Tugas paper final manajemen risiko teknologi informasi studi kasus bank Danamon - submit jurnal STIKI.

1. MANAJEMEN RISIKO TEKNOLOGI INFORMASI DI BANK DANAMON
TERKAIT TIGA MASALAH YANG DIHADAPI DI TAHUN 2011
(SOLUSI PERMASALAHAN DENGAN USULAN ISO 31000)
I Putu Agus Eka Pratama1, Suhardi2
Magister Teknologi Informasi Sekolah Teknik Elektro dan Informatika (STEI)
Institut Teknologi Bandung, Jl Ganesha 10 Bandung Jawa Barat Indonesia.
putu-shinoda@students.itb.ac.id1, suhardi@stei.itb.ac.id2
Abstrak
Bank Danamon adalah salah satu bank swasta terkemuka dan terbesar di Indonesia. Teknologi
Informasi di Bank Danamon sangat penting untuk memberikan berbagai layanan kepada nasabah
guna mencapai IT Strategic Objectif. Namun perlu diperhatikan adanya IT Risk dari implementasi IT
di Bank Danamon. Berbeda dengan masalah, risiko belum terjadi, sehingga masih bisa dihindari.
Untuk itu diperlukan adanya IT Risk Management. ISO 31000 merupakan standar internasional baru
untuk manajemen resiko yang dirilis oleh ISO (International Organizations for Standardization) pada
bulan November 2009. Paper ini membahas mengenai risiko dan masalah IT, profil Bank Danamon,
tiga permasalahan yang dihadapi oleh Bank Danamon di tahun 2011, manajemen risiko yang
digunakan oleh Bank Danamon (ORMF/Operation Risk Management Framework), ISO 31000, dan
usulan solusi menggunakan ISO 31000 dengan metode RBS. Diharapkan usulan ISO 31000
menjadikan proses manajemen risiko dapat dilakukan dengan lebih baik di Bank Danamon sehingga
IT Strategic Objective dapat tercapai.
Kata Kunci :
IT Risk Management, ORMF, ISO 31000, IT Strategic Objective
1. Pendahuluan
1.1. Risiko dan Masalah
Risiko (risk) adalah efek dari ketidakpastian dari suatu tujuan. Efek merupakan deviasi dari
suatu perkiraan. Ketidakpastian adalah keadaan akibat kurangnya informasi, pemahaman, dan
pengetahuan terhadap suatu kejadian, sehingga menimbulkan adanya konsekuensi atau kemungkinan.
Risiko kadang sering disamakan dengan konsekuensi, yang meliputi juga perubahan dalam lingkungan
sekitarnya, dan berasosiasi dengan kecenderungan dari suatu kejadian (ISO Guide 73:2009). [1].
Terdapat perbedaan antara risiko dan masalah (problem). Risiko belum terjadi, sehingga masih
bisa dihindari melalui manajemen risiko. Sedangkan masalah sudah terjadi dan harus dihadapi serta
diberikan solusi.
1.2. Manajemen Risiko IT
Manajemen risiko (risk management) adalah proses koordinasi berbagai aktivitas untuk secara
langsung mengontrol sebuah organisasi dengan mengacu kepada terjadinya sebuah risiko (ISO Guide
73:2009) [1]. Manajemen risiko bertujuan untuk memahami kemungkinan tujuan (objective) organisasi
mengalami kegagalan, melindungi aset berharga organisasi, memahami peluang dan ancaman dengan
lebih baik, dan memberikan jaminan terhadap pencapaian tujuan organisasi. IT berperan dalam
pencapaian objective perusahaan. IT Value diperoleh jika sasaran perusahaan tercapai berkat
implementasi IT. IT Risk muncul jika implementasinya tidak mampu membantu organisasi memperoleh
tujuan bisnisnya, sehingga perlu dilakukan IT Risk Management. Risiko belum terjadi dan bisa
dihindari dengan melakukan manajemen risiko yang baik.
Di dalam IT Risk Management, terdapat delapan poin ancaman. Meliputi accidental disclosure
(penyalahgunaan mandat/sengaja membeberkan informasi rahasia), act of nature (ancaman yang
disebabkan oleh alam), alteration of software (sengaja menambahkan/memodifikasi/menghapus sistem,
termasuk juga trojan, virus, dan malicious code), bandwith usage (penggunaan bandwith secara
sepihak untuk tujuan tertentu di luar kepentingan organisasi), electrical interference/disruption
(interferensi/fluktuasi), intentional alteration of data (sengaja memodifikasi/menambah/memasukkan

2. data yang menyebabkan kerusakan), system configuration error/accidental (kesalahan tidak sengaja
saat konfigurasi sistem), dan telecommunication malfunction/interruption (kegagalan sistem pada
media komunikasi). [2]
1.3. Penilaian Terhadap Risiko IT
Untuk melakukan penilaian terhadap risiko IT (IT Risk Assesment), perlu diperhatikan 9
langkah berikut [3] :
1. Memiliki knowledge terhadap sistem IT yang meliputi hardware, software, interface, data,
informasi, pengguna, arsitektur sistem, keamanan sistem, dan topologi jaringan.
2. Melakukan identifikasi terhadap segala ancaman (threat) yang dapat mengganggu stabilitas dan
fungisonalitas sistem. Ancaman dapat berasal dari manusia, alam, dan lingkungan sekitar.
3. Melakukan identifikasi terhadap kelemahan (vulnerability) dan kekurangan pada sistem. Meliputi
prosedur keamanan sistem, desain sistem, implementasi sistem, dan kontrol internal sistem.
