Mandiri : IT Risks & Controls

Kelompok 5

1. Agatha Raharjo (01)

2. Angga Dena P (04)

3. Doni Iwan P. (14)

4. Muhammad Fitra (24)

5. Pascalis Prakosa (25)

Kelompok 5 9A BPKP

2

IT Risks and Controls : Bank Mandiri

aaaaaDunia memasuki era digital, era media sosial, dimana hampir seluruh aktivitas

manusia dari bangun tidur hingga keesokan harinya dapat diketahui dari media sosial.

Perkembangan teknologi informasi (TI) yang begitu pesat bagaikan dua sisi mata pisau,

yang apabila tidak digunakan dengan bijak justru dapat melukai pengguna TI itu sendiri.

Bank Mandiri sendiri sejauh ini telah merasakan akibat dari pisau bernama TI ini.

Pertengahan tahun 2014, Bank Mandiri menjadi korban dari salah satu bentuk

pencurian bernama skimming dengan total kerugian 3 Milliar Rupiah. Dampak dari

kasus ini sangatlah besar, hingga Bank Indonesia mengeluarkan instruksi khusus untuk

menghadapi skimming ini.

aaaaaBank Indonesia melalui Peraturan Bank Indonesia mendefinisikan Teknologi

Informasi adalah teknologi terkait sarana komputer, telekomunikasi dan sarana

elektronis lainnya yang digunakan dalam pengolahan data keuangan dan atau

pelayanan jasa perbankan.

aaaaaTeknologi Informasi merupakan aset penting dalam operasional yang dapat

meningkatkan nilai tambah dan daya saing bank Mandiri. Penggunaan TI tentu tidak

lepas dari berbagai risiko, untuk itulah diperlukan apa yang disebut IT Governance & IT

Risk Management. Sesuai definisi IIA, IT Governance terdiri atas leadership, kerangka

organisasi berupa personil dalam organasisasi, dan suatu proses yang memastikan

bahwa Teknologi Informasi organisasi mendukung organisasi dalam pencapaian tujuan.

Keberhasilan penerapan IT Governance tersebut sangat tergantung pada komitmen

seluruh unit kerja di Bank, baik penyelenggara maupun pengguna Teknologi Informasi.

Penerapan IT Governance dilakukan melalui penyelarasan Rencana Strategis

Teknologi Informasi dengan strategi bisnis Bank Mandiri, optimalisasi pengelolaan

sumber daya, pemanfaatan Teknologi Informasi (IT value delivery), pengukuran kinerja

dan penerapan manajemen risiko yang efektif.

aaaaaUntuk dapat menerapkan manajemen risiko yang efektif, diperlukan keterlibatan

dan pengawasan Dewan Komisaris dan Direksi, penyusunan dan penerapan kebijakan

dan prosedur terkait Teknologi Informasi, serta proses identifikasi, pengukuran,

Kelompok 5 9A BPKP

3

pemantauan dan pengendalian risiko yang berkesinambungan. Selain itu, kedepan

Bank Mandiri dituntut pula untuk mengantisipasi kebutuhan akan infrastruktur Teknologi

Informasi yang memadai dalam rangka menghadapi implementasi Basel II.

Pemanfaatan TI oleh Bank Mandiri

1. Enterprise Resource Planning Systems.

ERP adalah sebuah sistem software yang membantu bank mandiri dalam meng-

integrasikan seluruh proses bisnis dalam satu database. Keuntungan perusahaan

dalam mengimplementasikan ERP salah satunya adalah online real time

processing, sehingga pengambilan keputusan dapat dilakukan sewaktu-waktu. Bank

Mandiri yang memiliki beberapa proses bisnis tentu amat bergantung dengan

adanya ERP ini.

