risiko, pengamanan dan pengendalian · pdf filepenggunaan teknologi computer dan komunikasi di...
Post on 13-Feb-2018
244 Views
Preview:
TRANSCRIPT
Banking Audit with ACL
BAB IIIRISIKO, PENGAMANAN DAN PENGENDALIAN APLIKASI
3.1 RISIKO
Penggunaan teknologi computer dan komunikasi di bidang perbankan,
pada satu sisi dapat meningkatkan efisiensi kegiatan operasional, kualitas
dan kecepatan pelayanan pada nasabah yang pada akhirnya akan
meningkatkan keunggulan bersaing bank tersebut. Sedangkan di sisi lain
mengandung risiko potensial, yang apabila tidak diantisipasi dengan baik
akan merugikan bank yang bersangkutan. Menurut Soepraptomo (1994),
ada tiga jenis risiko yang dihadapi bank dalam penggunaan teknologi
informasi dan komputer. Pertama, environment risk atau risiko yang
berasal dari lingkungan intern dan ekstern bank yang meliputi faktor
loyalitas staf dan kesadaran atas pengamanan. Kedua, operation risk atau
risiko yang lahir akibat kegiatan operasional bank, sehingga semakin besar
skala kegiatan yang dikomputerisasikan, maka semakin besar potensi
kejahatan yang mungkin muncul. Ketiga, produk atau service risk yaitu
risiko yang muncul karena bank melansir satu produk atau jasa.
Penggunaan teknologi sistem informasi (TSI) dalam melakukan
pemrosesan data sangat berbeda dari sistem manual. Walaupun kedua
sistem tersebut sama-sama dapat menimbulkan risiko, akan tetapi
penggunaan TSI memiliki risiko yang lebih bersifat teknis dan khusus
(Panduan Pengendalian Umum TSI-BI 1995), diantaranya adalah :
Risiko, Pengamanan dan Pengendalian Aplikasi 29
Banking Audit with ACL
1. Risiko pada tahap perencanaan dan pengembangan sistem
Risiko pada tahap perencanaan dan pengembangan sistem terjadi bila
orang-orang yang menggunakan sistem dan mengerti prosedur
pemakaian aplikasi tidak dilibatkan, sehingga pada saat aplikasi
diimplementasikan terjadi kesalahan-kesalahan prosedur operasional
yang telah ada. Kebutuhan-kebutuhan end user tidak terpenuhi akibat
tidak diikutsertakan dalam tahap perencanaan pembuatan aplikasi.
Tahapan perencanaan tidak menggunakan standar perancangan
sistem sehingga aliran informasi dan kebutuhan sistem tidak terpenuhi
2. Risiko kekeliruan pada tahap pengoperasian
Tidak adanya panduan pemakaian sistem (user manual system) dan
tidak ada pesan kesalahan dalam pemakaian sistem, sehingga
informasi akhir tidak sesuai dengan yang dibutuhkan
3. Risiko akses oleh pihak yang tidak berwenang
Pembatasan pemakaian sistem aplikasi setiap pemakaian sistem dan
pencegahan akses bagi yang tidak berwenang
4. Risiko kerugian akibat terhentinya operasi TSI secara total atau
sementara sehingga mengganggu kelancaran operasional bank. Risiko
ini terjadi bila salah satu bagian dari TSI tidak mendukung seperti
hardware, software, sistem aplikasi, data dan sarana pendukung
operasional mengalami gangguan. Misalkan kerusakan server sehingga
sistem aplikasi perbankan tidak dapat digunakan
Risiko, Pengamanan dan Pengendalian Aplikasi 30
Banking Audit with ACL
5. Risiko kehilangan / kerusakan data
Risiko kehilangan / kerusakan data yang berakibat bank tidak dapat
beroperasi.
Jenis-jenis risiko tersebut menuntut pihak bank untuk berhati-hati
dalam penggunaan teknologi informasi dan komputer dan konsekuensinya
adalah memasukkan faktor sistem keamanan data sebagai salah satu
kriteria dalam pemilihan teknologi komputer dan informasi yang akan
diterapkan oleh bank yang bersangkutan. Beberapa alternatif yang bisa
dilakukan untuk mengantisipasi dan menanggulangi risiko tersebut,
diantaranya adalah pemilihan sumber daya manusia yang berkualitas,
aspek manajemen bisnis perbankan, serta pengenalan berbagai metode
sistem keamanan data yang perlu diimplementasikan pada teknologi
sistem informasi itu sendiri.