4. Melakukan analisa terhadap berbagai kendali maupun perencanaan pada perusahaan untuk
meminimalisir atau mencegah adanya ancaman terhadap kelemahan sistem.
5. Menentukan adanya kecenderungan dari suatu kejadian (likelihood) untuk menilai kemungkinan
adanya ancaman terhadap sistem.
6. Melakukan analisa terhadap dampak – dampak buruk akibat adanya ancaman (low, medium, high),
dimana pengukuran dampak dapat dilakukan secara kualitatif maupun kuantitatif.
7. Melakukan penentuan risiko dari suatu sistem IT yang merupakan ancaman.
8. Mengajukan berbagai rekomendasi untuk mengurangi level risiko sistem IT.
9. Melakukan dokumentasi hasil.
2. Bank Danamon
2.1. Profil Bank Danamon
Bank Danamon (lengkapnya PT Bank Danamon, Tbk) berdiri tahun 1956 dengan nama Bank
Kopra Indonesia. Tahun 1976 berganti nama menjadi PT Bank Danamon Indonesia. Tahun 1988 Bank
Danamon menjadi bank devisa dan tahun 1989 menjadi perusahaan publik di Bursa Efek Jakarta (BEJ).
Tahun 1998, Bank Danamon dikelola oleh BPPN (Badan Penyehatan Perbankan Nasional)
sebagai BTO (Bank Take Over). Tahun 1999, BPPN merekapitulasi 32,2 Trilyun berupa obligasi.
Tahun 1999, sebagai bagian dari restrukturisasi, PT Bank PDFCI (BTO) merge dengan Bank Danamon.
Tahun 2000, Bank Danamon merge dengan 8 BTO lainnya (Bank Tiara, Bank Duta, Bank Rama, Bank
Tamara, Bank Nusa Nasional, Bank Pos Nusantara, Jaya Bank Internasional, dan Bank Risjad Salim
Internasional) serta menerima program rekapitulasi kedua dari pemerintah sebesar 28.9 Trilyun dan
menjadi salah satu bank swasta terbesar di Indonesia. Tahun 2003, Asia Financial (Indonesia) Pte Ltd
mengakuisisi Bank Danamon, melalui konsorsium Fullerton Financial Holding (anak perusahaan
Temasek Holding) dan Deutsche Bank AG (pemegang saham pengendali).
Kini Bank Danamon menjadi salah satu institusi finansial terbesar di Indonesia. Bulan
Desember 2009, Bank Danamon menjadi bank terbesar keenam di Indonesia (dari jumlah aset),
keempat terbesar (dari kapitalisasi pasar), dan jaringan cabang kedua terbesar (1900 kantor cabang dan
pusat pelayanan).
2.2. Visi dan Misi Bank Danamon
Visi dan misi bank Danamon tercantum di dalam annually report [5]. Visi Bank Danamon
adalah peduli dan membantu jutaan orang mencapai kesejahteraan. Misi Bank Danamon ada 3 yaitu :
1. Menjadi lembaga keuangan terkemuka di Indonesia yang keberadaannya diperhitungkan.
2. Suatu organisasi yang terpusat pada nasabah yang melayani semua segmen dengan menawarkan
nilai yang unik untuk masing – masing segmen berdasarkan keunggulan penjualan dan pelayanan
serta didukung oleh teknologi canggih.
3. Menjadi perusahaan pilihan untuk berkarya dan dihormati oleh nasabah, karyawan, pemegang
saham, dan komunitas tempat perusahaan berada.
Dari visi dan misi di atas, dapat diketahui bahwa Bank Danamon adalah bank yang berorientasi kepada
nasabah, dalam hal ini kepercayaan nasabah. Langkah yang dilakukan dengan memberikan berbagai
pelayanan yang memuaskan nasabah, termasuk keamanan dan kenyamanan bertransaksi, sehingga
makin meningkatkan jumlah transaksi.

3. 2.3. IT Strategic Objective Bank Danamon
Tujuan strategis IT (IT Strategic Objectif) Bank Danamon terdiri dari tiga poin berikut :
1. Melayani semua segment dengan keunggulan penjualan dan pelayanan. Metriknya berupa DSP
(Danamon Simpan Pinjam) untuk UKM. Bank Danamon berusaha mencapai target penjualan dan
pelayanan kepada nasabah di sektor modal usaha dan transaksi, untuk semua segmen nasabah
(perorangan, komersil, UKM).
2. Menjadi lembaga keuangan terkemuka di Indonesia. Metriknya berupa DSP untuk UKM, Danamon
Consumer Banking, perluasan jaringan ATM dan cabang dimulai dari tahun 2007. Dengan
pengadaan berbagai layanan berbasis IT dan memenuhi setiap keinginan nasabahnya, Bank
Danamon ingin menjadi bank terkemuka di Indonesia.
3. Pengembangan layanan elektronik perbankan kelas dunia. Metriknya berupa perluasan jaringan
ATM dan cabang dimulai dari tahun 2007. Layanan perbankan kelas dunia dan perluasan cabang
dan jaringan menjadi strategi Bank Danamon dalam rangka memperoleh kepercayaan nasabah dari
sisi keamanan dan kenyamanan layanan yang diberikan.
2.4. Operational Risk Management Framework (ORMF) di Bank Danamon
Sebagaimana yang disebutkan di annually report [5], Bank Danamon menggunakan
pendekatan strategi mitigasi yang tepat untuk memperoleh keseimbangan antara pemaparan risiko
operasional, efektivitas, mekanisme kontrol, dan risk appetite (tingkat risiko) oleh bank.
