Layou

t by o

rngjce

223

, CC

-BY

Manajemen Risiko Teknologi Informasi di Bank Danamon Terkait Tiga Masalah Yang Dihadapi di

Tahun 2011(Solusi Permasalahan Dengan Usulan ISO 31000)

Oleh :

I Putu Agus Eka Pratama23510310 MTI ITB

Layou

t by o

rngjce

223

, CC

-BY

Pendahuluan

Definisi risiko (risk) : efek ketidak pastian dari suatu tujuan.

Risiko (Risk) VS Masalah.Risiko belum terjadi → masih bisa dihindari, masalah sudah

terjadi → harus dihadapi dan diselesaikan (solusi).

Manajemen Risiko (Risk Management) → ISO Guide 73:2009.

IT Risk Management → 8 poin ancaman

Penilaian terhadap risiko IT (IT Risk Assesment) → 9 langkah.

Layou

t by o

rngjce

223

, CC

-BY

Profil Bank Danamon

Berdiri tahun 1956 → 2009 : bank terbesar keenam di Indonesia.

Visi : → Peduli dan membantu jutaan orang mencapai

kesejahteraan.

Misi : → Menjadi lembaga keuangan terkemuka di Indonesia yg

keberadaannya diperhitungkan.→ Berpusat pada nasabah dan melayani semua segmen dgn

keunggulan penjualan – pelayanan dan didukung dgn teknologi canggih

→ Menjadi perusahaan pilihan untuk berkarya dan dihormati oleh nasabah, karyawan, pemegang saham, dan komunitas tempat usaha berada.

Bank Danamon berorientasi pada nasabah.

Layou

t by o

rngjce

223

, CC

-BY

Profil Bank Danamon (lanjt)

IT Strategic Objectif Bank Danamon :→ melayani semua segment dgn keunggulan penjualan dan

pelayanan.→ menjadi lembaga keuangan terkemuka di Indonesia.→ pengembangan layanan elektronik perbankan kelas dunia.

ORMF di Bank Danamon :ORMF = Operational Risk Management Framework →

framework manajemen risiko yg digunakan oleh Bank Danamon.

ORMF menjelaskan prinsip, prosedur, dan responsibilitas penerapan manajemen risiko.

Sejalan dengan ketentuan dari Bank Indonesia dan Bassel.

Layou

t by o

rngjce

223

, CC

-BY

Permasalahan di Bank Danamon 2011

Kasus 1 : penggelapan uang oleh teller Danamon sendiri (cabang pembantu menara Danamon) → penyalah gunakan mandat (accidental disclosure)

Kasus 2 : pembobolan bank Danamon oleh perampok (Danamon simpan pinjam lingkar utara Jogja) → kesalahan user dan manajemen SDM : pembagian tugas, tanggung jawab, dan penambahan sistem keamanan.

Kasus 3 : perampokan bank Danamon di Latumenten Jakarta Barat → idem dgn kasus no 2.

Ketiga kasus mempengaruhi objective bank Danamon : penurunan kepercayaan nasabah/masyarakat → jumlah

nasabah berkurang → transaksi berkurang → pendapatan berkurang → IT Strategic Objective tidak tercapai.

Layou

t by o

rngjce

223

, CC

-BY

Proses Bisnis Bank Danamon

Layou

t by o

rngjce

223

, CC

-BY

Usulan Penerapan ISO 31000

ORMF tidak optimal dalam manajemen risiko → diusulkan ISO 31000

Kelebihan ISO 31000 :1. Lebih praktikal dan teoritikal dibandingkan COSO (namun

kompatible dgn COSO), lebih detail dan eksplisit.2. informasi dapat diadopsi untuk mengembangkan petunjuk

dgn menilai metodologi manajemen risiko yg ada.3. Perencanaan tertulis sehingga dokumentasi dapat diakses

oleh CEO, CIO, CRE, dewan komisi, dll.

Proses identifikasi risiko di ISO 31000 : document review, stakeholder analysis, RBS (Risk Breakdown Structure), bussiness process mapping menggunakan FMEA (Failure Mode and Effect Analysis).

Usulan ISO 31000 memakai teknik RBS → menyusun risiko ke dalam kelompok/kategori.

Sasaran RBS : kejelasan pemangku risiko dan peningkatan pemahaman risiko organisasi/proyek dlm konteks

kerangka kerja logis dan sistematis.

Layou

t by o

rngjce

223

, CC

-BY

Struktur Organisasi Bank Danamon (IT dan Manajemen Risiko)

Layou

t by o

rngjce

223

, CC

-BY

Desain Solusi Permasalahan Menggunakan ISO 31000

Desain solusi permasalahan di bank Danamon dengan usulan ISO 31000 menggunakan 2 langkah berikut ini :

1.Menentukan kriteria risiko menggunakan 4 tabel kriteria risiko : tabel kriteria dampak, tabel kriteria kemungkinan, tabel kriteria pemeringkat risiko, dan tabel kriteria selera risiko.

2. Menentukan strategi perlakukan risiko. Opsi : menghindari risiko, mengurangi/mitigasi risiko, berbagi risiko pada pihak ketiga, atau menerima risiko.