3.2 PENERAPAN PENGENDALIAN INTERN PADA SISTEM
APLIKASI
Pengendalian intern adalah metode-metode atau prosedur-
prosedur yang digunakan dalam proses bisnis untuk menjaga kekayaan
perusahaan, memonitor keakuratan data keuangan serta mendorong
efisiensi operasi, dan melaksanakan kebijakan manajemen (Zucconi,
1987). Sedangkan menurut Muljono (1992), pengendalian internal
Risiko, Pengamanan dan Pengendalian Aplikasi 31
Banking Audit with ACL
meliputi susunan organisasi dan semua cara dan peraturan yang telah
ditetapkan oleh perusahaan untuk menjaga dan mengamankan harta
miliknya, memeriksa kecermatan dan kebenaran data-data
administrasi/keuangan, memajukan efisiensi kerja dan mendorong
dipatuhinya kebijaksanaan yang telah ditetapkan oleh top management.
Pengendalian internal di bank yang sudah menerapkan teknologi
komputer dalam operasionalnya harus tercermin dalam aplikasi komputer
yang digunakan tersebut. Masalahnya adalah bagaimana bentuk
implementasi internal control yang memadai tersebut. Beberapa pedoman
umum yang dapat diikuti, yaitu :
1. Adanya plan of organization yang dilengkapi dengan pemisahan
wewenang dan tanggung jawab secara fungsional, yaitu :
a. Pemisahan fungsi penyimpanan dari asset dan fungsi
akuntansi/administrasi
b. Pemisahan fungsi penyimpanan dan pejabat yang mempunyai
wewenang dalam melaksanakan transkasi, misalnya pemisahan
fungsi teller dengan pejabat yang mengotorisasi transaksi dengan
nominal sangat besar
c. Pemisahan petugas operasional dengan fungsi administrasi
2. Adanya sistem pembagian wewenang yang memadai dalam setiap
proses kegiatan
Risiko, Pengamanan dan Pengendalian Aplikasi 32
Banking Audit with ACL
3. Adanya praktek-praktek kerja yang sehat dalam melaksanakan setiap
tugas dan fungsi yang harus dilakukan oleh setiap tingkat manajemen
dan oleh semua personalia di masing-masing bank
4. Adanya tingkat kualitas personil yang sesuai dengan wewenang dan
tanggung jawabnya
A. Pembagian Tugas (Division of duties)
Pemisahan tugas dalam kegiatan perbankan dimaksudkan untuk
mendapatkan internal check secara otomatis melalui prosedur kerja yang
melibatkan fungsi-fungsi operasional sesuai dengan wewenang dan
tingkat otoritas masing-masing. Teknis pemrograman komputernya
biasanya menggunakan sistem keamanan yang berlapis, misalnya melalui
pembatasan wewenang menggunakan file data base atau file program
dengan menggunakan sistem operasi Novell Netware jika bank tersebut
menggunakan jaringan komputer, serta pembatasan penggunaan menu
aplikasi perbankan yang bisa di-set-up oleh pejabat yang berwenang.
Pembagian tugas pada operasional bank biasanya dapat dilihat
pada sistem dan prosedur operasional bank untuk setiap aktifitas yang
dilakukan bank sesuai dengan fungsi dan peranan perbankan. Contoh-
contoh sistem dan prosedur tersebut dapat dilihat pada gambar-gambar
yang terdapat pada halaman akhir bagian ini. Secara umum pejabat atau
bagian yang terlibat dengan tugas dan wewenang masing-masing pada
kasus ini adalah sebagai berikut :
Risiko, Pengamanan dan Pengendalian Aplikasi 33
Banking Audit with ACL
1. Customer Service yang akan menerima aplikasi permohonan
pembukaan tabungan dan menginputnya ke sistem aplikasi tabungan
sehingga diperoleh nomor rekening nasabah
2. Teller akan menerima selembar check miliki nasabah dan akan
menginput jumlah nominalnya ke rekening nasabah
3. Bagian kliring sebagai offset (lawan dalam jurnal akuntansinya
terhadap rekening tabungan) yang akan mencatat dan memproses
check tersebut selanjutnya
4. Bagian akuntansi (terletak di back office) yang akan mencatat
transaksi tersebut dan menyusun laporan keuangannya, misal pada
saat proses akhir hari
Pembagian tugas ini juga bisa diterapkan pada tingkatan otoritas
diantara pegawai bank dalam hal tugas dan tanggung jawab yang
berbeda sesuai dengan deskripsi tugasnya masing-masing. Contoh tingkat
otoritas pada bagian teller adalah sebagai berikut :
K06 Teller pemula dibatasi hanya untuk penarikan tunai di bawah
Rp. 10.000.000,00
K05 Teller senior untuk transaksi sampai dengan Rp. 25.000.000,00
K04 Head Teller untuk transaksi sampai dengan Rp. 50.000.000 serta
