i putu agus eka pratama - paper jurnal stikom indonesia

12
MANAJEMEN RISIKO TEKNOLOGI INFORMASI DI BANK DANAMON TERKAIT TIGA MASALAH YANG DIHADAPI DI TAHUN 2011 (SOLUSI PERMASALAHAN DENGAN USULAN ISO 31000) I Putu Agus Eka Pratama 1 , Suhardi 2 Magister Teknologi Informasi Sekolah Teknik Elektro dan Informatika (STEI) Institut Teknologi Bandung, Jl Ganesha 10 Bandung Jawa Barat Indonesia. [email protected] 1 , [email protected] 2 Abstrak Bank Danamon adalah salah satu bank swasta terkemuka dan terbesar di Indonesia. Teknologi Informasi di Bank Danamon sangat penting untuk memberikan berbagai layanan kepada nasabah guna mencapai IT Strategic Objectif. Namun perlu diperhatikan adanya IT Risk dari implementasi IT di Bank Danamon. Berbeda dengan masalah, risiko belum terjadi, sehingga masih bisa dihindari. Untuk itu diperlukan adanya IT Risk Management. ISO 31000 merupakan standar internasional baru untuk manajemen resiko yang dirilis oleh ISO (International Organizations for Standardization) pada bulan November 2009. Paper ini membahas mengenai risiko dan masalah IT, profil Bank Danamon, tiga permasalahan yang dihadapi oleh Bank Danamon di tahun 2011, manajemen risiko yang digunakan oleh Bank Danamon (ORMF/Operation Risk Management Framework), ISO 31000, dan usulan solusi menggunakan ISO 31000 dengan metode RBS. Diharapkan usulan ISO 31000 menjadikan proses manajemen risiko dapat dilakukan dengan lebih baik di Bank Danamon sehingga IT Strategic Objective dapat tercapai. Kata Kunci : IT Risk Management, ORMF, ISO 31000, IT Strategic Objective 1. Pendahuluan 1.1. Risiko dan Masalah Risiko (risk) adalah efek dari ketidakpastian dari suatu tujuan. Efek merupakan deviasi dari suatu perkiraan. Ketidakpastian adalah keadaan akibat kurangnya informasi, pemahaman, dan pengetahuan terhadap suatu kejadian, sehingga menimbulkan adanya konsekuensi atau kemungkinan. Risiko kadang sering disamakan dengan konsekuensi, yang meliputi juga perubahan dalam lingkungan sekitarnya, dan berasosiasi dengan kecenderungan dari suatu kejadian (ISO Guide 73:2009). [1]. Terdapat perbedaan antara risiko dan masalah (problem). Risiko belum terjadi, sehingga masih bisa dihindari melalui manajemen risiko. Sedangkan masalah sudah terjadi dan harus dihadapi serta diberikan solusi. 1.2. Manajemen Risiko IT Manajemen risiko (risk management) adalah proses koordinasi berbagai aktivitas untuk secara langsung mengontrol sebuah organisasi dengan mengacu kepada terjadinya sebuah risiko ( ISO Guide 73:2009) [1]. Manajemen risiko bertujuan untuk memahami kemungkinan tujuan (objective) organisasi mengalami kegagalan, melindungi aset berharga organisasi, memahami peluang dan ancaman dengan lebih baik, dan memberikan jaminan terhadap pencapaian tujuan organisasi. IT berperan dalam pencapaian objective perusahaan. IT Value diperoleh jika sasaran perusahaan tercapai berkat implementasi IT. IT Risk muncul jika implementasinya tidak mampu membantu organisasi memperoleh tujuan bisnisnya, sehingga perlu dilakukan IT Risk Management. Risiko belum terjadi dan bisa dihindari dengan melakukan manajemen risiko yang baik. Di dalam IT Risk Management, terdapat delapan poin ancaman. Meliputi accidental disclosure (penyalahgunaan mandat/sengaja membeberkan informasi rahasia), act of nature (ancaman yang disebabkan oleh alam), alteration of software (sengaja menambahkan/memodifikasi/menghapus sistem, termasuk juga trojan, virus, dan malicious code), bandwith usage (penggunaan bandwith secara sepihak untuk tujuan tertentu di luar kepentingan organisasi), electrical interference/disruption (interferensi/fluktuasi), intentional alteration of data (sengaja memodifikasi/menambah/memasukkan

Upload: putu-shinoda

Post on 05-Dec-2014

2.751 views

Category:

Technology


0 download

DESCRIPTION

Tugas paper final manajemen risiko teknologi informasi studi kasus bank Danamon - submit jurnal STIKI.

TRANSCRIPT

Page 1: I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

MANAJEMEN RISIKO TEKNOLOGI INFORMASI DI BANK DANAMONTERKAIT TIGA MASALAH YANG DIHADAPI DI TAHUN 2011

(SOLUSI PERMASALAHAN DENGAN USULAN ISO 31000)

I Putu Agus Eka Pratama1, Suhardi2

Magister Teknologi Informasi Sekolah Teknik Elektro dan Informatika (STEI) Institut Teknologi Bandung, Jl Ganesha 10 Bandung Jawa Barat Indonesia.

[email protected], [email protected]

Abstrak Bank Danamon adalah salah satu bank swasta terkemuka dan terbesar di Indonesia. Teknologi Informasi di Bank Danamon sangat penting untuk memberikan berbagai layanan kepada nasabah guna mencapai IT Strategic Objectif. Namun perlu diperhatikan adanya IT Risk dari implementasi IT di Bank Danamon. Berbeda dengan masalah, risiko belum terjadi, sehingga masih bisa dihindari. Untuk itu diperlukan adanya IT Risk Management. ISO 31000 merupakan standar internasional baru untuk manajemen resiko yang dirilis oleh ISO (International Organizations for Standardization) pada bulan November 2009. Paper ini membahas mengenai risiko dan masalah IT, profil Bank Danamon, tiga permasalahan yang dihadapi oleh Bank Danamon di tahun 2011, manajemen risiko yang digunakan oleh Bank Danamon (ORMF/Operation Risk Management Framework), ISO 31000, dan usulan solusi menggunakan ISO 31000 dengan metode RBS. Diharapkan usulan ISO 31000 menjadikan proses manajemen risiko dapat dilakukan dengan lebih baik di Bank Danamon sehingga IT Strategic Objective dapat tercapai.

