Assessment

Digital Maturity Assessment for Bank

1. LATAR BELAKANG

Pemanfaatan TI bagi Bank merupakan suatu keniscayaan untuk mendukung kelangsungan operasional serta pelayanan Bank secara efektif dan efisien. Salah satu bentuk dukungan TI dalam operasional Bank yaitu otomasi proses kerja dengan pemanfaatan perangkat keras dan perangkat lunak tertentu. Dari sisi pelayanan kepada masyarakat, pemanfaatan TI diwujudkan melalui kemunculan inovasi layanan perbankan, antara lain mobile banking dan internet banking yang telah mempermudah masyarakat dalam melakukan transaksi.

Di sisi lain, seiring dengan perkembangan TI, industri perbankan Indonesia menghadapi tantangan yang baru dengan kemunculan industri jasa keuangan yang mengedepankan penyediaan kemudahan layanan keuangan dengan memanfaatkan TI. Hal ini menyebabkan persaingan di industri jasa keuangan semakin ketat. Dengan demikian, Bank semakin dituntut untuk melakukan peningkatan layanan kepada masyarakat melalui transformasi digital.

Dengan adanya tuntutan untuk melakukan transformasi digital,pemanfaatan TI untuk menunjang kegiatan operasional Bank serta penyediaan layanan kepada masyarakat juga semakin meningkat. Peningkatan pemanfaatan TI tersebut tentunya dapat menyebabkan peningkatan kompleksitas penyelenggaraan TI dalam berbagai aspek.

Hal tersebut berpotensi menimbulkan eksposur risiko baru bagi industri Perbankan. Beberapa contoh peningkatan eksposur risiko yang dihadapi oleh industri perbankan dengan peningkatan pemanfaatan TI yaitu:

  • Peningkatan kerja sama layanan dengan pihak ketiga menyebabkan tingginya jumlah konektivitas sistem Bank dengan sistem pihak ketiga berpotensi meningkatkan celah keamanan yang berasal dari pihak ketiga sehingga dapat meningkatkan risiko terjadinya insiden siber Bank; dan
  • Peningkatan penyediaan layanan yang mengedepankan personalisasi menyebabkan tingginya kebutuhan atas data olah Bank termasuk data pribadi nasabah sehingga berpotensi meningkatkan risiko kebocoran data pribadi nasabah.

Sehubungan dengan peningkatan risiko yang mungkin dihadapi, Bank perlu meningkatkan kematangan dalam penyelenggaraan TI melalui penerapan tata kelola TI yang baik. Hal ini bertujuan agar penyelenggaraan TI dapat memberikan nilai tambah dari investasi yang telah dikeluarkan Bank untuk mendukung tujuan bisnis Bank. Untuk dapat memberikan nilai tambah yang optimal, Bank harus mampu menangani risiko yang mungkin timbul dari pemanfaatan TI serta mengelola sumber daya yang dimiliki secara tepat guna.

 If you can’t measure it, you can’t improve it.” Peter Drucker

2. PENILAIAN TINGKAT MATURITAS

Perkembangan TI yang cepat dan dinamis mempengaruhi perubahan atas ketentuan maupun standar terkait penyelenggaraan TI, baik secara nasional maupun internasional. Berdasarkan Cetak Biru Transformasi Digital Perbankan yang memberikan gambaran mengenai arah kebijakan OJK dalam mendorong percepatan transformasi digital perbankan Indonesia, dibutuhkan penyempurnaan pengaturan yang mencakup aspek data, teknologi, manajemen risiko, kolaborasi, dan tatanan institusi. Untuk mendukung hal tersebut, OJK melakukan revolusi pengaturan yang diharapkan dapat lebih meningkatkan ketahanan dan kematangan operasional bank umum dalam seluruh aspek penyelenggaraan Teknologi Informasi (TI) melalui penerbitan POJK MRTI 2021, POJK PTI 2022, POJK Tata Kelola 2023 dan UU P2SK.

