tanggung jawab risk owner khususnya aspek Risk Governance, sertamempermudah sistem komunikasi dan pelaporan manajemen risiko. ISO 31000 memiliki kompatibilitas dengan framework COSO yang umum digunakan diperbankan, dengan beberapa kelebihan. Antara lain : 1. Lebih bersifat praktikal dan lebih sedikit teoritikal dibandingkan COSO, lebih detail, dan eksplisit. 2. Informasi dapat diadopsi untuk mengembangkan petunjuk dengan menilai metodologi manajemen risiko yang ada. 3. Perencanaan tertulis sehingga dokumentasi dapat diakses oleh CEO, CIO, CRE, dewan komisi, komite audit, komite pengawasan risiko, praktisi risiko, controller, untuk memudahkan memahami pengelolaan risiko dengan disertai kesempatan bereksplorasi.ISO 31000 dan COSO memiliki perbedaan pada fokus penilaian dan pengelolaan risiko. ISO 31000fokus pada konsekuensi yang menyediakan kerangka kerja untuk membantu mempertimbangkankonsekuensi flow on pada suatu kejadian. Ditandai dengan definisi risiko sebagai efek dari sebuahketidakpastian pada suatu tujuan. COSO lebih fokus pada suatu kejadian dibandingkan konsekuensidari suatu kejadian. Ditandai dengan definisi risiko sebagai kemungkinan suatu peristiwa akan terjadidan akan mempengaruhi tujuan. ISO 31000 bisa digunakan bersama dengan ERM (Enterprise RiskManagement) yang telah ada, untuk membangun IT Risk Management perusahaan.4.2. Identifikasi Risiko Menggunakan Metode RBS Dalam ISO 31000, untuk proses identifikasi risiko, terdapat empat metode umum yangdigunakan. Yaitu : pengujian dokumen (document review), analisis pemangku kepentingan (stakeholderanalysis), RBS (Risk Breakdown Structure), dan pemetaan proses bisnis (business process mapping)menggunaan FMEA (Failure Mode and Effect Analysis). Pada paper ini hanya dibahas mengenai RBS. RBS menyusun risiko – risiko yang teridentifikasi dalam kelompok/kategori yang yang sesuaidengan susunan hirarki organisasi, proyek, dan proses, sehingga dapat diketahui siapa pemangku risikoterkait. RBS digunakan dalam upaya melakukan kategorisasi risiko. Sasaran penerapan RBS adalahkejelasan pemangku risiko dan peningkatan pemahaman risiko organisasi atau proyek dalam kontekskerangka kerja logis dan sistematis.4.3. Analisa Permasalahan Bank Danamon Dengan Teknik RBS Ketiga permasalahan di Bank Danamon terjadi akibat faktor internal yang berhubungandengan unit – unit internal Bank Danamon, sebagaimana ditampilkan di struktur organisasi BankDanamon (bawah). Existing framework yang digunakan (ORMF) belum mampu menanganipermasalahan dan manajemen risiko yang ada. Penulis menilai ISO 31000 dengan menggunakanmetode RBS (Risk Breakdown Structure) lebih tepat diusulkan untuk identifikasi dan manajemenrisiko.Unit Teknologi Informasi di Bank Danamon tampak pada struktur organisasi berikut ini :