Bank Danamon menggunakan Operational Risk Management Framework (ORMF) sebagai
framework manajemen risiko. ORMF adalah framework manajemen resiko operasional yang umumnya
digunakan di perbankan. ORMF menjelaskan prinsip, prosedur, dan responsibilitas untuk penerapan
manajemen risiko. Implementasi ORMF berupa siklus terintegrasi untuk pengendalian risiko,
identifikasi, pengukuran, penilaian, mitigasi, monitoring, dan report. ORMF didukung oleh ORMS
(Operational Risk Management System), sebuah sistem manajemen risiko operasional online dan real
time web based [5]. Pengelolaan risiko operasional di Bank Danamon ini telah sejalan dengan
ketentuan dari Bank Indonesia [6][7] dan Komite Basel terkait manajemen risiko untuk pengawasan
perbankan [5].
3. Permasalahan di Bank Danamon 2011
3.1. Proses Bisnis Bank Danamon - Layanan - Nasabah
Terkait permasalahan yang terjadi di Bank Danamon yang dibahas di paper ini, perlu
dilakukan analisis terhadap proses bisnis dari Bank Danamon, nasabah, dan layanan yang diberikan.
Gambar 1. Proses Bisnis di Bank Danamon
Terlihat bahwa untuk memperoleh kepuasan nasabah (customer satisfaction), terdapat 3 faktor
yang harus diperhatikan oleh Bank Danamon, yaitu kualitas layanan (service quality), kualitas produk
(product quality), dan nilai lebih nasabah (customer value). Kepuasan ini akan mempengaruhi loyalitas

4. nasabah (customer loyality) terhadap Bank Danamon. Customer value berkaitan langsung dengan
customer loyality.
Analisis terhadap proses bisnis Bank Danamon akan membantu di dalam pembahasan
mengenai permasalahan yang dialami oleh Bank Danamon di tahun 2011, termasuk juga di sisi
rekomendasi/desain dan kesimpulan.
3.2. Apa Permasalahan Yang Terjadi di Bank Danamon Tahun 2011?
Di tahun 2011 ini, berdasarkan sumber di internet, terdapat tiga kasus yang terjadi di Bank
Danamon di tiga daerah berbeda di Indonesia dan menjadi permasalahan bagi Bank Danamon.
Pertama, kasus penggelapan di kantor Cabang Pembantu Menara Danamon oleh orang dalam
Danamon sendiri, yaitu seorang teller Danamon yang telah lama bekerja dan mengetahui dengan
sangat baik seluk beluk di dalam Bank Danamon. [9][10][11][12][13].
Kedua, kasus perampokan di Bank Danamon Simpan Pinjam Lingkar Utara Condong Catur
Sleman Yogyakarta oleh kawanan perampok bank bersenjata api [14][15][16][17][18].
Ketiga, kasus perampokan di Bank Danamon Jalan Latumenten, Jakarta Barat, oleh kawanan
perampok bank [19][20][21][22][23].
3.3. Mengapa Permasalahan Tersebut Bisa Terjadi?
Ketiga permasalahan di atas terjadi sebagai akibat adanya beberapa kesalahan, yaitu kesalahan
sistem, user, dan kebijakan. Permasalahan pertama disebabkan oleh accidental disclosure. Pegawai
Bank Danamon yang menjadi teller menyalah gunakan mandat yang diberikan terkait sistem di dalam
Bank Danamon untuk kepentingan pribadi. Modus pelaku yaitu menarik uang kas secara berulang –
ulang dari kantor Cabang Pembantu Menara Danamon. Pelaku memalsukan buku khazanah (buku
catatan keuangan setiap kantor cabang), sehingga uang dalam catatan buku tersebut hilang. Hal ini
dilakukan selama dua tahun sampai kemudian kepala cabang curiga terhadap laporan pengeluaran
keuangan kantor yang membesar. Meski uang yang dibobol adalah uang dalam catatan pembukuan
(khazanah) dan bukan uang milik nasabah, namun dikhawatirkan jika kejadian ini tidak terbongkar dan
tidak ditangani akan merambat ke uang milik nasabah.
Permasalahan kedua dan ketiga disebabkan oleh kesalahan user dan kebijakan manajemen
Sumber Daya Manusia, berupa pembagian tugas, tanggung jawab, dan penambahan sistem keamanan.
Keduanya sama – sama dilakukan oleh kawanan perampok. Belum diperoleh fakta resmi apakah
kawanan perampok tersebut adalah orang dalam Bank Danamon sendiri atau bekerja sama dengan
orang dalam Bank Danamon. Namun terlihat pencegahan tidak ditangani dengan baik. Beberapa fakta
yang mendukung pernyataan penulis ini antara lain :
1. Tidak adanya satpam saat kejadian. Satpam sedang di luar menemani pegawai lainnya yang
sedang menagih hutang.[17]
2. Tidak adanya keterangan total jumlah satpam dan pembagian tugas.[17]
3. Tidak adanya upaya menghubungi pihak keamanan/polisi saat kejadian berlangsung. Misal
dengan menekan secara rahasia tombol alert emergency ke kantor polisi terdekat tanpa
diketahui oleh pihak perampok. Banyak bank besar di dunia yang menerapkannya. Ironisnya
lagi, lokasi Bank Danamon di Jogja berdekatan dengan dua buah kantor polisi.[14]
4. Tidak adanya keterangan catatan berupa rekaman kejadian (misal CCTV) untuk
mempermudah pengusutan oleh pihak berwajib.[21]
