1. Bank Danamon menghadapi tiga masalah pada 2011 yang mempengaruhi tujuan strategis TI, yakni penggelapan uang oleh teller, pembobolan bank oleh perampok, dan perampokan bank.
2. ISO 31000 diusulkan untuk menggantikan ORMF karena lebih praktis dan terstruktur dalam mengelola risiko. ISO 31000 mencakup identifikasi risiko, penilaian, dan strategi mitigasi.
3. Usulan solusi meliputi penilaian risiko ber
1. Manajemen Risiko Teknologi Informasi di Bank
Danamon Terkait Tiga Masalah Yang Dihadapi di
Tahun 2011
(Solusi Permasalahan Dengan Usulan ISO 31000)
Oleh :
Layout by orngjce223, CC-BY
I Putu Agus Eka Pratama
23510310 MTI ITB
2. Pendahuluan
Definisi risiko (risk) : efek ketidak pastian dari suatu tujuan.
Risiko (Risk) VS Masalah.
Risiko belum terjadi → masih bisa dihindari, masalah sudah
terjadi → harus dihadapi dan diselesaikan (solusi).
Layout by orngjce223, CC-BY
Manajemen Risiko (Risk Management) → ISO Guide 73:2009.
IT Risk Management → 8 poin ancaman
Penilaian terhadap risiko IT (IT Risk Assesment) → 9 langkah.
3. Profil Bank Danamon
Berdiri tahun 1956 → 2009 : bank terbesar keenam di
Indonesia.
Visi :
→ Peduli dan membantu jutaan orang mencapai
kesejahteraan.
Misi :
→ Menjadi lembaga keuangan terkemuka di Indonesia yg
Layout by orngjce223, CC-BY
keberadaannya diperhitungkan.
→ Berpusat pada nasabah dan melayani semua segmen dgn
keunggulan penjualan – pelayanan dan didukung dgn
teknologi canggih
→ Menjadi perusahaan pilihan untuk berkarya dan dihormati
oleh nasabah, karyawan, pemegang saham, dan komunitas
tempat usaha berada.
Bank Danamon berorientasi pada nasabah.
4. Profil Bank Danamon (lanjt)
IT Strategic Objectif Bank Danamon :
→ melayani semua segment dgn keunggulan penjualan dan
pelayanan.
→ menjadi lembaga keuangan terkemuka di Indonesia.
→ pengembangan layanan elektronik perbankan kelas dunia.
Layout by orngjce223, CC-BY
ORMF di Bank Danamon :
ORMF = Operational Risk Management Framework →
framework manajemen risiko yg digunakan oleh Bank
Danamon.
ORMF menjelaskan prinsip, prosedur, dan responsibilitas
penerapan manajemen risiko.
Sejalan dengan ketentuan dari Bank Indonesia dan Bassel.
5. Permasalahan di Bank Danamon 2011
Kasus 1 : penggelapan uang oleh teller Danamon sendiri
(cabang pembantu menara Danamon) → penyalah gunakan
mandat (accidental disclosure)
Kasus 2 : pembobolan bank Danamon oleh perampok
(Danamon simpan pinjam lingkar utara Jogja) → kesalahan
user dan manajemen SDM : pembagian tugas, tanggung
jawab, dan penambahan sistem keamanan.
Layout by orngjce223, CC-BY
Kasus 3 : perampokan bank Danamon di Latumenten Jakarta
Barat → idem dgn kasus no 2.
Ketiga kasus mempengaruhi objective bank Danamon :
penurunan kepercayaan nasabah/masyarakat → jumlah
nasabah berkurang → transaksi berkurang → pendapatan
berkurang → IT Strategic Objective tidak tercapai.
7. Usulan Penerapan ISO 31000
ORMF tidak optimal dalam manajemen risiko → diusulkan ISO
31000
Kelebihan ISO 31000 :
1. Lebih praktikal dan teoritikal dibandingkan COSO (namun
kompatible dgn COSO), lebih detail dan eksplisit.
2. informasi dapat diadopsi untuk mengembangkan petunjuk
dgn menilai metodologi manajemen risiko yg ada.
3. Perencanaan tertulis sehingga dokumentasi dapat diakses
oleh CEO, CIO, CRE, dewan komisi, dll.
Layout by orngjce223, CC-BY
Proses identifikasi risiko di ISO 31000 : document review,
stakeholder analysis, RBS (Risk Breakdown Structure),
bussiness process mapping menggunakan FMEA (Failure
Mode and Effect Analysis).
Usulan ISO 31000 memakai teknik RBS → menyusun risiko ke
dalam kelompok/kategori.
Sasaran RBS : kejelasan pemangku risiko dan peningkatan
pemahaman risiko organisasi/proyek dlm konteks
kerangka kerja logis dan sistematis.
9. Desain Solusi Permasalahan Menggunakan
ISO 31000
Desain solusi permasalahan di bank Danamon dengan usulan
ISO 31000 menggunakan 2 langkah berikut ini :
1.Menentukan kriteria risiko menggunakan 4 tabel kriteria
risiko : tabel kriteria dampak, tabel kriteria kemungkinan,
tabel kriteria pemeringkat risiko, dan tabel kriteria selera
risiko.
Layout by orngjce223, CC-BY
2. Menentukan strategi perlakukan risiko. Opsi : menghindari
risiko, mengurangi/mitigasi risiko, berbagi risiko pada pihak
ketiga, atau menerima risiko.