  • 7. Gambar 2. Struktur organisasi di Bank Danamon (IT dan Manajemen Risiko)4.4. Desain Solusi Permasalahan Menggunakan ISO 31000 Desain solusi terhadap permasalahan di Bank Danamon menggunakan metode RBSberbasiskan usulan ISO 31000 berupa dua langkah berikut : 1. Menentukan kriteria risiko menggunakan empat buah tabel kriteria risiko sehingga risiko dapat diprioritaskan. Meliputi tabel kriteria dampak (consequence), tabel kriteria kemungkinan (likelihood), tabel kriteria pemeringkat risiko (risk level), dan tabel kriteria selera risiko (risk appetite). 2. Menentukan strategi perlakuan risiko. Opsi pilihannya yaitu apakah menghindari risiko (risk avoidance), mengurangi/mitigasi risiko (risk reduction), berbagi risiko kepada pihak ketiga (risk sharing), atau menerima risiko (risk acceptance).4.5. Langkah Penerapan ISO 31000 di Bank Danamon Dari desain solusi permasalahan dengan ISO 31000 yang dijabarkan di atas, dilakukanlangkah – langkah penerapan sesuai keempat tabel di bawah. Warna merah cerah menandakan nilaiuntuk Bank Danamon dalam proses manajemen risiko. 1. Tabel kriteria dampak (consequence). No Kriteria Kualitatif Kategori Investasi Kategori Revenue Penilaian Dampak % dari investasi % dari revenue Kriteria Nilai Rating1 Nilai kerugian tidak 5% 5% RS 1 berarti.2 Nilai kerugian kecil. 5 - < 10% 5 - < 10% R 23 Nilai kerugian 10 - < 20% 10 - < 20% S 3 sedang.4 Nilai kerugian besar. 20 - < 40% 20 - < 40% B 45 Nilai kerugian > 40% > 40% SB 5 sangat besar.Keterangan : RS = Ringan Sekali, R = Ringan, S = Sedang, B = Berat, SB = Sangat Berat.Sesuai data tabel kriteria dampak di atas, dari perbandingan nilai investasi Bank Danamon, nilairevenue, dan range persentase sesuai tabel, tampak bahwa ketiga permasalahan pada Bank Danamonmasuk ke kategori nilai kerugian besar untuk kategori kualitatif dengan penilaian dampak kriteria Berat(B) pada nilai rating 4.Tabel kriteria kemungkinan (likelihood).
  • 8. No Kriteria kuantitatif Kriteria Kualitatif Rating Sebutan Kode Nilai1 Kemungkinan terjadi < Cenderung tidak mungkin terjadi, Sangat SK 1 10% Kecil.2 10% < kemungkinan Kemungkinan kecil terjadi. Kecil. K 2 terjadi < 40%3 40% < kemungkinan Sama kemungkinannya terjadi Sedang. S 3 terjadi < 60% dan tidak terjadi.4 60% < kemungkinan Kemungkinan besar terjadi. Besar. B 4 terjadi < 80%5 80% < kemungkinan Sangat mungkin pasti terjadi / Sangat SB 5 terjadi < 95% sering. Besar.Dari data di tabel di atas, kemungkinan untuk terjadinya kembali ketiga peristiwa tersebut di BankDanamon berada di rating 4, dengan kriteria kualitatif kemungkinan besar terjadi (B). Apabila faktorpenyebab terjadinya risiko tidak diminimalisir, akan berpotensi menjadi masalah di kemudian hari.Tabel kriteria pemeringkat risiko (risk level) Rating Probabilitis Rating Dampak Ringan Sekali Ringan (R) Sedang (S) Berat (B) Ekstrem (RS) (E)Sangat Besar (SB) M M T T TBesar (B) R M M T (D) TSedang (S) R M M T TKecil (K) R R M M T Sangat Kecil (SK) R R R R MKeterangan : T = Tinggi (merah), M = Medium (kuning), R = Rendah (hijau), T(D) = Penilaian terhadapDanamon tinggi.Berdasarkan acuan tabel di atas, ketiga permasalahan di Bank Danamon dikategorikan T (Tinggi) padaarea merah. Pengkategorian ini didasarkan penilaian rating probabilitas Besar (B) dan rating dampakBerat (B) yang diakibatkan kerugian finansial dan dampak terhadap penilaian masyarakat/nasabahterhadap citra layanan dan keamanan di Bank Danamon.Tabel kriteria selera risiko (risk appetite) Dampak Toleransi Jenis Kegiatan Tingkat Selera Risiko Kegagalan Terhadap Otorisasi KegagalanRendah Tinggi Penunjang Manager dan Besar SupervisorMenengah rendah Sedang Operasional General manager SedangMenengah tinggi Rendah Keuangan dan Direksi Rendah kepatuhanTinggi Rendah sekali Strategis dan Direksi dan Kecil sekali kritis dewan direksi