2. Electronic Data Interchange

EDI adalah proses transfer data secara elektronik antar satu atau beberapa pihak

dengan standar format yang disetujui. Maksud dari standar format yang disetujui

adalah data yang akan dikirim harus disesuaikan/dienkripsi dengan format standar

yang berlaku dan juga disetujui oleh penerima. Penyesuaian ke dalam format

standar tersebut bisa menggunakan software khusus yang dikenal sebagai

translation software. Selain lebih cepat, EDI juga dapat menghemat baik dari segi

waktu maupun biaya, karena proses manual yang terjadi pada pengiriman dokumen

fisik tidak diperlukan lagi. EDI merupakan salah satu teknologi paling awal yang

digunakan dalam Supply Chain Management (SCM). Alur bisnis yang terjadi antara

perusahaan dengan trading partner maupun supplier menjadi lebih mudah dan

cepat dengan adanya EDI. Bentuk pengaplikasian EDI di Bank Mandiri salah

satunya adalah penyediaan fasilitas Mandiri Cash management bagi Mayora Indah

untuk meningkatkan kemudahan dan efisiensi dalam proses pembayaran ke pihak

ketiga. Mayora Indah dapat memanfaatkan jaringan elektronik (e-channel) Bank

Mandiri untuk melakukan pembayaran kepada vendor atau rekanan secara

langsung tanpa perlu datang ke bank atau menandatangani warkat perintah

pembayaran. Teknisnya, Mayora dapat mengirim instruksi transaksi pembayaran ke

Kelompok 5 9A BPKP

4

Bank Mandiri secara real time online dengan aplikasi yang dihubungkan

dengan Enterprise Resource Planning (ERP) Mayora.

Layanan Perbankan Melalui Media Elektronik atau selanjutnya disebut Electronic

Banking (e-banking) adalah layanan yang memungkinkan nasabah Bank untuk

memperoleh informasi, melakukan komunikasi, dan melakukan transaksi perbankan

melalui media elektronik antara lain ATM, m-banking, electronic fund transfer, internet

banking.

Berikut adalah komponen kunci dalam pengembangan TI Bank Mandiri:

1. Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan)

adalah dokumen yang menggambarkan visi dan misi Teknologi Informasi Bank,

strategi yang mendukung visi dan misi tersebut dan prinsip-prinsip utama yang

menjadi acuan dalam penggunaan Teknologi Informasi untuk memenuhi kebutuhan

bisnis dan mendukung rencana strategis jangka panjang.

2. Pusat Data (Data Center) adalah fasilitas utama pemrosesan data Bank yang terdiri

dari perangkat keras dan perangkat lunak untuk mendukung kegiatan operasional

Bank secara berkesinambungan.

3. Database adalah sekumpulan data komprehensif dan disusun secara sistematis,

dapat diakses oleh pengguna sesuai wewenang masing-masing, dan dikelola oleh

database administrator.

4. Disaster Recovery Center (DRC) adalah fasilitas pengganti pada saat Pusat Data

(Data Center) mengalami gangguan atau tidak dapat berfungsi antara lain karena

tidak adanya aliran listrik ke ruang komputer, kebakaran, ledakan atau kerusakan

pada komputer, yang digunakan sementara waktu selama dilakukannya pemulihan

Pusat Data Bank untuk menjaga kelangsungan kegiatan usaha (business

continuity).

5. Business Continuity Plan (BCP) adalah kebijakan dan prosedur yang memuat

rangkaian kegiatan yang terencana dan terkoordinir mengenai langkah-langkah

pengurangan risiko, penanganan dampak gangguan/bencana dan proses pemulihan

agar kegiatan operasional Bank dan pelayanan kepada nasabah tetap dapat

berjalan.

Kelompok 5 9A BPKP

5

6. Pemrosesan Transaksi Berbasis Teknologi adalah kegiatan berupa penambahan,

perubahan, penghapusan, dan/atau otorisasi data yang dilakukan pada sistem

aplikasi yang digunakan untuk memproses transaksi.

