home daftar isi - elearning.gunadarma.ac.id · jejak audit yang memadai akan sangat membantu...
TRANSCRIPT
TSI-Perbankan
HOME DAFTAR ISI
A3
RISIKO DAN SYSTEM CONTROL REQUIREMENTS
Sasaran : 1. Memahami risiko-risiko secara umum pada penggunaan teknologi
komputer di bidang perbankan 2. Memahami metode pengamanan dan pengendalian pada Aplikasi
Perbankan 3. Memahami penerapan pengendalian intern pada Aplikasi
Perbankan
Institusi keuangan (perbankan) telah menawarkan layanan yang
didasarkan atas kemampuan elektronik untuk menunjang kegiatan
operasionalnya. Layanan dimaksud berupa electronic banking, phone
banking, automated teller machine, automated clearinghouse, dan, yang
sedang berkembang sekarang ini, yakni internet banking. Kecanggihan
teknologi tersebut memberikan banyak kemudahan kepada para
penggunanya, baik karyawan bank tersebut maupun nasabah.
Bila ditinjau lebih jauh, kemampuan layanan secara elektronik yang
ditawarkan oleh perbankan dapat dikategorikan ke dalam 3 level derajat
fungsional. Level I adalah sistem yang hanya menyediakan informasi atau
dapat melakukan transmisi data yang tidak sensitif (seperti, e-mail). Level
II adalah sistem yang mengizinkan pemakai untuk membagi informasi
yang sensitif dan mampu berkomunikasi (seperti, electronic information
transfer system). Level III adalah sistem yang menyediakan fasilitas
transfer dana secara elektronik serta transaksi keuangan lainnya (seperti,
electronic payment system). Dalam bagian berikut akan diuraikan
beberapa hal yang diperlukan oleh financial management system agar
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 41
TSI-Perbankan
dapat diaudit secara memadai dan risiko-risiko yang mungkin terjadi pada
penerapan teknologi komputer di perbankan.
SYSTEM CONTROL REQUIREMENT UNTUK FINANCIAL MANAGEMENT Tipe kontrol : Perangkat lunak (software)
Bagian/divisi yang bertanggung jawab: operasional
Jejak audit yang memadai akan sangat membantu terpeliharanya
transaksi pada sistem finansil (financial system). Untuk tujuan tersebut,
Financial management systems harus dapat memberikan hal-hal berikut.
Jejak audit yang memungkinkan kita untuk menelusuri transaksi dari
dokumen-dokumen sumber, input (original input), perubahan-
perubahan dan perbaikan, sistem lain, dan transaksi yang dibuata
(generated) secara otomatik oleh sistem;
Jejak audit yang memungkinkan kita untuk menelusuri transaksi dari
dokumen-dokumen dan rangkuman (daftar) mutasi pada laporan
keuangan. Penelusuran transaksi yang lengkap dimulai dari dokumen-
dokumen sumber (termasuk jika ada perubahan atau perbaikan) pada
subbuku besar (Subsidiary) dan General Ledger sampai ke laporan
keuangan atau sebaliknya;
Jejak audit yang memungkinkan kita untuk mengidentifikasi
perubahan yang terjadi pada parameter sistem dan tabel-tabel pada
sistem yang mempengaruhi proses atau pemrosesan ulang untuk
setiap transaksi; dan
Jejak audit yang mampu mengidentifikasi melalui dokumen input,
terjadinya perubahan-perubahan, penghapusan transaksi, dan
persetujuan atas suatu transaksi
Internal kontrol: kontrol transaksi
Tipe kontrol: Perangkat lunak (software)
Kontrol transaksi (transaction controls) terdiri dari kontrol input, kontrol
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 42
TSI-Perbankan
proses, dan kontrol output bertujuan untuk menghindari, mendeteksi, dan
memperbaiki kesalahan yang mungkin timbul pada saat transaksi akan
diotorisasi yang nantinya akan menghasilkan laporan keuangan. Untuk
tujuan tersebut, maka sistem harus dapat mengontrol fungsi otorisasi
transaksi dan persetujuan, validasi, input, komunikasi, proses
penyimpanan, dan output.
Kontrol transaksi digunakan untuk mendeteksi berbagai situasi berikut:
Kegagalan pencatatan transaksi;
Transaksi yang tidak benar atau transaksi yang tidak lengkap;
Transaksi ganda;
Transaksi yang hilang;
Nilai nominal transaksi yang tidak benar;
Transaksi yang tidak terotorisasi, berhasil melalui proses normal;
Ketidaktepatan dalam menggunakan program testing sebagai cara
untuk membantu menghindari prosedur kontrol pada proses normal;
dan
Pengaksesan sistem dan file oleh pihak yang tidak berwenang
Contoh kontrol untuk situasi di atas, termasuk perbaikan transaksinya,
adalah sistem secara spesifik dapat memeriksa transaksi untuk
memastikan bahwa hanya transaksi yang benar yang diproses. Jika
terjadi perbaikan transaksi, sistem harus dapat mencatat petugas yang
telah mengotorisasi perbaikan tersebut dan berapa kali perbaikan
dilakukan
RISIKO Penggunaan teknologi komputer dan komunikasi di bidang perbankan
pada satu sisi dapat meningkatkan efisiensi kegiatan operasional, kualitas,
dan kecepatan pelayanan pada nasabah yang pada akhirnya akan
meningkatkan keunggulan bersaing bank tersebut. Sedangkan di sisi lain
mengandung risiko potensial, yang apabila tidak diantisipasi dengan baik
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 43
TSI-Perbankan
akan merugikan bank yang bersangkutan. Menurut Soepraptomo (1994),
ada tiga jenis risiko yang dihadapi bank dalam menggunakan teknologi
informasi dan komputer. Pertama, environment risk atau risiko yang
berasal dari lingkungan intern dan ekstern bank, yang meliputi faktor
loyalitas staf dan kesadaran atas pengamanan. Kedua, operation risk atau
risiko yang lahir akibat kegiatan operasional bank, sehingga semakin
besar skala kegiatan yang dikomputerisasikan, maka semakin besar
potensi kejahatan yang mungkin muncul. Ketiga, product risk atau service
risk, yaitu risiko yang muncul karena bank melansir satu produk atau jasa.