3.4. Mengapa Dapat Mempengaruhi Objective Bank Danamon?
Adanya ketiga permasalahan di atas dapat memberikan pengaruh terhadap objective Bank
Danamon. Bank Danamon adalah bank yang berorientasi kepada nasabah. Segala layanan yang
diberikan bertujuan untuk meningkatkan keamanan dan kenyamanan nasabah. Permasalahan ini
menurunkan kepercayaan nasabah/masyarakat kepada layanan di Bank Danamon. Mereka tidak lagi
mempercayai keamanan uang yang mereka simpan di Bank Danamon. Akibatnya nasabah bisa
berpindah ke bank lain atau enggan menjadi nasabah Danamon. Hal ini akan menurunkan jumlah
nasabah dan jumlah transaksi di Bank Danamon, sehingga mengurangi pemasukan Bank Danamon. IT
Strategic Objective Bank Danamon akan terganggu.
3.5. Usulan Penyelesaian Terhadap Permasalahan Yang Terjadi
Terkait ketiga permasalahan yang dialami oleh Bank Danamon, mengapa permasalahan
tersebut bisa terjadi, dan mengapa bisa memberikan pengaruh terhadap tujuan (objective) dari Bank
Danamon, diberikan usulan penyelesaian sebagai berikut :

5. 1. Kasus pertama : perlu adanya pembenahan internal Bank Danamon. Meliputi pembenahan
kebijakan hak akses dan wewenang, keuangan, pembukuan, disiplin, etos kerja, dan sangsi
yang berlaku terhadap semua pegawai Bank Danamon. Perlu dibentuk unit khusus di Bank
Danamon untuk mempelajari kebijakan yang dikeluarkan, meneliti, dan memberikan solusi
terhadap bugs pada sistem. Keamanan sistem bergantung dari sisi software, hardware, user,
dan kebijakan.
2. Kasus kedua dan ketiga : pembenahan di sisi pengelolaan Sumber Daya Manusia (SDM) dan
pemanfaatan IT. Di sisi SDM, penambahan satpam disertai pembagian shift jaga dan
pembagian tugas. Di sisi IT, perlu ditambahkan kamera CCTV 24 jam untuk memudahkan
penyidikan dari bukti video rekaman, penambahan tombol alert emergency yang terhubung
langsung ke kantor polisi terdekat dengan penempatan tersembunyi (tidak mencolok) dan
tidak bersuara saat diaktifkan.
Solusi umum adalah usulan untuk menggunakan framework manajemen risiko lainnya yang lebih baik
daripada existing framework yang telah ada di Bank Danamon yaitu ORMF.
3.6. Kesimpulan Sementara
Beberapa kesimpulan sementara dari uraian ketiga permasalahan di Bank Danamon tahun
2011 dengan menggunakan framework ORMF yaitu :
1. Risiko muncul sebagai sebuah faktor yang mempengaruhi tingkat kepuasan dan loyalitas
nasabah.
2. Sesuai proses bisnis Bank Danamon, kualitas layanan dan produk serta customer value sama –
sama mempengaruhi kepuasan nasabah.
3. Permasalahan yang terjadi di Bank Danamon 2011 mempengaruhi objective Bank Danamon.
4. Objective dan IT di Bank Danamon menciptakan nilai untuk pertumbuhan bisnis dan loyalitas
nasabah, melalui keunggulan layanan yang diberikan.
5. Framework ORMF untuk manajemen risiko di Bank Danamon telah sesuai dengan ketentuan
dari Bank Indonesia dan Bassel, namun belum optimal menangani risiko. Terbukti dengan
adanya tiga permasalahan ini. Perlu dilakukan peninjauan ulang atau usulan framework
manajemen risiko lainnya. Penulis mengusulkan ISO 31000.
4. Usulan Penerapan ISO 31000
4.1. ISO 31000
ISO (International Organizations of Standartization) pada bulan November 2009
mengeluarkan ISO 31000:2009 Risk Management Principle and Guideline sebagai standar baru untuk
membantu manajemen risiko perusahaan. ISO 31000 juga mencakup keamanan informasi, kualitas,
lingkungan, kesehatan, dan keamanan.
ISO 31000 menjadi standar internasional baru untuk manajemen risiko sesuai dengan standar
Australia yang dipublikasikan tahun 1995, yaitu AS/NZS 4360:2004. ISO 31000 menyediakan
framework umum untuk menetapkan konteks, analisis, evaluasi, treating, monitoring, dan risiko
komunikasi. Dokumen pertama yang dipublikasikan pada ISO 31000 meliputi :
1. ISO Guide 73:2009 Risk Management – Vocabulary. Menyediakan definisi dari berbagai
istilah umum terkait manajemen risiko untuk mendorong pemahaman yang konsisten,
pendekatan yang logis, deskripsi aktivitas terkait manajemen risiko, sesuai dengan standar
manajemen risiko umumnya.
2. ISO/EIC 31010 Risk Management – Risk Assesment Techniques. Menyediakan petunjuk bagi
ISO 31000 untuk seleksi dan menerapkan teknik sistematik risk assessment.
Anatomi ISO 31000 terdiri atas tiga buah building block yang mencakup prinsip umum,
framework, dan proses manajemen risiko. Bertujuan agar implementasi ISO 31000 makin efektif.