TI selain memiliki berbagai kelebihan namun juga memiliki berbagai resiko yang apabila

tidak di mitigasi dengan baik, risiko akibat TI bisa berakibat fatal bagi kelangsungan

organisasi, apalagi dalam organisasi perbankan yang menyimpan dana masyarakat.

IT Governance Framework

aaaaaDari diagram framework di atas dapat dijelaskan bahwa terdapat 5 komponen

penting dalam sistem IT Governance yang efektif yaitu :

- Organization and Governance Structures

Struktur organisasi yang jelas, sifat operasional komponen perusahaan, dan bagaimana

di dalam proses perusahaan berkomunikasi satu sama lainnya sangat penting terkait

dengan fungsi TI untuk menyediakan jenis dan tingkat yang diperlukan layanan dalam

rangka mencapai tujuan perusahaan. Selain itu, struktur pemerintahan harus sejajar

Kelompok 5 9A BPKP

6

dengan struktur organisasi.

- Executive Leadership & Support

Dewan, CEO, CIO, dan anggota tim manajemen senior lainnya harus menetapkan visi

yang jelas untuk memahami organisasi dan berkomunikasi bagaimana TI mendukung

dan memungkinkan perusahaan untuk mencapai tujuannya, yang pada gilirannya

memungkinkan ROI yang lebih efektif pada belanja TI. Dengan demikian TI dapat

berperan dalam perencanaan strategis perusahaan. Tidak hanya sebagai belanja biaya

dari perusahaan tersebut.

- Service Delivery & Measurement

Pengukuran ini memungkinkan manajemen TI untuk memahami bagaimana kinerja jika

dibandingkan dengan rencana strategis, dan untuk lebih memahami bagaimana untuk

mengelola biaya jasa pengiriman secara lebih efektif dengan menggunakan IT oleh unit

organisasi, bidang usaha, dll.

- IT Organization & Risk Management

Keberhasilan TI sangat tergantung pada arah yang diberikan oleh dewan, CEO, dan

anggota lainnya manajemen senior. Arah ini dibangun ke dalam dan dikomunikasikan

melalui rencana strategis organisasi dan struktur.

- Strategic & Operational Planning

Rencana strategis mencerminkan bagaimana sebuah TI mengambil peran dan

tanggung jawab dalam usaha perusahaan mencapai tujuan. Rencana operasi sendiri

merupakan mekanisme bagaimana TI mendukung dan memungkinkan pencapaian

tujuan yang ditetapkan dalam rencana strategis.

IT Controls

aaaaaBank melaksanakan verifikasi terhadap akurasi dan kelengkapan dari transaksi

dan melaksanakan prosedur otorisasi, sesuai dengan ketentuan intern. Kegiatan

pengendalian sistem informasi dapat digolongkan dalam dua kriteria, yaitu

pengendalian umum dan pengendalian aplikasi.

Pengendalian umum (general control) meliputi pengendalian terhadap operasional

pusat data, sistem pengadaan dan pemeliharaan software,pengamanan akses, serta

Kelompok 5 9A BPKP

7

pengembangan dan pemeliharaan sistem aplikasi yang ada. Pengendalian umum ini

diterapkan terhadap mainframe, server, dan users workstation, serta jaringan internal

eksternal. Salah satu bentuk pengendalian umum adalah dibentuknya Disaster

Recovery Center (DRC) sebagai alternative ketika Data Center tidak bisa diakses.

Pengendalian aplikasi (application controls) diterapkan terhadap program yang

digunakan Bank dalam mengolah transaksi dan untuk memastikan bahwa semua

transaksi adalah benar, akurat dan telah diotorisasi secara benar. Berikut adalah bentuk

pengendalian aplikasi pada Bank Mandiri:

Menggunakan sistem keamanan standar internasional dengan enkripsi SSL 128

bit (Secure Socket Layer 128 bit Encryption) yang akan mengacak data

transaksi

Pengamanan pintu akses dengan Firewall (ISP>Web Server>Data Server>Host)