Penggunaan teknologi sistem informasi (TSI) dalam melakukan
pemrosesan data sangat berbeda dari sistem manual. Walaupun kedua
sistem tersebut sama-sama dapat menimbulkan risiko, akan tetapi
penggunaan TSI memiliki risiko yang lebih bersifat teknis dan khusus
(Panduan Pengendalian Umum TSI – BI, 1995). Risiko-risiko tersebut,
antara lain, adalah:
1. Risiko pada tahap perencanaan dan pengembangan sistem Risiko pada tahap perencanaan dan pengembangan sistem terjadi bila
orang-orang yang menggunakan sistem dan mengerti prosedur
pemakaian aplikasi tidak dilibatkan, sehingga pada saat aplikasi
diimplementasikan terjadi kesalahan-kesalahan prosedur operasional
yang telah ada. Kebutuhan-kebutuhan end user tidak terpenuhi akibat
tidak diikutsertakan dalam tahap perencanaan pembuatan aplikasi. Di
sini tahapan perencanaan tidak menggunakan standar perancangan
sistem sehingga aliran informasi dan kebutuhan sistem tidak terpenuhi.
2. Risiko kekeliruan pada tahap pengoperasian Tidak adanya panduan pemakaian sistem (user manual system) dan
tidak adanya pesan kesalahan dalam pemakaian sistem, sehingga
informasi akhir tidak sesuai dengan yang dibutuhkan.
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 44
TSI-Perbankan
3. Risiko akses oleh pihak yang tidak berwenang Pembatasan pemakaian sistem aplikasi setiap pemakaian sistem dan
pencegahan akses bagi yang tidak berwewang .
4. Risiko kerugian akibat terhentinya operasi TSI secara total atau sementara, sehingga mengganggu kelancaran operasional bank
Risiko ini terjadi bila salah satu bagian dari TSI tidak mendukung,
seperti hardware, software, sistem aplikasi, data, dan sarana
pendukung operasional mengalami gangguan. Misalnya kerusakan
server sehingga sistem aplikasi perbankan tidak dapat digunakan.
5. Risiko kehilangan/kerusakan data Risiko kehilangan/kerusakan data yang berakibat bank tidak dapat
operasi.
Jenis-jenis risiko tersebut menuntut pihak bank untuk berhati-hati dalam
penggunaan teknologi informasi dan komputer. Caranya adalah
memasukkan faktor sistem keamanan data sebagai salah satu kriteria
dalam pemilihan teknologi komputer dan informasi yang akan diterapkan
oleh bank yang bersangkutan. Beberapa alternatif yang bisa dilakukan
untuk mengantisipasi dan menanggulangi risiko tersebut, di antaranya
adalah pemilihan sumber daya manusia yang berkualitas, aspek
manajemen bisnis perbankan, dan pengenalan berbagai metode sistem
keamanan data yang perlu diimplementasikan pada teknologi sistem
informasi itu sendiri.
PENGAMANAN DAN PENGENDALIAN APLIKASI
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 45
TSI-Perbankan
PENERAPAN PENGENDALIAN INTERNAL PADA SISTEM APLIKASI Pengendalian internal adalah metode-metode atau prosedur-prosedur
yang digunakan dalam proses bisnis untuk menjaga kekayaan
perusahaan, memonitor keakuratan data keuangan, mendorong efisiensi
operasi, dan melaksanakan kebijakan manajemen (Zucconi, 1987).
Sedangkan menurut Muljono (1992), pengendalian internal meliputi
susunan organisasi dan semua cara dan peraturan yang telah ditetapkan
oleh perusahaan untuk menjaga dan mengamankan harta miliknya,
memeriksa kecermatan dan kebenaran data-data administrasi/keuangan,
memajukan efisiensi kerja, dan mendorong dipatuhinya kebijaksanaan
yang telah ditetapkan oleh top management.
Pengendalian internal di bank yang sudah menerapkan teknologi
komputer dalam operasionalnya harus tercermin dalam aplikasi komputer
yang digunakan. Masalahnya adalah bagaimana bentuk implementasi
internal control yang memadai tersebut. Berikut adalah beberapa
pedoman umum yang dapat diikuti dalam rangka menerapkan sistem
pengendalian internal.