Meliputi :
1. The First Building Block of ISO 31000.
Risk management harus memiliki prinsip mampu menciptakan nilai, terintegrasi dengan
bagian dari proses organisasi, bagian dari pembuat keputusan, mengarahkan ketidakpastian
secara eksplisit, sistematis, terstruktur, waktu dapat ditentukan, transparan, dinamis, iteratif
dan responsif terhadap perubahan, serta memfasilitasi perbaikan organisasi.
2. The Second Building Block of ISO 31000.

6. Memiliki ketentuan framework risiko berdasarkan komitmen yang dicantumkan. Ada empat
aksi berulang yang terjadi saat komitmen ditentukan, yaitu desain framework, implementasi
manajemen risiko, pengawasan dan review terhadap framework, serta melanjutkan perbaikan
dari framework.
3. The Third Building Block of ISO 31000.
Memastikan komunikasi dan pengawasan dilakukan sesuai dengan proses yang ditetapkan
dalam konteks, risk assessment, hingga risk treatment. Diadopsi dari AS/NZS 4360:2004.
ISO 31000 menawarkan sejumlah kelebihan, antara lain : memiliki terminologi konsisten
sesuai ISO Guide 73:2009 Risk Management Vocabulary, menyediakan pemilihan teknik risk
assessment sesuai ISO/EIC 31010, lebih terstruktur dan sistematis sehingga mudah diterapkan,
memiliki kejelasan tugas dan tanggung jawab risk owner khususnya aspek Risk Governance, serta
mempermudah sistem komunikasi dan pelaporan manajemen risiko.
ISO 31000 memiliki kompatibilitas dengan framework COSO yang umum digunakan di
perbankan, dengan beberapa kelebihan. Antara lain :
1. Lebih bersifat praktikal dan lebih sedikit teoritikal dibandingkan COSO, lebih detail, dan
eksplisit.
2. Informasi dapat diadopsi untuk mengembangkan petunjuk dengan menilai metodologi
manajemen risiko yang ada.
3. Perencanaan tertulis sehingga dokumentasi dapat diakses oleh CEO, CIO, CRE, dewan
komisi, komite audit, komite pengawasan risiko, praktisi risiko, controller, untuk
memudahkan memahami pengelolaan risiko dengan disertai kesempatan bereksplorasi.
ISO 31000 dan COSO memiliki perbedaan pada fokus penilaian dan pengelolaan risiko. ISO 31000
fokus pada konsekuensi yang menyediakan kerangka kerja untuk membantu mempertimbangkan
konsekuensi flow on pada suatu kejadian. Ditandai dengan definisi risiko sebagai efek dari sebuah
ketidakpastian pada suatu tujuan. COSO lebih fokus pada suatu kejadian dibandingkan konsekuensi
dari suatu kejadian. Ditandai dengan definisi risiko sebagai kemungkinan suatu peristiwa akan terjadi
dan akan mempengaruhi tujuan. ISO 31000 bisa digunakan bersama dengan ERM (Enterprise Risk
Management) yang telah ada, untuk membangun IT Risk Management perusahaan.
4.2. Identifikasi Risiko Menggunakan Metode RBS
Dalam ISO 31000, untuk proses identifikasi risiko, terdapat empat metode umum yang
digunakan. Yaitu : pengujian dokumen (document review), analisis pemangku kepentingan (stakeholder
analysis), RBS (Risk Breakdown Structure), dan pemetaan proses bisnis (business process mapping)
menggunaan FMEA (Failure Mode and Effect Analysis). Pada paper ini hanya dibahas mengenai RBS.
RBS menyusun risiko – risiko yang teridentifikasi dalam kelompok/kategori yang yang sesuai
dengan susunan hirarki organisasi, proyek, dan proses, sehingga dapat diketahui siapa pemangku risiko
terkait. RBS digunakan dalam upaya melakukan kategorisasi risiko. Sasaran penerapan RBS adalah
kejelasan pemangku risiko dan peningkatan pemahaman risiko organisasi atau proyek dalam konteks
kerangka kerja logis dan sistematis.
4.3. Analisa Permasalahan Bank Danamon Dengan Teknik RBS
Ketiga permasalahan di Bank Danamon terjadi akibat faktor internal yang berhubungan
dengan unit – unit internal Bank Danamon, sebagaimana ditampilkan di struktur organisasi Bank
Danamon (bawah). Existing framework yang digunakan (ORMF) belum mampu menangani
permasalahan dan manajemen risiko yang ada. Penulis menilai ISO 31000 dengan menggunakan
metode RBS (Risk Breakdown Structure) lebih tepat diusulkan untuk identifikasi dan manajemen
risiko.Unit Teknologi Informasi di Bank Danamon tampak pada struktur organisasi berikut ini :

7. Gambar 2. Struktur organisasi di Bank Danamon (IT dan Manajemen Risiko)
4.4. Desain Solusi Permasalahan Menggunakan ISO 31000
Desain solusi terhadap permasalahan di Bank Danamon menggunakan metode RBS
berbasiskan usulan ISO 31000 berupa dua langkah berikut :
1. Menentukan kriteria risiko menggunakan empat buah tabel kriteria risiko sehingga risiko
dapat diprioritaskan. Meliputi tabel kriteria dampak (consequence), tabel kriteria
kemungkinan (likelihood), tabel kriteria pemeringkat risiko (risk level), dan tabel kriteria
selera risiko (risk appetite).