mengubah limit transaksi teller yang menjadi tanggung jawabnya
Contoh tingkat otorisasi dalam sistem Tabungan :
Risiko, Pengamanan dan Pengendalian Aplikasi 34
Banking Audit with ACL
Gambar 3.1 Daftar user ID beserta batasan wewenang dan otorisasi
B. Dual control
Dual control adalah suatu bentuk prosedur kerja yang menciptakan
suatu pengecekan ulang suatu pekerjaan yang telah dilakukan oleh
petugas sebelumnya, dengan tujuan untuk menciptakan :
1. Apakah pelaksanaan tugas tersebut telah dilakukan sesuai batasan
wewenangnya
2. Apakan transaksi yang terjadi telah dicatat, dibukukan,
diadminitrasikan dengan benar
3. Apakah transaksi-transaksi tersebut telah dilaksanakan dengan benar
Contoh metode penerapan pada aplikasi komputernya adalah dengan
sistem offset departemen (pemeriksaan ulang secara otomatis dengan
menggunakan komputer tanpa menggunakan dokumen tertulis atau
paperless) pada contoh kasus di atas, dengan penjelasan sebagai berikut :
Risiko, Pengamanan dan Pengendalian Aplikasi 35
** BANK GUNADARMA ** Kode Staff Tanggal : 18/07/94-------------------------------------------------------------------------------OP Sandi N a m a Bts.Wng. Autorisasi Exp-Date Kd.Cab.-------------------------------------------------------------------------------
K01 CASH OFFICER 500000000.00 1 18/07/94 01K02 CUSTOMER SERVICE 0.00 4 18/07/94 01K03 HEAD TELLER 50000000.00 1 18/07/94 01K04 FARIDA (TELLER1) 25000000.00 3 18/07/94 01K05 KARTIKA (TELLER2) 7000000.00 3 18/07/94 01K06 JUNIAR (TELLER3) 2000000.00 3 18/07/94 01K07 EDP 0.00 1 18/07/94 01MAS PASSWORD 0.00 9 18/07/94 01
Banking Audit with ACL
1. Teller secara otomatis akan menginput jumlah penyetoran, misal
sebesar Rp. 1.000.000 (dengan catatan kliring sudah efektif).
Pencatatan akuntansi mengharuskan jika terjadi penambahan
tabungan (sisi kredit) maka ada pasangan rekening lawan yang di
debet. Tetapi masalahnya, rekening lawan tersebut (misalnya warkat
kliring) bukan wewenang teller yang bersangkutan. Hal ini bisa
ditangani dengan menggunakan prosedur offset departemen, yaitu
pada saat teller selesai menginput penambahan tabungan, sistem
aplikasi tabungan membuat jurnal lawannya sebesar Rp. 1.000.000
yang ditujukan ke bagian kliring. Status pencatatan ini bersifat
sementara sampai bagian kliring yang menggunakan sistem aplikasi
tabungan yang sama membuat penjurnalan balik
2. Bagian kliring seharusnya melakukan penjurnalan balik segera offset
yang dilakukan bagian tabungan tersebut dan secara efektif
menambahkannya ke dalam ledger yang tetap yaitu warkat kliring
sebesar Rp. 1.000.000. Jika bagian kliring tersebut belum membalik
jurnalnya, maka pada saat bagian akuntansi (back office) melakukan
proses akhir hari untuk menghitung saldo hari ini, maka sisten secara
otomatis akan mendeteksinya yaitu dengan membuat laporan offset
departemen dan bisa diketahui bagian mana yang belum melakukan
jurnal balik.
Risiko, Pengamanan dan Pengendalian Aplikasi 36
Banking Audit with ACL
C. Joint custody (Dual Custody )
Sistem atau prosedur dalam penyimpanan uang, surat-surat
berharga, atau dokumen lainnya dengan menggunakan kunci yang
diciptakan lebih dari satu kombinasi dengan maksud untuk menghindari
kemungkinan penyalahgunaan oleh pemegang kunci atau pemaksaan
pihak lain. Contohnya penyimpanan uang di main vault (lemari besi) yang
harus menggunakan dua orang, misal kunci satu oleh petugas front office
dan kunci utama oleh pegawai dengan jabatan lebih tinggi.
Gambar 3.2 Flowchart Buka Sistem
Risiko, Pengamanan dan Pengendalian Aplikasi 37
Ya
Tidak
Mulai
Tgl sistem sama ?
Rubah Tanggal
Masukkan Id & Password Petugas yang berwenang
(Teller)
Masukkan Tanggal Proses Hari Berikutnya
Persetujuan dari atasan (Head Teller)
Selesai
Banking Audit with ACL
Dual custody juga bisa diterapkan pada sistem aplikasi komputer,
yaitu prosedur membuka sistem pada saat sistem aplikasi tersebut
akan digunakan (misalnya pagi hari pada saat bank mulai
beroperasi pada hari tersebut). Sistem aplikasi tersebut baru bisa
dijalankan jika sudah dibuka oleh dua orang pegawai, biasanya
satu pejabat operasional dan satu pejabat manajerial.