1. Adanya plan of organization yang dilengkapi dengan pemisahan
wewenang dan tanggung jawab secara fungsional, yang meliputi:
a. Pemisahan antara fungsi penyimpanan dari asset dan fungsi
akuntansi/administrasi;
b. Pemisahan antara fungsi penyimpanan dan pejabat yang
mempunyai wewenang dalam melaksanakan transkasi, misalnya
pemisahan antara fungsi teller dan pejabat yang mengotorisasi
transaksi dengan nominal sangat besar; dan
c. Pemisahan antara petugas operasional dan fungsi administrasi;
2. Adanya sistem pembagian wewenang yang memadai dalam setiap
proses kegiatan
3. Adanya praktek-praktek kerja yang sehat dalam melaksanakan setiap
tugas dan fungsi yang harus dilakukan oleh setiap tingkat manajemen
dan oleh semua personalia di masing-masing bank; dan
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 46
TSI-Perbankan
4. Adanya tingkat kualitas personil yang sesuai dengan wewenang dan
tanggung jawabnya.
1. Pembagian Tugas (Division of duties) Pemisahan tugas dalam kegiatan perbankan dimaksudkan untuk
mendapatkan internal check secara otomatik melalui prosedur kerja yang
melibatkan fungsi-fungsi operasional sesuai dengan wewenang dan
tingkat otoritas masing-masing. Teknik pemrograman komputernya
biasanya menggunakan sistem keamanan yang berlapis, misalnya melalui
pembatasan wewenang menggunakan file data base atau file program
dengan menggunakan sistem operasi Novell Netware jika bank tersebut
menggunakan jaringan komputer, serta pembatasan penggunaan menu
Aplikasi Perbankan yang bisa di-set-up oleh pejabat yang berwenang.
Pembagian tugas pada operasional bank biasanya dapat dilihat pada
sistem dan prosedur operasional bank untuk setiap aktivitas yang
dilakukan bank sesuai dengan fungsi dan peranan perbankan. Contoh-
contoh sistem dan prosedur tersebut dapat dilihat pada gambar-gambar
yang terdapat pada halaman akhir bagian ini.
Secara umum pejabat atau bagian yang terlibat dengan tugas dan
wewenang masing-masing pada kasus ini adalah sebagai berikut:
1. Customer Service yang akan menerima aplikasi permohonan
pembukaan tabungan dan meng-input-nya ke dalam sistem Aplikasi
Tabungan sehingga diperoleh nomor rekening nasabah;
2. Teller akan menerima selembar cek (check) milik nasabah dan akan
meng-input jumlah nominalnya ke rekening nasabah;
3. Bagian kliring sebagai offset (lawan dalam jurnal akuntansinya
terhadap rekening tabungan) yang akan mencatat dan memproses
check tersebut selanjutnya; dan
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 47
TSI-Perbankan
4. Bagian akuntansi (terletak di back office) yang akan mencatat
transaksi tersebut dan menyusun laporan keuangannya, misalnya
pada saat proses akhir hari.
Pembagian tugas ini juga bisa diterapkan pada tingkatan otoritas di antara
pegawai bank dalam hal tugas dan tanggung jawab yang berbeda sesuai
dengan deskripsi tugasnya masing-masing. Contoh tingkat otoritas pada
bagian teller adalah sebagai berikut.
Tabel 3.1 Contoh Tingkat Otoritas Bagian Teller
No. Kode Keterangan 1 T06 Teller pemula dibatasi hanya untuk penarikan tunai di
bawah Rp. 10.000.000,00
2 T05 Teller senior untuk transaksi sampai dengan Rp. 25.000.000,00
3 T04 Head Teller untuk transaksi sampai dengan Rp. 50.000.000 serta mengubah limit transaksi teller yang menjadi tanggung jawabnya
Contoh tingkat otorisasi dalam sistem Tabungan :
2. Dual control Dual control adalah suatu bentuk prosedur kerja yang menciptakan suatu
pengecekan ulang suatu pekerjaan yang telah dilakukan oleh petugas
sebelumnya, dengan tujuan untuk menciptakan kondisi berikut.
1. Apakah pelaksanaan tugas tersebut telah dilakukan sesuai batasan
wewenangnya;
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 48
TSI-Perbankan
** BANK GUNADARMA **
Kode Staff
Tanggal : 08/11/99
-------------------------------------------------------------------------------
OP Sandi N a m a Bts.Wng. Autorisasi Exp-Date Kd.Cab.
-------------------------------------------------------------------------------
COF CASH OFFICER 500000000.00 1 08/11/99 01
CSO CUSTOMER SERVICE 250000.00 4 08/12/99 01
EDP EDP 50000000.00 3 08/11/99 01
GT1 TELLER_1 25000000.00 3 08/12/99 01
GT2 TELLER_2 5000000.00 3 08/12/99 01
GT3 TELLER_3 2000000.00 3 08/12/99 01
HTL HEAD TELLER 500000000.00 1 08/11/99 01
MAS PASSWORD 0.00 9 12/09/92 01
Tekan Enter untuk kembali ke menu
Gambar 3.1 Daftar user ID beserta batasan wewenang dan otorisasi
2. Apakah transaksi yang terjadi telah dicatat, dibukukan, dan
diadministrasikan dengan benar; dan
3. Apakah transaksi-transaksi tersebut telah dilaksanakan dengan benar.
Contoh metode penerapan pada aplikasi komputernya adalah dengan
sistem offset departemen (pemeriksaan ulang secara otomatik dengan
menggunakan komputer tanpa menggunakan dokumen tertulis atau
paperless). Contoh kasus di atas penjelasannya adalah sebagai berikut .