Kata Kunci : IT Risk Management, ORMF, ISO 31000, IT Strategic Objective

1. Pendahuluan1.1. Risiko dan Masalah Risiko (risk) adalah efek dari ketidakpastian dari suatu tujuan. Efek merupakan deviasi dari suatu perkiraan. Ketidakpastian adalah keadaan akibat kurangnya informasi, pemahaman, dan pengetahuan terhadap suatu kejadian, sehingga menimbulkan adanya konsekuensi atau kemungkinan. Risiko kadang sering disamakan dengan konsekuensi, yang meliputi juga perubahan dalam lingkungan sekitarnya, dan berasosiasi dengan kecenderungan dari suatu kejadian (ISO Guide 73:2009). [1]. Terdapat perbedaan antara risiko dan masalah (problem). Risiko belum terjadi, sehingga masih bisa dihindari melalui manajemen risiko. Sedangkan masalah sudah terjadi dan harus dihadapi serta diberikan solusi.

1.2. Manajemen Risiko IT Manajemen risiko (risk management) adalah proses koordinasi berbagai aktivitas untuk secara langsung mengontrol sebuah organisasi dengan mengacu kepada terjadinya sebuah risiko (ISO Guide 73:2009) [1]. Manajemen risiko bertujuan untuk memahami kemungkinan tujuan (objective) organisasi mengalami kegagalan, melindungi aset berharga organisasi, memahami peluang dan ancaman dengan lebih baik, dan memberikan jaminan terhadap pencapaian tujuan organisasi. IT berperan dalam pencapaian objective perusahaan. IT Value diperoleh jika sasaran perusahaan tercapai berkat implementasi IT. IT Risk muncul jika implementasinya tidak mampu membantu organisasi memperoleh tujuan bisnisnya, sehingga perlu dilakukan IT Risk Management. Risiko belum terjadi dan bisa dihindari dengan melakukan manajemen risiko yang baik.

Di dalam IT Risk Management, terdapat delapan poin ancaman. Meliputi accidental disclosure (penyalahgunaan mandat/sengaja membeberkan informasi rahasia), act of nature (ancaman yang disebabkan oleh alam), alteration of software (sengaja menambahkan/memodifikasi/menghapus sistem, termasuk juga trojan, virus, dan malicious code), bandwith usage (penggunaan bandwith secara sepihak untuk tujuan tertentu di luar kepentingan organisasi), electrical interference/disruption (interferensi/fluktuasi), intentional alteration of data (sengaja memodifikasi/menambah/memasukkan

Page 2: I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

data yang menyebabkan kerusakan), system configuration error/accidental (kesalahan tidak sengaja saat konfigurasi sistem), dan telecommunication malfunction/interruption (kegagalan sistem pada media komunikasi). [2]

1.3. Penilaian Terhadap Risiko IT Untuk melakukan penilaian terhadap risiko IT (IT Risk Assesment), perlu diperhatikan 9 langkah berikut [3] :1. Memiliki knowledge terhadap sistem IT yang meliputi hardware, software, interface, data, informasi, pengguna, arsitektur sistem, keamanan sistem, dan topologi jaringan. 2. Melakukan identifikasi terhadap segala ancaman (threat) yang dapat mengganggu stabilitas dan fungisonalitas sistem. Ancaman dapat berasal dari manusia, alam, dan lingkungan sekitar.3. Melakukan identifikasi terhadap kelemahan (vulnerability) dan kekurangan pada sistem. Meliputi prosedur keamanan sistem, desain sistem, implementasi sistem, dan kontrol internal sistem.4. Melakukan analisa terhadap berbagai kendali maupun perencanaan pada perusahaan untuk meminimalisir atau mencegah adanya ancaman terhadap kelemahan sistem. 5. Menentukan adanya kecenderungan dari suatu kejadian (likelihood) untuk menilai kemungkinan adanya ancaman terhadap sistem.6. Melakukan analisa terhadap dampak – dampak buruk akibat adanya ancaman (low, medium, high), dimana pengukuran dampak dapat dilakukan secara kualitatif maupun kuantitatif. 7. Melakukan penentuan risiko dari suatu sistem IT yang merupakan ancaman.8. Mengajukan berbagai rekomendasi untuk mengurangi level risiko sistem IT.9. Melakukan dokumentasi hasil.

2. Bank Danamon2.1. Profil Bank Danamon

Bank Danamon (lengkapnya PT Bank Danamon, Tbk) berdiri tahun 1956 dengan nama Bank Kopra Indonesia. Tahun 1976 berganti nama menjadi PT Bank Danamon Indonesia. Tahun 1988 Bank Danamon menjadi bank devisa dan tahun 1989 menjadi perusahaan publik di Bursa Efek Jakarta (BEJ).

Tahun 1998, Bank Danamon dikelola oleh BPPN (Badan Penyehatan Perbankan Nasional) sebagai BTO (Bank Take Over). Tahun 1999, BPPN merekapitulasi 32,2 Trilyun berupa obligasi. Tahun 1999, sebagai bagian dari restrukturisasi, PT Bank PDFCI (BTO) merge dengan Bank Danamon. Tahun 2000, Bank Danamon merge dengan 8 BTO lainnya (Bank Tiara, Bank Duta, Bank Rama, Bank Tamara, Bank Nusa Nasional, Bank Pos Nusantara, Jaya Bank Internasional, dan Bank Risjad Salim Internasional) serta menerima program rekapitulasi kedua dari pemerintah sebesar 28.9 Trilyun dan menjadi salah satu bank swasta terbesar di Indonesia. Tahun 2003, Asia Financial (Indonesia) Pte Ltd mengakuisisi Bank Danamon, melalui konsorsium Fullerton Financial Holding (anak perusahaan Temasek Holding) dan Deutsche Bank AG (pemegang saham pengendali).