  • 9. Berdasarkan tabel di atas, terhadap ketiga permasalahan di Bank Danamon tersebut, dampak kegagalandinilai tinggi dengan toleransi terhadap kegagalan rendah sekali. Hal ini ditunjukkan dengan ketegasanpihak Bank Danamon untuk menyelesaikan dengan serius secara hukum dan perombakan internal.Menilik dari jenis kegiatan, permasalahan yang terjadi sifatnya strategis dan kritis. Permasalahanpertama diakibatkan pelaku yang posisinya strategis sebagai teller yang mengurusi pembukuankeuangan khazanah. Permasalahan kedua dan ketiga disebabkan oleh kondisi strategis dimanakeamanan sangat kurang dan tidak diantisipasi oleh pihak Bank Danamon. Untuk tingkat otorisasi,direksi dan dewan direksi turut serta menangani masalah dari sisi internal. 2. Strategi perlakuan risiko. Tahap kedua setelah menggunakan keempat tabel kriteria risiko adalah menentukan strategiperlakuan risiko. Terdapat empat jenis strategi perlakukan risiko, yaitu risk avoidance (menghindaririsiko), risk reduction (mengurangi/mitigasi risiko berupa pengurangan likelihood dan pengurangandampak), risk sharing (berbagi risiko), dan risk acceptance (menerima risiko). Dari penilaian menggunakan keempat tabel di atas, Bank Danamon memilih strategiperlakukan risiko berupa mengurangi/mitigasi risiko (risk reduction). Antara lain memecat pelaku padapermasalahan pertama (teller) dan menyerahkan ke pihak berwajib, mengadakan perubahan kebijakaninternal, dan membentuk unit khusus. Pada kasus kedua dan ketiga, Bank Danamon bekerja samadengan polisi untuk pengusutan kasus ini.4.6. Saran Terkait Usulan ISO 31000 dan Manajemen Risiko Berdasarkan hasil penilaian dari empat tabel kriteria di atas dan pemilihan strategi perlakuanrisiko berupa mitigasi (pengurangan risiko), terdapat beberapa saran dan solusi berbasis usulan ISO31000 untuk Bank Danamon terkait ketiga permasalahan yang dihadapi tersebut. Yaitu : 1. Review kebijakan oleh manajemen puncak dan atasan di Bank Danamon agar saat diterapkan dapat berjalan baik dan mampu mencegah terulangnya permasalahan serupa dan risiko yang mungkin terjadi. Dalam hal ini, pembentukan unit khusus internal dapat membantu pihak Danamon. 2. Peningkatan pelatihan dan keterampilan kepada para pegawai Bank Danamon dalam hal pemanfaatan IT, memberikan pelayanan kepada konsumen, sinkronisasi informasi antar unit kerja untuk memudahkan pelayanan, pemrosesan keuangan, termasuk juga kejujuran, semangat kerja, dan dedikasi tinggi terhadap perusahaan (Bank Danamon). SDM yang terampil dan terlatih adalah modal penting untuk pencapaian objective Bank Danamon. uk mengembangkan petunjuk dengan menilai metodologi manajemen risiko yang ada. 3. Pemisahan tanggung jawab dan tugas, termasuk pembagian tugas. Ketiga permasalahan yang terjadi merupakan indikasi tidak bagusnya manajemen pemisahan tanggung jawab dan tugas pada setiap level pegawai dari hirarki atas hingga bawah. 4. Pemantauan (monitoring) dan penilaian (review) kerja dan proses yang terjadi di seluruh kantor cabang Bank Danamon, sehingga menjamin proses berjalan baik dan pegawai menjalankan tugasnya dengan baik berdasarkan aturan dan etos kerja. Terdapat tiga tingkatan yang harus dilakukan dalam hal monitoring dan review, sebagaimana bagan di bawah ini. Gambar : Proses monitoring dan reviewKeterangan :