Proses pendaftaran melalui ATM Mandiri atau Cabang Bank Mandiri

Proses aktivasi di www.bankmandiri.co.id dengan Access ID & Access Code

Mouse over Warning Access, pada saat login untuk mengingatkan web site

palsu

Verifikasi user dengan User ID & PIN Internet Banking pada saat login

Auto Logoff (Session Time Out ) jika Nasabah lupa log-out

Seluruh aktifitas nasabah di Internet Banking Mandiri akan tercatat oleh sistem

Nasabah dapat melihat seluruh aktifitas yang dilakukan pada Internet Banking

Mandiri selama jangka waktu tertentu

Notifikasi melalui e-mail dan SMS* untuk setiap transaksi yang dilakukan

Limit transaksi per hari hingga Rp. 10.000.000,-

Verifikasi transaksi dengan Token PIN Mandiri

aaaaaPengendalian atas tata kelola TI termasuk di dalamnya adalah kebijakan bank

mandiri atas TI, salah satunya adalah kebijakan kerahasiaan nasabah yang

menggunakan Internet Banking Mandiri. Aplikasi Internet Banking Mandiri dijamin

kerahasiaan dan keamanannya, dalam hal ini Bank Mandiri menggunakan teknologi

enkripsi Secure Socket Layer (SSL) 128 bit, yang akan melindungi komunikasi antara

komputer Nasabah dengan server Bank Mandiri. Untuk menambah keamanan

Kelompok 5 9A BPKP

8

digunakan metode time out session, dimana setelah 10 menit tanpa aktivitas Nasabah,

maka akses akan tidak aktif lagi.

aaaaaSelain itu Bank Mandiri akan menjaga kerahasian data pengguna Internet

Banking Mandiri, dan hanya orang tertentu yang berhak untuk mengakses informasi

tersebut untuk digunakan sebagaimana mestinya (dalam hal ini Bank Mandiri akan

selalu mengingatkan karyawan akan pentingnya menjaga kerahasian data Nasabah).

Bank Mandiri tidak akan memperlihatkan/menjual data tersebut kepada pihak ke tiga.

Bank Mandiri juga tidak secara otomatis mengumpulkan informasi data pengunjung

Internet Banking Mandiri, hanya beberapa informasi umum yang akan dikumpulkan dan

digunakan antara lain :

Nama domain yang akan digunakan Nasabah untuk mengakses internet

Internet address yang digunakan untuk mengakses web site Bank Mandiri

Browser yang digunakan

Hari, tanggal & waktu mengakses internet

Pilihan yang ditentukan oleh Nasabah untuk memberikan informasi kepada

Bank, antara lain jenis rekening

aaaaaUntuk dapat mengakses Internet Banking Mandiri Nasabah harus memasukkan

terlebih dahulu User ID dan PIN, dan untuk keamanan Nasabah diharuskan

memasukkan kembali PIN untuk setiap transaksi yang bersifat finansial.

IT Risk Management

aaaaaSelain manfaat dan keunggulan yang diperoleh dari penggunaan TI dalam

pelaksanaan operasional bank, tentunya terdapat risiko yang dapat menyebabkan

timbulnya kerugian pada bank dan nasabah. Risiko yang terkait dengan pemanfaatan

TI oleh bank, antara lain, risiko reputasi, risiko operasional, risiko hukum, dan risiko

perbankan lainnya seperti likuiditas dan kredit. Risiko-risiko tersebut timbul karena ada

kesalahan TI, misalnya:

1. Jaringan terganggu akibat tindakan seseorrang atau force majure sehingga EDI

tidak dapat berjalan dengan baik

2. Skimming di mesin ATM

Kelompok 5 9A BPKP

9

3. Informasi hasil TI tidak valid, sehingga menyebabkan kesalahan dalam

pengambulan keputusan

4. Database disalahgunakan, dan lain sebagainya.

aaaaaBerikut adalah daftar Top Risk yang dilansir oleh auditor internal bank mandiri

dimana hampir semua jenis risiko mengandung unsur TI di dalamnya.