2. Menentukan strategi perlakuan risiko. Opsi pilihannya yaitu apakah menghindari risiko (risk
avoidance), mengurangi/mitigasi risiko (risk reduction), berbagi risiko kepada pihak ketiga
(risk sharing), atau menerima risiko (risk acceptance).
4.5. Langkah Penerapan ISO 31000 di Bank Danamon
Dari desain solusi permasalahan dengan ISO 31000 yang dijabarkan di atas, dilakukan
langkah – langkah penerapan sesuai keempat tabel di bawah. Warna merah cerah menandakan nilai
untuk Bank Danamon dalam proses manajemen risiko.
1. Tabel kriteria dampak (consequence).
No Kriteria Kualitatif Kategori Investasi Kategori Revenue Penilaian Dampak
% dari investasi % dari revenue Kriteria Nilai Rating
1 Nilai kerugian tidak 5% 5% RS 1
berarti.
2 Nilai kerugian kecil. 5 - < 10% 5 - < 10% R 2
3 Nilai kerugian 10 - < 20% 10 - < 20% S 3
sedang.
4 Nilai kerugian besar. 20 - < 40% 20 - < 40% B 4
5 Nilai kerugian > 40% > 40% SB 5
sangat besar.
Keterangan : RS = Ringan Sekali, R = Ringan, S = Sedang, B = Berat, SB = Sangat Berat.
Sesuai data tabel kriteria dampak di atas, dari perbandingan nilai investasi Bank Danamon, nilai
revenue, dan range persentase sesuai tabel, tampak bahwa ketiga permasalahan pada Bank Danamon
masuk ke kategori nilai kerugian besar untuk kategori kualitatif dengan penilaian dampak kriteria Berat
(B) pada nilai rating 4.
Tabel kriteria kemungkinan (likelihood).

8. No Kriteria kuantitatif Kriteria Kualitatif Rating
Sebutan Kode Nilai
1 Kemungkinan terjadi < Cenderung tidak mungkin terjadi, Sangat SK 1
10% Kecil.
2 10% < kemungkinan Kemungkinan kecil terjadi. Kecil. K 2
terjadi < 40%
3 40% < kemungkinan Sama kemungkinannya terjadi Sedang. S 3
terjadi < 60% dan tidak terjadi.
4 60% < kemungkinan Kemungkinan besar terjadi. Besar. B 4
terjadi < 80%
5 80% < kemungkinan Sangat mungkin pasti terjadi / Sangat SB 5
terjadi < 95% sering. Besar.
Dari data di tabel di atas, kemungkinan untuk terjadinya kembali ketiga peristiwa tersebut di Bank
Danamon berada di rating 4, dengan kriteria kualitatif kemungkinan besar terjadi (B). Apabila faktor
penyebab terjadinya risiko tidak diminimalisir, akan berpotensi menjadi masalah di kemudian hari.
Tabel kriteria pemeringkat risiko (risk level)
Rating Probabilitis Rating Dampak
Ringan Sekali Ringan (R) Sedang (S) Berat (B) Ekstrem
(RS) (E)
Sangat Besar (SB) M M T T T
Besar (B) R M M T (D) T
Sedang (S) R M M T T
Kecil (K) R R M M T
Sangat Kecil (SK) R R R R M
Keterangan :
T = Tinggi (merah), M = Medium (kuning), R = Rendah (hijau), T(D) = Penilaian terhadap
Danamon tinggi.
Berdasarkan acuan tabel di atas, ketiga permasalahan di Bank Danamon dikategorikan T (Tinggi) pada
area merah. Pengkategorian ini didasarkan penilaian rating probabilitas Besar (B) dan rating dampak
Berat (B) yang diakibatkan kerugian finansial dan dampak terhadap penilaian masyarakat/nasabah
terhadap citra layanan dan keamanan di Bank Danamon.
Tabel kriteria selera risiko (risk appetite)
Dampak Toleransi Jenis Kegiatan Tingkat Selera Risiko
Kegagalan Terhadap Otorisasi
Kegagalan
Rendah Tinggi Penunjang Manager dan Besar
Supervisor
Menengah rendah Sedang Operasional General manager Sedang
Menengah tinggi Rendah Keuangan dan Direksi Rendah
kepatuhan
Tinggi Rendah sekali Strategis dan Direksi dan Kecil sekali
kritis dewan direksi

9. Berdasarkan tabel di atas, terhadap ketiga permasalahan di Bank Danamon tersebut, dampak kegagalan
dinilai tinggi dengan toleransi terhadap kegagalan rendah sekali. Hal ini ditunjukkan dengan ketegasan
pihak Bank Danamon untuk menyelesaikan dengan serius secara hukum dan perombakan internal.
Menilik dari jenis kegiatan, permasalahan yang terjadi sifatnya strategis dan kritis. Permasalahan
pertama diakibatkan pelaku yang posisinya strategis sebagai teller yang mengurusi pembukuan
keuangan khazanah. Permasalahan kedua dan ketiga disebabkan oleh kondisi strategis dimana
keamanan sangat kurang dan tidak diantisipasi oleh pihak Bank Danamon. Untuk tingkat otorisasi,
direksi dan dewan direksi turut serta menangani masalah dari sisi internal.
2. Strategi perlakuan risiko.
Tahap kedua setelah menggunakan keempat tabel kriteria risiko adalah menentukan strategi
perlakuan risiko. Terdapat empat jenis strategi perlakukan risiko, yaitu risk avoidance (menghindari
risiko), risk reduction (mengurangi/mitigasi risiko berupa pengurangan likelihood dan pengurangan
dampak), risk sharing (berbagi risiko), dan risk acceptance (menerima risiko).