Kini Bank Danamon menjadi salah satu institusi finansial terbesar di Indonesia. Bulan Desember 2009, Bank Danamon menjadi bank terbesar keenam di Indonesia (dari jumlah aset), keempat terbesar (dari kapitalisasi pasar), dan jaringan cabang kedua terbesar (1900 kantor cabang dan pusat pelayanan).

2.2. Visi dan Misi Bank DanamonVisi dan misi bank Danamon tercantum di dalam annually report [5]. Visi Bank Danamon

adalah peduli dan membantu jutaan orang mencapai kesejahteraan. Misi Bank Danamon ada 3 yaitu :1. Menjadi lembaga keuangan terkemuka di Indonesia yang keberadaannya diperhitungkan.2. Suatu organisasi yang terpusat pada nasabah yang melayani semua segmen dengan menawarkan

nilai yang unik untuk masing – masing segmen berdasarkan keunggulan penjualan dan pelayanan serta didukung oleh teknologi canggih.

3. Menjadi perusahaan pilihan untuk berkarya dan dihormati oleh nasabah, karyawan, pemegang saham, dan komunitas tempat perusahaan berada.

Dari visi dan misi di atas, dapat diketahui bahwa Bank Danamon adalah bank yang berorientasi kepada nasabah, dalam hal ini kepercayaan nasabah. Langkah yang dilakukan dengan memberikan berbagai pelayanan yang memuaskan nasabah, termasuk keamanan dan kenyamanan bertransaksi, sehingga makin meningkatkan jumlah transaksi.

Page 3: I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

2.3. IT Strategic Objective Bank DanamonTujuan strategis IT (IT Strategic Objectif) Bank Danamon terdiri dari tiga poin berikut :

1. Melayani semua segment dengan keunggulan penjualan dan pelayanan. Metriknya berupa DSP (Danamon Simpan Pinjam) untuk UKM. Bank Danamon berusaha mencapai target penjualan dan pelayanan kepada nasabah di sektor modal usaha dan transaksi, untuk semua segmen nasabah (perorangan, komersil, UKM).

2. Menjadi lembaga keuangan terkemuka di Indonesia. Metriknya berupa DSP untuk UKM, Danamon Consumer Banking, perluasan jaringan ATM dan cabang dimulai dari tahun 2007. Dengan pengadaan berbagai layanan berbasis IT dan memenuhi setiap keinginan nasabahnya, Bank Danamon ingin menjadi bank terkemuka di Indonesia.

3. Pengembangan layanan elektronik perbankan kelas dunia. Metriknya berupa perluasan jaringan ATM dan cabang dimulai dari tahun 2007. Layanan perbankan kelas dunia dan perluasan cabang dan jaringan menjadi strategi Bank Danamon dalam rangka memperoleh kepercayaan nasabah dari sisi keamanan dan kenyamanan layanan yang diberikan.

2.4. Operational Risk Management Framework (ORMF) di Bank DanamonSebagaimana yang disebutkan di annually report [5], Bank Danamon menggunakan

pendekatan strategi mitigasi yang tepat untuk memperoleh keseimbangan antara pemaparan risiko operasional, efektivitas, mekanisme kontrol, dan risk appetite (tingkat risiko) oleh bank.

Bank Danamon menggunakan Operational Risk Management Framework (ORMF) sebagai framework manajemen risiko. ORMF adalah framework manajemen resiko operasional yang umumnya digunakan di perbankan. ORMF menjelaskan prinsip, prosedur, dan responsibilitas untuk penerapan manajemen risiko. Implementasi ORMF berupa siklus terintegrasi untuk pengendalian risiko, identifikasi, pengukuran, penilaian, mitigasi, monitoring, dan report. ORMF didukung oleh ORMS (Operational Risk Management System), sebuah sistem manajemen risiko operasional online dan real time web based [5]. Pengelolaan risiko operasional di Bank Danamon ini telah sejalan dengan ketentuan dari Bank Indonesia [6][7] dan Komite Basel terkait manajemen risiko untuk pengawasan perbankan [5].

3. Permasalahan di Bank Danamon 2011 3.1. Proses Bisnis Bank Danamon - Layanan - Nasabah

Terkait permasalahan yang terjadi di Bank Danamon yang dibahas di paper ini, perlu dilakukan analisis terhadap proses bisnis dari Bank Danamon, nasabah, dan layanan yang diberikan.

Gambar 1. Proses Bisnis di Bank Danamon

Terlihat bahwa untuk memperoleh kepuasan nasabah (customer satisfaction), terdapat 3 faktor yang harus diperhatikan oleh Bank Danamon, yaitu kualitas layanan (service quality), kualitas produk (product quality), dan nilai lebih nasabah (customer value). Kepuasan ini akan mempengaruhi loyalitas

Page 4: I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

nasabah (customer loyality) terhadap Bank Danamon. Customer value berkaitan langsung dengan customer loyality.

Analisis terhadap proses bisnis Bank Danamon akan membantu di dalam pembahasan mengenai permasalahan yang dialami oleh Bank Danamon di tahun 2011, termasuk juga di sisi rekomendasi/desain dan kesimpulan.

3.2. Apa Permasalahan Yang Terjadi di Bank Danamon Tahun 2011?Di tahun 2011 ini, berdasarkan sumber di internet, terdapat tiga kasus yang terjadi di Bank

Danamon di tiga daerah berbeda di Indonesia dan menjadi permasalahan bagi Bank Danamon. Pertama, kasus penggelapan di kantor Cabang Pembantu Menara Danamon oleh orang dalam

Danamon sendiri, yaitu seorang teller Danamon yang telah lama bekerja dan mengetahui dengan sangat baik seluk beluk di dalam Bank Danamon. [9][10][11][12][13].