D. Number control
Bentuk mekanisme pengawasan melalui prenumbered atas formulir
dan kertas-kertas kerja yang dipakai untuk melaksanakan kegiatan
transaksi-transaksi sehari-hari, maupun pemberian kode penomoran yang
sistematis atas setiap transaksi, dengan maksud :
1. Mempermudah pengendalian arus pekerjaan itu sendiri
2. Pengawasan atas formulir-formulir kerja itu sendiri terutama atas surat
berharga yang dapat diperjualbelikan
3. Mempermudah pelaksanaan kembali apabila terjadi penyimpangan-
penyimpangan
Number control ini biasanya diterapkan pada nomor nota transaksi yang
diinput oleh teller atau nota posting transaksi pada sistem general ledger
bank.
Risiko, Pengamanan dan Pengendalian Aplikasi 38
Banking Audit with ACL
E. Independence balancing
Independence balancing adalah bentuk pengawasan melalui
persamaan akuntansi yang secar otomatis akan menghasilkan
keseimbangan antara saldo suatu rekening dengan rekening lainnya
mengingat proses akuntansi yang benar tentu akan menghasilkan saldo-
saldo yang seimbang. Untuk lebih menjamin kebenaran atas
keseimbangan saldo-saldo tersebut maka sebaiknya antara proses
penyusunan rekening tersebut dengan rekening lawannya dikelola oleh
petugas-petugas yang terpisah. Independence balancing akan
memudahkan memeriksa kebenaran transaksi, misal jumlah uang tunai
fisik yang menjadi tanggung jawab salah seorang teller bisa dibandingkan
dengan rekapitulasi transaksi yang sudah diinput oleh teller tersebut yang
bisa dicetak sistem aplikasi tabungan oleh petugas bagian back office atau
oleh head teller.
Prinsip independence balancing juga bisa terlihat dalam
pemeriksaan transaksi yang melibatkan dua departemen seperti contoh di
atas. Pada saat bagian akuntansi mencetak neraca harian pada saat
proses akhir hari, neraca tersebut menunjukkan saldo antara aktiva dan
pasiva yang seimbang tetapi harus diperiksa rekening atau ledgernya
terlebih dahulu. Jika terdapat rekening selisih yang ditunjukkan pada
rekening offset departemen pada sejumlah nominal tertentu, misal
sebesar Rp. 10.000.000, maka hal ini menunjukkan prosedur transaksi
Risiko, Pengamanan dan Pengendalian Aplikasi 39
Banking Audit with ACL
yang salah akibat salah satu departemen belum membalikkan transaksi
tersebut dan dialokasikan pada rekening yang seharusnya.
3.3 METODE PENGAMANAN DAN PENGENDALIAN
Ketergantungan kelancaran kegiatan operasional perbankan
terhadap sistem aplikasi yang cenderung semakin tinggi, sejalan dengan
resiko kerugian yang mungkin timbul, maka diperlukan adanya mekanisme
kontrol dan pengamanan yang memadai. Dengan tersedianya mekanisme
kontrol dan pengamanan yang memada, kelancaran kegiatan usaha akan
terjamin dan kemungkinan timbulnya resiko yang diakibatkan oleh
penyelenggaraan TSI oleh bank akan dapat dihindari/dikurangi. Adapun
prosedur pengamanan data yang harus dilakukan oleh pengguna sistem
aplikasi diantaranya adalah
• Pembatasan akses dilakukan dengan tujuan untuk mengurangi
kemungkinan timbulnya resiko penggunaan sistem aplikasi oleh pihak
yang tidak berwenang, terutama kerugian sebagai akibat dari
perubahan, kerusakan dan hilangnya data. Dalam sistem pengamanan
ini diperlukan adanya mekanisme yang dapat digunakan untuk
memantau akses pihak yang tidak berwenang.
Risiko, Pengamanan dan Pengendalian Aplikasi 40
Banking Audit with ACL
• Penetapan petugas yang bertanggung jawab untuk merumuskan dan
melaksanakan fungsi pengamanan dan maintenance terhadap sistem
aplikasi. Untuk menjamin efektivitas fungsi pengamanan, maka
petugas tersebut sebaiknya tidak diberikan tugas-tugas yang
berhubungan dengan pengoperasian, data entry dan transaksi.
• Pembatasan akses, sehingga fasilitas akses terhadap sistem aplikasi
hanya dapat dilakukan oleh petugas yang berwenang dengan melalui
pemberian password.