1. Teller secara otomatik akan meng-input jumlah penyetoran,
misalnya sebesar Rp. 1.000.000 (dengan catatan kliring sudah
efektif). Pencatatan akuntansi mengharuskan bahwa jika terjadi
penambahan tabungan (sisi kredit) maka ada pasangan rekening
lawan yang di-debet. Tetapi masalahnya, rekening lawan tersebut
(misalnya warkat kliring) bukan wewenang teller yang bersangkutan.
Hal ini bisa ditangani dengan menggunakan prosedur offset
departemen, yaitu pada saat teller selesai meng-input penambahan
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 49
TSI-Perbankan
tabungan, sistem Aplikasi Tabungan membuat jurnal lawannya
sebesar Rp. 1.000.000 yang ditujukan ke bagian kliring. Status
pencatatan ini bersifat sementara sampai bagian kliring yang
menggunakan sistem aplikasi tabungan yang sama membuat
penjurnalan balik;
2. Bagian kliring seharusnya melakukan penjurnalan balik segera offset
yang dilakukan bagian tabungan tersebut dan secara efektif
menambahkannya ke dalam ledger yang tetap, yaitu warkat kliring
sebesar Rp. 1.000.000. Jika bagian kliring tersebut belum membalik
jurnalnya, maka pada saat bagian akuntansi (back office) melakukan
proses akhir hari untuk menghitung saldo hari ini, maka sisten secara
otomatik akan mendeteksinya, yaitu dengan membuat laporan offset
departemen dan bisa diketahui bagian mana yang belum melakukan
jurnal balik.
3. Joint custody (Dual Custody) Sistem atau prosedur dalam penyimpanan uang, surat-surat berharga,
atau dokumen lainnya dengan menggunakan kunci yang diciptakan lebih
dari satu kombinasi dengan maksud untuk menghindari kemungkinan
penyalahgunaan oleh pemegang kunci atau pemaksaan pihak lain.
Contohnya penyimpanan uang di main vault (lemari besi) yang harus
menggunakan dua orang, misalnya kunci satu oleh petugas front office
dan kunci utama oleh pegawai dengan jabatan lebih tinggi.
Dual custody juga bisa diterapkan pada sistem aplikasi komputer, yaitu
prosedur membuka sistem pada saat sistem aplikasi tersebut akan
digunakan (misalnya pagi hari pada saat bank mulai beroperasi pada hari
tersebut). Sistem aplikasi tersebut baru bisa dijalankan jika sudah dibuka
oleh dua orang pegawai, biasanya satu pejabat operasional dan satu
pejabat manajerial.
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 50
TSI-Perbankan
Mulai
tgl sistemsama?
ya
Masukkan ID &password petugas yang
berwenang (Teller)
Masukkan tanggalproses hariberikutnya
Persetujuan dari atasan(Head Teller)
Selesai
Ubah tanggaltidak
Gambar 3.2 Bagan Alir Buka Sistem
4. Number control Bentuk mekanisme pengawasan, baik melalui prenumbered atas formulir
dan kertas-kertas kerja yang dipakai untuk melaksanakan kegiatan
transaksi-transaksi sehari-hari maupun pemberian kode penomoran yang
sistematis atas setiap transaksi, dimaksudkan untuk tujuan berikut.
1. Mempermudah pengendalian arus pekerjaan itu sendiri;
2. Pengawasan atas formulir-formulir kerja itu sendiri terutama atas surat
berharga yang dapat diperjualbelikan; dan
3. Mempermudah pelaksanaan kembali apabila terjadi penyimpangan-
penyimpangan.
Salah satu contoh penerapan number control ini yaitu pada nomor nota
transaksi yang di-input oleh teller atau nota posting transaksi pada sistem
general ledger .
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 51
TSI-Perbankan
5. Independence balancing Independence balancing adalah bentuk pengawasan melalui persamaan
akuntansi yang secara otomatik akan menghasilkan keseimbangan antara
saldo suatu rekening dan rekening lainnya. Syarat tersebut perlu dipenuhi
mengingat bahwa proses akuntansi yang benar akan menghasilkan saldo-
saldo yang seimbang. Untuk lebih menjamin kebenaran atas
keseimbangan saldo-saldo tersebut, sebaiknya antara proses penyusunan
rekening tersebut dan rekening lawannya dikelola oleh petugas-petugas
yang terpisah. Independence balancing akan memudahkan memeriksa
kebenaran transaksi, misalnya jumlah uang tunai fisik yang menjadi
tanggung jawab salah seorang teller bisa dibandingkan dengan
rekapitulasi transaksi yang sudah di-input oleh teller tersebut yang bisa
dicetak sistem Aplikasi Tabungan oleh petugas bagian back office atau
oleh head teller.
Prinsip independence balancing juga bisa terlihat dalam pemeriksaan
transaksi yang melibatkan dua departemen seperti contoh di atas. Pada
saat bagian akuntansi mencetak neraca harian pada saat proses akhir
hari, neraca tersebut menunjukkan saldo antara aktiva dan pasiva yang
seimbang tetapi harus diperiksa rekening atau ledger-nya terlebih dahulu.
Jika terdapat rekening selisih yang ditunjukkan pada rekening offset
departemen pada sejumlah nominal tertentu, misalnya sebesar Rp.
10.000.000, hal ini menunjukkan adanya prosedur transaksi yang salah
akibat salah satu departemen belum membalikkan transaksi tersebut dan
dialokasikan pada rekening yang seharusnya.