Kedua, kasus perampokan di Bank Danamon Simpan Pinjam Lingkar Utara Condong Catur Sleman Yogyakarta oleh kawanan perampok bank bersenjata api [14][15][16][17][18].

Ketiga, kasus perampokan di Bank Danamon Jalan Latumenten, Jakarta Barat, oleh kawanan perampok bank [19][20][21][22][23].

3.3. Mengapa Permasalahan Tersebut Bisa Terjadi?Ketiga permasalahan di atas terjadi sebagai akibat adanya beberapa kesalahan, yaitu kesalahan

sistem, user, dan kebijakan. Permasalahan pertama disebabkan oleh accidental disclosure. Pegawai Bank Danamon yang menjadi teller menyalah gunakan mandat yang diberikan terkait sistem di dalam Bank Danamon untuk kepentingan pribadi. Modus pelaku yaitu menarik uang kas secara berulang – ulang dari kantor Cabang Pembantu Menara Danamon. Pelaku memalsukan buku khazanah (buku catatan keuangan setiap kantor cabang), sehingga uang dalam catatan buku tersebut hilang. Hal ini dilakukan selama dua tahun sampai kemudian kepala cabang curiga terhadap laporan pengeluaran keuangan kantor yang membesar. Meski uang yang dibobol adalah uang dalam catatan pembukuan (khazanah) dan bukan uang milik nasabah, namun dikhawatirkan jika kejadian ini tidak terbongkar dan tidak ditangani akan merambat ke uang milik nasabah.

Permasalahan kedua dan ketiga disebabkan oleh kesalahan user dan kebijakan manajemen Sumber Daya Manusia, berupa pembagian tugas, tanggung jawab, dan penambahan sistem keamanan. Keduanya sama – sama dilakukan oleh kawanan perampok. Belum diperoleh fakta resmi apakah kawanan perampok tersebut adalah orang dalam Bank Danamon sendiri atau bekerja sama dengan orang dalam Bank Danamon. Namun terlihat pencegahan tidak ditangani dengan baik. Beberapa fakta yang mendukung pernyataan penulis ini antara lain :

1. Tidak adanya satpam saat kejadian. Satpam sedang di luar menemani pegawai lainnya yang sedang menagih hutang.[17]

2. Tidak adanya keterangan total jumlah satpam dan pembagian tugas.[17]3. Tidak adanya upaya menghubungi pihak keamanan/polisi saat kejadian berlangsung. Misal

dengan menekan secara rahasia tombol alert emergency ke kantor polisi terdekat tanpa diketahui oleh pihak perampok. Banyak bank besar di dunia yang menerapkannya. Ironisnya lagi, lokasi Bank Danamon di Jogja berdekatan dengan dua buah kantor polisi.[14]

4. Tidak adanya keterangan catatan berupa rekaman kejadian (misal CCTV) untuk mempermudah pengusutan oleh pihak berwajib.[21]

3.4. Mengapa Dapat Mempengaruhi Objective Bank Danamon?Adanya ketiga permasalahan di atas dapat memberikan pengaruh terhadap objective Bank

Danamon. Bank Danamon adalah bank yang berorientasi kepada nasabah. Segala layanan yang diberikan bertujuan untuk meningkatkan keamanan dan kenyamanan nasabah. Permasalahan ini menurunkan kepercayaan nasabah/masyarakat kepada layanan di Bank Danamon. Mereka tidak lagi mempercayai keamanan uang yang mereka simpan di Bank Danamon. Akibatnya nasabah bisa berpindah ke bank lain atau enggan menjadi nasabah Danamon. Hal ini akan menurunkan jumlah nasabah dan jumlah transaksi di Bank Danamon, sehingga mengurangi pemasukan Bank Danamon. IT Strategic Objective Bank Danamon akan terganggu.

3.5. Usulan Penyelesaian Terhadap Permasalahan Yang TerjadiTerkait ketiga permasalahan yang dialami oleh Bank Danamon, mengapa permasalahan

tersebut bisa terjadi, dan mengapa bisa memberikan pengaruh terhadap tujuan (objective) dari Bank Danamon, diberikan usulan penyelesaian sebagai berikut :

Page 5: I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

1. Kasus pertama : perlu adanya pembenahan internal Bank Danamon. Meliputi pembenahan kebijakan hak akses dan wewenang, keuangan, pembukuan, disiplin, etos kerja, dan sangsi yang berlaku terhadap semua pegawai Bank Danamon. Perlu dibentuk unit khusus di Bank Danamon untuk mempelajari kebijakan yang dikeluarkan, meneliti, dan memberikan solusi terhadap bugs pada sistem. Keamanan sistem bergantung dari sisi software, hardware, user, dan kebijakan.

2. Kasus kedua dan ketiga : pembenahan di sisi pengelolaan Sumber Daya Manusia (SDM) dan pemanfaatan IT. Di sisi SDM, penambahan satpam disertai pembagian shift jaga dan pembagian tugas. Di sisi IT, perlu ditambahkan kamera CCTV 24 jam untuk memudahkan penyidikan dari bukti video rekaman, penambahan tombol alert emergency yang terhubung langsung ke kantor polisi terdekat dengan penempatan tersembunyi (tidak mencolok) dan tidak bersuara saat diaktifkan.

Solusi umum adalah usulan untuk menggunakan framework manajemen risiko lainnya yang lebih baik daripada existing framework yang telah ada di Bank Danamon yaitu ORMF.