Dengan demikian, Bank perlu menyesuaikan diri dengan perkembangan ketentuan dan standar tersebut sesuai dengan kebutuhan dan kompleksitas dari penyelenggaraan TI Bank. Sehubungan dengan hal tersebut dan untuk memperkuat seluruh aspek dalam penyelenggaraan TI serta memitigasi risiko yang mungkin timbul, perlu dilakukan penilaian tingkat kematangan digital bank dan keamanan siber.

Tingkat Maturitas Digital Bank merupakan kondisi yang mencerminkan pemenuhan terhadap seluruh aspek dalam penyelenggaraan TI sesuai dengan POJK tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum serta kesiapan Bank dalam mendukung transformasi digital. Untuk melaksanakan Pasal 66 POJK PTI, Bank melakukan penilaian sendiri atas tingkat maturitas digital secara berkala, paling sedikit 1 (satu) kali dalam 1 (satu) tahun dengan mempertimbangkan perubahan kondisi intern (perubahan sasaran dan strategi bisnis bank), ekstern (perkembangan TI) dan seluruh aspek dalam penyelenggaraan TI.

Tingkat Maturitas Keamanan Siber oleh Bank sebagai bagian dari laporan kondisi terkini penyelenggaraan TI Bank dipertimbangkan sebagai parameter atau indikator tambahan dari kualitas penerapan manajemen risiko untuk aspek TI pada risiko operasional dalam penilaian tingkat kesehatan bank, yang dilakukan secara tahunan untuk posisi akhir bulan Desember, dan mencakup penilaian terhadap:
• Kualitas penerapan manajemen risiko terkait keamanan siber; dan
• Kualitas penerapan proses ketahanan siber.
Dalam hal teridentifikasi terdapat area yang memiliki kelemahan dan memerlukan perbaikan, hal tersebut dapat menjadi masukan untuk meningkatkan maturitas digital dalam penyelenggaraan TI Bank.

 

3. DIGITAL MATURITY ASSESSMENT FOR BANK (DMAB)

Sehubungan dengan berlakunya POJK Nomor 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (Lembaran Negara Republik Indonesia Tahun 2022 Nomor 5/OJK, Tambahan Lembaran Negara Republik Indonesia Nomor 5/OJK) yang selanjutnya disebut sebagai POJK PTI, maka bank diwajibkan perlu untuk menilai tingkat maturitas digitalnya.

  • Penilaian Tingkat Maturitas Digital: merupakan panduan untuk menentukan, menilai, dan mengevaluasi tingkat digitalisasi bank, sehingga dapat diketahui kondisi digitalisasi bank. Panduan ini juga dapat digunakan sebagai alat monitoring bagi Bank dan OJK terhadap perkembangan transformasi digital yang dilakukan oleh Bank. Dapat menjadi salah satu acuan bagi bank untuk mengetahui keandalan infrastruktur TI serta manajemen pengelolaan infrastruktur TI, sehingga dapat digunakan oleh bank sebagai dasar pertimbangan untuk pengembangan produk dan layanan yang lebih komprehensif bagi konsumen.
  • Pengukuran: Untuk melaksanakan Pasal 66 POJK PTI, Bank melakukan penilaian sendiri atas tingkat maturitas digital Bank secara berkala, paling sedikit 1 (satu) kali dalam 1 (satu) tahun. Tingkat maturitas digital Bank mempertimbangkan seluruh aspek dalam penyelenggaraan TI. Dalam hal teridentifikasi terdapat area yang memiliki kelemahan dan memerlukan perbaikan, hal tersebut dapat menjadi masukan untuk meningkatkan maturitas digital dalam penyelenggaraan TI Bank.
  • Pelaporan: Bank wajib menyampaikan laporan hasil penilaian sendiri atas tingkat maturitas digital Bank sebagai bagian dari laporan kondisi terkini penyelenggaraan TI Bank, paling lama 15 (lima belas) hari kerja setelah akhir tahun pelaporan, yaitu pertama kali dilakukan oleh Bank untuk posisi akhir bulan Desember 2023 dan hasil penilaian dimaksud disampaikan kepada Otoritas Jasa Keuangan paling lambat pada akhir bulan Juni 2024.
    Penetapan tingkat maturitas digital Bank dikategorikan ke dalam 5 (lima) tingkat, yaitu Tingkat 1, Tingkat 2, Tingkat 3, Tingkat 4, dan Tingkat 5 yang akan dijelaskan lebih lanjut di bagian lampiran.
    Penetapan tingkat kualitas penerapan domain dikategorikan ke dalam Peringkat 1 (strong), Peringkat 2 (satisfactory), Peringkat 3 (fair), Peringkat 4 (marginal), dan Peringkat 5 (unsatisfactory) yang akan dijelaskan lebih lanjut di bagian lampiran.