METODE PENGAMANAN DAN PENGENDALIAN APLIKASI Ketergantungan kelancaran kegiatan operasional perbankan pada sistem
plikasi cenderung semakin tinggi sejalan dengan risiko kerugian yang
mungkin timbul. Oleh karena itu, diperlukan adanya mekanisme kontrol
dan pengamanan yang memadai. Dengan tersedianya mekanisme kontrol
dan pengamanan yang memadai, kelancaran kegiatan usaha akan
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 52
TSI-Perbankan
terjamin dan kemungkinan timbulnya risiko yang diakibatkan oleh
penyelenggaraan TSI oleh bank akan dapat dihindari/dikurangi. Adapun
prosedur pengamanan data yang harus dilakukan oleh pengguna sistem
aplikasi. Prosedur pengamanan dimaksud, di antaranya adalah:
• Pembatasan akses dilakukan dengan tujuan untuk mengurangi
kemungkinan timbulnya risiko penggunaan sistem aplikasi oleh pihak
yang tidak berwenang, terutama kerugian sebagai akibat dari
perubahan, kerusakan, dan hilangnya data. Dalam sistem
pengamanan ini diperlukan adanya mekanisme yang dapat digunakan
untuk memantau akses pihak yang tidak berwenang;
• Penetapan petugas yang bertanggung jawab untuk merumuskan dan
melaksanakan fungsi pengamanan dan maintenance terhadap sistem
aplikasi. Untuk menjamin efektivitas fungsi pengamanan, maka
petugas tersebut sebaiknya tidak diberikan tugas-tugas yang
berhubungan dengan pengoperasian, data entry, dan transaksi;
• Pembatasan akses sedemikian rupa sehingga fasilitas akses terhadap
sistem aplikasi hanya dapat dilakukan oleh petugas yang berwenang
dengan melalui pemberian passwordI;
• Prosedur pengamanan tersebut sekurang-kurangnya dapat menjamin
bahwa semua laporan aktivitas pengamanan, termasuk laporan akses-
akses yang tidak berwenang, dianalisa secara teratur untuk
mengetahui kelemahan-kelemahan pengamanan dan melakukan
tindak lanjutnya; dan
• Back up data, sistem aplikasi, perangkat keras dan lunak yang
mendukung dengan prosedur back up yang baik yaitu back up
dilakukan beberapa kali dengan tempat penyimpanan yang berbeda
serta lokasi yang aman dari gangguan fisik dan manusia.
Pengendalian aplikasi secara umum terdiri dari dua bentuk pengendalian
yaitu pengendalian file (file control) dan pengendalian transaksi
(transaction control). Teknik-teknik yang digunakan dalam pengendalian
aplikasi ini adalah relatif banyak jumlahnya tetapi secara umum
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 53
TSI-Perbankan
dikelompokkan berdasarkan tujuannya, yaitu untuk (1) ketepatan dan
kelengkapan input, (2) ketepatan dan kelengkapan up date, (3) validitas
transaksi, (4) transaksi yang dibangkitkan secara otomatik oleh komputer,
(5) memelihara data yang tersimpan pada file, (6) pengendalian
pembuatan file dan konversi ke sistem baru, dan (7) pengendalian
operasional dan administratif.
Banyak teknik yang tersedia, namun dalam modul ini pembahasan
dibatasi hanya pada teknik-teknik pengendalian yang diimplementasikan
pada sebuah contoh program Aplikasi Perbankan, yaitu Aplikasi General
Ledger, Aplikasi Tabungan, dan Aplikasi Giro. Teknik-teknik pengendalian
yang diterapkan dalam ketiga aplikasi tersebut lebih banyak pada
pengendalian transaksi (transaction control), yaitu:
1. Teknik-teknik untuk menjamin kelengkapan input, yaitu dengan
computer matching (kasusnya adalah pembukaan rekening baru). Jika
pengisian data belum lengkap maka sistem komputer akan menolak
dan tidak akan diproses lebih lanjut;
2. Teknik-teknik untuk menjamin ketepatan input dengan programmed edit
check, yang meliputi reasonableness checks, dependency checks,
existence checks, format checks, mathematical accuracy checks, dan
check digit verification (kasusnya adalah check digit pada nomor
rekening tabungan). Penjelasan singkat berbagai teknik programmed
edit checks tersebut adalah sebagai berikut:
Reasonableness check Memeriksa apakah isi data yang dimasukkan ke dalam sistem
reasonable dikaitkan dengan pemasukan data sebelumnya atau
menurut standar yang telah ditetapkan. Contohnya adalah tanggal
transaksi pada besok hari otomatik tidak bisa diterima jika tanggal
sistem atau tanggal proses yang sedang berjalan adalah tanggal hari
ini. Pada sistem Aplikasi Tabungan dan Aplikasi Giro hal ini dapat
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 54
TSI-Perbankan
diperiksa antara lain melalui pencocokan tanggal sistem dan tanggal
valuta transaksi. Jika terjadi transaksi kemarin dimasukkan hari ini,
aplikasi dapat mengantisipasi yaitu melalui transaksi back value.