3.6. Kesimpulan SementaraBeberapa kesimpulan sementara dari uraian ketiga permasalahan di Bank Danamon tahun

2011 dengan menggunakan framework ORMF yaitu :1. Risiko muncul sebagai sebuah faktor yang mempengaruhi tingkat kepuasan dan loyalitas

nasabah.2. Sesuai proses bisnis Bank Danamon, kualitas layanan dan produk serta customer value sama –

sama mempengaruhi kepuasan nasabah. 3. Permasalahan yang terjadi di Bank Danamon 2011 mempengaruhi objective Bank Danamon.4. Objective dan IT di Bank Danamon menciptakan nilai untuk pertumbuhan bisnis dan loyalitas

nasabah, melalui keunggulan layanan yang diberikan. 5. Framework ORMF untuk manajemen risiko di Bank Danamon telah sesuai dengan ketentuan

dari Bank Indonesia dan Bassel, namun belum optimal menangani risiko. Terbukti dengan adanya tiga permasalahan ini. Perlu dilakukan peninjauan ulang atau usulan framework manajemen risiko lainnya. Penulis mengusulkan ISO 31000.

4. Usulan Penerapan ISO 31000 4.1. ISO 31000

ISO (International Organizations of Standartization) pada bulan November 2009 mengeluarkan ISO 31000:2009 Risk Management Principle and Guideline sebagai standar baru untuk membantu manajemen risiko perusahaan. ISO 31000 juga mencakup keamanan informasi, kualitas, lingkungan, kesehatan, dan keamanan.

ISO 31000 menjadi standar internasional baru untuk manajemen risiko sesuai dengan standar Australia yang dipublikasikan tahun 1995, yaitu AS/NZS 4360:2004. ISO 31000 menyediakan framework umum untuk menetapkan konteks, analisis, evaluasi, treating, monitoring, dan risiko komunikasi. Dokumen pertama yang dipublikasikan pada ISO 31000 meliputi :

1. ISO Guide 73:2009 Risk Management – Vocabulary. Menyediakan definisi dari berbagai istilah umum terkait manajemen risiko untuk mendorong pemahaman yang konsisten, pendekatan yang logis, deskripsi aktivitas terkait manajemen risiko, sesuai dengan standar manajemen risiko umumnya.

2. ISO/EIC 31010 Risk Management – Risk Assesment Techniques. Menyediakan petunjuk bagi ISO 31000 untuk seleksi dan menerapkan teknik sistematik risk assessment.Anatomi ISO 31000 terdiri atas tiga buah building block yang mencakup prinsip umum,

framework, dan proses manajemen risiko. Bertujuan agar implementasi ISO 31000 makin efektif. Meliputi :

1. The First Building Block of ISO 31000. Risk management harus memiliki prinsip mampu menciptakan nilai, terintegrasi dengan bagian dari proses organisasi, bagian dari pembuat keputusan, mengarahkan ketidakpastian secara eksplisit, sistematis, terstruktur, waktu dapat ditentukan, transparan, dinamis, iteratif dan responsif terhadap perubahan, serta memfasilitasi perbaikan organisasi.

2. The Second Building Block of ISO 31000.

Page 6: I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

Memiliki ketentuan framework risiko berdasarkan komitmen yang dicantumkan. Ada empat aksi berulang yang terjadi saat komitmen ditentukan, yaitu desain framework, implementasi manajemen risiko, pengawasan dan review terhadap framework, serta melanjutkan perbaikan dari framework.

3. The Third Building Block of ISO 31000. Memastikan komunikasi dan pengawasan dilakukan sesuai dengan proses yang ditetapkan dalam konteks, risk assessment, hingga risk treatment. Diadopsi dari AS/NZS 4360:2004. ISO 31000 menawarkan sejumlah kelebihan, antara lain : memiliki terminologi konsisten

sesuai ISO Guide 73:2009 Risk Management Vocabulary, menyediakan pemilihan teknik risk assessment sesuai ISO/EIC 31010, lebih terstruktur dan sistematis sehingga mudah diterapkan, memiliki kejelasan tugas dan tanggung jawab risk owner khususnya aspek Risk Governance, serta mempermudah sistem komunikasi dan pelaporan manajemen risiko.

ISO 31000 memiliki kompatibilitas dengan framework COSO yang umum digunakan di perbankan, dengan beberapa kelebihan. Antara lain :

1. Lebih bersifat praktikal dan lebih sedikit teoritikal dibandingkan COSO, lebih detail, dan eksplisit.

2. Informasi dapat diadopsi untuk mengembangkan petunjuk dengan menilai metodologi manajemen risiko yang ada.

3. Perencanaan tertulis sehingga dokumentasi dapat diakses oleh CEO, CIO, CRE, dewan komisi, komite audit, komite pengawasan risiko, praktisi risiko, controller, untuk memudahkan memahami pengelolaan risiko dengan disertai kesempatan bereksplorasi.

ISO 31000 dan COSO memiliki perbedaan pada fokus penilaian dan pengelolaan risiko. ISO 31000 fokus pada konsekuensi yang menyediakan kerangka kerja untuk membantu mempertimbangkan konsekuensi flow on pada suatu kejadian. Ditandai dengan definisi risiko sebagai efek dari sebuah ketidakpastian pada suatu tujuan. COSO lebih fokus pada suatu kejadian dibandingkan konsekuensi dari suatu kejadian. Ditandai dengan definisi risiko sebagai kemungkinan suatu peristiwa akan terjadi dan akan mempengaruhi tujuan. ISO 31000 bisa digunakan bersama dengan ERM (Enterprise Risk Management) yang telah ada, untuk membangun IT Risk Management perusahaan.

4.2. Identifikasi Risiko Menggunakan Metode RBSDalam ISO 31000, untuk proses identifikasi risiko, terdapat empat metode umum yang

digunakan. Yaitu : pengujian dokumen (document review), analisis pemangku kepentingan (stakeholder analysis), RBS (Risk Breakdown Structure), dan pemetaan proses bisnis (business process mapping) menggunaan FMEA (Failure Mode and Effect Analysis). Pada paper ini hanya dibahas mengenai RBS.

RBS menyusun risiko – risiko yang teridentifikasi dalam kelompok/kategori yang yang sesuai dengan susunan hirarki organisasi, proyek, dan proses, sehingga dapat diketahui siapa pemangku risiko terkait. RBS digunakan dalam upaya melakukan kategorisasi risiko. Sasaran penerapan RBS adalah kejelasan pemangku risiko dan peningkatan pemahaman risiko organisasi atau proyek dalam konteks kerangka kerja logis dan sistematis.