“This is the digital age – Everything about business is transforming. Before you can know where to go, you need to understand where you are. We call that digital maturity”
Deloitte, 2019

4. CYBERSECURITY MATURITY ASSESSMENT FOR BANK (CMAB)

Penilaian Kematangan Keamanan Siber adalah kerangka proses evaluasi berkelanjutan untuk mengukur Program Kematangan Keamanan Siber Bank. Hal ini memungkinkan bank untuk mengidentifikasi risiko dan tantangan secara berkala, sehingga dapat diambil tindakan yang tepat untuk mencapai maksud dan tujuan keamanan siber bank. Penilaian keamanan siber dilanjutkan dengan penilaian terhadap risiko inheren (faktor-faktor yang ada) dan kematangan keamanan siber (pengendalian yang sudah ada) sebagaimana diuraikan di bawah ini:

 

Bank harus memastikan posisi keamanan sibernya. Untuk melakukan hal ini, bank harus menilai tingkat risiko keamanan siber setiap tahunnya. Tingkat risiko dibagi menjadi lima: 1 (rendah), 2 (rendah hingga sedang), 3 (sedang), 4 (sedang hingga tinggi), dan 5 (tinggi).

Pertama, bank harus menentukan Tingkat Risiko Inherennya (Inherent Risk Assessment) berdasarkan indikator-indikator berikut:

  1. Teknologi, misalnya seberapa terhubung dan mudah diaksesnya sistem TI dan keterlibatan penyedia layanan TI;
  2. Produk perbankan, misalnya mekanisme ATM dan apakah bank mempunyai layanan perbankan digital;
  3. Karakteristik organisasinya, misalnya tingkat turnover, manajemen akses hak istimewa;
  4. Rekam jejak insiden sibernya, misalnya frekuensi dan dampak insiden siber
  5. Parameter atau indikator lain yang relevan dengan bisnis bank.

Respon bank terhadap indikator-indikator di atas dari level 1 hingga 5 (sebagaimana dijelaskan di atas) akan menentukan tingkat risiko inherennya.

Penilaian kedua adalah Penilaian Tingkat Kematangan (Maturity Level Assessment) untuk mengetahui tingkat keamanan siber bank saat ini, yaitu pengendalian yang sudah ada. Terdapat empat aspek manajemen risiko dan empat aspek proses ketahanan yang perlu dievaluasi, sebagaimana dirinci di bawah ini:

1. Aspek manajemen risiko, yang terdiri dari:

  • Tata kelola risiko keamanan siber;
  • Kerangka risiko keamanan siber;
  • Sumber daya proses dan sistem informasi risiko keamanan siber;
  • Sistem pengendalian risiko keamanan siber.

2. Proses ketahanan, yang terdiri dari:

  • Identifikasi aset, ancaman, dan kerentanan;
  • Perlindungan aset;
  • Deteksi insiden dunia maya;
  • Respons dan pemulihan insiden dunia maya

Seperti penilaian risiko inheren yang pertama, bank harus menetapkan level 1 hingga 5 untuk setiap parameter atau indikator proses manajemen risiko dan ketahanan.

Tahap terakhir adalah Penilaian Risiko Keamanan Siber (Cyber Security Risk Assessment) yang diperoleh dari hasil penilaian risiko inheren dan penilaian tingkat kematangan. Sekali lagi, penilaian ini akan menghasilkan level 1 hingga 5.