• Prosedur pengamanan tersebut sekurang-kurangnya dapat menjamin
bahwa semua laporan aktivitas pengamanan, termasuk laporan akses-
akses yang tidak berwenang, dianalisis secara teratur untuk
mengetahui kelemahan-kelemahan pengamanan dan melakukan tindak
lanjutnya.
• Back up data, sistem aplikasi, perangkat keras dan lunak yang
mendukung dengan prosedur back up yang baik yaitu back up
dilakukan beberapa kali dengan tempat penyimpanan yang berbeda
serta lokasi yang aman dari gangguan fisik dan manusia.
Pengendalian apalikasi secara umum terdiri dari dua bentuk
pengendalian yaitu pengendalian file (file control) dan pengendalian
transaksi (transaction control). Teknik-teknik yang digunakan dalam
pengendalian aplikasi ini adalah relatif banyak jumlahnya tetapi secara
umum dikelompokkan berdasarkan tujuannya, yaitu untuk (1) ketepatan
Risiko, Pengamanan dan Pengendalian Aplikasi 41
Banking Audit with ACL
dan kelengkapan input, (2) ketepatan dan kelengkapan up date, (3)
validitas transaksi, (4) transaksi yang dibangkitkan secara otomatis oleh
komputer, (5) memelihara data yang tersimpan pada file, (6)
pengendalian pembuatan file dan konversi ke sistem baru, serta termasuk
(7) pengendalian operasional dan administratif.
Dari berbagai teknik-teknik yang tersedia, pada modul ini hanya
dibatasi pada teknik-teknik pengendalian yang diimplementasikan pada
sebuah contoh program aplikasi perbankan, yaitu aplikasi general ledger
dan aplikasi tabungan. Teknik-teknik pengendaliannya lebih banyak pada
pengendalian transaksi (transaction control), yaitu:
1. Teknik-Teknik untuk menjamin kelengkapan input yaitu dengan
computer matching (Kasusnya adalah pembukaan rekening baru). Jika
pengisian data belum lengkap maka sistem komputer akan menolak
dan tidak akan diproses lebih lanjut.
2. Teknik-teknik untuk menjamin ketepatan input dengan programmed
edit check, yang meliputi reasonableness checks, dependency checks,
existence checks, format checks, mathematical accuracy checks, dan
check digit verifikation (kasusnya adalah check digit pada nomor
rekening tabungan). Penjelasan singkat berbagai teknik programmed
edit checks tersebut adalah sebagai berikut:
Reasonable check
Risiko, Pengamanan dan Pengendalian Aplikasi 42
Banking Audit with ACL
Memeriksa apakan isi data yang dimasukkan ke dalam sistem
berada pada kisaran yang sudah ditetapkan sebelumnya. Contohnya
adalah tanggal transaksi pada besok hari otomatis tidak bisa diterima
jika tanggal sistem atau tanggal proses yang sedang berjalan adalah
tanggal hari ini.
Dependency Checks
Menguji apakah isi dua atau lebih elemen data atau field pada
transaksi mengandung hubungan logis yang benar. Hubungan tersebut
biasanya mengenai tanggal dan indikator, misalnya tanggal jatuh
tempo deposito berkaitan dengan tanggal pembukaan deposito atau
contoh lainnya, jika seorang nasabah tergolong bukan prime customer,
maka pengisian persen bunga tidak bisa diinput sembarangan (misal
jauh lebih lebih tinggi dari yang lain) tetapi berdasarkan tabel bunga
yang sudah ditetapkan sebelumnya.
Existence checks
Menguji kode data yang dimasukkan sesuai dengan kode yang
sudah tersimpan di dalam file atau program. Contohnya adalah
penjurnalan suatu transaksi pada aplilasi general ledger harus
menginput nomor ledger atau sub ledger yang sesuai dengan sistem
penomoran yang sudah ditetapkan sebelumnya, atau contoh lainnya,
Risiko, Pengamanan dan Pengendalian Aplikasi 43
Banking Audit with ACL
pemasukkan kode transaksi biasanya sesuai dengan kode-kode yang
sudah ditetapkan sebelumnya.
Format Checks
Menguji kesesuaian format data transaksi (eksistensi format
numerik atau karakter abjad). Contohnya adalah jika nominal transaksi
diisi dengan karakter maka sistem akan menolak (biasanya dilengkapi
dengan pesan atau bunyi kesalahan), atau nama nasabah tidak boleh
dikosongkan pada input data nasabah.
Mathematical accuracy checks
Memeriksa perhitungan matematis yang dilakukan oleh sistem,
misalnya jika posisi saldo satu rekening adalah Rp 100 000, maka
sistem akan menolak seandainya diinput transaksi penarikan tabungan
sebesar Rp 500 000.