4.3. Analisa Permasalahan Bank Danamon Dengan Teknik RBSKetiga permasalahan di Bank Danamon terjadi akibat faktor internal yang berhubungan

dengan unit – unit internal Bank Danamon, sebagaimana ditampilkan di struktur organisasi Bank Danamon (bawah). Existing framework yang digunakan (ORMF) belum mampu menangani permasalahan dan manajemen risiko yang ada. Penulis menilai ISO 31000 dengan menggunakan metode RBS (Risk Breakdown Structure) lebih tepat diusulkan untuk identifikasi dan manajemen risiko.Unit Teknologi Informasi di Bank Danamon tampak pada struktur organisasi berikut ini :

Page 7: I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

Gambar 2. Struktur organisasi di Bank Danamon (IT dan Manajemen Risiko)

4.4. Desain Solusi Permasalahan Menggunakan ISO 31000Desain solusi terhadap permasalahan di Bank Danamon menggunakan metode RBS

berbasiskan usulan ISO 31000 berupa dua langkah berikut : 1. Menentukan kriteria risiko menggunakan empat buah tabel kriteria risiko sehingga risiko

dapat diprioritaskan. Meliputi tabel kriteria dampak (consequence), tabel kriteria kemungkinan (likelihood), tabel kriteria pemeringkat risiko (risk level), dan tabel kriteria selera risiko (risk appetite).

2. Menentukan strategi perlakuan risiko. Opsi pilihannya yaitu apakah menghindari risiko (risk avoidance), mengurangi/mitigasi risiko (risk reduction), berbagi risiko kepada pihak ketiga (risk sharing), atau menerima risiko (risk acceptance).

4.5. Langkah Penerapan ISO 31000 di Bank Danamon Dari desain solusi permasalahan dengan ISO 31000 yang dijabarkan di atas, dilakukan

langkah – langkah penerapan sesuai keempat tabel di bawah. Warna merah cerah menandakan nilai untuk Bank Danamon dalam proses manajemen risiko.

1. Tabel kriteria dampak (consequence).

No Kriteria Kualitatif Kategori Investasi Kategori Revenue Penilaian Dampak

% dari investasi % dari revenue Kriteria Nilai Rating

1 Nilai kerugian tidak berarti.

5% 5% RS 1

2 Nilai kerugian kecil. 5 - < 10% 5 - < 10% R 2

3 Nilai kerugian sedang.

10 - < 20% 10 - < 20% S 3

4 Nilai kerugian besar. 20 - < 40% 20 - < 40% B 4

5 Nilai kerugian sangat besar.

> 40% > 40% SB 5

Keterangan : RS = Ringan Sekali, R = Ringan, S = Sedang, B = Berat, SB = Sangat Berat.

Sesuai data tabel kriteria dampak di atas, dari perbandingan nilai investasi Bank Danamon, nilai revenue, dan range persentase sesuai tabel, tampak bahwa ketiga permasalahan pada Bank Danamon masuk ke kategori nilai kerugian besar untuk kategori kualitatif dengan penilaian dampak kriteria Berat (B) pada nilai rating 4.

Tabel kriteria kemungkinan (likelihood).

Page 8: I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

No Kriteria kuantitatif Kriteria Kualitatif Rating

Sebutan Kode Nilai

1 Kemungkinan terjadi < 10%

Cenderung tidak mungkin terjadi, Sangat Kecil.

SK 1

2 10% < kemungkinan terjadi < 40%

Kemungkinan kecil terjadi. Kecil. K 2

3 40% < kemungkinan terjadi < 60%

Sama kemungkinannya terjadi dan tidak terjadi.

Sedang. S 3

4 60% < kemungkinan terjadi < 80%

Kemungkinan besar terjadi. Besar. B 4

5 80% < kemungkinan terjadi < 95%

Sangat mungkin pasti terjadi / sering.

Sangat Besar.

SB 5

Dari data di tabel di atas, kemungkinan untuk terjadinya kembali ketiga peristiwa tersebut di Bank Danamon berada di rating 4, dengan kriteria kualitatif kemungkinan besar terjadi (B). Apabila faktor penyebab terjadinya risiko tidak diminimalisir, akan berpotensi menjadi masalah di kemudian hari.

Tabel kriteria pemeringkat risiko (risk level)

Rating Probabilitis Rating Dampak

Ringan Sekali (RS)

Ringan (R) Sedang (S) Berat (B) Ekstrem (E)

Sangat Besar (SB) M M T T T

Besar (B) R M M T (D) T

Sedang (S) R M M T T

Kecil (K) R R M M T

Sangat Kecil (SK) R R R R M

Keterangan : T = Tinggi (merah), M = Medium (kuning), R = Rendah (hijau), T(D) = Penilaian terhadap

Danamon tinggi.Berdasarkan acuan tabel di atas, ketiga permasalahan di Bank Danamon dikategorikan T (Tinggi) pada area merah. Pengkategorian ini didasarkan penilaian rating probabilitas Besar (B) dan rating dampak Berat (B) yang diakibatkan kerugian finansial dan dampak terhadap penilaian masyarakat/nasabah terhadap citra layanan dan keamanan di Bank Danamon.