Hasil dari ketiga asesmen diatas wajib di laporkan paling lama 15 (lima belas) hari kerja setelah akhir tahun pelaporan, yaitu pertama kali dilakukan oleh bank untuk posisi akhir bulan Desember 2023 dan hasil penilaian dimaksud disampaikan kepada OJK paling lambat pada akhir bulan Juni 2024.

5. MANAJEMEN PROYEK

Kesuksesan transformasi digital perbankan salah satunya bergantung dari kombinasi 3 (tiga) komponen, yaitu sumber daya manusia pada perbankan (People), proses dalam implementasi strategi untuk melakukan transformasi bisnis (Process), serta teknologi yang menciptakan nilai tambah bagi bank dan konsumen (Platform). Kami, DEI memilikinya ketiganya untuk menjalankan proyek ini.

  • People: didukung oleh 1 orang advisor berskala internasional dan 2 orang tenaga ahli di bidang Data, Teknologi, IT Security, Cybersecurity, Manajemen Risiko dan GRC.
  • Process: melakukan asesmen berdasarkan POJK MRTI 2021, POJK PTI 2022, POJK Tata Kelola 2023 dan UU P2SK serta SEOJK terkait.
  • Platform: mengunakan framework, tools atau software asesmen terhadap 8 domain dan 16 sub-domain yang menjadi kriteria penilaian tingkat kematangan digital bank.

Pendekatan kami dalam melakukan asesmen adalah sesuai dengan Cetak Biru Transformasi Digital Perbankan 2021-2025 yang diterbitkan oleh OJK dengan mengedepankan prinsip keseimbangan antara inovasi digital perbankan dan aspek prudensial untuk menjaga kinerja perbankan dalam kondisi sehat (prudent, safe and sound banking) serta mengusung prinsip technology neutral, yaitu tidak mengatur aspek teknis terkait teknologi.

Strategi kami dalam melakukan penilaian tingkat maturitas digital sebuah bank adalah mengukur kematangan program digitalisasi perbankan dan sistem keamanan yang sedang berjalan serta memberikan panduan tentang cara mencapai tingkat berikutnya. Kemudian dengan melakukan benchmarking terhadap kinerja bank digital yang telah berhasil melakukan transformasi digital dan menjadi bank digital terdepan dengan ketahanan dan keamanan siber yang tangguh.

Waktu Pelaksanaan Proyek adalah selama 1 (satu) bulan dengan milestone sebagai berikut:

6. TENAGA AHLI

Peningkatan kematangan dalam penyelenggaraan TI merupakan suatu konsekuensi yang perlu dilakukan oleh bank ketika melakukan transformasi digital. Adapun salah satu upaya dapat dilakukan oleh bank untuk meningkatkan kematangan dalam penyelenggaraan TI adalah melalui penerapan tata kelola dan manajemen risiko TI secara memadai. Selanjutnya untuk mengetahui tingkat kematangan tersebut, maka diperlukan suatu pendampingan penilaian tingkat maturitas digital yang dilakukan oleh tenaga ahli transformasi digital bank, praktisi teknologi, keamanan sistem informasi dan siber serta yang paham tentang tata kelola, kepatuhan & manajemen risiko. Dimana hasil asesmen ini bisa digunakan oleh bank untuk menyampaikan laporan kepada OJK guna mengukur tingkat keberhasilan dari transformasi digital bank.

7. INVESTASI

Selain membawa peluang tentunya transformasi digital juga memiliki risiko bisnis diantaranya risiko kebocoran data, risiko investasi teknologi yang tidak sesuai dengan strategi bisnis, risiko penyalahgunaan teknologi, risiko serangan siber, risiko alih daya, Dan tantangan terbesar adalah literasi keuangan digital yang masih rendah dan infrastruktur TI yang belum merata di Indonesia. Untuk bank mampu melakukan mitigasi risiko dan menjawab tantangan tersebut dibutuhkan investasi yang tidak murah, Sebagai langkah awal bank adalah melakukan penilaian terhadap tingkat maturitas digital dan keamanan sibernya.