  • 10. A = Audit oleh pihak ketiga. Verifikasi oleh internal dan eksternal auditor bertujuan untuk melihatkepatuhan terhadap standar dan peraturan yang berlaku.B = Pemeriksaan oleh atasan. Dilaksanakan secara berkala dan didorong oleh profil risiko serta lingkuptanggung jawab manajer bersangkutan.C = pemeriksaan berkala dan pemantauan berkelanjutan. Dilaksanakan secara harian dan menjadibagian dari pekerjaan.Tata kelola manajemen risiko Bank Danamon melibatkan hirarki dewan komisaris, dewan direksi,hingga ke level bawah (jajaran manajemen, karyawan) dengan empat buah komite penting.Ditunjukkan pada gambar di bawah ini. Gambar : Tata kelola manajemen risiko Bank Danamon4.7. Kesimpulan Final Tahap terakhir yaitu kesimpulan final terkait usulan pemanfaatan ISO 31000 untuk frameworkmanajemen risiko menggantikan existing framework ORMF di Bank Danamon. Beberapa poin pentingyang penulis tarik sebagai kesimpulan paper ini yaitu : 1. Bank Danamon adalah bank berbasis nasabah dan risiko mempengaruhi tingkat kepuasan dan loyalitas nasabah, sehingga Bank Danamon perlu melakukan manajemen risiko yang baik, selain juga peningkatan kualitas layanan, kualitas produk, dan customer value. 2. IT Strategic Objective Bank Danamon menciptakan nilai untuk pertumbuhan bisnis dan loyalitas nasabah melalui keunggulan layanan yang diberikan, namun ketiga permasalahan yang terjadi mempengaruhi objective Bank Danamon. 3. Permasalahan yang terjadi menunjukkan ORMF belum maksimal dalam proses manajemen risiko, sedangkan usulan ISO 31000 memberikan proses manajemen risiko yang lebih baik dan mudah diterapkan di sektor perbankan dan non perbankan.5. Daftar Pustaka[1]ISO Guide (2009) : ISO Guide 73 Risk Management Vocabulary. ISO Guide. 2009.[2]Elky, Steve. (2006) : An Introduction to Information Risk Management. SANS Institute InfoSec Reading Room. 2006.[3]Mahreza Maulana, Muhammad; Harso Supangkat, Suhono (2006) : Pemodelan Framework Manajemen Risiko Teknologi Informasi Untuk Perusahaan di Negara Berkembang. Multimedia and Cyberspace Engineering Research Group (MUCER), KK Teknologi Informasi, Sekolah Teknik Elektro dan Informatika Institut Teknologi Bandung. 2006.[4]Commonwealth of Virginia. (2007) : Information Technology Resource Management Information Technology Risk Management Guideline. Virginia Information Technology Agency (VITA). 2007.[5]PT Bank Danamon, Tbk (2010) : Annual Report Bank Danamon 2010. PT Bank Danamon, Tbk. 2010.[6]Bank Indonesia (2010) : Surat Edaran (SE) no 12 35 DPNP. (online)http://m.bi.go.id/NR/rdonlyres/2DEBF163-C35D-4B88-AE97-27D6D9DDF828/21652/se_123511.pdf
  • 11. Diakses 18 September 2011.[7]Bank Indonesia (2009) : Peraturan Bank Indonesia No 11/25/PBI/2009 – Perubahan Atas PBI No 5/8/PBI/2003 Tentang Penerapan Manajemen Risiko Bagi Bank Umum. (online)http://www.bi.go.id/web/id/Peraturan/Perbankan/pbi_112509.htmDiakses 18 September 2011.[8]Metric Stream (2011) : Operational Risk Management (ORM) Framework in Bank and Financial Institutions. (online)http://www.metricstream.com/solution_briefs/ORM.htmDiakses 18 September 2011.