Tabel kriteria selera risiko (risk appetite)

Dampak Kegagalan

Toleransi Terhadap Kegagalan

Jenis Kegiatan Tingkat Otorisasi

Selera Risiko

Rendah Tinggi Penunjang Manager dan Supervisor

Besar

Menengah rendah Sedang Operasional General manager Sedang

Menengah tinggi Rendah Keuangan dan kepatuhan

Direksi Rendah

Tinggi Rendah sekali Strategis dan kritis

Direksi dan dewan direksi

Kecil sekali

Page 9: I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

Berdasarkan tabel di atas, terhadap ketiga permasalahan di Bank Danamon tersebut, dampak kegagalan dinilai tinggi dengan toleransi terhadap kegagalan rendah sekali. Hal ini ditunjukkan dengan ketegasan pihak Bank Danamon untuk menyelesaikan dengan serius secara hukum dan perombakan internal. Menilik dari jenis kegiatan, permasalahan yang terjadi sifatnya strategis dan kritis. Permasalahan pertama diakibatkan pelaku yang posisinya strategis sebagai teller yang mengurusi pembukuan keuangan khazanah. Permasalahan kedua dan ketiga disebabkan oleh kondisi strategis dimana keamanan sangat kurang dan tidak diantisipasi oleh pihak Bank Danamon. Untuk tingkat otorisasi, direksi dan dewan direksi turut serta menangani masalah dari sisi internal.

2. Strategi perlakuan risiko. Tahap kedua setelah menggunakan keempat tabel kriteria risiko adalah menentukan strategi perlakuan risiko. Terdapat empat jenis strategi perlakukan risiko, yaitu risk avoidance (menghindari risiko), risk reduction (mengurangi/mitigasi risiko berupa pengurangan likelihood dan pengurangan dampak), risk sharing (berbagi risiko), dan risk acceptance (menerima risiko). Dari penilaian menggunakan keempat tabel di atas, Bank Danamon memilih strategi perlakukan risiko berupa mengurangi/mitigasi risiko (risk reduction). Antara lain memecat pelaku pada permasalahan pertama (teller) dan menyerahkan ke pihak berwajib, mengadakan perubahan kebijakan internal, dan membentuk unit khusus. Pada kasus kedua dan ketiga, Bank Danamon bekerja sama dengan polisi untuk pengusutan kasus ini.

4.6. Saran Terkait Usulan ISO 31000 dan Manajemen Risiko Berdasarkan hasil penilaian dari empat tabel kriteria di atas dan pemilihan strategi perlakuan

risiko berupa mitigasi (pengurangan risiko), terdapat beberapa saran dan solusi berbasis usulan ISO 31000 untuk Bank Danamon terkait ketiga permasalahan yang dihadapi tersebut. Yaitu :

1. Review kebijakan oleh manajemen puncak dan atasan di Bank Danamon agar saat diterapkan dapat berjalan baik dan mampu mencegah terulangnya permasalahan serupa dan risiko yang mungkin terjadi. Dalam hal ini, pembentukan unit khusus internal dapat membantu pihak Danamon.

2. Peningkatan pelatihan dan keterampilan kepada para pegawai Bank Danamon dalam hal pemanfaatan IT, memberikan pelayanan kepada konsumen, sinkronisasi informasi antar unit kerja untuk memudahkan pelayanan, pemrosesan keuangan, termasuk juga kejujuran, semangat kerja, dan dedikasi tinggi terhadap perusahaan (Bank Danamon). SDM yang terampil dan terlatih adalah modal penting untuk pencapaian objective Bank Danamon. uk mengembangkan petunjuk dengan menilai metodologi manajemen risiko yang ada.

3. Pemisahan tanggung jawab dan tugas, termasuk pembagian tugas. Ketiga permasalahan yang terjadi merupakan indikasi tidak bagusnya manajemen pemisahan tanggung jawab dan tugas pada setiap level pegawai dari hirarki atas hingga bawah.

4. Pemantauan (monitoring) dan penilaian (review) kerja dan proses yang terjadi di seluruh kantor cabang Bank Danamon, sehingga menjamin proses berjalan baik dan pegawai menjalankan tugasnya dengan baik berdasarkan aturan dan etos kerja. Terdapat tiga tingkatan yang harus dilakukan dalam hal monitoring dan review, sebagaimana bagan di bawah ini.

Gambar : Proses monitoring dan review

Keterangan :

Page 10: I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

A = Audit oleh pihak ketiga. Verifikasi oleh internal dan eksternal auditor bertujuan untuk melihat kepatuhan terhadap standar dan peraturan yang berlaku. B = Pemeriksaan oleh atasan. Dilaksanakan secara berkala dan didorong oleh profil risiko serta lingkup tanggung jawab manajer bersangkutan. C = pemeriksaan berkala dan pemantauan berkelanjutan. Dilaksanakan secara harian dan menjadi bagian dari pekerjaan. Tata kelola manajemen risiko Bank Danamon melibatkan hirarki dewan komisaris, dewan direksi, hingga ke level bawah (jajaran manajemen, karyawan) dengan empat buah komite penting. Ditunjukkan pada gambar di bawah ini.

Gambar : Tata kelola manajemen risiko Bank Danamon

4.7. Kesimpulan FinalTahap terakhir yaitu kesimpulan final terkait usulan pemanfaatan ISO 31000 untuk framework

manajemen risiko menggantikan existing framework ORMF di Bank Danamon. Beberapa poin penting yang penulis tarik sebagai kesimpulan paper ini yaitu :

1. Bank Danamon adalah bank berbasis nasabah dan risiko mempengaruhi tingkat kepuasan dan loyalitas nasabah, sehingga Bank Danamon perlu melakukan manajemen risiko yang baik, selain juga peningkatan kualitas layanan, kualitas produk, dan customer value.

2. IT Strategic Objective Bank Danamon menciptakan nilai untuk pertumbuhan bisnis dan loyalitas nasabah melalui keunggulan layanan yang diberikan, namun ketiga permasalahan yang terjadi mempengaruhi objective Bank Danamon.

3. Permasalahan yang terjadi menunjukkan ORMF belum maksimal dalam proses manajemen risiko, sedangkan usulan ISO 31000 memberikan proses manajemen risiko yang lebih baik dan mudah diterapkan di sektor perbankan dan non perbankan.