Suatu resiko perlu didefinisikan dalam suatu pendekatan yang sistematis, sehingga

pengaruh dari resiko yang timbul atas pengembangan teknologi informasi pada suatu

Kelompok 5 9A BPKP

10

organisasi dapat diantisipasi dan di identifikasi sebelumnya. Mendefinisikan suatu

resiko dalam pengembangan teknologi informasi pada suatu organisasi terkait dengan

Siklus Hidup Pengembangan Sistem (System Development Life Cycle [SDLC]), dimana

fase-fase penerapan SDLC dalam pengembangan teknologi informasi harus

mengakomodir risiko-risiko terkait sehingga mampu di mitigasi dengan baik.

Berdasarkan Peraturan Bank Indonesia no. 9/15/PBI/2007, untuk meminimalkan risiko-

risiko potensial dalam penggunaan TI, maka penerapan manajemen risiko, paling

kurang, mencakup :

a. Pengawasan aktif dari Dewan Komisaris dan Direksi,

b. Kecukupan kebijakan dan prosedur dalam penggunaan TI,

c. Kecukupan proses identifikasi, pengukuran, pemantauan, dan pengendalian

risiko penggunaan TI,

d. Sistem pengendalian intern atas penggunaan TI.

aaaaaDalam hal penerapannya, manajemen risiko harus dilakukan secara terintegrasi

di dalam setiap tahapan penggunaan TI dimulai dari proses perencanaan,

pengembangan/pengadaan, operasional, pemeliharaan, hingga penghentian dan

penghapusan sumber daya TI. Proses manajemen risiko di bank dilakukan, minimal,

terhadap aspek-aspek yang terkait pengembangan dan pengadaan TI, operasional TI,

jaringan komunikasi, pengamanan informasi, Business Continuity Plan (BCP), end user

computing, electronic banking, dan penggunaan pihak penyedia jasa TI (PBI no.

9/15/PBI/2007).

aaaaaPelaksanaan audit oleh bank diperlukan untuk mengawasi dan mengendalikan

operasional TI, dan bertujuan untuk memastikan bahwa kebijakan dan prosedur

penggunaan TI telah tersedia dan dilaksanakan secara memadai. Audit, baik secara

internal maupun eksternal, harus mencakup penggunaan TI yang diselenggarakan

sendiri oleh bank maupun oleh penyedia jasa TI.

Kelompok 5 9A BPKP

11

Peran Auditor Internal Bank Mandiri

aaaaaUntuk memenuhi tanggung jawab terkait TI, fungsi audit internal setidaknya

harus:

1. Mengidentifikasi dan melakukan risk assessment atas risiko TI organisasi

2. Memiliki auditor dengan kompetensi memadai di bidang TI dan mampu

menggunakan teknik audit berbasis teknologi

3. Memasukkan TI organisasi sebagai bagian dari rencana audit tahunan

4. Melakukan Assessment terhadap IT Governance, management, dan technical

controls

aaaaaBeberapa risiko yang menjadi fokus audit (Top 6 Risks), akan dipantau secara

bankwide melalui mekanisme continuous auditing sehingga deteksi atas indikasi

penyimpangan dapat diketahui lebih dini. Deteksi atas penyimpangan tersebut dapat

diketahui dengan memanfaatkan indikator risiko yang melebihi threshold yang

ditetapkan. Hasil dari continuous auditing akan disampaikan kepada unit terkait untuk

segera dilakukan koreksi, sementara itu jika memerlukan evaluasi lebih jauh maka

dapat dilakukan on site dan surprised audit oleh internal audit. Dengan menerapkan

strategi continuous auditing maka coverage audit atas risiko-risiko tertentu dapat

dilakukan secara luas dan intensif. Terhadap risiko utama yang tidak dapat dipantau

melalui mekanisme continuous auditing, maka dilakukan audit secara on site ataupun

on desk.