Range checks
Pemeriksaan ini masih tergolong dalam ketepatan matematis,
contohnya adalah input tanggal transaksi dengan angka 32 akan ditolak
karena kisaran jumlah hari dalam satu bulan tidak melebihi 31 hari.
Check digit verification
Risiko, Pengamanan dan Pengendalian Aplikasi 44
Banking Audit with ACL
Teknik ini digunakan untuk mengendalikan ketepatan input
dengan menggunakan suatu nomor referensi, yang biasanya
dibangkitkan atau dibuat secara otomatis oleh sistem komputer.
Contohnya adalah check digit pada nomor rekening tabungan yaitu 1
digit terakhir yang dihitung secara matematis berdasarkan deretan digit
sebelumnya. Contoh operasi matematis yang digunakan adalah
modulus (sisa pembagian) 11.
3. Teknik untuk menjamin kelengkapan up date, yaitu dengan computer
matching (kasusnya adalah proses akhir hari untuk meng-update
saldo).
4. Teknik-teknik untuk menjamin validitas transaksi, yaitu melalui proses
otorisasi transaksi pada program (kasusnya adalah tingkatan otorisasi
pengguna sistem aplikasi tabungan)
3.4 CONTOH PENGAMANAN DAN PENGENDALIAN
APLIKASI
1. Pada Aplikasi General Ledger
Level otorisasi dan password
Level otorisasi tertinggi ada pada masing-masing pimpinan cabang
(0xx) dan masing-masing pimpinan akan membuat ID & otorisasi bagi
areanya.
Risiko, Pengamanan dan Pengendalian Aplikasi 45
Banking Audit with ACL
Contoh :
1XX : Kepala Group 4XX : User Operasional2XX : Kepala Departemen 8XX : Team Audit3XX : Supervisor 9XX : System Operasional
Pimpinan (user level 000)
membuatkan user ID untuk pimpinan-pimpinan cabang
Cabang 0A1 cabang 0A2 cabang 0A3 …dst.
Masing-masing pimpinan cabang membuat user ID untuk kepala group
dan pejabat lainnya pada cabang-cabang tersebut
1AA 1BB…..dst Kepala group/divisi
Tahap selanjutnya untuk supervisor dan user
201 Ka.dep. personalia 301 Supv. personalia 401 user opr.personalia 801 audit personalia 901 DPC personalia
202 Ka.dep. umum 302 Supv. umum 402 user opr.umum 802 audit umum 902 DPC umum
203 Ka.dep. giro-prk 303 Supv. Giro-prk 403 user opr.giro 803 audit giro 903 DPC giro-prk
Risiko, Pengamanan dan Pengendalian Aplikasi 46
1AA
Ka Dep. TabunganKa Dep. Deposito
Ka Dep. CIS
1BB
Ka Dep. Giro & PRKKa Dep. Pinjaman
1CC
Ka Dep. SundriesKa Dep. Transfer
1DD
Ka Dep. PersonaliaKa Dep. Umum
1EE
Ka Dep. Audit
1FF
Ka Dep. DPC
Banking Audit with ACL
204 Ka.dep. deposito 304 Supv. deposito 404 user opr.deposito 804 audit deposito 904 DPC deposito
205 Ka.dep. tabungan 305 Supv. tabungan 405 user opr.tabungan 805 audit tabungan 905 DPC tabungan
206 Ka.dep. pinjaman 306 Supv. pinjaman 406 user opr.pinjaman 806 audit pinjaman 906 DPC pinjaman
207 Ka.dep. CIS 307 Supv. CIS 407 user opr.CIS 807 audit CIS 907 DPC CIS
208 Ka.dep. sundries 308 Supv. sundries 408 user opr.sundries 808 audit sundries 908 DPC sundries
209 Ka.dep. transfer 309 Supv. transfer 409 user opr.transfer 809 audit transfer 909 DPC transfer
Batasan wewenang
User level 000 dapat masuk ke menu :
a. pembuatan password (menu no. 23)
b. Posting mutasi (menu no. 41)
c. Melihat mutasi pernota (menu no. 51)
d. Offset departemen (menu no. 53)
e. Melihat Saldo hari ini (menu no. 54)
f. Melihat posisi saldo (menu no. 55)
g. Laporan selama proses (menu 61)
h. Laporan Saldo (menu 62)
i. Laporan audit (menu 63)
j. Laporan akunting (menu 64)
k. Laporan master file (menu 65)
2. Pada Aplikasi Tabungan
User ID/Password
Risiko, Pengamanan dan Pengendalian Aplikasi 47
Banking Audit with ACL
User ID digunakan untuk menjaga kerahasiaan data atau informasi yang
tidak bisa diakses oleh orang lain, atau metode ini digunakan untuk
memenuhi faktor security pada tujuan sistem keamanan. Penggunaan
sistem aplikasi perbankan untuk operasional tidak terlepas dari user
id/password yaitu orang atau pejabat bank yang berhak mengoperasikan
sistem aplikasi tersebut yang juga sudah dilengkapi dengan tingkat
otorisasinya sesuai dengan tugas dan tanggung jawabnya dalam
operasional perbankan. Hal-hal yang perlu diperhatikan dalam user
id/password ini adalah kehati-hatian dalam pemasukannya untuk
menghindari diketahui oleh orang lain (aspek security) dan pemeliharaan
periode berlakunya user id/password tersebut (maintenance). Metode
pengamanan datanya menggunakan enkripsi, yaitu dengan mengaburkan
tampilan input data pada layar (screen saver ) untuk menghindari
penggunaan tugas dan wewenangnya oleh orang lain pada saat yang
bersangkutan sudah masuk ke sistem aplikasi tetapi sedang tidak berada
di tempat.