Layou

t by o

rngjce

223

, CC

-BY

Penilaian Dengan Tabel Kriteria Risiko (1)

Tabel kriteria dampak (consequence)

Keterangan : RS = Ringan Sekali, R = Ringan, S = Sedang, B =

Berat, SB = Sangat Berat. Ketiga permasalahan pada Bank Danamon masuk ke kategori

nilai kerugian besar untuk kategori kualitatif dengan penilaian dampak kriteria Berat (B) pada nilai rating 4.

Layou

t by o

rngjce

223

, CC

-BY

Penilaian Dengan Tabel Kriteria Risiko (2)

Tabel kriteria pemeringkat risiko (risk level)

Keterangan : T = Tinggi (merah), M = Medium (kuning), R = Rendah (hijau),

T(D) = Penilaian terhadap Danamon tinggi.ketiga permasalahan di Bank Danamon dikategorikan T

(Tinggi) pada area merah. Pengkategorian didasarkan penilaian rating probabilitas Besar (B) dan rating dampak Berat (B) yang diakibatkan kerugian finansial dan

dampak terhadap penilaian masyarakat/nasabah terhadap citra layanan dan keamanan di Bank Danamon.

Layou

t by o

rngjce

223

, CC

-BY

Penilaian Dengan Tabel Kriteria Risiko (3)

Tabel kriteria kemungkinan (likelihood)

Kemungkinan untuk terjadinya kembali ketiga peristiwa tersebut di Bank Danamon berada di rating 4, dengan kriteria kualitatif kemungkinan besar terjadi (B). Apabila faktor penyebab terjadinya risiko tidak diminimalisir,

akan berpotensi menjadi masalah di kemudian hari.

Layou

t by o

rngjce

223

, CC

-BY

Penilaian Dengan Tabel Kriteria Risiko (4)

Tabel kriteria selera risiko (risk appetite)

dampak kegagalan dinilai tinggi dengan toleransi terhadap kegagalan rendah sekali.

Layou

t by o

rngjce

223

, CC

-BY

Strategi Perlakuan Risiko

Bank Danamon memilih strategi perlakukan risiko berupa mengurangi/mitigasi risiko (risk reduction).

Antara lain memecat pelaku pada permasalahan pertama (teller) dan menyerahkan ke pihak berwajib, mengadakan perubahan kebijakan internal, dan membentuk unit khusus.

Pada kasus kedua dan ketiga, Bank Danamon bekerja sama dengan polisi untuk pengusutan kasus ini.

Layou

t by o

rngjce

223

, CC

-BY

Saran

1. Review kebijakan oleh manajemen puncak dan atasan di Bank Danamon agar saat diterapkan dapat berjalan baik dan mampu mencegah terulangnya permasalahan serupa dan risiko yang mungkin terjadi → pembentukan unit khusus internal dapat membantu pihak Danamon.

2. Peningkatan pelatihan dan keterampilan kepada para

pegawai Bank Danamon dalam hal pemanfaatan IT, memberikan pelayanan kepada konsumen, sinkronisasi informasi antar unit kerja untuk memudahkan pelayanan, pemrosesan keuangan, termasuk juga kejujuran, semangat kerja, dan dedikasi tinggi terhadap perusahaan (Bank Danamon). SDM yang terampil dan terlatih adalah modal penting untuk pencapaian objective Bank Danamon. uk mengembangkan petunjuk dengan menilai metodologi manajemen risiko yang ada.

Layou

t by o

rngjce

223

, CC

-BY

Saran (lanjt)

3. Pemisahan tanggung jawab dan tugas, termasuk pembagian tugas. Ketiga permasalahan yang terjadi merupakan indikasi tidak bagusnya manajemen pemisahan tanggung jawab dan tugas pada setiap level pegawai dari hirarki atas hingga bawah.

4. Pemantauan (monitoring) dan penilaian (review) kerja dan

proses yang terjadi di seluruh kantor cabang Bank Danamon, sehingga menjamin proses berjalan baik dan pegawai menjalankan tugasnya dengan baik berdasarkan aturan dan etos kerja.

Terdapat tiga tingkatan yang harus dilakukan dalam hal monitoring dan review (bawah ke atas) : audit oleh pihak ketiga, pemeriksaan oleh atasan, pemeriksaan berkala dan pemantauan berkelanjutan.

Layou

t by o

rngjce

223

, CC

-BY

Kesimpulan

1. Bank Danamon adalah bank berbasis nasabah dan risiko mempengaruhi tingkat kepuasan dan loyalitas nasabah, sehingga Bank Danamon perlu melakukan manajemen risiko yang baik, selain juga peningkatan kualitas layanan, kualitas produk, dan customer value.

2. IT Strategic Objective Bank Danamon menciptakan nilai untuk pertumbuhan bisnis dan loyalitas nasabah melalui keunggulan layanan yang diberikan, namun ketiga permasalahan yang terjadi mempengaruhi objective Bank Danamon.

3. Permasalahan yang terjadi menunjukkan ORMF belum maksimal dalam proses manajemen risiko, sedangkan usulan ISO 31000 memberikan proses manajemen risiko yang lebih baik dan mudah diterapkan di sektor perbankan dan non perbankan.