5. Daftar Pustaka[1]ISO Guide (2009) : ISO Guide 73 Risk Management Vocabulary. ISO Guide. 2009. [2]Elky, Steve. (2006) : An Introduction to Information Risk Management. SANS Institute InfoSec

Reading Room. 2006.[3]Mahreza Maulana, Muhammad; Harso Supangkat, Suhono (2006) : Pemodelan Framework

Manajemen Risiko Teknologi Informasi Untuk Perusahaan di Negara Berkembang. Multimedia and Cyberspace Engineering Research Group (MUCER), KK Teknologi Informasi, Sekolah Teknik Elektro dan Informatika Institut Teknologi Bandung. 2006.

[4]Commonwealth of Virginia. (2007) : Information Technology Resource Management Information Technology Risk Management Guideline. Virginia Information Technology Agency (VITA). 2007.

[5]PT Bank Danamon, Tbk (2010) : Annual Report Bank Danamon 2010. PT Bank Danamon, Tbk. 2010.

[6]Bank Indonesia (2010) : Surat Edaran (SE) no 12 35 DPNP. (online)http://m.bi.go.id/NR/rdonlyres/2DEBF163-C35D-4B88-AE97-27D6D9DDF828/21652/se_123511.pdf

Page 11: I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

Diakses 18 September 2011.[7]Bank Indonesia (2009) : Peraturan Bank Indonesia No 11/25/PBI/2009 – Perubahan Atas PBI No

5/8/PBI/2003 Tentang Penerapan Manajemen Risiko Bagi Bank Umum. (online) http://www.bi.go.id/web/id/Peraturan/Perbankan/pbi_112509.htmDiakses 18 September 2011.[8]Metric Stream (2011) : Operational Risk Management (ORM) Framework in Bank and Financial

Institutions. (online)http://www.metricstream.com/solution_briefs/ORM.htm Diakses 18 September 2011.[9]Rima News (2011) : Polisi dan BI Ungkap Modus Pembobolan Bank Danamon. (online)http://rimanews.com/read/20110510/27258/polisi-dan-bi-ungkap-modus-pembobolan-bank-danamon Diakses 18 September 2011.[10]Kabar Saham (2011) : Danamon Bukan Dari Rekening Nasabah. (online)http://www.kabarsaham.com/2011/danamon-bukan-dari-rekening-nasabah.htmlDiakses 18 September 2011.[11]Kompas (2011) : Danamon Bukan Dari Rekening Nasabah. (online) http://bisniskeuangan.kompas.com/read/2011/05/05/15250644/Danamon.Bukan.dari.Rekening.Nasaba

hDiakses 18 September 2011.[12]Lembaga Pengembangan Perbankan Indonesia (LPPI) (2011) : Ini Modus Pembobolan Bank

Danamon. (online)http://www.lppi.or.id/index.php/module/Forum/showtopic/21Diakses 18 September 2011.[13]Berita Mandiri (2011) : Beberapa Skandal Kasus Pembobolan Bank. (online)http://www.beritamandiri.com/2011/05/beberapa-skandal-kasus-pembobolan-bank.htmlDiakses 18 September 2011.[14]Kompas (2011) : Tak Ada Satpam Saat Bank Dirampok. (online)http://megapolitan.kompas.com/read/2011/06/09/09151164/Tak.Ada.Satpam.Saat.Bank.Dirampok Diakses 18 September 2011.[15]Suara Karya Online (2011) : 4 Penjahat Bersenpi Rampok Bank Danamon. (online)http://www.suarakarya-online.com/news.html?id=280361 Diakses 18 September 2011.[16] Kompas (2011) : Penjagaan Bank Bank di Yogyakarta Normal. (online)http://regional.kompasiana.com/2011/06/10/penjagaan-bank-bank-di-yogyakarta-normal/ Diakses 18 September 2011.[17] Republika (2011) : Satpam Ikut Nagih ke Nasabah, Bank Danamon Dirampok. (online)http://www.republika.co.id/berita/regional/nusantara/11/06/08/lmgtf4-satpam-ikut-nagih-ke-nasabah-

bank-danamon-dirampok Diakses 18 September 2011.[18] Tribun Jambi (2011) : Bank Danamon Dirampok Siang Bolong. (online)http://jambi.tribunnews.com/2011/06/08/bank-danamon-dirampok-siang-bolong Diakses 18 September 2011.[19]Detik News (2011) : Perampok Bank Danamon Gondol Rp 40 Juta. (online)http://us.detiknews.com/read/2011/06/30/140111/1671757/10/perampok-bank-danamon-gondol-rp-40-

juta Diakses 18 September 2011. [20]Detik News (2011) : Perampok Bersenjata Api Kian Merajalela di Jakarta Barat. (online)http://www.detiknews.com/read/2011/07/29/210646/1692657/10/perampok-bersenjata-api-kian-

merajalela-di-jakarta-baratDiakses 18 september 2011.[21]Detik News (2011) : Polisi Bank Danamon Tidak Pasang CCTV. (online)http://www.detiknews.com/read/2011/06/30/151621/1671888/10/polisi-bank-danamon-tidak-pasang-

cctv Diakses 18 September 2011.[22]Yustisi (2011) : Jakarta Barat Paling Rawan Aksi Perampokan. (online)http://yustisi.com/2011/07/jakarta-barat-paling-rawan-aksi-perampokan-bersenjata-api/Diakses 18 September 2011. [23]Humas Polda Metro Jaya (2011) : Perampok Bank Danamon Latumenten. (online)http://humaspoldametrojaya.blogspot.com/2011/06/perampok-bank-danamon-latumenten.html Diakses 18 September 2011.

Page 12: I Putu Agus Eka Pratama - Paper Jurnal STIKOM Indonesia

[24]J Susilo, Leo. (2011) : Tantangan Penerapan ISO 31000 : Risk Management Principle and Guideline. Winconsult. 2011.

[25]Hillson, David (2002) : The Risk Breakdown Structure (RBS) As An Aid to Effective Risk Management. Project Management Proffesional Solution Limited. 2002.

[26]Zacharias, O; Panopoulos, D; Askounis, D. Th (2008) : Large Scale Program Risk Analysis Using A Risk Breakdown Structure. European Journal of Economics, Finances, and Administratif Science. 2008.