Pemberian akses dengan pemberian password kepada setiap
pengguna. Pemberian password didasarkan pada suatu kebijaksanaan
password secara tertulis dan didokumentasikan baik dalam hal
penambahan, pengapusan, pengubahan kemanpuan setiap pengguna.
Perumusan ketentuan tertulis mengenai sistem password tersebut antara
lain adalah :
• Jumlah karekter contohnya pada aplikasi tabungan sebanyak 8
Risiko, Pengamanan dan Pengendalian Aplikasi 48
Banking Audit with ACL
• Tidak ditampilkan ada waktu membuka sistem dimana telah dienkripsi
pada layar
• Tidak dapat dicetak pada maintenace password
• Disimpan dalam file setelah dilakukan enkripsi
• Log off secara otomatis apabila pengguna tidak aktif untuk beberapa
waktu tertentu
• Penon-aktifan password apabila seorang pengguna pindah/berhenti
kerja atau cuti
• Pembatasan kegagalan log-on contohnya pada aplikasi tabungan
sebanyak 3 kali
Check Digit
Check digit sering digunakan bank-bank dalam struktur nomor rekening
dengan tujuan untuk menghindari kesalahan nomor rekening nasabah
yang seharusnya ke nomor rekening nasabah lain. Secara umum, check
digit menggunakan rumus matematika yang mengoperasikan deretan
bilangan-bilangan pada nomor rekening yang di-set oleh bank dan
biasanya ditempatkan pada digit terakhir dari suatu nomor rekening.
Salah satu contoh struktur nomor rekening nasabah tabungan suatu bank
adalah sebagai berikut X1X2 . X3X4 . X5 . X6X7X8X9X10 . X11. Nomor
rekening tersebut menunjukkan beberapa informasi sesuai dengan
kebijakan yang sudah ditetapkan bank, diantaranya adalah :
X1X2 Kode cabang bank dengan kapasitas maksimal 100 kantor cabang mulai 00 sampai
Risiko, Pengamanan dan Pengendalian Aplikasi 49
Banking Audit with ACL
99X3X4 Kode aplikasi yang digunakan (Tabungan, Giro atau Deposito)X5 Kode mata uang yang digunakanX6 - X10 Nomor urut nasabah yang dapat menampung 99999 orang nasabahX11 Check digit yang dihitung otomatis komputer dengan menggunakan rumus
matematis tertentu yang mengoperasikan nilai-nilai pada digit-digit sebelumnya
Sedangkan salah satu contoh rumus matematis yang digunakan
untuk menghitung check digit tersebut adalah
X11 = Σ Xi mod 11
Sehingga apabila diketahui 10 digit pertama suatu nomor rekening adalah
02.05.0.00150.…, maka dengan menggunakan rumus di atas, perhitungan
check digit-nya adalah sebagai berikut :
Z = (10)+(22)+(30)+(45)+(50)+(60)+(70)+(81)+(95)+(100) = 77
Dimana X11 = 77 mod 11 = 0, jadi struktur nomor rekening Tabungan
selengkapnya 02.05.0.00150.0
Level otorisasi
Level otorisasi tertinggi ada pada masing-masing pimpinan cabang
dan masing-masing pimpinan akan membuat ID & otorisasi bagi areanya.