  • 3 orang Tenaga Ahli yang berpengalaman nasional dan internasional di bidangnya: Transformasi Digital, Digital Bank (atau Digital Banking), Fintech, Big Data, Cloud Computing, IT Security & Siber, Manajemen Risiko dan Tatanan Institusi (GRC).
  • Pelaksanaan asesmen selama 1 bulan: Persiapan (Kick Off), Penilaian (DMAB dan CMAB), Pengukuran (Measurement), Presentasi (Accountability) dan Pelaporan (Controlling & Reporting).
  • Investasi: sebesar Rp 300.000.000 (tiga ratus juta rupiah)

Termin Pembayaran

  • Pembayaran pertama atau Down Payment sebesar 50% yang dibayarkan paling lambat 7 hari sebelum kick off dilakukan..
  • Pembayaran kedua sebesar 30% yang dibayarkan setelah hasil asesmen DMAB dan CMAB disampaikan
  • Pembayaran ketiga sebesar 20% yang dibayarkan setelah Pelaporan disampaikan yang dibuktikan dengan BAST (Berita Acara Serah Terima).

Pembayaran bisa di lakukan melalui transfer ke

  • Bank : Mandiri KCP Mega Kuningan, Jakarta
  • No Rekening  : 070-00-9199197-1
  • Atas Nama  : PT. DIJITAL ENTEPRIZE INDONESIA
  • NPWP  : 74.046.680.0-011.000

8. HASIL AKHIR

Tata Cara Penilaian Tingkat Maturitas Digital Bank mencakup penilaian terhadap 8 Domain dan 16 Sub-Domain nya, yaitu:
  1. Tata Kelola: tatanan institusi dan  tata kelola TI
  2. Arsitektur: arsitektur TI Bank
  3. Manajemen Risiko: manajemen risiko TI Bank
  4. Ketahanan dan Keamanan Siber: sesuai dengan peringkat  tingkat risiko terkait keamanan siber dengan mengacu pada  ketentuan OJK mengenai ketahanan  dan keamanan siber bagi bank umum.
  5. Teknologi: adopsi teknologi yang  bertanggung jawab dan penggunaan pihak penyedia jasa TI  dalam penyelenggaraan TI Bank
  6. Data: tata kelola data, pelindungan data, dan transfer data
  7. Kolaborasi: kerja sama kemitraan dan penyediaan jasa TI oleh Bank
  8. Pelindungan konsumen: pelindungan dan pelayanan konsumen.
Dalam melakukan penilaian atas tingkat maturitas, kami akan membantu bank dalam melakukan analisis terhadap penerapan kontrol sebagaimana tercantum dalam Lampiran I dan menggunakan format kertas kerja penilaian sebagaimana tercantum dalam Lampiran II yang merupakan bagian tidak terpisahkan dari SE OJK Nomor /SEOJK.03/2023 tentang Penilaian Tingkat Maturitas Digital Bank Umum.
  • Penetapan tingkat kualitas penerapan domain dikategorikan ke dalam 5 (lima) Peringkat yaitu: 1 (strong – sangat memadai. Meskipun terdapat kelemahan minor tetapi kelemahan tersebut tidak signifikan sehingga dapat diabaikan), 2 (satisfactory), 3 (fair), 4 (marginal), dan 5 (unsatisfactory – tidak memadai. Terdapat kelemahan signifikan pada berbagai kontrol yang tindakan penyelesaiannya di luar kemampuan manajemen.).
  • Penetapan tingkat maturitas digital Bank dikategorikan ke dalam 5 (lima) tingkat, yaitu Tingkat 1 (sangat tinggi – tercermin dari seluruh aktivitas telah berjalan dengan sangat baik dan Bank telah menjalankan mekanisme continuous improvement. Dalam hal terdapat kelemahan maka secara umum kelemahan tersebut tidak signifikan.), Tingkat 2 (tinggi), Tingkat 3 (cukup), Tingkat 4 (rendah), dan Tingkat 5 (sangat rendah – tercermin dari aktivitas/proses yang dibutuhkan belum diidentifikasi dan belum dilaksanakan. Terdapat kelemahan yang secara umum sangat signifikan sehingga untuk mengatasinya diperlukan dukungan dana dari pemegang saham atau sumber dana dari pihak lain untuk memperkuat tingkat maturitas digital pada Bank.).