Dependency Checks Menguji apakah isi dua atau lebih elemen data atau field pada transaksi
mengandung hubungan logis yang benar. Hubungan tersebut biasanya
mengenai tanggal dan indikator, misalnya tanggal jatuh tempo deposito
berkaitan dengan tanggal pembukaan deposito atau contoh lainnya
yaitu pada aplikasi tabungan, jika seorang nasabah tergolong bukan
prime customer, maka pengisian persen bunga tidak bisa di-input
sembarangan (misal jauh lebih lebih tinggi dari yang lain) tetapi
berdasarkan tabel bunga yang sudah ditetapkan sebelumnya.
Existence checks Menguji kode data yang dimasukkan sesuai dengan kode yang sudah
tersimpan di dalam file atau program. Contohnya adalah penjurnalan
suatu transaksi pada Aplikasi General Ledger harus meng-input nomor
ledger atau subledger yang sesuai dengan sistem penomoran yang
sudah ditetapkan sebelumnya. Contoh lainnya, pemasukan kode
transaksi pada Aplikasi Tabungan dan Aplikasi Giro biasanya sesuai
dengan kode-kode yang sudah ditetapkan sebelumnya. Kode-kode ini
tentunya dimunculkan pada tampilan layar monitor untuk memudahkan
pengguna (user) memasukkan transaksi.
Format Checks Menguji kesesuaian format data transaksi (eksistensi format numerik
atau karakter abjad). Contohnya adalah jika nominal transaksi diisi
dengan karakter maka sistem akan menolak (biasanya dilengkapi
dengan pesan atau bunyi kesalahan), atau nama nasabah tidak boleh
dikosongkan pada input data nasabah.
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 55
TSI-Perbankan
Mathematical accuracy checks Memeriksa perhitungan matematik yang dilakukan oleh sistem,
misalnya jika posisi saldo satu rekening adalah Rp 100.000, maka
sistem akan menolak seandainya di-input transaksi penarikan tabungan
sebesar Rp 500.000.
Range checks Pemeriksaan ini masih tergolong dalam ketepatan matematik
Contohnya adalah input tanggal transaksi dengan angka 32 akan
ditolak karena kisaran jumlah hari dalam satu bulan tidak melebihi 31
hari.
Check digit verification Teknik ini digunakan untuk mengendalikan ketepatan input dengan
menggunakan suatu nomor referensi yang biasanya dibangkitkan atau
dibuat secara otomatik oleh sistem komputer. Contohnya adalah check
digit pada nomor rekening tabungan yaitu 1 digit terakhir yang dihitung
secara matematik berdasarkan deretan digit sebelumnya. Contoh
operasi matematik yang digunakan adalah modulus (sisa pembagian)
11.
3. Teknik untuk menjamin kelengkapan up date, yaitu dengan computer
matching (kasusnya adalah proses akhir hari untuk meng-update
saldo).
4. Teknik-teknik untuk menjamin validitas transaksi, yaitu melalui proses
otorisasi transaksi pada program (kasusnya adalah tingkatan otorisasi
pengguna sistem aplikasi tabungan).
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 56
TSI-Perbankan
CONTOH PENGAMANAN DAN PENGENDALIAN APLIKASI 1. Pada Aplikasi General Ledger
Level otorisasi dan password Level otorisasi tertinggi ada pada masing-masing pimpinan cabang (0xx)
dan masing-masing pimpinan akan membuat ID dan otorisasi bagi
areanya. Contohnya dapat dilihat pada tabel berikut.
Tabel 3.2 Contoh ID dan Otorisasi
No ID Keterangan No ID Keterangan
1 1XX Kepala Group 4 4XX User Operasional
2 2XX Kepala Departemen 5 8XX Team Audit
3 3XX Supervisor 6 9XX System Operasional
Contoh skema pembuatan user ID tersaji pada Gambar 3.3.
Pimpinan (user level 000)
membuatkan user ID untuk pimpinan-pimpinan cabang
Cabang 0A1 cabang 0A2 cabang 0A3 …dst. Masing-masing pimpinan cabang membuat user ID untuk kepala group
dan pejabat lainnya pada cabang-cabang tersebut
1AA 1BB…..dst Kepala group/divisi
1FF
Ka Dep. DPC
1EE
Ka Dep. Audit
1DD
Ka Dep. Personalia Ka Dep. Umum
1CC
Ka Dep. Sundries Ka Dep. Transfer
1BB
Ka Dep. Giro & PRK Ka Dep. Pinjaman
1AA
Ka Dep. Tabungan Ka Dep. Deposito
Ka Dep. CIS
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 57
TSI-Perbankan
Tahap selanjutnya untuk supervisor dan user
201 Ka.dep. personalia
301 Supv. personalia
401 user opr.personalia
801 audit personalia
901 DPC personalia
202 Ka.dep. umum 302 Supv. umum 402 user opr.umum 802 audit umum 902 DPC umum
203 Ka.dep. giro-prk
303 Supv. Giro-prk
403 user opr.giro 803 audit giro 903 DPC giro-prk
204 Ka.dep. deposito
304 Supv. deposito
404 user opr.deposito
804 audit deposito
904 DPC deposito
205 Ka.dep. tabungan
305 Supv. tabungan
405 user opr.tabungan
805 audit tabungan
905 DPC tabungan
206 Ka.dep. pinjaman
306 Supv. pinjaman
406 user opr.pinjaman
806 audit pinjaman
906 DPC pinjaman
207 Ka.dep. CIS 307 Supv. CIS 407 user opr.CIS 807 audit CIS 907 DPC CIS
208 Ka.dep. sundries