[9]Rima News (2011) : Polisi dan BI Ungkap Modus Pembobolan Bank Danamon. (online)http://rimanews.com/read/20110510/27258/polisi-dan-bi-ungkap-modus-pembobolan-bank-danamonDiakses 18 September 2011.[10]Kabar Saham (2011) : Danamon Bukan Dari Rekening Nasabah. (online)http://www.kabarsaham.com/2011/danamon-bukan-dari-rekening-nasabah.htmlDiakses 18 September 2011.[11]Kompas (2011) : Danamon Bukan Dari Rekening Nasabah. (online)http://bisniskeuangan.kompas.com/read/2011/05/05/15250644/Danamon.Bukan.dari.Rekening.Nasaba hDiakses 18 September 2011.[12]Lembaga Pengembangan Perbankan Indonesia (LPPI) (2011) : Ini Modus Pembobolan Bank Danamon. (online)http://www.lppi.or.id/index.php/module/Forum/showtopic/21Diakses 18 September 2011.[13]Berita Mandiri (2011) : Beberapa Skandal Kasus Pembobolan Bank. (online)http://www.beritamandiri.com/2011/05/beberapa-skandal-kasus-pembobolan-bank.htmlDiakses 18 September 2011.[14]Kompas (2011) : Tak Ada Satpam Saat Bank Dirampok. (online)http://megapolitan.kompas.com/read/2011/06/09/09151164/Tak.Ada.Satpam.Saat.Bank.DirampokDiakses 18 September 2011.[15]Suara Karya Online (2011) : 4 Penjahat Bersenpi Rampok Bank Danamon. (online)http://www.suarakarya-online.com/news.html?id=280361Diakses 18 September 2011.[16] Kompas (2011) : Penjagaan Bank Bank di Yogyakarta Normal. (online)http://regional.kompasiana.com/2011/06/10/penjagaan-bank-bank-di-yogyakarta-normal/Diakses 18 September 2011.[17] Republika (2011) : Satpam Ikut Nagih ke Nasabah, Bank Danamon Dirampok. (online)http://www.republika.co.id/berita/regional/nusantara/11/06/08/lmgtf4-satpam-ikut-nagih-ke-nasabah- bank-danamon-dirampokDiakses 18 September 2011.[18] Tribun Jambi (2011) : Bank Danamon Dirampok Siang Bolong. (online)http://jambi.tribunnews.com/2011/06/08/bank-danamon-dirampok-siang-bolongDiakses 18 September 2011.[19]Detik News (2011) : Perampok Bank Danamon Gondol Rp 40 Juta. (online)http://us.detiknews.com/read/2011/06/30/140111/1671757/10/perampok-bank-danamon-gondol-rp-40- jutaDiakses 18 September 2011.[20]Detik News (2011) : Perampok Bersenjata Api Kian Merajalela di Jakarta Barat. (online)http://www.detiknews.com/read/2011/07/29/210646/1692657/10/perampok-bersenjata-api-kian- merajalela-di-jakarta-baratDiakses 18 september 2011.[21]Detik News (2011) : Polisi Bank Danamon Tidak Pasang CCTV. (online)http://www.detiknews.com/read/2011/06/30/151621/1671888/10/polisi-bank-danamon-tidak-pasang- cctvDiakses 18 September 2011.[22]Yustisi (2011) : Jakarta Barat Paling Rawan Aksi Perampokan. (online)http://yustisi.com/2011/07/jakarta-barat-paling-rawan-aksi-perampokan-bersenjata-api/Diakses 18 September 2011.[23]Humas Polda Metro Jaya (2011) : Perampok Bank Danamon Latumenten. (online)http://humaspoldametrojaya.blogspot.com/2011/06/perampok-bank-danamon-latumenten.htmlDiakses 18 September 2011.
  • 12. [24]J Susilo, Leo. (2011) : Tantangan Penerapan ISO 31000 : Risk Management Principle and Guideline. Winconsult. 2011.[25]Hillson, David (2002) : The Risk Breakdown Structure (RBS) As An Aid to Effective Risk Management. Project Management Proffesional Solution Limited. 2002.[26]Zacharias, O; Panopoulos, D; Askounis, D. Th (2008) : Large Scale Program Risk Analysis Using A Risk Breakdown Structure. European Journal of Economics, Finances, and Administratif Science. 2008.

×