10. Penilaian Dengan Tabel Kriteria Risiko (1)
Tabel kriteria dampak (consequence)
Layout by orngjce223, CC-BY
Keterangan : RS = Ringan Sekali, R = Ringan, S = Sedang, B =
Berat, SB = Sangat Berat.
Ketiga permasalahan pada Bank Danamon masuk ke kategori
nilai kerugian besar untuk kategori kualitatif
dengan penilaian dampak kriteria Berat (B) pada
nilai rating 4.
11. Penilaian Dengan Tabel Kriteria Risiko (2)
Tabel kriteria pemeringkat risiko (risk level)
Layout by orngjce223, CC-BY
Keterangan :
T = Tinggi (merah), M = Medium (kuning), R = Rendah (hijau),
T(D) = Penilaian terhadap Danamon tinggi.
ketiga permasalahan di Bank Danamon dikategorikan T
(Tinggi) pada area merah. Pengkategorian didasarkan
penilaian rating probabilitas Besar (B) dan rating dampak
Berat (B) yang diakibatkan kerugian finansial dan
dampak terhadap penilaian masyarakat/nasabah
terhadap citra layanan dan keamanan di
Bank Danamon.
12. Penilaian Dengan Tabel Kriteria Risiko (3)
Tabel kriteria kemungkinan (likelihood)
Layout by orngjce223, CC-BY
Kemungkinan untuk terjadinya kembali ketiga peristiwa
tersebut di Bank Danamon berada di rating 4, dengan
kriteria kualitatif kemungkinan besar terjadi (B). Apabila
faktor penyebab terjadinya risiko tidak diminimalisir,
akan berpotensi menjadi masalah di kemudian hari.
13. Penilaian Dengan Tabel Kriteria Risiko (4)
Tabel kriteria selera risiko (risk appetite)
Layout by orngjce223, CC-BY
dampak kegagalan dinilai tinggi dengan toleransi terhadap
kegagalan rendah sekali.
14. Strategi Perlakuan Risiko
Bank Danamon memilih strategi perlakukan risiko berupa
mengurangi/mitigasi risiko (risk reduction).
Antara lain memecat pelaku pada permasalahan pertama
(teller) dan menyerahkan ke pihak berwajib, mengadakan
perubahan kebijakan internal, dan membentuk unit khusus.
Layout by orngjce223, CC-BY
Pada kasus kedua dan ketiga, Bank Danamon bekerja sama
dengan polisi untuk pengusutan kasus ini.
15. Saran
1. Review kebijakan oleh manajemen puncak dan atasan di
Bank Danamon agar saat diterapkan dapat berjalan baik
dan mampu mencegah terulangnya permasalahan serupa
dan risiko yang mungkin terjadi → pembentukan unit
khusus internal dapat membantu pihak Danamon.
2. Peningkatan pelatihan dan keterampilan kepada para
pegawai Bank Danamon dalam hal pemanfaatan IT,
memberikan pelayanan kepada konsumen, sinkronisasi
Layout by orngjce223, CC-BY
informasi antar unit kerja untuk memudahkan pelayanan,
pemrosesan keuangan, termasuk juga kejujuran, semangat
kerja, dan dedikasi tinggi terhadap perusahaan (Bank
Danamon). SDM yang terampil dan terlatih adalah modal
penting untuk pencapaian objective Bank Danamon. uk
mengembangkan petunjuk dengan menilai metodologi
manajemen risiko yang ada.
16. Saran (lanjt)
3. Pemisahan tanggung jawab dan tugas, termasuk
pembagian tugas. Ketiga permasalahan yang terjadi
merupakan indikasi tidak bagusnya manajemen pemisahan
tanggung jawab dan tugas pada setiap level pegawai dari
hirarki atas hingga bawah.
4. Pemantauan (monitoring) dan penilaian (review) kerja dan
proses yang terjadi di seluruh kantor cabang Bank
Danamon, sehingga menjamin proses berjalan baik dan
Layout by orngjce223, CC-BY
pegawai menjalankan tugasnya dengan baik berdasarkan
aturan dan etos kerja.
Terdapat tiga tingkatan yang harus dilakukan dalam hal
monitoring dan review (bawah ke atas) : audit oleh pihak
ketiga, pemeriksaan oleh atasan, pemeriksaan berkala
dan pemantauan berkelanjutan.
17. Kesimpulan
1. Bank Danamon adalah bank berbasis nasabah dan risiko
mempengaruhi tingkat kepuasan dan loyalitas nasabah,
sehingga Bank Danamon perlu melakukan manajemen risiko
yang baik, selain juga peningkatan kualitas layanan,
kualitas produk, dan customer value.
2. IT Strategic Objective Bank Danamon menciptakan nilai
untuk pertumbuhan bisnis dan loyalitas nasabah melalui
keunggulan layanan yang diberikan, namun ketiga
Layout by orngjce223, CC-BY
permasalahan yang terjadi mempengaruhi objective Bank
Danamon.
3. Permasalahan yang terjadi menunjukkan ORMF belum
maksimal dalam proses manajemen risiko, sedangkan
usulan ISO 31000 memberikan proses manajemen risiko
yang lebih baik dan mudah diterapkan di sektor perbankan
dan non perbankan.