Tabel 3.1 Tingkatan Otorisasi
Tingkatan Keterangan
1 Kepala Departemen
2 Checker / Supervisor
3 Teller Front Office
4 Customer Service
Risiko, Pengamanan dan Pengendalian Aplikasi 50
i=1
n
Banking Audit with ACL
5 Data Procesing
6 Data Control
8 Teller Back Office
9 Security Password
Untuk melihat tingkatan otorisasi dapat dilihat pada pembuatan User ID
yang dapat dilihat pada gambar dibawah ini :
Gambar 3.3 Maintenance Password beserta wewenang dan batasan
pemakaian menu sistem aplikasi perbankan
Pada pembuatan User_ID K01 dengan jabatan sebagai Cash
Officer mempunyai level otorisasi 1 sebagai Kepala Departemen yang
mempunyai batasan wewenang penarikan 01 (tertinggi) dan dapat
membuka sebagai berikut:
• menu Cash officer dari nomer 1 sampai dengan nomer 11
• menu Rekening Khusus nomer 4 dan 5
• menu Akhir Hari 7 s/d 13 dan 15
Risiko, Pengamanan dan Pengendalian Aplikasi 51
** BANK GUNADARMA ** 18/07/94 TABUNGAN Maintenance Password+------------------------------------------------------------------------------+¦ 1. Staff-Id :K01 ¦¦ 2. Password : ¦¦ 3. Nama :CASH OFFICER ¦¦ 4. Autorisasi :1 ¦¦ 5. Kode batasan wewenang :01 ¦¦ 6. Batas Waktu Password :18/07/94 ¦¦ 7. Kode cabang :01 ¦¦ Isi dgn Y/T ===> 1, 2, 3, 4, 5, 6, 7, 8, 9,10,11,12,13,14,15,16,17,18¦¦ 8. Kode Cash Officer : Y--Y--Y--Y--Y--Y--Y--Y--Y--Y--Y-- -- -- -- -- -- -- ¦¦ 9. Kode Head Teller : -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- ¦¦10. Kode Teller : -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- ¦¦11. Kode R/K Khusus : -- -- -- --Y--Y-- -- -- -- -- -- -- -- -- -- -- -- ¦¦12. Kode Akhir Hari : -- -- -- -- -- --Y--Y--Y--Y--Y--Y--Y-- --Y-- -- -- ¦¦13. Kode Akhir Bulan : Y-- --Y--Y--Y--Y--Y--Y--Y--Y-- -- -- -- -- -- -- -- ¦¦ ¦¦ ¦¦ ¦+------------------------------------------------------------------------------+ DATA OK (Y/T) 2
Banking Audit with ACL
• menu Akhir Bulan 1 dan 3 s/d 10
Batasan Wewenang
Batasan wewenang pada aplikasi Tabungan adalah membatasi
setiap user untuk mengeluarkan uang (melayani penarikan uang). Batasan
seorang teller senior akan lebih tinggi dibandingkan dengan teller junior,
bila dibandingkan dengan Head Teller tentunya akan lebih rendah
tingkatannya. Daftar batasan wewenang dapat di lihat pada menu Cash
Officer seperti sebagai berikut :
Gambar 3.4 Daftar batasan wewenang penarikan uang
Message Error
Pasa saat melakukan aktifitas dalam aplikasi tabungan melakukan
salah input akan menampilkan informasi pada layar, baik hasil dari
kegiatan pembukaan rekening yaitu bila kode account officer yang (AO)
melakukan pengesahan pembukaan rekening tidak diinput maka akan
Risiko, Pengamanan dan Pengendalian Aplikasi 52
** BANK GUNADARMA ** Kode Batas Wewenang Tanggal : 18/07/94------------------------------------------------------------------------------- No. Kode Batas Pengambilan-------------------------------------------------------------------------------
1 01 500,000,000.00 2 02 100,000,000.00 3 03 50,000,000.00 4 04 25,000,000.00 5 05 7,000,000.00 6 06 2,000,000.00 7 07 0.00
Banking Audit with ACL
ada informasi AO tidak ada begitu pula dengan tempat tanggal lahir yang
tidak diisi maka akan muncul pesan pada layar monitor. Untuk kegiatan
proses akhir hari bila, prosedu back up belum dilakukan maka pesan harus
melakukan back up akan tampil pada layar.
Laporan Penghapusan Transaksi
Bila melakukan penghapusan transaksi, transaksi yang dihapus
tidak langsung hilang dari database tetapi akan disimpan untuk
mengetahui teller yang sering melakukan kesalahan input.
Prosedur kerja yang tidak dijalankan dengan baik
Pada tahapan akhir hari dan akhir bulan bila prosedur yang ada
tidak dijalankan dengan benar pada suatu tahap akan muncul kesalahan
dan tahapan kerja selanjutnya tidak dapat dijalankan. Untuk sistem
aplikasi tabungan pada saat belum melakukan back up maka proses akhir
hari tidak dapat dilakukan serta bila proses akhir hari sudah dilakukan ada
transaksi yang belum diinput maka transaksi tidak dapat dilakukan
Risiko, Pengamanan dan Pengendalian Aplikasi 53
top related