Dari penilaian menggunakan keempat tabel di atas, Bank Danamon memilih strategi
perlakukan risiko berupa mengurangi/mitigasi risiko (risk reduction). Antara lain memecat pelaku pada
permasalahan pertama (teller) dan menyerahkan ke pihak berwajib, mengadakan perubahan kebijakan
internal, dan membentuk unit khusus. Pada kasus kedua dan ketiga, Bank Danamon bekerja sama
dengan polisi untuk pengusutan kasus ini.
4.6. Saran Terkait Usulan ISO 31000 dan Manajemen Risiko
Berdasarkan hasil penilaian dari empat tabel kriteria di atas dan pemilihan strategi perlakuan
risiko berupa mitigasi (pengurangan risiko), terdapat beberapa saran dan solusi berbasis usulan ISO
31000 untuk Bank Danamon terkait ketiga permasalahan yang dihadapi tersebut. Yaitu :
1. Review kebijakan oleh manajemen puncak dan atasan di Bank Danamon agar saat diterapkan
dapat berjalan baik dan mampu mencegah terulangnya permasalahan serupa dan risiko yang
mungkin terjadi. Dalam hal ini, pembentukan unit khusus internal dapat membantu pihak
Danamon.
2. Peningkatan pelatihan dan keterampilan kepada para pegawai Bank Danamon dalam hal
pemanfaatan IT, memberikan pelayanan kepada konsumen, sinkronisasi informasi antar unit
kerja untuk memudahkan pelayanan, pemrosesan keuangan, termasuk juga kejujuran,
semangat kerja, dan dedikasi tinggi terhadap perusahaan (Bank Danamon). SDM yang
terampil dan terlatih adalah modal penting untuk pencapaian objective Bank Danamon. uk
mengembangkan petunjuk dengan menilai metodologi manajemen risiko yang ada.
3. Pemisahan tanggung jawab dan tugas, termasuk pembagian tugas. Ketiga permasalahan yang
terjadi merupakan indikasi tidak bagusnya manajemen pemisahan tanggung jawab dan tugas
pada setiap level pegawai dari hirarki atas hingga bawah.
4. Pemantauan (monitoring) dan penilaian (review) kerja dan proses yang terjadi di seluruh
kantor cabang Bank Danamon, sehingga menjamin proses berjalan baik dan pegawai
menjalankan tugasnya dengan baik berdasarkan aturan dan etos kerja. Terdapat tiga tingkatan
yang harus dilakukan dalam hal monitoring dan review, sebagaimana bagan di bawah ini.
Gambar : Proses monitoring dan review
Keterangan :

10. A = Audit oleh pihak ketiga. Verifikasi oleh internal dan eksternal auditor bertujuan untuk melihat
kepatuhan terhadap standar dan peraturan yang berlaku.
B = Pemeriksaan oleh atasan. Dilaksanakan secara berkala dan didorong oleh profil risiko serta lingkup
tanggung jawab manajer bersangkutan.
C = pemeriksaan berkala dan pemantauan berkelanjutan. Dilaksanakan secara harian dan menjadi
bagian dari pekerjaan.
Tata kelola manajemen risiko Bank Danamon melibatkan hirarki dewan komisaris, dewan direksi,
hingga ke level bawah (jajaran manajemen, karyawan) dengan empat buah komite penting.
Ditunjukkan pada gambar di bawah ini.
Gambar : Tata kelola manajemen risiko Bank Danamon
4.7. Kesimpulan Final
Tahap terakhir yaitu kesimpulan final terkait usulan pemanfaatan ISO 31000 untuk framework
manajemen risiko menggantikan existing framework ORMF di Bank Danamon. Beberapa poin penting
yang penulis tarik sebagai kesimpulan paper ini yaitu :
1. Bank Danamon adalah bank berbasis nasabah dan risiko mempengaruhi tingkat kepuasan dan
loyalitas nasabah, sehingga Bank Danamon perlu melakukan manajemen risiko yang baik,
selain juga peningkatan kualitas layanan, kualitas produk, dan customer value.
2. IT Strategic Objective Bank Danamon menciptakan nilai untuk pertumbuhan bisnis dan
loyalitas nasabah melalui keunggulan layanan yang diberikan, namun ketiga permasalahan
yang terjadi mempengaruhi objective Bank Danamon.
3. Permasalahan yang terjadi menunjukkan ORMF belum maksimal dalam proses manajemen
risiko, sedangkan usulan ISO 31000 memberikan proses manajemen risiko yang lebih baik
dan mudah diterapkan di sektor perbankan dan non perbankan.
5. Daftar Pustaka
[1]ISO Guide (2009) : ISO Guide 73 Risk Management Vocabulary. ISO Guide. 2009.
[2]Elky, Steve. (2006) : An Introduction to Information Risk Management. SANS Institute InfoSec
Reading Room. 2006.
[3]Mahreza Maulana, Muhammad; Harso Supangkat, Suhono (2006) : Pemodelan Framework
Manajemen Risiko Teknologi Informasi Untuk Perusahaan di Negara Berkembang. Multimedia
and Cyberspace Engineering Research Group (MUCER), KK Teknologi Informasi, Sekolah
Teknik Elektro dan Informatika Institut Teknologi Bandung. 2006.
[4]Commonwealth of Virginia. (2007) : Information Technology Resource Management Information
Technology Risk Management Guideline. Virginia Information Technology Agency (VITA).