308 Supv. sundries
408 user opr.sundries
808 audit sundries
908 DPC sundries
209 Ka.dep. transfer
309 Supv. transfer
409 user opr.transfer
809 audit transfer
909 DPC transfer
Gambar 3.3 Skema Pembuatan user_ID
Batasan wewenang User level 000 dapat masuk ke menu:
a. pembuatan password (menu 23)
b. Posting mutasi (menu 41)
c. Melihat mutasi per nota (menu 51)
d. Offset departemen (menu 53)
e. Melihat saldo hari ini (menu 54)
f. Melihat posisi saldo (menu 55)
g. Laporan selama proses (menu 61)
h. Laporan Saldo (menu 62)
i. Laporan Audit (menu 63)
j. Laporan Akunting (menu 64)
k. Laporan Master file (menu 65)
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 58
TSI-Perbankan
2. Pada Aplikasi Tabungan dan giro User ID/Password User ID digunakan untuk menjaga kerahasiaan data atau informasi yang
tidak bisa diakses oleh orang lain. Metode ini digunakan untuk memenuhi
faktor security pada tujuan sistem keamanan. Penggunaan sistem Aplikasi
Perbankan untuk operasional tidak terlepas dari user_id/password, yaitu
orang atau pejabat bank yang berhak mengoperasikan sistem aplikasi
tersebut yang juga sudah dilengkapi dengan tingkat otorisasinya sesuai
dengan tugas dan tanggung jawabnya dalam operasional perbankan. Hal-
hal yang perlu diperhatikan dalam user_id/password ini adalah; (i) kehati-
hatian dalam pemasukannya untuk menghindari kejadian di mana
user_ID/password diketahui oleh orang lain (aspek security), dan (ii)
pemeliharaan periode berlakunya user id/password tersebut
(maintenance). Metode pengamanan datanya menggunakan enkripsi,
yaitu dengan mengaburkan tampilan input data pada layar (screen saver )
untuk menghindari penggunaan tugas dan wewenangnya oleh orang lain
pada saat yang bersangkutan sudah masuk ke sistem aplikasi tetapi
sedang tidak berada di tempat.
Pemberian akses dengan pemberian password kepada setiap pengguna.
Pemberian password didasarkan pada suatu kebijaksanaan password
secara tertulis dan didokumentasikan baik dalam hal penambahan,
pengapusan maupun pengubahan kemampuan setiap pengguna.
Perumusan ketentuan tertulis mengenai sistem password tersebut antara
lain meliputi:
• Jumlah karakter, contohnya pada aplikasi tabungan sebanyak 8;
• Tidak ditampilkan ada waktu membuka sistem di mana telah dienkripsi
pada layar;
• Tidak dapat dicetak pada maintenace password;
• Disimpan dalam file setelah dilakukan enkripsi;
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 59
TSI-Perbankan
• Log off secara otomatik apabila pengguna tidak aktif untuk beberapa
waktu tertentu;
• Penon-aktifan password apabila seorang pengguna pindah/berhenti
kerja atau cuti; dan
• Pembatasan kegagalan log-on, contohnya pada Aplikasi Tabungan
sebanyak 3 kali.
Check Digit Check digit sering digunakan bank-bank dalam struktur nomor rekening
dengan tujuan untuk menghindari kesalahan nomor rekening nasabah
yang seharusnya ke nomor rekening nasabah lain. Secara umum, check
digit menggunakan rumus matematika yang mengoperasikan deretan
bilangan-bilangan pada nomor rekening yang di-set oleh bank dan
biasanya ditempatkan pada digit terakhir dari suatu nomor rekening.
Salah satu contoh struktur nomor rekening nasabah tabungan suatu bank
adalah sebagai berikut X1X2 . X3X4 . X5 . X6X7X8X9X10 . X11. Nomor rekening
tersebut menunjukkan beberapa informasi sesuai dengan kebijakan yang
sudah ditetapkan bank, di antaranya adalah sebagaimana tampak pada
tabel berikut.
Tabel 3.3 Metode Penentuan Nomor Rekening
Digit Keterangan X1X2 Kode cabang bank dengan kapasitas maksimal 100 kantor cabang
mulai 00 sampai 99
X3X4 Kode aplikasi yang digunakan (Tabungan, Giro atau Deposito)
X5 Kode mata uang yang digunakan
X6 - X10 Nomor urut nasabah yang dapat menampung 99999 orang nasabah
X11 Check digit yang dihitung otomatis komputer dengan menggunakan rumus matematis tertentu yang mengoperasikan nilai-nilai pada digit-digit sebelumnya
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 60
TSI-Perbankan
Sedangkan salah satu contoh rumus matematik yang digunakan untuk
menghitung check digit tersebut adalah;
X11 = X∑=
n
i 1I mod11
Dengan demikian apabila diketahui 10 digit pertama suatu nomor rekening
adalah 02.05.0.00150.…, maka dengan menggunakan rumus di atas,
perhitungan check digit-nya adalah sebagai berikut:
Z = (1*0)+(2*2)+(3*0)+(4*5)+(5*0)+(6*0)+(7*0)+(8*1)+(9*5)+(10*0) = 77
di mana X11 = 77 mod 11 = 0, jadi struktur nomor rekening Tabungan
selengkapnya 02.05.0.00150.0
Level otorisasi Level otorisasi tertinggi ada pada masing-masing pimpinan cabang.
Masing-masing pimpinan akan membuat ID dan otorisasi bagi areanya.