2007.
[5]PT Bank Danamon, Tbk (2010) : Annual Report Bank Danamon 2010. PT Bank Danamon, Tbk.
2010.
[6]Bank Indonesia (2010) : Surat Edaran (SE) no 12 35 DPNP. (online)
http://m.bi.go.id/NR/rdonlyres/2DEBF163-C35D-4B88-AE97-27D6D9DDF828/21652/se_123511.pdf

11. Diakses 18 September 2011.
[7]Bank Indonesia (2009) : Peraturan Bank Indonesia No 11/25/PBI/2009 – Perubahan Atas PBI No
5/8/PBI/2003 Tentang Penerapan Manajemen Risiko Bagi Bank Umum. (online)
http://www.bi.go.id/web/id/Peraturan/Perbankan/pbi_112509.htm
Diakses 18 September 2011.
[8]Metric Stream (2011) : Operational Risk Management (ORM) Framework in Bank and Financial
Institutions. (online)
http://www.metricstream.com/solution_briefs/ORM.htm
Diakses 18 September 2011.
[9]Rima News (2011) : Polisi dan BI Ungkap Modus Pembobolan Bank Danamon. (online)
http://rimanews.com/read/20110510/27258/polisi-dan-bi-ungkap-modus-pembobolan-bank-danamon
Diakses 18 September 2011.
[10]Kabar Saham (2011) : Danamon Bukan Dari Rekening Nasabah. (online)
http://www.kabarsaham.com/2011/danamon-bukan-dari-rekening-nasabah.html
Diakses 18 September 2011.
[11]Kompas (2011) : Danamon Bukan Dari Rekening Nasabah. (online)
http://bisniskeuangan.kompas.com/read/2011/05/05/15250644/Danamon.Bukan.dari.Rekening.Nasaba
h
Diakses 18 September 2011.
[12]Lembaga Pengembangan Perbankan Indonesia (LPPI) (2011) : Ini Modus Pembobolan Bank
Danamon. (online)
http://www.lppi.or.id/index.php/module/Forum/showtopic/21
Diakses 18 September 2011.
[13]Berita Mandiri (2011) : Beberapa Skandal Kasus Pembobolan Bank. (online)
http://www.beritamandiri.com/2011/05/beberapa-skandal-kasus-pembobolan-bank.html
Diakses 18 September 2011.
[14]Kompas (2011) : Tak Ada Satpam Saat Bank Dirampok. (online)
http://megapolitan.kompas.com/read/2011/06/09/09151164/Tak.Ada.Satpam.Saat.Bank.Dirampok
Diakses 18 September 2011.
[15]Suara Karya Online (2011) : 4 Penjahat Bersenpi Rampok Bank Danamon. (online)
http://www.suarakarya-online.com/news.html?id=280361
Diakses 18 September 2011.
[16] Kompas (2011) : Penjagaan Bank Bank di Yogyakarta Normal. (online)
http://regional.kompasiana.com/2011/06/10/penjagaan-bank-bank-di-yogyakarta-normal/
Diakses 18 September 2011.
[17] Republika (2011) : Satpam Ikut Nagih ke Nasabah, Bank Danamon Dirampok. (online)
http://www.republika.co.id/berita/regional/nusantara/11/06/08/lmgtf4-satpam-ikut-nagih-ke-nasabah-
bank-danamon-dirampok
Diakses 18 September 2011.
[18] Tribun Jambi (2011) : Bank Danamon Dirampok Siang Bolong. (online)
http://jambi.tribunnews.com/2011/06/08/bank-danamon-dirampok-siang-bolong
Diakses 18 September 2011.
[19]Detik News (2011) : Perampok Bank Danamon Gondol Rp 40 Juta. (online)
http://us.detiknews.com/read/2011/06/30/140111/1671757/10/perampok-bank-danamon-gondol-rp-40-
juta
Diakses 18 September 2011.
[20]Detik News (2011) : Perampok Bersenjata Api Kian Merajalela di Jakarta Barat. (online)
http://www.detiknews.com/read/2011/07/29/210646/1692657/10/perampok-bersenjata-api-kian-
merajalela-di-jakarta-barat
Diakses 18 september 2011.
[21]Detik News (2011) : Polisi Bank Danamon Tidak Pasang CCTV. (online)
http://www.detiknews.com/read/2011/06/30/151621/1671888/10/polisi-bank-danamon-tidak-pasang-
cctv
Diakses 18 September 2011.
[22]Yustisi (2011) : Jakarta Barat Paling Rawan Aksi Perampokan. (online)
http://yustisi.com/2011/07/jakarta-barat-paling-rawan-aksi-perampokan-bersenjata-api/
Diakses 18 September 2011.
[23]Humas Polda Metro Jaya (2011) : Perampok Bank Danamon Latumenten. (online)
http://humaspoldametrojaya.blogspot.com/2011/06/perampok-bank-danamon-latumenten.html
Diakses 18 September 2011.

12. [24]J Susilo, Leo. (2011) : Tantangan Penerapan ISO 31000 : Risk Management Principle and
Guideline. Winconsult. 2011.
[25]Hillson, David (2002) : The Risk Breakdown Structure (RBS) As An Aid to Effective Risk
Management. Project Management Proffesional Solution Limited. 2002.
[26]Zacharias, O; Panopoulos, D; Askounis, D. Th (2008) : Large Scale Program Risk Analysis Using
A Risk Breakdown Structure. European Journal of Economics, Finances, and Administratif
Science. 2008.