Dalam Tabel 3.4 di bawah ini disajikan salah satu bentuk tingkatan atau
level otorisasi.
Tabel 3.4 Tingkatan Otorisasi
Tingkatan Keterangan
1 Kepala Departemen 2 Checker / Supervisor 3 Teller Front Office 4 Customer Service 5 Data Procesing 6 Data Control 7 Teller Back Office 8 Security Password
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 61
TSI-Perbankan
Untuk mengetahui tingkatan otorisasi seorang pemegang suatu ID dapat
dilakukan dengan melihat pada cara pembuatan User ID seperti tampak
pada gambar di bawah ini.
** BANK GUNADARMA ** 18/07/94 TABUNGAN Maintenance Password +------------------------------------------------------------------------------+ ¦ 1. Staff-Id :K01 ¦ ¦ 2. Password : ¦ ¦ 3. Nama :CASH OFFICER ¦ ¦ 4. Autorisasi :1 ¦ ¦ 5. Kode batasan wewenang :01 ¦ ¦ 6. Batas Waktu Password :18/07/94 ¦ ¦ 7. Kode cabang :01 ¦ ¦ Isi dgn Y/T ===> 1, 2, 3, 4, 5, 6, 7, 8, 9,10,11,12,13,14,15,16,17,18¦ ¦ 8. Kode Cash Officer : Y--Y--Y--Y--Y--Y--Y--Y--Y--Y--Y-- -- -- -- -- -- -- ¦ ¦ 9. Kode Head Teller : -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- ¦ ¦10. Kode Teller : -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- ¦ ¦11. Kode R/K Khusus : -- -- -- --Y--Y-- -- -- -- -- -- -- -- -- -- -- -- ¦ ¦12. Kode Akhir Hari : -- -- -- -- -- --Y--Y--Y--Y--Y--Y--Y-- --Y-- -- -- ¦ ¦13. Kode Akhir Bulan : Y-- --Y--Y--Y--Y--Y--Y--Y--Y-- -- -- -- -- -- -- -- ¦ ¦ ¦ ¦ ¦ ¦ ¦ +------------------------------------------------------------------------------+ DATA OK (Y/T) 2
Gambar 3.4 Maintenance Password beserta wewenang dan batasan
Pemegang User_ID K01 dengan jabatan sebagai Cash Officer
mempunyai level otorisasi 1, yakni sebagai Kepala Departemen yang
mempunyai batasan wewenang penarikan 01 (tertinggi) dan dapat
membuka menu berikut:
• menu Cash officer dari nomor 1 sampai dengan nomor 11;
• menu Rekening Khusus nomor 4 dan 5;
• menu Akhir Hari 7 sampai dengan 13 dan 15; dan
• menu Akhir Bulan 1 dan 3 sampai dengan 10.
Batasan Wewenang Batasan wewenang pada Aplikasi Tabungan ditujukan untuk membatasi
setiap pengguna (user) dalam mengeluarkan uang (melayani penarikan
uang). Batasan seorang senior teller akan lebih tinggi dibandingkan
dengan junior teller. Namun, bila dibandingkan dengan Head Teller
tentunya seorang senior teller akan lebih rendah tingkatannya. Daftar
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 62
TSI-Perbankan
batasan wewenang dapat di lihat pada menu Cash Officer sebagaimana
tersaji dalam gambar berikut.
Gambar 3.4 Daftar batasan wewenang penarikan uang
** BANK GUNADARMA ** Kode Batas Wewenang Tanggal : 18/07/94 ------------------------------------------------------------------------------- No. Kode Batas Pengambilan ------------------------------------------------------------------------------- 1 01 500,000,000.00 2 02 100,000,000.00 3 03 50,000,000.00 4 04 25,000,000.00 5 05 7,000,000.00 6 06 2,000,000.00 7 07 0.00
Gambar 3.5 Menu Cash Officer
Message Error Pada saat terjadi salah input ketika melakukan aktivitas dalam Aplikasi
Tabungan, sistem akan menampilkan informasi pada layar. Hasil dari
kegiatan pembukaan rekening, yaitu bila kode account officer (AO) yang
melakukan pengesahan pembukaan rekening tidak di-input, akan
memberikan informasi bahwa AO tidak ada. Begitu pula jika tempat dan
tanggal lahir tidak diisi. Di layar monitor akan muncul pesan bahwa tempat
dan tanggal lahir belum diisi. Untuk kegiatan proses akhir hari, bila
prosedur back up belum dilakukan, maka pesan harus melakukan back up
akan tampil pada layar.
Laporan Penghapusan Transaksi Bila melakukan penghapusan transaksi, transaksi yang dihapus tidak
langsung hilang dari database tetapi akan disimpan untuk mengetahui
teller mana yang sering melakukan kesalahan input.
Prosedur kerja yang tidak dijalankan dengan baik Pada tahapan akhir hari dan akhir bulan, bila prosedur yang ada tidak
dijalankan dengan benar pada suatu tahap akan muncul pesan tentang
adanya kesalahan. Akibatnya tahapan kerja selanjutnya tidak dapat
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 63
TSI-Perbankan
dijalankan. Untuk sistem Aplikasi Tabungan, pada saat belum melakukan
back up maka proses akhir hari tidak dapat dilakukan dan bila proses
akhir hari sudah dilakukan tetapi ada transaksi yang belum di-input maka
transaksi tidak dapat dilakukan.
Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 64